01.安全接入能力

      安全接入能力作为SASE 的核心功能之一，主要包括SD-WAN、零信任网络访问（Zero trust network access，ZTNA）等相关技术，其主要目的是对传统VPN访问模式进行替换。

SD-WAN

      SD-WAN 是 SASE 平台的关键组件，它将分支和数据中心链接到 SASE 云服务。SASE 通过 SD-WAN 搭建全球分布式的网络，将核心能力附加到边缘，使数据处理和安全能力都在边缘并行，以满足企业当前和未来云上和移动业务的动态需要。SASE 支持私有数据中心、公共云或托管设施作为 POP 点。这些 POP 点形成了SASE体系结构的服务边缘，以实现对云资源的低延迟安全访问，无论哪个节点都有足够的资源来满足用户的请求。

零信任网络访问 ZTNA

      零信任就是默认系统环境不可信，并以“永不信任、持续验证”的理念，兼顾安全和体验的方式，实现资源的可信任访问。零信任的信任关系源自于对所有参与对象和行为的动态验证。核心原则包含最小权限原则、持续动态访问控制和授权。支持对访问模式、接入设备、接入地点、访问时间、网络区域以及安全基线进行动态校验，并对本次访问行为进行判断，放行或者拦截，从而保障策略稳定高效的运行。

02.安全防护能力

      网络安全能力是 SASE 的另外一个核心功能，也是安全能力服务化的具体体现，主要包括防火墙即服务 FWaaS、安全Web 网关 SWG、云访问安全代理 CASB、扩展威胁检测与响应XDR、数据安全XDLP等。

防火墙即服务FWaaS

      “防火墙即服务（Firewall as a Service，FWaaS）”是 SASE 平台的安全防护组件。它使企业更轻松地管理网络安全，设置统一策略，及时发现异常并快速进行响应。FWaaS 不是物理设备，也不是托管在组织的本地环境。与其他“即服务”类别类似（如软件即服务或平台即 服务），FWaaS 也是在云环境中运行，并可以通过互联网进行访问。

扩展检测和响应（XDR）

      XDR是一种新的威胁检测和响应方法，使组织能够防止网络攻击，并简化和加强安全流程。XDR的核心要素是打破传统的安全孤岛，提供横跨所有数据源的检测与响应，它提供所有数据的可见性，包括端点、网络和云数据，同时应用分析和自动化处置来应对当今日益复杂的威胁，更好地专注业务增长并加速数字化转型计划。
      SASE应区别于传统碎片化硬件模式，提供融合一体化XDR 模式，安全 Web 网关 、融合终端威胁检测响应（EDR）、病毒查杀、漏洞修复、DNS安全、威胁情报等安全能力，实现一站式威胁处置。

      ·安全 Web 网关 （NDR）

        安全Web网关（SWG）具备网络威胁检测和响应能力，主要作用就是确保员工和设备在任何时间任何地点都能安全地连接到互联网以及保护企业拥有和管理的应用程序，企业可以通过集中管理、在全球范围内部署策略，保护企业和员工免受恶意软件、勒索软件、钓鱼攻击、数据泄漏等风险。由于采用云服务的形式，安全 Web 网关无需部署硬件或虚拟设备，无需回传流量即可为 Web 流量提供保护，允许直接连接到互联网，从而降低了MPLS、VPN 等网络成本。基于云的安全Web网关通过集成企业应用隐藏、多因素认证、统一应用门户和单点登录、恶意软件检测、文件沙箱和动态威胁情报、SSL 解密、应用和内容过滤以及数据泄漏防护等功能，可以记录和检查所有的 Web 流量，从而获得最佳的控制和保护能力。

      ·终端检测与相应（EDR）

        EDR是SASE终端防护的重要安全组件，通过记录终端与网络事件（例如用户，文件，进程，注册表，内存和网络事件），并将这些信息本地存储在端点或集中数据库。结合已知的攻击指示器(Indicators of Compromise，IOCs)、行为分析的数据库来连续搜索数据和机器学习技术来监测任何可能的安全威胁，并对这些安全威胁做出快速响应。还有助于快速调查攻击范围，并提供响应能力。

03.数据安全能力

      数据安全能力应为SASE最核心交付能力，数字化时代，数据逐渐成为企业核心资产，如何保障数据安全才是企业面临的真正难点和痛点。

数据防泄漏（XDLP）

      数据防泄漏（XDLP）是融合了终端防泄漏、网络防泄漏、用户行为分析三位一体的XDLP，并与RBI、CASB等安全能力联动形成一体化的整体解决方案，实现对网络传输、端点上的应用程序发送的数据进行内容检查和上下文分析，确保敏感数据不会被未经授权的用户丢失、误用或访问，同时满足合规性和审计要求，帮助安全管理人员及时响应事件和取证。

云访问安全代理 CASB

      云访问安全代理（Cloud Access Security Broker，CSAB）是基于云原生应运而生的产品和服务，它是SASE 安全防护的基本组件，帮助安全和风险管理领导者发现云风险，识别和保护企业敏感信息，实现多个云服务，以及对来自企业内外的用户活动和敏感数据（包括云到云访问）的精确可见性和控制。

远程浏览器隔离 RBI

      通过将浏览器移至云端的远程服务或企业网络内的独立本地服务器来保护端点，实现数据不落地，浏览网页期间产生的数据被限制在虚拟容器内，无法拷贝、下载或分享到本地。 为业务系统自动加载水印，保证了企业敏感数据的泄露风险。同时网站访问受黑白名单策略限制，确保用户上网行为可审计、可追溯。