SASE与SD-WAN大比拼，你pick谁？

SASE(安全访问服务边缘)和SD-WAN是两种网络技术，旨在将地理上不同的端点连接到数据源和应用程序资源。

SD-WAN——软件定义的广域网，它使用虚拟化网络overlay连接和远程管理分支机构。SD-WAN的重点放在将这些分支机构连接回中央专用网络上。虽然SD-WAN可以连接到云，但它并不是以云为中心构建的。

而SASE专注于云，并具有分布式架构。SASE并非着重于将分支机构连接到中央网络，而是专注于将各个端点(分支机构、个人用户或单个设备)连接到服务边缘。服务边缘由运行SASE软件堆栈的分布式PoP网络组成。此外，SASE着重于固有的安全性。

这两者的区别就类似于使用内网与使用坚果云共享文件之间的区别。两种方法都能达到相同的最终目标，但方法却截然不同。

SD-WAN是一个日趋成熟的市场，尽管疫情阻碍了它的发展，但总体保持稳定增长。而SASE相对较新，因为它是Gartner在2019年创造的一个新术语，尽管SASE市场尚处于起步阶段，但许多供应商已开始通过自己的SASE或类似SASE的服务进入市场。

一、差异性

SASE和SD-WAN之间的差异可以归纳为三类：

• 与云的关系
• 安全性
• 如何进行流量检查

1. SASE，SD-WAN和云

(1) SASE

SASE使用私有数据中心、公共云或托管设施作为pop。这些pop形成了SASE堆栈运行的体系结构的服务边缘。此外，这些pop通常位于公共云中，或者靠近公共云网关，以实现对云资源的低延迟安全访问。无论哪个节点都有足够的资源来满足用户的请求。SASE软件可以确定流量到达其端点时使用的最佳路径。与SD-WAN以数据中心为中心的架构不同，SASE采用的是分布式架构。Gartner认为，当云服务越来越多地被使用时，将单一的私有数据中心作为网络的焦点会导致效率低下。

(2) SD-WAN

对于SD-WAN，云集成只是一个功能，而不是一个关键组件。在支持云的SD-WAN中，用户通过互联网连接到虚拟云网关，使网络更易于访问，并支持云原生应用程序。这与SASE方法非常相似。

2. 安全性

安全是SASE和SD-WAN竞争的关键因素。

IDG最近发布了一项针对SASE和SD-WAN的兴趣调查，数据显示，91%的受访者表示对SASE解决方案感兴趣，其考虑的关键点就在于SASE所能够提供的安全性。同样的，在考虑采用SD-WAN的公司中，有70%的公司也强调了安全的重要性。

(1) SASE

SASE的重点是为网络及其用户提供对分布式资源的安全访问。这些资源可以分布在私有数据中心、托管设施和云上。安全代理可以包含安全的web网关，供应商的云可以包含防火墙即服务。在分支机构或其他聚集人员的地方，为了保护打印机等无代理设备的安全，通常使用SASE设备。

(2) SD-WAN

SD-WAN技术的设计并不是以安全为重点的。SD-WAN安全性通常通过辅助功能或第三方供应商提供。虽然一些SD-WAN解决方案确实在安全性方面取得了成功，但这也只是少数。SD-WAN的中心目标是将地理位置不同的办公室相互连接并连接到一个中央总部，具有对不同网络条件的灵活性和适应性。在SD-WAN中，安全工具通常位于CPE的办公室，而不是设备本身。SD-WAN中的网络决策是在分布在整个网络中的虚拟化网络设备中做出的。

3. SASE与SD-WAN流量检查

(1) SASE

在SASE网络中，流量一次开放，一次可以被多个策略引擎检查，引擎并行运行，而不会在引擎之间传递流量。这样可以节省时间，因为流量不会像SD-WAN中那样从一个安全功能传递到下一个安全功能，不会重复访问。此外，这些策略引擎的作用与SD-WAN中的安全工具一样多，甚至更多。

(2) SD-WAN

SD-WAN使用服务链进行流量检查。服务链是指一次一个安全功能一个接一个地检查流量。这些单独的功能处理一种类型的威胁，称为点解决方案(point solutions)。每个点解决方案都会打开流量，对其进行检查，关闭，然后将其转发到下一个点解决方案，直到流量通过所有点解决方案为止。

二、相似性

尽管SASE和SD-WAN的最终目的相似，但它们在架构上并没有很多相似之处。高层面上，它们有一点相同：它们既是广域网又是虚拟化基础结构。

SD-WAN和SASE都是为了覆盖一个大的地理区域而设计的。不同之处在于基础设施，SASE的基础设施有私有数据中心、托管设施或充当端点的云。这些是运行网络、优化和安全功能的地方，在SD-WAN中，这些功能在分支机构和总部的机箱中运行，SASE和SD-WAN都可以从任何地方进行控制。在SD-WAN的情况下，DIY方法通常将控制权置于组织的总部，托管解决方案将由服务提供商远程控制，而共同管理解决方案类似于托管解决方案，但组织通过门户具有一定的控制权。

尽管这两个基础设施的不同，但它们仍然是虚拟化的。SD-WAN和SASE不像非虚拟化WAN那样依赖于固定功能的专有设备。如前所述，SASE在云或其他数据中心以及安全代理中运行安全和网络功能。对于SD-WAN，网络节点和CPE都是软件定义的。换句话说，这些功能是作为软件运行的。

三、供应商

1. SASE尚处于起步阶段

现在许多SD-WAN供应商也开始提供SASE解决方案，例如， 思科、VMware VeloCloud和Open Systems都在实践这种解决方案。

还有一些组织已经将他们的资源更多地用于开发和部署SD-WAN上的SASE服务，例如 Palo Alto和Cato Networks。

Gartner编制了一份供应商名单，其中包括已经提供SASE，或者有想法提供SASE的供应商：

Gartner表示，“目前主要的IaaS提供商(AWS，Azure和GCP)在SASE市场上还没有竞争力。”“我们预计，在未来五年内，至少有一家公司将大举进军SASE市场，因为它们都在扩展其边缘网络业务和安全能力。”

2. SD-WAN生态参与者众多

Gartner预计企业中部署SD-WAN的比例将从2019年的30%提升至2023年的90%。

根据IDC数据，2019年全球SD-WAN市场空间为23亿美元，预计2019-2021年复合增长率高达35%。

国内SD-WAN玩家众多，初创公司、网络设备商、网络运营商、IDC厂商、公有云运营商、安全厂商等纷纷涌入。

三、总结

SASE和SD-WAN是两种不同的网络技术，它们使用不同的方法达到相似的目的。这两种技术都旨在以灵活和适应性强的方式连接地理分布的组织。SASE网络专注于提供云原生安全工具，并以云为网络的中心;SD-WAN技术致力于将办公室连接到中央总部和数据中心，不过它也可以将用户直接连接到云。

目前，虽然只有少数SD-WAN供应商、安全提供商等在推出SASE解决方案，但Gartner预测，到2024年，至少40%的企业会采用SASE策略，也就是说在未来会有更多SD-WAN供应商会向SASE转型。