什麼是安全訪問服務邊緣(SASE)?—Vecloud微雲
Gartner
報告闡明瞭在新的網路和安全模型的基礎上進行雲網路和安全轉型的潛力,該模型稱為安全訪問服務邊緣(
SASE
)。
隨著企業紛紛擁抱數字業務過程,以及邊緣計算、雲服務和混合網路的興起,傳統網路和安全架構的整體複雜性帶來了問題,例如延遲、網路盲點、過多的管理開銷以及隨著服務變化而不斷進行重新配置的需求。透過降低網路複雜度和將安全過程遷移至可發揮最大效用的網路邊緣,
SASE
模型摒除了這些問題。
提高效能
網路擁塞導致的丟包和無序資料包對應用程式的影響非常大。資料包丟失會嚴重影響延遲敏感的應用程式(如影片、
VoIP
和
Web
會議)。目前有一些方案可以最大程度地減少延遲和資料包丟失帶來的影響。
SD-WAN
解決方案具有廣域網最佳化功能,可以應用於不同的應用程式或不同的站點。除了
WAN
最佳化功能外,還可以使用協議和應用程式加速技術。
除了現有的減少資料包丟失和延遲的技術外,我們還可以儘可能地將廣域網私有化。透過使用由
PoP
組成的全球主幹網進行私有化,你可以控制最後一公里對應用程式產生的不利影響。
一旦私有化,我們就可以更好地控制流量路徑、資料包丟失和延遲。私有網路結構是
SASE
的主要優勢,它可以提高應用程式的效能。
安全
SASE
將網路和安全整合到一個平臺中。這允許將多個安全解決方案整合到雲服務中,從而在所有公司位置、使用者和資料之間實施統一策略。
SASE
採用零信任原則,零信任的初始路徑首先要確定網路訪問是基於使用者、裝置和應用程式的身份。它不基於
IP
地址或裝置的物理位置。
使用者
/
裝置的身份必須反映業務環境,而不是同與上層完全脫節的二進位制結構相關聯。這將身份與網路世界繫結在一起,是執行策略的最佳方式。透過這種方式,可以消除對
IP
或應用程式的依賴。無論使用者
/
裝置位於何處,都可以一致地應用該策略。同時,可以將使用者
/
裝置
/
服務的身份納入所應用的策略中。
SASE
堆疊基於身份和上下文動態應用,同時在雲中的戰略要點提供零信任。這就是加強以身份為中心的邊界的原因。
首選出口點
我們還可以定義首選出口點以退出雲應用程式流量。這些可能是最接近客戶應用程式例項的點。最優的全域性路由演算法確定了從世界任何地方到客戶的雲應用程式例項的最佳路徑。
PoP
可以放置在資料中心,為訪問
Amazon AWS
、
Microsoft Azure
和谷歌雲服務提供了良好的入口。使用者可以在大多數時間內將流量保留在私有云上。
Internet
僅用於向
SASE
結構提供一個短躍點。
SASE PoP
最佳化
SASE
基於雲的解決方案中的每個
PoP
都在最合理的地方進行了最佳化,而不僅僅是在
WAN
邊緣。在骨幹網中,我們進行了全域性路由最佳化,以確定當前哪個路徑是最佳路徑,並且還可以針對所有流量或某些應用程式更改該路徑。
這些路由演算法考慮了效能指標,例如延遲,資料包丟失和抖動,有助於為每個網路資料包選擇最優路由。
WAN
骨幹網不斷分析並嘗試提高效能。這與
Internet
路由不同,後者偏向於成本而不是效能。
隨著一切都私有化,我們擁有所有資訊來建立最大的資料包,並使用基於速率的演算法,而不是傳統的基於損耗的演算法。因此,使用者無需學習任何內容,就可以維持端到端的吞吐量。
由於每個
PoP
都充當
TCP
代理伺服器,因此,
TCP
客戶端和伺服器的距離會更近,並且擁有更大的
TCP
視窗,從而允許在等待確認之前傳遞更多資料。
複雜性和開銷
傳統的機制受到客戶站點物理裝置硬體容量的限制。這種機制導致硬體更新率的滯後,而這些硬體也是新增新功能所必需的。
基於硬體的網路和安全解決方案內建在硬體中,這種方式可以加速服務並新增新功能。但有些功能只在特定的硬體上可用,而不是在您本地的硬體上。在這種情況下,客戶有繁重的部署工作。
隨著環境的發展,我們不應依賴於新一代裝置帶來的新網路和安全功能。通常,此模型效率低下且複雜。它帶來了高昂的運營開銷和管理複雜性。
新功能的裝置升級需要大量的管理。從過去的經驗來看,更換一張線路卡需要多個團隊的參與。有的線路卡可能沒有埠,或者您可能只需要新增一些附加功能。僅這些操作將涉及到專案規劃、現場工程師、設計指南、線路卡測試等方面。為了確保關鍵站點成功重新整理,可能需要更多的維護人員。
SASE——
輕鬆管理
基於雲的
SASE
支援新功能和功能的更新,無需在客戶端部署新的裝置(物理或虛擬)和軟體版本。這對管理的便利性有直接的影響。
現在,無需接觸企業網路就可以進行網路和安全部署。這使企業可以迅速採用新功能。一旦消除了功能與客戶裝置之間的緊密聯絡,就可以提高網路和安全服務部署的敏捷性和簡便性。
在
SASE
平臺上,當我們建立一個物件(比如網路域中的策略)時,它也可以在其他域中使用。因此,無論網路位置如何,分配給使用者的任何策略都將繫結到該使用者。這顯著地消除了管理跨多個位置、使用者和裝置型別的網路和安全策略的複雜性。最重要的是,所有這些都可以在一個平臺上完成。
此外,當我們研究安全解決方案時,許多人購買的是隻專注於一項工作的個人裝置。要進行故障排除,您需要收集資訊,例如每個裝置的日誌。這就是
SIEM
(安全資訊和事件管理)有用的地方,但是它只能在某些組織中使用,因為
SIEM
技術是資源密集型工具,需要經驗豐富的人員來實現。對於那些沒有足夠資源的人來說,這個過程是非常艱難的,可能會出現錯誤的結果。
最後,由於所有資料都在一個公共儲存庫中,因此
SASE
使得故障排除更加容易。您不再需要對來自不同裝置
/
解決方案的資料進行規範化,然後將資料匯入資料庫以獲取通用檢視。
供應商和技術棧的合併
安全是網路領域的一個重要話題,目前市場上存在的眾多安全解決方案都很昂貴,且沒有固定的價格,
SASE
的出現給安全領域注入了新的力量。透過將服務整合到單個提供商中,終端使用者裝置上的供應商和代理商
/
客戶數量將會減少。
總體而言,供應商和技術棧的合併可以減少大量的複雜性,將複雜性從本地企業網路轉移到雲端,並降低了成本。
從硬體的角度來看:為了實現規模和增加容量,基於雲的
SASE
可以新增更多
PoP
點。此外,基於
SASE
的雲還負責加密處理。例如,由於現在網際網路流量的很大一部分都是加密的,惡意軟體可以使用加密來逃避和隱藏檢測,藉助
SASE
,每個
PoP
都可以對經過
TLS
加密的流量執行
DPI
。
傳統防火牆無法檢查加密的流量。對
TLS
加密的流量執行
DPI
將需要額外的模組或新的裝置。
SASE
解決方案可確保在
PoP
上完成解密和檢查。因此,在客戶站點不會影響效能,也不需要新裝置。
Vecloud是一家面向企業提供雲交換網路服務為核心業務的技術創新企業,在全球的資料中心節點30個,POP節點超過200個,服務的大客戶超過300個,涉及金融、網際網路、遊戲、AI、教育、製造業、跨國企業等行業領域。
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/69984354/viewspace-2724874/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- 什麼是服務質量(QoS) ?—Vecloud微雲Cloud
- 什麼是防火牆?—Vecloud微雲防火牆Cloud
- 什麼是物理層介面?—Vecloud微雲Cloud
- 什麼是物聯網?—Vecloud微雲Cloud
- 什麼是乙太網?—Vecloud微雲Cloud
- 什麼是計算機網路?—Vecloud微雲計算機網路Cloud
- 什麼是都會網路(MAN)?—Vecloud微雲Cloud
- 什麼是延遲?怎樣解決?—Vecloud微雲Cloud
- 什麼是分散式計算系統?—Vecloud微雲分散式Cloud
- 服務質量qos包括什麼?-VeCloudCloud
- 資料安全的下一個風口:SASE雲服務平臺
- 什麼是網路安全等保服務
- CDN加速服務有什麼功能和作用?-VeCloudCloud
- 為什麼企業需關心DDoS攻擊?—Vecloud微雲Cloud
- 邊緣計算|Hadoop——邊緣計算和Hadoop是什麼關係?Hadoop
- 什麼是CDN邊緣伺服器,有什麼優缺點?伺服器
- DNS與網站訪問有什麼聯絡?-VeCloudDNS網站Cloud
- 摩杜雲:探尋雲原生遊戲通路,構建更好的邊緣雲服務遊戲
- 邊緣計算2.0時代,“雲邊緣”與“邊緣雲”你分清了嗎?
- 程式碼安全邊緣性問題
- 秒懂邊緣雲 | 邊緣雲技術進階
- IT服務管理是什麼?
- 天翼雲邊緣函式、邊緣安全專案入選“可信邊緣計算推進計劃”函式
- 新手必看:雲虛擬主機是什麼?和雲服務有什麼區別?
- 5G服務可以解決的4個企業WAN挑戰 | vecloud微雲Cloud
- 邊緣計算是什麼以及為什麼需要它
- 綠盟科技SASE服務正式釋出
- 5G為中企業解決業務上的五個挑戰—Vecloud微雲服務Cloud
- 產業服務是什麼意思?詳解產業服務產業
- 分散式雲時代,天翼雲4.0如何護衛邊緣安全?分散式
- 什麼是IT運維管理服務運維
- 秒懂邊緣雲 | CDN基礎入門:訪問控制及頻寬閾值
- 什麼是微服務架構?什麼是服務註冊與發現微服務架構
- 天翼雲Serverless邊緣容器下沉服務 促進企業聚焦業務創新Server
- 摩杜雲:以邊緣計算CDN技術為基礎,打造一站式邊緣化雲端計算服務
- 什麼是青藤零域·微隔離安全平臺?
- 遠端訪問技術是什麼
- 華為帳號服務學習筆記(一):什麼是HMS,什麼是華為帳號服務筆記