软件定义广域网络(SD-WAN)与安全访问服务边缘(SASE)

2019-12-17 16:17:12 云杰通信 229

软件定义广域网络(SD-WAN)与安全访问服务边缘(SASE)

网络安全曾经如此简单。一家公司建立一个企业数据中心,并雇用一些网络安全专业人员。员工将在上午8点出现在工作地点并登录到台式计算机,只要可以保护用户名和密码,整个公司的网络安全就可以保持不变。

时代真的变了。企业数据中心虽然尚未过时,但实际上可能已失去实用性,因为云计算和大量的“按服务提供任何产品”已经彻底改变了网络环境和工作流程。

员工经常进行远程通勤或在偏远地区工作,承包商和供应商遍布世界各地,需要24/7全天候访问各种公司资源。将所有这些流量强制通过数据中心往返于云的方式不再有意义。甚至将数据中心作为某种“网络边缘”的概念也迅速让位于更加灵活,网络访问和安全性从数据中心移开了。

Gartner和SASE

Gartner在最新文章“网络安全的未来在云端”中,向我们介绍了“安全访问服务边缘”的概念,他们将其称为“ SASE”: 数字业务转型会颠覆网络和安全服务设计模式,将重点转移到身份验证的身份上。用户或设备的复杂性、延迟以及一次解密和检查加密流量的需求将增加将网络和安全性服务功能整合到云计算提供的安全访问服务边缘的需求( SASE)。

因此,SASE似乎正从根本上改变网络安全格局。其中,SASE强调了最后一公里的高性能和安全连接性,这对于分支机构而言,最好通过SD-WAN实现。

SD-WAN仍然是关键组件

Gartner继续说道:随着企业对分布式边缘计算功能的需求不断增长,并且越来越接近需要低延迟访问本地存储的系统和设备,使用模式的数字反转将进一步扩展和计算。

敏捷支持数字业务转型的需求,同时保持可管理的复杂性以支持访问模式的反转,这将成为新市场的主要推动力。这个市场融合了网络(例如SD-WAN)和网络安全服务(例如SWG,CASB和防火墙即服务[FWaaS])的融合。我们将其称为安全访问服务边缘(SASE),它主要作为基于云的服务提供。

Gartner讨论的数字反转是指越来越多的工作负载、应用程序、数据和整体流量不再与企业数据中心联系在一起,而是直接与云交互的事实。这也直接意味着更智能,更快和更强大的边缘计算,因为现在经常将数据中心排除在工作负载之外。

随着行业过渡到更加基于SASE的网络安全模型,分支机构和其他远程位置中使用的SD-WAN路由器仍然是关键组件。

SD-WAN使企业(中小型/大型企业,分支机构,远程工作站点,甚至非有线站点,移动企业)可以最佳地利用多个WAN或蜂窝资源。这极大地促进了安全的服务边缘模型,因为它确保了与任何云资源的坚如磐石的连接。

理想情况下,定义服务边缘的CPE(客户驻地设备)设备将SD-WAN与多个ISP提供商一起使用。这使设备可以监视每个WAN链接,并确保流量始终遵循通往云的最佳路径。通常,这可能是具有最小延迟的链接,但是还必须考虑其他网络特性。在任何给定时间,抖动或数据包丢失过多的低延迟链路可能都不是最佳选择。其他网络应用程序可能更依赖带宽,而对延迟的依赖则更少,例如,大文件上载或下载。

应用SASE策略将需要检查和理解数据上下文

为了在任何地方提供对用户,设备和云服务的低延迟访问,企业需要具有全球性的接入点(POP)和对等关系结构的SASE产品

这些发现都暗含支持SD-WAN的实现。

检查和理解数据上下文对于SASE显然至关重要,因为如果授权用户使用Facebook,访问私人财务或医疗数据,在Salesforce上寻找潜在客户或访问公司专有信息,则所应用的安全策略将大不相同。

对于诸如VoIP或实时流视频之类的各种应用而言,低延迟至关重要。

一些更复杂的SD-WAN设备利用NFV(网络功能虚拟化)将各种覆盖平面应用于网络体系结构。这允许为特定应用实现定制的安全IP隧道。

例如,一个隧道可以优化低延迟,而另一个隧道可以优化高带宽。根据不同的应用,将执行实时数据包导向以确保每个数据包都通过最佳隧道。VoIP数据包将始终看到最低的延迟路径,而大型文件下载数据包将始终获得可用的最高带宽路径。

显然,具有NFV覆盖隧道的智能SD-WAN设备必须了解数据上下文,才能正确引导数据包。这些设备自然也将具有针对低延迟而优化的安全隧道。这两项功能都是Gartner在上述关键发现中的基础。

实际上,SASE环境实际上可以利用这些功能作为整体解决方案的一部分。可以建立其他隧道以促进SASE操作。可以将高度敏感的会话路由到高度安全的隧道,而更多普通的会话可能会保留在加密程度较低的隧道上,对于延迟敏感的应用程序流也是如此。