了解云原生網絡對安全訪問服務邊緣的好處
調研機構Gartner公司將安全訪問服務邊緣(SASE)定位為下一波SD-WAN。盡管大多數行業人士都認為可以將安全性和網絡概念融合在一起,但圍繞云原生和云托管仍存在一些爭論。
為了更好地理解云原生的重要性,CatoNetworks公司首席執行官ShlomoKramer對此進行了探討,他為該公司從頭開始創建安全訪問服務邊緣(SASE)服務以進行云交付。
Gartner公司去年創造了安全訪問服務邊緣(SASE)這一術語,您對其定義是否認同?
Kramer:我對此表示認同。CatoNetworks公司創建安全訪問服務邊緣(SASE)服務是融合網絡傳輸和網絡安全并將其作為云計算服務交付的愿景。關于為什么需要安全訪問服務邊緣(SASE)的爭論本質上在于拓撲方面,因為流量模式已經更改。網絡流量過去一直是內向的,因為人們使用企業的工作站并連接到位于企業數據中心的應用程序。
這意味著安全性實際上是圍繞軟核放置的“硬殼”。在邊緣計算提供了安全性,并保護了其后面的所有物理設施。如今,流量模式已經改變,安全性需要在所有地方得到應用。應用程序都在AWS公共云和內部部署環境中構建,而工作人員則在辦公室、家中、酒店或任何地方。因此,現在企業資產無處不在,因此這種安全性不再起作用。其安全性必須有所不同,并且必須集成到各處,因此認同安全訪問服務邊緣(SASE)這個概念。
MPLS和安全設備等傳統技術還有哪些其他挑戰?
Kramer:多協議標簽交換(MPLS)的問題有很好的文檔記錄,因此,不用在這個主題上花費太多時間,很多公司都希望擺脫多協議標簽交換(MPLS),這是因為其成本高、部署時間長,以及缺乏敏捷性。多協議標簽交換(MPLS)對移動用戶或云計算連接沒有任何作用,因此組織需要部署VPN服務器、云互連和其他技術以連接其公司的所有資源。
在安全方面,分支機構一直是一個巨大的問題,被業界視為唯*一可能的解決方案。設備需要采購、部署、維護、升級和淘汰。所有這一切都需要時間和努力。它們需要相互融合,這需要更多的時間和技能。大多數設備是通過單獨的管理控制臺進行管理的,這使操作變得復雜而富有挑戰性。隨著時間的推移,將添加更多設備,從而提高了復雜性級別。此外,當流量激增或打開太多功能時,通常需要在預算周期之外進行升級。安全專家在應用軟件修補程序時通常會滯后,因為更新設備存在風險,需要仔細規劃,這會使企業面臨風險。
但對于那些希望變得更精簡、更靈活的企業來說,作為一種架構的安全設備涉及太多的麻煩和成本。對于VNF和虛擬設備也是如此,企業仍然需要部署、管理和擴展它們。
云原生平臺可提供什么好處?
Kramer:對于來自安全和網絡領域的Cato公司聯合創始人GurShatz和我來說,對這些問題很熟悉。當我們考慮正確的架構將向前發展時,云計算似乎是顯而易見的選擇,人們已經看到了云計算如何改變數據中心、服務器、存儲和應用程序的市場。我們認為云計算可以在安全和網絡方面也可以做到這一點。
像用于數據中心和服務器的AWS公共云一樣,我們希望創建一個實用程序,該實用程序可以保護整個企業(不僅是站點),而且還可以保護遠程網絡、云計算數據中心、云計算應用程序和第三方設備,并使其聯網。我們希望企業利用這一實用工具,并立即獲得整個組織的所有高*級安全和網絡服務。這就是我們將SD-WAN設備稱為“Cato插座”的原因,就像電源插座一樣。該愿景與安全訪問服務邊緣(SASE)定義相符。
我們將涉及安全和網絡的“繁重工作”轉移到一個全球性的、分布式的、云端原生軟件平臺,而不是使用設備。對于云原生軟件,這意味著幾件事情。我們實際上對于這個主題通過博客文章討論了云原生的價值。這有許多好處,特別是多租戶正在改變游戲規則。這使得云計算提供商可以分攤其整個客戶群的成本,從而使他們能夠以客戶購買設備所無法比擬的價格交付產品。
該平臺運行單通道、安全和網絡堆棧,該堆棧并行執行所有安全檢查。數據包由我們的軟件傳入、解包和解密,然后在發送數據包之前并行執行所有必要的安全檢查。與當今的電器工作方式相比,這是一個令人難以置信的變化。如今,每個設備都必須對數據包進行解包和解密,運行深度數據包檢查(DPI)引擎以了解數據包,應用特定的安全檢查,并對下一個設備重新打包并重新加密。
為什么說全球專用網絡是必要的?
Kramer:對于網絡來說,企業始終需要可預測的低延遲性能。使用寬帶時,如今的全球互聯網路由根本不可能做到這一點。盡管即使在全球互聯網區域內,跨全球路由或全球互聯網欠發達區域的不可預測延遲問題也是眾所周知的,但我們已經看到特定的路由存在問題。
如何克服多協議標簽交換(MPLS)的延遲和全球連接成本?我們的答案是利用全球IP連接中的大規模擴展。通過購買跨多個IP骨干網的大規模批發服務等級協議(SLA)支持的容量,然后在網絡中的每一躍點動態選擇最佳的骨干網,我們能夠以多協議標簽交換(MPLS)成本的一小部分提供全球低延遲連接。
SASE行業目前有很多初創企業和較小的供應商。為什么大型企業在努力做出這一轉變?
Kramer:我認為這種轉變很明顯,但是現有的基于設備的解決方案根本無法轉換為云原生的解決方案。重新設計云平臺需要在研發上進行大量投資,這將以犧牲現有的和非常成功的產品線為代價,因此,除了工程設計之外,還需要克服內部沖突。
這就是為什么所說的大公司受到安全訪問服務邊緣(SASE)威脅的原因。我們都認識到安全訪問服務邊緣(SASE)的價值,但要實現這一目標,許多已建立的解決方案提供商需要中斷其現有業務,這不容易做到。
在行業中,我們看到供應商試圖通過將其解決方案重新命名為安全訪問服務邊緣(SASE)產品來利用安全訪問服務邊緣(SASE)。為了讓IT人員分辨出安全訪問服務邊緣(SASE)平臺的真假,采用試金石測試很簡單:如果其重點在設備中,那就是安全訪問服務邊緣(SASE),如果提供的產品缺少SD-WAN,并且管理控制臺不止一個,那么這不是安全訪問服務邊緣(SASE)。
