如何为企业量身定制SASE
2020-08-28ZeusKerravala编译陈琳华
Zeus Kerravala 编译?陈琳华
正在评估安全访问服务边缘(SASE)模型的企业需要了解的是,部署方法多种多样,企业可以根据未来需求和遗留网络的实际情况进行定制。
Gartner的定义指出,SASE应将安全性内置为网络的一部分,并以云服务的方式提供,但是这可能并不适合所有企业。
根据企业的需求,将SASE作为托管服务包或是内置在云托管的私有安全基础设施架构中交付可能更有意义。这两种方案都可以实现同样的目的。
了解SASE选项设置
在过去的40年时间里,WAN架构基本上没有什么大的变化。SD-WAN虽然向前迈进了一大步,提高了网络效率,但是并未从根本上发生改变。作为广域网(WAN)转型的下一形态,SASE针对云计算、移动性等发展趋势进行了专门的优化。
SD-WAN的出现也带来了新的安全挑战。例如,SD-WAN简化了为分支机构配置分离隧道的工作,员工不必通过公司WAN和数据中心就可以直接访问云端。这样虽然可以改善用户体验并提升网络效率,但是同时也形成了严重的安全漏洞。
要想解决这一问题,一个解决办法是在每个分支机构中都安装防火墙,但是这种办法费用较高,并且运维起来也很麻烦,因为让数十个甚至数百个防火墙保持同步非常困难。
SASE解决这个问题的办法是将安全功能集成到网络上,让其成为一种网络服务。由于安全性和网络管理是通过云完成的,因此管理员只需要修改一次就可以将其一次性推送到所有地方。
将安全性和网络功能集成到网络上不仅升级了网络,还可以实现对WAN的改造。包括SD-WAN在内的传统WAN可连接并保护分支机构和公司。SASE还可以让企业连接远程办公人员、物联网终端以及所有需要连接的设备。
对于企业来说,重要的是要了解SASE的使用方法。
云原生SASE
根据Gartner的定义,所有网络和安全服务均可通过云端获得是云原生SASE的一个重点特征。唯一的本地基础设施也是类似于家用路由器这样的轻量级硬件设备,其作用是将连接定向至云节点。
部分SASE供应商近期发布了一些能够让计算机和物联网终端直接连接至云端的客户端,用户不需要购买额外的硬件。
这种方法的优点是,在任何地方,哪怕只有一台设备也都具有企业级安全性和网络服务。缺点是如果某个地方设备较多,那么SASE就会生成大量网络流量,原因在于所有的安全检查都是在云端完成的。云原生SASE最适合的应用场景是高度分布式的企业,例如保险公司和零售商。
可从云端管理的本地SASE
尽管目前云浪潮已经席卷全球,但是本地基础设施仍然扮演着重要角色。由于是通过云端对SASE进行管理,因此每个地方都将拥有自己的路由器、防火墙、统一威胁管理(UTM)等安全设备。从云端管理对于成功至关重要,而云原生SASE恰好提供了易用性。
其最大的优势是所有安全检查都在本地完成,这大大提高了大型站点的性能。明显的不足是公司要为所有的地方都提供硬件,从而导致成本大幅增长。
这种方法的另一个优势是可以让原来的一些投资不至于浪费。如果公司最近才购买了一些本地基础设施,那么公司显然不会轻易闲置这些设施。云托管可让公司继续使用那些相对较新的路由器、防火墙等设备。
云托管的本地SASE非常适合那些大量员工集中某一处的企业,例如制造企业和医疗机构。此外,那些喜欢DIY模式的公司可能会更偏好这种方法。
托管SASE
尽管SASE具有许多优势,但是它们也确实增加了WAN的复杂性。例如,网络工程师需要考虑在何处使用分离隧道,办公室之间的网络层级,如何设置安全性,创建用户配置文件等诸多因素。老的WAN虽然效率不高,但是胜在网络工程师需要考虑的东西也不多。
尽管SASE可使得公司能够通过网络做更多的工作,但是同时也将复杂性提高到一个新的高度,许多公司根本无法解决。托管SASE的优势是允许经验丰富的第三方配置和运行网络。
缺点是公司会失去控制权。托管服务提供商的一个新趋势是提供联合托管服务,即公司可以只执行自己擅长的任务,将其他的任务交给托管服务提供商。对于那些希望快速迁移至SASE同时风险承受能力强的公司来说,他们可以考虑一下托管服务。
混合部署也是一种选项
大多数的大型企业都可能会选择混合部署,即混合使用云原生SASE和本地SASE。一家全球性律师事务所就是一个很好的例子,这家事务所会在每个国家设立一、二个办事处,每个办事处都有数百名员工。事务所可以在实体办公室使用本地基础设施,同时又通过云原生服务将在家远程办公的员工连接在一起。另一个例子是制造企业,其将本地基础设施用于大型设备,将云服务用于连接自动化机器人。
SASE的部署策略
快速转向SASE的一条捷径是将目前的基础设施交由设备厂商的云托管工具进行托管。早些年前的产品可能会提供这种选项,即便现在的客户可能已经不再使用了。这些工具可以确保将策略和配置参数能够便捷地从传统WAN迁移到SASE上。
如果选择云原生SASE,那么公司应查看一下供应商是否提供了云托管的本地基础设施选项。随着公司办公地点的不断增加,这一点变得尤为重要。
在刚开始部署时,公司可能会因为有许多小的办公地点,更偏向于选择云解决方案。但是随着时间的发展,办公地点的规模可能会出现增长,网络负载的增加可能会引发许多问题。为此公司会希望改用云托管的本地基礎设施。理想状态下,供应商会提供一个过渡计划,以便在不中断运营的情况下实现调整。
另一个关键考虑因素是安全性。尽管一些小型的SASE供应商也会拥有自己的安全堆栈,但是客户可能更愿意选择知名的供应商。目前许多SD-WAN供应商已开始与顶级安全公司合作,以完善其SASE功能。对此,客户在做出选择前了解清楚安全供应商的情况,以确保他们选择的SASE安全供应商能够与自己顺利融合。
此外,尽管Gartner的定义中没有提到,但是企业还应确保所选定的SASE提供商能够提供带有可见性和分析功能的多功能仪表板。网络不是静态的,它们也会随着公司发展而不断演进。这就要求它们在网络流量模式、用户密度、安全策略等方面具有端到端可见性。
SASE供应商需要提供这些信息,方便客户被及时通知以及在需要时进行调整。即便用户选择了托管服务,托管服务提供商也需要提供关于环境方面的可见性。像俗话说的那样,我们将无法管理或保护看不见的内容,但用户在使用SASE时能够了解全面的信息至关重要。
本文作者Zeus Kerravala为市场研究公司ZK Research的创始人兼首席分析师。
原文网址
https://www.networkworld.com/article/3568630/how-to-tailor-sase-to-your-enterprise.html