怎么通过SASE将SD-WAN与安全性结合起来
发布时间:2022-07-12 14:35:34 所属栏目:安全 来源:互联网
导读:SASE也是一种网络架构,可将软件定义广域网(SD-WAN)和安全性集成到云计算服务中,从而保证简化的WAN部署、提高效率和安全性,并为每个应用程序提供适当的带宽。 由于SASE是一项云计算服务,因此可以轻松地按比例放大和缩小并进行计费。因此,在快速变化的时
|
SASE也是一种网络架构,可将软件定义广域网(SD-WAN)和安全性集成到云计算服务中,从而保证简化的WAN部署、提高效率和安全性,并为每个应用程序提供适当的带宽。 由于SASE是一项云计算服务,因此可以轻松地按比例放大和缩小并进行计费。因此,在快速变化的时代,这可能是一个有吸引力的选择。 什么是SASE? 简而言之,SASE将SD-WAN功能与安全性相结合,并将其作为服务交付。根据以下四个因素,针对用户会话实施的安全策略将为每个会话量身定制: 连接组织的身份 场景(设备的健康状况和行为、所访问资源的敏感性) 安全和合规政策 进行风险评估。 SASE的WAN端依赖于由组织提供的功能,这些实体包括SD-WAN提供商、运营商、内容交付网络、网络即服务提供商、带宽聚合器和网络设备供应商。 SASE的好处 因为SASE是一项服务,所以降低了复杂性和成本。企业可以与更少的供应商打交道,减少分支机构和其他远程位置所需的硬件数量,也会减少最终用户设备上的代理数量。 IT管理人员可以采用基于云计算的管理平台集中设置策略,并在靠近最终用户的分布式PoP上实施策略。 无论最终用户需要什么资源,以及自身和资源位于何处,他们都具有相同的访问体验。SASE还通过对用户基于初始登录请求的任何资源采用适当的策略来简化身份验证过程。而安全性得到了提高,因为无论用户位于何处,策略都会得到执行。当新的威胁出现时,服务提供商解决了如何防范这些威胁的问题,而对企业不会提出新的硬件要求。 SASE支持零信任网络,它基于用户、设备和应用程序的访问,而不是位置和IP地址。更多类型的最终用户(员工、合作伙伴、承包商、客户)可以获得访问权限,而不必担心传统安全性(例如虚拟专用网和DMZ)可能受到损害并成为潜在的企业广泛攻击的桥头堡。 SASE可以提供不同的服务质量,因此每个应用程序都可以获得所需的带宽和网络响应能力。 借助SASE,企业IT人员可以减少与部署、监视和维护相关的杂务,并且可以分配更高级别的任务。 SASE面临的挑战 Gartner公司列出了采用SASE面临的一些挑战:例如,最初可能会短缺某些服务,因为这些服务是由具有网络或安全背景的提供商提供的,而另外一些提供商则缺乏专业知识。 最初的SASE产品可能没有以云原生的思维方式设计,因为供应商的传统经验是在出售内部部署硬件,因此他们可能会选择基础设施专用于客户的架构。 为什么需要SASE? Gartner公司的分析师表示,更多的传统企业如今将其功能托管在内部部署数据中心之外,而不是托管在IaaS提供者的云平台、SaaS应用程序和云存储中。物联网和边缘计算的需求只会增加对基于云计算的资源的依赖,而WAN安全架构仍然是为企业内部数据中心量身定做的。 远程用户通常通过虚拟专用网连接,并且需要在每个位置或单个设备上使用防火墙。传统模型要求它们通过集中安全性进行身份验证,以授予访问权限,但也可以通过这一中心位置路由流量。这种传统架构受到复杂性和延迟的阻碍。 集成SD-WAN 传统上,WAN由独立的基础设施组成,通常企业需要在硬件上进行大量投资。 SASE版本全部基于云计算,由软件定义和管理,并具有分布式PoP,在理想情况下,分布式PoP位于企业数据中心、分支机构、设备和员工附近。许多PoP对于确保尽可能多的企业流量直接访问SASE网络,避免公共互联网的延迟和安全性问题至关重要。 通过这一服务,客户可以监视网络的运行状况,并为他们的特定流量要求设置策略。 由于来自公共互联网的流量首先通过提供商的网络,因此SASE可以检测到危险流量,并在到达企业网络之前进行干预。例如,可以在SASE网络中缓解DDoS攻击,从而使客户免受恶意流量泛滥的影响。 云访问安全代理 随着越来越多的系统迁移到SaaS应用程序,身份验证和访问变得越来越重要。 企业使用云访问安全代理(CASB)来确保其安全策略被一致地应用,即使服务本身不在其控制范围之内。 借助SASE,员工访问企业系统所使用的门户也是该员工访问的所有云计算应用程序(包括CASB)的门户。流量不必在系统外部路由到单独的云访问安全代理(CASB)服务。 安全的Web网关 在当今的企业中,网络流量很少局限于预先定义的范围。现代工作负载通常需要访问外部资源,但是可能出于合规性原因拒绝员工访问某些站点。此外,企业还希望阻止对网络钓鱼站点和僵尸网络命令与控制服务器的访问。 安全Web网关(SGW)保护企业免受威胁。提供这一功能的SASE供应商应该能够检查云计算规模的加密流量。将安全Web网关(SGW)与其他网络安全服务捆绑在一起可提高可管理性,并允许更统一的安全策略集。 零信任网络访问 零信任网络访问使企业可以详细地查看和控制访问企业应用程序和服务的用户和系统。 零信任是一种相对较新的网络安全方法,迁移到SASE平台可以使企业获得那些零信任功能。零信任的核心要素是安全性基于身份而不是IP地址。这使其更适合外出工作的人员,但需要更多级别的身份验证,例如多因素身份验证和行为分析。 其他技术可能是SASE的一部分 除了这五种核心功能之外,Gartner公司还推荐了SASE供应商应提供的其他一些技术。 它们包括Web应用程序和API保护,远程浏览器隔离以及网络沙箱。此外还建议采取网络隐私保护和流量分散的措施,这使得网络攻击者很难通过跟踪其IP地址或在流量上进行窃听来获取企业资产。 企业应该能够获得所需的规模,而不必雇用大量的网络和安全管理员。 SASE服务提供商 Gartner公司的分析师指出,由于SASE是多种服务的结合体,因此实现这种混合的方式将有所不同。因此,他们无法提供完整的提供商列表,只汇总了已经或希望提供SASE的供应商列表: Akamai Cato Networks 思科 Cloudflare Forcepoint McAfee Netskope Palo Alto Networks Proofpoint 赛门铁克 Versa VMware Zscaler Gartner公司在介绍SASE提供商时表示,“主要的IaaS提供商(AWS、Azure和GCP)在SASE市场上还没有更大竞争力,我们预计在未来五年内,将有一家以上的提供商将着手解决SASE的大部分市场需求,因为他们都在扩展其边缘网络业务和安全能力。” 如何采用SASE 企业可能首先转向混合方法,传统的网络和安全系统处理数据中心和分支机构之间已有的连接。SASE将用于处理新的连接、设备、用户和位置。 SASE不能解决网络和安全问题,也不能防止未来的中断,但是它可以使企业对中断或危机做出更快的响应,从而最大程度地降低对企业的影响。此外,SASE将使企业能够更好地利用边缘计算、5G、移动通信、人工智能等新技术。 (编辑:云计算网_泰州站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
浙公网安备 33038102330476号