VMware的SASE策略

丁海驁

從數據中心到云計算，從云計算到5G網絡，從5G網絡再到邊緣計算……企業所面臨的的IT環境越來越復雜，業務能力范圍越來越廣泛，所面對的安全威脅也就越來越多。

SASE即安全訪問服務邊緣（Secure Access Service Edge），“是2019年Gartner提出的概念，其主要是為了順應整個企業IT應用大環境和模式的改變。”葉逾健，VMware大中華區網絡與安全產品及解決方案銷售總監日前接受采訪時談到了三個明顯的企業用戶IT環境的改變：分布式辦公、企業上云和零信任基礎架構。“應用場景和模式的改變，使得以往企業終端用戶通過一個點對點的服務，到數據中心，然后再從數據中心訪問到其他云服務的模式難以為繼，更泛化的數據和業務接入模式，是直接促發SASE的根本原因。”去年10月，在VMworld 2020大會上，VMware在業界領先發布了自己的VMware SASE解決方案。然而，要想全面了解VMware SASE對于企業用戶的價值，就必須首先知道VMware的整個安全產品框架——而所有的一切，都需要從了解VMware的全產品構成邏輯開始。

“在任意云上向任意設備交付任意應用”，是VMware整個產品邏輯構成的基本邏輯，在此基礎上，VMware實際上為企業用戶提供的是一個“從私有云到混合云、公有云，甚至邊緣云”的統一操作平臺，以及一個能夠為用戶提供包括構建、部署、管理等的全流程跨云平臺應用模式——這也就意味著VMware的產品構成實際上覆蓋了企業所有IT基礎架構，以及包括網絡、云端、客戶端、應用等在內的IT應用場景。

涵蓋如此廣泛的IT框架，安全當然是其中最為核心的部分。最早，VMware在不同的產品線和業務線中部署了相應的安全解決方案：例如在傳統優勢的vSphere和NSX中內置的安全策略，以及在2017年發布的面向數據中心端點安全解決方案AppDefense、2018年發布的云配置安全性與合規性服務VMware Secure State，以及2019年收購的云原生端點保護平臺Carbon Black……

2020年，VMware將所有這些分布在各個節點上的安全解決方案進行了重新的整合，推出了“原生安全解決方案”，強調將安全與IT基礎架構進行“強綁定”：在IT基礎架構中，通過內建工具，將原本的安全技術和解決方案與基礎架構進行緊密融合，“從而讓原生安全作為基礎架構的一個有機構成部分”。最初，“原生安全解決方案”被分成四個應用場景：端點和工作負載安全、網絡安全、工作空間安全和云安全。其中，例如針對“端點和工作負載安全”，對應的是vSphere和Carbon Black；網絡安全則是由傳統的VMware NSX Data Center解決方案來負責；工作空間安全場景由Workspace ONE和Carbon Black來覆蓋；最后云安全部分，是由基于云端的VMware Secure State服務來滿足用戶安全需求。

SASE的概念提出，實際上是在VMware“原生安全解決方案”范圍之外，更加強調將分散的網絡和安全服務融合在一起：把廣域網和網絡安全融合在一起，通過云服務的方式，為本地用戶、移動用戶以及IoT設備和云資源實施統一的安全策略。因此從某種程度上來說，VMware SASE解決方案的推出，實際上可以理解為：是VMware“在任意云上向任意設備交付任意應用”全棧服務框架下，基于“原生安全解決方案”的技術和產品積累，將安全的邊界從虛擬網絡延伸到了網絡邊緣的設備和用戶。

“VMware在SD-WAN領域是領先的，我們在終端用戶計算方面也領先，所以VMware SASE解決方案就更具有一定的落地的實現性和領先性。”葉逾健在接受筆者提問時強調：“在虛擬化網絡里，VMware的策略是建立一個原生安全解決方案，針對的是VMware vSphere平臺、容器平臺，以及數據中心基礎架構；而SASE實際上是基于SDWAN，也就是將之前VMware基于原生安全解決方案發展出來的整個安全策略，把它延伸應用到SD-WAN。”

葉逾健介紹說，目前VMware的SASE的解決方案主要包括四個部分，包括： SD-WAN和Workspace ONE整合的產品VMware Secure Access；通過與第三方合作的、專注在云訪問服務代理、Web安全網關、遠程瀏覽器隔離等云訪問安全VMware Cloud Web Security；軟件定義廣域網（SD-WAN）解決方案SD-WAN Gateway，以及將NSX Data Center的防火墻功能獨立出來的VMware NSX Firewall。他強調：“以往在VMware SD-WAN解決方案里，實際上已經帶有很多的安全功能，而VMware SASE要做的，就是把這些安全功能進行加強：“因為現在的SD-WAN，不僅僅是實現廣域網的加固、加速和優化，在此基礎上，VMware還希望通過其實現企業所有的分布式辦公解決方案需求。因此，我們希望能夠把原有的原生安全策略或者原來單一的解決方案，都集成、整合到SD-WAN的解決方案或者SASE的解決方案里，來加固整個SASE解決方案的安全性能和功能。”

而對于VMware SASE解決方案的市場拓展計劃，葉逾健說，VMware SASE解決方案會繼續沿用SD-WAN的方式，通過SaaS模式來交付用戶。“現在比較現實的應用場景，一個是遠程辦公，一個是廣域網的改造。”葉逾健認為，如果從用戶的角度看，其實“SASE就是一個邊緣云的視角”在規劃未來企業的網絡應用模式。而通過在SD-WAN的基礎上應用SASE，事實上未來企業用戶可以“在這個平臺上整合更多的軟件功能，得到更多的解決方法：包括智慧城市”。而在此過程中，VMware則正在“把軟件虛擬化，從云端推到邊緣，并且在此基礎上，為企業用戶提供更多的、客戶需要的不同的互聯網。”

寫在最后

自從許下“在任意云上向任意設備交付任意應用”的承諾，實際上VMware自身的產品線就一直在不斷努力成長：從虛擬化到云原生，再到今天SASE解決方案的邊緣應用場景，VMware一直都在試圖為用戶提供能夠涵蓋更廣泛的技術支持和能力輸出。而對于廣大企業用戶而言，一個具有不斷成長能力的服務提供商，總是更具吸引力——至少是更容易獲得用戶的信任。