为了更好地理解云原生的重要性,Cato Networks公司首席执行官Shlomo Kramer对此进行了探讨,他为该公司从头开始创建安全访问服务边缘(SASE)服务以进行云交付。
Gartner公司去年创造了安全访问服务边缘(SASE)这一术语,您对其定义是否认同?
Kramer:我对此表示认同。Cato Networks公司创建安全访问服务边缘(SASE)服务是融合网络传输和网络安全并将其作为云计算服务交付的愿景。关于为什么需要安全访问服务边缘(SASE)的争论本质上在于拓扑方面,因为流量模式已经更改。网络流量过去一直是内向的,因为人们使用企业的工作站并连接到位于企业数据中心的应用程序。
这意味着安全性实际上是围绕软核放置的“硬壳”。在边缘计算提供了安全性,并保护了其后面的所有物理设施。如今,流量模式已经改变,安全性需要在所有地方得到应用。应用程序都在AWS公共云和内部部署环境中构建,而工作人员则在办公室、家中、酒店或任何地方。因此,现在企业资产无处不在,因此这种安全性不再起作用。其安全性必须有所不同,并且必须集成到各处,因此认同安全访问服务边缘(SASE)这个概念。
MPLS和安全设备等传统技术还有哪些其他挑战?
Kramer:多协议标签交换(MPLS)的问题有很好的文档记录,因此,不用在这个主题上花费太多时间,很多公司都希望摆脱多协议标签交换(MPLS),这是因为其成本高、部署时间长,以及缺乏敏捷性。多协议标签交换(MPLS)对移动用户或云计算连接没有任何作用,因此组织需要部署VPN服务器、云互连和其他技术以连接其公司的所有资源。
在安全方面,分支机构一直是一个巨大的问题,被业界视为唯一可能的解决方案。设备需要采购、部署、维护、升级和淘汰。所有这一切都需要时间和努力。它们需要相互融合,这需要更多的时间和技能。大多数设备是通过单独的管理控制台进行管理的,这使操作变得复杂而富有挑战性。随着时间的推移,将添加更多设备,从而提高了复杂性级别。此外,当流量激增或打开太多功能时,通常需要在预算周期之外进行升级。安全专家在应用软件修补程序时通常会滞后,因为更新设备存在风险,需要仔细规划,这会使企业面临风险。
但对于那些希望变得更精简、更灵活的企业来说,作为一种架构的安全设备涉及太多的麻烦和成本。对于VNF和虚拟设备也是如此,企业仍然需要部署、管理和扩展它们。
云原生平台可提供什么好处?
Kramer:对于来自安全和网络领域的Cato公司联合创始人Gur Shatz和我来说,对这些问题很熟悉。当我们考虑正确的架构将向前发展时,云计算似乎是显而易见的选择,人们已经看到了云计算如何改变数据中心、服务器、存储和应用程序的市场。我们认为云计算可以在安全和网络方面也可以做到这一点。
像用于数据中心和服务器的AWS公共云一样,我们希望创建一个实用程序,该实用程序可以保护整个企业(不仅是站点),而且还可以保护远程网络、云计算数据中心、云计算应用程序和第三方设备,并使其联网。我们希望企业利用这一实用工具,并立即获得整个组织的所有高级安全和网络服务。这就是我们将SD-WAN设备称为“Cato插座”的原因,就像电源插座一样。该愿景与安全访问服务边缘(SASE)定义相符。
我们将涉及安全和网络的“繁重工作”转移到一个全球性的、分布式的、云端原生软件平台,而不是使用设备。对于云原生软件,这意味着几件事情。我们实际上对于这个主题通过博客文章讨论了云原生的价值。这有许多好处,特别是多租户正在改变游戏规则。这使得云计算提供商可以分摊其整个客户群的成本,从而使他们能够以客户购买设备所无法比拟的价格交付产品。
该平台运行单通道、安全和网络堆栈,该堆栈并行执行所有安全检查。数据包由我们的软件传入、解包和解密,然后在发送数据包之前并行执行所有必要的安全检查。与当今的电器工作方式相比,这是一个令人难以置信的变化。如今,每个设备都必须对数据包进行解包和解密,运行深度数据包检查(DPI)引擎以了解数据包,应用特定的安全检查,并对下一个设备重新打包并重新加密。
为什么说全球专用网络是必要的?
Kramer:对于网络来说,企业始终需要可预测的低延迟性能。使用宽带时,如今的全球互联网路由根本不可能做到这一点。尽管即使在全球互联网区域内,跨全球路由或全球互联网欠发达区域的不可预测延迟问题也是众所周知的,但我们已经看到特定的路由存在问题。
如何克服多协议标签交换(MPLS)的延迟和全球连接成本?我们的答案是利用全球IP连接中的大规模扩展。通过购买跨多个IP骨干网的大规模批发服务等级协议(SLA)支持的容量,然后在网络中的每一跃点动态选择最佳的骨干网,我们能够以多协议标签交换(MPLS)成本的一小部分提供全球低延迟连接。
SASE行业目前有很多初创企业和较小的供应商。为什么大型企业在努力做出这一转变?
Kramer:我认为这种转变很明显,但是现有的基于设备的解决方案根本无法转换为云原生的解决方案。重新设计云平台需要在研发上进行大量投资,这将以牺牲现有的和非常成功的产品线为代价,因此,除了工程设计之外,还需要克服内部冲突。
这就是为什么所说的大公司受到安全访问服务边缘(SASE)威胁的原因。我们都认识到安全访问服务边缘(SASE)的价值,但要实现这一目标,许多已建立的解决方案提供商需要中断其现有业务,这不容易做到。
在行业中,我们看到供应商试图通过将其解决方案重新命名为安全访问服务边缘(SASE)产品来利用安全访问服务边缘(SASE)。为了让IT人员分辨出安全访问服务边缘(SASE)平台的真假,采用试金石测试很简单:如果其重点在设备中,那就是安全访问服务边缘(SASE),如果提供的产品缺少SD-WAN,并且管理控制台不止一个,那么这不是安全访问服务边缘(SASE)。
