近日，网宿安全首次面向公众发布技术类白皮书——《零信任安全白皮书》以及《SASE安全访问服务边缘白皮书》，对零信任及SASE的技术架构与标准、应用场景、建设思路等进行了全面阐述。

发布会上，网宿科技副总裁、首席安全官吕士表表示，网宿安全在落地零信任与SASE上已积累了丰富的实践。此次发布白皮书，正是希望共享网宿安全的探索成果，为企业落地新技术提供样本，为行业发展提供助力。

网宿安全作为国内最早探索零信任和SASE的服务商，在服务近千家客户的过程中形成了完整的技术体系、交付体系和服务体系。

对于零信任的落地思路，吕士表指出，零信任是一个完整的安全体系，核心是保护企业数字资产，建议分三阶段进行建设：第一阶段以零信任架构替代VPN实现安全远程办公，第二阶段建立基于零信任的数据安全整体解决方案，第三阶段集成入站+出站流量访问安全，实现一体化安全策略。

在吕士表看来，目前广泛存在一个认识上的误区，认为零信任是VPN的替代。事实上，替代VPN只是落地零信任的第一步，零信任还可以应用在第三方安全人员的接入、数据防泄漏、物联网安全连接和一机两用等丰富的场景中。

谈及如何落地SASE，吕士表同样提出了分“三步走”的建议：第一步用SD-WAN替代专线，做网络的统一管理；第二步将SD-WAN与安全结合，实施零信任；第三步集成零信任与数据安全、外网访问，实现统一的安全策略、统一的高水位的用户体验。

吕士表介绍，网宿安全在建设SASE的实践中建立了“3+X+AI”体系，与合作伙伴形成开放生态，实现完整的SASE能力保障。

以下为发布会对谈实录：

主持人：想必大家都听过一种说法：零信任是对VPN的替代。那么网宿安全是如何看待零信任和VPN的关系的？

吕士表：确实，零信任目前使用最多的场景是对VPN的替代。VPN是非常广泛使用的技术跟产品，也有众所周知的横向安全风险，以及大量的0day漏洞问题。

零信任是基于身份，对边界理念与安全理念的演进，核心思路是最小权限，实现永不信任、持续校验以及动态授权，以保证数据、身份、应用安全，是一个新的完整安全体系。

主持人：也就是说，替代VPN只是零信任比较初期的应用场景，实际上零信任能做的不止这些对吧？

吕士表：是的，零信任替代VPN是一个比较典型的场景，但也不仅仅是唯一的场景。零信任还可以用在第三方安全人员的接入、数据防泄漏、物联网安全连接和一机两用这些场景，能够显著地提高整个安全性以及安全管理的效率。

主持人：您说的这些完全更新了我对零信任的认识，零信任的范围其实是非常广的。那么落到实处，企业又该如何落地零信任体系建设呢？

吕士表：零信任核心要保护的资产，不是远程办公，而是数据跟用户实际的数字资产。我们认为零信任最佳实践的第一阶段是实现远程办公，通过利用零信任SDP的网络隐身，以及基于身份的动态授权，实现VPN的良好替代。从这方面的实践经验来看，最好还能够把零信任跟全球的加速结合起来，实现用户体验跟安全高水位的一致。

第二个阶段是建立数据安全，从数据本身的资产盘点、敏感数据的外发审计，以及核心数据的防护，形成基于零信任的数据安全整体解决方案。

第三个阶段是把所有的流量安全、数据安全跟访问安全集成到一起，在这个系统里边集成SWG、RBI还有第三方的安全产品，形成整体联动，助力企业形成一体化安全策略，实现高水位的安全运营。

主持人：零信任与SASE的概念往往同时出现，有时候容易让人产生混淆。请问吕总，我们应该如何理解SASE和零信任的关系呢？

吕士表：SASE是Gartner提出的一个理念，它把网络跟安全访问整合到一起，实现统一的安全策略和比较高水位的用户体验。这里面的核心模块主要有五个：SD-WAN、CASB、SWG、ZTNA还有防火墙即服务这几大部分。

其中ZTNA就是零信任安全访问。可以讲，零信任是SASE的一个基础，零信任的发展也能够推动SASE本身的快速发展。

主持人：SASE又有哪些典型的应用场景呢？

吕士表：SASE的核心是把网络跟安全结合到离用户最近的边缘上，去部署网络接入点以及相关的安全，实现全球整体化的安全访问控制。主要的场景有多分支的互联、安全访问连接、多方的混合访问、云上资源的访问——像SaaS资源的访问，以及安全应用程序的访问。在数据从传统数据中心往云的迁移过程中，SASE也能够帮助企业做云迁移，实现云迁移的转型。

主持人：对企业而言该如何着手建设SASE呢？

吕士表：SASE的建设是整体化的工程，它需要有组织、人、流程，还有资源以及完整的、长期的、至上而下的战略规划。

从实践的角度来看，第一个环节是最基础的环节，把网络做统一的管理跟管控，实现用SD-WAN来替代企业本身的专线。

第二个环节，是把SD-WAN跟安全结合起来，然后实施零信任。

第三个环节，是把零信任里面跟数据安全相关的也结合起来，同时把访问外网的流量跟安全也做统一的结合。

最终的阶段，是希望通过SASE来实现统一的安全策略、统一的高水位的用户体验。这就需要把各种安全能力做统一的集成，实现各种安全能力的编排，然后实现高水位的安全访问控制，在威胁检测、溯源甚至反制上面，提供高效的运营支持。

网宿也深刻地意识到SASE是一个生态，它涉及到的安全体系非常大。所以我们建立了3+X+AI的体系，通过将三部分能力——包含网络能力、安全能力和边缘计算能力开放给合作伙伴，结合合作伙伴在EDR、XDR、Web防火墙、威胁情报上的能力，实现完整的SASE能力、统一的管控和用户体验的保障。

随着生成式AI的发展，AI能力对于安全的检测、响应、运营也非常有帮助。网宿也积极在引入AI，包括自己研究的小模型，以及引入行业里关于安全、关于大数据方面的AI，形成完整的方案。接下去网宿也会在SASE生态体系里面持续去投入，为客户提供高水位、一体化的SASE安全防护体系。