SD-WAN进阶（三）：SASE和SD-WAN的区别

1、差异性

1）定义不同：
SASE（安全访问服务边缘）和SD-WAN（软件定义广域网）是两种不同的网络技术，旨在将不同地理位置的端点连接到数据源和应用程序资源。
SD-WAN使用overlay连接和远程管理分支机构。SD-WAN的重点放在将这些分支机构连接回中央专用网络上。虽然SD-WAN可以连接到云，但并不是以云为中心构建的。

SASE专注于云，具有分布式架构。SASE专注于将各个端点（分支机构、个人用户或单个设备）连接到服务边缘。并非着重于将分支机构连接到中央网络。服务边缘由运行SASE软件堆栈的分布式PoP网络组成。此外，SASE着重于固有的安全性。

2)与云的关系
对于SD-WAN而言，SD-WAN以数据中心为中心架构，云集成只是一个功能，而不是一个关键组件。在支持云的SD-WAN中，用户通过互联网连接到虚拟云网关，使网络更易于访问，并支持云原生应用程序。

对于SASE，SASE采用分布式架构。SASE使用私有数据中心、公共云或托管设施作为PoP，这些PoP入网点形成了SASE堆栈运行的体系结构的服务边缘。PoP入网点通常位于公共云或靠近公共云网关，以实现对云资源的低延迟安全访问。SASE软件可以确定流量到达端点时使用的最佳路径。

3）安全性
SD-WAN技术的设计并不是以安全为重点。SD-WAN安全性通常通过辅助功能或第三方供应商提供。SD-WAN的中心目标是将地理位置不同的办公室相互连接到一个中央总部，具有对不同网络条件的灵活性和适应性。

SASE的重点是为网络及其用户提供对分布式资源的安全访问。这些资源可以分布在私有数据中心、托管设施和云上。安全代理可以包含安全的WEB网关，供应商的云可以包含防火墙及服务。在分支机构为了保护打印机等无代理设备的安全，通常使用SASE设备。

4）流量检查
SD-WAN使用服务链进行流量检查。服务链是指一次一个安全功能一个接一个地检查流量。这些单独的功能只能处理一种类型的威胁，成为点解决方案（Point Solutions）。每个点解决方案都会打开流量，对其进行检查，关闭，然后将其转发到下一个点解决方案，直到流量通过所有点解决方案为止。

SASE网络中，流量一次开放，一次可以被多个策略引擎检查，引擎并行运行，而不会在引擎之间传递流量。这样可以节省时间，因为流量不会像SD-WAN中那样从一个安全功能传递到下一个安全功能，不会重复访问。此外，这些策略引擎的作用和SD-WAN中的安全工具一样多，甚至更多。

2、相似性

SD-WAN和SASE都是为了覆盖一个大的地理区域而设计的。不同之处在于基础设施，在SD-WAN，这些功能在分支机构和总部中运行；而SASE的基础设施有私有数据中心、托管设施或充当端点的云。这些是运行网络、优化和安全功能的地方，SASE和SD-WAN都可以从任何地方进行控制。

3、总结
SD-WAN和SASE是两种不同的技术，他们使用不同的方法达到相似的目的。这两种技术都旨在以灵活和适应性强的方式连接不同地理位置的组织。SD-WAN技术致力于将办公室连接到中央总部和数据中心，不过它也可以将用户直接连接到云。SASE网络专注于提供云原生安全工具，并以云为网络的中心。