SD-WAN安全问题日益受到关注,而Gartner最新提出的SASE技术,能否为云端交付一个既简洁又安全的SD-WAN方案?
在2019年下半年,Gartner发布了2019年度网络技术成熟度曲线报告。报告中提到了一项新的技术Secure Access Service Edge(SASE),其定义是一个融合了广域网和网络安全功能,以支持数字化企业需求的新兴技术。
根据Gartner的定义,SASE的网络和安全服务需要包括:SD-WAN,安全Web网关,CASB,SDP,DNS保护和FWaaS。对于终端设备,需要有Agent来进行基于策略的访问控制,而本地部署的设备则要具备QoS和智能选路等功能。
Gartner声称,SASE将取代现有的网络和安全模型。这一全新网络安全方式的提出,很快引起了业界热议。
在网络飞速发展的今天,云、移动性以及边缘给传统网络和安全架构带来的压力日益加大。由于网络互联下的跨业务应用程序和工作流程越来越多,从云端连接到远程终端用户和物联网设备,再到SD-WAN连接的分支机构,都可能成为薄弱环节,使整个企业面临威胁。
这也是为什么在SD-WAN快速发展的同时,其安全问题也受到了很多关注。在SD-WAN中融入安全,便是典型的在接入网处开始解决安全问题,而SASE的出现,或许正是解决云端网络和安全的一剂良药。
SASE有何优势?
根据Gartner的说法,SASE具有比现有技术更多的优势,其中包括:为最终用户提供更大的灵活性,降低的操作复杂性和成本,以及更好的性能。
在传统的企业网络中,数据中心是访问的焦点。Gartner认为,随着企业向软件即服务(SaaS),云服务和边缘计算平台的过渡,企业数据中心实际上只是另一个分支。
因此,与传统的WAN不同,SASE取消了将分支机构连接到中心办公室的概念,而是转变为将设备连接到基于云的集中式服务的模型。
SASE不会强制将流量回传到数据中心的检查引擎,而是将检查引擎带到附近的存在点(PoP)。客户端将流量发送到PoP,以进行检查并转发到Internet或通过SASE全球骨干网转发到其他SASE客户端。
SASE客户端可能是具有SASE代理的移动设备,但也可能是IoT设备,具有无客户端访问权限的移动用户或分支机构中的设备。
也就是说,SASE将先前分散的网络和安全服务融合在一起,将本地用户、移动用户以及IoT设备和云资源,整合为统一的服务。
显然,SASE能够为企业带来许多好处,包括以下方面:
丨降低复杂性和成本。SASE通过减少IT团队所需的供应商数量来降低复杂性和成本。该模型需要更少的物理或虚拟分支机构设备,以及最终用户设备代理。
丨改进的性能。借助骨干网,SASE服务商将能够在全球范围内的PoP之间提供延迟优化的路由。这对于延迟敏感型应用(如:协作、视频、VoIP、网络会议等)尤其重要。
丨更好的安全性。SASE能够在每个用户中应用数据策略,随着公司基于身份而非用户设置策略(零信任网络访问或ZTNA),访问安全也会得到改善。
丨解放IT运维。通过SASE服务商,企业无需去操作网络攻击,设备扩展、软硬件更新等问题,从而将企业IT运维团队从繁琐工作中解放出来,为更重要的业务创造价值。
由于SASE与本地部署网络和安全设备相反,需要大量依赖基于云的服务根据,那么启用SASE需要哪些条件呢?根据Gartner的定义,SASE主要有四个特征:
1. 身份驱动
不仅仅是IP地址,用户和资源的身份决定网络互连体验和访问权限级别。服务质量、路由选择、应用的风险安全控制——所有这些都由与每个网络连接相关联的身份所驱动。采用身份驱动的网络和安全策略,企业则无需考虑设备或地理位置。
2. 云原生架构
SASE架构利用云的几个主要功能,包括弹性、自适应性、自恢复能力和自维护功能,提供一个可以分摊客户开销以提供最大效率的平台,可很方便地适应新兴业务需求,而且随处可用。
3. 支持所有边缘
SASE 为所有公司资源创建了一个网络——数据中心、分公司、云资源和移动用户。例如:SD-WAN设备支持物理边缘,而移动客户端和无客户端浏览器访问则连接四处游走的用户。
4. 全球分布
为确保所有网络和安全功能随处可用,并向全部边缘交付尽可能好的体验,SASE云必须全球分布,扩展自身覆盖面,向企业边缘交付低延迟服务。
总体而言,SASE抛弃了将SD-WAN设备、防火墙、IPS设备和各种其他网络及安全解决方案拼凑到一起的做法,以一个安全的全球SD-WAN 服务代替了难以管理的技术大杂烩,其最终目标是更容易地实现安全的云环境。
谁会成为SASE赛道玩家?
由于移动化办公、云服务和边缘计算的兴起,正在迫使SASE这项技术快速进化。尽管SASE处在技术发展的较早期,采用率不到1%,但Gartner预计许多供应商将在未来几个月内开始推出SASE产品。
目前,信息安全公司和网络服务商已率先进入SASE领域。
全球网络安全巨头Palo Alto Networks近日宣布,为Prisma Access这一业界最全面安全访问服务边缘(SASE)平台,新增SD-WAN和数据防泄漏(DLP)功能。作为一个完整的SASE解决方案,Prisma Access可通过全球分布式云平台为客户提供端到端网络及安全服务。
Palo Alto Networks首席产品官Lee Klarich表示,“传统的SD-WAN方法会危及安全性,增加复杂性并在用户访问云应用时无法预测性能,Prisma Access则完全不同,它能够从云端交付一个既简洁又安全的高性能SD-WAN矩阵。”
以色列的网络公司Cato Networks和旧金山的网络公司Infoblox也是最早在SASE市场上占有一席之地的两家。
Cato Networks在传统上一直被视为专注于安全性的SD-WAN供应商,但其安全网络布道师David Greenfield表示,该公司将SASE技术的核心原则作为SD-WAN产品的一部分,已经使用了大约五年。
Cato声称其服务是分布式的,具有遍布全球的47个服务点(PoP),每个服务点都在运行云原生软件堆栈。
按Cato的说法,该平台通过Cato的SD-WAN设备Cato Socket连接各位置,移动用户通过Cato的客户端和无客户端访问连接,云资源通过Cato的“无代理”集成连接,甚至第三方设备也可通过建立通向最近Cato PoP的IPsec隧道连接起来。
不仅如此,Cato还启动了一项计划,该计划为MSP建立了一条路径,以帮助客户迁移到SASE平台。
通过该计划,MSP可以转售Cato的SASE平台,从而减少或消除了其基础架构来运行多个安全和网络解决方案的需求。该计划提供免费的在线培训和认证,以消除MSP的复杂性。
事实上,云原生软件和分布式网络,是许多进入SASE市场的早期参与者共享的两个重要因素。Infoblox在收购SnapRoute之后就抓住了这个机遇,后者的云原生网络操作系统为Infoblox带来了云原生的网络开发和交付。
除此之外,网络安全公司Barracuda Networks和网络公司Zscaler也认识到了SASE的价值。
Barracuda Networks最近宣布其CloudGen防火墙的最新功能中呼应了SASE,增加了自动化功能,以简化部署并提供可视性和控制力,以成功实施。
Barracuda Networks网络安全副总裁Klaus Gheri表示:“SD-WAN管理很复杂,许多SD-WAN产品需要数天的部署时间,如果配置不当,就会引入漏洞。”他指出,CloudGen防火墙是与公共云集成的一体化SD-WAN解决方案。
Zscaler则通过SASE实现了云上统一的网络和安全。该公司在9月10日的收益电话会议上讨论了SASE的重要性。Zscaler董事长兼首席执行官Jay Chaudhry表示:“ SASE的价值,远远超出了SD-WAN对MPLS的颠覆,或云对硬件设备的颠覆,甚至超出了零信任原则。”
不仅仅是网络安全公司和SD-WAN服务商希望进入SASE市场,私有云领导厂商VMware也声称其VeloCloud SD-WAN现在是一个可靠的SASE平台。
VMware SD-WAN副总裁Sanjay Uppal在一份声明中说:“MPLS网络的时代已经过去,VMware将跨越数千个VMware SD-WAN云网关,以超大规模SD-WAN体系结构与最广泛的第三方云服务生态系统相结合,以提供一致的最终用户体验以及世界一流的安全性。”
Gartner认为,不久之后,主要的公有云服务商如:Amazon, Azure, Google等,也会进入这个市场。
不过值得注意的是,今年8月Gartner发布报告时称,还没有厂商能够提供完整的SASE产品组合。也就是说,现在这些供应商的SASE平台是否符合Gartner的定义还有待观察。
同时,Garnter预测,这项技术将需要5-10年的时间才能被主流采用,并且在这段时间内可能会发生重大变化。
因此,Gartner警告早期采用者将合同限制为“不超过两年”,并获取保护条款。它还警告客户,应警惕供应商试图使用虚拟机(VM)服务链将几种服务链接在一起以缩短上市时间。
不可否认,SASE代表着云上网络和安全的未来,将为企业数字化转型带来更好的敏捷性和竞争力。这一趋势也引导着SD-WAN、CDN、安全设备、防火墙即服务、云计算等各类服务商同台竞技,共同推动着网络和安全走向新的高度。