当Gartner在2019年发布“网络安全的未来在云端”时,他们做了两件事。首先,他们准确地识别和描述了未来十年企业网络和安全架构的发展方向。其次,为了描述这种新方法,他们创造了当时最流行的IT流行语之一:SASE,“SecureAccessServiceEdge”的缩写。由于围绕SASE的所有讨论,许多“SASE供应商”都是具有SASE特征的营销解决方案。然而,在实现SASE对整体和融合网络安全解决方案的承诺时,这些解决方案中的大多数都达不到要求。在这里,我们将看看SASE不是什么,以帮助确定SASE供应商应该为业务提供什么价值。SD-WAN不是SASE在某些情况下,SASE被认为是下一代SD-WAN。从为网络基础设施带来敏捷性和融合的角度来看,进行比较的原因是可以理解的。事实上,优化路由流量和抽象出底层物理介质的能力是SASE的重要组成部分。然而,SD-WAN本身只是SASE供应商应该提供的更广泛解决方案的一部分。此外,并非所有SD-WAN实施都是一样的。例如,SASE旨在支持所有网络边缘(WAN、边缘、云和移动),但对于许多SD-WAN设备,移动支持是缺乏的或根本不存在的。基于云的安全性不是SASE与SD-WAN一样,有许多安全功能是SASE解决方案的重要组成部分。示例包括IPS(入侵防御系统)、NGFW(下一代防火墙)和SWG(安全Web网关)。由于身份驱动的安全性和云原生架构是SASE的关键特征,因此人们可能会倾向于接受这样一种想法,即功能丰富的基于云的防火墙可以成为实现SASE的一种方式。然而,在实践中,这并不是很好。安全性只是SASE架构的一半,仅基于云的防火墙和IPS无法帮助在全球范围内进行路由和WAN优化。同样,与SD-WAN一样,这些技术的优势使它们成为SASE的重要组成部分,但即使捆绑在一起,它们本身也不是SASE。将多个不同的设备拼接在一起不是SASE。支持敏捷高效路由的SD-WAN功能是SASE的重要组成部分。同样,IPS、SWG、NGFW等安全功能也是SASE的重要组成部分。然而,简单地部署来自“SASE供应商”的设备和解决方案,这些设备和解决方案勾选了SASE功能集的所有方框,并不能兑现SASE的承诺。这是因为拼凑而成的网络和安全设备以及云解决方案根本无法提供单一融合解决方案所能提供的敏捷性、可见性、简单性和性能。采购、部署、管理和集成多种产品不仅会增加成本,还会增加网络的复杂性。因此,在纸面上看起来不错的拼凑解决方案往往会造成巨大的运营瓶颈和安全疏忽。虽然有些人可能会主张将复杂性卸载给服务提供商,但这并不能解决根本问题,而且通常会因次优性能而导致更高的成本。边缘设备上的虚拟设备不是SASE在边缘设备上运行虚拟设备可以减少硬件占用空间,但对运营成本几乎没有影响。设备仍然需要部署、集成、升级、部署和维护。潜在的孤岛和复杂性不会消失。真正的SASE平台消除了设备外形因素。功能作为多租户、云原生平台提供。SASE提供商为所有客户的利益管理和维护底层平台。企业和提供商都不承担管理设备的运营开销。SASE究竟是什么?SASE是关于网络和安全性的融合,以提高性能、简化操作复杂性并在全球范围内增强安全态势。为满足这些标准,真正的SASE解决方案需要具备以下特征:支持所有边缘。必须在不牺牲性能或功能的情况下支持移动、云、WAN和边缘位置。许多虚拟和物理设备都难以满足此标准。这是因为安全设备通常固有地绑定到特定位置。身份驱动的安全性。SASE安全模型是围绕资源的粒度标识构建的。SASE要求每个应用程序、每个人和每个设备都可以被计算在内,并且可以深入分析数据流。这样做可以实现网络范围的可见性和上下文感知,以帮助减轻威胁。云原生架构。为了简化管理复杂性并提供弹性、弹性和自我维护,使SASE能够为企业提供高性能和可扩展性,多租户云原生架构是必须的。全球分布式网络连接。全球分布式云平台,确保无论企业网络边缘位于何处,SASE的所有能力都可用。这意味着SASEPoP(接入点)需要超越公共云数据中心,并确保与所有WAN端点的低延迟连接。真正的SASE供应商明白融合是关键这里的基本要点是:SASE不仅仅是一个强大的网络和安全功能集,它是关于融合该功能集以提高性能和安全性,同时降低复杂性和成本。
