如何走上有效的SASE之路

SASE（安全訪問服務邊緣）：是市場炒作還是下一波熱潮？ 對于快速變化的企業(yè)IT環(huán)境，這是一個可行的安全性答案？作為SASE的解決方案如今是否在銷售真正的SASE產品？ 還是他們大多在進行中？ 什么是“真正的SASE”？

在此博客中，您將找到所有這些問題的答案以及更多內容！ 我將解釋SASE實際上是什么，是什么驅動了SASE遷移，大多數(shù)供應商仍然有什么工作，以及為什么如果您希望SASE有效地工作并履行其許多承諾，就必須有一個組件。

 什么是SASE？

首先，SASE不是一種技術，甚至不是一種特定的體系結構。 是一個概念模型。 這個模型有一個引人注目的簡單性：SASE是集成安全和廣域網(WAN)作為云服務交付的承諾。 這種云服務是通過世界各地的接入點提供的，使工人和他們需要的IT資源之間能夠進行盡可能快的連接。 

SASE是炒作還是真實？

好吧，首先，使SASE更具吸引力的企業(yè)IT環(huán)境的兩個主要變化是非常真實的：

1.應用程序和數(shù)據(jù)已轉移到云中，并且

2.工人正在從總部辦公室搬到當?shù)氐姆种C構，共同工作空間，家庭辦公室和咖啡店。

企業(yè)網絡架構隨時間的演變

隨著新冠病毒的到來，從現(xiàn)場解決方案的轉移已經加快，公司流量的大部分完全轉移到分公司、校園和企業(yè)網絡之外。 金融、保險、科學、技術、電信、銷售和服務等部門的許多公司已承諾將其雇員永久轉移到遠程工作。 這些公司目前沒有足夠的安全或網絡解決方案來解決這樣的環(huán)境，因此我們可以期望SASE的激增來滿足這一需求。

然而，其他部門，如醫(yī)療保健、零售、制造業(yè)、交通、農業(yè)、政府和公用事業(yè)，都有其員工必須繼續(xù)在辦公室工作的商業(yè)模式。 對于這些企業(yè)，SD-WAN將繼續(xù)滿足他們的主要需求。 由于SD-WAN已經存在了大約8年，這些公司基本上已經部署了它。

但是，他們仍將需要SASE來填補連接性和安全漏洞。 與所有其他行業(yè)一樣，在這些行業(yè)中，包括工業(yè)物聯(lián)網網絡在內的邊緣網絡的數(shù)量正在增加，并且需要以滿足其特殊帶寬，延遲和安全性要求的方式進行集成。 因此，我們可以預計，所有行業(yè)的增長，解決方案投資和部署將主要在SASE領域進行。 換句話說，對SASE解決方案的需求和隨之而來的投資確實是非?，F(xiàn)實的。

什么是“真實的SASE”，我們今天在哪里？

在最初的SASE論文中，Gartner認識到基于安全設備堆棧，多供應商服務鏈以及通過解密和重新加密進行流量檢查的網絡和安全架構無法擴展。 因此，需要具有以下功能的新解決方案：

●   單一的統(tǒng)一云安全服務，策略決策引擎，管理，配置和用戶界面（UI）

●   識別敏感數(shù)據(jù)/惡意軟件的能力

●   優(yōu)化了內容的加密和解密（例如，選擇性地使用解密，并在多個服務之間使深度數(shù)據(jù)包檢查（DPI）的結果相互關聯(lián)–即單遍DPI）

●   超可擴展的線速數(shù)據(jù)處理

●   持續(xù)的適應性風險和信任評估

●   分布式全局互聯(lián)網接入點(Pops)用于橫向擴展

目前，有一些供應商的解決方案確實與SASE概念一致，他們確實提供了像上面這樣的核心能力，最重要的是，他們提供了SASE模型固有的客戶利益。

其中一些是本地的SASE初創(chuàng)公司，一些是添加了SD-WAN功能的云安全供應商，另一些是SD-WAN供應商，他們已經搬到云上，并完成了他們提供的安全服務。 無論選擇何種開發(fā)路徑，大多數(shù)人在路線圖中仍然有開放集成或架構目標。

此外，就Gartner對“真實”SASE定義中的一些細節(jié)而言，大多數(shù)供應商都在采取務實的方法，支持特定的客戶需求，如維護混合環(huán)境，具有預先準備的SD-WAN功能，以保護投資或增強關鍵網絡的安全性。 一些人也在采取一種有度量的方法來處理像單通DPI這樣的處方，這需要特定的工程來以最佳的方式解決它。 簡而言之，決定SASE最終外觀的將是客戶需求和供應商創(chuàng)新。

實時應用意識：有效的SASE必備功能

無論供應商采用哪種方法來開發(fā)SASE產品，都必須具備一項功能：實時應用程序感知。 這對于驅動安全，網絡策略和自動化的關鍵SASE功能至關重要。

 Qosmos ixEngine^? 是Enea基于DPI的交通情報引擎，它使用高級分析功能以非介入方式從交通流中提取有關應用程序、服務、內容、用戶、設備、交易和安全性的實時信息。 它是專為集成到第三方應用程序而開發(fā)的，它提供了精確，精細的應用程序意識，對于從網絡訪問到流量控制到防火墻的每個核心SASE網絡和安全功能都至關重要。 它可以靈活地部署在Edge，數(shù)據(jù)中心或云中。

下表總結了SASE中如何使用應用分類，以及Enea Qosmos DPI引擎映射到這些用例的哪些特性。

Enea 設備識別是一種非侵入式解決方案

Enea 設備識別是一種非侵入式解決方案，可以實現(xiàn)網絡安全解決方案所需的性能、安全性、準確性或粒度進行分類來實現(xiàn)全球可見性。目前支持5萬多種設備的精確識別。包含3053個類別的56964個設備：

●   音頻、圖像或視頻設備(291類- 4015個設備)

●   汽車、能源和工具(14類- 111個裝置)

●   數(shù)據(jù)中心設備(1類- 5類設備)

●   防火墻和安全設備(7類- 130個設備)

●   游戲機(6類- 24臺設備)

●   硬件制造商(17765臺設備)

●   物聯(lián)網(IoT)(128類- 745個設備)

●   醫(yī)療器械(60類- 379個器械)

●   監(jiān)視和測試裝置(18類- 126個裝置)

●   網絡引導代理(9臺設備)

●   操作系統(tǒng)(31類- 195個設備)

●   手機、平板電腦或可穿戴設備(2041個類別- 25984個設備)

●   物理安全(9大類- 44臺設備)

●   銷售點設備(1類- 33個設備)

●   打印機或掃描儀(46類- 3387設備)

●   放映機(7類- 42個裝置)

●   機器人技術和工業(yè)自動化(29類- 260臺設備)

●   路由器，接入點或Femtocell(173類- 1870個設備)

●   存儲設備(18類- 302臺)

●   開關和無線控制器(42類- 635個設備)

●   瘦客戶機(2類- 22個設備)

●   視頻會議(7類- 29個設備)

●   VoIP設備(99種- 845種)

關于作者

Paul Kohler是總部設在Palo Alto的硅谷技術聯(lián)盟首席顧問，為技術公司提供伙伴關系、銷售和產品戰(zhàn)略方面的指導。