- 作者|秦小宝
- 来源|翼安研习社
- 发布时间|2021-03-25
1. 什么是SD-WAN
SD-WAN(Software-Defined WAN),软件定义广域网。“SD”这个前缀词经常出现在我们的工作之中,如SDN(Software Defined Network,软件定义网络)、SDS(Software Defined Storage,软件定义存储)、SDR(Software Defined Radio,软件定义无线电)。SD-WAN是SDN的一个重要分支,是SDN技术在WAN领域的应用落地。区别是,SDN是针对数据中心的网络,SD-WAN是针对WAN。
SD-WAN具有以下4个功能:
-
支持多种连接方式,MPLS,frame relay,LTE,Public Internet等等。
-
能够在多种连接之间动态选择链路,以达到负载均衡或者资源弹性。
-
简单的WAN管理接口。
-
支持VPN,防火墙,网关,WAN优化器等服务。
2. 什么是SASE
安全访问服务边缘(SASE)是Gartner在2019年推出的一种新的企业网络技术类别。SASE是网络和安全的集大成者,拥有全面的接入能力和网络流量调度能力。SASE将网络和安全点解决方案的功能融合为一个统一的全球云原生服务,可在全球范围内优化访问性能,降低操作复杂性并增强安全性。 从概念上讲,SASE扩展了网络和安全功能,超出了通常可用的范围。这使用户无论身在何处都可以利用防火墙即服务(FWaaS),安全Web网关(SWG),零信任网络访问(ZTNA)和多种威胁检测功能。
SASE作为一个中间层来承接计算和终端,并对往返的流量进行安全检测:
3. SD-WAN与SASE的关系
在SASE的安全能力中,ZTNA,CASB,FWaaS,IPS,AV,SWG等等都是十分传统的安全技术,只需要按照SaaS的形式交付即可。不难发现,安全能力并不是SASE很难解决的问题,那么SASE怎么才能避免成为一个部署在云上的安全资源池,而是真正交付敏捷的安全价值给用户呢?SD-WAN就是答案。
从实际用例我们发现,SASE天然解决的问题就应该是分布式访问和计算的场景,尤其适合多分支,多计算环境(尤其是多云)的客户群,这一点和SD-WAN解决的问题域是一致的。在安全方面SASE集成了几乎所有主流的网络安全和内容安全能力,并放在云上,以PoP的形式实现就近接入与安全交付,去往目标的流量先到SASE检测和清洗,再进行放行和路由。我们会发现SASE其实是用户-目标的一个很重要的中间层,不管目标是在IDC还是在云上。访问源到SASE和SASE到真正的目标端其实都需要SD-WAN能力来进行流量的合理调度。
Gartner研究副总裁Andrew Lerner(专注SDN,SD-WAN等网络技术)表示, SASE将网络安全功能与SD-WAN相结合,能够支持组织的动态安全访问需求。
SD-WAN是SASE的关键组件,甚至是最关键的组件。在现如今的网络方案中,只有SD-WAN能够以最低成本,并且与业务相结合,把核心能力下放到边缘,使数据处理和安全能力都在边缘进行,满足当前和未来云上和移动业务的动态安全需求。
SASE和传统的统一安全资源池的最大区别,就是在于PoP的概念,而这也是SD-WAN骨干网中的概念。通过将不同的安全能力灵活弹性的施加到靠近接入终端的PoP,让流量以最小代价进行安全检测。
4. 总结
SASE和SD-WAN是两种不同的网络技术,它们使用不同的方法达到相似的目的。这两种技术都旨在以灵活和适应性强的方式连接地理分布的组织。SASE网络专注于提供云原生安全工具,并以云为网络的中心;SD-WAN技术致力于将办公室连接到中央总部和数据中心,不过它也可以将用户直接连接到云。
目前,虽然只有少数SD-WAN供应商和安全提供商在推出SASE解决方案,但Gartner预测,到2024年,至少40%的企业会采用SASE策略,也就是说在未来会有更多SD-WAN供应商会投入SASE的怀抱。
本文部分信息来源:Gartner官方网站发表文章
[1] Invest Implications: SASE Will Improve Your Distributed Security Everywhere
[2] Product Manager Insight: China Presents Growing Opportunities for SASE Providers
[3] Emerging Technology Analysis: SASE Poised to Cause Evolution of Network Security
