Home » SASE Architecture: SD-WAN + SSE รวมเป็น Secure Access Service Edge
SASE Architecture: SD-WAN + SSE รวมเป็น Secure Access Service Edge
SASE Architecture: SD-WAN + SSE รวมเป็น Secure Access Service Edge
SASE (Secure Access Service Edge) เป็น architecture ที่รวม SD-WAN (networking) กับ SSE (Security Service Edge) เข้าด้วยกันเป็น cloud-delivered service เดียว ทำให้ users ทุกที่เข้าถึง applications ได้อย่างปลอดภัยโดยไม่ต้อง backhaul traffic กลับไป data center SASE ถูก define โดย Gartner ในปี 2019 และกลายเป็น standard architecture สำหรับ modern enterprise networking
Traditional network architecture บังคับให้ remote users VPN กลับ data center แล้วออก internet จาก central firewall ทำให้ latency สูง, bandwidth bottleneck และ user experience แย่ SASE แก้ปัญหานี้: security + networking อยู่ใน cloud → users เข้า closest PoP → inspect + route → direct-to-cloud access
SASE Components
| Component |
Category |
Function |
| SD-WAN |
Networking |
Intelligent WAN routing, application-aware, multi-link |
| ZTNA (Zero Trust Network Access) |
Security (SSE) |
Identity-based access control (replace VPN) |
| SWG (Secure Web Gateway) |
Security (SSE) |
Web filtering, malware protection, URL filtering |
| CASB (Cloud Access Security Broker) |
Security (SSE) |
Visibility + control สำหรับ SaaS applications |
| FWaaS (Firewall as a Service) |
Security (SSE) |
Cloud-delivered firewall (NGFW in cloud) |
| DLP (Data Loss Prevention) |
Security (SSE) |
Prevent sensitive data leakage |
| RBI (Remote Browser Isolation) |
Security (SSE) |
Execute web content in cloud sandbox |
Traditional vs SASE Architecture
| Feature |
Traditional |
SASE |
| Security Location |
On-premises (data center firewall) |
Cloud (distributed PoPs) |
| Remote Access |
VPN → data center → internet |
ZTNA → direct-to-cloud |
| Branch Office |
MPLS → data center → internet |
SD-WAN → direct internet breakout + cloud security |
| Latency |
สูง (backhaul traffic) |
ต่ำ (closest PoP) |
| Scalability |
Limited (hardware capacity) |
Elastic (cloud-native) |
| Cost |
สูง (MPLS + hardware appliances) |
ต่ำกว่า (OpEx model, no MPLS) |
| Management |
หลาย consoles (FW, VPN, proxy, SD-WAN) |
Single pane of glass |
SSE (Security Service Edge)
| Feature |
รายละเอียด |
| คืออะไร |
Security portion ของ SASE (without SD-WAN networking) |
| Core Components |
ZTNA + SWG + CASB (+ optional FWaaS, DLP, RBI) |
| Defined by |
Gartner (2021) — SSE เป็น subset ของ SASE |
| Use Case |
องค์กรที่มี SD-WAN อยู่แล้ว → เพิ่ม SSE สำหรับ security |
ZTNA vs VPN
| Feature |
VPN |
ZTNA |
| Access Model |
Network-level access (full tunnel) |
Application-level access (per-app) |
| Trust Model |
Trust after connect (inside = trusted) |
Never trust, always verify (zero trust) |
| Lateral Movement |
ได้ (once on VPN, access entire network) |
ไม่ได้ (only authorized apps) |
| User Experience |
Slow (backhaul), client required |
Fast (direct), clientless option |
| Scalability |
Limited (VPN concentrator capacity) |
Elastic (cloud) |
| Posture Check |
Basic (some clients) |
Continuous (device health, identity, context) |
SASE Vendors
| Vendor |
Product |
จุดเด่น |
| Zscaler |
ZIA (SWG) + ZPA (ZTNA) |
SSE leader, largest cloud security network |
| Palo Alto |
Prisma Access + Prisma SD-WAN |
Full SASE, strong NGFW heritage |
| Fortinet |
FortiSASE |
Integrated SD-WAN + security, best price |
| Cisco |
Cisco+ Secure Connect (Meraki + Umbrella) |
Cisco ecosystem integration |
| Netskope |
Netskope One |
Best CASB + DLP, data-centric security |
| Cato Networks |
Cato SASE Cloud |
Born-in-cloud SASE, single-pass architecture |
| VMware (Broadcom) |
VMware SASE |
VeloCloud SD-WAN + Workspace ONE |
SASE Deployment Models
| Model |
วิธีทำ |
เหมาะกับ |
| Single-Vendor SASE |
SD-WAN + SSE จาก vendor เดียว |
Simple management, integrated experience |
| Best-of-Breed (Dual-Vendor) |
SD-WAN vendor A + SSE vendor B |
Best technology per category |
| SSE-First |
Deploy SSE ก่อน → add SD-WAN ทีหลัง |
Remote workforce priority |
| SD-WAN-First |
Deploy SD-WAN ก่อน → add SSE ทีหลัง |
Branch connectivity priority |
SASE Migration Steps
| Step |
Action |
| 1. Assess |
Inventory current network + security stack, identify gaps |
| 2. Define Requirements |
Users, applications, locations, security policies |
| 3. Pilot |
Deploy SASE สำหรับ subset of users/locations (proof of concept) |
| 4. Remote Users First |
ZTNA replace VPN สำหรับ remote workers |
| 5. Branch Offices |
SD-WAN + direct internet breakout + cloud security |
| 6. Decommission Legacy |
Phase out MPLS, on-prem proxies, VPN concentrators |
ทิ้งท้าย: SASE = Network + Security in Cloud
SASE = SD-WAN (networking) + SSE (security) delivered from cloud SSE = ZTNA + SWG + CASB (+ FWaaS, DLP, RBI) ZTNA replaces VPN: per-app access, zero trust, no lateral movement Cloud-delivered → low latency, elastic scale, single management Single-vendor vs best-of-breed → choose based on requirements
อ่านเพิ่มเติมเกี่ยวกับ SD-WAN Architecture และ Zero Trust ZTNA ที่ siamlancard.com หรือจาก icafeforex.com และ siam2r.com
