SASE 將 SD-WAN 與網絡安全相結合�����,提供了一個整體的網絡管理解決方案,可簡化訪問、增強安全性并提高性能�。SD-WAN 將SDN的概念與傳統 WAN 技術相結合,以提供更好的流量路由和網絡操作��。它在組織現有 WAN 連接上充當Overlay網絡�����,以改善網絡流量�����。
SD-WAN 和 SASE 不應被視為相互替代的關系,而應該被認為是互補的���,且在很大程度上擁有獨立的功能,這些功能結合起來可以創建高度可靠�、可擴展�、高性能和安全的遠程連接解決方案���。
SD-WAN通過網絡����、內容和身份安全服務為SASE的構建提供了網絡基礎。
SD-WAN是將SDN技術應用到廣域網中�����,將網絡控制從傳輸數據中分離出來�。通過在物理和邏輯網絡之間插入抽象層,SD-WAN 平臺可以將多個物理鏈路組合成一個虛擬網絡����,并對每個虛擬網絡上的數據包流進行微管理����,以提高聚合和應用性能�、可用性和安全性��。
SD-WAN能夠交付SDP架構�,將underlay和overlay結合到一個基于云的解決方案中���。 SD-WAN 適用于任何類型的有線或無線 Internet 連接���,并根據網絡擁塞和質量提供信道綁定��、冗余���、負載平衡和動態路徑選擇��。
01.典型的 SD-WAN 安全功能包括
● 使用 DTLS(使用 AES-GCM 證書交換和身份驗證)或 IPSec(使用 IKE 密鑰交換)進行鏈路加密。
● 遠程設備 (CPE) 的零接觸自動配置�,以確保安全的初始設置�。
● 支持在鏈路拓撲中插入虛擬網絡服務 (VNF)��,例如 NGFW ���、內容過濾器�。
● 網絡微分段使用虛擬網絡和防火墻按應用程序�、安全級別或其他標準劃分廣域網流量。微分段還允許 SD-WAN 使用特定于用戶���、組和應用程序的路由/防火墻規則實施簡單的內容控制策略。
SASE建立在網絡基礎上����,如果SD-WAN實現了遠程工作和WFH的擴散�,那么SASE可以被看作是通過一套網絡����、數據和用戶安全功能來支持它���。與其把SASE看作是SD-WAN的創新替代品,不如把它看作是在SD-WAN基礎之上分層安全性的演進改進。
02.SASE 為 SD-WAN 添加了四個安全功能
● 下一代防火墻即服務 (FWaaS)
目前已經通過NFV和虛擬防火墻設備被許多SD WAN用戶所整合����。
● SWG (Secure Web Gateway)
用于監控和過濾Web流量����。
● 云訪問安全代理 (CASB)
通過提供應用級網絡可見性和策略實施來擴展 SWG��。
● 零信任網絡訪問 (ZTNA)
使用基于發起設備����、發起用戶和目標應用或服務的細粒度策略����,使用特定于應用和會話的身份驗證,取代了使用客戶端虛擬專用網絡的訪問安全性��。ZTNA 是對傳統遠程訪問安全性的最大改變���,它需要提供用戶和設備憑據(通?����;谧C書)��、證書頒發機構 (CA)、SSO 服務和設備訪問代理。
SD-WAN采用集中管理的方法�,從而節約成本和資源��。使用SD-WAN的分支網絡可以合并在企業的數據中心,這樣可以利用價格更便宜的互聯網來替代昂貴的專線連接,進一步降低運營成本���。
盡管打包云服務可能是大多數情況下最好的 SASE 交付工具,但這不是必需的。一些組織可能會選擇運營私有 SASE 基礎設施,或與提供SASE作為其網絡基礎設施一部分的MSP簽訂合同�����。事實上�����,創造了“SASE”一詞的 Gartner 認為,基于云的 SASE 的采用正在緩慢增長。
Gartner 表示,到2024年,30%的企業將采用來自同一供應商的云交付SWG�����、CASB����、ZTNA和分支機構防火墻即服務(FWaaS)能力,而2020年這一比例不到5%���。為了滿足用戶對安全的要求,越來越多地采用SASE組件�。
