信息化觀察網(wǎng)

雖然安全訪問(wèn)服務(wù)邊緣（SASE）模型有著清晰且明確的定義，但是一些變通的方法也可以達(dá)到同樣的效果，這給企業(yè)實(shí)現(xiàn)更高目標(biāo)帶來(lái)了更大的靈活性。

正在評(píng)估安全訪問(wèn)服務(wù)邊緣（SASE）模型的企業(yè)需要了解的是，部署方法多種多樣，企業(yè)可以根據(jù)未來(lái)需求和遺留網(wǎng)絡(luò)的實(shí)際情況進(jìn)行定制。

Gartner的定義指出，SASE應(yīng)將安全性內(nèi)置為網(wǎng)絡(luò)的一部分，并以云服務(wù)的方式提供，但是這可能并不適合所有企業(yè)。

根據(jù)企業(yè)的需求，將SASE作為托管服務(wù)包或是內(nèi)置在云托管的私有安全基礎(chǔ)設(shè)施架構(gòu)中交付可能更有意義。這兩種方案都可以實(shí)現(xiàn)同樣的目的。

了解SASE選項(xiàng)設(shè)置

在過(guò)去的40年時(shí)間里，WAN架構(gòu)基本上沒(méi)有什么大的變化。SD-WAN雖然向前邁進(jìn)了一大步，提高了網(wǎng)絡(luò)效率，但是并未從根本上發(fā)生改變。作為廣域網(wǎng)（WAN）轉(zhuǎn)型的下一形態(tài)，SASE針對(duì)云計(jì)算、移動(dòng)性等發(fā)展趨勢(shì)進(jìn)行了專門的優(yōu)化。

SD-WAN的出現(xiàn)也帶來(lái)了新的安全挑戰(zhàn)。例如，SD-WAN簡(jiǎn)化了為分支機(jī)構(gòu)配置分離隧道的工作，員工不必通過(guò)公司W(wǎng)AN和數(shù)據(jù)中心就可以直接訪問(wèn)云端。這樣雖然可以改善用戶體驗(yàn)并提升網(wǎng)絡(luò)效率，但是同時(shí)也形成了嚴(yán)重的安全漏洞。

要想解決這一問(wèn)題，一個(gè)解決辦法是在每個(gè)分支機(jī)構(gòu)中都安裝防火墻，但是這種辦法費(fèi)用較高，并且運(yùn)維起來(lái)也很麻煩，因?yàn)樽寯?shù)十個(gè)甚至數(shù)百個(gè)防火墻保持同步非常困難。

SASE解決這個(gè)問(wèn)題的辦法是將安全功能集成到網(wǎng)絡(luò)上，讓其成為一種網(wǎng)絡(luò)服務(wù)。由于安全性和網(wǎng)絡(luò)管理是通過(guò)云完成的，因此管理員只需要修改一次就可以將其一次性推送到所有地方。

將安全性和網(wǎng)絡(luò)功能集成到網(wǎng)絡(luò)上不僅升級(jí)了網(wǎng)絡(luò)，還可以實(shí)現(xiàn)對(duì)WAN的改造。包括SD-WAN在內(nèi)的傳統(tǒng)WAN可連接并保護(hù)分支機(jī)構(gòu)和公司。SASE還可以讓企業(yè)連接遠(yuǎn)程辦公人員、物聯(lián)網(wǎng)終端以及所有需要連接的設(shè)備。

對(duì)于企業(yè)來(lái)說(shuō)，重要的是要了解SASE的使用方法。

云原生SASE

根據(jù)Gartner的定義，所有網(wǎng)絡(luò)和安全服務(wù)均可通過(guò)云端獲得是云原生SASE的一個(gè)重點(diǎn)特征。唯一的本地基礎(chǔ)設(shè)施也是類似于家用路由器這樣的輕量級(jí)硬件設(shè)備，其作用是將連接定向至云節(jié)點(diǎn)。

部分SASE供應(yīng)商近期發(fā)布了一些能夠讓計(jì)算機(jī)和物聯(lián)網(wǎng)終端直接連接至云端的客戶端，用戶不需要購(gòu)買額外的硬件。

這種方法的優(yōu)點(diǎn)是，在任何地方，哪怕只有一臺(tái)設(shè)備也都具有企業(yè)級(jí)安全性和網(wǎng)絡(luò)服務(wù)。缺點(diǎn)是如果某個(gè)地方設(shè)備較多，那么SASE就會(huì)生成大量網(wǎng)絡(luò)流量，原因在于所有的安全檢查都是在云端完成的。云原生SASE最適合的應(yīng)用場(chǎng)景是高度分布式的企業(yè)，例如保險(xiǎn)公司和零售商。

可從云端管理的本地SASE

盡管目前云浪潮已經(jīng)席卷全球，但是本地基礎(chǔ)設(shè)施仍然扮演著重要角色。由于是通過(guò)云端對(duì)SASE進(jìn)行管理，因此每個(gè)地方都將擁有自己的路由器、防火墻、統(tǒng)一威脅管理（UTM）等安全設(shè)備。從云端管理對(duì)于成功至關(guān)重要，而云原生SASE恰好提供了易用性。

其最大的優(yōu)勢(shì)是所有安全檢查都在本地完成，這大大提高了大型站點(diǎn)的性能。明顯的不足是公司要為所有的地方都提供硬件，從而導(dǎo)致成本大幅增長(zhǎng)。

這種方法的另一個(gè)優(yōu)勢(shì)是可以讓原來(lái)的一些投資不至于浪費(fèi)。如果公司最近才購(gòu)買了一些本地基礎(chǔ)設(shè)施，那么公司顯然不會(huì)輕易閑置這些設(shè)施。云托管可讓公司繼續(xù)使用那些相對(duì)較新的路由器、防火墻等設(shè)備。

云托管的本地SASE非常適合那些大量員工集中某一處的企業(yè)，例如制造企業(yè)和醫(yī)療機(jī)構(gòu)。此外，那些喜歡DIY模式的公司可能會(huì)更偏好這種方法。

托管SASE

盡管SASE具有許多優(yōu)勢(shì)，但是它們也確實(shí)增加了WAN的復(fù)雜性。例如，網(wǎng)絡(luò)工程師需要考慮在何處使用分離隧道，辦公室之間的網(wǎng)絡(luò)層級(jí)，如何設(shè)置安全性，創(chuàng)建用戶配置文件等諸多因素。老的WAN雖然效率不高，但是勝在網(wǎng)絡(luò)工程師需要考慮的東西也不多。

盡管SASE可使得公司能夠通過(guò)網(wǎng)絡(luò)做更多的工作，但是同時(shí)也將復(fù)雜性提高到一個(gè)新的高度，許多公司根本無(wú)法解決。托管SASE的優(yōu)勢(shì)是允許經(jīng)驗(yàn)豐富的第三方配置和運(yùn)行網(wǎng)絡(luò)。

缺點(diǎn)是公司會(huì)失去控制權(quán)。托管服務(wù)提供商的一個(gè)新趨勢(shì)是提供聯(lián)合托管服務(wù)，即公司可以只執(zhí)行自己擅長(zhǎng)的任務(wù)，將其他的任務(wù)交給托管服務(wù)提供商。對(duì)于那些希望快速遷移至SASE同時(shí)風(fēng)險(xiǎn)承受能力強(qiáng)的公司來(lái)說(shuō)，他們可以考慮一下托管服務(wù)。

混合部署也是一種選項(xiàng)

大多數(shù)的大型企業(yè)都可能會(huì)選擇混合部署，即混合使用云原生SASE和本地SASE。一家全球性律師事務(wù)所就是一個(gè)很好的例子，這家事務(wù)所會(huì)在每個(gè)國(guó)家設(shè)立一、二個(gè)辦事處，每個(gè)辦事處都有數(shù)百名員工。事務(wù)所可以在實(shí)體辦公室使用本地基礎(chǔ)設(shè)施，同時(shí)又通過(guò)云原生服務(wù)將在家遠(yuǎn)程辦公的員工連接在一起。另一個(gè)例子是制造企業(yè)，其將本地基礎(chǔ)設(shè)施用于大型設(shè)備，將云服務(wù)用于連接自動(dòng)化機(jī)器人。

SASE的部署策略

快速轉(zhuǎn)向SASE的一條捷徑是將目前的基礎(chǔ)設(shè)施交由設(shè)備廠商的云托管工具進(jìn)行托管。早些年前的產(chǎn)品可能會(huì)提供這種選項(xiàng)，即便現(xiàn)在的客戶可能已經(jīng)不再使用了。這些工具可以確保將策略和配置參數(shù)能夠便捷地從傳統(tǒng)WAN遷移到SASE上。

如果選擇云原生SASE，那么公司應(yīng)查看一下供應(yīng)商是否提供了云托管的本地基礎(chǔ)設(shè)施選項(xiàng)。隨著公司辦公地點(diǎn)的不斷增加，這一點(diǎn)變得尤為重要。

在剛開始部署時(shí)，公司可能會(huì)因?yàn)橛性S多小的辦公地點(diǎn)，更偏向于選擇云解決方案。但是隨著時(shí)間的發(fā)展，辦公地點(diǎn)的規(guī)?？赡軙?huì)出現(xiàn)增長(zhǎng)，網(wǎng)絡(luò)負(fù)載的增加可能會(huì)引發(fā)許多問(wèn)題。為此公司會(huì)希望改用云托管的本地基礎(chǔ)設(shè)施。理想狀態(tài)下，供應(yīng)商會(huì)提供一個(gè)過(guò)渡計(jì)劃，以便在不中斷運(yùn)營(yíng)的情況下實(shí)現(xiàn)調(diào)整。

另一個(gè)關(guān)鍵考慮因素是安全性。盡管一些小型的SASE供應(yīng)商也會(huì)擁有自己的安全堆棧，但是客戶可能更愿意選擇知名的供應(yīng)商。目前許多SD-WAN供應(yīng)商已開始與頂級(jí)安全公司合作，以完善其SASE功能。對(duì)此，客戶在做出選擇前了解清楚安全供應(yīng)商的情況，以確保他們選擇的SASE安全供應(yīng)商能夠與自己順利融合。

此外，盡管Gartner的定義中沒(méi)有提到，但是企業(yè)還應(yīng)確保所選定的SASE提供商能夠提供帶有可見性和分析功能的多功能儀表板。網(wǎng)絡(luò)不是靜態(tài)的，它們也會(huì)隨著公司發(fā)展而不斷演進(jìn)。這就要求它們?cè)诰W(wǎng)絡(luò)流量模式、用戶密度、安全策略等方面具有端到端可見性。

SASE供應(yīng)商需要提供這些信息，方便客戶被及時(shí)通知以及在需要時(shí)進(jìn)行調(diào)整。即便用戶選擇了托管服務(wù)，托管服務(wù)提供商也需要提供關(guān)于環(huán)境方面的可見性。像俗話說(shuō)的那樣，我們將無(wú)法管理或保護(hù)看不見的內(nèi)容，但用戶在使用SASE時(shí)能夠了解全面的信息至關(guān)重要。

作者：本文作者Zeus Kerravala為市場(chǎng)研究公司ZK Research的創(chuàng)始人兼首席分析師。

編譯：陳琳華

原文網(wǎng)址：https://www.networkworld.com/article/3568630/

how-to-tailor-sase-to-your-enterprise.html