《國際云安全聯盟CSA：SASE神獸方陣報告（2024）（59頁）.pdf》由會員分享，可在線閱讀，更多相關《國際云安全聯盟CSA：SASE神獸方陣報告（2024）（59頁）.pdf（59頁珍藏版）》請在三個皮匠報告上搜索。

1、OK12024 云安全聯盟大中華區版權所有 2024 云安全聯盟大中華區-保留所有權利。你可以在你的電腦上下載、儲存、展示、查看及打印，或者訪問云安全聯盟大中華區官網（https:/www.c-）。須遵守以下：(a)本文只可作個人、信息獲取、非商業用途；(b)本文內容不得篡改；(c)本文不得轉發；(d)該商標、版權或其他聲明不得刪除。在遵循 中華人民共和國著作權法相關條款情況下合理使用本文內容，使用時請注明引用于云安全聯盟大中華區。22024 云安全聯盟大中華區版權所有32024 云安全聯盟大中華區版權所有致謝SASE 神獸方陣報告（2024）由云安全聯盟大中華區組織專家撰寫，感謝以下專家的貢

2、獻：主要貢獻者主要貢獻者何國鋒穆域博司玄趙福辰余思陽郭鵬程姚凱蘇泰泉鐘施儀丁安安李樂天唐雙林潘萬鵬歐建軍羅智杰卜宋博閉俊林關于研究工作組的更多介紹，請在CSA 大中華區官網（https:/c- CSAGCR秘書處給予雅正!聯系郵箱 researchc-；云安全聯盟 CSA 公眾號。42024 云安全聯盟大中華區版權所有目錄目錄1摘要.52SASE 簡介.62.1 SASE 誕生的原因.62.2 SASE 的定義.72.3 SASE 的核心優勢.92.4 SASE 的主要應用場景.103神獸方陣報告簡介.113.1 報告介紹.113.2 神獸方陣模型.124SASE 神獸方陣.134.1 SAS

3、E 神獸方陣入選企業.134.2 SASE 神獸方陣入選企業介紹與點評.155分析與總結.255.1 發現和結論.255.2 SASE 產品分析.305.3 SASE 落地部署建議.325.4 SASE 發展趨勢.336SASE 實踐案例.356.1 深信服云安全訪問服務 SASE.356.2 奇安信安全訪問服務 Q-SASE.396.3 網宿科技SASE 一體化辦公安全產品.436.4 天翼安全云脈 SASE.466.5 億格云億格云樞.497評價方法論.528展望.5752024 云安全聯盟大中華區版權所有1摘要摘要隨著企業辦公移動化、應用分布式部署以及業務流量多向流動，傳統網絡邊界逐漸模

4、糊甚至瓦解。網絡、安全與云服務割裂運作的模式難以應對復雜需求，急需一種融合一體化的解決方案來整合網絡、安全與云，重塑企業網絡架構。安全訪問服務邊緣（SASE，Secure Access Service Edge）作為一種結合了廣域網接入和云端安全的框架理念，通過集成 SD-WAN、零信任等多種網絡與安全功能，在云平臺上實現統一管理和交付。SASE 通過將安全執行點部署至靠近用戶的邊緣節點，有效整合云、網絡與安全體系，簡化架構、提升威脅響應速度、減少安全漏洞，并為企業提供靈活、高效的安全網絡環境。云安全聯盟大中華區綜合考量技術領先性和市場影響力，對參與調研的SASE 廠商中評選出 16 家標桿企

5、業，涵蓋頭部廠商、技術實力突出的廠商以及快速成長的新興企業。報告顯示，SASE 市場具有以下特點：在安全能力方面，零信任已成為標配，部分廠商深入支持防火墻即服務、安全網關即服務和數據安全等核心能力；在網絡能力方面，SD-WAN 作為 SASE 技術核心，支持網絡接入、流量分析和靈活組網，但高級功能如網絡加速和編排的應用仍需加強。用戶需求集中在網絡攻擊防護、資源彈性伸縮和合規性保障三大方面，覆蓋制造業、政府、通信和金融等多個行業。未來，SASE 將通過統一安全管理和運營平臺，構建“云網安”一體化防護體系。隨著市場對智能化、一體化解決方案需求的增加，SASE 在全球范圍內的應用將持續快速增長，為企

6、業數字化轉型提供更加全面的技術支撐。62024 云安全聯盟大中華區版權所有2SASE 簡介簡介2.1SASE 誕生的原因誕生的原因隨著云計算、物聯網、5G 等關鍵技術的不斷突破發展，企業數字化轉型節奏越來越快。企業為提高核心競爭力，其業務部署環境越來越多樣，包括傳統的IDC 機房、私有云、多云、混合云等，同時業務訪問端也由單一的內部用戶擴展到企業分支用戶、企業合作伙伴、遠程移動辦公終端等。在這個過程中，安全緊隨企業的網絡和業務架構演進而發展。數字化轉型興起之前，企業業務流量總量不大、流量以內部流轉為主、移動辦公需求少且默認企業內流量安全，這種情況下集中式安全棧方案得到大規模應用，這種以企業自建

7、數據中心為核心的中心輻射型網絡拓撲備受企業青睞。近幾年，隨著云端 SaaS 應用普及和企業員工分散導致企業互聯網流量增多，中心輻射型網絡架構面對高成本的 MPLS 鏈路、總部集中上網應用訪問體驗差、安全邊界繞行及總部 VPN 容量挑戰等問題，不得不順勢改變網絡及安全建設思路。在此階段 SDN 及 NFV 技術的發展促使企業在云端部署統一網絡指揮中心成為可能，分支和總部互聯可通過更便宜和更大的互聯網寬帶進行以分散專線壓力。同時，對于遠程用戶來說，云端部署的安全接入網關類服務能夠有效解決集中接入的體驗和安全問題，此時云端或者總部集中提供網絡調度和近源安全監測防護理念越來越深入人心。隨著數字化轉型和

8、上云趨勢的演進，越來越多的公有云廠商，甚至有全球業務的 ICT 廠商、互聯網廠商都在建設自己的數據中心，這些數據中心隨著企業業務的不斷擴張，業務范圍越來越廣，服務數量越來越多，連通性越來越好。也許，是受“云”資源共享商業模式的啟發，有聲音提出此類擁有全球互聯數據中心的企業是否可以將這種互聯骨干網作為資源共享出去，企業想要訪問的多云、公共 SaaS、互聯網等連通問題由此骨干網解決，有互聯需求的其他中小型企業均可以把流量引入這張網絡中進行流轉，同時為了降低時延提供統一的網絡就近接入點，在此類接入點上同時部署身份校驗、威脅發現、行為監控等按需增值安全服務，這實際上就是當前比較火熱未來會成為趨勢的安全

9、訪問服務邊緣 SASE72024 云安全聯盟大中華區版權所有模型。Gartner 在 2019 年正式提出了安全訪問服務邊緣（SASE，Secure AccessService Edge）的概念，通過對 SASE 的定義理解，我們可以認為 SASE 是企業網絡和業務架構演進至“云化”“服務化”后的自然而然的安全理念。2.2SASE 的定義的定義SASE（Security Access Sevices Edge），即安全訪問服務邊緣，是 Gartner 于2019 年在網絡安全的未來在云端提出的一種網絡架構，其定義是“一種結合了廣域網功能和全面的網絡安全功能（例如 SWG、CASB、FWaaS

10、和 ZTNA）的新興產品，能滿足數字化企業的動態安全訪問需求?！?，SASE 并不是單獨的獨立系統，而是包含一套技術，從 SD-WAN 和云訪問安全代理（CASB）到安全的web 網關、零信任網絡訪問（ZTNA）、防火墻即服務（FWaaS）和微分段。除了這些核心功能外，一些 SASE 供應商還會提供其他相關技術，包括 Web 應用程序、API 保護、遠程瀏覽器隔離，以及網絡沙箱等。圖 1 SASE 幫助實現網絡和安全運維的融合將網絡和安全領域相融合可提供對每個連接的端到端可視性，讓這兩個領域的管理員齊心協力地優化應用體驗。集成的工具和集中的控制面板能夠提高效率并增進協作。SASE 能夠提供這樣的

11、融合環境以及集中的統一管理，是一種從根本上簡化安全和網絡運維的方式（圖 1）。與此同時，SASE 可以為企業提供全網流量的可見性，包括本地、云和移動82024 云安全聯盟大中華區版權所有端訪問應用和互聯網的流量，甚至也包括分支之間的流量。此外，SASE 可提供一系列豐富的網絡和安全功能，對流量進行安全檢測與路由轉發，實現企業全流量的威脅檢測與控制，并根據應用優先級進行路由，以確保用戶訪問應用的體驗與安全合規均可得到保障。根據以上定義，SASE 有四個主要特征：1)身份驅動不僅僅是 IP 地址，用戶和資源身份決定網絡互連體驗和訪問權限級別。服務質量、路由選擇、應用的風險安全控制所有這些都由與每個

12、網絡連接相關聯的身份所驅動。采用該方法，公司企業為用戶開發一套網絡和安全策略，無需考慮設備或地理位置，從而降低運營開銷。2)云原生架構SASE 架構利用云的幾個主要功能，包括彈性、自適應性、自恢復能力和自維護功能，提供一個可以分攤客戶開銷以提供最大效率的平臺，可很方便地適應新興業務需求，而且隨處可用。3)統一邊緣訪問SASE 為所有公司資源創建了一個網絡，覆蓋數據中心、分公司、云資源和移動用戶，并積極建設“最后一公里”訪問方案，確保不同邊緣的流量以最佳方式流向 SASE 網絡，然后從那里流向互聯網、數據中心和應用程序等。舉個例子，軟件定義廣域網(SD-WAN)設備支持物理邊緣，而移動客戶端和無

13、客戶端瀏覽器訪問連接四處游走的用戶。4)全球分布為確保所有網絡和安全功能隨處可用，并向全部邊緣交付盡可能好的體驗，SASE 云必須全球分布。因此，Gartner 指出，必須擴展自身覆蓋面，向企業邊緣交付低延遲服務。從能力層面來看，SASE 需要包含主要的網絡和安全能力：1)網絡即服務（Network as a Service）SD-WAN服務質量保障 QoS92024 云安全聯盟大中華區版權所有高級路由SaaS 加速內容交付或緩存廣域網優化分布式連接2)安全即服務（Security as a Service）FWaaSZTNA/VPN安全 Web 網關SSL 深度檢測云沙箱IPS 入侵防御系統

14、CASB 云訪問安全代理RBI 遠程瀏覽器隔離2.3SASE 的核心優勢的核心優勢SASE 架構的目標是更容易地實現安全的云環境，它在集成管理、安全保障、性能提升、良好體驗、資源優化訪問方面具有核心優勢：1)網絡和安全集成簡化管理和運營傳統的網絡安全模型依賴于多個獨立的解決方案來保護網絡邊界，SASE 通過集成網絡和安全功能到一個云交付平臺，簡化了管理和運營，減少了資本支出和運營成本，并且 SASE 允許企業從單一控制點管理所有安全策略，簡化了安全政策的制定和執行，減少了配置錯誤和安全漏洞的風險。2)基于零信任模型的安全性SASE 支持基于身份的零信任安全模型，確保只有經過驗證和授權的用戶和設

15、備才能訪問特定的應用程序和服務，此外，SASE 提供了對網絡請求的全面可見性，企業能夠基于此實施細粒度的安全策略，確保數據隱私法規的合規性，并保護敏感數據。102024 云安全聯盟大中華區版權所有3)分布式訪問帶來的性能提升和良好體驗SASE 的訪問機制可以在用戶和云資源之間建立直接、安全的連接，而無需依賴數據中心進行連接。同時，通過 SD-WAN 技術，對網絡流量進行優化，提高網絡性能，其分布式架構為任何時間、任何地點的用戶提供一致的優化體驗。4)云服務交付優化 IT 資源SASE 通過云服務的交付模式，減輕了企業在物理網絡硬件、安全設備和數據中心上的投資和維護壓力。2.4SASE 的主要應

16、用場景的主要應用場景SASE 通過整合 SD-WAN、防火墻即服務（FWaaS）、安全 Web 網關（SWG）等關鍵技術，形成了一個統一的服務平臺，為企業的數字化轉型提供了一種靈活、可擴展的安全架構，以支持企業的快速發展和變化，具有廣泛的應用場景，包括并不限于：混合辦公隨著混合辦公的日益興起，傳統 VPN 無法應對當前網絡安全需求，SASE能夠提供就近接入的網絡服務同時進行嚴格的身份驗證和策略控制，能夠確保辦公人員訪問企業資源時的安全性和穩定性。使得遠程員工無論處于何地都可以安全地訪問企業應用程序和數據。多云環境多云環境為企業帶來了靈活性和可擴展性的同時，也帶來了一系列挑戰，如管理的復雜性、安

17、全控制不一致，以及網絡效率問題等，SASE 因其云原生特性和集成化的安全功能，可以幫助企業統一管理和保護跨多個云平臺的資源，適應不斷變化的云環境。多分支場景對于擁有多個分支機構的企業，SASE 可以通過簡化廣域網部署和強化連接實體的安全合規來提升網絡的敏捷性和安全性。SASE 的分布式架構允許企業在各個分支地點輕松部署服務，同時確保一致的安全策略。企業防護112024 云安全聯盟大中華區版權所有依靠 SASE 對邊緣的安全強化，企業可以按需部署 SASE 邊緣的安全能力服務，包括物聯網的連接和安全訪問，彈性擴容。同時，能夠實現企業內部應用暴露面收斂，員工只有通過 SASE 的 POP 點才能訪

18、問到自身權限允許的應用，實現更安全、更隱私、更穩定的訪問體驗。SASE 統一管控安全能力和企業訪問行為，在管控平臺統一實現配置、管理、維護等。3神獸方陣報告簡介神獸方陣報告簡介3.1報告介紹報告介紹云安全聯盟大中華區在 2022 年SASE 安全訪問服務邊緣白皮書的基礎上，對當前市場進行了全面調研與分析，形成了SASE 神獸方陣報告（2024）。該報告是一份專注于 SASE 領域、面向中國企業發展的專業分析報告，從技術領先性和市場影響力等多個維度，對 SASE 及其相關安全解決方案進行了全面的評估。調研發現，在安全能力方面，大多數 SASE 產品已具備零信任基礎能力、防火墻即服務（FWaaS）

19、、安全網關即服務（SWG）和數據安全支持，成為解決方案的核心組成。然而，僅有少數廠商支持身份大數據分析，這反映出 SASE 在身份認證與安全分析領域仍存在較大的提升空間。在網絡能力建設方面，大多數廠商具備 SD-WAN 的基礎功能，包括網絡接入、流量分析、靈活組網以及網絡冗余等關鍵能力。同時，SASE 廠商分布較為均衡，網絡/云服務廠商和安全廠商各占半壁江山，少數新創企業也在快速崛起。其中，網絡服務商更注重通過 SD-WAN 構建一體化的網絡架構，而安全服務商則專注于整合多樣化的安全能力。調研發現，SASE 的用戶群體覆蓋廣泛，涵蓋制造業、政府與事業單位、通信、金融等多個行業，主要需求集中在網

20、絡攻擊防護、資源彈性伸縮和合規性保障三大方面。隨著數字化轉型的深入，企業對網絡和安全的需求逐漸融合，SASE作為一種全新的解決方案，正逐步走向成熟和普及。122024 云安全聯盟大中華區版權所有3.2神獸方陣模型神獸方陣模型神獸方陣（Mythical Creatures Matrix）模型是云安全聯盟大中華區基于中國傳統文化“神獸”形象創立的分析數字科技企業的數學工具，適用于對數字科技企業在技術、產品成熟度、市場營銷及服務等方面的能力與先進性的分析。神獸方陣模型從技術領先性、市場影響力、專家評審、公開路演四個維度評估，在基于企業數據定量分析的基礎上，結合各重點行業業務專家和安全專家組成的評審團

21、的謹慎評估，確保評估結果的專業性與公平性。神獸方陣以“四象”即青龍、朱雀、白虎、玄武為基礎?！八南蟆庇址Q“天之四靈”，分別是中國古典神話中鎮守東南西北四方的神獸，其中青龍為東方之神，是四靈之首；朱雀為南方之神，有浴火重生的能力；白虎為西方之神，也是戰斗之神；玄武為北方之神，以防守見長。模型的創立旨在為網絡安全領域樹立具有中國特色科技標桿企業的行業分析。神獸方陣示意圖及該模型中各神獸定位與描述如下。圖 2神獸方陣模型圖青龍神獸企業青龍神獸企業-綜合領先型企業綜合領先型企業：在 SASE 領域投入高，且研發能力、產品成熟度、市場營收及知名度等方面整體實力強的頭部企業。朱雀神獸企業朱雀神獸企業-技術

22、深耕型企業技術深耕型企業：SASE 產品具備核心競爭力或者技術132024 云安全聯盟大中華區版權所有壁壘，技術研發實力強，產品成熟度高，并且有良好的市場占有率的企業。白虎神獸企業白虎神獸企業-快速進擊型企業快速進擊型企業：對市場需求能迅速作出反應，SASE產品的實現與迭代速度快、產品創新能力強，并且市場占有率高的企業。玄武神獸企業玄武神獸企業-新興探索型企業新興探索型企業：在 SASE 領域具備成長潛力和市場探索力的企業，在技術研發和市場等方面成長迅速，具備強勁的潛力。繼 2022 年發布中國零信任神獸方陣分析報告和 2023 年發布數據安全平臺神獸方陣報告之后，本報告專注于 SASE 領域

23、。未來，云安全聯盟大中華區還將持續推出覆蓋云安全、AI 安全、移動安全和隱私科技等方向的專業報告，4SASE 神獸方陣神獸方陣4.1SASE 神獸方陣入選企業神獸方陣入選企業CSA 大中華區綜合考慮了企業的行業概況、商業模式、企業競爭力等因素，分別對應各神獸方陣數據模型的入選標準，篩選出一批在 SASE 領域具有一定市場規模，在業界有一定知名度和影響力，或者處于起步階段但技術實力強和快速成長階段的企業，作為 2024 年 SASE 神獸方陣評選的標桿企業。本次共 16 家，其中青龍神獸企業 4 家，朱雀神獸企業 4 家，白虎神獸企業 4 家，玄武神獸企業4 家。142024 云安全聯盟大中華區

24、版權所有圖 3 2024 SASE 神獸方陣青龍神獸企業青龍神獸企業-綜合領先型企業：綜合領先型企業：深信服科技股份有限公司、奇安信科技集團股份有限公司、網宿科技股份有限公司、天翼安全科技有限公司（4 家）朱雀神獸企業朱雀神獸企業-技術深耕型企業：技術深耕型企業：貴州白山云科技股份有限公司、杭州億格云科技有限公司、中國電信股份有限公司上海研究院、北京火山引擎科技有限公司（4 家）白虎神獸企業白虎神獸企業-快速進擊型企業：快速進擊型企業：北京神州綠盟科技有限公司、新華三信息安全技術有限公司、聯通（廣東）產業互聯網有限公司、啟明星辰信息技術集團股份有限公司（4 家）玄武神獸企業玄武神獸企業-新興探

25、索型企業：新興探索型企業：江蘇易安聯網絡技術有限公司、北京安數云信息技術有限公司、數篷科技（深圳）有限公司、銳西科技（北京）有限公司（4 家）152024 云安全聯盟大中華區版權所有4.2SASE 神獸方陣入選企業介紹與點評神獸方陣入選企業介紹與點評4.2.1 深信服科技股份有限公司深信服科技股份有限公司（一）簡介（一）簡介深信服科技股份有限公司是一家專注于企業級安全、云計算及 IT 基礎設施的產品和服務供應商，其產品線涵蓋安全運營、數據安全、終端安全、安全托管服務等領域。2020 年首次發布 SASE 的產品，基于容器和 K8S 編排技術的云原生架構，具備 SASE-ZTNA 零信任網絡訪問

26、、SASE-SWG 互聯網安全訪問、SASE-XDLP 可擴展防泄密、SASE-GA 全球加速的安全能力，覆蓋安全組網、混合辦公、多分支上網安全等多種場景。（二）點評（二）點評深信服基于多年安全領域的技術沉淀及行業實踐，通過將零信任、SASE、SD-WAN 等產品能力整合，完成 SASE 產品的體系化解決方案落地，在 SASE 云原生架構、主動防御能力、策略一致性管理等方面均有較好表現。業務在國內及海外均有良好覆蓋，在滿足用戶安全需求的同時，關注用戶網絡服務體驗。產品及方案已在政府、金融、央企、能源在內的諸多行業全面落地，在技術研發和市場營收方面均表現突出，屬于 SASE 安全領域的領軍者之一

27、。4.2.2 奇安信科技集團股份有限公司奇安信科技集團股份有限公司（一）簡介（一）簡介奇安信科技集團股份有限公司專注于網絡空間安全市場，向政府、企業用戶提供新一代企業級網絡安全產品和服務，在人員規模、收入規模和產品覆蓋度上均位居行業前列。2022 年 3 月 13 日，奇安信圓滿完成了北京冬奧會和冬殘奧會網絡安全保障工作，兌現了北京冬奧會網絡安全“零事故”的承諾。奇安信于2021 年發布 SASE 產品，推出安全訪問服務（Q-SASE），基于統一的安全防護與運營服務架構，以相對輕量化的投入、簡易的部署，實現安全管理與運營的降162024 云安全聯盟大中華區版權所有本增效，助力政企客戶應對數字化

28、轉型的安全新挑戰。（二）點評（二）點評奇安信 SASE 解決方案主要基于一體化安全管理運營服務平臺，集合SD-WAN、云安全資源池（NGFW、IPS、SWG、DLP、WAF、終端安全等）、零信任等多維度能力，升級安全服務化模式，提供端網云協同的全程安全訪問保障。奇安信具備完整的安全產品線，在 SASE 安全能力集成種類方面表現出色。此外，具備強大的生態能力和市場能力，在服務保障、品牌推廣、國內外標準起草方面整體表現較好，總體屬于 SASE 安全領域的領軍者之一。4.2.3 網宿科技股份有限公司網宿科技股份有限公司（一）簡介（一）簡介網宿科技股份有限公司是全球領先的信息基礎設施平臺服務提供商，專

29、注于邊緣計算、云分發、云安全、云計算、云服務及綠色數據中心業務，幫助企業技術創新實踐。網宿 SASE 產品 SecureLink 發布于 2020 年，基于全球網絡和計算平臺，構建 SASE 一體化架構，實踐全面零信任，幫助企業解決辦公安全碎片化問題，為企業打造更安全、更高效、更便捷的辦公訪問體系，適用于遠程辦公安全、數據防泄露、威脅入侵防范、IT 效率增效等場景。（二）點評（二）點評網宿科技基于已有的 CDN 網絡及云服務新增安全服務，通過融合零信任訪問 ZTNA、威脅檢測與響應 XDR、數據安全治理 XDLP、IT 效率管理、安全SD-WAN 和統一態勢管理進行全流量的防護，形成 SASE

30、 一體化的下一代辦公安全訪問體系。網宿通過端、平臺、網深度融合，實現一體化網絡及安全運營，基于其豐富的基礎設施及成熟的網絡管理技術，在能力覆蓋、網絡適配等方面表現優異，總體屬于 SASE 安全領域的領軍者之一。172024 云安全聯盟大中華區版權所有4.2.4 天翼安全科技有限公司天翼安全科技有限公司（一）簡介（一）簡介天翼安全科技有限公司通過整合中國電信云網、安全、數據等優勢資源和能力，為內外部客戶提供云網安全、數據安全、信息安全等各類安全產品和服務。中國電信云脈 SASE 發布于 2023 年，面向辦公場景提供辦公安全一體化解決方案，以標準 SaaS/場景化定制等多元服務模式為全行業用戶辦

31、公場景提供零信任網絡訪問、終端安全防護、上網行為管理、數據外發管控、網絡加速、安全組網、身份識別與訪問管理等多種安全能力，一站式解決企業辦公全場景需求。（二）點評（二）點評天翼安全云脈 SASE 產品采用云原生一體化安全架構，聚焦企業辦公場景，提供零信任、數據防泄露、終端安全等安全防護能力，將安全以統一的服務化形式交付，滿足企業數字時代混合辦公安全管理需求。天翼安全依托運營商自身網絡和安全技術優勢，構建“云網安”一體化能力，在業務覆蓋方面表現優秀。此外，憑借國有企業背景及強大的市場渠道優勢，產品在多個行業全面落地，總體屬于 SASE 安全領域的領軍者之一。4.2.5 貴州白山云科技股份有限公司

32、貴州白山云科技股份有限公司（一）簡介（一）簡介白山云是國內領先的邊緣云服務提供商，建立了遍布全球的邊緣網絡，超過1700 個邊緣節點，儲備帶寬 80T+，海外防御能力 4.5T+，遍布海內外城市 300+，每日處理全球請求數 6000 億+，已覆蓋互聯網、政府、電商、游戲、能源交通、金融、制造、醫療、地產等眾多行業，在更靠近用戶的互聯網邊緣端為 1000+家企業及其終端用戶提供高速、安全及經濟的數字體驗。（二）點評（二）點評白山云科技在 SASE 領域的表現令人矚目，其以強大的技術創新能力和全球182024 云安全聯盟大中華區版權所有服務網絡為基礎，提供了全面的 SASE 解決方案。公司不僅在

33、邊緣云服務領域積累了豐富的經驗，而且在 SASE 產品的研發上展現了前瞻性。白山云的 SASE 產品通過整合零信任網絡訪問、數據防泄露、威脅檢測與響應等關鍵安全技術，為企業提供了一個安全、高效、便捷的辦公訪問體系。白山云在產品研發和市場占有率的綜合表現，使其成為 SASE 領域的佼佼者之一。4.2.6 杭州億格云科技有限公司杭州億格云科技有限公司（一）簡介（一）簡介杭州億格云科技有限公司是 SASE 安全服務商，通過自主研發的 SASE 服務平臺億格云樞，產品提供包括零信任網絡訪問（ZTNA）、數據防泄漏（XDLP）、威脅檢測響應（XDR）、防病毒（EPP）、上網行為管理（SWG）和統一端點管

34、理（UEM）等功能，幫助企業以更低成本、更高效率建設更加安全、更好體驗的下一代辦公場景的安全體系，從而解決企業數字化轉型過程中遇到的混合和分支辦公安全、數據安全、終端安全等問題。（二）點評（二）點評億格云的 SASE 產品設計理念以人為中心，構建了一個零信任安全體系，這與傳統基于邊界的安全防護體系形成了鮮明對比。其安全數據的天然融合和無限云算力的深度挖掘，使得億格云樞在安全融合、威脅處置閉環以及安全數據溯源方面展現出顯著優勢。在數字化轉型的浪潮中，億格云為企業提供了一個安全、高效、低成本的下一代辦公場景安全解決方案，有效解決了混合和分支辦公安全、數據安全、終端安全等挑戰，是 SASE 領域的優

35、秀企業。4.2.7 中國電信股份有限公司上海研究院中國電信股份有限公司上海研究院（一）簡介（一）簡介中國電信股份有限公司研究院自成立以來致力于 5G 通信、網絡安全、云網內生安全、Web 應用安全、網絡攻防、量子密碼等方向的研究，研發了 SASE、192024 云安全聯盟大中華區版權所有深度威脅檢測等在內的多個網絡安全自研產品?？蒲谐晒烷_發項目多次獲得部級和上海市優秀科研成果獎，一大批擁有自主知識產權的科研成果在集團內得到廣泛應用，并獲得了良好的經濟效益和社會效益。當前，上海研究院正以 SASE架構為核心，結合軟件定義廣域網和零信任網絡接入服務，致力打造云網安融合的架構體系。（二）點評（二）

36、點評電信上研院依托于強大的研發背景和專業團隊，不僅在 5G 通信和云網安全領域取得了突破，更在 SASE 架構的實踐中取得了顯著成就。其自主研發的 SASE產品，融合了軟件定義廣域網和零信任網絡接入服務，為構建云網安融合的架構體系提供了有力支撐。電信上研院的 SASE 解決方案，以其深厚的技術積累和創新能力，在行業內樹立了新的標桿，為推動網絡安全技術的發展和應用做出了積極貢獻。4.2.8 北京火山引擎科技有限公司北京火山引擎科技有限公司（一）簡介（一）簡介北京火山引擎科技有限公司成功的 SASE 解決方案，旨在為企業提供更加安全、高效、智能的網絡訪問服務。通過一個集中化平臺融合 IAM、ZTN

37、A、CASB、SD-WAN 多項安全能力與全球化辦公組網資源，在持續評估身份、網絡、終端可信狀態的基礎上，通過智能動態引擎跨模塊打通數據與控制點，真正實現落地。（二）點評（二）點評火山引擎的 SASE 產品以其“All in One”的創新架構，實現了 IAM、ZTNA、CASB、SD-WAN 等多種安全能力的融合，展現了其在產品創新方面的領先地位。通過一個集中化平臺，火山引擎不僅提升了數據的整合效率，還實現了管理的統一性，這在簡化企業 IT 管理流程和提升辦公效率方面具有顯著優勢。其 AI 大模型的應用，通過動態引擎的智能分析和推理能力，進一步增強了風險識別和處置的自動化水平?；鹕揭娴?S

38、ASE 產品在技術創新和市場應用方面均展現出強大202024 云安全聯盟大中華區版權所有的競爭力，是 SASE 領域的重要參與者。4.2.9 北京神州綠盟科技有限公司北京神州綠盟科技有限公司（一）簡介（一）簡介綠盟科技自 2021 年發布 SASE 產品以來，積極布局該領域市場，為全球客戶提供集成零信任、SD-WAN、安全網關（SWG）、防火墻即服務（FWaaS）等多重安全與網絡融合能力的服務。綠盟科技的 SASE 產品專注于實時身份認證、動態權限調整和身份大數據分析，提供全方位的零信任安全控制，滿足企業復雜環境下的多場景需求。其產品已在國內外設立了共計 53 個節點，確保國內外用戶的網絡訪問

39、速度和安全性，并且獲得了不少獎項來證明其產品的實力。綠盟科技的 SASE 解決方案廣泛應用于金融、能源、制造、醫療等多個行業，并通過靈活組網和跨國網絡加速功能，助力企業實現安全合規的同時，提升業務效率。（二）點評（二）點評綠盟科技在 SASE 領域具有顯著的技術優勢，其產品集成零信任、SD-WAN、SWG、FWaaS、CWPP、SOC 等多重安全功能，支持實時身份認證和動態權限調整，滿足企業在多地域、多行業場景中的安全需求。憑借廣泛的國內外節點布局，以及對各種應用場景增強配置，如云計算、工業互聯網、物聯網等，綠盟科技的SASE 服務具備較強的可達性和可靠性，為客戶提供靈活、安全的網絡連接解決方

40、案，也被市場及客戶所接受和認可。4.2.10 新華三信息安全技術有限公司新華三信息安全技術有限公司（一）簡介（一）簡介H3C 是新華三集團旗下的數字化解決方案提供商，以“云-網-安-算-存-端”一體化戰略為基礎，深入布局網絡和安全業務。其 SASE 產品于 2022 年發布，包含零信任、SWG（安全網關）、FWaaS（防火墻即服務）等功能，支持全球 300多個節點的廣泛布局，為企業提供端到端的安全訪問與管理服務。該產品通過支212024 云安全聯盟大中華區版權所有持靈活組網、流量分析和跨國加速等功能，為政府、教育、金融等多個行業提供了定制化安全解決方案，滿足復雜的數字化應用需求。（二）點評（二

41、）點評H3C 的 SASE 產品憑借廣泛的全球節點覆蓋和強大的集成能力，具備顯著的行業競爭力。產品功能涵蓋零信任安全、SD-WAN、SWG 等多種能力，提供一站式的網絡安全服務，并通過 AI 和機器學習技術提升平臺智能性。H3C 已獲得行業協會獎項及第三方機構的專業推薦，顯示出其技術方案在 SASE 市場中的認可度和領先地位，為企業數字化轉型提供了穩固的安全支持。4.2.11 聯通（廣東）產業互聯網有限公司聯通（廣東）產業互聯網有限公司（一）簡介（一）簡介廣東聯通產互成立于 2017 年，是中國聯通集團旗下的產業互聯網公司，專注于為各行業提供安全可靠的數字化解決方案。自 2022 年推出 SA

42、SE 產品以來，公司將零信任、FWaaS（防火墻即服務）、WAF（Web 應用防火墻）和安全沙箱等安全能力集成到統一平臺中，幫助客戶構建基于“云+數+安+AI”的安全體系。該 SASE 產品支持網絡冗余、流量分析和統一管理功能，致力于提升政府、教育、金融、醫療等行業客戶的網絡安全防護能力，為超大城市安全運營提供了標桿示范。（二）點評（二）點評廣東聯通產互憑借其運營商背景和廣泛的行業實踐經驗，在 SASE 產品中融入了零信任和多維度的安全檢測技術，特別適用于需要高安全性和靈活部署的行業。其 SASE 產品通過集成多項安全防護功能與強大的管理能力，幫助客戶輕松應對復雜的網絡安全挑戰。其 SASE

43、產品擁有多種專利，獲得了不同獎項，最終取得了不同行業客戶及市場的認可。222024 云安全聯盟大中華區版權所有4.2.12 啟明星辰信息技術集團股份有限公司啟明星辰信息技術集團股份有限公司（一）簡介（一）簡介啟明星辰是國內資深的網絡安全企業，近年來響應數字化需求拓展至 SASE領域。其 SASE 產品于 2023 年推出，注重多層次的安全融合，涵蓋零信任訪問控制、SD-WAN、FWaaS（防火墻即服務）和 CWPP（容器工作負載保護）等多種功能，幫助企業實現安全與網絡服務的有機結合。產品支持實時身份認證、終端環境感知、動態權限管理等核心功能，廣泛適用于制造業、商貿、電子等行業場景，致力于提升企

44、業網絡訪問的安全性和靈活性。（二）點評（二）點評啟明星辰在 SASE 解決方案上表現出深厚的技術積累，尤其是在實現多層次安全防護和融合架構方面具備優勢。其 SASE 產品不僅滿足企業在網絡訪問控制中的安全需求，還通過簡化的部署和一體化的管理，為企業提供高效的訪問體驗。啟明星辰在各行業的廣泛應用表明其方案兼具適用性與高性價比，能夠有效支持企業的數字化轉型。4.2.13 江蘇易安聯網絡技術有限公司江蘇易安聯網絡技術有限公司（一）簡介（一）簡介江蘇易安聯網絡技術有限公司是中國最早一批從事零信任體系研究和相關技術研發的企業，目前推出多款基于零信任架構之下的網絡安全產品，以及ZTNA 零信任解決方案和

45、EnSASE 安全訪問服務邊緣解決方案，提供包括實戰攻防、應急演練等安全服務。易安聯在零信任領域積累了豐富的項目實施、運維經驗，深入理解零信任安全領域的技術和市場動態。在數字政府、教育、運營商、能源等行業有豐富的大型零信任項目實施交付經驗。（二）點評（二）點評易安聯的 SASE 產品在技術上基于零信任理念，構建強大的安全防護體系。232024 云安全聯盟大中華區版權所有在網絡連接能力上表現出色，可滿足企業多樣化的組網需求，智能選路和負載均衡等功能保障網絡的高效性。安全方面，涵蓋多種安全技術，如防火墻即服務、云訪問安全代理等，能有效應對各種網絡威脅。產品還具有良好的兼容性，可與多種云環境和企業現

46、有系統適配，相關產品已經在數字政府、教育、運營商、能源等行業有豐富的大型零信任項目實施交付。4.2.14 北京安數云信息技術有限公司北京安數云信息技術有限公司（一）簡介（一）簡介北京安數云信息技術有限公司應用云計算核心技術，深度融入 SDN 功能，在自主研發的“云安全資源池”基礎上，加載“安全生態圈”、安全能力的自動化編排調度響應（SOAR）、云安全互聯網應用（SASE）等功能模塊，形成自主研發的智能安全調度管理平臺、智能安全運營管理平臺，業界首家達到運營商級別，首家支持云安全自適應技術，在中國移動、中國電信、中國聯通、廣電、政務云等行業積累了超過 1000 家的客戶。（二）點評（二）點評安數

47、云 SASE 產品致力于為企業提供一站式安全訪問服務邊緣解決方案，其云管端架構將網絡與安全功能整合到統一云服務中，提供高效的一體化防護。其自主研發的智能安全調度運營管理平臺（DCS-SASE）是業界首家達到運營商級別支持云安全自適應技術的廠商，能夠完全滿足運營商、政府、金融、能源、軍工、醫療、教育等各行業用戶的需求。這種定制化的解決方案有助于各行業用戶更好地應對云安全挑戰，提升業務安全性。4.2.15 數篷科技（深圳）有限公司數篷科技（深圳）有限公司（一）簡介（一）簡介數篷科技是專注企業數據安全的技術創新公司，致力于數據安全平臺（DSP）的研發，通過提供符合零信任架構標準的數據安全解決方案，幫

48、助企業建立更加242024 云安全聯盟大中華區版權所有靈活柔性的網絡安全架構，保障從端到云的數據流動安全，徹底解決企業在開放環境中使用數據的后顧之憂，實現全球無邊界的數據安全和業務連續性。依托先進的安全理念、強大的技術實力、創新的解決方案，數篷科技的產品贏得了業界的廣泛認可。（二）點評（二）點評數蓬科技出色整合多種安全與網絡技術，SASE 產品覆蓋軟件定義廣域網（SD-WAN）、零信任網絡訪問（ZTNA）、防火墻即服務（FWaaS）等，提供網絡接入、靈活組網、流量分析、統一管理、實時身份認證、終端環境感知、身份大數據分析、統一身份管理等能力。其產品已經在多個場景中得到了廣泛應用，如商業智能（B

49、I）、研發環境、IT 外包、跨組織協作、遠程辦公等，能夠為企業提供高效、安全的數據安全保障，值得業界關注。4.2.16 銳西科技（北京）有限公司銳西科技（北京）有限公司（一）簡介（一）簡介銳西科技是一家數字安全創新技術服務提供商，總部位于北京，在長沙和沈陽設有產品研發和運營中心，有著覆蓋全國的營銷渠道網絡。銳西科技擁有零信盾、銳西智聯兩大自主業務品牌，自主研發了 SDP 零信任訪問控制系統、Web應用保護系統、零信盾 5G 智能接入終端產品、銳智一體化業務安全智能終端等產品；業務覆蓋云安全、物聯網安全、身份安全、業務安全、數據保護多個領域。（二）點評（二）點評銳西科技聚焦零信任業務安全，其 S

50、ASE 產品具備網絡接入、靈活組網、流量分析、統一身份管理等能力。銳西科技擁有零信盾、銳西智聯兩大自主業務品牌，并自主研發了多款產品，如 SDP 零信任訪問控制系統、Web 應用保護系統、零信盾 5G 智能接入終端產品以及銳智一體化業務安全智能終端等。作為一家相對年輕的企業，銳西科技 SASE 產品在網絡安全領域具有較大的發展潛力。252024 云安全聯盟大中華區版權所有5分析與總結分析與總結SASE 有三個明顯的標簽：安全、網絡、云。本次調研揭示了 SASE 廠商的兩種主要業務集成方式：47.06%的廠商本身是網絡或云服務提供商，通過集成安全服務來組成 SASE 解決方案；而 41.18%的

51、廠商在安全領域有成熟積累，通過新增組網與接入服務來實現 SASE。圖 4 公司 SASE 業務路線5.1發現和結論發現和結論5.1.1 安全能力建設情況安全能力建設情況根據調研結果，SASE 廠商普遍具備零信任基礎能力，凸顯了以身份為核心的管理在 SASE 技術中的重要性。然而，身份大數據分析支持的廠商比例較低，這表明在利用大數據技術進行身份認證和安全分析方面，SASE 市場仍有較大的發展空間和潛在需求。262024 云安全聯盟大中華區版權所有圖 5 參選廠商零信任能力支持情況在安全能力方面，SASE 廠商對防火墻即服務（FWaaS）、安全網關即服務（SWG）以及數據安全的支持較為深入，這些能

52、力是構建 SASE 解決方案的關鍵組成部分。FWaaS 和 SWG 提供了網絡層面的安全防護，而數據安全則關注數據在傳輸和存儲過程中的保護。國內市場中，SASE 產品的部署與云環境的關聯性相對較低，這可能是由于國內企業對云服務的采用速度和模式與國際市場有所不同。因此，支持云訪問安全代理（CASB）的廠商數量較少。圖 6 參選廠商安全能力支持情況272024 云安全聯盟大中華區版權所有綜上，可以看出安全訪問服務邊緣產品當前安全能力建設情況大致有以下幾個特點：零信任支持更加廣泛：隨著遠程工作的普及和網絡環境的復雜化，SASE 產品正越來越多地集成零信任服務，以確保所有訪問點的安全性。云安全服務需求

53、較弱：當前 SASE 市場對云安全的需求和適配尚未達到預期水平，這可能與企業對云安全的認知和預算分配有關。集成化的 SASE 服務：為了簡化網絡和安全管理，更多廠商開始提供集成化的 SASE 解決方案，將 SD-WAN 和網絡安全服務合并，以提高效率和響應速度。5.1.2 網絡能力建設情況網絡能力建設情況圖 7 參選廠商網絡能力支持情況關于參選廠商 SD-WAN 部署情況，接受調查廠商基本具備 SD-WAN 基礎能力，包括網絡接入、流量分析、靈活組網并支持網絡冗余，表明在 SASE 解決方案中，提供網絡接入能力是相對成熟的解決方案。其中半數廠商支持網絡加速、網絡編排、控制等能力，證明市場對 S

54、D-WAN 的高級功能需求可能還不夠普遍，因此部分廠商根據目標市場和客戶群體的不同，選擇性地開發和提供特定的282024 云安全聯盟大中華區版權所有SD-WAN 功能。完全支持 SD-WAN 能力的廠商，也基本在海外部署大量節點和實體研發中心，以提供完整的海外接入支持和技術服務。5.1.3 產品核心技術分析產品核心技術分析本次參選的廠商中，網絡/云服務廠商和安全廠商各占半壁江山，還有少數SASE 的新創企業。不同服務商的能力支持各有差異，網絡服務商強調通過SD-WAN 組網構建一體化的網絡架構，安全服務商更側重于將安全能力進行整合，更方便地為用戶提供服務。這表明當前的 SASE 產品多數基于供

55、應商之前產品的積累，再進一步通過整合其他產品以達到 SASE 的“網絡和安全融合一體化解決方案”的要求，因此能力側重各有不同。圖 8 產品核心技術本次接受調查的SASE廠商中，78.5%廠商認為SASE是以零信任為基礎的，基于零信任身份安全的安全與網絡融合架構，通過強化了身份安全機制來適應復雜的網絡威脅環境；51.26%廠商將 SD-WAN 組網作為核心技術，對產品進行了安全升級，利用 SD-WAN 的智能選路、流量負載均衡、機密與隧道技術等技術，為 SASE 的網絡部分發展提供強有力支持；82.70%廠商采用軟件定義安全（SDS）292024 云安全聯盟大中華區版權所有為核心的融合路線，SD

56、S 將安全功能從傳統的硬件設備中解耦出來，通過軟件定義的方式實現安全策略的動態配置和管理，結合軟件定義網絡（SDN）實現網絡流量的靈活調度和管理；71.8%廠商結合了云原生安全機制，根據業務需求彈性伸縮，自動化運維等功能提高資源利用率，加速創新與迭代。5.1.4 用戶畫像用戶畫像根據本次報告所有參選廠商的數據顯示，目前使用 SASE 產品的用戶覆蓋廣泛，涵蓋了制造業、政府及事業單位、通信、金融、教育、醫療、互聯網、食品交通、能源、服務、建筑、零售等行業。其中，由于制造業存在設備種類繁多、安全防護弱、實時性要求高等特點，需要通過 SASE 進行關鍵業務保障。同時，政府和事業單位由于數字政務的發展

57、以及網絡和數據安全的需求，也開始引入SASE。從產業鏈角度來看，SASE 行業的上游主要由提供安全產品、安全服務和集成解決方案的網絡安全廠商構成；中游則包括網絡服務和安全服務的提供商；下游為各行業的用戶，包括政府、金融、電信、能源、教育等多個領域，用戶范圍廣泛，主要集中在 B 端市場。本次調查中客戶案例的分布比例如下：圖 9 客戶行業分布以上用戶在采用相關 SASE 產品或服務后，基于自身的實際情況和需求也對產品和服務本身提出了自身的理解與建議。302024 云安全聯盟大中華區版權所有由于大多數用戶自身業務與辦公體量較大，要求 SASE 產品需要支持用戶不同形態的操作系統、手機、便攜式設備、P

58、C 等多樣化的設備。且在用戶環境下進行本地化適配的過程中，與現有設施進行集成實際上是一個異常復雜的過程，需要基于用戶本身的網絡安全架構進行深入改造，因此對標品會提出相當的定制化需求。部分用戶涉及全球化業務，存在對客戶端的海外下載需求。此外，用戶關注的功能點還包含賬號管理的透明度和追溯性，以及結合身份、終端、網絡等策略進行全面安全策略匹配管理，實現網絡安全多層防護覆蓋等。5.2SASE 產品分析產品分析5.2.1 市場方面市場方面從市場規?？?，SASE 市場呈現了快速上升的發展趨勢。Gartner、G2、Netskope CFO 的預測是整個 SASE 市場在未來 23 年達到 150 億美元，

59、30%左右的復合增速。DellOro Group 的數據顯示，2024 年第一季度 SASE 市場實現了23%的收入增長，這是連續第 17 個季度實現超過 20%的增長，顯示出 SASE 解決方案的持續強勁需求。國內市場看，Gartner 預測，到 2024 年，大中華地區 SASE 市場規模為 7.69億美元，至少有 40%的大公司將采用 SASE 的模型。從安全廠商布局來看，Palo Alto Network 在 23 年 12 月份用 10.25 億美元先后收購數據安全態勢管理初創公司 Dig Security 和企業安全瀏覽器公司 TalonCyber Security，增強 SASE

60、 能力。Cato Networks 憑借 CDN 的技術優勢，通過全球分布式云服務，為所有邊緣提供企業網絡和安全能力，成為全球第一家 SASE平臺廠商。Zscaler 在過去幾年中的成功取決于其作為 SASE 市場先行者的成功，其核心 SASE 業務（ZIA 和 ZPA）持續增長，Q2 業績同比增長 32%。相比國外，國內 SASE 市場正處在快速發展期。安全廠商、網絡廠商以及云服務廠商都加入 SASE 的競爭中。順應自動化、智能化趨勢，SASE 提供商正在使用 AI 等相關技術，為用戶提供體系化、智能化、一體化的 SASE 解決方案，312024 云安全聯盟大中華區版權所有幫助用戶實現“云網

61、安”一體化架構。同時，根據中國云服務當前市場需求和私有化、混合部署的針對性需求，進行中國市場更多元的針對性 SASE 建設。5.2.2 技術方面技術方面SASE 不是單一技術，而是一套相互協同的解決方案，涵蓋了網絡接入能力、網絡安全能力和安全統一管理能力。1)網絡接入能力SD-WAN 作為 SASE 的網絡技術底座，融合軟件定義網絡（SDN）、網絡功能虛擬化（NFV）、網絡編排與探測等多種技術，能夠以平臺或托管方式提供基礎網絡連接、廣域網加速、安全防御等多種 SASE 服務。ZTNA（零信任）“以身份為基石、業務安全訪問、持續信任評估、動態訪問控制”四大關鍵能力，覆蓋身份、設備、網絡、應用、數

62、據等維度，通過動態訪問控制機制，持續優化訪問策略，有效緩解各類訪問風險，賦能 SASE 形成統一安全訪問管控機制，切實保障了無邊界、自適應、彈性訪問、可持續安全評估的應用體驗。2)網絡安全能力SASE 通過安全資源池按需集成了 FWaaS、SWG、WAF、ZTNA、網絡審計、日志審計、云態勢探針等多種安全組件，對訪問流量進行安全防護和安全威脅檢測分析。FWaaS（防火墻即服務）為 SASE 提供防火墻安全防護服務，支持應用識別、威脅情報、入侵防御、病毒防護等功能，使企業輕松地管理網絡安全，設置統一策略，及時發現異常并快速進行響應。SWG（安全 Web 網關）通過過濾掉無用的 Web 流量內容和

63、阻止存在風險或未經授權的用戶在線行為，防范網絡威脅和保護數據。支持網頁過濾、用戶認證、應用控制、內容審計、帶寬管理、行為監控分析、防私接、數據防泄露等功能。WAF（Web 應用防火墻）提供虛擬化 web 應用安全防 SWG 護能力，支持Web 攻擊行為攔截、敏感信息保護、暴力破解、Web 業務控制、威脅情報檢測、資產探測、基于 URL 地址的外聯檢測等功能。322024 云安全聯盟大中華區版權所有CASB（云訪問安全代理）為多云管理提供了一個中心，用于跨多個云服務并發地執行策略和治理，以及對來自企業內外的用戶活動和敏感數據（包括云到云訪問）的精確可見性和控制。支持認證、單點登錄、授權、憑據映射

64、、設備建模、數據安全（內容檢測、加密、混淆）、日志管理、告警，甚至惡意代碼檢測和防護。3)安全統一管理能力SASE 通過一個安全管理平臺實現安全與網絡的統一配置與管理，收集和分析大量網絡流量數據和安全日志，利用大數據分析技術挖掘潛在的網絡訪問安全風險和異常行為模式，基于威脅檢測分析結果，為企業提供智能的安全策略決策建議，實現監測、分析到處置的閉環式托管運營服務，幫助企業優化安全基線和安全策略配置。安全管理平臺還提供用戶自服務門戶，支持對運營中心承接的政企客戶的安全防護能力和效果可視化展示，通過安全事件及安全運營報告定期進行服務交付。5.3SASE 落地部署建議落地部署建議SASE 的部署方式通

65、常是基于云的，將安全和網絡能力虛擬化，通過統一的能力池對外進行輸出，從而減輕多分支機構的 IT 建設與運維的投入和壓力。SASE 通常由云服務提供商和網絡安全公司聯合提供，國內一些云公司由于自身安全能力較強，也進行一些相應服務的輸出。SASE 與云環境存在多種集成方式，企業可以根據自身網絡架構與業務特點選擇適合自己的方式，常見的集成方式包括公有云、私有云、混合云、私有化部署、混合部署等方式。企業還可以根據業務需求動態調整資源，如在公有云中擴展資源與服務、在私有云中保護敏感數據。通過多樣化的部署方式使企業能夠根據自身的安全需求、合規要求和技術基礎設施，靈活選擇最合適的 SASE 解決方案。此外，

66、曾出現過整合不同供應商安全產品的 SASE 方案，但該方案很快被淘汰，由于不同產品耦合帶來的巨大的復雜性及運維成本，導致此類解決方案難以很好地協同工作。目前最受期待的解決方案是單一供應商的 SASE 集成方案，通過單一供應商提供 SASE，將所有 SASE 功能統一在同一套架構及管理臺下，避免了復雜性和332024 云安全聯盟大中華區版權所有適配成本。單一供應商往往也能對產品進行統籌性的調整與優化，這樣更容易定位及排除問題。根據 Gartner 的預測，到 2024 年底，將會有 5-10 家新的單一供應商進入市場，到 2025 年，單一供應商數量相較 2023 年增長 50%以上，大多數 S

67、SE 供應商將會成為單一供應商 SASE。而 Cato 預計在 2025 年將會有三分之一的 SASE建設由單一供應商提供，這個比例在 2022 年是 10%。到 2025 年，65%的企業將把單個 SASE 組件整合到一個或兩個明確合作的 SASE 供應商中，而 2021 年這一比例為 15%。5.4SASE 發展趨勢發展趨勢隨著數字化轉型的深入，企業對網絡和安全的需求逐漸融合，SASE 作為一種全新的解決方案，正逐步走向成熟和普及。SASE 架構將“網絡+安全”相融合，通過統一安全管理和運營服務平臺，集成 SD-WAN、FWaaS、SWG、ZTNA等多種安全防護能力，將原有安全產品建設交付

68、模式轉變為安全服務化模式，構筑“云網安”一體化防護體系。為實現這一目標，不僅需要技術的進一步發展與整合，還需要在行業實踐中逐步克服當前面臨的挑戰。以下是推動 SASE 一體化、安全智能化的幾個關鍵方向：1）全方位的身份整合全方位的身份整合身份是 SASE 解決方案的核心。未來，SASE 需要將身份與設備、網絡、應用等各個層面的安全策略無縫結合。通過 AI 和大數據分析等技術，進一步強化身份驗證的精確度，并通過持續的行為分析和動態訪問控制，確保用戶在不斷變化的網絡環境中的每一次訪問都能得到及時的安全評估與響應。2）人工智能與自動化驅動的智能安全決策人工智能與自動化驅動的智能安全決策隨著 AI 和

69、機器學習技術的發展，SASE 將能夠實現更智能的流量分析和安全決策。AI 可以實時識別網絡流量中的異常模式，并通過自動化響應減少人工干預。尤其是在應對高級持續威脅（APT）和零日攻擊時，AI 能夠發揮更大的作用，提前識別潛在的安全風險。此外，AI 還可以幫助 SASE 平臺進行自我優342024 云安全聯盟大中華區版權所有化，不斷根據新的威脅情報調整安全策略，提升防護效率。3）多云環境下的安全統一管理多云環境下的安全統一管理隨著多云和混合云架構的普及，SASE 需要能夠提供跨多個云環境的統一安全管理。無論企業使用的是公有云、私有云，還是混合云，SASE 應確保一致的安全策略和合規性要求。未來，

70、SASE 將更多依賴集成云服務和本地設備的能力，構建起一個無縫連接的全域安全防護網絡，確保數據在不同云平臺間流動時的安全性和可控性。4）邊緣計算與邊緣計算與 5G 支持下的網絡安全擴展支持下的網絡安全擴展邊緣計算和 5G 技術的快速發展將成為 SASE 架構進一步發展的催化劑。在支持遠程工作、物聯網（IoT）設備以及其他邊緣設備的過程中，SASE 解決方案需要更深入地適配這些新的應用場景。例如，隨著工業互聯網的普及，制造業企業的關鍵資產和設備需要更多的實時監控和防護，SASE 平臺必須能夠靈活地支持這些端到端的安全需求，同時在保證安全性的同時不降低系統的性能。5）標準化和跨域協同的推進標準化和

71、跨域協同的推進SASE 的發展不僅是技術層面的進步，也需要在行業標準化和跨域協同上取得突破。隨著不同廠商提供的 SASE 解決方案逐漸趨同，未來的挑戰在于如何建立統一的安全標準和接口，確保不同供應商之間的產品可以高效地協同工作?？缬虻陌踩献?，尤其是在多國、跨地區的運營中，要求 SASE 平臺能適應不同的法律、合規要求和網絡環境，這對供應商提出了更高的技術和運營要求。6）集中式與分布式架構的平衡集中式與分布式架構的平衡盡管單一供應商的 SASE 方案逐漸成為主流，企業在選擇 SASE 產品時依然面臨集中式和分布式架構的平衡問題。集中式架構能夠簡化管理和部署，但在應對跨地域、大規模用戶時可能存在

72、延遲和性能瓶頸。分布式架構則能提供更靈活的部署和更高的容錯性，適用于復雜多變的網絡環境。如何在這兩者之間找到最佳的平衡點，提供更高效的運維體驗，是未來 SASE 產品發展的關鍵。SASE 的發展需要廠商在不斷發展技術的同時，緊密結合企業的實際需求，推動安全與網絡的深度融合。在未來的 SASE 架構中，安全性、靈活性、可擴展性和智能化將是其最重要的特征，最終將使 SASE 成為應對日益復雜的網絡威脅352024 云安全聯盟大中華區版權所有和業務挑戰的核心解決方案。6SASE 實踐案例實踐案例6.1深信服云安全訪問服務深信服云安全訪問服務 SASE6.1.1 產品簡介產品簡介（一）能力描述深信服

73、SASE 一體化辦公安全解決方案，將深信服沉淀二十余年的安全功能與 SD-WAN 網絡功能深度整合，基于 SASE 模型為核心，通過“一端一網一平臺”的煥新架構，用戶僅需要部署一個軟件客戶端或硬件 CPE 設備，即可就近接入全球分布的200+POP點，通過一個控制臺按需獲取ZTNA零信任網絡訪問、SWG互聯網安全訪問、XDLP 可擴展防泄密、GA 全球加速等安全與網絡服務，為分支機構與遠程辦公用戶提供一體化的安全與組網服務，快速提升全局安全水位，讓用戶以更好的體驗、更優的路徑，隨時隨地安全訪問互聯網、數據中心與多云應用。（二）技術架構深信服一體化辦公安全解決方案通過“一端一網一平臺”的架構為客

74、戶提供安全與網絡服務：1)一端：靈活多樣的端362024 云安全聯盟大中華區版權所有對于分支機構，只需要部署一臺深信服 SD-WAN 的 CPE 設備即可，通過智能引流的方式將互聯網流量引流至 POP 點，在 POP 點提供安全服務后出局訪問互聯網；對于遠程用戶，只需要部署一個 All in One 的軟件客戶端即可，融合了零信任接入、互聯網安全訪問、可擴展防泄密、統一終端安全的安全能力；對于深信服的安全產品的老客戶，比如全網行為管理 AC、零信任 aTrust 等產品，還支持通過客戶端平滑升級的方式擴展數據防泄密等一體化辦公安全能力。2)一網：全球分布的安全云網一體化辦公安全將安全與網絡能力

75、融合到就近接入的POP點上，深信服POP點采用全面的云原生架構，實現分鐘級授權開通、秒級資源擴展，為用戶提供99.95%的 SLA 保障。為了讓用戶獲得 30ms 就近接入的極致體驗，深信服在國內主要一二線城市，以及海外東南亞地區，均可提供安全 POP 服務，同時還深度融合 SD-WAN 骨干網資源，為中資出?？蛻籼峁┤蚣铀俜?，目前已在全球擁有 200+POP 點。3)一平臺：統一管理的控制臺管理員通過這一個控制臺，就能實現策略統一配置、運維統一管理、數據統一分析。（三）功能描述SASE-ZTNA 零信任網絡訪問：通過云服務交付，以用戶身份為中心，基于上下文感知、身份感知和設備感知等策略，

76、允許授權用戶安全地訪問特定應用程序，同時隱藏企業資源，避免暴露在公共互聯網上，讓用戶快速、安全、穩定地訪問數據中心與多云應用。SASE-XLDP 可擴展數據防泄密：基于數據來源的全新防泄密數據流轉追蹤技術，覆蓋企業辦公終端的各種數據外發通路，結合強大的防泄密數據分析能力與終端管控能力，實現敏感文件的全鏈路可視、可控、可溯源，全面滿足固定場所辦公、在外移動辦公等場景的企業辦公數據防泄密需求。SASE-SWG 互聯網安全訪問：面向分支機構與辦公終端的互聯網安全訪問服務，融合上網行為管理、下一代防火墻（含威脅管理）等一體化能力，通過分372024 云安全聯盟大中華區版權所有支 CPE 引流或辦公終端

77、 AIO 客戶端引流的模式，對網絡流量的實時監控、過濾和控制，有效防御網絡威脅，滿足上網管控與合規要求，全面提升工作效率，讓用戶隨時隨地獲得上網安全保護。SASE-GA 全球加速：搭載 SD-WAN 技術和骨干網優化技術的解決方案，并支持組網與安全深度融合，能力覆蓋全球 SD-WAN 骨干網絡節點（PoP），確保您的網絡服務實現全球就近接入，無縫跨區域部署，為用戶打造快速穩定、簡單易用、融合領先安全能力的安全組網解決方案。SD-WAN 組網：深信服 SD-WAN 產品能夠智能地調度網絡流量，通過多鏈路負載均衡技術，有效利用多條網絡線路，避免單點故障，提升網絡的穩定性和可靠性，在安全方面，集成了

78、防火墻，同時可靈活訂閱 SASE 安全服務，實現分支組網與安全的一體化交付，企業能夠方便地對分布在不同地點的分支機構網絡進行管控，大大降低管理成本，助力企業實現高效、安全的廣域網連接。6.1.2 實踐案例：制造業一體化辦公安全解決方案實踐案例：制造業一體化辦公安全解決方案（一）項目背景某國內服飾集團公司創始于 1976 年，是國內兼具大規模及先進生產設備的品牌羽絨服生產商。該公司早在 2014 年提出了“智改數轉”戰略，打造了“智慧門店+線上云店”的全域零售新模式，構建了以 SAP ERP 為核心的信息平臺，波司登在各地存在 25 家分公司，員工兩萬余人，目前在 IT 組網方面遇到的新挑戰如下

79、：a)互聯網暴露面大；b)應用訪問安全與體驗差；c)分支互聯網安全有風險。382024 云安全聯盟大中華區版權所有（二）項目內容為該公司全國 25 個分支，2000 多遠程辦公用戶提供 SASE 一體化辦公安全解決方案：a)助力網絡扁平化構架升級，實現業務安全高效訪問：一種基于“智能、管理、控制、分析、安全”為一體的廣域網管理方案，突破了傳統廣域網的瓶頸，實現了廣域網的網絡扁平化，降低了廣域網管理的復雜性，在數據傳輸方面實現了低延遲、高速率。分支僅需一個端（安全 SD-WAN 設備），即可融合 SD-WAN組網與安全功能，并能彈性訂閱云上安全服務，極大簡化了分支的組網架構；b）網絡、安全全局統

80、一管控：通過 SASE 可以輕松為零售公司構建一個全局的分支上網安全策略與防護體系，實現分支安全的可管可控；c）建設成效超預期，全面實現多贏：相比傳統的單點產品組合的解決方案，深信服安全組網能大幅降低整體硬件產品投資，減少運維工作量。（三）項目成效a）提升體驗保障安全：通過安全 SD-WAN 加密，零售公司訪問業務系統的數據傳輸安全得到了充分保障，總部業務系統將暴露于公網的端口全部收回，僅保留 VPN 端口，大大減少安全風險；同時通過 SD-WAN 技術，鏈路和設備故障實現自動快速切換，保障業務可靠性；b）全網設備集中管理：通過集中管理平臺統一遠程運維分公司 SD-WAN 設392024 云安

81、全聯盟大中華區版權所有備，實時展示分支組網情況，提高運維效率，降低運維成本；c）分支安全一體防護：SASE-AC 對企業終端違規上網行為、文件外發和信息泄露途徑等進行管控，有效保障企業信息安全；同時通過云情報網關，實現失陷終端外聯實時檢測與攔截，有效應對挖礦、惡意軟件、APT 等新型威脅，及時發現問題、阻斷攻擊、溯源閉環；d）安全能力彈性擴展：按需訂閱 SASE 云安全能力，將來動態擴展，避免投資浪費。低成本地應對不斷發展的 IT 變化。6.2奇安信安全訪問服務奇安信安全訪問服務 Q-SASE6.2.1 產品簡介產品簡介（一）能力描述奇安信 Q-SASE 以 Gartner 定義的 SASE

82、架構為基礎，采用軟件定義安全（SD-Sec）+軟件定義網絡（SD-WAN）相結合的技術路線，集成 SD-WAN、NGFW、SWG、DLP、主機安全、零信任等多種安全防護能力，構筑“云網邊端”安全防護體系，將原有的安全產品建設交付模式轉變為安全服務化模式，幫助眾多的企業和政府客戶實現互聯網訪問、內網應用訪問、遠程辦公等多場景下的全面安全防護及統一管理和運營，打造一體化安全運營體系標準，且在多個大型央國企、政府、教育、能源等多個重要行業落地運營。（二）技術架構402024 云安全聯盟大中華區版權所有（三）功能描述（1）運營管理服務平臺安全訪問服務的統一運營管理服務平臺（包括安全運營管理系統、客戶服

83、務系統、上網行為分析系統等）提供對整個 Q-SASE 架構中的各系統模塊的接入、配置、持續運行監測，保障整個系統的穩定持續運行。支持對運營人員的權限和工作進行管理，提供對安全告警日志和安全事件的持續跟蹤和管理，并基于客戶需求針對安全資源池和安全網關中的組網策略和安全策略進行持續優化。支持對客戶關心的網絡使用、應用訪問、安全事件等信息進行可視化展示。（2）安全資源池Q-SASE 安全資源池采用虛擬化鏡像的方式部署不同安全組件，安全資源池的安全組件按需配置，包括虛擬化防火墻安全組件、上網行為審計安全組件、零信任接入安全組件、虛擬化 WAF 安全組件、態勢感知云探針安全組件等，也可以部署日志審計、堡

84、壘機、數據庫審計、漏掃等等保組件，具有安全能力彈性擴容特點，支持安全組件單點登錄，安全組件和特征庫統一升級，（3）組網引流安全網關采用 SD-WAN 組網技術與安全資源池實現快速靈活的接入，支持將分支訪問流量按需引流到安全資源池進行安全防護和上網審計。安全網關不僅支持多種 VPN 協議，同時集成了基礎防火墻、應用與身份識別、應用層安全防護等綜合安全防御功能，實現組網與安全策略一體化，能夠為電子政務外網、新412024 云安全聯盟大中華區版權所有關基基礎設施建設提供全面的接入方案。ASE 安全網關支持針對業務數據的隧道隔離以及數據傳送的加密，包括多種加密方式，如 IPSecVPN、SSLVPN、

85、PPTPVPN。安全網關設備支持多種國際算法以及國密算法?？苫趹米R別技術，將各種上網流量區分成不同應用，并依據配置的策略，對不同應用設置不同的引流規則。（4）可信終端接入基于零信任可信客戶端的接入方式，通過零信任可信訪問控制臺和零信任可信應用代理，從身份風險、終端風險、網絡風險、權限和數據風險 5 個維度，全面構建從終端到應用訪問的端到端安全防護能力，通過便捷的運維管理能力和動態訪問控制機制，確保零信任的防護效果落實在業務訪問的各個階段。6.2.2 實踐案例：政務外網一體化安全防護方案實踐案例：政務外網一體化安全防護方案（一）項目背景隨著政府行業數字化轉型的不斷深入，安全暴露面和被攻擊風險

86、快速增加，網絡安全形勢不容樂觀?；跀底终母锝ㄔO“十四五”規劃，為數字政府建設全要素、多層次的安全防護體系，打造自主可控、安全高效的數字政府技術路線。同時，從網絡安全監測預警、攻防演練和現場檢查中發現，該省政數局政務網信息系統不同程度地存在安全隱患及問題，受人員和技術等方面的限制，無法全面掌握各委辦局實際安全防護效果，缺少對安全服務商監督手段，對網絡安全風險把控不足；因此，以奇安信 Q-SASE 安全訪問服務架構為核心，實現網絡內生安全的云、網、邊、端“全棧式”安全防護能力，以威脅檢測+安全防護能力為基礎，結合智能安全事件分析和溯源，打造“安全無界、資產無憂”的一體化安全防護和安全運營解決

87、方案。（二）項目內容422024 云安全聯盟大中華區版權所有本項目的整體建設內容包括：1)SASE 管理運營服務平臺：在電子政務網的安全管理區部署 Q-SASE 的管理運營服務系統，實現對整個安全防護系統的管理、資源調度、安全運營和客戶服務。2）安全資源池（POP 點）：通過在政務外網的兩個核心節點部署安全資源池承載各種安全防護組件和威脅檢測組件，提供給各委辦局的互聯網訪問、政務云訪問的安全防護及安全運營服務。3）辦公機構安全網關：通過匯聚節點接入到政務外網的市政數局、各委辦局直屬單位通過安全網關引流至安全資源池。4）遠程辦公終端：通過零信任客戶端接入到政務外網互聯網出口的安全資源池的零信任代

88、理網關，通過安全資源池的身份認證及業務訪問防護能力后，再訪問政務云平臺的業務系統。（三）項目成效本項目作為國內首次在政務外網建設的 SASE 一體化安全防護和運營體系的案例，借鑒了國際領先的 SASE 和零信任架構，依托 SDN、SDS 等創新技術，打造了云邊端一體化的安全協同防護系統，為市級委辦局各單位訪問互聯網、訪問政務云業務系統保駕護航。本項目為全市電子政務網絡、云平臺、辦公終端提432024 云安全聯盟大中華區版權所有供信息系統安全防護效果評估，網絡威脅實時監測，安全事件處置閉環等服務，并對政數局統籌建設的安全設施提供統一的日常運維管理服務，全面提升安全保障能力。同時也通過集約化建設的

89、安全防護系統，統籌建立的一體化安全管理運營中心，極大降低了傳統分散建設的安全防護設備和態勢分析系統的投資，經過測算，預計減少市級委辦局安全系統建設投資及運營成本 40%。6.3網宿科技網宿科技SASE 一體化辦公安全產品一體化辦公安全產品6.3.1 產品簡介產品簡介（一）能力描述網宿 SASE 一體化辦公安全基于網宿全球領先的網絡和計算平臺，構建SASE 一體化架構，實踐全面零信任，幫助企業解決辦公安全碎片化問題，為企業打造更安全、更高效、更便捷的辦公訪問體系，適用于遠程辦公安全、數據防泄露、威脅入侵防范、IT 效率增效等場景。（二）技術架構（三）功能描述網宿 SASE 產品主要由五大功能模塊

90、、統一管理平臺和安全及網絡底座構成：1)安全 SD-WAN：依托網宿全球豐富的 PoP 骨干節點，基于智能 QoS、協議優化等能力提供加速訪問，助力企業快速組網，實現降本增效。全程鏈路提供端到端加密，PoP 骨干節點具備發現及阻斷內網流量威脅的能力，能夠更好地保442024 云安全聯盟大中華區版權所有障企業內網傳輸安全。2)零信任訪問 ZTNA：采用“持續認證、永不信任”的零信任理念，以身份驅動為核心，持續評估訪問過程中的行為可信，實現動態訪問授權，有效解決企業數字化辦公帶來的無邊界安全問題。3)數據安全治理 XLDP：結合領先的數據安全治理理念，提供由淺到深的多級數據安全方案，集成端點數據防

91、泄露（EDLP）、WEB 數據防泄露（SWG、RBI）、安全工作空間等能力，一體化解決企業面臨的數據泄露風險，為企業構建全域數據安全的治理體系，保護企業敏感數據。4)威脅檢測與響應 XDR：集安全基線、終端殺毒、漏洞檢測、網絡入侵檢測、主機安全檢測為一體，覆蓋終端、網絡、主機各個環節安全防護，確保入網終端的安全合規。5)IT 效率管理：提供一站式企業 IT 資產管理與監控平臺，幫助客戶發現并梳理企業內的軟硬件資產，功能包括終端資產梳理、桌面管理、網絡準入、上網行為管理等，實現資產統一可視化運營管理。6)統一管理平臺：對用戶操作行為進行全面追蹤審計，通過平臺實現全網業務態勢實時感知，支持威脅探測

92、和告警，滿足企業運維及安全需求，提高管理效率。7)安全及網絡底座：基于網宿豐富的基礎設施底蘊和成熟的網絡管理技術，構筑先進的網絡及安全底座，全方位保障企業網絡安全，實現高質量訪問。6.3.2 實踐案例：云客服安全實踐項目實踐案例：云客服安全實踐項目（一）項目背景客戶主要業務系統部署在公有云上，業務系統存有大量敏感數據，員工原先通過傳統 VPN 訪問，無法根據終端安全狀態及用戶訪問行為實時動態權限調整，終端若遭病毒、惡意軟件感染，攻擊者可借此對云上業務發動橫向攻擊，嚴重威脅數據安全與業務連續性。同時，客戶業務系統含有大量敏感數據，這些數據的安全直接關系到企業的競爭力和市場地位，對于財務、研發等關

93、鍵崗位的員工，其訪問和操作數據的行為需要得到嚴格管控，以避免敏感信息的無授權外發?；?52024 云安全聯盟大中華區版權所有于此，客戶攜手網宿共同落地 SASE 一體化辦公安全方案，全面提升辦公安全水位線。（二）項目內容基于網宿 SASE 一體化辦公安全的建設思路，聯動包含 ZTNA 安全辦公、流量威脅檢測、數據防泄露等多項安全能力，全面提升辦公安全水位線。通過員工訪問權限的統一管控和終端的準入安全，當檢測到病毒、蠕蟲、SQL 注入等網絡攻擊時，將隔離阻斷攻擊流量，確保流量的合法性；同時，實時監測員工的登錄及操作行為，一旦發現暴力破解、掃描探測、越權訪問等異常操作，將動態調整訪問權限，限制員工

94、訪問并審計，保障員工行為合法合規；從員工訪問應用、下載數據、外發等環節進行全鏈路跟蹤，降低數據泄露風險，讓云端辦公更安全、更高效。（三）項目成效通過使用網宿 SASE 一體化辦公安全解決方案，輕松實現安全上辦公，目前已經覆蓋內部業務系統多達 100 多個，客戶價值包括：1)通過 ZTNA 實現對員工訪問權限的統一管控，結合流量威脅檢測能力，及時識別并阻斷病毒、蠕蟲、SQL 注入等網絡攻擊，快速響應安全事件，并動態調整訪問權限，減少潛在的損害，顯著提升企業網絡安全防護水平。2)全鏈路跟蹤員工對應用的訪問、數據的下載和外發行為，通過數據防泄露措施，幫助企業及時快速發現風險用戶、處置數據泄露事件，并

95、提供外發截屏取證，方便溯源定責，有效降低數據泄露的可能性。3)通過一體化的安全架構簡化安全管理，無需部署多套產品，降低終端性能消耗，提升 IT 管理效率 30%以上。462024 云安全聯盟大中華區版權所有6.4天翼安全天翼安全云脈云脈 SASE6.4.1 產品簡介產品簡介（一）能力描述云脈 SASE 是一套遵循 Gartner SASE 技術模型，融合了中國電信優質網絡與中國電信安全公司核心安全能力的新型辦公安全服務平臺。通過云脈客戶端、云脈 Mesh 網絡、云脈連接器三大核心組件，為用戶提供零信任網絡接入、數據外發管控、終端安全、IT 效能管理一體化能力，解決當前企業內部署多個安全產品缺少

96、聯動且存在安全管理盲區的問題，使用戶在任何位置、通過任意終端均能高效、安全接入企業內網。（二）技術架構472024 云安全聯盟大中華區版權所有（三）功能描述中國電信云脈 SASE 作為一個融合網絡與安全，辦公全場景覆蓋，兼顧安全、體驗、效率的下一代一體化辦公安全平臺，旨在為全行業數字化轉型用戶提供零信任網絡接入、數據外發管控、終端安全、IT 效能管理四大辦公安全技術支撐能力，全面助力用戶增強辦公網絡與辦公應用安全性，提升員工日常辦公體驗，簡化 IT 人員運維管理工作內容、提升效能，并降低企業整體安全投資。1)零信任網絡訪問通過應用 ZTNA 技術嚴格落實“永不信任、持續驗證”的零信任原則，為用

97、戶提供基于身份權限的細粒度訪問控制。同時，通過網絡、終端安全策略直接打通，云脈 SASE 能夠動態監測實時調整用戶/終端對應用的訪問權限、記錄 4-7層訪問日志，實現隨時隨地安全接入、訪問行為可管可查。2)數據外發管控打造人、數據、通道三位一體的辦公敏感數據安全治理體系，提供“全鏈路閉環”的敏感辦公文件外發管控，基于對用戶敏感數據的分類分級，持續跟蹤分析異常數據外發行為，并告警/攔截；同時，支持為用戶生成專屬的敏感數據地圖，提供更直觀的敏感數據分布視圖，便于靈活開展基于組織架構、用戶、辦公終端等多維度的數據安全管理。另外，提供屏幕水印、截圖存證、文件追蹤等調查溯源方式。3)終端安全提供病毒查殺

98、、漏洞修復、上網管控、威脅情報、擴展威脅檢測與響應、網絡隔離等面向 Windows、MacOS 等辦公終端的安全防護服務，并將終端安全現狀與整體零信任網絡接入做了結合，使得用戶對辦公終端入網的安全管理更加全面。4)IT 效能管理統一管理各類辦公終端，一站實現盜版檢測、軟件分發、有線/Wi-Fi 網絡準入，檢測-決策全鏈條自動化處置，提高用戶 IT 管理效能。482024 云安全聯盟大中華區版權所有6.4.2 實踐案例：多分支國企安全接入方案實踐案例：多分支國企安全接入方案（一）項目背景該單位為方便各分支機構人員訪問集團 OA，將 OA 系統發布至互聯網且未做安全防護。然而，鑒于該企業為省屬國企

99、，監管單位在對企業 IT 資產進行常態化安全掃描檢查時發現，OA 系統存在登錄繞過高危漏洞，要求一周內完成整改。因此，該企業迫切需要對 OA 系統進行安全加固，一方面滿足分支人員高效、便捷接入系統，另一方面需要收斂 OA 系統互聯網暴露面，做到應用隱身，降低漏洞被黑客利用的可能性。（二）項目內容針對該用戶遠程應用接入、應用互聯網暴露面收斂、分支-總部高效互訪等業務需求，中國電信為用戶提供了云脈 SASE 標準解決方案，在不改變用戶原有網絡架構的前提下，24 小時內完成互聯網暴露面收斂與應用遷移，為用戶提供OA 系統的零信任網絡接入能力。云脈 SASE 上線后，整體為用戶提供基于身份的細粒度應用

100、訪問控制，為用戶設置基于終端安全、網絡位置、系統配置、可信進程等條件的動態策略，使得內網應用全面隱身，并通過一體化客戶端整合的終端桌面統一管理、軟件統計、軟件分發管理和盜版軟件的檢測能力，協助用戶 IT 管理員更方便地開展企業辦公資產安全管理。（三）項目成效暴露面收斂：使用云脈 SASE 收斂了 OA 系統互聯網暴露面，使攻擊者無法492024 云安全聯盟大中華區版權所有通過掃描工具檢測到業務系統存在，實現業務系統“隱身”，極大提升業務系統安全性。訪問安全加強：相比較傳統 VPN 提供了基于身份的細粒度訪問控制，對用戶登錄接口進行多重身份驗證、并提供動態授權，進一步提升企業對人員入網、辦公/B

101、YOD 設備訪問內網應用的安全管控能力。用戶體驗提升：云脈 SASE 一體化客戶端除提供零信任網絡訪問能力外，還具備 IT 設備管理、合規檢測、外設管控、軟件管理、日志審計等辦公安全管理支撐能力，一方面減少企業員工辦公終端上 Agent 的數量、提升員工辦公體驗；另一方面，通過一體化平臺為 IT 管理員提供強大管理后臺，提升安全可管、可控、可視能力，全面提升安全運維成效與水平。6.5億格云億格云億格云樞億格云樞6.5.1 產品簡介產品簡介（一）能力描述SASE 一體化辦公安全平臺億格云樞，提供包括零信任網絡訪問（ZTNA）、數據防泄漏（XDLP）、威脅監測響應（XDR）、防病毒（EPP）、上網

102、行為管理（SWG）和統一端點管理（UEM）等功能，幫助企業以更低成本、更高效率建設更加安全、更好體驗的下一代辦公場景的安全體系，從而解決企業數字化轉型過程中遇到的混合和分支辦公安全、數據安全、終端安全等問題。（二）技術架構502024 云安全聯盟大中華區版權所有（三）技術架構億格云樞 是億格云基于云原生安全技術構建在阿里云、騰訊云、AWS、GCP 上的全球多云多活的 SASE 平臺，通過 SASE 理念實現的全新網絡和安全架構，全平臺以身份為邊界，構建了一朵集中管控安全的“云”、一張全球辦公加速的“網”和一個安全能力合一的“端”，形成云網端融合的云原生安全體系，以 SaaS化的服務提供零信任網

103、絡訪問（ZTNA）、數據防泄漏（XDLP）、威脅檢測響應（XDR）、防病毒（EPP）、上網行為管理（SWG）、統一端點管理（UEM）等安全能力，打破了企業建設辦公網安全需要部署 10 多個辦公安全產品且安全產品間煙囪化的現狀，嶄新的架構和安全服務為企業帶來如下收益：1）對企業網絡架構 0 調整和現有應用 0 改造，即可收斂互聯網暴露面，快速落地零信任安全體系，實現基于身份、持續驗證的動態訪問控制能力的企業安全新邊界；2）讓企業客戶能夠實現統一管控辦公網的網絡和配置安全策略；3）實現總部、分支、居家辦公、移動辦公等不同場景全場景一致高安全水位；4）SaaS 部署，15 分鐘極速啟用，高效運維；5

104、）全平臺、全功能的客戶端 SDK，可無縫集成到企業自有的辦公應用里，極大減輕管理員推廣安全產品的阻力和落地工作的負擔；6）利用就近接入的全球加速網絡，顯著優化移動與遠程辦公網絡質量，提升跨運營商和跨境鏈路訪問速度與體驗。7）采用輕端重云架構，打造輕量化、穩定、安全功能合一的客戶端，以少量資源占用實現終端用戶的無干擾網絡訪問和安全防護，確保極佳的辦公體驗。6.5.2 實踐案例：全球制造企業辦公安全實踐實踐案例：全球制造企業辦公安全實踐（一）項目背景某世界 500 強集團，總部位于國內?，F有員工超 2 萬名，產業布局 10+國家和地區，營銷網絡輻射全球。旗下業務分布亞洲、歐洲等地、是全球某制造領域

105、行業的標桿和領袖級企業。512024 云安全聯盟大中華區版權所有隨著業務數字化轉型，該集團積極采用云計算、大數據、物聯網、移動互聯網等新興技術，IT 建設不斷演進。此背景下，業務系統愈發開放、終端類型逐漸多樣、任意地點均可辦公。新技術帶來新生產力的同時，逐步瓦解傳統的物理網絡安全邊界，開放協同、移動辦公等新型辦公場景成為常態。從外部威脅看，0day 漏洞、近源攻擊、社會工程學、APT 等高級攻擊手段層出不窮，黑客攻擊能輕松突破互聯網邊界進入內網，攻防對抗已經常態化；從內部威脅看，內部員工非授權訪問業務系統，違規、有意的數據竊取，無意識的數據泄露等情況也愈演愈烈。（二）項目內容為該集團推出一套全

106、面的安全解決方案，包括基礎功能（身份認證、訪問控制、日志審計、終端管理）和零信任網絡訪問、網絡準入控制、數據防泄漏等高級功能。實施 SASE 一體化辦公安全解決方案，借助零信任 SASE 架構，隔離辦公內網與互聯網，滿足遠程辦公的安全需求，同時降低用戶體驗損害，有效阻斷終端風險。通過網絡準入控制系統，對終端設備實施嚴格的身份驗證和訪問控制，防止未授權用戶或設備進入企業網絡，減少安全漏洞和網絡攻擊風險。結合零信任和數據防泄漏技術，實現從數據下載到流轉到外發的全鏈路保護，降低機密信息泄露風險。SASE 架構認證方便、訪問速度快、性能好，支持高并發場景，全天候無間斷工作，確保數字化辦公的高效、穩定、

107、可靠。同時，結合企業流程自動化系統，降低運維管理成本，提升整體辦公效率和安全性。522024 云安全聯盟大中華區版權所有（三）項目成效SASE 安全架構以低運營成本、高便捷性助力該集團實現數字化安全運維。應用自動發現和權限智能梳理功能，基于訪問流量自動識別應用并推薦訪問控制策略，有效降低安全運營的難度。SASE 基于用戶身份和訪問行為動態下發訪問控制策略，避免因策略固化帶來的安全風險。通過記錄終端環境信息和訪問日志，使得內網訪問行為可視化，員工體驗數字化體現在網絡質量和設備健康狀態的實時監控上，通過采集 CPU、內存占用、WIFI 信號、網絡速度等數據，以時序圖形式展示，幫助快速發現并定位問題

108、，從而優化終端性能和網絡狀況。目前集團內部已鋪設安全平臺超 10000 個終端，實現辦公安全數智化，集團應用全景可視，辦公資產清晰可管，企業數據鏈路可溯等。高效落地 10+海內外分支地區或公司，實現全球辦公一張網，隨時隨地安全辦公，有效提升員工入網體驗。同時利用大模型生成專有審計小模型，實現 DLP 高效運營、有效閉環，審計時效提升至 1 小時審計 30 人，效率提升 10 倍。7評價方法論評價方法論云安全聯盟大中華區發布的神獸方陣系列遵循相對客觀的方法論與評價體532024 云安全聯盟大中華區版權所有制，在本次發布的 SASE 神獸方陣中，CSA 大中華區參考了眾多較為成熟的評價方法，同時結

109、合 SASE 產業在中國國內的實際情況，圍繞企業真實數據討論出客觀的評價指標體系，并在此基礎上運用模糊綜合評價法，建立了綜合評價模型。7.1公司選擇公司選擇神獸方陣系列是一套綜合企業產品發展路徑的體系模型，包括規則分類、象限模型、細分權重等，對企業及企業產品進行發展路徑的分級定位，客觀評價該企業產品在行業內的狀態。CSA 大中華區綜合考慮了企業的行業概況、商業模式、企業競爭力等因素，分別對應各神獸方陣數據模型的入選標準，篩選出具有一定規模，知名度和影響力，或者處于起步階段但技術實力強和快速成長階段的企業，進而通過訪談評價分析進一步篩選推薦上榜。7.2評價維度評價維度在評價指標上，CSA 大中華

110、區經過多輪篩選，確定了 SASE 神獸方陣的兩個評價維度，多項分類數據模型，并根據分類數據模型下的各個指標因素的重要性，構建了指標判斷矩陣。7.2.1 技術研發評價維度技術研發評價維度技術研發能力是 SASE 領域最主要的競爭因素之一，通過該維度可以反映不同企業對于 SASE 技術創新的戰略趨勢，同時也體現了企業的核心技術研發投入程度和產品更新速度，而將技術研發能力作為核心能力的企業，往往具有較強的技術實力，其產品在市場中不斷迭代趨于成熟。神獸方陣在技術研發評價維度中從研發能力、知識產權與認證、產品成熟度等具有代表性的量化指標進行綜合評價。1)研發能力這一數據模型主要體現企業獨立研發的能力以及

111、對 SASE 產品研發的投入542024 云安全聯盟大中華區版權所有能力，包括研發團隊的技術能力、企業在 SASE 領域的研發投入情況、SASE 產品在公司產品組合中所處的位置，以及產品功能的開發能力。此外，我們綜合考慮產品國產化適配情況、SASE 產品的技術路線（基于零信任身份安全的安全與網絡融合架構、基于 SD-WAN 組網的安全架構、多種安全能力集成等）。2)知識產權與認證這一數據模型主要體現企業在該類產品研發中的技術積累，對于核心技術的掌握程度。知識產權主要包括了專利權、著作權以及銷售許可的擁有量。已獲得的測評認證資質包括其 SASE 產品獲得 Zero Trust Ready、SD-

112、WAN Ready 2.0 等第三方測評資質的情況。此外企業對于 SASE 產品研發的專注程度也體現在知識產權與企業的產品（服務）的是否具有強關聯性，以及第三方測評認證的數量。3)產品成熟度這一數據模型主要體現產品與目前市場的契合程度，包括了企業對 SASE 產品投入研究的年限、上市時間、全球 SASE 節點部署數量。另外對于 SASE 產品后續規劃的自述，CSA 將其與企業對于 SASE 相關產品方案規劃、技術支持覆蓋范圍、與新興技術的融合和產業發展的預測相結合，作為判斷企業 SASE 產品發展潛力的參考依據之一。7.2.2 市場營銷評價維度市場營銷評價維度SASE 產品具有快速迭代的特性，

113、對企業產品更新換代能力提出了更高的要求，能夠敏銳察覺市場需求并及時推出新產品。所以企業在進行技術研發和產品創新的同時，應重視 SASE 產品的營銷管理，建立完整的產品銷售管理體系，并與客戶建立長期的戰略合作計劃，幫助 SASE 產品適應市場環境，不斷提高產品質量和市場競爭力。1)產品營收這一數據模型主要體現企業 SASE 產品上的銷售情況，銷售數據是最有力證明企業在 SASE 產品競爭力的指標。盈利能力作為市場營銷的主要目標之一，企業在 SASE 產品上的盈利能力與其產品在市場中的競爭水平是強相關的，同樣企業 SASE 產品營收占整體市場的比重以及其所處上下游位置，往往體現了該產品552024

114、 云安全聯盟大中華區版權所有綜合能力與市場認可度，另外企業在 SASE 產品在市場中變化情況作為產品的動態評價能力。2)用戶情況這一數據模型主要體現企業在 SASE 產品上的客戶管理，主要包括客戶滿意度、服務能力、新客戶開發率、終端持有率等因素。該數據模型主要以使用的組織和用戶數兩個方面評估企業 SASE 產品的使用情況，并根據客戶的復購率評估產品滿足客戶需求的程度。此外，我們收集了調研單位最近收到關于 SASE 產品的用戶反饋，以及他們如何回應解決的，這一點作為輔助參考依據。3)營銷能力這一數據模型側面反映企業在 SASE 產品上的市場投入和重視程度，并結合其他指標反映營銷活動的效果。該模型

115、主要包含了企業在 SASE 產品中的營銷投入、營銷模式、營銷計劃等要素反映了企業在 SASE 產品品牌建設、產品質量、渠道建設等方面的綜合實力。這一模型可以作為分析其他數據指標之間的相互影響的參考依據，進而分析各指標之間的內在相互作用和長期趨勢。7.3入選標準入選標準根據上述的評價維度，CSA 大中華區首先確立 SASE 領域中在技術研究、市場產品的被普遍認可的領跑者，以這些頭部企業的產品為最高標準，然后建立分級評價體系，將該分級評分納入四大神獸方陣的入選標準與評價中。該評價體系將每個維度下的不同數據模型賦予不同分值予以評價。7.4評價流程和要求評價流程和要求CSA 大中華區在本次 SASE

116、神獸方陣評價過程中遵循嚴謹、客觀的評價流程，以公平、公正、誠信為原則，確保評定結果的合情合理。7.4.1 專家訪談專家訪談為確保問卷質量，由 CSA 專家組與部分頭部企業溝通，訪談各企業的管理562024 云安全聯盟大中華區版權所有層、核心技術人員、相關業務人員。從訪談中獲取目前企業在 SASE 產品研發、銷售、運維等方面的關注重點，并根據企業對于 SASA 產品市場的認知與長遠認知設計問卷大綱，大綱維度設計由多位行業專家多次討論最終通過。7.4.2 問卷設計問卷設計問卷設計根據大綱要求進行具體問題的設計與排版，并將不同的問題分開排列，以確保相關問卷結果與相關維度的關聯。問卷經過多個企業的先行

117、設計測驗，CSA 根據測驗的反饋與收集的結果對問卷維度包括比較傾向、比較方向、比較動機、比較效果等方面進行了相應的微調，確保數據建模時能夠綜合體現企業在SASE 產品的能力。在上述基礎上，采用專家評定法、問卷調查法、內部一致性信度等方法對問卷進行審校，發布最終問卷。7.4.3 數據收集與評價數據收集與評價通過企業調查和問卷調查，及經過專家討論分析，將問卷各分指標數據化為數據模型的隸屬度，然后利用數據模型對兩個評價維度進行綜合評價。同時根據相關企業的實際行業情況對比，結合原始數據驗證了模型的可靠性，并對各模型的分類精度進行了比較分析。7.4.4 情況核實情況核實對所有問卷的結果進行嚴格復核后，采

118、用雙錄入的方式將數據（包括數據表與驗證文件）錄入神獸方陣的計算模型中，形成企業的神獸方陣的初步定位。CSA 根據初步的入選情況對每一家入選企業對數據進行核對與材料的補齊，對未入選企業實際情況的數據及時提出調整意見，并按程序重新提報、修改，確保數據可靠、準確、完整。572024 云安全聯盟大中華區版權所有8展望展望隨著企業數字化轉型的加速，對于能夠提供靈活、高效、安全的網絡安全訪問服務的需求日益增長。SASE 不僅僅是一項網絡安全解決方案，更是一次理念變革。借助 SASE，我們可以集成多種網絡和安全能力，邁向構建云網安融合架構的新篇章。構建 SASE 安全并不容易，但它已成為安全技術未來發展的主

119、流方向之一，越來越多的廠商加入 SASE 市場中，并基于不同的技術積累衍生出各具特色的產品形態。此次調研結果揭示了 SASE 產品在當前網絡安全市場中的巨大潛力和廣闊前景。SASE 架構通過將網絡功能與安全服務相結合，為分布式企業提供了一種創新的解決方案，能夠有效應對復雜多變的網絡威脅和挑戰。為了推動 SASE 產品的發展，我們鼓勵更多的廠商加入這一領域，共同探索和創新，一起提升 SASE 產品的性能、可靠性和用戶體驗，拓展 SASE 的知名度，使更多用戶能夠享受到 SASE 帶來的安全與便利，更有助于形成統一的行業標準，為 SASE 技術的長遠發展奠定堅實基礎。由于本研究報告是云安全聯盟大中華區在 SASE 領域的首次嘗試，瑕疵不可避免。我們的研究團隊在今后會持續優化，進一步改善。同樣，我們歡迎廣大讀者給予反饋以更好地提升我們的工作。582024 云安全聯盟大中華區版權所有