如何走上有效的SASE之路

SASE（安全訪(fǎng)問(wèn)服務(wù)邊緣）：是市場(chǎng)炒作還是下一波熱潮？ 對于快速變化的企業(yè)IT環(huán)境，這是一個(gè)可行的安全性答案？作為SASE的解決方案如今是否在銷(xiāo)售真正的SASE產(chǎn)品？ 還是他們大多在進(jìn)行中？ 什么是“真正的SASE”？

在此博客中，您將找到所有這些問(wèn)題的答案以及更多內容！ 我將解釋SASE實(shí)際上是什么，是什么驅動(dòng)了SASE遷移，大多數供應商仍然有什么工作，以及為什么如果您希望SASE有效地工作并履行其許多承諾，就必須有一個(gè)組件。

 什么是SASE？

首先，SASE不是一種技術(shù)，甚至不是一種特定的體系結構。 是一個(gè)概念模型。 這個(gè)模型有一個(gè)引人注目的簡(jiǎn)單性：SASE是集成安全和廣域網(wǎng)(WAN)作為云服務(wù)交付的承諾。 這種云服務(wù)是通過(guò)世界各地的接入點(diǎn)提供的，使工人和他們需要的IT資源之間能夠進(jìn)行盡可能快的連接。 

SASE是炒作還是真實(shí)？

好吧，首先，使SASE更具吸引力的企業(yè)IT環(huán)境的兩個(gè)主要變化是非常真實(shí)的：

1.應用程序和數據已轉移到云中，并且

2.工人正在從總部辦公室搬到當地的分支機構，共同工作空間，家庭辦公室和咖啡店。

企業(yè)網(wǎng)絡(luò )架構隨時(shí)間的演變

隨著(zhù)新冠病毒的到來(lái)，從現場(chǎng)解決方案的轉移已經(jīng)加快，公司流量的大部分完全轉移到分公司、校園和企業(yè)網(wǎng)絡(luò )之外。 金融、保險、科學(xué)、技術(shù)、電信、銷(xiāo)售和服務(wù)等部門(mén)的許多公司已承諾將其雇員永久轉移到遠程工作。 這些公司目前沒(méi)有足夠的安全或網(wǎng)絡(luò )解決方案來(lái)解決這樣的環(huán)境，因此我們可以期望SASE的激增來(lái)滿(mǎn)足這一需求。

然而，其他部門(mén)，如醫療保健、零售、制造業(yè)、交通、農業(yè)、政府和公用事業(yè)，都有其員工必須繼續在辦公室工作的商業(yè)模式。 對于這些企業(yè)，SD-WAN將繼續滿(mǎn)足他們的主要需求。 由于SD-WAN已經(jīng)存在了大約8年，這些公司基本上已經(jīng)部署了它。

但是，他們仍將需要SASE來(lái)填補連接性和安全漏洞。 與所有其他行業(yè)一樣，在這些行業(yè)中，包括工業(yè)物聯(lián)網(wǎng)網(wǎng)絡(luò )在內的邊緣網(wǎng)絡(luò )的數量正在增加，并且需要以滿(mǎn)足其特殊帶寬，延遲和安全性要求的方式進(jìn)行集成。 因此，我們可以預計，所有行業(yè)的增長(cháng)，解決方案投資和部署將主要在SASE領(lǐng)域進(jìn)行。 換句話(huà)說(shuō)，對SASE解決方案的需求和隨之而來(lái)的投資確實(shí)是非?，F實(shí)的。

什么是“真實(shí)的SASE”，我們今天在哪里？

在最初的SASE論文中，Gartner認識到基于安全設備堆棧，多供應商服務(wù)鏈以及通過(guò)解密和重新加密進(jìn)行流量檢查的網(wǎng)絡(luò )和安全架構無(wú)法擴展。 因此，需要具有以下功能的新解決方案：

●   單一的統一云安全服務(wù)，策略決策引擎，管理，配置和用戶(hù)界面（UI）

●   識別敏感數據/惡意軟件的能力

●   優(yōu)化了內容的加密和解密（例如，選擇性地使用解密，并在多個(gè)服務(wù)之間使深度數據包檢查（DPI）的結果相互關(guān)聯(lián)–即單遍DPI）

●   超可擴展的線(xiàn)速數據處理

●   持續的適應性風(fēng)險和信任評估

●   分布式全局互聯(lián)網(wǎng)接入點(diǎn)(Pops)用于橫向擴展

目前，有一些供應商的解決方案確實(shí)與SASE概念一致，他們確實(shí)提供了像上面這樣的核心能力，最重要的是，他們提供了SASE模型固有的客戶(hù)利益。

其中一些是本地的SASE初創(chuàng )公司，一些是添加了SD-WAN功能的云安全供應商，另一些是SD-WAN供應商，他們已經(jīng)搬到云上，并完成了他們提供的安全服務(wù)。 無(wú)論選擇何種開(kāi)發(fā)路徑，大多數人在路線(xiàn)圖中仍然有開(kāi)放集成或架構目標。

此外，就Gartner對“真實(shí)”SASE定義中的一些細節而言，大多數供應商都在采取務(wù)實(shí)的方法，支持特定的客戶(hù)需求，如維護混合環(huán)境，具有預先準備的SD-WAN功能，以保護投資或增強關(guān)鍵網(wǎng)絡(luò )的安全性。 一些人也在采取一種有度量的方法來(lái)處理像單通DPI這樣的處方，這需要特定的工程來(lái)以最佳的方式解決它。 簡(jiǎn)而言之，決定SASE最終外觀(guān)的將是客戶(hù)需求和供應商創(chuàng )新。

實(shí)時(shí)應用意識：有效的SASE必備功能

無(wú)論供應商采用哪種方法來(lái)開(kāi)發(fā)SASE產(chǎn)品，都必須具備一項功能：實(shí)時(shí)應用程序感知。 這對于驅動(dòng)安全，網(wǎng)絡(luò )策略和自動(dòng)化的關(guān)鍵SASE功能至關(guān)重要。

 Qosmos ixEngine^? 是Enea基于DPI的交通情報引擎，它使用高級分析功能以非介入方式從交通流中提取有關(guān)應用程序、服務(wù)、內容、用戶(hù)、設備、交易和安全性的實(shí)時(shí)信息。 它是專(zhuān)為集成到第三方應用程序而開(kāi)發(fā)的，它提供了精確，精細的應用程序意識，對于從網(wǎng)絡(luò )訪(fǎng)問(wèn)到流量控制到防火墻的每個(gè)核心SASE網(wǎng)絡(luò )和安全功能都至關(guān)重要。 它可以靈活地部署在Edge，數據中心或云中。

下表總結了SASE中如何使用應用分類(lèi)，以及Enea Qosmos DPI引擎映射到這些用例的哪些特性。

Enea 設備識別是一種非侵入式解決方案

Enea 設備識別是一種非侵入式解決方案，可以實(shí)現網(wǎng)絡(luò )安全解決方案所需的性能、安全性、準確性或粒度進(jìn)行分類(lèi)來(lái)實(shí)現全球可見(jiàn)性。目前支持5萬(wàn)多種設備的精確識別。包含3053個(gè)類(lèi)別的56964個(gè)設備：

●   音頻、圖像或視頻設備(291類(lèi)- 4015個(gè)設備)

●   汽車(chē)、能源和工具(14類(lèi)- 111個(gè)裝置)

●   數據中心設備(1類(lèi)- 5類(lèi)設備)

●   防火墻和安全設備(7類(lèi)- 130個(gè)設備)

●   游戲機(6類(lèi)- 24臺設備)

●   硬件制造商(17765臺設備)

●   物聯(lián)網(wǎng)(IoT)(128類(lèi)- 745個(gè)設備)

●   醫療器械(60類(lèi)- 379個(gè)器械)

●   監視和測試裝置(18類(lèi)- 126個(gè)裝置)

●   網(wǎng)絡(luò )引導代理(9臺設備)

●   操作系統(31類(lèi)- 195個(gè)設備)

●   手機、平板電腦或可穿戴設備(2041個(gè)類(lèi)別- 25984個(gè)設備)

●   物理安全(9大類(lèi)- 44臺設備)

●   銷(xiāo)售點(diǎn)設備(1類(lèi)- 33個(gè)設備)

●   打印機或掃描儀(46類(lèi)- 3387設備)

●   放映機(7類(lèi)- 42個(gè)裝置)

●   機器人技術(shù)和工業(yè)自動(dòng)化(29類(lèi)- 260臺設備)

●   路由器，接入點(diǎn)或Femtocell(173類(lèi)- 1870個(gè)設備)

●   存儲設備(18類(lèi)- 302臺)

●   開(kāi)關(guān)和無(wú)線(xiàn)控制器(42類(lèi)- 635個(gè)設備)

●   瘦客戶(hù)機(2類(lèi)- 22個(gè)設備)

●   視頻會(huì )議(7類(lèi)- 29個(gè)設備)

●   VoIP設備(99種- 845種)

關(guān)于作者

Paul Kohler是總部設在Palo Alto的硅谷技術(shù)聯(lián)盟首席顧問(wèn)，為技術(shù)公司提供伙伴關(guān)系、銷(xiāo)售和產(chǎn)品戰略方面的指導。