為了更好地理解云原生的重要性,Cato Networks公司首席執(zhí)行官Shlomo Kramer對此進(jìn)行了探討,他為該公司從頭開始創(chuàng)建安全訪問服務(wù)邊緣(SASE)服務(wù)以進(jìn)行云交付。
Gartner公司去年創(chuàng)造了安全訪問服務(wù)邊緣(SASE)這一術(shù)語,您對其定義是否認(rèn)同?
Kramer:我對此表示認(rèn)同。Cato Networks公司創(chuàng)建安全訪問服務(wù)邊緣(SASE)服務(wù)是融合網(wǎng)絡(luò)傳輸和網(wǎng)絡(luò)安全并將其作為云計算服務(wù)交付的愿景。關(guān)于為什么需要安全訪問服務(wù)邊緣(SASE)的爭論本質(zhì)上在于拓?fù)浞矫?,因為流量模式已?jīng)更改。網(wǎng)絡(luò)流量過去一直是內(nèi)向的,因為人們使用企業(yè)的工作站并連接到位于企業(yè)數(shù)據(jù)中心的應(yīng)用程序。
這意味著安全性實際上是圍繞軟核放置的“硬殼”。在邊緣計算提供了安全性,并保護(hù)了其后面的所有物理設(shè)施。如今,流量模式已經(jīng)改變,安全性需要在所有地方得到應(yīng)用。應(yīng)用程序都在AWS公共云和內(nèi)部部署環(huán)境中構(gòu)建,而工作人員則在辦公室、家中、酒店或任何地方。因此,現(xiàn)在企業(yè)資產(chǎn)無處不在,因此這種安全性不再起作用。其安全性必須有所不同,并且必須集成到各處,因此認(rèn)同安全訪問服務(wù)邊緣(SASE)這個概念。
MPLS和安全設(shè)備等傳統(tǒng)技術(shù)還有哪些其他挑戰(zhàn)?
Kramer:多協(xié)議標(biāo)簽交換(MPLS)的問題有很好的文檔記錄,因此,不用在這個主題上花費(fèi)太多時間,很多公司都希望擺脫多協(xié)議標(biāo)簽交換(MPLS),這是因為其成本高、部署時間長,以及缺乏敏捷性。多協(xié)議標(biāo)簽交換(MPLS)對移動用戶或云計算連接沒有任何作用,因此組織需要部署VPN服務(wù)器、云互連和其他技術(shù)以連接其公司的所有資源。
在安全方面,分支機(jī)構(gòu)一直是一個巨大的問題,被業(yè)界視為唯一可能的解決方案。設(shè)備需要采購、部署、維護(hù)、升級和淘汰。所有這一切都需要時間和努力。它們需要相互融合,這需要更多的時間和技能。大多數(shù)設(shè)備是通過單獨的管理控制臺進(jìn)行管理的,這使操作變得復(fù)雜而富有挑戰(zhàn)性。隨著時間的推移,將添加更多設(shè)備,從而提高了復(fù)雜性級別。此外,當(dāng)流量激增或打開太多功能時,通常需要在預(yù)算周期之外進(jìn)行升級。安全專家在應(yīng)用軟件修補(bǔ)程序時通常會滯后,因為更新設(shè)備存在風(fēng)險,需要仔細(xì)規(guī)劃,這會使企業(yè)面臨風(fēng)險。
但對于那些希望變得更精簡、更靈活的企業(yè)來說,作為一種架構(gòu)的安全設(shè)備涉及太多的麻煩和成本。對于VNF和虛擬設(shè)備也是如此,企業(yè)仍然需要部署、管理和擴(kuò)展它們。
云原生平臺可提供什么好處?
Kramer:對于來自安全和網(wǎng)絡(luò)領(lǐng)域的Cato公司聯(lián)合創(chuàng)始人Gur Shatz和我來說,對這些問題很熟悉。當(dāng)我們考慮正確的架構(gòu)將向前發(fā)展時,云計算似乎是顯而易見的選擇,人們已經(jīng)看到了云計算如何改變數(shù)據(jù)中心、服務(wù)器、存儲和應(yīng)用程序的市場。我們認(rèn)為云計算可以在安全和網(wǎng)絡(luò)方面也可以做到這一點。
像用于數(shù)據(jù)中心和服務(wù)器的AWS公共云一樣,我們希望創(chuàng)建一個實用程序,該實用程序可以保護(hù)整個企業(yè)(不僅是站點),而且還可以保護(hù)遠(yuǎn)程網(wǎng)絡(luò)、云計算數(shù)據(jù)中心、云計算應(yīng)用程序和第三方設(shè)備,并使其聯(lián)網(wǎng)。我們希望企業(yè)利用這一實用工具,并立即獲得整個組織的所有高級安全和網(wǎng)絡(luò)服務(wù)。這就是我們將SD-WAN設(shè)備稱為“Cato插座”的原因,就像電源插座一樣。該愿景與安全訪問服務(wù)邊緣(SASE)定義相符。
我們將涉及安全和網(wǎng)絡(luò)的“繁重工作”轉(zhuǎn)移到一個全球性的、分布式的、云端原生軟件平臺,而不是使用設(shè)備。對于云原生軟件,這意味著幾件事情。我們實際上對于這個主題通過博客文章討論了云原生的價值。這有許多好處,特別是多租戶正在改變游戲規(guī)則。這使得云計算提供商可以分?jǐn)偲湔麄€客戶群的成本,從而使他們能夠以客戶購買設(shè)備所無法比擬的價格交付產(chǎn)品。
該平臺運(yùn)行單通道、安全和網(wǎng)絡(luò)堆棧,該堆棧并行執(zhí)行所有安全檢查。數(shù)據(jù)包由我們的軟件傳入、解包和解密,然后在發(fā)送數(shù)據(jù)包之前并行執(zhí)行所有必要的安全檢查。與當(dāng)今的電器工作方式相比,這是一個令人難以置信的變化。如今,每個設(shè)備都必須對數(shù)據(jù)包進(jìn)行解包和解密,運(yùn)行深度數(shù)據(jù)包檢查(DPI)引擎以了解數(shù)據(jù)包,應(yīng)用特定的安全檢查,并對下一個設(shè)備重新打包并重新加密。
為什么說全球?qū)S镁W(wǎng)絡(luò)是必要的?
Kramer:對于網(wǎng)絡(luò)來說,企業(yè)始終需要可預(yù)測的低延遲性能。使用寬帶時,如今的全球互聯(lián)網(wǎng)路由根本不可能做到這一點。盡管即使在全球互聯(lián)網(wǎng)區(qū)域內(nèi),跨全球路由或全球互聯(lián)網(wǎng)欠發(fā)達(dá)區(qū)域的不可預(yù)測延遲問題也是眾所周知的,但我們已經(jīng)看到特定的路由存在問題。
如何克服多協(xié)議標(biāo)簽交換(MPLS)的延遲和全球連接成本?我們的答案是利用全球IP連接中的大規(guī)模擴(kuò)展。通過購買跨多個IP骨干網(wǎng)的大規(guī)模批發(fā)服務(wù)等級協(xié)議(SLA)支持的容量,然后在網(wǎng)絡(luò)中的每一躍點動態(tài)選擇最佳的骨干網(wǎng),我們能夠以多協(xié)議標(biāo)簽交換(MPLS)成本的一小部分提供全球低延遲連接。
SASE行業(yè)目前有很多初創(chuàng)企業(yè)和較小的供應(yīng)商。為什么大型企業(yè)在努力做出這一轉(zhuǎn)變?
Kramer:我認(rèn)為這種轉(zhuǎn)變很明顯,但是現(xiàn)有的基于設(shè)備的解決方案根本無法轉(zhuǎn)換為云原生的解決方案。重新設(shè)計云平臺需要在研發(fā)上進(jìn)行大量投資,這將以犧牲現(xiàn)有的和非常成功的產(chǎn)品線為代價,因此,除了工程設(shè)計之外,還需要克服內(nèi)部沖突。
這就是為什么所說的大公司受到安全訪問服務(wù)邊緣(SASE)威脅的原因。我們都認(rèn)識到安全訪問服務(wù)邊緣(SASE)的價值,但要實現(xiàn)這一目標(biāo),許多已建立的解決方案提供商需要中斷其現(xiàn)有業(yè)務(wù),這不容易做到。
在行業(yè)中,我們看到供應(yīng)商試圖通過將其解決方案重新命名為安全訪問服務(wù)邊緣(SASE)產(chǎn)品來利用安全訪問服務(wù)邊緣(SASE)。為了讓IT人員分辨出安全訪問服務(wù)邊緣(SASE)平臺的真假,采用試金石測試很簡單:如果其重點在設(shè)備中,那就是安全訪問服務(wù)邊緣(SASE),如果提供的產(chǎn)品缺少SD-WAN,并且管理控制臺不止一個,那么這不是安全訪問服務(wù)邊緣(SASE)。
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。
京公網(wǎng)安備 11010502049343號