Palo Alto Networks Systems Engineer - SASE (PSE SASE)

认证概述

PSE-SASE 是 Palo Alto Networks 为合作伙伴售前系统工程师（Pre-sales SE）设计的 SASE 解决方案认证，验证候选人能够向企业客户清晰阐述 Prisma Access 和 Prisma SD-WAN 的架构优势和业务价值。SASE（Secure Access Service Edge）将网络和安全功能统一交付到云端，解决传统 Hub-and-Spoke 网络架构在远程办公和分支机构场景下的安全和性能瓶颈。Palo Alto 的 SASE 方案核心是 Prisma Access（基于云的网络安全平台，整合了 NGFW/SWG/CASB/ZTNA/DLP）+ Prisma SD-WAN（CloudBlade 架构，分支到云直连）。ZTNA 2.0 是 PSE-SASE 考试的重点考察内容，区别于第一代 ZTNA 的关键改进：持续信任验证（Continuous Trust Verification）、应用层深度检测（Security Inspection）、覆盖所有 TCP/UDP 协议（非仅 HTTP/HTTPS）。75 题、90 分钟，$250 考试费，有效期 3 年。

考试领域

• SASE 架构与 Prisma Access 平台：Prisma Access 全球骨干网（GPCS/GlobalProtect Cloud Service）的 PoP 分布；Remote User 和 Remote Networks（分支机构）两种接入模式；移动用户（GlobalProtect Agent/Explicit Proxy 两种接入方式）；安全处理节点（Security Processing Node, SPN）架构；Prisma Access vs 传统 VPN/MPLS 的业务价值对比
• ZTNA 2.0 零信任网络访问：ZTNA 1.0 的局限性（最小权限不足、无持续信任验证、仅支持 HTTP 应用）；ZTNA 2.0 改进点：Least-Privileged Access 精细到连接级别、Continuous Trust Verification 持续验证（检测异常行为吊销访问）、Deep and Ongoing Security Inspection（应用层威胁检测）、全协议覆盖（TCP/UDP 包括非 HTTP 应用）；Agent-based vs Agentless ZTNA 部署选择
• 安全服务（SWG/CASB/DLP）：SWG 安全 Web 网关（云交付 URL 过滤 + 威胁防御，避免流量回传）；CASB 云访问安全代理（API Mode vs Inline Mode 的适用场景：已知/未知 SaaS 应用管控）；DLP 数据丢失防护（预定义数据模式匹配，云文档 + 网络传输 DLP）；Shadow IT 发现（未授权 SaaS 应用识别和管控）
• Prisma SD-WAN（CloudBlade 架构）：CloudBlade 架构中的 ION（Intelligent On-ramp Nodes）硬/软件选型；分支机构直接互联（Branch-to-Branch Routing）；与 Prisma Access 的集成（SASE 安全 + SD-WAN 性能）；App-ID 感知路由（Application-Aware Routing）；WAN 链路故障切换和 SLA 保障
• Prisma SASE 方案设计与对比：Palo Alto SASE vs 传统安全堆叠（FW + VPN + Proxy + CASB 独立产品）；SASE 合规架构（Prisma Access 符合 GDPR/HIPAA/SOC 2）；企业 SASE 部署路径（Phase 1 远程用户 → Phase 2 分支机构 → Phase 3 全员覆盖）

适合人群

Palo Alto 合作伙伴售前系统工程师（Pre-Sales SE）在企业数字化转型和远程办公安全项目中负责 SASE 解决方案的技术方案设计，以及希望从传统网络安全（防火墙/VPN/MPLS）向 SASE/云安全转型的技术销售人员。