Home » SASE (Secure Access Service Edge): รวม Network + Security บน Cloud
SASE (Secure Access Service Edge): รวม Network + Security บน Cloud
SASE (Secure Access Service Edge): รวม Network + Security บน Cloud
SASE (Secure Access Service Edge) เป็น framework ที่ Gartner นิยามในปี 2019 รวม network services (SD-WAN, WAN optimization) เข้ากับ cloud-delivered security services (FWaaS, CASB, ZTNA, SWG) ไว้ในแพลตฟอร์มเดียว ทำให้องค์กรจัดการ network + security จากจุดเดียว ลดความซับซ้อนของ infrastructure
องค์กรปัจจุบัน มี users ทำงานจากทุกที่ (office, home, cafe) ใช้ applications บน cloud (SaaS) แต่ security architecture แบบเดิมออกแบบมาสำหรับ users ที่อยู่ใน office ส่ง traffic กลับ HQ ผ่าน VPN (hairpinning) ทำให้ช้าและ security มี gaps SASE แก้ปัญหานี้โดยย้าย security ไปอยู่บน cloud ใกล้ users บทความนี้จะอธิบาย SASE architecture และ components
SASE Components
| Component |
ชื่อเต็ม |
หน้าที่ |
| SD-WAN |
Software-Defined WAN |
เลือก WAN path ที่ดีที่สุดสำหรับแต่ละ application |
| FWaaS |
Firewall as a Service |
Cloud firewall กรอง traffic (L3-L7) |
| SWG |
Secure Web Gateway |
กรอง web traffic, block malicious sites, URL filtering |
| CASB |
Cloud Access Security Broker |
ควบคุมการเข้าถึง SaaS apps, DLP, visibility |
| ZTNA |
Zero Trust Network Access |
แทน VPN: ให้ access เฉพาะ app ที่ได้รับอนุญาต |
| DLP |
Data Loss Prevention |
ป้องกันข้อมูลรั่วไหล (sensitive data) |
Traditional vs SASE Architecture
| คุณสมบัติ |
Traditional (Hub-and-Spoke) |
SASE |
| Security Location |
HQ data center (centralized) |
Cloud PoPs ทั่วโลก (distributed) |
| Remote User Access |
VPN กลับ HQ → internet |
ZTNA ตรงไป cloud app |
| SaaS Access |
ผ่าน HQ (hairpinning) = ช้า |
Direct-to-cloud = เร็ว |
| Branch Office |
MPLS + firewall ทุก site |
SD-WAN + cloud security |
| Scalability |
ต้องซื้อ hardware เพิ่ม |
Elastic (cloud-based) |
| Management |
หลาย consoles (firewall, proxy, VPN) |
Single pane of glass |
| Cost Model |
CapEx (hardware) |
OpEx (subscription) |
ZTNA vs VPN
| คุณสมบัติ |
VPN |
ZTNA |
| Access Model |
Network-level access (เข้าถึงทั้ง network) |
App-level access (เฉพาะ app ที่อนุญาต) |
| Trust Model |
Trust after connect (implicit trust) |
Never trust, always verify |
| Lateral Movement |
เป็นไปได้ (เห็นทั้ง network) |
จำกัด (เห็นเฉพาะ app ที่ได้รับอนุญาต) |
| User Experience |
ช้า (traffic ผ่าน HQ) |
เร็ว (direct-to-app) |
| Scalability |
VPN concentrator มี capacity จำกัด |
Cloud-based scalable |
SASE Vendors
| Vendor |
Product |
จุดเด่น |
| Zscaler |
Zscaler Internet Access + Private Access |
Leader in SWG + ZTNA, largest cloud security |
| Palo Alto Networks |
Prisma SASE |
Strong firewall heritage + CASB + SD-WAN |
| Cloudflare |
Cloudflare One |
Largest edge network, easy deployment |
| Fortinet |
FortiSASE |
Integrated with FortiGate, good for Fortinet shops |
| Cisco |
Cisco+ Secure Connect |
Meraki SD-WAN + Umbrella + Duo |
| Netskope |
Netskope SASE |
Best CASB, strong DLP, data-centric |
| VMware |
VMware SASE |
SD-WAN leader (VeloCloud) + security |
SASE Deployment Models
| Model |
วิธี |
เหมาะกับ |
| Single-vendor SASE |
ใช้ vendor เดียวสำหรับทุก component |
องค์กรที่ต้องการ simplicity |
| Dual-vendor SASE |
SD-WAN จาก vendor A + SSE จาก vendor B |
องค์กรที่มี SD-WAN อยู่แล้ว |
| DIY SASE |
รวม best-of-breed products เอง |
องค์กรใหญ่ที่มี specific requirements |
SSE (Security Service Edge)
SASE ส่วน Security
SSE คือ security components ของ SASE (ไม่รวม SD-WAN): SWG: กรอง web traffic CASB: ควบคุม SaaS access ZTNA: แทน VPN FWaaS: cloud firewall DLP: ป้องกัน data leakage องค์กรที่มี SD-WAN อยู่แล้ว อาจเริ่มจาก SSE ก่อน แล้วค่อยรวมเป็น SASE
Migration Roadmap
| Phase |
Action |
Timeline |
| 1. Assessment |
วิเคราะห์ current architecture, identify gaps |
1-2 เดือน |
| 2. SWG + DNS Security |
ย้าย web filtering ไป cloud (quick win) |
2-3 เดือน |
| 3. ZTNA |
แทน VPN สำหรับ remote users |
3-6 เดือน |
| 4. CASB |
เพิ่ม visibility + control สำหรับ SaaS |
3-6 เดือน |
| 5. SD-WAN |
ย้าย branch WAN ไป SD-WAN |
6-12 เดือน |
| 6. Full SASE |
รวมทุก component ใน single platform |
12-18 เดือน |
ทิ้งท้าย: SASE คืออนาคตของ Network + Security
SASE รวม network + security บน cloud เหมาะกับ modern workforce (remote, hybrid) เริ่มจาก SSE (SWG + ZTNA) → เพิ่ม SD-WAN ภายหลัง เลือก vendor ตาม existing infrastructure Single-vendor SASE ง่ายกว่า แต่ dual-vendor อาจ flexible กว่า
อ่านเพิ่มเติมเกี่ยวกับ Zero Trust Network และ SD-WAN ที่ siamlancard.com หรือจาก icafeforex.com และ siam2r.com
