深夜9点，Alan在完成一天的“日志分析”、“事件处理”、“配置变更”等众多琐碎的工作后，终于有时间检查一下躺在收件箱里两封特别显眼的邮件：

一封来自采购，质询这次新办公室更换VPN供应商的原因；

另一封来自法务，采购SD-WAN设备的合同细节上还有一些问题需要重新修改。

新办公室还有半个月就要投入使用了，配套设备的采购合同还卡在流程里。作为公司全球基础架构运维团队的负责人，想起Leader对自己“关注顶层设计、赋能业务流程、体现价值”的要求，还有团队管理、资源协调、商务流程甚至在紧急时刻还要亲自“救场”动手实施，似乎对立的两面让Alan不禁有点头大。

Alan所在的公司是一家世界知名的整车设计、生产、制造企业，公司的业务遍布全球。当前根据地理位置以及业务特点在全球分成7个区域，核心生产系统分布在中国大陆数据中心以及AWS、阿里云等公有云之上。随着公司业务的快速增长以及全面拥抱数字化转型，多年前设计的网络及安全结构开始力不从心：

·全球组网高昂成本

由于在全球多分支采用MPLS专线组网，每年付出的带宽成本高昂。同时随着业务对于IT基础设施的依赖越来越重，专线带宽无法满足需求，然而升级带宽将带来天文数字般的租赁费用。

·安全防护难以统一

传统设计采用的是hub-and-spoken星型结构，大量的安全防护功能位于数据中心与总部，分支仅部署边界防护设备；此外由于历史原因，不同批次采购不同厂商设备，安全防护强度难以统一，防护策略的一致性也难以保障。

·上云负载日益增多

数字化转型的浪潮席卷全行业，为了提升效率、质量与体验，应用负载上云是非常成熟且必要的选择。然而上云甚至多云的发展，如何保障应用体验的同时保障安全性成为巨大的挑战。

·传统架构响应迟钝

实现敏捷与高效已经成为当前IT基础设施主要目标之一，而传统架构需要设备的运输、安装、配置等繁琐的交付流程以及复杂的商务合同，无论是新增站点或者上云迁移，所需要的人力、时间、商务成本与敏捷高效绝缘。

·体验质量难以保障

后疫情时代WFA（任意地点办公）成为主流的工作方式，SaaS化的协同软件成为提升生产力的主要工具。然而办公地点的无处不在与访问目标的分布广泛构成了一个复杂的体验保障矩阵，加上安全的变量成为难以求解的方程式。

解决方案

Solution

其实这样主要由数字化转型带来的问题已经在几年前被业界预判与捕捉到了，所以SASE（安全访问服务边缘）的概念应运而生：通过无所不在的、便捷的、按需获得且有质量保障的网络接入到一个可动态配置的安全能力资源池，其核心是由经过SD-WAN叠加优化的骨干网的网络能力以及部署在PoP点的安全能力栈构成。

SASE不是“从0到1”产品颠覆，而是“从1到10”基于网络和安全成熟能力的创新，简而言之具备完善的网络与安全能力是成功SASE的关键。

根据Gartner的调查，在2021年初仅有不超过10%的提供商具备全球骨干的能力。如果PoP点之间没有骨干网优化，只是基于互联网联通，完全不能满足SASE对于网络的要求。而具有完善网络能力的提供商，往往安全防护能力不足防护效果不及预期。

Managed SASE应运而生。

作为Fortinet Fabric-Ready全球合作伙伴，Zenlayer与Fortinet将各自能力优势整合，为客户提供了深度融合的解决方案：

#1

网络方面，通过Zenlayer全球基础架构提供的云平台骨干网络、SaaS应用加速以及私有应用专线（或者基于PoP的VPN）实现供给侧的优化接入。

基于Zenlayer全球广泛部署的PoP点，实现访问侧远程办公用户、分支办公室的优化接入。

安全方面，Managed SASE集成Fortinet业界领先的能力储备，为用户提供NGFWaaS、SWGaaS、ZTNAaaS等安全服务，URL过滤、应用控制、入侵防御、DLP等全面的安全能力。满足不同场景下互联网、私有应用访问的防护需求。

#2

此外，作为该解决方案的重要组成，托管服务为用户提供覆盖WAN、LAN、User的一站式运营服务。

在供给侧:

基于Zenlayer全球部署的Full-Mesh骨干网，结合BGP peering实现全球主要运营商、云平台最优路径可达；借助与主要云提供商的“一跳直连”，同时提供针对部署在AWS、阿里云等公有云平台、自有数据中心的应用负载的优化接入，确保供给侧“最后一公里”的服务质量，以及为SaaS提供具有质量保障的加速服务。

在访问侧:

Work-From-Anywhere：针对远程接入用户部署FortiClient，FortiClient提供基于应用的本地隧道分流，将关键应用的流量发送给通过全局负载均衡判断质量最优的PoP点。FortiClient的集中管理特性可以方便以统一的方式下发分流策略。此外FortiClient还提供未来ZTNA Ready的能力，随时灵活部署ZTNA，保护私有应用的安全访问。

部分站点部署了FortiGate作为用户侧的CPE设备，基于地理位置分布接入到两个不同的PoP点。一方面提供基于链路质量的SD-WAN应用分流，确保端到端的服务质量，针对部分站点利旧原本的路由器，通过GRE隧道进行多PoP点接入。

安全方面：

根据互联网访问与私有应用访问的业务特点，为互联网访问以及私有应用访问提供全面的安全审查功能，比如NGFWaaS、SWGaaS、ZTNAaaS、CASBaaS等覆盖网络、应用、URL、行为、数据全方位的安全防护。另外在部署FortiGate的分支站点还可以根据业务需求平滑的将安全功能在本地与SASE平台间迁移。同时天然支持SD-Branch场景将安全防护能力延伸覆盖到局域网边缘。

托管服务方面：

由Zenlayer专家工程师组成的运营团队，面向用户提供7*24的全球安全云托管服务，从底层计算资源、虚拟化资源、网络资源、安全功能、配置部署、日志管理、设备集中管理、高可用等一站式托管，客户只需就近接入边缘云即可享Managed SASE所提供服务。同时基于Managed SASE帮助用户引入全新的安全目标分担模型，更有效的管理安全风险与威胁。

用户收益

User benefits

降本增效

使用Managed SASE替代传统MPLS全球组网，每年节省超过30%线路租赁费用，PAYG计费模式解决传统一次性高昂投入、周期性替代更新的困局。可靠的托管服务将团队精力从琐碎工作中释放出来，投入到高附加值工作。

敏捷弹性

将原本花费数天甚至数周的新建、变更、扩容等工作，缩减到分钟级响应。功能、资源按需使用按量计费，根据动态的增减能力、性能满足不同阶段的业务需求。

体验保障

Managed SASE使用一个平台适配、加速、保护不同访问场景，借助优化的全球骨干网、分布广泛的PoP、业界领先的SD-WAN等能力确保端到端的使用体验。

安全提升

通过Managed SASE将安全能力覆盖整个受攻击面，借助原生网络与安全深度融合，确保各级边缘网络的安全防护强度与防护能力的一致性，结合托管式服务实现高效的检测、分析、响应的防御闭环，全面提升安全防护的实时性、有效性。

亮点与优势

Managed SASE解决方案

全球覆盖的基础设施

Zenlayer作为全球边缘云的行业领导者，目前在全球6大洲超40个国家拥有超过250个边缘节点，1500+全球ISP互联以及超30Tbps的骨干网带宽容量。

同时Zenlayer也与大多数知名的公有云（AWS、Azure、GCP、Ali、Huawei等）及SAAS服务商建立了对等连接，可提供覆盖全球的综合网络服务能力。

全面的整体安全防护

Fortinet作为全球网络安全领域的领导企业，以全面覆盖、深度集成和动态协同理念构建的Security Fabric安全架构，通过高度集成化、智能化、自动化的防护体系为客户提供覆盖云、边、端的全面保护以及情报共享、协同联动的安全能力。

专业资深的运营团队

由超过50人组成的专家运营团队，为客户提供7*24中英双语服务台支持以及15分钟首次响应的SLA，平均MTTR小于4小时；作为领域内的专家，绝大部分工程师拥有5年及以上的网络、安全融合相关经验。

网络与安全深度融合

Fortinet坚持网络安全与融合，在该领域深耕践行超过二十年，兼备产品能力与技术储备。同时Fortinet的自研定制芯片、单平台战略为带来高性能加持下的网络安全高度融合，成为唯一以单一平台成为Gartner WAN Edge以及Firewall魔力象限领导者的厂商。