考虑安全访问服务边缘(SASE)模型的企业需要了解,有许多实现该模型的方法可以根据其未来需求和遗留网络的实际情况进行调整。
根据创造了这个术语的Gartner的定义,SASE呼吁将安全构建为网络的一部分,并以云服务的形式交付,但这可能并不适合所有企业所面临的情况。
根据他们的需要,将SASE作为托管服务包交付,或者甚至在包含私有安全基础设施(由云管理)的架构中交付可能更有意义——替代方案可以实现相同的目标。
理解SASE选项
SASE是下一步广域网(WAN)转换。目前的广域网架构在过去四十年的大部分时间里基本保持不变。SD-WANs是一个巨大的飞跃,它提高了网络的效率,但并没有改变它。SASE针对当前的趋势进行了优化,如云、移动,甚至COVID-19导致在家工作的增加。
SD-WAN的一个问题是,它带来了新的安全挑战。例如,sd - wan使配置a变得简单将隧道这样,员工就可以直接访问云,而不必通过公司的WAN再到雷竞技电脑网站。这改善了用户体验,提高了网络使用效率,但也造成了一个巨大的安全漏洞。
解决这一问题的一种方法是在每个分支机构设置防火墙,但这样做成本高昂,而且会造成操作上的麻烦,因为保持数十个甚至数百个防火墙同步是困难的,甚至是不可能的。
SASE通过将安全功能集成到网络中从而使其成为网络服务来解决这个问题。安全和网络的管理是通过云来完成的,因此管理员可以一次性进行更改,并将其推送到每个位置。
集成安全和网络不仅使广域网得到发展,而且对它进行了改造。传统的wan(包括sd - wan)连接并保护分支机构和公司地点。SASE使企业能够连接远程工作人员、物联网端点和任何其他需要连接的东西。
对于考虑SASE的企业来说,重要的是要了解有许多消费它的方式。这里有一些。
原生云SASE
按照Gartner的定义,云本地SASE是指通过云提供所有网络和安全服务的地方。唯一的内部基础设施是一个轻量级硬件设备,类似于将连接定向到云节点的家庭路由器。
最近,一些SASE厂商已经发布了软件客户端,使得计算机或物联网终端直接连接到云,避免了额外的硬件需要。
这种方法的好处是,小到单个设备的任何位置都可以拥有企业级的安全和网络服务。缺点是,对于大的位置,SASE会产生大量的网络流量,因为所有的安全检查都是在云中完成的。云本地SASE最适合具有许多小位置的高度分布式组织。保险公司和零售商就是很好的例子。
云托管本地SASE
世界可能已经进入了云计算的疯狂阶段,但内部基础设施仍有一席之地。通过云端管理SASE,每个位置都将拥有自己的路由器、防火墙、统一威胁管理(UTM)和其他安全设备。从云上管理它们是成功的关键,因为它提供了云本地SASE的易用性。
最大的好处是所有的安全检查都是在本地完成的,提高了大型站点的性能。一个明显的缺点是为每个位置提供硬件的成本。
另一个好处是,这种方式提供了某种程度的投资保护。如果该组织最近购买了内部基础设施,它可能还没有准备好扔掉它。向云管理方式的转变使企业能够继续使用它们相对较新的路由器、防火墙和其他设备。
云管理的本地SASE应该用于在一个地方有数百或数千名员工的组织。制造业组织和医疗保健机构就是例子。另外,喜欢自己动手模式的公司应该选择这种方式。
管理SASE
虽然SASE提供了许多好处,但它确实会增加广域网的复杂性。网络工程师需要考虑的事情等,其中使用拆分隧道,办公室之间的啮合,如何提供安全,创建用户配置文件和其他因素的水平。传统广域网效率低下,但有较少的考虑。
SASE让企业可以利用网络做更多的事情,但也将复杂性提高到了许多组织可能没有能力解决的水平。托管的SASE的好处是允许在最佳实践方面经验丰富的第三方配置和运行网络。
不利的一面是失去控制。最近的趋势是,管理服务提供商提供联合管理服务,组织可以在其中执行其熟悉的任务,并将其他功能移交给MSP。希望迅速转向SASE、但具有高度风险容忍度的企业,应该考虑托管服务。
混合也是一种选择
最终,任何规模的组织都可能采用混合方法,即结合使用云本地和本地SASE。假设一家全球律所在每个国家都有一到两个办事处,但每个办事处都有数百名员工。该公司可以为实体办公室使用本地基础设施,但通过云本地服务将家庭员工连接起来。另一个例子是制造组织,他们使用本地的基础设施来建造大型设施,并使用云服务来连接自动驾驶车辆。
采用SASE的策略
实现SASE的捷径可能是将当前的基础设施转移到由设备供应商的云管理工具来管理。过去几年制造的产品很可能提供了这样的选择,尽管今天的客户可能不会使用它。使用这些工具可以确保策略和配置参数可以轻松地从传统WAN移植到SASE。
如果考虑使用云本地方法,看看供应商是否提供了云管理的本地基础设施的路径。随着公司所在地数量的增长,这一点变得非常重要。
在部署时,企业可能有许多小的位置,并倾向于使用云方法。随着时间的推移,如果一个或多个地点增长到网络开销导致问题的程度,企业将希望转向云管理的本地模式。理想情况下,供应商应该提供一个过渡计划,这样就不会发生中断。
另一个关键考虑因素是安全性。一些较小的SASE供应商有自己的安全栈,但客户组织可能更喜欢使用名牌供应商的舒适感。许多SD-WAN供应商与顶级安全公司合作,以完善他们的SASE能力,因此潜在客户应该了解涉及到什么安全供应商,以确保他们与他们选择的安全供应商合作。
企业应该确保他们的SASE提供商有一个丰富的仪表板,提供可见性和分析能力。尽管这不是Gartner定义的一部分,但它应该是。网络不是静态的,需要像商业一样发展。这需要具有网络流量模式的端到端可见性、用户密度、安全策略和其他因素
SASE供应商需要提供这些信息,以便在需要时通知客户并进行更改。即使使用了托管服务,MSP也需要提供对环境的可见性。正如公理所言,您无法管理或保护您看不到的东西,而使用SASE,您可以看到所有的东西是至关重要的。