如何为企业量身定制SASE

来源 :计算机世界 | 被引量 : 0次 | 上传用户:mc76759
下载到本地 , 更方便阅读
声明 : 本文档内容版权归属内容提供方 , 如果您对本文有版权争议 , 可与客服联系进行内容授权或下架
论文部分内容阅读
  正在评估安全访问服务边缘(SASE)模型的企业需要了解的是,部署方法多种多样,企业可以根据未来需求和遗留网络的实际情况进行定制。
  Gartner的定义指出,SASE应将安全性内置为网络的一部分,并以云服务的方式提供,但是这可能并不适合所有企业。
  根据企业的需求,将SASE作为托管服务包或是内置在云托管的私有安全基础设施架构中交付可能更有意义。这两种方案都可以实现同样的目的。

了解SASE选项设置


  在过去的40年时间里,WAN架构基本上没有什么大的变化。SD-WAN虽然向前迈进了一大步,提高了网络效率,但是并未从根本上发生改变。作为广域网(WAN)转型的下一形态,SASE针对云计算、移动性等发展趋势进行了专门的优化。
  SD-WAN的出现也带来了新的安全挑战。例如,SD-WAN简化了为分支机构配置分离隧道的工作,员工不必通过公司WAN和数据中心就可以直接访问云端。这样虽然可以改善用户体验并提升网络效率,但是同时也形成了严重的安全漏洞。
  要想解决这一问题,一个解决办法是在每个分支机构中都安装防火墙,但是这种办法费用较高,并且运维起来也很麻烦,因为让数十个甚至数百个防火墙保持同步非常困难。
  SASE解决这个问题的办法是将安全功能集成到网络上,让其成为一种网络服务。由于安全性和网络管理是通过云完成的,因此管理员只需要修改一次就可以将其一次性推送到所有地方。
  将安全性和网络功能集成到网络上不仅升级了网络,还可以实现对WAN的改造。包括SD-WAN在内的传统WAN可连接并保护分支机构和公司。SASE还可以让企业连接远程办公人员、物联网终端以及所有需要连接的设备。

  对于企业来说,重要的是要了解SASE的使用方法。

云原生SASE


  根据Gartner的定义,所有网络和安全服务均可通过云端获得是云原生SASE的一个重点特征。唯一的本地基础设施也是类似于家用路由器这样的轻量级硬件设备,其作用是将连接定向至云节点。
  部分SASE供应商近期发布了一些能够让计算机和物联网终端直接连接至云端的客户端,用户不需要购买额外的硬件。
  这种方法的优点是,在任何地方,哪怕只有一台设备也都具有企业级安全性和网络服务。缺点是如果某个地方设备较多,那么SASE就会生成大量网络流量,原因在于所有的安全检查都是在云端完成的。云原生SASE最适合的应用场景是高度分布式的企业,例如保险公司和零售商。

可从云端管理的本地SASE


  尽管目前云浪潮已经席卷全球,但是本地基础设施仍然扮演着重要角色。由于是通过云端对SASE进行管理,因此每个地方都将拥有自己的路由器、防火墙、统一威胁管理(UTM)等安全设备。从云端管理对于成功至关重要,而云原生SASE恰好提供了易用性。
  其最大的优势是所有安全检查都在本地完成,这大大提高了大型站点的性能。明显的不足是公司要为所有的地方都提供硬件,从而导致成本大幅增长。
  这种方法的另一个优势是可以让原来的一些投资不至于浪费。如果公司最近才购买了一些本地基础设施,那么公司显然不会轻易闲置这些设施。云托管可让公司继续使用那些相对较新的路由器、防火墙等设备。
  云托管的本地SASE非常适合那些大量员工集中某一处的企业,例如制造企业和医疗机构。此外,那些喜欢DIY模式的公司可能会更偏好这种方法。

托管SASE


  尽管SASE具有许多优势,但是它们也确实增加了WAN的复杂性。例如,网络工程师需要考虑在何处使用分离隧道,办公室之间的网络层级,如何设置安全性,创建用户配置文件等诸多因素。老的WAN虽然效率不高,但是胜在网络工程师需要考虑的东西也不多。
  尽管SASE可使得公司能够通过网络做更多的工作,但是同时也将复杂性提高到一个新的高度,许多公司根本无法解决。托管SASE的优势是允许经验丰富的第三方配置和运行网络。
  缺点是公司会失去控制权。托管服务提供商的一个新趋势是提供联合托管服务,即公司可以只执行自己擅长的任务,将其他的任务交给托管服务提供商。对于那些希望快速迁移至SASE同时风险承受能力强的公司来说,他们可以考虑一下托管服务。

混合部署也是一种选项


  大多数的大型企业都可能会选择混合部署,即混合使用云原生SASE和本地SASE。一家全球性律师事务所就是一个很好的例子,这家事务所会在每个国家设立一、二个办事处,每个办事处都有数百名员工。事务所可以在实体办公室使用本地基础设施,同时又通过云原生服务将在家远程办公的员工连接在一起。另一个例子是制造企业,其将本地基础设施用于大型设备,将云服务用于连接自动化机器人。

SASE的部署策略


  快速转向SASE的一条捷径是将目前的基础设施交由设备厂商的云托管工具进行托管。早些年前的产品可能会提供这种选项,即便现在的客户可能已经不再使用了。这些工具可以确保将策略和配置参数能够便捷地从传统WAN迁移到SASE上。
  如果选择云原生SASE,那么公司应查看一下供应商是否提供了云托管的本地基础设施选项。随着公司办公地点的不断增加,这一点变得尤为重要。
  在刚开始部署时,公司可能会因为有许多小的办公地点,更偏向于选择云解决方案。但是随着时间的发展,办公地点的规模可能会出现增长,网络负载的增加可能会引发许多问题。为此公司会希望改用云托管的本地基礎设施。理想状态下,供应商会提供一个过渡计划,以便在不中断运营的情况下实现调整。
  另一个关键考虑因素是安全性。尽管一些小型的SASE供应商也会拥有自己的安全堆栈,但是客户可能更愿意选择知名的供应商。目前许多SD-WAN供应商已开始与顶级安全公司合作,以完善其SASE功能。对此,客户在做出选择前了解清楚安全供应商的情况,以确保他们选择的SASE安全供应商能够与自己顺利融合。
  此外,尽管Gartner的定义中没有提到,但是企业还应确保所选定的SASE提供商能够提供带有可见性和分析功能的多功能仪表板。网络不是静态的,它们也会随着公司发展而不断演进。这就要求它们在网络流量模式、用户密度、安全策略等方面具有端到端可见性。
  SASE供应商需要提供这些信息,方便客户被及时通知以及在需要时进行调整。即便用户选择了托管服务,托管服务提供商也需要提供关于环境方面的可见性。像俗话说的那样,我们将无法管理或保护看不见的内容,但用户在使用SASE时能够了解全面的信息至关重要。
  本文作者Zeus Kerravala为市场研究公司ZK Research的创始人兼首席分析师。
  原文网址
  https://www.networkworld.com/article/3568630/how-to-tailor-sase-to-your-enterprise.html
其他文献
云计算发展大趋势,从SaaS到IaaS直至PaaS  据分析公司Forrester,尽管公有云所固有的灵活性使其成为最具革命性的一代技术,但其在企业界的应用还没有超过50%,该公司还预测全球公有云服务市场到2020年规模将达到2360亿美元。  在2018年的云预测报告中,分析师写道:“虽然云的影响是全球性的,但只有不到一半的企业使用了公有云平台。2018年,我们将跨过50%应用这一重大的里程碑,
2020年度中国杰出数字化团队奖北京稻香村食品有限公司信息部团队  获奖理由:北京稻香村信息团队非常注重IT治理,目前已经帮助企业形成了完善的组织内管理制度与业务流程。稻香村的信息化团队在构建信息化业务流程的过程中,总是紧紧围绕着前端的操作用户,不断地通过信息技术来创新企业的商业运营模式,持续改善着企业的管理运营。团队以创新作为变革的主旋律,积极学习和吸纳各种新技术、新应用,引用智慧零售门店系统,
机密计算能够增强企业安全性,但是它们应该如何定义?用户需要做哪些工作?  无论是使用内部数据中心的企业还是迁移到云端的企业,安全性始终是最受关注的三大问题之一。应用程序解决方案提供商、机器供应商和云服务提供商都应该竭力提高安全性。  过去,安全措施主要都集中在保护静态数据或对数据进行加密传输上。实际上,在数据库中、在LAN/WAN上和通过5G网络传输时都会对数据进行加密,这也是所有此类系统的关键组
乍看起来,部署网络安全措施和追求创新似乎是相互排斥的。加强安全的战略旨在降低风险,而创新工作则要求敢于承担风险。  企业正在想方设法推出创新的数字业务新项目,同时采取措施保护数据和其他IT资产。因此,他们建立了改善客户体验、获得新收入和新市场机会的途径,同时还加强了安全要求、保护系统和数据并遵守法规。  毕竟,这才是当今业务环境中成功的秘诀:推动变革性举措,以确保宝贵的系统和数据安全的方式,采用云
金融科技公司、软件制造商、電信提供商等企业联合开发了基于区块链的网络,在这一网络上,任何人都可以在线交换数字证书,而且没有无意间泄露任何私人数据的风险。  这些企业是非盈利新组织Sovrin基金会(Sovrin Foundation)的成员,该基金会正在开发“Sovrin网络”,它可以使任何人都能够与网络上的任何实体在全球范围内交换预先验证过的数据。  在线证书类似于我们在自己钱包里存放的那些身份
防火墙通过整合独立设备的功能,接受网络结构调整以及集成外部数据源,以在其做出的决策中加入智能,从而持续发展成为网络安全的主力。由于其中存在着大量的可能性,因此变得难以捉摸。  由于功能非常丰富,导致下一代防火墙难以被充分地熟练掌握,有些重要的功能有时在实践中也会被忽略掉。  以下是IT专业人员应关注的防火墙的新功能。网络分段  网络分段指将单个物理网络划分为多个逻辑网络,其中每个网段的行为就像在自
选择下一代防火墙(NGFW)时,性能、外形和自动化功能是关键的考虑因素。  防火墙已存在多年,并且随着威胁形势的变化,这一技术也在不断发展。以下是一些在选购下一代防火墙(NGFW)中需要注意的技巧,以便选购的防火墙能够满足企业当前和未来的业务需求。  不要信任防火墙性能统计信息  要明白NGFW的运行方式需要的不仅仅是查看供应商的规范或是让一些流量流经它们。当流量负载较轻时,大多数防火墙都能正常运
26%有招聘计划的受访者表示,他们将在未来12个月内寻找有这类技能的人。  Peter Danchak在IT行业有25年的从业经历,过去16年一直在DRC公司工作,目前担任系统管理员一职。多年来,他发现已经有众多企业将越来越多基础设施资产迁移至云环境当中。  Danchak目前主要使用云技术,支持面向云环境的架构整合与工程调整。他表示他通过自学及公司赞助的培訓获得了必要技能——而这些技能让他的简历
最近发生了一件事,一名民族国家的威胁犯罪分子在测试新的恶意软件时,很有可能无意中关闭了中东的一个关键基础设施,这引发了人们对脆弱的工业控制系统(ICS,Industrial Control Systems)难以应对网络新威胁的普遍担忧。很多安全专家认为这一事件预示着将针对ICS发起新一轮破坏性的攻击,并敦促关键基础设施所有者紧急更新其运营技术(OT,Operational Technology)网
云平台、托管服务提供商和进行数字化转型的企业得益于一种新兴的IT趋势:使用支持人工智能的IT运维技术来自动监控和管理IT业务。  这种新出现的技术趋势被称为AIOps,它帮助企业提前解决潜在的停机和性能问题,避免对运维、客户和收益产生负面影响。而更先进的项目开始使用人工智能系统,不仅是为了发现问题,或在问题发生之前预测问题,更是为了通过智能、自动化的缓解措施及时对事件做出反应。  那么,AIOps