不是很好如果有一个基于云的服务,结合任何位置的网络和安全,这样用户可以安全、有效地访问应用程序和数据位于任何地方?这是SASE的目的与瓦斯(押韵)。SASE不是单一产品,而是这是一个方法,一个平台,功能的集合,一个愿望。
Gartner创造了这个词在2019年的一项安全访问服务优势研究报告,这个名字。供应商一直在做后空翻试图拼凑出完整的SASE发行,这将包括至少软件定义WAN (SD-WAN),安全Web门户(SWG),云访问安全代理(CASB) firewall-as-a-service (FWaaS)和零信任网络访问(ZTNA)。
SASE资源:什么期望从SASE认证;SASE清单:7关键的评估标准;Gartner: SD-WAN SASE是广域网边缘的最大动力基础设施
照目前情况看,很少,如果有的话,供应商有一个完整的、成熟的SASE祭。在其2021年战略路线图SASE收敛Gartner警告说,“不是每个供应商声称提供SASE产品目前提供所有必需的和推荐的SASE能力。即便如此,并不是所有的SASE供应商的能力都处于同一水平的功能和成熟。”
但不要担心。Gartner指出“企业过渡到一个完整的SASE模型需要时间。“给一些粗略的时间表,Gartner预测,到2025年,至少有60%的企业将SASE采用的策略和时间表,充分采用更远的将来。
如何迅速组织可以搬到SASE会受到多种因素的影响,包括硬件刷新周期,分支机构的速度转换项目,技能差距,组织安全和网络团队之间的裂痕。
所以,还需要一段时间,但现在是时候开始旅程。这个买家指南将概述供应商选择和识别的关键问题,企业需要寻求SASE的问。
SASE是什么?
首先,让我们定义功能包含在SASE的集群。
- SD-WAN:软件定义广域网技术部署在远程站点为骨料,保护和优化所有类型的广域网流量。最初出售来减少依赖昂贵的MPLS链接,SD-WAN已经成为不可或缺的分支机构员工需要访问网络生产力应用程序。
- FWaaS:下一代firewall-as-a-service取代硬件防火墙的基于云的软件相当于易于部署和管理。FWaaS通常包括IPS / id和反恶意软件。
- SWG:安全Web门户是一个块的内容过滤恶意流量,而且也帮助实施内容和数据访问策略。SWG功能包括URL过滤、SSL检验和DNS监控。
- CASB:云访问安全代理监控出站和入站交通安全与合规政策。CASBs还提供可见性SaaS应用程序。
- ZTNA:零信任是另一个analyst-inspired术语(约翰Kindervag),也比一个特定产品的方法。零信任概念是所有用户和设备,不管位置,应考虑不可信的默认情况下,应该在每个登录需要验证,应该限制访问应用程序和应监控整个会话期间未经授权的或可疑的活动。方法实现零信任包括多因素身份验证、细粒度的访问控制和网络分割。
这些都是核心SASE的能力。但还有其他辅助功能,也可以购买决策的一部分,比如执行速度线SASE功能,远程浏览器隔离,网络沙盒,对非托管设备的支持,Web应用程序和API的保护。此外,根据不同的使用情况下,无线网络热点保护或支持的遗产vpn可能是一个包的一部分。
SASE供应商景观
供应商提供的列表SASE似乎增长了,但这里的主要类别是SASE供应商。
网络供应商
思科、极端,VMware和其他人SASE的潮流。这些供应商战略并购和试图拼凑出完整SASE组合,在内部或通过伙伴关系。
例如,在8月,极端的伊帕内玛买技术,SD-WAN / SASE供应商。思科致力于整合多个收购其伞SASE的旗帜下,包括Viptela (SD-WAN) Meraki (SD-WAN)和二人安全(零信任、多因素身份验证)。VMware合并其VeloCloud SD-WAN收购NSX等车型的底盘网络虚拟化和安全平台。它也与门罗安全和Zscaler充实其SASE祭。
传统安全厂商
安全厂商如帕洛阿尔托,McAfee, Forcepoint、梭鱼和Fortinet也拼凑SASE的产品,通过内部发展和收购。
帕洛阿尔托买SD-WAN供应商CloudGenix, Fortinet为零买OPAQ信任,梭鱼捡起零信任启动Fyde, McAfee买了浏览器厂商光隔离安全点,Forcepoint获得安全服务公司Bitglass边缘。
进行安全厂商
几家公司已经创建了自己的全球云计算网络,构建原生云SASE的能力。列表包括卡托网络、Netskope和Zscaler。与传统安全厂商,这些新来者是忙着新的SASE功能添加到他们的投资组合,在内部或通过伙伴关系。例如卡托刚刚宣布它已经筹集了2亿美元新资金,该公司表示,这将有助于CASB提供的发展速度。
内容分发网络(CDN)供应商Cloudflare和Akamai SASE功能构建到他们的全球云计算网络。AT&T和Verizon等和强国供应商组装SASE祭,又与其他供应商合作。美国电话电报公司(AT&T)最近宣布了一项使用帕洛阿尔托齿轮SASE服务。Verizon宣布SASE提供包括技术和Zscaler,和IBM与Zscaler SASE。
有许多的选择可能会让人感到畏惧,和很难梳理SASE功能是本土的,哪些已经从其他供应商获得的,但一个重要的好处,Gartner定义的术语,而不是供应商,是没有歧义的诸多方面。没有做出决策领域的硬件和软件,on-prem与云,最佳点产品和战略合作伙伴。SASE,根据定义,是一个纯软件,云计算,管理服务,应由一个或最多两个,提供者。
下面是一些具体的问题要问潜在SASE提供者将有助于缩小你的搜索:
问题企业问
网络安全厂商:
- 供应商提供的所有功能都包含在SASE的定义?如果不是这样,差距在哪里?如果卖方要求提供的所有功能,优点和缺点是什么?供应商产品的成熟度如何网或与自己的长处,弱点和优先级?换句话说,如果你最大的需要是零信任,和供应商的力量是SD-WAN,那么可能不是正确的。
- 如何集成多个组件组成SASE吗?一体化无缝的吗?
- 假设供应商仍然是构建其SASE,供应商的路线图是什么样子?什么是供应商的内部方法的构建能力或通过收购?什么是供应商的整合记录过去的收购?如果建筑内部,供应商的记录达到其产品发布期限吗?
- 它是谁的云呢?供应商有自己的全球云,还是与人合作?如果是这样,这种关系是如何工作的责任,管理、sla,故障排除?
管理服务提供商:
- 他们有多少持久性有机污染物,它们位于何处?供应商的云足迹与分支机构的位置对齐?
- 供应商有规模、带宽和技术交付line-rate交通检查吗?
- 原生云供应商:你怎么能证明你的本土SASE工具较量,说,从名牌防火墙厂商的防火墙的功能?
- 有风险,供应商可能是一个收购目标?随着市场继续升温,进一步的收购可能,有更大的球员可能吞噬原生云新来者。
- 对传统管理服务巨头AT&T和Verizon一样,57有SASE的能力,他们在哪里,以及他们是如何整合?什么是故障诊断的过程、sla和支持吗?有一个管理面板吗?
对所有潜在的供应商:
的权衡SASE的路线是,企业获得的利益出售很多头痛到服务提供者的肩膀(部署、配置、更新等)。与此同时,它仍然是负责终端用户如果出现错误。因此,必须有一个强大的企业和服务提供者之间的关系,特别是当涉及到管理。下面是具体的问题要问:
- 有灵活性的策略实施吗?换句话说,一个一致的SASE安全策略可以应用在整个全球企业,并在本地政策也可以执行根据业务政策和法规遵循需求?
- 即使执行节点局部,有SASE管理控制平面,使集中管理?这个管理界面应该允许安全和网络政策从一个管理控制台和应用不管用户的位置,应用程序或数据。
- 敏感数据如何处理呢?是什么方面的功能可见性、控制和额外的保护吗?
- 是政策执行持续在所有类型的远程访问企业资源,这些资源是否住在公共网络,在SaaS应用程序中,或者在一个企业应用程序本地生活还是在IaaS环境?
- 政策执行始终是所有可能的场景——个人终端用户访问资源的访问从一个家庭办公室或一个远程位置,在分公司用户组,以及边缘设备,托管和非托管?
- 是加密的网络能够进行单次的检查交通速度行吗?自SASE的承诺是,它结合了多种安全策略实施过程,包括敏感数据的特殊待遇,所有的交通检查必须进行的线路速度在一个通过提供客户需求的用户体验。
- SASE服务可伸缩的弹性,弹性,跨多个持久性有机污染物和可用吗?一定要销服务提供者按照约定执行sla。
- 零信任的关键概念之一是终端用户行为应该监控整个会话和行动来限制或拒绝访问如果最终用户参与行为,违反政策。可以SASE执行这些类型的实时行为?
- SASE将提供一个透明的和简化的终端用户体验,无论相同位置,设备,操作系统,浏览器,等等?
开始:打破竖井,vpn
Gartner表明SASE是一个旅程。“企业不能翻转开关,并采用SASE。绝大多数企业采用SASE将发生在过去的几年里,优先领域最大的机会在节约成本方面,消除复杂性和冗余的供应商,并通过采用零风险减少信任安全姿势。”
公司需要花时间去开发一个整体SASE策略与具体的时间表和可衡量的目标。记住,SASE是优势的策略。SASE需要结合战略行动相对于数据中心,多重云架构,数字转换,应用零信任在整个企业。2020欧洲杯预赛
在内部,公司应该开始打破竖井之间的网络和安全团队。建立跨学科工作组,还包括员工转换和分公司变换是一个很好的第一步。
在具体措施方面,公司应该开始从遗留VPN-based网络访问尽快并开始用ZTNA取代vpn。地图刷新周期和想出一个计划将从基于硬件产品,和转向基于云的选项。目标是有条不紊地巩固供应商的数量以削减成本和降低复杂性。
在这个过渡阶段,保持合同短,确保执行sla,并继续重新审视你SASE迁移计划随着市场的巩固和成熟。