SD-WAN vs. SASE ? No!-51CTO.COM


发布日期:2022-06-18 16:58    点击次数:200

SD-WAN vs. SASE ? No!-51CTO.COM

SASE的表率界说包括五个功能,其中四个提供安全性,第五个提供荟萃运动,这里的荟萃部分时时使用SD-WAN杀青,但并不一定即是SD-WAN。例如,要是企业不珍惜费力办公况且其费力位置有实足的 MPLS 隐秘,那么就不错在莫得 SD-WAN 的情况下足下 SASE 的安全功能。Forrester的SASE替代决策零信任边际模子的一个上风即是它莫得将费力安全与SD-WAN合并,而是强调SASE的安全元素。

SD-WAN 和 SASE 不应被视为互相替代的联系,而应该被以为是互补的,且在很猛流程上领有稳重的功能,这些功能团结起来不错创建高度可靠、可彭胀、高性能和安全的费力运动处治决策。SD-WAN通过荟萃、内容和身份安全就业为SASE的构建提供了荟萃基础。

SD-WAN是将SDN本领足下到广域网中,将荟萃截至从传输数据均分离出来。通过在物理和逻辑荟萃之间插入概述层,SD-WAN 平台不错将多个物理链路组合成一个假造荟萃,并对每个假造荟萃上的数据包流进行微督察,以耕作团聚和足下性能、可用性和安全性。

SD-WAN不祥委派SDP架构,将underlay和overlay团结到一个基于云的处治决策中。 SD-WAN 适用于任何类型的有线或无线 Internet 运动,并根据荟萃拥塞和质料提供信道绑定、冗余、负载均衡和动态旅途选择。 况且,SD-WAN也提供安全性(SASE的蜂涌者往往以安全性来举高我方)。本体上,SD-WAN 领先的卖点是它在职何物理荟萃链路上提供企业级安全性(杰出于 MPLS)。SD-WAN 的另一个上风是截至面与数据面分离,不祥聚首督察荟萃和端点配置、督察、流量战略和监控。

典型的 SD-WAN 安全功能包括:

1) 使用 DTLS(使用 AES-GCM 文凭交换和身份考证)或 IPSec(使用 IKE 密钥交换)进行链路加密。

2) 费力征战 (CPE) 的零构兵自动配置,以确保安全的启动成就。

3) 维持在链路拓扑中插入假造荟萃就业 (VNF),例如 NGFW 、内容过滤器。

4) 荟萃微分段使用假造荟萃和防火墙按足下智力、安全级别或其他标准别离广域网流量。微分段还允许 SD-WAN 使用特定于用户、组和足下智力的路由/防火墙规章实施苟简的内容截至战略。

贵府开首:Palo Alto Networks; The CloudBlades Platform

总之,SD-WAN 提供了孤高企业需求的荟萃安全基础,况且远远超出了传统客户端或站点假造专用网提供的功能。

SASE成就在荟萃基础上,要是SD-WAN杀青了费力责任和WFH的扩散,那么SASE不错被看作是通过一套荟萃、数据和用户安全功能来维持它。与其把SASE看作是SD-WAN的编削替代品,不如把它看作是在SD-WAN基础之上分层安全性的演进更正。有的供应商宣称SD-WAN只提供荟萃运动,需要SASE来提供边际荟萃安全,这要么是特意过度简化,要么即是一味地为了营销SASE。

SASE 为 SD-WAN 添加了四个安全功能:

1) 下一代防火墙即就业 (FWaaS) :现在也曾通过NFV和假造防火墙征战被许多SD WAN用户所整合。

2) SWG (Secure Web Gateway):用于监控和过滤Web流量。

3) 云看望安全代理 (CASB) :通过提供足下级荟萃可见性和战略实施来彭胀 SWG。

4) 零信任荟萃看望 (ZTNA) :使用基于发起征战、发升引户和指标足下或就业的细粒度战略,使用特定于足下判辨话的身份考证,取代了使用客户端假造专用荟萃的看望安全性。ZTNA 是对传统费力看望安全性的最大改变,它需要提供用户和征战笔据(时时基于文凭)、文凭颁发机构 (CA)、SSO 就业和征战看望代理。

尽管打包云就业可能是大多数情况下最好的 SASE 委派器用,但这不是必需的。一些组织可能会选择运营私有 SASE 基础范例,或与提供SASE手脚其荟萃基础范例一部分的MSP将强协议。事实上,创造了“SASE”一词的 Gartner 以为,基于云的 SASE 的罗致正在缓慢增长。

Gartner 暗示,无码国产激情在线观看到2024年,30%的企业将罗致来自归并供应商的云委派SWG、CASB、ZTNA和分支机构防火墙即就业(FWaaS)智力,而2020年这一比例不到5%。为了孤高用户对安全的条款,越来越多地罗致SASE组件。

云委派并非 SASE 私有

一些供应商将 SASE 与云委派同等看待,从而来宣扬所谓的“稀奇上风”,以及营造一种SD-WAN也曾“逾期 ”的假象。

当供应商作假地宣称SASE是独一的基于云的荟萃就业时,问题就来了。尽管云托管是咱们首选的 SASE 运营模式,但它不是必需的,况且一些居品维持云、腹地或夹杂部署。

边际荟萃和安全的云就业委派在大多数企业SaaS使用爆炸式增长的时期最有真谛,在线足下智力取代了腹地软件,但云委派不是独一的选择。例如来看,在以SaaS为中心、有大都WFH职工的企业环境中,将安全性强制聚首到数据中心征战上既细腻又低效。

云部署不仅限于 SASE,它亦然委派基本SD-WAN就业的一种有用姿首。事实上,像Aryaka、Adaptiv Networks(前身为TeloIP)、Masergy等NaaS供应商早就通过将截至平面聚首在云基础范例上,并使用私有中枢网和大家分散的POP,提供SD-WAN即就业。

这又带来了另一个问题,有供应商宣称SASE是“基于征战的架构”,需要“专有征战来加多安全性和费力维持”。本体情况是,任何基于 SD-WAN 的费力看望处治决策都需要某种风光的 CPE 来阻隔两条或多条物理链路,为费力 LAN 提供 L2/L3 运动,并实施截至平面决策,将流量诱骗至最好物理链路。将 SD-WAN CPE(时时是袖珍低功耗征战)与功能齐全的分支机构路由器(如Cisco ISR或Juniper SRX)同等看待是十足作假的。

竞争 vs. 互补

SASE 不是 SD-WAN 的继任者,而是它的队友,为软件界说的 WAN 基础添加安全功能。同期每个也都不错稳重使用:SD-WAN 不需要 SASE,SASE 功能也不错在传统荟萃上使用。一样的,SD-WAN 和 SASE 都不错部署在职何 VM 或容器环境中,无论是手脚云就业 (NaaS)、云 IaaS如故夹杂部署。

SASE上风在于它为组织提供了一个完整的、集成的安全组合,隐秘了大多数情况,并列斥了将单点居品凑合在所有的问题。不外也有好多组织更兴奋缓慢地、增量地引入新的足下或就业。在这么的情况下,SD-WAN 更允洽企业变更督察,因为它允许根据需要在 WAN 中整合NGFW、WAF和SWG等基本功能。

SASE的大部分弥留安全性更正(即零信任身份考证模子)需要时候来引入。因此,大部分组织倾向于将更容易部署的NGFW、SWG等 SASE 功能手脚 SD-WAN 的增量添加,同期有选择地为高风险/高价值足下和用户引入 ZTNA。

与其让 SASE 和 SD-WAN 互相竞争,不如将它们视为互补功能。

 

 





Powered by 久久精品无码一区二区小草 @2013-2022 RSS地图 HTML地图