SASE會是下一代SD-WAN技術(shù)嗎？

SD-WAN安全問題日益受到關(guān)注，而Gartner最新提出的SASE技術(shù)，能否為云端交付一個既簡潔又安全的SD-WAN方案？

在2019年下半年，Gartner發(fā)布了2019年度網(wǎng)絡(luò)技術(shù)成熟度曲線報告。報告中提到了一項新的技術(shù)Secure Access Service Edge（SASE），其定義是一個融合了廣域網(wǎng)和網(wǎng)絡(luò)安全功能，以支持?jǐn)?shù)字化企業(yè)需求的新興技術(shù)。

根據(jù)Gartner的定義，SASE的網(wǎng)絡(luò)和安全服務(wù)需要包括：SD-WAN，安全Web網(wǎng)關(guān)，CASB，SDP，DNS保護(hù)和FWaaS。對于終端設(shè)備，需要有Agent來進(jìn)行基于策略的訪問控制，而本地部署的設(shè)備則要具備QoS和智能選路等功能。

Gartner聲稱，SASE將取代現(xiàn)有的網(wǎng)絡(luò)和安全模型。這一全新網(wǎng)絡(luò)安全方式的提出，很快引起了業(yè)界熱議。

在網(wǎng)絡(luò)飛速發(fā)展的今天，云、移動性以及邊緣給傳統(tǒng)網(wǎng)絡(luò)和安全架構(gòu)帶來的壓力日益加大。由于網(wǎng)絡(luò)互聯(lián)下的跨業(yè)務(wù)應(yīng)用程序和工作流程越來越多，從云端連接到遠(yuǎn)程終端用戶和物聯(lián)網(wǎng)設(shè)備，再到SD-WAN連接的分支機(jī)構(gòu)，都可能成為薄弱環(huán)節(jié)，使整個企業(yè)面臨威脅。

這也是為什么在SD-WAN快速發(fā)展的同時，其安全問題也受到了很多關(guān)注。在SD-WAN中融入安全，便是典型的在接入網(wǎng)處開始解決安全問題，而SASE的出現(xiàn)，或許正是解決云端網(wǎng)絡(luò)和安全的一劑良藥。

SASE有何優(yōu)勢？

根據(jù)Gartner的說法，SASE具有比現(xiàn)有技術(shù)更多的優(yōu)勢，其中包括：為最終用戶提供更大的靈活性，降低的操作復(fù)雜性和成本，以及更好的性能。

在傳統(tǒng)的企業(yè)網(wǎng)絡(luò)中，數(shù)據(jù)中心是訪問的焦點。Gartner認(rèn)為，隨著企業(yè)向軟件即服務(wù)（SaaS），云服務(wù)和邊緣計算平臺的過渡，企業(yè)數(shù)據(jù)中心實際上只是另一個分支。

因此，與傳統(tǒng)的WAN不同，SASE取消了將分支機(jī)構(gòu)連接到中心辦公室的概念，而是轉(zhuǎn)變?yōu)閷⒃O(shè)備連接到基于云的集中式服務(wù)的模型。

SASE不會強(qiáng)制將流量回傳到數(shù)據(jù)中心的檢查引擎，而是將檢查引擎帶到附近的存在點（PoP）。客戶端將流量發(fā)送到PoP，以進(jìn)行檢查并轉(zhuǎn)發(fā)到Internet或通過SASE全球骨干網(wǎng)轉(zhuǎn)發(fā)到其他SASE客戶端。

SASE客戶端可能是具有SASE代理的移動設(shè)備，但也可能是IoT設(shè)備，具有無客戶端訪問權(quán)限的移動用戶或分支機(jī)構(gòu)中的設(shè)備。

也就是說，SASE將先前分散的網(wǎng)絡(luò)和安全服務(wù)融合在一起，將本地用戶、移動用戶以及IoT設(shè)備和云資源，整合為統(tǒng)一的服務(wù)。

顯然，SASE能夠為企業(yè)帶來許多好處，包括以下方面：

丨降低復(fù)雜性和成本。SASE通過減少IT團(tuán)隊所需的供應(yīng)商數(shù)量來降低復(fù)雜性和成本。該模型需要更少的物理或虛擬分支機(jī)構(gòu)設(shè)備，以及最終用戶設(shè)備代理。

丨改進(jìn)的性能。借助骨干網(wǎng)，SASE服務(wù)商將能夠在全球范圍內(nèi)的PoP之間提供延遲優(yōu)化的路由。這對于延遲敏感型應(yīng)用（如：協(xié)作、視頻、VoIP、網(wǎng)絡(luò)會議等）尤其重要。

丨更好的安全性。SASE能夠在每個用戶中應(yīng)用數(shù)據(jù)策略，隨著公司基于身份而非用戶設(shè)置策略（零信任網(wǎng)絡(luò)訪問或ZTNA），訪問安全也會得到改善。

丨解放IT運(yùn)維。通過SASE服務(wù)商，企業(yè)無需去操作網(wǎng)絡(luò)攻擊，設(shè)備擴(kuò)展、軟硬件更新等問題，從而將企業(yè)IT運(yùn)維團(tuán)隊從繁瑣工作中解放出來，為更重要的業(yè)務(wù)創(chuàng)造價值。

由于SASE與本地部署網(wǎng)絡(luò)和安全設(shè)備相反，需要大量依賴基于云的服務(wù)根據(jù)，那么啟用SASE需要哪些條件呢？根據(jù)Gartner的定義，SASE主要有四個特征：

1. 身份驅(qū)動

不僅僅是IP地址，用戶和資源的身份決定網(wǎng)絡(luò)互連體驗和訪問權(quán)限級別。服務(wù)質(zhì)量、路由選擇、應(yīng)用的風(fēng)險安全控制——所有這些都由與每個網(wǎng)絡(luò)連接相關(guān)聯(lián)的身份所驅(qū)動。采用身份驅(qū)動的網(wǎng)絡(luò)和安全策略，企業(yè)則無需考慮設(shè)備或地理位置。

2. 云原生架構(gòu)

SASE架構(gòu)利用云的幾個主要功能，包括彈性、自適應(yīng)性、自恢復(fù)能力和自維護(hù)功能，提供一個可以分?jǐn)偪蛻糸_銷以提供最大效率的平臺，可很方便地適應(yīng)新興業(yè)務(wù)需求，而且隨處可用。

3. 支持所有邊緣

SASE 為所有公司資源創(chuàng)建了一個網(wǎng)絡(luò)——數(shù)據(jù)中心、分公司、云資源和移動用戶。例如：SD-WAN設(shè)備支持物理邊緣，而移動客戶端和無客戶端瀏覽器訪問則連接四處游走的用戶。

4. 全球分布

為確保所有網(wǎng)絡(luò)和安全功能隨處可用，并向全部邊緣交付盡可能好的體驗，SASE云必須全球分布，擴(kuò)展自身覆蓋面，向企業(yè)邊緣交付低延遲服務(wù)。

總體而言，SASE拋棄了將SD-WAN設(shè)備、防火墻、IPS設(shè)備和各種其他網(wǎng)絡(luò)及安全解決方案拼湊到一起的做法，以一個安全的全球SD-WAN 服務(wù)代替了難以管理的技術(shù)大雜燴，其最終目標(biāo)是更容易地實現(xiàn)安全的云環(huán)境。

誰會成為SASE賽道玩家？

由于移動化辦公、云服務(wù)和邊緣計算的興起，正在迫使SASE這項技術(shù)快速進(jìn)化。盡管SASE處在技術(shù)發(fā)展的較早期，采用率不到1％，但Gartner預(yù)計許多供應(yīng)商將在未來幾個月內(nèi)開始推出SASE產(chǎn)品。

目前，信息安全公司和網(wǎng)絡(luò)服務(wù)商已率先進(jìn)入SASE領(lǐng)域。

全球網(wǎng)絡(luò)安全巨頭Palo Alto Networks近日宣布，為Prisma Access這一業(yè)界最全面安全訪問服務(wù)邊緣(SASE)平臺，新增SD-WAN和數(shù)據(jù)防泄漏(DLP)功能。作為一個完整的SASE解決方案，Prisma Access可通過全球分布式云平臺為客戶提供端到端網(wǎng)絡(luò)及安全服務(wù)。

Palo Alto Networks首席產(chǎn)品官Lee Klarich表示，“傳統(tǒng)的SD-WAN方法會危及安全性，增加復(fù)雜性并在用戶訪問云應(yīng)用時無法預(yù)測性能，Prisma Access則完全不同，它能夠從云端交付一個既簡潔又安全的高性能SD-WAN矩陣?！?/p>

以色列的網(wǎng)絡(luò)公司Cato Networks和舊金山的網(wǎng)絡(luò)公司Infoblox也是最早在SASE市場上占有一席之地的兩家。

Cato Networks在傳統(tǒng)上一直被視為專注于安全性的SD-WAN供應(yīng)商，但其安全網(wǎng)絡(luò)布道師David Greenfield表示，該公司將SASE技術(shù)的核心原則作為SD-WAN產(chǎn)品的一部分，已經(jīng)使用了大約五年。

Cato聲稱其服務(wù)是分布式的，具有遍布全球的47個服務(wù)點（PoP），每個服務(wù)點都在運(yùn)行云原生軟件堆棧。

按Cato的說法，該平臺通過Cato的SD-WAN設(shè)備Cato Socket連接各位置，移動用戶通過Cato的客戶端和無客戶端訪問連接，云資源通過Cato的“無代理”集成連接，甚至第三方設(shè)備也可通過建立通向最近Cato PoP的IPsec隧道連接起來。

不僅如此，Cato還啟動了一項計劃，該計劃為MSP建立了一條路徑，以幫助客戶遷移到SASE平臺。

通過該計劃，MSP可以轉(zhuǎn)售Cato的SASE平臺，從而減少或消除了其基礎(chǔ)架構(gòu)來運(yùn)行多個安全和網(wǎng)絡(luò)解決方案的需求。該計劃提供免費的在線培訓(xùn)和認(rèn)證，以消除MSP的復(fù)雜性。

事實上，云原生軟件和分布式網(wǎng)絡(luò)，是許多進(jìn)入SASE市場的早期參與者共享的兩個重要因素。Infoblox在收購SnapRoute之后就抓住了這個機(jī)遇，后者的云原生網(wǎng)絡(luò)操作系統(tǒng)為Infoblox帶來了云原生的網(wǎng)絡(luò)開發(fā)和交付。

除此之外，網(wǎng)絡(luò)安全公司Barracuda Networks和網(wǎng)絡(luò)公司Zscaler也認(rèn)識到了SASE的價值。

Barracuda Networks最近宣布其CloudGen防火墻的最新功能中呼應(yīng)了SASE，增加了自動化功能，以簡化部署并提供可視性和控制力，以成功實施。

Barracuda Networks網(wǎng)絡(luò)安全副總裁Klaus Gheri表示：“SD-WAN管理很復(fù)雜，許多SD-WAN產(chǎn)品需要數(shù)天的部署時間，如果配置不當(dāng)，就會引入漏洞?！彼赋?，CloudGen防火墻是與公共云集成的一體化SD-WAN解決方案。

Zscaler則通過SASE實現(xiàn)了云上統(tǒng)一的網(wǎng)絡(luò)和安全。該公司在9月10日的收益電話會議上討論了SASE的重要性。Zscaler董事長兼首席執(zhí)行官Jay Chaudhry表示：“ SASE的價值，遠(yuǎn)遠(yuǎn)超出了SD-WAN對MPLS的顛覆，或云對硬件設(shè)備的顛覆，甚至超出了零信任原則?！?/p>

不僅僅是網(wǎng)絡(luò)安全公司和SD-WAN服務(wù)商希望進(jìn)入SASE市場，私有云領(lǐng)導(dǎo)廠商VMware也聲稱其VeloCloud SD-WAN現(xiàn)在是一個可靠的SASE平臺。

VMware SD-WAN副總裁Sanjay Uppal在一份聲明中說：“MPLS網(wǎng)絡(luò)的時代已經(jīng)過去，VMware將跨越數(shù)千個VMware SD-WAN云網(wǎng)關(guān)，以超大規(guī)模SD-WAN體系結(jié)構(gòu)與最廣泛的第三方云服務(wù)生態(tài)系統(tǒng)相結(jié)合，以提供一致的最終用戶體驗以及世界一流的安全性。”

Gartner認(rèn)為，不久之后，主要的公有云服務(wù)商如：Amazon, Azure, Google等，也會進(jìn)入這個市場。

不過值得注意的是，今年8月Gartner發(fā)布報告時稱，還沒有廠商能夠提供完整的SASE產(chǎn)品組合。也就是說，現(xiàn)在這些供應(yīng)商的SASE平臺是否符合Gartner的定義還有待觀察。

同時，Garnter預(yù)測，這項技術(shù)將需要5-10年的時間才能被主流采用，并且在這段時間內(nèi)可能會發(fā)生重大變化。

因此，Gartner警告早期采用者將合同限制為“不超過兩年”，并獲取保護(hù)條款。它還警告客戶，應(yīng)警惕供應(yīng)商試圖使用虛擬機(jī)（VM）服務(wù)鏈將幾種服務(wù)鏈接在一起以縮短上市時間。

不可否認(rèn)，SASE代表著云上網(wǎng)絡(luò)和安全的未來，將為企業(yè)數(shù)字化轉(zhuǎn)型帶來更好的敏捷性和競爭力。這一趨勢也引導(dǎo)著SD-WAN、CDN、安全設(shè)備、防火墻即服務(wù)、云計算等各類服務(wù)商同臺競技，共同推動著網(wǎng)絡(luò)和安全走向新的高度。

微信公眾賬號：科技云報道

來源：科技云報道

生成海報

免責(zé)聲明：此文內(nèi)容為第三方自媒體作者發(fā)布的觀察或評論性文章，所有文字和圖片版權(quán)歸作者所有，且僅代表作者個人觀點，與極客網(wǎng)無關(guān)。文章僅供讀者參考，并請自行核實相關(guān)內(nèi)容。投訴郵箱：editor@fromgeek.com。

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請進(jìn)一步核實，并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時，應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。