广域网路由网络和安全栈组成,两者都经历了几个发展阶段。首先,我们从路由器开始,引入广域网优化,然后是edge SD-WAN。从安全的角度来看,我们有许多防火墙代,它们导致网络安全即服务。在今天的场景中,我们已经进入了更适合今天环境的另一个阶段。这个阶段是网络和云安全的融合。
对于一些人来说,网络和安全的发展趋势已经在筒仓方面想过。然而,安全访问服务边缘的新的市场类别(SASE)挑战了这种思想,并建议一个融合云交付的安全访问服务边缘。
Gartner公司提出,网络和网络安全的未来在云中。这是类似于卡托网络已有着相当长的一段时间 - 网络和安全即服务能力的收敛到一个私有,全球云。
我们都知道;当我们使用任何新东西时,总会有噪音。因此,很难分析正确的信息,也很难理解谁在做什么,以及SASE是否真的有益于您的组织。这就是这篇文章的主要动机。然而,在我们继续之前,我有一个问题要问你。
综合广域网功能与综合网络安全功能的结合是下一个发展方向吗?在下面的小节中,我将讨论前面的每个网络和安全阶段,以帮助您回答相同的问题。首先,让我们从网络开始。
联网时代
路由器
我们开始与路由器在广域网边缘,配置动态路由协议。路由协议没有做出对全球信息的决定,并仅限于路由环路的限制。这就限制了应用程序的流量可以采取的路径数。
对于冗余WAN设计,我们需要复杂的BGP调整边界边之间的负载平衡以及路径属性。这是因为这些路径属性可能没有选择最佳执行路径。总的来说,最短路径不一定是最佳路径。
广域网路边缘显示了应用程序必须适应的严格的网络拓扑结构。通过将通信从一个设备推到另一个设备来提供安全性。随着时间的推移,我们开始看到实时语音和视频流量的上升,这些流量对延迟和抖动非常敏感。因此,WAN优化是一个受欢迎的特性。
广域网优化
基本WAN优化包括一系列TCP优化和基本直列压缩。先进的广域网优化包括重复数据删除技术,基于文件的高速缓存和协议特定的优化。确实,这有助于在管理延迟敏感应用程序和应用中的大量数据必须通过WAN传输。
然而,这是一个复杂的部署。需要在连接的两端广域网优化物理设备,不得不被用于所有的应用程序。当时,这是一个全有或全无的方法,你不能推出每个应用广域网优化。此外,它有对远程工作人员,其中用户不设办公室没有影响。
随后,SD-WAN在2015年开始出现。在这一年中,我咨询了一个Azure迁移,并试图这么做创建自己的DIY SD-WAN【免责声明:作者为Network Insight工作】与协议从梭子鱼称为蒂娜。因为我正面临一些挑战,所以我欢迎这个消息SD-WAN张开双臂。这是第一次,我们有抽象的WAN不错的水平,这是可控的。
部署SD-WAN让我有所有的可用带宽。相反,许多WAN优化技术,如数据压缩和重复数据删除是不是有用。
但是其他的,例如错误纠正、协议和应用程序加速,仍然是有用的,并且在今天被广泛使用。不管你捆绑了多少个链接,它仍然可能导致延迟和包丢失,除非你尽可能地私有化。
安全时代
数据包过滤器
种元素,防火墙在许多世代的归类。我们开始与第一代防火墙是只是简单的包过滤器。这些分组过滤器在层2匹配到4层的标头。由于大多数人并没有对TCP SYN标志匹配,这是不可能找出建立的会话。
有状态的设备
第二代防火墙参考状态的装置。状态防火墙保持状态的连接,并允许返回流量,如果该流状态是连接表。
这些状态防火墙没有在应用层检查。第二代防火墙是有状态的,可以跟踪会话的状态。然而,他们无法进入更深的应用,例如,检查HTTP内容和检查用户在做什么。
下一代防火墙
防火墙有状态并不意味着它可以检查应用层并确定用户在做什么。因此,我们切换到第三代防火墙。
这些防火墙类型通常被称为下一代防火墙,因为它们提供与其他网络设备过滤功能相结合的第7层检查。例如,使用内联深度包检查(DPI)或入侵预防系统(IPS)的应用程序防火墙。
最终,其他利基设备开始出现,称为应用级防火墙。这些设备通常只关注HTTP流量,也被称为网络应用防火墙(WAF)。该WAF具有类似的功能扭转web代理,由此终止HTTP会话。
根据我的经验,在使用冗余WAN设计本地活动/活动防火墙时,必须注意非对称流量流。如果防火墙收到一个包,该包没有任何关于该包的连接/状态信息,它将丢弃该包。
具有主动/主动设计是复杂的,而主动/被动设计空闲防火墙是昂贵的。不管怎么说,如果你设法拼凑冗余设计,大多数防火墙供应商将需要安全箱,而不是提供基于策略的安全服务管理。
网络安全即服务
然后我们目睹了一些重大的环境变化。云计算和工作负载迁移的引入彻底改变了网络和安全模式。工作负载的流动性和网络状态的移动给传统的物理安全设备带来了压力。
物理器件不能按照工作量和你不能移动物理设备周围的网络。也有相当大的运营开销。我们必须不断维护这些设备的字面变成一场与时间的赛跑。例如,当发布新的补丁会有一个测试阶段和部署阶段。所有这一切都需要网络变得容易出现漏洞之前完成。
网络安全即服务是一个解决这个问题。网络安全功能,如CASB,FWaaS云SWG现在推到了云中。
汇聚网络与安全
上面描述的所有技术都有时间和地点。但这些传统的网络和网络安全架构正变得越来越无效。
现在,我们有更多的用户,设备,应用程序,服务和位于企业内部比外部的数据。因此,与边缘和基于云的服务的出现,我们需要一个完全不同类型的架构。
该SASE提议相结合的网络作为一种服务功能(SD-WAN,广域网优化等)的安全即服务(SWG,CASB,FWaaS等),以支持动态的安全访问。它广泛集中于用户和/或设备,而不是数据中心的标识。2020欧洲杯预赛
然后,策略可以应用到身份和背景。使用这种模型颠倒了我们对网络和安全性的思维。为了公平起见,我们已经看到采用一些基于云的服务,包括基于云的SWG,内容分发网络(CDN)和WAF。但是,总体的设计保持不变 - 数据中心仍是大多数企业的网络和网络安全架构的中心。2020欧洲杯预赛然而,用户/身份应该是其运营的新中心。
在当今时代,我们有动态的安全访问需求。用户和设备无处不在。因此,安全访问服务需要无处不在,并分布在需要访问的系统和设备附近。当采用以数据为中心的云安全方法时,必须处处跟踪数据。