无SD-WAN不SASE

围观次数:2,385 views

还记得去年8月Gartner首次提出SASE这个概念的同期,只有两家厂商宣称自己有SASE产品,而在2019年底,达到了近8家的数量。在一年之后,Gartner发布2020年企业网络炒作曲线(成熟度曲线)之际,能被观测到的SASE厂家已经多如牛毛了,尤其是中国本土领头羊级别的厂商也发布了可落地交付的SASE产品。这一现象上一次看到应该还是10年左右的下一代防火墙(NGFW)热炒的时期了。这也难怪SASE这一去年刚被提出的新概念,一下超越众多“老前辈”冲上了炒作曲线的鼎峰,到了过高期望的峰值期(Peak of Inflated Expectations),并同时上榜2020 网络安全炒作曲线。

任何一个新产品能够如此快速的被乙方市场跟随,一定要满足两个条件:庞大的潜在市场需求,和产品化的条件已经具备。

为什么要用SASE

随着企业数字化进程的推进,移动化和云计算的全面普及,第一代信息化建设的中心化基础设施面临了巨大的挑战。现在不仅企业的数据中心流量激增,而且还产生了大量的网外流量,也就是去往各种云计算平台的流量,这其中包括IaaS和SaaS。而将这些流量全都经过单一节点的企业数据中心自建的安全资源池进行集中检测,势必会牺牲云计算敏捷和高效的优势。当下企业所面临的现代化信息化架构,正如下图所示:在接入侧有多种类型和多种信任级别的设备,通过企业可控或不可控的网络通道访问部署在甚至不知道物理位置的计算环境中的应用。

在这样的背景下,SASE提出了一种新的解决方案,即如下图所示,SASE作为一个中间层来承接计算和终端,并对往返的流量进行安全检测:

Gartner在2019年发布了一篇影响很广泛的报告:The Future of Network Security Is in the Cloud,预测了网络安全的未来在云端,并正式全面解读了SASE这个概念的落地形态。在报告中表达了SASE是网络和安全的集大成者,拥有全面的接入能力和网络流量调度能力,SD-WAN就是其中很重要的一个能力,并且在报告中也指出SASE的早期就是SD-WAN厂商添加网络安全能力和云安全厂商增加更多安全功能两种情况。

为什么是SD-WAN

刚才我们说过,“任何一个新产品能够如此快速的被乙方市场跟随,一定要满足两个条件:庞大的潜在市场需求,和产品化的条件已经具备”。既然SASE的最终目标是要能够更容易更方便的向用户提供安全能力,而同时SASE 又提供了一种现代化安全基础设施设计理念,能够满足当下和未来安全需求,那么就必然拥有巨大的市场潜力。现在第一个条件已经满足了,接下来让我们看看第二个条件—产品化。

在SASE的安全能力中,ZTNA,CASB,FWaaS,IPS,AV,SWG等等都是十分传统的安全技术,只需要按照SaaS的形式交付即可。其实不难发现,安全能力并不是SASE很难解决的问题,因为传统的安全资源池就是这么做的,那么SASE怎么才能避免成为一个部署在云上的安全资源池,而是真正交付敏捷的安全价值给用户呢?SD-WAN就是答案。

从实际用例我们也不难发现其中的道理,SASE天然解决的问题就应该是分布式访问和计算的场景,尤其适合多分支,多计算环境(尤其是多云)的客户群,这一点和SD-WAN解决的问题域是一致的。在安全方面SASE集成了几乎所有主流的网络安全和内容安全能力,并放在云上,以PoP的形式实现就近接入与安全交付,去往目标的流量先到SASE检测和清洗,再进行放行和路由。我们会发现SASE其实是用户-目标的一个很重要的中间层,不管目标是在IDC还是在云上。访问源到SASE和SASE到真正的目标端其实都需要SD-WAN能力来进行流量的合理调度。Gartner研究副总裁Andrew Lerner(专注SDN,SD-WAN等网络技术)表示, SASE将网络安全功能与SD-WAN相结合,能够支持组织的动态安全访问需求。

SD-WAN是SASE的关键组件,甚至当做最关键的组件都不为过。因为在现如今的网络方案中,只有SD-WAN能够以最低成本,并且与业务相结合,把核心能力下放到边缘,使数据处理和安全能力都在边缘进行,满足当前和未来云上和移动业务的动态安全需求。SASE和传统的统一安全资源池的最大区别,就是在于PoP的概念,而这也是SD-WAN骨干网中的概念。通过将不同的安全能力灵活弹性的施加到靠近接入终端的PoP,让流量以最小代价进行安全检测,简而言之就是将安全能力以一种相对集中又分布式的方式交付给用户。

SD-WAN与安全的结合

我们发现SD-WAN是一个前所未见的网络和安全相结合的好机会。从前基础网络关注的就是联通性,以及如何转发和路由流量,而安全则通常关注黑的东西,就是检测异常、阻断异常,所以安全设备只会去放行和阻断流量,而不会去对正常流量进行业务层面的处理。所以安全和SD-WAN结合是一件很有意思的事情,因为它不仅监控连接本身,同时还有连接的内容、应用以及用户、设备和流量来源。然后根据内容决定拦截流量,还是放行流量。再为这些放行的流量设置不同的优先级,或进行不同的质量控制,这是第一次让网络和安全设备真正融合的机会。 

此外,我们从国际市场上看到,虽然目前市场份额排名前5的SD-WAN厂商只有Fortinet一家是以安全为主营业务的,但是我们也能发现一些友商的旗舰功能包中包含了很多安全功能,同时头部的安全厂商也在和头部的SD-WAN厂商达成各种战略合作,以向用户交付安全SD-WAN解决方案。如果不是客户的需求牵引,很难想象为何大家会朝着安全SD-WAN这一共同目标迈进。

网络和安全真正融合到一起后,而且是面向业务和内容层面的融合,能够让我们根据内容,用户,设备,应用等等维度来对流量进行阻断和放行,并同时对流量进行合理的路由。从安全范式的角度来讲,要做防御、检测、响应的闭环。当我们基于安全设备构建出一张SD-WAN网络之后,会有意想不到的收获:

首先,在泛连接时代,网络中充满了各种各样的威胁,作为部署在网络边缘的SD-WAN设备,当然要起到必要的防御能力,将安全设备作为SD-WAN边缘设备部署,并进行全网统一策略下发,极大的降低了安全设备使用的门槛,很大程度上消除了多分支型企业网络的安全短板,同时,由于安全功能的加持,提升了整网的防御水平。其次,因为每个SD-WAN边缘设备都是专业的安全设备,因此在威胁检测的覆盖面上也大幅提升,做安全一直讲的是对威胁的可见性,只有将检测能力尽可能铺开到每个分支节点,才能实现整网的有效检测。最后,基于SD-WAN的编排能力,可以针对检测出的威胁进行快速响应,也就是所谓的协同联动。

所以SD-WAN通过将安全能力充分下沉到分支的网络边缘,提升了整体网络的威胁防御水平,并通过全局的可见性让我们能更快速的发现威胁,并制定处置策略,再基于整网调度和编排能力进行快速实时的响应,实现全网安全建设的闭环。

另一方面,由于SD-WAN设备所部署的位置是网络出口(广域网边缘),那么作为网关的安全能力就必不可少。但是我们也知道任何事都是有代价的,比如安全功能的授权费和开启很多安全功能后的性能衰减,另外就是我们也没有看到任何一款设备拥有所有不同类型的安全能力。

到了SASE,可以让SD-WAN设备在用户边缘侧仅开启必须的安全功能,比如入侵防御,而面向不同场景的更多安全功能,比如远程浏览器,CDR,DLP,零信任,SDP,UEBA等等高性能开销的安全功能都放到云端(或PoP),这将会是一个十分有效率的组合方式。用户既不用担心安全能力不足,也无需担心单点SD-WAN设备成本过高。与此同时,SD-WAN能够给予SASE流量最低成本的调度。

传统架构对分支机构安全部署长久以来的一系列问题,例如高延迟、节点盲区、高管理成本以及随着服务变化而不断进行重新配置等等都将被SASE解决。SASE包含了全部现代化安全基础设施特性:云原生,SD-WAN,零信任,通过降低网络复杂度和将安全过程迁移至可发挥最大效用的网络边缘,能够让用户以更低的代价,更高的效率,更安全的拥抱数字化转型。而这一革命性创新能否落地,就要看SASE厂商在SD-WAN领域的高低了。

1人评论了“无SD-WAN不SASE”

  1. lei_tengcent

    作者,你好!我是腾讯云+社区的小编,关注了您分享的技术文章,觉得很棒,我们诚挚邀请您加入云+社区,与我们众多的社区作者一起为开发者分享技术干货。这个是我们云+社区【腾讯云自媒体分享计划】入驻流程和权益介绍的地址:https://cloud.tencent.com/developer/support-plan。如果您愿意加入或者想了解更多的信息请联系我~微信:L691612439,我们对您的加入充满期待。

发表评论

邮箱地址不会被公开。 必填项已用*标注

广告赞助