请输入关键字
2023-11-29
SASE 将 SD-WAN 与网络安全相结合,提供了一个整体的网络管理解决方案,可简化访问、增强安全性并提高性能。SD-WAN 将SDN的概念与传统 WAN 技术相结合,以提供更好的流量路由和网络操作。它在组织现有 WAN 连接上充当Overlay网络,以改善网络流量。
SD-WAN 和 SASE 不应被视为相互替代的关系,而应该被认为是互补的,且在很大程度上拥有独立的功能,这些功能结合起来可以创建高度可靠、可扩展、高性能和安全的远程连接解决方案。
SD-WAN通过网络、内容和身份安全服务为SASE的构建提供了网络基础。
SD-WAN是将SDN技术应用到广域网中,将网络控制从传输数据中分离出来。通过在物理和逻辑网络之间插入抽象层,SD-WAN 平台可以将多个物理链路组合成一个虚拟网络,并对每个虚拟网络上的数据包流进行微管理,以提高聚合和应用性能、可用性和安全性。
SD-WAN能够交付SDP架构,将underlay和overlay结合到一个基于云的解决方案中。 SD-WAN 适用于任何类型的有线或无线 Internet 连接,并根据网络拥塞和质量提供信道绑定、冗余、负载平衡和动态路径选择。
01.典型的 SD-WAN 安全功能包括
● 使用 DTLS(使用 AES-GCM 证书交换和身份验证)或 IPSec(使用 IKE 密钥交换)进行链路加密。
● 远程设备 (CPE) 的零接触自动配置,以确保安全的初始设置。
● 支持在链路拓扑中插入虚拟网络服务 (VNF),例如 NGFW 、内容过滤器。
● 网络微分段使用虚拟网络和防火墙按应用程序、安全级别或其他标准划分广域网流量。微分段还允许 SD-WAN 使用特定于用户、组和应用程序的路由/防火墙规则实施简单的内容控制策略。
SASE建立在网络基础上,如果SD-WAN实现了远程工作和WFH的扩散,那么SASE可以被看作是通过一套网络、数据和用户安全功能来支持它。与其把SASE看作是SD-WAN的创新替代品,不如把它看作是在SD-WAN基础之上分层安全性的演进改进。
02.SASE 为 SD-WAN 添加了四个安全功能
● 下一代防火墙即服务 (FWaaS)
目前已经通过NFV和虚拟防火墙设备被许多SD WAN用户所整合。
● SWG (Secure Web Gateway)
用于监控和过滤Web流量。
● 云访问安全代理 (CASB)
通过提供应用级网络可见性和策略实施来扩展 SWG。
● 零信任网络访问 (ZTNA)
使用基于发起设备、发起用户和目标应用或服务的细粒度策略,使用特定于应用和会话的身份验证,取代了使用客户端虚拟专用网络的访问安全性。ZTNA 是对传统远程访问安全性的最大改变,它需要提供用户和设备凭据(通常基于证书)、证书颁发机构 (CA)、SSO 服务和设备访问代理。
SD-WAN采用集中管理的方法,从而节约成本和资源。使用SD-WAN的分支网络可以合并在企业的数据中心,这样可以利用价格更便宜的互联网来替代昂贵的专线连接,进一步降低运营成本。
尽管打包云服务可能是大多数情况下最好的 SASE 交付工具,但这不是必需的。一些组织可能会选择运营私有 SASE 基础设施,或与提供SASE作为其网络基础设施一部分的MSP签订合同。事实上,创造了“SASE”一词的 Gartner 认为,基于云的 SASE 的采用正在缓慢增长。
Gartner 表示,到2024年,30%的企业将采用来自同一供应商的云交付SWG、CASB、ZTNA和分支机构防火墙即服务(FWaaS)能力,而2020年这一比例不到5%。为了满足用户对安全的要求,越来越多地采用SASE组件。
全国统一服务热线
400-700-6699