零信任的普適性、云原生統(tǒng)一架構(gòu)的戰(zhàn)略優(yōu)勢、安全保護的深化是SASE行業(yè)落地應用的核心價值體現(xiàn)。在政策監(jiān)管、零信任推廣以及市場對云優(yōu)先/邊緣化需求的共同驅(qū)動下，SASE將從“替代VPN/SD-WAN的便利工具”演進為企業(yè)長期的統(tǒng)一接入與合規(guī)平臺。然而，SASE不是簡單替換單一安全設備，而是對企業(yè)網(wǎng)絡與安全架構(gòu)的融合重構(gòu)。它涉及身份體系、訪問控制、云邊協(xié)同、流量治理、數(shù)據(jù)保護、自動化響應等多個安全域。需要通過分階段戰(zhàn)略規(guī)劃來實現(xiàn)從傳統(tǒng)架構(gòu) → 云原生安全體系的平滑過渡。

安全牛在最新發(fā)布的報告中，從戰(zhàn)略規(guī)劃、不同規(guī)模企業(yè)實現(xiàn)路徑、采購/交付模式方面對企業(yè)部署SASE的可行建議進行了說明。

【掃碼獲取完整報告】

一、企業(yè)級SASE戰(zhàn)略規(guī)劃的五個階段

系統(tǒng)化戰(zhàn)略規(guī)劃，不僅是明確的“項目推進路徑”，更是指引安全體系成熟度演進的核心方向。企業(yè)在規(guī)劃SASE應用時，無論選擇SaaS采購還是私有化部署，都建議將其定位為支撐企業(yè)網(wǎng)絡與安全融合轉(zhuǎn)型的長期戰(zhàn)略組件。在此基礎上，需同步建立配套的治理機制、實施路線與衡量指標，避免技術(shù)選型與業(yè)務戰(zhàn)略需求脫節(jié)。

參照本報告4.4章節(jié)供應商SASE技術(shù)成熟度模型，安全牛建議企業(yè)結(jié)合自身數(shù)字化轉(zhuǎn)型階段與現(xiàn)有網(wǎng)絡復雜度，參考以下5個階段制訂SASE落地規(guī)劃，分別是：初始化階段、網(wǎng)絡現(xiàn)代化、云服務統(tǒng)一、持續(xù)評估和優(yōu)化、內(nèi)生安全與集成。

這種分階段模式既能有效管控實施風險，又能提升資源投入的精準性，助力企業(yè)從初期的“風險最小化”目標，逐步過渡到構(gòu)建復雜場景下的內(nèi)生安全防護體系。

P1：試點驗證階段（風險最小化與傳統(tǒng)替代）

初始化階段是企業(yè)從傳統(tǒng)安全架構(gòu)（如VPN、集中防火墻、MPLS專線）向云原生安全體系轉(zhuǎn)型的起點。其核心目標是快速替代傳統(tǒng)遠程訪問模式、建立身份驅(qū)動的訪問控制基線，實現(xiàn)“從網(wǎng)絡邊界安全 → 用戶身份安全”的根本轉(zhuǎn)變。

關鍵技術(shù)特征：包括，部署ZTNA以替代VPN；啟用云安全Web網(wǎng)關（SWG）實現(xiàn)基礎流量審計；以身份（IdP）為核心構(gòu)建訪問認證鏈；建立零信任訪問策略初步框架。

主要成果表現(xiàn)：風險顯著降低，遠程訪問安全得到保障；建立身份驅(qū)動的安全基線，為后續(xù)云化與統(tǒng)一策略奠定基礎。

P2：云－網(wǎng)融合階段（性能優(yōu)化與基礎連接）

云-網(wǎng)融合階段旨在實現(xiàn)網(wǎng)絡傳輸與安全策略的融合優(yōu)化，通過引入SD-WAN、動態(tài)路由和邊緣節(jié)點技術(shù)，解決傳統(tǒng)MPLS的高成本與低靈活性問題，為SASE全局策略統(tǒng)一奠定連接層基礎。

關鍵技術(shù)特征：包括，實施SD-WAN技術(shù)，實現(xiàn)多鏈路聚合與智能調(diào)度；優(yōu)化分支機構(gòu)與云端訪問性能；將安全策略嵌入網(wǎng)絡控制層，實現(xiàn)“安全即網(wǎng)絡”。

主要成果表現(xiàn)：降低專線成本，實現(xiàn)安全與性能的協(xié)同優(yōu)化；提升跨區(qū)域與跨云訪問體驗，實現(xiàn)隨時隨地安全訪問；為SASE統(tǒng)一控制面奠定連接層基礎。

P3：云服務統(tǒng)一（策略一致性與數(shù)據(jù)保護）

該階段聚焦于策略一致性與數(shù)據(jù)保護一體化，通過整合CASB、DLP、FWaaS等云原生安全服務，建立集中化的云安全控制平面，實現(xiàn)多云與SaaS環(huán)境下的訪問、數(shù)據(jù)與合規(guī)統(tǒng)一治理。

采用技術(shù)特征：包括，部署CASB實現(xiàn)云應用可視化與訪問控制；引入DLP防止敏感信息泄露；建立FWaaS云防護邊界；建立統(tǒng)一策略引擎，消除多平臺策略割裂。

主要成果表現(xiàn)：實現(xiàn)Web與SaaS應用安全策略一致；簡化安全策略運維與審計；顯著提升多云安全合規(guī)性與集中管理能力。

P4：持續(xù)評估與動態(tài)優(yōu)化（風險驅(qū)動的自動化響應）

此階段標志著企業(yè)安全體系進入智能化與自適應階段。通過持續(xù)風險評估、自動化策略響應和威脅情報集成，實現(xiàn)安全防御的動態(tài)優(yōu)化與閉環(huán)控制。

關鍵技術(shù)特征：包括，引入行為分析（UEBA）與上下文感知訪問控制；部署SOAR平臺實現(xiàn)自動化響應與策略編排；建立零信任持續(xù)驗證機制；結(jié)合威脅情報驅(qū)動策略動態(tài)更新。

主要成果表現(xiàn)：實現(xiàn)策略動態(tài)化與安全自動化閉環(huán)；構(gòu)建“自適應安全”能力，使SASE從靜態(tài)防御演進為智能防御；全球安全態(tài)勢實時可視化，風險響應時間縮短50%以上。

P5：內(nèi)生安全與深度融合階段（主動防御與持續(xù)創(chuàng)新）

這是SASE建設的最高成熟階段，代表企業(yè)已實現(xiàn)安全體系的“內(nèi)生化”與“智能化”。安全能力不再是外圍附加模塊，而是與業(yè)務、數(shù)據(jù)和AI系統(tǒng)深度融合、共同演進。安全成為推動業(yè)務創(chuàng)新和風險可持續(xù)管理的內(nèi)生能力。

關鍵技術(shù)特征：基于AI/ML的安全分析平臺，實現(xiàn)威脅預測與自學習防御；構(gòu)建企業(yè)級安全中臺，將訪問控制、數(shù)據(jù)防護、身份治理與合規(guī)監(jiān)測整合；開發(fā)自適應激勵模型，結(jié)合業(yè)務風險和安全評分促進安全運營優(yōu)化；將安全監(jiān)控與DevSecOps流程融合，實現(xiàn)安全“左移”。

主要成果表現(xiàn)：構(gòu)建企業(yè)級安全分析與決策體系；實現(xiàn)安全能力由“外置防護”向“內(nèi)生防御”轉(zhuǎn)變；為業(yè)務創(chuàng)新、風險投資、合規(guī)審計提供持續(xù)安全支撐。

二、不同規(guī)模企業(yè)的SASE實現(xiàn)路徑

大型及全球化企業(yè)：定制化與內(nèi)生安全架構(gòu)路徑

大型及全球化企業(yè)規(guī)模通常在2000人以上。其特點典型地表現(xiàn)為：以集團為中心，分支機構(gòu)跨域分布，以組織為單位動態(tài)組合，供應商、第三方合作伙伴復雜，IT網(wǎng)絡以多云、多供應商、混合工作負載為主，企業(yè)通常擁有強大的內(nèi)部安全運營團隊。

這類企業(yè)要求具備靈活、安全的分支互聯(lián)及遠程接入能力，同時涉及復雜的安全合規(guī)要求及大量數(shù)據(jù)流通管控要求，可控性要求高。SASE遷移路線，建議采用治理優(yōu)先原則，通過“多廠商協(xié)同+統(tǒng)一編排層”的混合架構(gòu)模式，以分域漸進治理方式實現(xiàn)“云邊融合安全”。具體包括：

• 架構(gòu)上，推薦采用“軟件定義”“內(nèi)生安全”等理念，構(gòu)建以中央集團為核心，能靈活擴展，可向分支賦能，統(tǒng)一策略編排的SASE架構(gòu)；分支機構(gòu)，采用分域治理模式，按業(yè)務單元/子公司分域設計，共享中央策略引擎。這類企業(yè)SASE架構(gòu)的焦點不僅是接入，而是高級安全及高度定制化的能力，以滿足特定的行業(yè)合規(guī)需求（例如金融、醫(yī)療）和深度安全分析需求。此外，SASE在這些企業(yè)中的部署，應上升到對并購風險管理和加速整合的戰(zhàn)略高度。能通過提供統(tǒng)一的ZTNA策略和云原生接入服務，快速將新實體安全接入，降低IT整合風險并加速連接速度。

• 部署上，采用自建+MSP混合方式，以逐步替換與雙運行原則漸進式遷移。對核心數(shù)據(jù)中心與高合規(guī)業(yè)務采用 FWaaS 和內(nèi)部控制，對其他場景使用托管PoP。實施過程中，應注意采用逐步替換與雙運行原則，設定明確回退點與SLA，可確保在遷移故障或失敗時，立即退回到預設的穩(wěn)定狀態(tài)，避免問題擴大化。

• 供應商方面，建議利用多供應商協(xié)同實現(xiàn)“最佳組合”。采用多供應商協(xié)同策略是一個現(xiàn)實且高價值的路徑選擇——既能提升整體安全能力上限，又能避免被單一廠商鎖定，但同時也對架構(gòu)設計、集成能力與治理體系提出了更高要求。

中型及復雜型企業(yè)：模塊化、漸進式融合路徑

規(guī)模上，我們將員工規(guī)模在250~2000的企業(yè)稱為中型和復雜型企業(yè)。這類企業(yè)通常處于混合IT環(huán)境，擁有本地數(shù)據(jù)中心和歷史遺留網(wǎng)絡（如MPLS），擁有自建IT與安全團隊，分支/遠程辦公常見。

在SASE遷移過程中往往要求在性能、兼容性和安全性之間尋求平衡，分階段混合部署是中型及復雜型企業(yè)的主要實現(xiàn)路徑，具體包括：

• 技術(shù)路線上，一般是SD-WAN+ZTNA混合部署。首先要引入SD-WAN，替換老舊MPLS，然后按業(yè)務重要度分批將分支/遠端設備遷移到ZTNA。最后，從運維角度，將SASE日志接入現(xiàn)有SIEM運維上，實現(xiàn)統(tǒng)一日志與策略引擎。

• 供應商策略，推薦路徑是采用模塊化或雙供應商策略，進行分階段的融合。首先，應將SD-WAN作為網(wǎng)絡底座，實現(xiàn)網(wǎng)絡現(xiàn)代化。SD-WAN可用于簡化分支連接，并與傳統(tǒng)MPLS進行過渡和對比。隨后再逐步集成云安全服務，如CASB和DLP。

技術(shù)協(xié)同是該方案的關鍵。企業(yè)需要確保網(wǎng)絡功能與安全功能的有效協(xié)同，且用戶體驗不下降。例如，通過SD-WAN的流量優(yōu)化能力，可以為ZTNA的云端代理提供高性能的接入路徑。這種路徑雖然增加了集成成本，但能更好地兼容現(xiàn)有的混合環(huán)境，實現(xiàn)對傳統(tǒng)資產(chǎn)保護的零信任原則延伸。

小型及成長型企業(yè)：快速、集成的云服務路徑

從規(guī)模上，通常將團隊規(guī)模<250人的企業(yè)定義為小型和成長型企業(yè)。其典型特點是預算有限，IT團隊規(guī)模小，對敏捷/托管依賴高。這類企業(yè)對云計算應用（如SaaS、PaaS）的依賴度高，并追求快速實現(xiàn)運營支出（OpEx）轉(zhuǎn)型。

快速、低風險是小型及成長型企業(yè)的核心訴求。具體實現(xiàn)路徑，包括：

• 架構(gòu)上，云端托管+SaaS化SASE技術(shù)路線優(yōu)先，最小化本地設備。焦點應集中在ZTNA和核心云安全功能（FWaaS、SWG），以快速獲得整個組織網(wǎng)絡和應用（互聯(lián)網(wǎng)、私有訪問和SaaS訪問）的全面可視化和一致的安全性。

• 部署策略上，輕資產(chǎn)、云優(yōu)先。將大部分安全控制和DMZ安全性轉(zhuǎn)移到云端，消除局域網(wǎng)（LAN）中的過度信任。

• 供應商選擇方面，推薦選擇單一供應商的全面集成SASE解決方案。單一供應商方案能夠?qū)崿F(xiàn)最高的集成度，最大限度地降低管理的復雜性，企業(yè)無需管理多個孤立的網(wǎng)絡和安全工具。對于資源受限的團隊而言，這是加速實現(xiàn)運營支出模式轉(zhuǎn)型的最有效方式。

三、落地實踐的四項重要建議

SASE轉(zhuǎn)型不僅是網(wǎng)絡與安全架構(gòu)的融合過程，更是企業(yè)數(shù)字化治理、云安全與零信任戰(zhàn)略的系統(tǒng)升級。基于跨行業(yè)實踐經(jīng)驗，安全牛提出以下四項重要建議，旨在幫助企業(yè)在不同階段穩(wěn)健推進SASE落地。

（一）重視安全風險與需求評估 確保愿景與目標對齊

在啟動SASE轉(zhuǎn)型前，企業(yè)必須全面識別傳統(tǒng)安全架構(gòu)的盲點，系統(tǒng)性地梳理當前的安全架構(gòu)、業(yè)務流程、合規(guī)要求及潛在風險，明確SASE建設的目標是否與企業(yè)整體數(shù)字化戰(zhàn)略一致。尤其關注以下新興風險：

• 混合辦公與遠程接入帶來的身份暴露與訪問風險；

• 多云與跨云應用中的策略不一致與數(shù)據(jù)流失隱患；

• AI/GenAI場景中數(shù)據(jù)調(diào)用、模型接口及隱私泄露風險。

（二）零信任和身份中心化優(yōu)先 實現(xiàn)身份驅(qū)動的安全訪問

零信任網(wǎng)絡訪問（ZTNA）是SASE戰(zhàn)略的核心支柱，應率先構(gòu)建基于身份、上下文與風險動態(tài)評估的訪問控制體系。實現(xiàn)以身份為中心的統(tǒng)一訪問控制，打通網(wǎng)絡與安全信任鏈，構(gòu)建零信任安全底座。

（三）統(tǒng)一SASE平臺，實現(xiàn)TCO（總成本）最優(yōu)與運維簡化

SASE 的核心價值之一是“整合網(wǎng)絡與安全能力”，若采用多產(chǎn)品拼湊模式，不僅會增加運維復雜度，還會推高長期 TCO。因此，企業(yè)在技術(shù)選型與平臺建設中，應以“統(tǒng)一性、集成性、可擴展性”為核心原則，避免由多個獨立產(chǎn)品拼湊導致的策略沖突與運維復雜化。

（四）中心向邊緣擴展與數(shù)據(jù)策略強化

SASE的終極目標不僅是網(wǎng)絡訪問安全，更是實現(xiàn)“數(shù)據(jù)為中心”的安全治理。企業(yè)需打破“以數(shù)據(jù)中心為核心”的傳統(tǒng)安全模式，構(gòu)建覆蓋數(shù)據(jù)中心、云端、邊緣AI節(jié)點間的全域數(shù)據(jù)安全體系。

合作電話：18311333376

合作微信：aqniu001

聯(lián)系郵箱：bd@aqniu.com