Categories
隨著混合辦公(Hybrid Work)成為常態,企業的邊界已不再僅限於辦公室的防火牆之內,而是包括辦公室多據點、多分點與家庭中都有可能來連線的綜合考量,而這幾年 IT 界熱門關鍵字之一莫過於 SASE(Secure Access Service Edge,安全存取服務邊緣)。
SASE 有它重要的功能環境,但也是相對比較昂貴的企業級安全網路方案,至於中小型企業或擁有多據點的零售、製造業,也是有較平價的解法,市場都正積極在發展中。
什麼是 SASE?
SASE(發音類似 Sassy)並不是單一產品,而是一種企業級安全網路的架構概念。簡單來說,它將兩大領域融合在一起:
網路連接(WAN Edge): 主要是 SD-WAN 技術,也就是軟體定義網路。
網路安全(Security): 包括 ZTNA(零信任)、SWG(安全網頁閘道)、CASB 等,且通常由雲端交付。
在過去,要實現 SASE 方案,通常要採購效能好的昂貴路由器來負責連線,再買一台防火牆負責資訊與網路傳輸的安全,但現在 SASE 強調的是「身分驅動」與「雲端原生」,無論員工在星巴克還是在總部,連接與安全政策都應該是一致的,減少有任何環節成為資安破口的機率。
市面上的 SASE 三大流派
目前的 SASE 市場主要由傳統資安大廠與網路設備大廠為主,我們可以大致分為幾類:
1、單一供應商完整方案 (Single-Vendor SASE):
Palo Alto Networks (Prisma SASE): 市場領導者之一,強項在於極其深厚的資安檢測能力與應用程式可視性,適合對資安要求極高的中大型企業。它們的安全瀏覽器具備該公司的 AI 感知防護,並利用 1,000 多種內建資料分類程式所支援的瀏覽器型資料防護,從源頭防止資訊遺失。
Fortinet (FortiSASE): 以硬體防火牆(FortiGate)起家,優勢在於晶片效能與性價比,將地端強大的防護能力延伸至雲端,對於已有 Fortinet 設備的企業相當具吸引力。
Fortinet 的 SASE 方案會採用到它們的 SD-WAN ,並在雲端有很不錯的 SD-WAN 管理介面,FortiSASE 包含安全營運中心即服務 (SOCaaS) 整合和取證功能,實現全面的疑難排解和可視性,我們可以在使用者介面中可以去查看端點、使用者、接入點圖形資訊、DEM 資訊以及威脅分析資料,設定是一致性的,對管理多據點來說很方便。
2、網路與雲端起家:
Cisco (Secure Connect): 整合了 Meraki 的簡易管理與 Umbrella 的雲端資安,對於習慣 Cisco 生態系的 IT 管理員來說,整合度極高。
Cloudflare (Cloudflare One): 利用其遍佈全球的 CDN 節點優勢,提供極低延遲的網路存取與 Zero Trust 服務,輕量且部署快速。
3、QNAP 的 QHora 與 QuWAN 是 SASE 嗎?
QNAP 過去給人的印象是 NAS 儲存大廠,但隨著 QHora 路由器、QuWAN (SD-WAN) 以及 QuWAN Orchestrator 的推出,他們實際上已經構建了一套「輕量級、以邊緣為核心的 SASE 架構」。
SASE 的收費機制
在 SASE 的世界裡,重點是「授權費(License)」裡。傳統 SASE 供應商通常採用 「硬體 + 軟體訂閱」 的雙重收費模式。硬體買了再搭配每年的 SD-WAN 或雲端防火牆授權費,通常如果搭配電信公司的方式,是有一定年限的費用,升級或擴充就需要找 SI 與資安公司或經銷商來談價格,如果授權費過期或不更新合約,該項功能就沒辦法使用。
企業級方案提供了更深度的資安防護,如雲端沙箱、威脅情資即時更新,但如果是沒有這麼高資安需求的據點,可能只需要「穩定的 Mesh VPN 連線」與「基礎的網路過濾」。
我們設定一個 3 年的使用週期(IT 設備常見折舊期),來比較 Tier 1 企業級 SASE 品牌(如 Palo Alto, Fortinet, Meraki 等綜合估算) 與 QNAP QHora 方案 的支出差異。
情境一:小型連鎖/工作室(10 個據點),適合連鎖店家、設計工作室、多國據點貿易辦公室、中小規模工廠跨區產線等等。
| 成本項目 | 傳統企業級 SASE 方案 | QNAP (QHora-321/322) 方案 |
| 1. 硬體設備費 (Capex) | 約 US$ 8,000 – 1,0000 (若選入門款閘道器每台約 $800-1,000) | 約 US$ 5,000 – 8,000 (平均每台 QHora $350) |
| 2. 軟體訂閱費 (OpEx) | 約 US$ 9,000 / 3年 (每點每年 $300 基本授權 x 10點 x 3年) | **US$ 0** *(QuWAN 基礎功能內建免授權)* |
| 3. 導入與設定費 | 約 US$ 2,000 (需專業 SI 工程師設定) | **US$ 0** (強調 DIY 與 Zero Touch 部署) |
| 3 年總體成本 (TCO) | 約 US$ 19,000 | 約 US$ 3,500 |
| 參考 | 成本高出 5.4 倍 | 高性價比首選 |
情境二:中型零售/多據點企業(100 個據點),適合連鎖超商、藥局、物流站點、跨國分公司、中型規模工廠跨區產線等等。
| 成本項目 | 傳統企業級 SASE 方案 | QNAP (QHora-321/322) 方案 |
| 1. 硬體設備費 (Capex) | 約 US$ 70,000 (量大採購有折扣,估每台 $700) | 約 US$ 32,000 |
| 2. 軟體訂閱費 (OpEx) | **約 US$ 75,000 / 3年** (每點每年 $250 優惠授權 x 100點 x 3年) | **US$ 0** *(QuWAN 隨硬體買斷)* |
| 3. 隱形成本 (維運人力) | 需聘請專職資安網管或簽署維護合約 | 一般 IT 人員即可透過 Orchestrator 管理 |
| 3 年總體成本 (TCO) | > US$ 145,000 | 約 US$ 32,000 |
| 參考 | 成本高出 4.5 倍 (且每年仍需編列續約預算) | 一次性結清 (無後續經常性支出) |
QNAP 的方案是否符合 SASE 的定義 ?
QNAP 的 QuWAN 技術本質上就是 SD-WAN。它具備 SASE 要求的多項關鍵能力:
1、網路連接層 (SD-WAN) 完全符合
自動組網 (Auto Mesh VPN): 這是 QNAP 在這個級別推出該類產品的重點功能,在傳統設定 Site-to-Site VPN 來說,對於非網管出身的 IT 人員來說設定不易,特別是中小企業的資訊人員,但 QuWAN 能在多台 QHora 或 NAS 之間自動建立加密通道,形成全網狀(Full Mesh)拓撲。
只要設定好 Hub 和 Edge,就可以更多台設備加入成為 Eege ,自動組成一個全公司多據點能互相連線的企業內部網路,該系統也具備路徑最佳化功能, 能夠根據網路品質自動切換線路。
比方說在海外歐洲分公司的電腦,可以連線到台北據點的資料儲存區處理資料,並且是經過授權和防火牆設定好的規則,只限定在這個安全性網路的用戶可以存取,並排除掉不在清單上的 IP。
另外, QuWAN SD-WAN 也支援 IPSec VPN 跨品牌相容整合,可串接現有第三方路由器,設定站對站 VPN,對公司來說不需要另外變動既有架構,即能快速建立 IPSec VPN。
2、集中管理 (Orchestrator) 亦符合
SASE 強調雲端管理。QuWAN Orchestrator 提供了一個單一的雲端介面(Single Pane of Glass),讓 IT 人員可以在總部監控全球數百個據點的流量、VPN 狀態與設備健康度,亦符合 SASE 的管理精神。
3、安全層 (Security):邊緣運算取向
這是 QNAP 與 Palo Alto 或 Zscaler 等「純雲端 SASE」最大的不同。
企業級方案,通常會是將流量導回雲端(POP 點)進行清洗和檢查,並以各資安設備公司的特徵碼、安全技術來確保客戶使用上的安全。
QNAP 方案則是利用 QHora 路由器的硬體效能進行邊緣運算,在地端(Edge)直接執行 L7 防火牆、網站過濾與入侵偵測。
QNAP 在中小企業領域,確實提供了一種輕量級 SASE 解決方案,我們可以將其定義為「地端優先的 SASE (On-Premise / Edge SASE)」,以 10 個據點的企業來說,建構一組這樣的方案,硬體成本居然才不到 30 萬元 (若以 QHora-322 市售價格來估算,10 台僅約 20 多萬元不等),剩下的就是網路連線的費用,專業人員的設定時間或其他衍生成本等等,可說這種方案是企業在建構多點網路時很划算的選擇。
比較企業級 SASE vs. QNAP 方案
| 特性 | 傳統企業級 SASE (如 Palo Alto, Cisco) | QNAP 方案 (QHora + QuWAN) |
| 核心架構 | 雲端原生 (Cloud-Native),流量回雲端清洗 | 邊緣優先 (Edge-First),在地端處理流量 |
| 安全性 | 極高,包含深度封包檢測、沙箱分析 | 高,具備 L7 防火牆、網站過濾、QuWAN 加密 |
| 部署難度 | 高,通常需要專業 SI 協助導入 | 極低,強調 ZTP (零接觸部署) 與隨插即用 |
| 訂閱費用 | 昂貴,通常按使用者人頭計費 (Per User) | 極具競爭力,QuWAN 基礎功能免費,硬體一次性買斷 |
| 適用場景 | 大型跨國企業、高度合規需求金融業 | SMB、零售連鎖、多據點辦公室、工作室 |
| VPN 組網 | 需配置複雜的 Gateway 或 Client | 獨家 Mesh VPN 技術,自動化組網 |
QNAP QHora 加上 QuWAN 在 SASE 市場的定位
如果說 Palo Alto 是 SASE 界的法拉利,那麼 QNAP 的 QHora 加上 QuWAN 就像是一台配備不錯的多功能休旅車。 對於預算有限、沒有龐大專職資安團隊的中小企業(SMB),或是擁有數十個據點(如連鎖超商、咖啡廳)的企業來說,採購全套企業級 SASE 往往是殺雞焉用牛刀。
而QNAP 這類方案的價值在於「將 SASE 的核心優勢(SD-WAN 自動組網 + 雲端集中管理)平民化」。它利用 QHora 的硬體和軟體架構解決了邊緣安全問題,並透過 QuWAN 解決了最網管頭痛的多點 VPN 連線問題。
QHora-322 資安路由器
所以,QNAP 的方案屬於 SASE 範圍嗎? 儘管不是最正統的 SASE 服務方案,但這個答案仍舊是肯定的。它填補了市場上「輕量級 SASE」的真空帶,為不需要複雜雲端清洗服務,但極度渴望多據點能進行安全互聯的用戶,提供了一個相對實惠的選擇。
而對於需要更強大資料處理和更多大量據點的企業來說,前述企業級 SASE 方案是很值得研究與部署的,搭配各家特點與專長,在許多領域有適合不同公司的解決方案可選。
