مع انتشار العمل الهجين، لم يَعُد منطقياً إعادة توجيه (backhaul) كل حركة المستخدمين البعيدين إلى الـ HQ عبر VPN لفحصها. الـ SASE هو نموذج converged يدمج الـ networking والـ security ويسلّمهما من الـ cloud عند الـ edge، وFortiSASE هو تطبيق Fortinet لهذا النموذج عبر منصة SSE مُدارة من console واحدة.

• 1SASE = Secure Access Service Edge: نموذج converged يجمع الـ networking والـ security ويسلّمهما cloud-delivered عند الـ edge بدل الأجهزة المركزية في الـ HQ.
• 2FortiSASE يقدّم الـ SSE security stack من الـ cloud: SWG (Secure Web Gateway), ZTNA, CASB (inline + API), FWaaS, وDLP، مع تكامل مع Fortinet SD-WAN عبر thin edge.
• 3الفكرة الجوهرية: توجيه حركة المستخدم البعيد (steering) إلى أقرب FortiSASE PoP للفحص، بدل الـ backhaul إلى الـ HQ — فتقلّ الـ latency وتُطبَّق نفس الـ policy في كل مكان.
• 4وضعان للوصول: agent-based عبر FortiClient على الـ managed endpoints (full tunnel)، وagentless كـ clientless web/ZTNA لأجهزة الـ BYOD.
• 5العائد: policy واحدة وconsole واحدة للمستخدمين أينما كانوا — يحلّ محلّ نموذج الـ VPN-backhaul التقليدي ويضمن أماناً متّسقاً للوصول إلى الإنترنت والـ SaaS والـ private apps.

• في النموذج التقليدي، يبني المستخدم البعيد VPN tunnel إلى الـ HQ، فتُعاد كل حركته (حتى المتّجهة إلى الإنترنت أو الـ SaaS) إلى الداخل لتُفحص ثم تخرج مجدداً — وهو ما يُسمّى hairpin/backhaul ويضيف latency ويُحمّل الـ HQ firewall. FortiSASE يكسر هذا بفحص الحركة عند أقرب PoP.
• الـ ZTNA في FortiSASE يستبدل الوصول الواسع الذي يمنحه الـ VPN بوصول per-application قائم على الهوية وحالة الجهاز (posture)، وفق مبدأ never trust, always verify — فلا يرى المستخدم إلا التطبيقات المصرّح بها فقط بدل الشبكة كاملة.
• الـ CASB يعمل بأسلوبين: inline (في مسار الحركة لفرض الـ policy لحظياً على تطبيقات الـ SaaS) وAPI-based (out-of-band عبر ربط الـ SaaS APIs لفحص البيانات الساكنة واكتشاف الـ shadow IT). دمجه مع الـ DLP يمنع تسرّب البيانات الحسّاسة عبر تطبيقات السحابة.