為中資出海、外資落地
提供一站式、全方位網絡通信解決方案
誠摯為您,互聯世界
為中資出海、外資落地
提供一站式、全方位網絡通信解決方案
誠摯為您,互聯世界
行業資訊 發表時間:2022年12月20日 12:26 作者:夽谷 瀏覽量:624
有人說,SASE將替代SD-WAN成為企業最優網絡解決方案?
究竟SASE是什么黑科技?是市場炒作還是新一波熱潮?是進化版的SD-WAN嗎?本文將一一為您解答。
在了解SASE前,先跟大家談談SD-WAN。
SD-WAN(software define Wide Area Network)即軟件定義廣域網,是將SDN技術應用到廣域網場景中所形成的一種服務,這種服務用于連接廣闊地理范圍的企業網絡、數據中心、互聯網應用及云服務。
SD-WAN不受傳輸方式限制,能大幅度幫企業節約網絡成本,在更短的時間內實現方案交付,優化應用程序的體驗和效率。
有興趣的小伙伴可以去博主的主頁,詳細了解一下。
SASE(Secure Access Service Edge),安全訪問服務邊緣,是Gartner在2019年8月的報告《云中網絡安全的未來》中引入的新的企業網絡技術類別。
Gartner對SASE的定義:SASE 是一種基于實體的身份、實時上下文、企業安全/合規策略,以及在整個會話中持續評估風險/信任的服務。實體的身份可與人員、人員組(分支辦公室)、設備、應用、服務、物聯網系統或邊緣計算場地相關聯。
SASE作為一種新興的體系結構,結合了云訪問安全代理(CASB)、安全Web網關(SWG)、零信任網絡訪問(ZTNA)、集成式SD-WAN和防火墻即服務五大技術。將網絡和安全解決方案的功能融合為「統一的全球云原生服務」。滿足數字企業的動態安全訪問需求,真正實現用戶對云上業務或數據中心隨時隨地、低延遲、更安全的動態訪問。
SD-WAN只提供網絡連接,需要SASE來提供邊緣網絡安全?
這樣的認識并不正確。
SD-WAN技術的設計本身也提供安全性,可以在任何物理網絡鏈路上可以提供企業級安全性(相當于 MPLS)。
典型的 SD-WAN 安全功能包括:
使用 DTLS(使用 AES-GCM 證書交換和身份驗證)或 IPSec(使用 IKE 密鑰交換)進行鏈路加密。
遠程設備 (CPE) 的零接觸自動配置,以確保安全的初始設置。
支持在鏈路拓撲中插入虛擬網絡服務 (VNF),例如 NGFW 、內容過濾器。
網絡微分段使用虛擬網絡和防火墻按應用程序、安全級別或其他標準劃分廣域網流量。微分段還允許 SD-WAN 使用特定于用戶、組和應用程序的路由/防火墻規則實施簡單的內容控制策略。
SD-WAN 能提供滿足企業需求的網絡安全基礎,并且遠遠超出了傳統客戶端或站點虛擬專用網提供的功能。與其把SASE看作是SD-WAN的創新替代品,不如把它看作是在SD-WAN基礎之上分層安全性的演進改進。也可以把SASE看作是通過一套網絡、數據和用戶安全功能來支持SD-WAN。
SASE 為 SD-WAN 添加了四個安全功能:
下一代防火墻即服務 (FWaaS) :目前已經通過NFV和虛擬防火墻設備被許多SD WAN用戶所整合。
SWG (Secure Web Gateway):用于監控和過濾Web流量。
云訪問安全代理 (CASB) :通過提供應用級網絡可見性和策略實施來擴展 SWG。
零信任網絡訪問 (ZTNA) :使用基于發起設備、發起用戶和目標應用或服務的細粒度策略,使用特定于應用和會話的身份驗證,取代了使用客戶端虛擬專用網絡的訪問安全性。ZTNA 是對傳統遠程訪問安全性的最大改變,它需要提供用戶和設備憑據(通常基于證書)、證書頒發機構 (CA)、SSO 服務和設備訪問代理。
SD-WAN 和 SASE 不應被視為相互替代的關系,而應該被認為是互補的。
比如,SASE關于網絡連接的部分是由SD-WAN實現。但如果企業不注重遠程辦公并且其遠程位置有足夠的 MPLS 覆蓋,那么沒有 SD-WAN 的情況下也是可以應用 SASE 的安全功能。
又比如在以SaaS為中心、有大量居家辦公或異地出差員工的企業環境中,將安全性強制集中到數據中心設備上既昂貴又低效。云部署不僅限于 SASE,它也是交付基本SD-WAN服務的一種有效方式。一些NaaS供應商早就通過將控制平面集中在云基礎設施上,并使用私有核心網和全球分布的POP,提供SD-WAN即服務。
SASE 不是 SD-WAN 的繼任者,而是它的隊友,為軟件定義的 WAN 基礎添加安全功能,它們是互補的且擁有獨立部署的功能,都可以部署在任何 VM 或容器環境中,無論是作為云服務 (NaaS)、云 IaaS還是混合部署。
SASE優勢在于它為組織提供了一個完整的、集成的安全組合,覆蓋了大多數情況,并消除了將單點產品拼湊在一起的問題。對于完整的、集成安全組合的SASE方案,企業其實更愿意逐步地、增量地慢慢引入關于SASE的應用或服務。
在這樣的情況下,SD-WAN 更適合企業變更管理,因為它可以無縫銜接,允許企業根據需要在 WAN 中整合NGFW(下一代防火墻)、WAF(Web應用防護系統)和SWG(安全Web網關)等基本功能作為“改造項目”進行網絡架構升級,SD-WAN 對 SASE互為補充,可以打造更適合企業的、高度可靠、可擴展、高性能和安全的遠程連接解決方案。
