零信任和SASE，分别来自于两家世界级咨询公司Forrester与Gartner。

• 首先，Forrester提出零信任，成为近十年来最重要的安全创新理念。
• 然后，Gartner提出SASE（安全访问服务边缘），在零信任的基础上面向未来描绘了一幅美好边缘愿景。SASE的意图明显是想超越零信任。
• 最近，Forrester又提出ZTE（零信任边缘），且强调ZTE=SASE。意思是说，SASE不过就是零信任边缘或者边缘零信任。

1. 零信任

Forrester 在 2010 年正式提出零信任概念，经Google BeyondCorp项目实施落地引发普遍认同和效仿，也是零信任在中国真正的起源。后来 Forrester 将这一概念丰富为零信任扩展生态系统 ZTX，包含网络安全、设备安全、用户安全、应用安全、数据安全、可见性和分析、自动化和编排七大维度。

在近十年的发展中，其解决的核心问题是，在无边界网络环境下，确保所有的业务访问都是由可信的人、可信的终端或可信的系统，使用可信的方式来访问可信的资源和数据。

在实践上，这种业务访问方式无论是会话数还是安全策略数，都要比传统边界安全模型多得多，一个完整、成熟的零信任网络架构涵盖非常多的安全能力，比如集中认证、策略管控、终端可信分析、业务行为分析、持续动态授权、自适应安全治理闭环，几乎没有多少企业能够像 Google 实施 BeyondCorp 项目一样，花上几年时间对现有网络全链路进行大规模改造。目前，国内的落地应用更多是从企业的某一业务、某一场景切入进行建设，以 SDP 或 IAM 等技术路线来逐步实现零信任。

2. SASE

或许是意识到零信任的前瞻重要性，Gartner 在 2017 年发布 CARTA（持续自适应风险与信任评估）模型，并将零信作为初始步骤，随后又提出零信任网络访问 ZTNA（Zero Trust Network Access）。2019 年，Gartner 在报告《网络安全的未来在云端》中首次提出安全访问服务边缘SASE（Secure Access Service Edge）的概念，将广域网功能与综合网络安全功能融合起来，以满足数字化转型企业的动态安全访问接入需求。

Gartner对SASE的定义：SASE是一种基于实体的身份、实时上下文、企业安全/合规策略，以及在整个会话中持续评估风险/信任的服务。实体的身份可与人员、人员组（分支办公室）、设备、应用、服务、物联网系统或边缘计算场地相关联。

在 Gartner 的愿景中，SASE 的核心组件包括软件定义广域网 SD-WAN、安全 Web 网关 SWG、零信任网络访问 ZTNA、云访问安全代理 CASB 以及防火墙即服务 FWaaS 等，提供整个组织网络和应用程序中每个用户访问的完全控制权和可见性。集成的、持续的流量检查、分析以及动态的安全策略执行功能，使 SASE 成为通往零信任架构的理想载体和路径。

SASE带来的价值，主要体现在以下几个方面：

1. 灵活性
   基于云基础架构提供多种安全服务，例如威胁预防、Web过滤、沙箱、DNS安全、数据防泄漏和下一代防火墙策略。
2. 节省成本
   利用单一平台，无需购买和管理多点产品，可以大大降低成本和IT资源。（再也不用堆叠各种厂商的各种设备了）
3. 降低复杂性
   通过将安全堆栈整合到基于云的网络安全服务模型中来简化IT基础架构，可以最大限度地减少IT团队管理以及需要更新和维护的安全产品数量。
4. 提高性能
   借助云基础架构，你可以轻松连接到资源所在的任何位置。可以在全球范围内访问应用程序、互联网和公司数据。
5. 零信任
   基于云的零信任方法消除了用户、设备和应用程序连接时的信任假设。一个SASE解决方案能提供完整的会话保护，无论用户是在公司网络上还是在公司网络外。
6. 威胁防护
   通过将完整的内容检查集成到SASE解决方案中，用户可以从网络的更高安全性和可见性中受益。
7. 数据保护
   在SASE框架内实施数据保护策略有助于防止未授权访问和滥用敏感数据。

3. SASE和ZTE

SASE听起来和零信任是不是特别像？事实上：

• Gartner提出的SASE，包含了ZTNA；
• Forrester最近提出的ZTE（零信任边缘）也与Gartner的SASE结合在了一起。

随着企业网络架构的演进，相应的安全架构随之演进是很自然的事情。零信任和SASE概念正是反应了网络架构和安全架构伴生演变的过程。

网络安全由碎片化向平台化发展

最右侧实际上就是安全大脑，安全大脑有两类完全不同的输入：一是威胁类（攻防派）；二是身份类（管控派）。覆盖了威胁分析和零信任分析的全场景。