在一个以云为中心的世界中,用户和设备需要访问任何地方的服务。焦点变了。现在是用户和设备的身份,而不是传统的只关注数据中心的模型。2020欧洲杯预赛因此,这些环境变化创造了一个新的景观,我们需要保护和连接。
这种新局面受到许多共同问题的挑战。由于为不同的技术栈部署设备,企业承担了大量的复杂性和开销。遗留网络和安全设计增加了延迟。此外,世界是加密的;在不降低应用程序性能的情况下,需要仔细检查这个维度。
这些是一些表面的云交付的安全访问业务边缘(SASE)的需求的原因。SASE包括一个定制的网络结构优化,其中它使得对于用户来说,设备和应用程序最有意义的 - 在地理上分散的弹出。为了提供最佳的网络体验无处不在,你应该避免互联网核心的不可预测性。在SASE的要求,Gartner建议,这个骨干不应基于AWS或者Azure上。他们的PoP密度不够。这是不够的仅仅提供一个超大规模建一个SASE服务。
有迹象表明,可以通过重新定义网络安全架构来实现明显的好处。是的,通过SASE的降低了复杂性和开销,提高了安全性。它增加了应用程序的性能,但实际上,这是什么意思?
Linda Musthaler在与BioIVT IT总监Andrew Thomson的谈话中有一个很好的例子,生物材料以及研究与发展组织,谁将近两年前通过卡托Networks的SASE平台科学服务的供应商:
他对琳达说:“我们把它定位为一个平台,在接下来的三年里,我们想做的所有事情都可以在这个平台上完成。我们的大目标,商业战略,就是增长和收购。”我们把它作为一个平台,作为一个基础服务来展示,我们只需要有合适的基础服务就可以利用像IP电话,Office 365, Azure,基于云的计算服务,云中的主机服务器。如果没有一个共同核心的坚实基础,我们就不可能在不增加人员进行监视、维护或管理开销的情况下可靠地做这些事情。”
最后一行——“没有增加人员来进行监视、维护或管理开销”——让我感到特别震惊。所以,让我们从架构的角度来理解为什么SASE可以如此有影响力。
复杂性和开销
传统机制是通过位于客户现场的物理设备的硬件容量的限制。这种机制创建所需要增加新的功能的硬件更新速度滞后。
基于硬件的网络和安全解决方案打造成为硬件产品的区别。首先,不同的硬件,可以加速服务和添加新的功能。有一些功能仅适用于特定的硬件,而不是你已经有现场硬件。在这种情况下,将需要由客户繁重。
随着环境的发展变化,我们不应该依赖于新的网络和安全功能从新一代的设备的到来。典型地,该模型是低效的和复杂的。它创建高运营开销和管理的复杂性。
新功能的设备升级需要大量的管理工作。根据过去的经验,换掉一张线路卡需要多个团队的参与。线路卡可能会耗尽端口,或者您可能只是需要新一代的附加功能。在很大程度上,这将涉及项目规划、现场工程师、设计指南,希望还包括线路卡测试和工作时间。对于确保成功刷新的关键站点,可能需要对团队成员进行备份。因此,有许多触摸需要管理。
SASE - 简化管理
在基于云的SASE使新的特性和功能更新,而不需要对设备(物理或虚拟)和软件版本的客户端的新部署。这对易于管理的立竿见影的效果。
现在,网络和安全部署可以在不触及企业网络的情况下进行。这允许企业快速采用新功能。一旦特性和客户设备之间的紧密耦合被移除,这将增加网络和安全服务部署的灵活性和简单性。
随着SASE的平台,当我们创建一个对象,如在网络域的策略,它是那么其他领域可用。因此,分配给用户的任何策略都绑定到该用户,无论网络位置。这显著消除了同时管理的复杂性;在多个地点,用户和设备类型的网络和安全策略。千钧,所有这一切都可以从一个平台来完成。
此外,当我们检查的安全解决方案,许多购买个别电器是只集中在一个作业。要解决问题,你需要收集信息,如从每个设备的日志。这是一个SIEM是有用的,但它只能在一些组织中,因为它的资源重使用。对于没有足够的资源,谁的那些,该过程是繁重的,并会出现误报。
此外,SASE使故障排除更容易,因为所有数据都在一个公共存储库中。您不再需要规范化来自不同设备/解决方案的数据,然后将数据导入到数据库中以实现公共视图。
供应商和技术堆栈的整合
我记得以前在一家咨询公司的经历,当时我们正在规划明年的安全预算。该网络包含许多安全解决方案。所有这些点解决方案都很昂贵,而且从来没有固定的价格。那么你是怎么计划的呢?
一些新的解决方案,我们正在考虑收费的使用模式,在当时我们没有数量。SASE消除了这些类型的头痛。通过将服务合并为单个提供者,最终用户设备上的供应商和代理/客户端数量将会减少。
总的来说,供应商和技术组合的合并将节省大量的复杂性。复杂性从企业内部网络转移到云上。SASE面料抽象了复杂性,降低了成本。
从硬件的角度来看:对于规模和额外的容量,基于云的SASE可以加入同一个实例的多个POP。这被称为垂直缩放。这个比例也可以在新的地点,被称为横向扩展进行。
此外,基于sasbased的云负责密集处理。例如,由于现在大部分的互联网流量都是加密的,恶意软件可以使用加密来逃避和隐藏检测。这里,每个pop都可以对经过tls加密的流量执行DPI。
传统的防火墙无法检测加密的流量。在tls加密的流量上执行DPI需要额外的模块或新设备。SASE解决方案确保在PoP中进行解密和检查。因此,在客户站点上不存在性能问题或对新设备的需求。
提高性能的方法
网络拥塞导致的丢弃和无序数据包对应用程序是不利的。由于数据包丢失,协作、视频、VoIP和web会议等延迟敏感应用程序受到的冲击最大。幸运的是,有一些选项可以最小化延迟和包丢失的影响。
SD-WAN解决方案具有广域网优化特性,可以应用于应用程序或站点到站点的基础上。除了广域网路优化功能外,还有协议和应用程序加速技术可以使用。
除了现有的减少包丢失和延迟的技术之外,我们还可以尽可能地将广域网私有化。你可以控制最后一英里和中间一英里对应用程序产生的不利和不同的影响,方法是通过一个由持久性有机污染物组成的全球骨干进行私有化。
一旦私有化,我们可以有超过流量路径,数据包丢失和延迟的控制。私人网络结构是从SASE获得了关键的好处,因为它驱动应用程序的性能。
SASE的PoP优化
在基于云的解决方案SASE每个POP优化的地方是最有意义的,不仅在广域网边缘。在骨干网内部,我们有全球航线优化,以确定哪条路径是在当前时间最好的,它也可以改变一切交通或某些应用程序。
这些路由算法考虑了性能指标,如延迟、包丢失和抖动。这些算法有助于为每个网络包选择最优路由。广域网主干不断地分析并试图改进性能。这与internet路由不一样,它更看重成本而不是性能。
由于所有的东西都是私有化的,我们拥有所有的信息来创建最大的数据包大小,并使用基于速率的算法,而不是传统的基于丢失的算法。因此,您不需要学习任何东西,并且可以维护端到端吞吐量。
由于每个PoP充当一个TCP代理服务器,所以使用了某些技术,以便TCP客户机和服务器认为它们更接近。因此,设置一个更大的TCP窗口,允许在等待确认之前传递更多的数据。
首选的出口点
我们还可以定义退出云应用程序流量的首选出口点。这些可能是最接近客户应用程序实例的点。最优的全局路由算法确定从世界任何地方到客户的云应用程序实例的最佳路径。
持久性有机污染物可以配置在直接连接到作为服务提供者的所有主要基础设施2020欧洲杯预赛的IXP的数据中心中。这为访问来自Amazon AWS、Microsoft Azure和谷歌云的服务提供了一个良好的入口通道。
因此,大多数情况下,您可以将流量保存在私有云上。在SASE设计中,internet仅用于为SASE织物提供一个短暂的跳跃。
安全-以身份为中心的周长
SASE收敛的网络和安全支柱到一个平台上。这允许多个安全解决方案,为强制执行在所有企业位置,用户和数据的统一政策的云服务。
SASE建议您采用零信任原则。到零信任的初始路径从识别网络访问基于用户、设备和应用程序的身份开始。它不是基于IP地址或设备的物理位置。这是一个很好的理由,因为没有上下文信息。
用户/设备的标识必须反映业务上下文,而不是与与上层完全脱节的二进制结构相关联。这将身份与网络世界绑定在一起,是执行策略的最佳方式。这样,就消除了对IP或应用程序作为标识符的依赖。现在,无论用户/设备位于何处,策略都可以一致地应用。同时,用户/设备/服务的标识可以被考虑到应用的策略中。
基于身份和上下文动态地应用SASE堆栈,同时在云中的策略点上提供零信任。这就是加强以身份为中心的边界的原因。
您可以了解更多有关SASE以及它如何与SD-WAN架构在最近的我当然铺开。该课程照从银峰中,VMware,思科和卡托各种SD-WAN解决方案的火炬。