云安全變革性技術(shù):Gartner 提出安全訪問(wèn)服務(wù)邊緣 (SASE) 模型

nana
傳統(tǒng)架構(gòu)的復(fù)雜性引入的問(wèn)題包括延遲、聯(lián)網(wǎng)盲點(diǎn)、過(guò)多管理開(kāi)銷和隨服務(wù)改變不得不頻繁重新配置。通過(guò)降低網(wǎng)絡(luò)復(fù)雜度和將安全過(guò)程遷移至可發(fā)揮最大效用的網(wǎng)絡(luò)邊緣,SASE 模型摒除了這些問(wèn)題。

云服務(wù)和網(wǎng)絡(luò)正在驅(qū)動(dòng)數(shù)字業(yè)務(wù)的概念,但傳統(tǒng)網(wǎng)絡(luò)和網(wǎng)絡(luò)安全架構(gòu)遠(yuǎn)未達(dá)到數(shù)字業(yè)務(wù)的需求。

Gartner 發(fā)布的《網(wǎng)絡(luò)安全的未來(lái)在云端》報(bào)告,詳細(xì)說(shuō)明了新型網(wǎng)絡(luò)及安全模型基礎(chǔ)上云端網(wǎng)絡(luò)和安全轉(zhuǎn)型的潛力。該模型名為安全訪問(wèn)服務(wù)邊緣 (SASE),由 Gartner 主要安全分析師 Neil MacDonald、Lawrence Orans 和 Joe Skorupa 提出。

Gartner聲稱,SASE 有潛力將已建立的網(wǎng)絡(luò)和安全服務(wù)堆棧從一個(gè)基于數(shù)據(jù)中心的服務(wù)堆棧轉(zhuǎn)變?yōu)橐粋€(gè)將身份焦點(diǎn)轉(zhuǎn)移到用戶和終端設(shè)備的設(shè)計(jì)。

SASE 解決云端采用的傳統(tǒng)網(wǎng)絡(luò)安全方法里發(fā)現(xiàn)的諸多問(wèn)題。此類問(wèn)題的根源大多存在于網(wǎng)絡(luò)安全架構(gòu)必須位于數(shù)據(jù)中心連接核心的思想意識(shí)。

這些遺留的網(wǎng)絡(luò)安全應(yīng)用無(wú)法高效支持更新的聯(lián)網(wǎng)理念和用例,比如轉(zhuǎn)向動(dòng)態(tài)服務(wù)、軟件即服務(wù) (SaaS) 應(yīng)用,以及企業(yè)需處理分布式數(shù)據(jù)的大趨勢(shì)。

傳統(tǒng)網(wǎng)絡(luò)及網(wǎng)絡(luò)安全架構(gòu),是為企業(yè)數(shù)據(jù)中心即用戶和設(shè)備訪問(wèn)所需實(shí)體中心的時(shí)代而設(shè)計(jì)的。此前這一模型效果不錯(cuò),但數(shù)字化轉(zhuǎn)型催生了一些新的要求。

隨著企業(yè)紛紛擁抱數(shù)字業(yè)務(wù)過(guò)程,以及邊緣計(jì)算、云服務(wù)和混合網(wǎng)絡(luò)的興起,傳統(tǒng)網(wǎng)絡(luò)和安全架構(gòu)開(kāi)始多方崩塌的跡象越來(lái)越明顯。

傳統(tǒng)架構(gòu)的復(fù)雜性引入的問(wèn)題包括延遲、聯(lián)網(wǎng)盲點(diǎn)、過(guò)多管理開(kāi)銷和隨服務(wù)改變不得不頻繁重新配置。通過(guò)降低網(wǎng)絡(luò)復(fù)雜度和將安全過(guò)程遷移至可發(fā)揮最大效用的網(wǎng)絡(luò)邊緣,SASE 模型摒除了這些問(wèn)題。

作為一種顛覆性新興技術(shù),Gartner 著重強(qiáng)調(diào)了 SASE 的重要性,其《2019 企業(yè)網(wǎng)絡(luò)炒作周期》報(bào)告中就隆重推出 SASE,為這種技術(shù)貼上了 “變革性技術(shù)” 的標(biāo)簽。該報(bào)告還確立了 SASE 樣板提供商和關(guān)鍵元素。

SASE 到底是什么?

根據(jù) Gartner 的定義,SASE 有四個(gè)主要特征:

1. 身份驅(qū)動(dòng)

不僅僅是 IP 地址,用戶和資源身份決定網(wǎng)絡(luò)互連體驗(yàn)和訪問(wèn)權(quán)限級(jí)別。服務(wù)質(zhì)量、路由選擇、應(yīng)用的風(fēng)險(xiǎn)安全控制——所有這些都由與每個(gè)網(wǎng)絡(luò)連接相關(guān)聯(lián)的身份所驅(qū)動(dòng)。采用該方法,公司企業(yè)為用戶開(kāi)發(fā)一套網(wǎng)絡(luò)和安全策略,無(wú)需考慮設(shè)備或地理位置,從而降低運(yùn)營(yíng)開(kāi)銷。

2. 云原生架構(gòu)

SASE 架構(gòu)利用云的幾個(gè)主要功能,包括彈性、自適應(yīng)性、自恢復(fù)能力和自維護(hù)功能,提供一個(gè)可以分?jǐn)偪蛻糸_(kāi)銷以提供最大效率的平臺(tái),可很方便地適應(yīng)新興業(yè)務(wù)需求,而且隨處可用。

3. 支持所有邊緣

SASE 為所有公司資源創(chuàng)建了一個(gè)網(wǎng)絡(luò)——數(shù)據(jù)中心、分公司、云資源和移動(dòng)用戶。舉個(gè)例子,軟件定義廣域網(wǎng) (SD-WAN) 設(shè)備支持物理邊緣,而移動(dòng)客戶端和無(wú)客戶端瀏覽器訪問(wèn)連接四處游走的用戶。

4. 全球分布

為確保所有網(wǎng)絡(luò)和安全功能隨處可用,并向全部邊緣交付盡可能好的體驗(yàn),SASE 云必須全球分布。因此,Gartner 指出,必須擴(kuò)展自身覆蓋面,向企業(yè)邊緣交付低延遲服務(wù)。

最終,SASE 架構(gòu)的目標(biāo)是要能夠更容易地實(shí)現(xiàn)安全的云環(huán)境。SASE 提供了一種摒棄傳統(tǒng)方法的設(shè)計(jì)哲學(xué),拋棄了將 SD-WAN 設(shè)備、防火墻、IPS 設(shè)備和各種其他網(wǎng)絡(luò)及安全解決方案拼湊到一起的做法。SASE 以一個(gè)安全的全球 SD-WAN 服務(wù)代替了難以管理的技術(shù)大雜燴。

可用SASE服務(wù)

Gartner 承認(rèn),SASE 市場(chǎng)仍在不斷變化,沒(méi)有哪家供應(yīng)商提供全部 SASE 功能組合。Zscaler 等部分供應(yīng)商提供防火墻即服務(wù),但缺乏 SASE 要求的 SD-WAN 功能(及其他安全功能)。其他供應(yīng)商提供安全即設(shè)備,但并未在云原生全球網(wǎng)絡(luò)中。

Cato Networks 的服務(wù)是最接近現(xiàn)實(shí) SASE 服務(wù)的。Cato Networks 提供全球私有主干網(wǎng)(最后共有 50+ 存在點(diǎn) (PoP))。這些 PoP 托起了 Cato 薈聚網(wǎng)絡(luò)與網(wǎng)絡(luò)安全的自有云原生架構(gòu)。Cato 軟件是單通云架構(gòu)。所有網(wǎng)絡(luò)優(yōu)化、安全檢查和策略實(shí)施都在流量轉(zhuǎn)發(fā)至其目的地址之前以豐富上下文完成。

按 Cato 的說(shuō)法,各種“邊緣”通過(guò)建立通往最近 Cato PoP 的加密隧道連接。該平臺(tái)通過(guò) Cato 的 SD-WAN 設(shè)備 Cato Socket 連接各位置;移動(dòng)用戶通過(guò) Cato 的客戶端和無(wú)客戶端訪問(wèn)連接;云資源通過(guò) Cato 的“無(wú)代理”集成連接。甚至第三方設(shè)備也可通過(guò)建立通向最近 Cato PoP 的 IPsec 隧道連接起來(lái)。

身份和訪問(wèn)被統(tǒng)一進(jìn)方便管理的范式。該范式使企業(yè)可專注安全策略而非安全及網(wǎng)絡(luò)組件,還支持轉(zhuǎn)向安全連接所有網(wǎng)絡(luò)邊緣的全球性分布式架構(gòu)。

SASE:遠(yuǎn)不止正確做安全

SASE 遠(yuǎn)超安全框架,是一個(gè)新的網(wǎng)絡(luò)模型,將訪問(wèn)技術(shù)棧壓進(jìn)方便管理的連接網(wǎng)絡(luò),且以安全為核心。這使得 SASE 云更為精悍,因?yàn)樗泄δ芏妓C聚到了一起。

SASE 處理流量更快,延遲更小,同時(shí)比其他網(wǎng)絡(luò)和安全方法納入了更多的上下文。作為軟件定義的平臺(tái),SASE 可快速適應(yīng)變化,比如規(guī)模或敏捷性驅(qū)動(dòng)的重配置。SASE 還引入了額外的網(wǎng)絡(luò)防護(hù),例如業(yè)務(wù)連續(xù)性、負(fù)載分配和正常運(yùn)行時(shí)間改善等概念。

THEEND

最新評(píng)論(評(píng)論僅代表用戶觀點(diǎn))

更多
暫無(wú)評(píng)論