38

一种新安全技术入选Gartner,号称将取代一切现有网络安全模型

 4 years ago
source link: https://www.sdnlab.com/23625.html
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.

在2019年下半年的初始,Gartner发布了2019年度企业网络技术成熟度曲线报告。报告中提到了一项新的技术Secure Access Service Edge(SASE),声称有望改变我们保护组织安全和网络的方式,这在业界引起了热议。

SASE-668x400.jpg

在网络飞速发展的今天,云、移动性以及边缘给传统网络和安全架构带来的压力越来越大。企业正在将所有位于本地的用户、应用程序和数据转换为对云、边缘应用程序和分散的移动劳动力的高度依赖。

我们的技术必须发展

数字化转型提高了敏捷性和竞争力。但是,与此同时,它会影响我们连接和保护这些连接的方式。因此,我们的技术也要随之发展。在这种情况下,SASE的引入反映了这种变化。

SASE将广域网的功能与网络安全融合在一起,以支持数字企业的需求。这些网络和安全服务包括SD-WAN,安全Web网关,CASB,SDP,DNS保护和FWaaS。对于终端设备,需要有Agent来进行基于策略的访问控制,而本地部署的设备则要具备QoS和智能选路等功能。

SD-WAN是其中的一部分

目前对我们来说最困难的事情,是要接受我们过去一直在做的事情对我们的组织来说并不是最好的方式。传统的保护移动设备、云资产和站点的方法已经不再是支持当今数字环境的最佳方法。Gartner声称,SASE将取代现有的网络和安全模型。

从本质上讲,SASE不仅仅是提供SD-WAN服务。SD-WAN不能解决所有问题,因此只是其中的一部分。为此,您需要支持全方位的功能,这意味着您必须支持移动用户和云资源(来自任何地方),且不需要回传。

SASE要求概述

首先,要在这个新时代提供安全访问并满足运营要求,将需要大量依赖基于云的服务。这与本地部署网络和安全设备相反。

然而,要启用SASE,应使用云原生的方法来对网络和安全域进行折叠以实现网络和安全性。要提供SASE服务,需要满足以下几个要求:

  • 广域网边缘和网络安全模型的融合
  • 云原生、基于云的服务交付
  • 专为所有边缘设计的网络
  • 身份和网络位置

1.广域网边缘和网络安全模型的融合

首先,它要求广域网边缘和网络安全模型的融合。为什么?这是因为客户要求简单性、可扩展性、低延迟和安全性兼备,从而推动了这些模型的融合。

因此,我们有两种选择。可以是应用服务链,物理或虚拟的。尽管这样确实缩短了产品上市时间,但也会导致服务不一致、可管理性差和延迟高。

该方法是将网络和安全性都融合到云中。这需要创建一个全球性的云原生架构,该架构可以连接并保护所有位置、云资源和各处移动用户的安全。

SASE产品专门针对扩展、云原生和基于云的交付而构建。这将显著优化解决方案以提供低延迟的服务。

为了以最低的延迟提供最大的灵活性,云原生单通道架构有很大的优势。

2.云原生,基于云的服务交付

边缘应用程序对延迟敏感。因此,需要以接近端点的分布式方式交付网络和安全性。Edge是一种新的云,它需要一种模式转换,即向基于云的提供商提供有限的POP。

要有效地支持这些边缘应用程序,需要基于云交付的方法。这种方法有利于具有许多边缘位置的提供商。由于用户是全局的,因此您必须具有全局操作。

仅提供超大规模的SASE服务是不够的。这限制了提供商的PoP(points of presence)数量。提供商需要交付客户所在的位置,并具有根据客户需求实例化PoP的能力。

3.专为所有边缘设计的网络

随着移动办公人员的增加,SASE服务需要与多个站点连接。为此,您需要具有基于代理的功能,该功能应该作为云服务来管理。

简而言之,依靠本地部署、面向 box的交付模型或数量有限的云PoP(points of presence)(不具有基于代理的功能)的SASE产品将无法满足日益增长的移动员工和对延迟敏感的应用程序需求。

4.身份和网络位置

随着企业业务类型越来越丰富,移动数据和设备的增加,这些对传统的网络和安全架构造成了巨大的压力。数字转型以及移动、云和边缘部署模型的采用,伴随着流量模式的变化,使得人们必须重新考虑传统企业网络的位置。

为了支持这些变化,我们需要重新看待传统的数据中心。我们必须重新评估将IP地址用作网络位置和安全实施的锚点方式。值得关注的是,任何与IP地址绑定的东西都是无用的,因为它不能为网络和安全策略的实施提供有效的挂钩。这通常称为IP地址难题。

SASE可以通过适当级别的安全访问来提供网络体验。该访问基于符合公司策略的身份和实时条件。从根本上说,流量可以通过某些方式进行路由和优先级排序。这些措施可以让用户自定义安全级别。例如,用户可以从不同的位置或设备类型获得不同的体验。所有策略都与用户身份相关,而不是基于IP地址。

最后,传统的数据中心不应再被视为网络体系结构的中心。安全访问网络设计的新中心是带有身份标识的策略。身份可以与人员、设备、物联网或边缘计算位置相关联。

SASE的推出反映了我们当前的时代。技术已经发生了很大变化。云、移动性和边缘给传统网络和网络安全架构带来了越来越大的压力。因此,对于某些用例,SASE将使现有模型成为明日黄花。

原文链接:https://www.networkworld.com/article/3442941/secure-access-service-edge-sase-a-reflection-of-our-times.html


report

Recommend

About Joyk


Aggregate valuable and interesting links.
Joyk means Joy of geeK