VMware的SASE策略

VMware大中华区网络与安全产品及解决方案销售总监 叶逾健

从数据中心到云计算，从云计算到5G网络，从5G网络再到边缘计算……企业所面临的的IT环境越来越复杂，业务能力范围越来越广泛，所面对的安全威胁也就越来越多。

SASE即安全访问服务边缘（Secure Access Service Edge），“是2019年Gartner提出的概念，其主要是为了顺应整个企业IT应用大环境和模式的改变。”叶逾健，VMware大中华区网络与安全产品及解决方案销售总监日前接受采访时谈到了三个明显的企业用户IT环境的改变：分布式办公、企业上云和零信任基础架构。“应用场景和模式的改变，使得以往企业终端用户通过一个点对点的服务，到数据中心，然后再从数据中心访问到其他云服务的模式难以为继，更泛化的数据和业务接入模式，是直接促发SASE的根本原因。”去年10月，在VMworld 2020大会上，VMware在业界领先发布了自己的VMware SASE解决方案。然而，要想全面了解VMware SASE对于企业用户的价值，就必须首先知道VMware的整个安全产品框架——而所有的一切，都需要从了解VMware的全产品构成逻辑开始。 

“在任意云上向任意设备交付任意应用”，是VMware整个产品逻辑构成的基本逻辑，在此基础上，VMware实际上为企业用户提供的是一个“从私有云到混合云、公有云，甚至边缘云”的统一操作平台，以及一个能够为用户提供包括构建、部署、管理等的全流程跨云平台应用模式——这也就意味着VMware的产品构成实际上覆盖了企业所有IT基础架构，以及包括网络、云端、客户端、应用等在内的IT应用场景。

涵盖如此广泛的IT框架，安全当然是其中最为核心的部分。最早，VMware在不同的产品线和业务线中部署了相应的安全解决方案：例如在传统优势的vSphere和NSX中内置的安全策略，以及在2017年发布的面向数据中心端点安全解决方案AppDefense、2018年发布的云配置安全性与合规性服务VMware Secure State，以及2019年收购的云原生端点保护平台Carbon Black……

2020年，VMware将所有这些分布在各个节点上的安全解决方案进行了重新的整合，推出了“原生安全解决方案”，强调将安全与IT基础架构进行“强绑定”：在IT基础架构中，通过内建工具，将原本的安全技术和解决方案与基础架构进行紧密融合，“从而让原生安全作为基础架构的一个有机构成部分”。最初，“原生安全解决方案”被分成四个应用场景：端点和工作负载安全、网络安全、工作空间安全和云安全。其中，例如针对“端点和工作负载安全”，对应的是vSphere和Carbon Black；网络安全则是由传统的VMware NSX Data Center解决方案来负责；工作空间安全场景由Workspace ONE和Carbon Black来覆盖；最后云安全部分，是由基于云端的VMware Secure State服务来满足用户安全需求。

SASE的概念提出，实际上是在VMware“原生安全解决方案”范围之外，更加强调将分散的网络和安全服务融合在一起：把广域网和网络安全融合在一起，通过云服务的方式，为本地用户、移动用户以及IoT设备和云资源实施统一的安全策略。因此从某种程度上来说，VMware SASE解决方案的推出，实际上可以理解为：是VMware“在任意云上向任意设备交付任意应用”全栈服务框架下，基于“原生安全解决方案”的技术和产品积累，将安全的边界从虚拟网络延伸到了网络边缘的设备和用户。

“VMware在SD-WAN领域是领先的，我们在终端用户计算方面也领先，所以VMware SASE解决方案就更具有一定的落地的实现性和领先性。”叶逾健在接受笔者提问时强调：“在虚拟化网络里，VMware的策略是建立一个原生安全解决方案，针对的是VMware vSphere平台、容器平台，以及数据中心基础架构；而SASE实际上是基于SD-WAN，也就是将之前VMware基于原生安全解决方案发展出来的整个安全策略，把它延伸应用到SD-WAN。”

叶逾健介绍说，目前VMware的SASE的解决方案主要包括四个部分，包括：SD-WAN和Workspace ONE整合的产品VMware Secure Access；通过与第三方合作的、专注在云访问服务代理、Web安全网关、远程浏览器隔离等云访问安全VMware Cloud Web Security；软件定义广域网（SD-WAN）解决方案SD-WAN Gateway，以及将NSX Data Center的防火墙功能独立出来的VMware NSX Firewall。他强调：“以往在VMware SD-WAN解决方案里，实际上已经带有很多的安全功能，而VMware SASE要做的，就是把这些安全功能进行加强：“因为现在的SD-WAN，不仅仅是实现广域网的加固、加速和优化，在此基础上，VMware还希望通过其实现企业所有的分布式办公解决方案需求。因此，我们希望能够把原有的原生安全策略或者原来单一的解决方案，都集成、整合到SD-WAN的解决方案或者SASE的解决方案里，来加固整个SASE解决方案的安全性能和功能。”

而对于VMware SASE解决方案的市场拓展计划，叶逾健说，VMware SASE解决方案会继续沿用SD-WAN的方式，通过SaaS模式来交付用户。“现在比较现实的应用场景，一个是远程办公，一个是广域网的改造。”叶逾健认为，如果从用户的角度看，其实“SASE就是一个边缘云的视角”在规划未来企业的网络应用模式。而通过在SD-WAN的基础上应用SASE，事实上未来企业用户可以“在这个平台上整合更多的软件功能，得到更多的解决方法：包括智慧城市”。而在此过程中，VMware则正在“把软件虚拟化，从云端推到边缘，并且在此基础上，为企业用户提供更多的、客户需要的不同的互联网。”

写在最后

自从许下“在任意云上向任意设备交付任意应用”的承诺，实际上VMware自身的产品线就一直在不断努力成长：从虚拟化到云原生，再到今天SASE解决方案的边缘应用场景，VMware一直都在试图为用户提供能够涵盖更广泛的技术支持和能力输出。而对于广大企业用户而言，一个具有不断成长能力的服务提供商，总是更具吸引力——至少是更容易获得用户的信任。