來(lái)源 |?好奇瞅瞅

責(zé)編 | 寇雪芹

頭圖 |?下載于視覺(jué)中國(guó)

前言

本系列目錄：

• 深入理解SASE（一）：什么是云化

• 深入理解SASE（二）：網(wǎng)絡(luò)云化及演進(jìn)方向

• 深入理解SASE（三）：什么是云網(wǎng)融合

• 深入理解SASE（四）：SD-WAN市場(chǎng)分析及細(xì)分切入

• 深入理解SASE（五）：新的安全范式

對(duì)于SASE，當(dāng)前可能存在兩類看法：

• 又瞎扯淡：感覺(jué)SASE沒(méi)啥，和SD-WAN一樣，炒作成分居多；

• 不明覺(jué)厲：感覺(jué)SASE重要，但又說(shuō)不上來(lái)哪里好，了解一些相關(guān)技術(shù)。

一個(gè)可能的原因是：諸如Gartner之類的高大上權(quán)威，在定義完SASE后，一上來(lái)就談SASE有12點(diǎn)優(yōu)勢(shì)，“巴拉巴拉”小魔仙，非常感人。Gartner作為一家頂級(jí)咨詢機(jī)構(gòu)，客戶都是花了大筆訂閱費(fèi)的，這也決定了必須要專業(yè)嚴(yán)肅一些。

作者沒(méi)背景，沒(méi)負(fù)擔(dān)，無(wú)束縛，可以不按套路，會(huì)按一貫風(fēng)格，側(cè)重分析：

• 散點(diǎn)知識(shí)如果沒(méi)法融入知識(shí)體系，早晚都會(huì)是過(guò)眼浮云。

• 更重要的一點(diǎn)，作者也不懂什么高深的安全技術(shù)，還得繼續(xù)學(xué)習(xí)。

• 一個(gè)人不可能全心投入他不認(rèn)可的領(lǐng)域。所以，即便是為了跨界學(xué)習(xí)，也需要盡可能理解SASE，這也是整理本文最原始的初衷。

什么是范式

In science and philosophy, a paradigm is a distinct set of concepts or thought patterns, including theories, research methods, postulates, and standards for what constitutes legitimate contributions to a field. -- Wikipedia

什么是范式？在科學(xué)和哲學(xué)中，范式是一組獨(dú)特的概念或思維模式，包括構(gòu)成一個(gè)領(lǐng)域的一套自洽的理論，研究方法，假設(shè)和標(biāo)準(zhǔn)。

范式有什么用？范式會(huì)自帶世界觀，會(huì)引導(dǎo)人們帶著其特有的傾向和思路去析構(gòu)世界，認(rèn)知/分析/解決問(wèn)題。

可能還是有些抽象，舉一個(gè)最直接的范式例子：地心說(shuō)和日心說(shuō)。

圖2-1：日心說(shuō)與地心說(shuō)；來(lái)源：http://www.malinc.se/math/trigonometry/geocentrismen.php

• 上圖的右半部分，是地心說(shuō)下的太陽(yáng)系；

• 上圖的左半部分，是日心說(shuō)下的太陽(yáng)系。

推薦點(diǎn)擊圖片鏈接，可以看到動(dòng)態(tài)軌跡圖；地心說(shuō)其實(shí)是挺精妙的。

以上，地心說(shuō)是一種范式，日心說(shuō)是另一個(gè)范式。

同一個(gè)世界，在不同范式的析構(gòu)下，會(huì)呈現(xiàn)出巨大的復(fù)雜性差異，這就是范式的作用。

作者認(rèn)為，和SD-WAN類似，SASE也不是一種產(chǎn)品，不是一種技術(shù)，而是一種新的安全范式，這也意味著SASE可能會(huì)進(jìn)一步衍生出不同的技術(shù)、工具和產(chǎn)品。

SASE至少提供了兩個(gè)范式：

• 一個(gè)是產(chǎn)品形態(tài)方面的，這里可能會(huì)卡一卡傳統(tǒng)設(shè)備商；

• 一個(gè)是業(yè)務(wù)建模方面的，這里可能會(huì)拼一拼產(chǎn)品架構(gòu)。

產(chǎn)品形態(tài)的范式

3.1 為什么產(chǎn)品形態(tài)重要

先回到一個(gè)經(jīng)典例子：“客戶不是要買電鉆，而是要買墻上的那個(gè)洞”。

?圖3-1：客戶要的是電鉆嗎；來(lái)源：互聯(lián)網(wǎng)

假設(shè)你要掛一幅畫(huà)：

• 產(chǎn)品形態(tài)：你花了200元錢，在京東上買了一把電鉆，京東很牛逼，次日達(dá)。次日，你疊起了兩個(gè)凳子，晃晃悠悠，勉強(qiáng)打了兩個(gè)洞，掛上了畫(huà)。

• 服務(wù)形態(tài)：你給物業(yè)打了個(gè)電話，物業(yè)報(bào)價(jià)20元/洞，15分鐘內(nèi)上門。物業(yè)帶了一些列電鉆鉆頭和折疊梯，30分鐘完成掛畫(huà)，還幫你清理了鉆墻的粉屑。

• 高級(jí)的服務(wù)形態(tài)：物業(yè)上門后，查看了一下畫(huà)和墻，直接推薦掛鉤方案，既不破壞墻體，也沒(méi)有噪音灰塵。你認(rèn)可了，物業(yè)也更方便，只收了20元。說(shuō)這更高級(jí)，是因?yàn)椤?strong>聽(tīng)用戶說(shuō)，但沒(méi)有照著用戶說(shuō)的去做，而是在洞悉之后售賣了更為專業(yè)的服務(wù)”。

• 更高級(jí)的服務(wù)形態(tài)：物業(yè)上門后，發(fā)現(xiàn)畫(huà)風(fēng)與墻飾風(fēng)格不符，現(xiàn)場(chǎng)說(shuō)出了三點(diǎn)原因，給出了完整建議。你一聽(tīng)還挺受用，購(gòu)買了物業(yè)的裝飾服務(wù)，收費(fèi)200元。你很高興，因?yàn)樵谟H友面前提升了品味；物業(yè)也很高興，因?yàn)椴坏闪烁蟮膯?#xff0c;而且因?yàn)闇?zhǔn)確挖掘了客戶的根本訴求，客戶的滿意度和忠誠(chéng)度也更高。說(shuō)這更高級(jí)，是因?yàn)檫@項(xiàng)服務(wù)過(guò)渡到了“售賣標(biāo)準(zhǔn)”，在這個(gè)例子里，就是“審美標(biāo)準(zhǔn)”。售賣標(biāo)準(zhǔn)，長(zhǎng)期是西方國(guó)家的優(yōu)勢(shì)領(lǐng)域，當(dāng)前很多中國(guó)產(chǎn)品，正在試圖突破這個(gè)階段。

為什么服務(wù)形態(tài)比產(chǎn)品形態(tài)更加高級(jí)？這個(gè)問(wèn)題搜不到答案，以下是一些作者理解：

• 更容易接近真實(shí)需求：產(chǎn)品是硬的，服務(wù)是軟的。社會(huì)進(jìn)步的標(biāo)志就是分工越來(lái)越細(xì)，這也意味著需求越來(lái)越多樣化，軟性的服務(wù)相對(duì)更容易匹配用戶的真實(shí)需求。以上例子，“打洞”就要比“電鉆”更接近用戶的真實(shí)需求：不同的客戶有著不同的墻體，不同的孔徑，不同的深度，“打洞”顯然更要比“電鉆”更容易匹配各種真實(shí)需求。一個(gè)更加宏大的例子：哪怕是最硬梆梆的制造業(yè)，在推的概念也是“柔性制造”，本質(zhì)上就是“軟件定義產(chǎn)線”，盡可能去快速逼近細(xì)分客戶的特定需求。

• 用戶界面更簡(jiǎn)單：產(chǎn)品離滿足需求，還差了一個(gè)“集成”。在這個(gè)例子里，集成比較簡(jiǎn)單，就是業(yè)主自己去操作打洞，但其實(shí)也是有一定門檻的；在很多2B產(chǎn)品的例子里，集成往往會(huì)更加困難，一個(gè)直接表現(xiàn)就是存在著大量的集成商；不過(guò)羊毛出在羊身上，這些都會(huì)增加客戶的廣義擁有成本。

• 更快滿足需求：客戶，大多都會(huì)把時(shí)間留給自己，把難題留給供應(yīng)商：下單之前，貨比三家，磨磨嘰嘰；下單之后，立刻就要，拼命催單。這是客觀存在的事實(shí)，很難改變客戶的心理，那就只能改變自己的交付形態(tài)了。

3.2 產(chǎn)品形態(tài)的串聯(lián)

SASE在產(chǎn)品形態(tài)方面的范式革新，已然比較明顯：客戶要的不是設(shè)備，也不是功能，而是服務(wù)。

• 最好這個(gè)服務(wù)足夠全，能涵蓋我的所有相關(guān)需求，不用讓我再去考慮多供應(yīng)商和多供應(yīng)商之間的集成問(wèn)題；

• 最好這個(gè)服務(wù)剛剛好，可以調(diào)整到剛好涵蓋我的所有相關(guān)需求，不用讓我多花一分冤枉錢；

• 最好這個(gè)服務(wù)夠?qū)I(yè)，可以成標(biāo)準(zhǔn)成體系地從根本上解決相關(guān)顧慮，可以讓我在老板面前更專業(yè)更得力。

前文提到，產(chǎn)品形態(tài)的范式，可能會(huì)卡一卡傳統(tǒng)設(shè)備商，那我們就來(lái)稍微展開(kāi)一下。

一個(gè)設(shè)備虛擬化了，就成為服務(wù)了嗎？當(dāng)然不是。虛擬化了的，還只是功能。功能和服務(wù)差在哪？功能是偏靜態(tài)的，偏供給側(cè)視角的；服務(wù)是偏動(dòng)態(tài)的，偏需求側(cè)視角的。這兩者又有什么區(qū)別？偏靜態(tài)的供給側(cè)視角：我有這這這功能，超級(jí)牛逼，你來(lái)用用啊；偏動(dòng)態(tài)的需求側(cè)視角：客戶發(fā)現(xiàn)，在他想睡覺(jué)的時(shí)候，路上出現(xiàn)了一個(gè)枕頭；在他想打怪的時(shí)候，路上出現(xiàn)了一個(gè)耙子，他甚至不需要“懂”，只需要會(huì)“用”。

在客戶隨時(shí)需要時(shí)能隨時(shí)滿足，“敏捷、彈性、按量付費(fèi)”，這樣才叫云化服務(wù)；或者翻譯成那句大白話：“不求天長(zhǎng)地久，但求要時(shí)能有，隨時(shí)要隨時(shí)有”。所以，

• 需要齊全的網(wǎng)絡(luò)棧和安全棧，足以匹配各種場(chǎng)景的網(wǎng)絡(luò)和安全需求；

• 需要高度的虛擬化和模塊化，足以剛剛匹配所需的場(chǎng)景；

• 需要高效的建模能力和快速的投送能力，足以應(yīng)對(duì)VUCA的用戶和需求。

這方面，再啰嗦估計(jì)就要被嫌棄了，這個(gè)系列也已經(jīng)鋪墊很久了，可以參考前面幾篇，不再贅述。

3.3 大道無(wú)形

本章最后，做個(gè)大膽預(yù)測(cè)：與SD-WAN類似，SASE可能也會(huì)分成“名義市場(chǎng)”和“無(wú)形市場(chǎng)”；會(huì)有一些更大的玩家去玩“無(wú)形市場(chǎng)”，即直接服務(wù)一個(gè)更大的產(chǎn)品或產(chǎn)品體系，不以“SASE”的名頭直接出現(xiàn)在市場(chǎng)上，拭目以待。

業(yè)務(wù)建模的范式

4.1 為什么業(yè)務(wù)建模重要

之前提到，范式能幫助我們析構(gòu)世界，引導(dǎo)我們?nèi)フJ(rèn)知/分析/解決更廣更深的問(wèn)題。

產(chǎn)品形態(tài)的范式，解決了用戶界面復(fù)雜度的問(wèn)題；業(yè)務(wù)建模的范式，解決了產(chǎn)品架構(gòu)復(fù)雜度的問(wèn)題。

2B產(chǎn)品，本質(zhì)上是強(qiáng)化了某種生產(chǎn)關(guān)系。這就意味著，2B產(chǎn)品必須要解決具體的現(xiàn)實(shí)問(wèn)題，而解決問(wèn)題的效能和效率，取決于產(chǎn)品本身對(duì)現(xiàn)實(shí)世界的建模能力：模型越逼真，方案越匹配。

圖4-1：問(wèn)題域與解決方案；來(lái)源：互聯(lián)網(wǎng)

4.2 范式與技術(shù)

在進(jìn)一步析構(gòu)業(yè)務(wù)建模的范式之前，有必要先澄清一下范式與技術(shù)之間的關(guān)系，因?yàn)閮烧咴赟ASE里，都會(huì)是重要的存在。

范式和技術(shù)是兩個(gè)層面的詞，先進(jìn)的范式，不代表先進(jìn)的技術(shù)。還是以地心說(shuō)和日心說(shuō)為例，反倒是地心說(shuō)可能需要更高深的技術(shù)功底才能掌握，而日心說(shuō)，初中物理水平就已足夠理解。回望歷史，往往正是舊范式的建模能力有限，為了逼近真相，才被迫發(fā)展出很多“高深”的技術(shù)來(lái)“代償”。

這也是為什么不建議直接投身技術(shù)而是先來(lái)研究一下范式背景：技術(shù)容易成為深深的豎井，貿(mào)然進(jìn)去短時(shí)間可能爬不出來(lái)，反而就容易忽略新技術(shù)所代表的新范式本身的力量。一個(gè)最簡(jiǎn)單的例子，比如C和C++的區(qū)別在哪？

• 表面上，兩者的語(yǔ)法確實(shí)有區(qū)別，但這不是本質(zhì)區(qū)別。

• C++蘊(yùn)含的是一種面向?qū)ο蟮木幊谭妒?#xff08;Object-oriented Programming Paradigm），語(yǔ)法變化只是為了落地新范式的手段之一。見(jiàn)語(yǔ)法而不見(jiàn)OOP，就容易有點(diǎn)知乎所以，不入門道。

• 面向?qū)ο缶幊谭妒?#xff0c;與指令式編程范式、過(guò)程式編程范式相比有什么好處？并非后者無(wú)用，它們至今都仍在各自領(lǐng)域發(fā)揮重要作用；舊范式的問(wèn)題，往往在于不適合構(gòu)建復(fù)雜系統(tǒng)，難以適應(yīng)快速變化的商業(yè)需求。需要用最趁手的工具，解決最迫切的問(wèn)題，僅此而已。

其實(shí)，中國(guó)人理解范式與技術(shù)，應(yīng)該是有些獨(dú)特的優(yōu)勢(shì)的：

• 第一、先哲智慧：君子不器?！靶味险咧^之道，形而下者謂之器”。道是系統(tǒng)，器是工具；道有主動(dòng)性，器為被動(dòng)性。

• 第二、武俠文化：范式和技術(shù)，有點(diǎn)像武俠中的心法和招式，兩者都很重要。

• • 一直在夸范式，也得扶一扶技術(shù)：趙志敬只教楊過(guò)心法，不教招式，楊過(guò)空有心法但沒(méi)法用招式使出來(lái)，就容易被胖道士欺負(fù)。

  • 此外，招式具有外在性，相對(duì)容易模仿習(xí)得，反而是心法，一般是不外法門。這么說(shuō)，本文的價(jià)值更大一些。:-)

4.3 業(yè)務(wù)建模的串聯(lián)

如果閱讀過(guò)一些相關(guān)材料，可能已經(jīng)可以看出一些相關(guān)端倪了，以下摘錄一段CATO的表述：

Solving emerging business challenges with point solutions leads to technical silos that are complex and costly to own and manage. Complexity slows down IT and its response to these business needs. SASE changes this paradigm through a new networking and security platform that is identity-driven, cloud-native, globally distributed, and securely connects all edges (WAN, cloud, mobile, and IoT).

這段文字很精彩，邏輯非常清晰，大意如下：

• 用當(dāng)前點(diǎn)狀的解決方案，去解決當(dāng)下涌現(xiàn)的業(yè)務(wù)挑戰(zhàn)，會(huì)導(dǎo)致一個(gè)個(gè)技術(shù)豎井，它們的獲取和管理，都很復(fù)雜且昂貴。請(qǐng)對(duì)照一下地心說(shuō)，如果拿地心說(shuō)去析構(gòu)太陽(yáng)系，就會(huì)有這個(gè)特點(diǎn)，需要定義什么“本輪”、“均輪”、“恒星天”等概念，這些概念就像是一個(gè)個(gè)技術(shù)豎井——你還是可以去逼近世界，但是會(huì)發(fā)現(xiàn)越來(lái)越散，越來(lái)越累，直到開(kāi)始懷疑人生：“如果我是上帝，會(huì)不會(huì)弄出這么復(fù)雜的宇宙”。

• 復(fù)雜性會(huì)降低IT對(duì)業(yè)務(wù)需求的響應(yīng)速度。請(qǐng)結(jié)合一下SASE的大背景：你理解成VUCA的延續(xù)也行，或者分解成云計(jì)算、移動(dòng)計(jì)算、邊緣計(jì)算、全球化等等也行。更快的需求響應(yīng)速度，正是為了解決一個(gè)一個(gè)更加挑戰(zhàn)的現(xiàn)實(shí)問(wèn)題；所有的2B產(chǎn)品，都是生產(chǎn)工具性質(zhì)的延伸，延伸了真實(shí)世界的邏輯關(guān)系。舊工具面對(duì)新問(wèn)題，已經(jīng)不再趁手了。

• SASE通過(guò)一個(gè)新的身份驅(qū)動(dòng)的，云原生的，全球分布的，安全連接所有邊緣的網(wǎng)絡(luò)和安全平臺(tái)，改變了當(dāng)前的范式。這是在一句話總結(jié)SASE，很精彩：

• • “云原生的”，“全球分布的”，“安全連接所有邊緣的”，“網(wǎng)絡(luò)和安全平臺(tái)”，這些內(nèi)容涵蓋在“產(chǎn)品形態(tài)的范式”中，以及在本系列的前期鋪墊中，這里不再贅述。

  • 以下會(huì)重點(diǎn)析構(gòu)一下“業(yè)務(wù)建模的范式”的四個(gè)基礎(chǔ)。

4.3.1 基于身份驅(qū)動(dòng)

范式還有一些有意思的特點(diǎn)：

• 初階范式最符合人類的直覺(jué)。日心說(shuō)如此，最符合人們仰望天空所得的直覺(jué)；基于邊界的安全模型也是類似：大到國(guó)家沖突，小到同桌別扭，千百年來(lái)人們一直都是這么直接認(rèn)知的，見(jiàn)下表。

• 新范式一旦被發(fā)明之后，人們會(huì)覺(jué)得新范式是多么的自然，自然到“不值一提”。翻譯成不太雅的話，有點(diǎn)像：許久便秘的憋屈，如今一氣呵成，太特么舒服了；通了就好，鬼才想回憶過(guò)往，對(duì)比分析呢。例如，日心說(shuō)發(fā)明之后，一切都是那么暢快那么自然那么不值一提，你很難再理解地心說(shuō)在科學(xué)精英中發(fā)展了1000多年的事實(shí)。所以，以下析構(gòu)新范式的四個(gè)基礎(chǔ)時(shí)，可能也會(huì)讓你覺(jué)得“這特么不是廢話”么；如果有這種效果，作者就很高興，認(rèn)為達(dá)到了初衷。

表4-1：現(xiàn)實(shí)世界與網(wǎng)絡(luò)世界安全模型對(duì)比

現(xiàn)實(shí)世界	網(wǎng)絡(luò)世界
安全區(qū)域	內(nèi)網(wǎng)區(qū)域
非安全區(qū)域	外網(wǎng)區(qū)域
緩沖區(qū)（例如萊茵河、外蒙古）	DMZ, Demilitarized Zone

SASE摒棄了傳統(tǒng)的基于邊界的安全模型，確立了“身份”這一概念的重要性：身份是所有訪問(wèn)決策的中心，邊界退化成了至多是某種需要參考的上下文之一。

圖4-2：基于身份驅(qū)動(dòng)；來(lái)源：Gartner

本章重點(diǎn)要談的就是新范式逼近現(xiàn)實(shí)世界的能力，所以就找一些現(xiàn)實(shí)世界的映襯。這一條，翻譯成大白話，就是：

• “邊界”模糊了，基于邊界防守的安全模型不再可靠了；

• “你是誰(shuí)”才真正重要，邊界退化成了至多是某種動(dòng)態(tài)上下文——因?yàn)槟阍谀?#xff0c;邊界可能就需要?jiǎng)討B(tài)地跟到哪：基于“你是誰(shuí)”，配合著“什么時(shí)間”，“什么場(chǎng)地”、“什么工具”，“什么任務(wù)”，等等動(dòng)態(tài)上下文，才是現(xiàn)代安全的基礎(chǔ)。

以上是什么？活脫脫就是以海灣戰(zhàn)爭(zhēng)為標(biāo)志的現(xiàn)代戰(zhàn)爭(zhēng)理念的變遷啊。海灣戰(zhàn)爭(zhēng)改變了傳統(tǒng)的作戰(zhàn)模式，對(duì)二戰(zhàn)以來(lái)形成的傳統(tǒng)戰(zhàn)爭(zhēng)觀念，產(chǎn)生了強(qiáng)烈的震撼：

• “邊境”？在現(xiàn)代化的打擊手段面前，想捅破時(shí)不是比紙還薄嗎？

• “身份”到哪，依托現(xiàn)代化的快速投送能力（軟件定義網(wǎng)絡(luò)），迅速動(dòng)態(tài)地構(gòu)建針對(duì)作戰(zhàn)對(duì)象的立體防御體系（軟件定義安全），完成一個(gè)VUCA時(shí)代的業(yè)務(wù)目標(biāo)，不是更像“軟件定義邊界”么。

圖4-3：沙漠盾牌與沙漠風(fēng)暴行動(dòng)，名字都起得那么有軟件定義邊界感；來(lái)源：互聯(lián)網(wǎng)

在這里特別提起海灣戰(zhàn)爭(zhēng)，是因?yàn)楹硲?zhàn)爭(zhēng)這種現(xiàn)代化的“戰(zhàn)爭(zhēng)范式”，讓人們驚掉過(guò)一回下巴，包括兔子。尼瑪老美當(dāng)年還通過(guò)調(diào)整衛(wèi)星網(wǎng)絡(luò)（軟件定義網(wǎng)絡(luò)），對(duì)現(xiàn)代戰(zhàn)爭(zhēng)進(jìn)行了人類歷史上的首次電視直播，好好“教育了一回市場(chǎng)”；海灣戰(zhàn)爭(zhēng)后，海灣地區(qū)的軍火市場(chǎng)，直接翻番——基于傳統(tǒng)邊界建立的政權(quán)，在現(xiàn)代戰(zhàn)爭(zhēng)面前，太特么脆弱了。

“兵者，國(guó)之大事，死生之地，不可不察也”，很多革命性的理念和技術(shù)，基本全部源于軍事，在解決成本問(wèn)題之后，民用跟進(jìn)。民用市場(chǎng)，不知道會(huì)不會(huì)出現(xiàn)一次“海灣戰(zhàn)爭(zhēng)式的市場(chǎng)教育”。

海灣戰(zhàn)爭(zhēng)之后的另一個(gè)戰(zhàn)爭(zhēng)理念變遷，是以911為代表的反恐戰(zhàn)爭(zhēng)，進(jìn)一步崩塌了傳統(tǒng)邊界。這方面，普京大帝給出過(guò)一個(gè)精彩回答。

圖4-4：不受邊界束縛的反恐戰(zhàn)爭(zhēng)；來(lái)源：互聯(lián)網(wǎng)

普京大帝事后后悔了，覺(jué)得自己在媒體面前太沖動(dòng)了，不過(guò)這更加說(shuō)明了這個(gè)答案的內(nèi)心真實(shí)性。

本節(jié)最后，重新回到Gartner對(duì)SASE的定義：SASE是一種基于實(shí)體的身份、實(shí)時(shí)上下文、企業(yè)安全/合規(guī)策略，以及在整個(gè)會(huì)話中持續(xù)評(píng)估風(fēng)險(xiǎn)/信任的服務(wù)。實(shí)體的身份可與人員、人員組、設(shè)備、應(yīng)用、服務(wù)、物聯(lián)網(wǎng)系統(tǒng)或邊緣計(jì)算場(chǎng)地相關(guān)聯(lián)。

SASE按需提供所需的服務(wù)和策略執(zhí)行，獨(dú)立于請(qǐng)求服務(wù)的實(shí)體、場(chǎng)所和所訪問(wèn)的服務(wù)。

圖4-5：基于身份和動(dòng)態(tài)上下文的功能棧；來(lái)源：Gartner

一些「基于身份驅(qū)動(dòng)」的段子，活躍一下提到高大上機(jī)構(gòu)之后的肅穆氣氛：

我媽挖了一勺西瓜沒(méi)拿穩(wěn)掉地上了，她撿起來(lái)就要往我嘴里塞，看見(jiàn)我很詫異地盯著她，突然反應(yīng)過(guò)來(lái)笑著說(shuō)：“不好意思，我還以為你還是小時(shí)候呢！” 我突然感覺(jué)胸口有點(diǎn)疼。

身份+時(shí)間上下文：只核實(shí)了身份，沒(méi)有留意時(shí)間上下文。

昨晚在路邊停車等人，有個(gè)腦袋探到窗邊問(wèn)：“走嗎？” 我心想：我TM又不是來(lái)拉客的黑車，于是頭也不抬地說(shuō)：“不走！” 過(guò)了一會(huì)兒，他遞進(jìn)來(lái)一張罰單。

身份+場(chǎng)地上下文：只留意到了位置上下文，沒(méi)有核實(shí)身份。

一位北方的朋友去重慶吃火鍋，問(wèn)：“有麻醬嗎？” 服務(wù)員說(shuō)：“麻將要開(kāi)包間才有?！?/p>

身份+場(chǎng)地上下文+訪問(wèn)信息的敏感程度：只核實(shí)了身份，沒(méi)有留意位置上下文，以及訪問(wèn)信息的敏感程度。

以上段子，并不能直接套在SASE上，只是用來(lái)說(shuō)明：用“基于身份驅(qū)動(dòng)+動(dòng)態(tài)上下文”，比“基于邊界+隱含身份”，是更容易寫(xiě)出清晰易懂的規(guī)則去逼近真實(shí)世界的。

4.3.2 基于動(dòng)態(tài)信任

可能有點(diǎn)殘酷，但是現(xiàn)實(shí)世界里，可能不存在絕對(duì)信任，信任是一個(gè)動(dòng)態(tài)過(guò)程。以下兩位大佬，對(duì)此頗有心得。

圖4-6：動(dòng)態(tài)信任；來(lái)源：混子曰

兩位大佬雖然簽訂了《蘇德互不侵犯條約》，但都在之后瘋狂瓜分夾在其中的國(guó)家作為緩沖區(qū)（基于邊界的安全模型）；結(jié)果已經(jīng)明了了，誰(shuí)信的更多一些誰(shuí)倒霉。

不了解歷史也沒(méi)關(guān)系，回顧一下我們自己認(rèn)識(shí)新朋友的心路歷程，也可以足夠明了：剛認(rèn)識(shí)一個(gè)人時(shí)，信任是比較模糊的；隨著“聽(tīng)其言觀其行”，慢慢會(huì)對(duì)不同的人發(fā)展出不同的信任程度；但是無(wú)論到哪種程度，信任總是有范圍的，不是絕對(duì)的。

不知道孩子的初始狀態(tài)是否有絕對(duì)信任，不過(guò)長(zhǎng)大之后都慢慢被教會(huì)了動(dòng)態(tài)信任，說(shuō)殘酷也行，說(shuō)成熟也行，這就是現(xiàn)實(shí)。動(dòng)態(tài)信任，更能逼近現(xiàn)實(shí)世界。

「基于身份驅(qū)動(dòng)」和「基于動(dòng)態(tài)信任」是什么關(guān)系？覺(jué)得前者是信任的動(dòng)態(tài)載體，后者是信任的動(dòng)態(tài)過(guò)程。

活躍一下氣氛，一些「基于動(dòng)態(tài)信任」相關(guān)的段子：

朋友說(shuō)他的媳婦兒特別懶，我問(wèn)咋了，他說(shuō)他家住三樓，他媳婦兒每次在網(wǎng)上買東西的時(shí)候都在備注上寫(xiě)：“孕婦，行動(dòng)不便，請(qǐng)送貨上門！” 前些天，快遞小哥終于忍不住了，在樓下大喊：“三年了！我忍了你三年了！你懷的是哪吒嗎！！”

這位快遞小哥，具備了人性的初始信任，最后被迫學(xué)會(huì)了動(dòng)態(tài)信任。

長(zhǎng)官問(wèn)花木蘭：“聽(tīng)說(shuō)你在出征前，先到東市買了駿馬，再去西市買了鞍韉，然后去南市買了轡頭，最后，又到北市去買了長(zhǎng)鞭，是不是這樣？”

木蘭說(shuō)：“確實(shí)如此?！?/p>

長(zhǎng)官接著問(wèn)：“你是女人吧?！?/p>

木蘭感覺(jué)十分吃驚：“將軍你是如何得知我是女人？”

長(zhǎng)官緩緩說(shuō)道：“如果是男人，絕對(duì)是不會(huì)跑去逛了四個(gè)市集，而就為了買這些東西的?！?/p>

這位長(zhǎng)官很老道，已然具備了初級(jí)的態(tài)勢(shì)感知能力，至少是全流量分析的能力。

以上兩個(gè)段子，也在側(cè)面說(shuō)明：

• 身份還是靜態(tài)的，相對(duì)容易偽造；行為模式等是動(dòng)態(tài)的，相對(duì)更難隱藏。

• 在身份被突防之后，通過(guò)動(dòng)態(tài)信任機(jī)制建立起的安全模型，更容易逼近現(xiàn)實(shí)世界。

4.3.3 基于分層設(shè)計(jì)

分層，是人們簡(jiǎn)化世界，理解世界的必須。網(wǎng)絡(luò)原本就存在分層，例如廣為人知的OSI七層模型。

圖4-7：OSI模型；來(lái)源：互聯(lián)網(wǎng)

但問(wèn)題是，從架構(gòu)角度而言，這里的網(wǎng)絡(luò)層，存在著較大問(wèn)題。倒不是作者狂妄到敢批判協(xié)議，而是這與歷史有關(guān)：還是那句話，哪怕是頂級(jí)專家，都容易低估未來(lái)，當(dāng)時(shí)互聯(lián)網(wǎng)規(guī)模極小，安全性并非設(shè)計(jì)時(shí)的首要考慮因素。網(wǎng)絡(luò)層，顧名思義負(fù)責(zé)網(wǎng)絡(luò)連接，這意味著它要面臨整個(gè)世界的攻擊面，但自身卻缺乏有效的安全機(jī)制?；蠲撁撘粋€(gè)傻白甜，“傻白甜”只是一種昵稱，另一個(gè)說(shuō)法叫“坑爹”。

一個(gè)典型的例子就是DDoS類中的SYN Flood攻擊：“爹在家中坐，禍從天上來(lái)”。

簡(jiǎn)單介紹一下SYN Flood攻擊：TCP是面向連接的傳輸層協(xié)議，大量的應(yīng)用都基于TCP協(xié)議；因?yàn)槭敲嫦蜻B接的協(xié)議，所以建立一個(gè)TCP連接需要經(jīng)歷一個(gè)三步握手過(guò)程，以下選了一張比較直白的原理圖。

圖4-8：TCP三步握手；來(lái)源：https://github.com/jawil/blog/issues/14

SYN Flood攻擊者，操作一批肉雞向服務(wù)器喊話：“喂，你在嗎，伸出手來(lái)咱握一握唄”，然后玩消失，留著服務(wù)器在那伸手后傻等，直到超時(shí)。這種方式會(huì)消耗服務(wù)器大量的連接資源，進(jìn)而沒(méi)有能力去服務(wù)合法用戶。

圖4-9：SYN Flood攻擊；來(lái)源：AllOT

SYN Flood為什么能成功，是因?yàn)楣粽叩暮霸?#xff0c;在協(xié)議層面是完全合法的，服務(wù)器無(wú)法區(qū)分，只能做應(yīng)答。作為家中端坐的爹（TCP層），心中定是一萬(wàn)頭草泥馬，丫的老子的手是誰(shuí)都可以摸的嗎？你丫龜兒子（IP層）能不能認(rèn)清了再往家里帶！

IP層說(shuō)兒做不到啊！事實(shí)上，IP層確實(shí)做不到，因?yàn)椤罢J(rèn)人”這事，帶了點(diǎn)語(yǔ)義層面的邏輯，IP層就一個(gè)負(fù)責(zé)通道的，哪管得到語(yǔ)義層面的事。那該怎么辦呢？“網(wǎng)絡(luò)革命的一聲炮響，給我們送來(lái)了SDN主義”。SASE在這方面的革新，更進(jìn)一步，采用了零信任的理念，例如CSA（Cloud Security Alliance, 云安全聯(lián)盟）的SDP（Software-Defined Perimeter, 軟件定義邊界）實(shí)現(xiàn)方式：通過(guò)獨(dú)立的認(rèn)證中心，隱藏網(wǎng)絡(luò)基礎(chǔ)設(shè)施；通過(guò)SPA（Single Packet Authorization, 單包授權(quán)認(rèn)證）技術(shù)，隱藏認(rèn)證中心自己。結(jié)果就是在網(wǎng)絡(luò)層，形成了一朵近乎零攻擊面的暗云（Dark Cloud），從根本上解決了網(wǎng)絡(luò)層自身的安全問(wèn)題。

為什么說(shuō)這也是SASE的范式基礎(chǔ)，是因?yàn)殚L(zhǎng)期以來(lái)，我們其實(shí)已經(jīng)躺平接受了：網(wǎng)絡(luò)層搞不定的安全問(wèn)題，就蔓延到其他地方去轉(zhuǎn)移解決。

可能會(huì)有人覺(jué)得，你SASE不也把問(wèn)題轉(zhuǎn)移到其他地方去了嗎？對(duì)，不過(guò)這種轉(zhuǎn)移，在架構(gòu)上有著本質(zhì)區(qū)別：這不是在縱向的層級(jí)之間轉(zhuǎn)移，而是橫向轉(zhuǎn)移給了更加專業(yè)的管控平面或者認(rèn)證平面，邏輯清晰，平面隔離。

繼續(xù)拿現(xiàn)實(shí)世界做類比，你是否會(huì)把任何對(duì)象先領(lǐng)進(jìn)家門，讓家長(zhǎng)先握握手保持聯(lián)系？不會(huì)，家長(zhǎng)有家長(zhǎng)要負(fù)責(zé)的頭疼事，你會(huì)先委托專業(yè)的第三方檢查對(duì)方身份并開(kāi)介紹信，比如具有國(guó)家信用背書(shū)的公安部門，有問(wèn)題的對(duì)象，聰明如你，肯定連家門都不會(huì)讓他找到。

注意，通過(guò)以上分析，希望也可以理解到，包括零信任、包括SASE，其實(shí)也解決不了全部的安全問(wèn)題，理論上只能解決可管控范圍內(nèi)的部分問(wèn)題。

4.3.4 統(tǒng)一開(kāi)放架構(gòu)

統(tǒng)一開(kāi)放架構(gòu)，可能是個(gè)隱藏的范式基礎(chǔ)，但是已經(jīng)比較好推導(dǎo)了：

• 基于身份驅(qū)動(dòng)，意味著認(rèn)證中心需要獨(dú)立于業(yè)務(wù)網(wǎng)絡(luò)，這樣才能獨(dú)立完成初始驗(yàn)證。

• 基于分層設(shè)計(jì)，意味著控制中心需要獨(dú)立于業(yè)務(wù)網(wǎng)絡(luò)，這樣才能在完成初始驗(yàn)證后，控制整個(gè)網(wǎng)絡(luò)基礎(chǔ)設(shè)施的基于最小授權(quán)原則的閉合（先驗(yàn)證再最小授權(quán)再開(kāi)放再連接），以及集中控制網(wǎng)絡(luò)功能和安全功能的動(dòng)態(tài)投放。

• 基于動(dòng)態(tài)信任，意味著評(píng)估中心需要獨(dú)立于業(yè)務(wù)網(wǎng)絡(luò)，評(píng)估中心采集包括認(rèn)證中心、控制中心、網(wǎng)絡(luò)基礎(chǔ)設(shè)施等在內(nèi)的全貌信息，這樣才有可能通過(guò)記錄、分析，態(tài)勢(shì)感知等，保持動(dòng)態(tài)信任。

以上，外加SASE需要較為完備的網(wǎng)絡(luò)棧和安全棧，很難由一家獨(dú)自完成，都意味著需要一個(gè)統(tǒng)一開(kāi)放架構(gòu)，去持續(xù)探索相關(guān)行業(yè)最佳實(shí)踐。這方面，已經(jīng)跟主流SD-WAN產(chǎn)品緊密相關(guān)了，而且更能體現(xiàn)出SD-WAN作為廣域網(wǎng)云化這一生產(chǎn)方式變遷的發(fā)酵作用；此外，統(tǒng)一開(kāi)放架構(gòu)也還會(huì)進(jìn)一步與其他相關(guān)領(lǐng)域綜合演進(jìn)，諸如云原生、NFV等。這些方面，稍后分析MEC時(shí)，會(huì)盡量做些力所能及的說(shuō)明。

本節(jié)最后，回應(yīng)一下一個(gè)潛在問(wèn)題和一個(gè)潛在趨勢(shì)：

• 潛在問(wèn)題：傳統(tǒng)的安全功能還有用嗎？當(dāng)然有用，C語(yǔ)言不是也還至今頑強(qiáng)么；只不過(guò)在很多場(chǎng)合，可能需要適配到包括統(tǒng)一開(kāi)放架構(gòu)在內(nèi)的范式框架中。

• 潛在趨勢(shì)：產(chǎn)業(yè)互聯(lián)網(wǎng)可能會(huì)與SASE有什么樣的關(guān)系？直接以5G為例，原文引用5G架構(gòu)協(xié)議中的一些架構(gòu)原則：

• • "Separate the User Plane (UP) functions from the Control Plane (CP) functions, allowing independent scalability, evolution and flexible deployments e.g. centralized location or distributed (remote) location." 俗稱的CUPS（控制平面與數(shù)據(jù)平面徹底分離），帶來(lái)在獨(dú)立伸縮性、演進(jìn)性以及靈活部署方面的諸多優(yōu)勢(shì)。可以看作是基于分層設(shè)計(jì)以及基于統(tǒng)一開(kāi)放架構(gòu)方面的表現(xiàn)。

  • "Enable each Network Function and its Network Function Services to interact with other NF and its Network Function Services directly or indirectly via a Service Communication Proxy if required." 每個(gè)網(wǎng)絡(luò)功能和網(wǎng)絡(luò)功能服務(wù)與其它網(wǎng)絡(luò)功能和網(wǎng)絡(luò)功能服務(wù)之間的交互，通過(guò)直接方式，或者以服務(wù)通信代理的方式間接完成?？梢钥醋魇腔诮y(tǒng)一開(kāi)放架構(gòu)方面的表現(xiàn)。

  • "Support a unified authentication framework." 支持統(tǒng)一的身份驗(yàn)證框架。可以看作是基于身份驅(qū)動(dòng)，基于分層設(shè)計(jì)，以及基于統(tǒng)一開(kāi)放架構(gòu)方面的表現(xiàn)。

  • 基于動(dòng)態(tài)信任，作者當(dāng)前暫未在協(xié)議層面找到，但可以理解，因?yàn)楫?dāng)前協(xié)議更多是在基礎(chǔ)設(shè)施層面做規(guī)范，而基于動(dòng)態(tài)信任有點(diǎn)偏向于業(yè)務(wù)建模方面。但即便如此，還是傾向于預(yù)測(cè)：在5G的各個(gè)層面，逐步都會(huì)有更多基于動(dòng)態(tài)信任的體現(xiàn)。

SASE系列至此完結(jié)，下一話題會(huì)過(guò)度到5G MEC。如果要從事ICT行業(yè)，離不開(kāi)參考協(xié)議，但協(xié)議可能比字典還厚，所以會(huì)側(cè)重于對(duì)協(xié)議的導(dǎo)讀和分析。聽(tīng)到過(guò)一些對(duì)通信行業(yè)的誤解，覺(jué)得相對(duì)較大的一個(gè)就是“通信行業(yè)是協(xié)議驅(qū)動(dòng)”，那就從澄清這個(gè)誤解開(kāi)始。

后記

預(yù)測(cè)趨勢(shì)要比預(yù)測(cè)時(shí)間點(diǎn)簡(jiǎn)單得多，一些分析判斷：

• 5G、物聯(lián)網(wǎng)、邊緣計(jì)算等技術(shù)革新，不是為了技術(shù)而技術(shù)，而是為了能將數(shù)字化、信息化、智能化，從消費(fèi)互聯(lián)網(wǎng)行業(yè)，延展到更為廣闊的產(chǎn)業(yè)互聯(lián)網(wǎng)領(lǐng)域。

• 為什么產(chǎn)業(yè)互聯(lián)網(wǎng)重要？因?yàn)榈谌慰萍几锩苤纹鸬南M(fèi)互聯(lián)網(wǎng)，已經(jīng)接近尾聲了，存量搏殺越來(lái)越激烈，政府、企業(yè)，都迫切需要新的增量來(lái)安撫“不安的靈魂”。

• 那當(dāng)下產(chǎn)業(yè)互聯(lián)網(wǎng)為什么難做？除了技術(shù)原因之外，需要的主流創(chuàng)新模式不同。越上層的創(chuàng)新，復(fù)制起來(lái)也相對(duì)越快，這也客觀造就了當(dāng)下能直接復(fù)制解決的問(wèn)題，大部分都已經(jīng)解決了。這種情況下，需要ICT（Information and Communication Technology，信息和通信技術(shù)）領(lǐng)域與各個(gè)行業(yè)領(lǐng)域，能有更加廣泛而深入的交流與融合，在原理層面相互理解貫通，才有可能孵化出更有意義的產(chǎn)品。

如果您也認(rèn)同這個(gè)趨勢(shì)，歡迎來(lái)評(píng)論區(qū)聊聊~

何為“邊緣計(jì)算”？編程祖師爺尼古拉斯?威茨：算法+數(shù)據(jù)結(jié)構(gòu)=程序“一學(xué)就會(huì)”的微服務(wù)架構(gòu)模式除了 k8s，留給 k 和 s 中間的數(shù)字不多了！到底是誰(shuí)發(fā)明了物聯(lián)網(wǎng)？再見(jiàn) Nacos，我要玩 Service Mesh?了！點(diǎn)分享點(diǎn)收藏點(diǎn)點(diǎn)贊點(diǎn)在看

總結(jié)

以上是生活随笔為你收集整理的说到 SASE，新的安全范式有哪些的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。