在近日举办的亚马逊云科技re:Invent年度技术峰会上,亚马逊云科技发布了全新服务AWS云广域网(预览版)),Fortinet作为首批5家发布合作伙伴之一,率先支持该服务,也是唯一能够同时提供完整的NGFW(下一代防火墙)+SD-WAN能力的厂商。随着企业越来越多地采用公共云服务,SD-WAN的采用正在迅速增长。毕竟,SD-WAN的主要用例是为云服务提供快速且有弹性的连接。虽然向SD-WAN的转变是受到成本节约、更快的部署和更多应用程序控制的推动,但长期以来一直存在SD-WAN和MPLS(多协议标签交换)之间的权衡取舍之争。MPLS提供对路由域和网段隔离的细粒度控制,通过流量工程为用户提供端到端的低延迟和高质量的服务。AWS云广域网的推出,意味着首次在AWS云中提供了一款产品,具有与MPLS核心网相似的网络性能和稳定性,同时具有让众多本地站点去往的灵活性优势通过SD-WAN到云端。AWSCloudWAN建立在TGWC(transitgateway)之上,允许用户定义核心网络并进一步划分隔离段。每个隔离段都是一个全局同步和隔离的第3层段,类似于IPVPN或VRF,并在用户的AWS账户内提供一个隔离的路由域。远程端点通过连接到CNE(核心网络边缘)来连接到核心网络。在AWSCloudWAN中,一个隔离段代表一个天然的隔离边界,应用程序安全检查可以基于这个边界进行。Fortinet的FortiGateNGFW虚拟化版本充当策略执行点,应用零信任过滤并检查用户和应用程序流量,帮助组织维护隔离网段的完整性。除此之外,它还提供SD-WAN功能。FortiGate虚拟化NGFW结合AWSCloudWAN可以为用户提供无缝保护多个隔离段的能力,包括隔离段和出站外部连接。通过将此架构与AWSGWLB(网关负载均衡器)相结??合,Fortinet可以提供灵活、可扩展的安全检查,而不管各个业务部门的需求如何。特别是,本地位置的FortiGate物理设备和AWS云中的虚拟设备与AWSCloudWAN的结合使AWS上的混合云网络比以往任何时候都更加安全和灵活。Fortinet是为各种规模的组织提供安全SD-WAN和运营商级MPLS保护的领导者。用例1:单个区域中的隔离段检查上图描述了单个AWS区域中的多个隔离段(AWSCloudWAN最初不支持多区域)。如图所示,每个隔离段都可以属于一个单独的用户,每个用户又属于单个组织的内部业务部门,或者由MSSP(托管安全服务提供商)提供的服务。为了安全上网,每个隔离段都可以访问共享服务隔离段。共享服务隔离部分发布的默认路由将应用VPC(私有网络)的流量通过CNE路由到安全VPC。本例中使用GWLB时,先针对隔离的网段、用户或应用部署检测策略,然后将检测策略返回到GWLB的原路径。用例2:单区域服务提供商外联网此用例扩展到包括远程SD-WAN设备,就像您通常对MPLS服务提供商所做的那样。在这里,SD-WAN站点通过CNE连接到AWS,类似于传统的MPLSCE-PE链路,并且可以将隔离段中的路由发布到远程站点。通过AWSSecureVPC的默认路由,远程站点可以实现类似于使用MPLS网络的共享安全上网。在这种情况下,来自SD-WAN站点的流量将直接从FortiGate虚拟NGFW转发到IGW(互联网网关)。由于每个隔离段都有一个独立的路由实例,NTA策略在GWLB中处理,打破了IP地址不能重叠的限制。同时,它通过FortiGate提供即插即用的安全功能。通过支持AWSCloudWAN,Fortinet扩展了客户的云边缘使用场景,提供灵活、结构良好和云原生的高级网络安全。Fortinet的FortiGateNGFW和AWSCloudWAN为云网络提供运营商级性能、安全性和可靠性,使企业能够实现其数字加速目标。
