了解云原生網(wǎng)絡(luò)對安全訪問服務(wù)邊緣的好處
為了更好地理解云原生的重要性,Cato Networks公司首席執(zhí)行官Shlomo Kramer對此進行了探討,他為該公司從頭開始創(chuàng)建安全訪問服務(wù)邊緣(SASE)服務(wù)以進行云交付。
Gartner公司去年創(chuàng)造了安全訪問服務(wù)邊緣(SASE)這一術(shù)語,您對其定義是否認同?
Kramer:我對此表示認同。Cato Networks公司創(chuàng)建安全訪問服務(wù)邊緣(SASE)服務(wù)是融合網(wǎng)絡(luò)傳輸和網(wǎng)絡(luò)安全并將其作為云計算服務(wù)交付的愿景。關(guān)于為什么需要安全訪問服務(wù)邊緣(SASE)的爭論本質(zhì)上在于拓撲方面,因為流量模式已經(jīng)更改。網(wǎng)絡(luò)流量過去一直是內(nèi)向的,因為人們使用企業(yè)的工作站并連接到位于企業(yè)數(shù)據(jù)中心的應(yīng)用程序。
這意味著安全性實際上是圍繞軟核放置的“硬殼”。在邊緣計算提供了安全性,并保護了其后面的所有物理設(shè)施。如今,流量模式已經(jīng)改變,安全性需要在所有地方得到應(yīng)用。應(yīng)用程序都在AWS公共云和內(nèi)部部署環(huán)境中構(gòu)建,而工作人員則在辦公室、家中、酒店或任何地方。因此,現(xiàn)在企業(yè)資產(chǎn)無處不在,因此這種安全性不再起作用。其安全性必須有所不同,并且必須集成到各處,因此認同安全訪問服務(wù)邊緣(SASE)這個概念。
MPLS和安全設(shè)備等傳統(tǒng)技術(shù)還有哪些其他挑戰(zhàn)?
Kramer:多協(xié)議標(biāo)簽交換(MPLS)的問題有很好的文檔記錄,因此,不用在這個主題上花費太多時間,很多公司都希望擺脫多協(xié)議標(biāo)簽交換(MPLS),這是因為其成本高、部署時間長,以及缺乏敏捷性。多協(xié)議標(biāo)簽交換(MPLS)對移動用戶或云計算連接沒有任何作用,因此組織需要部署VPN服務(wù)器、云互連和其他技術(shù)以連接其公司的所有資源。
在安全方面,分支機構(gòu)一直是一個巨大的問題,被業(yè)界視為唯一可能的解決方案。設(shè)備需要采購、部署、維護、升級和淘汰。所有這一切都需要時間和努力。它們需要相互融合,這需要更多的時間和技能。大多數(shù)設(shè)備是通過單獨的管理控制臺進行管理的,這使操作變得復(fù)雜而富有挑戰(zhàn)性。隨著時間的推移,將添加更多設(shè)備,從而提高了復(fù)雜性級別。此外,當(dāng)流量激增或打開太多功能時,通常需要在預(yù)算周期之外進行升級。安全專家在應(yīng)用軟件修補程序時通常會滯后,因為更新設(shè)備存在風(fēng)險,需要仔細規(guī)劃,這會使企業(yè)面臨風(fēng)險。
但對于那些希望變得更精簡、更靈活的企業(yè)來說,作為一種架構(gòu)的安全設(shè)備涉及太多的麻煩和成本。對于VNF和虛擬設(shè)備也是如此,企業(yè)仍然需要部署、管理和擴展它們。
云原生平臺可提供什么好處?
Kramer:對于來自安全和網(wǎng)絡(luò)領(lǐng)域的Cato公司聯(lián)合創(chuàng)始人Gur Shatz和我來說,對這些問題很熟悉。當(dāng)我們考慮正確的架構(gòu)將向前發(fā)展時,云計算似乎是顯而易見的選擇,人們已經(jīng)看到了云計算如何改變數(shù)據(jù)中心、服務(wù)器、存儲和應(yīng)用程序的市場。我們認為云計算可以在安全和網(wǎng)絡(luò)方面也可以做到這一點。
像用于數(shù)據(jù)中心和服務(wù)器的AWS公共云一樣,我們希望創(chuàng)建一個實用程序,該實用程序可以保護整個企業(yè)(不僅是站點),而且還可以保護遠程網(wǎng)絡(luò)、云計算數(shù)據(jù)中心、云計算應(yīng)用程序和第三方設(shè)備,并使其聯(lián)網(wǎng)。我們希望企業(yè)利用這一實用工具,并立即獲得整個組織的所有高級安全和網(wǎng)絡(luò)服務(wù)。這就是我們將SD-WAN設(shè)備稱為“Cato插座”的原因,就像電源插座一樣。該愿景與安全訪問服務(wù)邊緣(SASE)定義相符。
我們將涉及安全和網(wǎng)絡(luò)的“繁重工作”轉(zhuǎn)移到一個全球性的、分布式的、云端原生軟件平臺,而不是使用設(shè)備。對于云原生軟件,這意味著幾件事情。我們實際上對于這個主題通過博客文章討論了云原生的價值。這有許多好處,特別是多租戶正在改變游戲規(guī)則。這使得云計算提供商可以分攤其整個客戶群的成本,從而使他們能夠以客戶購買設(shè)備所無法比擬的價格交付產(chǎn)品。
該平臺運行單通道、安全和網(wǎng)絡(luò)堆棧,該堆棧并行執(zhí)行所有安全檢查。數(shù)據(jù)包由我們的軟件傳入、解包和解密,然后在發(fā)送數(shù)據(jù)包之前并行執(zhí)行所有必要的安全檢查。與當(dāng)今的電器工作方式相比,這是一個令人難以置信的變化。如今,每個設(shè)備都必須對數(shù)據(jù)包進行解包和解密,運行深度數(shù)據(jù)包檢查(DPI)引擎以了解數(shù)據(jù)包,應(yīng)用特定的安全檢查,并對下一個設(shè)備重新打包并重新加密。
為什么說全球?qū)S镁W(wǎng)絡(luò)是必要的?
Kramer:對于網(wǎng)絡(luò)來說,企業(yè)始終需要可預(yù)測的低延遲性能。使用寬帶時,如今的全球互聯(lián)網(wǎng)路由根本不可能做到這一點。盡管即使在全球互聯(lián)網(wǎng)區(qū)域內(nèi),跨全球路由或全球互聯(lián)網(wǎng)欠發(fā)達區(qū)域的不可預(yù)測延遲問題也是眾所周知的,但我們已經(jīng)看到特定的路由存在問題。
如何克服多協(xié)議標(biāo)簽交換(MPLS)的延遲和全球連接成本?我們的答案是利用全球IP連接中的大規(guī)模擴展。通過購買跨多個IP骨干網(wǎng)的大規(guī)模批發(fā)服務(wù)等級協(xié)議(SLA)支持的容量,然后在網(wǎng)絡(luò)中的每一躍點動態(tài)選擇最佳的骨干網(wǎng),我們能夠以多協(xié)議標(biāo)簽交換(MPLS)成本的一小部分提供全球低延遲連接。
SASE行業(yè)目前有很多初創(chuàng)企業(yè)和較小的供應(yīng)商。為什么大型企業(yè)在努力做出這一轉(zhuǎn)變?
Kramer:我認為這種轉(zhuǎn)變很明顯,但是現(xiàn)有的基于設(shè)備的解決方案根本無法轉(zhuǎn)換為云原生的解決方案。重新設(shè)計云平臺需要在研發(fā)上進行大量投資,這將以犧牲現(xiàn)有的和非常成功的產(chǎn)品線為代價,因此,除了工程設(shè)計之外,還需要克服內(nèi)部沖突。
這就是為什么所說的大公司受到安全訪問服務(wù)邊緣(SASE)威脅的原因。我們都認識到安全訪問服務(wù)邊緣(SASE)的價值,但要實現(xiàn)這一目標(biāo),許多已建立的解決方案提供商需要中斷其現(xiàn)有業(yè)務(wù),這不容易做到。
在行業(yè)中,我們看到供應(yīng)商試圖通過將其解決方案重新命名為安全訪問服務(wù)邊緣(SASE)產(chǎn)品來利用安全訪問服務(wù)邊緣(SASE)。為了讓IT人員分辨出安全訪問服務(wù)邊緣(SASE)平臺的真假,采用試金石測試很簡單:如果其重點在設(shè)備中,那就是安全訪問服務(wù)邊緣(SASE),如果提供的產(chǎn)品缺少SD-WAN,并且管理控制臺不止一個,那么這不是安全訪問服務(wù)邊緣(SASE)。
