智安網路丨零信任、SASE、ZTE，你需要了解的三個概念

在零信任領域，主要概念來自於兩家世界級諮詢公司Gartner與Forrester，而不得不澄清的是零信任與SASE的關係問題：

首先，Forrester提出零信任，成為近十年來最重要的安全創新理念。不妨把零信任比作如來佛祖。然後，Gartner提出SASE（安全訪問服務邊緣），在零信任的基礎上面向未來描繪了一幅美好邊緣願景。SASE的意圖明顯是想超越零信任，不妨把SASE比作齊天大聖，一心想跳出如來的手掌心。最近，Forrester又提出ZTE（零信任邊緣），且強調ZTE=SASE。意思是說，SASE你也別鬧騰了，你不過就是零信任邊緣或者邊緣零信任，始終逃不出我零信任的手掌心。

本文評論了兩家頂級諮詢公司的三位頂級分析師提出的三個概念：零信任、SASE、ZTE。

總結一下：

零信任=資料中心零信任+邊緣零信任；

邊緣零信任=SASE=ZTE。

SASE是零信任的一部分或子集；

SASE是零信任面向未來的重要場景。

目 錄

1.零信任的提出與發展

1.1 零信任的提出

1.2 零信任的發展

2.SASE的提出與發展

2.1 SASE的提出

2.2 邊緣的概念

2.3 零信任和SASE的對比

2.4 SASE的發展

3.ZTE的提出和策略

3.1 ZTE的提出

3.2 ZTE和SASE的對比

3.3 ZTE的推進策略

4.零信任與SASE的融合

4.1 零信任的演進路線

4.2 端到端零信任架構

4.3 網路安全的演進

4.4 結束語

一、零信任的提出與發展

01

零信任的提出

零信任概念是由Forrester首席分析師John Kindervag於2010年提出的。

後來，其繼任者（即現任）Forrester首席分析師Chase Cunningham，將零信任豐富為「零信任擴展（ZTX）生態系統」。包含零信任使用者、零信任裝置、零信任網路、零信任應用、零信任資料、零信任分析、零信任自動化等七大領域。

為此，Forrester還專門提供了一整套《零信任安全手冊》，由12篇系列文章（持續更新）構成，為客戶順利融入零信任擴展生態系統，提供全面的參考文件。

02

零信任的發展

回顧歷史，零信任的發展並不順利。歷經十年，才獲得普遍認可。

Forrester將零信任概念擴大為ZTX生態系統，是為了將零信任做大做強。而2020年8月NIST SP 800-207零信任架構指南的正式釋出，無疑就是零信任最好的名片和廣告。

2020年5月，美國總統拜登釋出行政命令以加強國家網路安全，明確指示美國聯邦政府各機構實施零信任方法。美國國防部零信任參考架構也終於公開發布，其運行概念圖如下所示：

該圖最顯著的特點是中間的兩大塊，分別代表了使用者側訪問控制（客戶端和身份保障）和資料側訪問控制（資料中心企業）。是一個相當完整的零信任架構。

二、SASE的提出與發展

01

SASE的提出

當Gartner認識到零信任的重要性後，其副總裁分析師Neil MacDonald在2018年12月釋出的報告《零信任是CARTA路線圖上的第一步》中提出，將零信任項目作為CARTA（持續自適應風險與信任評估）路線圖的初始步驟。試圖將零信任納入CARTA框架。隨後，在2019年4月又提出ZTNA（零信任網路訪問）概念，它相當於SDP技術路線，從覆蓋面上看有點狹窄。

接著，Gartner分析師Neil MacDonald再次於2019年8月放出大招——在《網路安全的未來在雲端》報告中，提出面向未來的SASE（安全訪問服務邊緣，Security Access Service Edge）概念，開闢了邊緣安全的新天地。

此後，Gartner大力推廣SASE概念，在不到兩年的時間裡，獲得了很大共識。

在本屆RSAC上，Cisco在《Getting Started With SASE Connect Controland Converge With Confidence》報告中的一張圖，非常形象地說明了SASE的含義：

可以看出：

SASE是集網路安全服務、下一代廣域網、邊緣計算於一體的雲交付網路。SASE的實現必須以安全、網路、訂閱、雲四大條件為基礎。SASE的難點：在SASE的主要組成要素中，全球性分散式的邊緣部署在實操層面中是最難的，而這也意味著對客戶傳統網路架構的重構。

02

邊緣的概念

理解SASE的第一步，是理解邊緣概念。在本屆RSAC大會，Fortinet的議題《以面向所有邊緣的安全驅動網路，增強混合勞動力》，對邊緣概念解釋得淺顯易懂：

上圖的要點是：

邊緣可以接觸到物聯網；邊緣在傳統上是CDN（內容交付網路）提供商的優勢領域。

03

零信任和SASE的對比

理解SASE的第二件事，是理解零信任與SASE的區別。在本屆RSAC大會上，趨勢科技在《混合雲的零信任挑戰：真相與神話》議題中，對此做了澄清：

上圖中有句反話：「得益於SASE供應商們的過度營銷，才使得我們對零信任和SASE更加困惑。」 筆者對此深有共鳴。

上圖中的關鍵是：

SASE是零信任的一種形式；SASE由單個供應商部署；相對來說，零信任概念是比較寬泛的。

04

SASE的發展

在Gartner 2020年雲安全炒作週期圖中（因版權問題不便貼出），SASE已經站上希望之巔（Peak of Inflated Expectations）。但其深藍顏色仍然表明，還是需要5-10年才能得以成熟。而且該圖是針對國際而言的，在國內可能還要晚些。

值得期待的是，基於以下因素，SASE肯定會加速發展：

Gartner大力推動SASE模型；Forrester開始跟進並提出ZTE（零信任邊緣）模型（見下文）；零信任與SASE的融合趨勢（見下文）。

三、ZTE的提出和策略

01

ZTE的提出

簡單地說，Gartner的SASE（安全訪問服務邊緣）概念相當於「邊緣安全」。Forrester很快認識到這個概念的前瞻性，於是在2021年1月釋出的《為安全和網路服務引入零信任邊緣（ZTE）模型》報告中，正式提出ZTE（零信任邊緣，Zero Trust Edge）。

Forrester在該報告中指出，零信任主要有兩類概念：

一是資料中心零信任：即資源側的零信任。二是邊緣零信任：即邊緣側的零信任訪問安全。而這正是ZTE（零信任邊緣）。

Forrester零信任邊緣（ZTE）模型如下：

02

ZTE和SASE的對比

2021年2月，Forrester在《將安全帶到零信任邊緣》報告中解釋說：Forrester的零信任邊緣（ZTE）模型與Gartner的SASE模型是相似的。而主要區別在於：零信任邊緣模型的重點在零信任。

我們姑且將ZTE與SASE統稱為「邊緣安全」。既然ZTE與SASE相似，為什麼Forrester還要提出ZTE概念？

筆者認為，這正是Forrester的高明之處。Forrester通過引入一個通俗易懂的零信任邊緣（ZTE）概念，就輕鬆地將SASE納入了零信任版圖。大家稍微想想就理解，雖然是同一回事，但"零信任邊緣"（ZTE）要遠比"安全訪問服務邊緣"（SASE）容易理解得多。

另外，筆者認為，ZTE和SASE在實施邊緣安全的路徑上有顯著區別：

耦合程度區別：SASE強調網路和安全緊耦合，所以要求單一提供商提供全套SASE產品；ZTE強調網路和安全解耦，認為可以多個供應商整合。實施路線區別：SASE強調網路和安全同步走；ZTE強調零信任先行，網路重構滯後。（參見下文）

筆者比較認同Forrester的思路，也就是網路和安全解耦的方式。在本屆RSAC大會，趨勢科技的安全副總裁Greg Young，在議題《懷疑論者指南》中，旗幟鮮明地表達了這種觀點："關於SASE、零信任、ZTE的定義，有些人會在裡面新增網路技術，對此我表示懷疑。如果說一個零信任的解決方案裡，談論了很多關於SD-WAN的東西，你就要非常小心。我的零信任和SASE，當然要去適應和擁抱SD-WAN環境，但這並不意味著我自己一定要有SD-WAN。所以，對於把SD-WAN作為零信任解決方案進行售賣這樣的做法，大家一定要非常警惕。"

03

ZTE的推進策略

2021年2月，Forrester在《將安全帶到零信任邊緣》報告中，針對ZTE/SASE的推進路線，特別指出：ZTE要先解決戰術性「遠端訪問」問題，最後再解決戰略性「網路重構」問題。原因在於，要重構企業網路結構，是個極大挑戰，最好把這個硬骨頭放到最後再解決。

具體而言，Forrester的「先戰術、再戰略」的推進思路如下：

第1步：先用ZTNA（即SDP型零信任）技術，解決遠端訪問問題；第2步：再逐步追加其它的安全控制（如SWG、CASB、DLP）；第3步：最後使用SD-WAN技術，解決網路重構問題。

Forrester的邊緣安全推進策略，顯得相當務實，也更加重視零信任。相比之下，Gartner的邊緣安全推進策略，就太理想化了。

四、零信任與SASE的融合

通過上面的解釋，我們已經能夠看出，Forrester正在將零信任和邊緣安全融為一體（孫大聖已經被如來收入掌中）。

01

零信任的演進路線

上圖可見：

Gartner提出的SASE和ZTNA都已囊括在零信任的範疇中；Forrester的ZTE（零信任邊緣）與Gartner的SASE已經統合在一起。

02

端到端零信任架構

在本屆RSAC大會上，VMware在《零信任，零痛苦：一個具有內建安全性的實用實現》的議題中，給出瞭如下的端到端零信任架構：

VMware進一步給出了該架構的細節描述：

筆者認為，該圖較好整合了零信任與邊緣安全的概念。

03

網路安全的演進

網路安全由碎片化向平臺化發展的路線：

該路線融合了零信任、邊緣安全、平臺化的思路，非常符合安全的演進觀念。圖中最右側實際上就是安全大腦：

安全大腦有兩類完全不同的輸入：一是威脅類（攻防派）；二是身份類（管控派）。覆蓋了威脅分析和零信任分析的全場景。安全大腦連線各類DR（檢測與響應）探針：包括CDR（雲DR）、EDR（端點DR）、NDR（網路DR）、邊緣DR等，符合典型的XDR模型。這種"XDR+零信任"內外兼修的安全大腦，正是未來的發展方向。

04

結束語

既然大聖（SASE）已經被如來（零信任）收服，建議少用令人費解的"安全訪問服務邊緣（SASE）"術語，直接使用"零信任邊緣（ZTE）"就好了。否則，我們還將在這些概念之間反覆纏繞。