让建站和SEO变得简单

让不懂建站的用户快速建站,让会建站的提高建站效率!

首页
你的位置:新豪购彩 > 首页 > SD-WAN vs. SASE ? No!-51CTO.COM
SD-WAN vs. SASE ? No!-51CTO.COM
2022-03-13 20:10    点击次数:209

SASE的范例界说包括五个功能,其中四个提供安全性,第五个提供汇聚一语气,这里的汇聚部分常常使用SD-WAN兑现,但并不一定等于SD-WAN。例如,若是企业不寂静长途办公况且其长途位置有富饶的 MPLS 隐蔽,那么就不错在莫得 SD-WAN 的情况下愚弄 SASE 的安全功能。Forrester的SASE替代有蓄意零信任角落模子的一个上风等于它莫得将长途安全与SD-WAN合并,而是强调SASE的安全元素。

SD-WAN 和 SASE 不应被视为相互替代的推敲,而应该被以为是互补的,且在很猛经过上领有零丁的功能,这些功能鸠集起来不错创建高度可靠、可膨胀、高性能和安全的长途一语气处置有蓄意。SD-WAN通过汇聚、内容和身份安全劳动为SASE的构建提供了汇聚基础。

SD-WAN是将SDN本事愚弄到广域网中,将采鸠集果从传输数据均分离出来。通过在物理和逻辑汇聚之间插入详细层,SD-WAN 平台不错将多个物理链路组合成一个编造汇聚,并对每个编造汇聚上的数据包流进行微料理,以擢升团聚和愚弄性能、可用性和安全性。

SD-WAN大要托付SDP架构,将underlay和overlay鸠集到一个基于云的处置有蓄意中。 SD-WAN 适用于任何类型的有线或无线 Internet 一语气,并根据汇聚拥塞和质地提供信道绑定、冗余、负载均衡和动态旅途遴选。 况且,SD-WAN也提供安全性(SASE的蜂涌者往往以安全性来举高我方)。实质上,SD-WAN 率先的卖点是它在职何物理汇聚链路上提供企业级安全性(很是于 MPLS)。SD-WAN 的另一个上风是收尾面与数据面分离,大要靠拢料理汇聚和端点配置、料理、流量计谋和监控。

典型的 SD-WAN 安全功能包括:

1) 使用 DTLS(使用 AES-GCM 文凭交换和身份考据)或 IPSec(使用 IKE 密钥交换)进行链路加密。

2) 长途开导 (CPE) 的零交游自动配置,以确保安全的开动建树。

3) 接济在链路拓扑中插入编造汇聚劳动 (VNF),例如 NGFW 、内容过滤器。

4) 汇聚微分段使用编造汇聚和防火墙按愚弄设施、安全级别或其他圭表差异广域网流量。微分段还允许 SD-WAN 使用特定于用户、组和愚弄设施的路由/防火墙要领实施通俗的内容收尾计谋。

良友起原:Palo Alto Networks; The CloudBlades Platform

总之,SD-WAN 提供了骄气企业需求的汇聚安全基础,况且远远超出了传统客户端或站点编造专用网提供的功能。

SASE成立在汇聚基础上,若是SD-WAN兑现了长途责任和WFH的扩散,那么SASE不错被看作是通过一套汇聚、数据和用户安全功能来接济它。与其把SASE看作是SD-WAN的革命替代品,不如把它看作是在SD-WAN基础之上分层安全性的演进校正。有的供应商宣称SD-WAN只提供汇聚一语气,需要SASE来提供角落汇聚安全,这要么是有益过度简化,要么等于一味地为了营销SASE。

SASE 为 SD-WAN 添加了四个安全功能:

1) 下一代防火墙即劳动 (FWaaS) :当今也曾通过NFV和编造防火墙开导被许多SD WAN用户所整合。

2) SWG (Secure Web Gateway):用于监控和过滤Web流量。

3) 云探听安全代理 (CASB) :通过提供愚弄级汇聚可见性和计谋实施来膨胀 SWG。

4) 零信任汇聚探听 (ZTNA) :使用基于发起开导、发升引户和蓄意愚弄或劳动的细粒度计谋,使用特定于愚弄默契话的身份考据,取代了使用客户端编造专用汇聚的探听安全性。ZTNA 是对传统长途探听安全性的最大转换,它需要提供用户和开导字据(常常基于文凭)、文凭颁发机构 (CA)、SSO 劳动和开导探听代理。

尽管打包云劳动可能是大多数情况下最好的 SASE 托付器具,但这不是必需的。一些组织可能会遴选运营私有 SASE 基础设施,或与提供SASE手脚其汇聚基础设施一部分的MSP刚硬契约。事实上,创造了“SASE”一词的 Gartner 以为,基于云的 SASE 的遴选正在磨叽增长。

Gartner 暗示,到2024年,30%的企业将遴选来自并吞供应商的云托付SWG、CASB、ZTNA和分支机构防火墙即劳动(FWaaS)智商,而2020年这一比例不到5%。为了骄气用户对安全的条目,越来越多地遴选SASE组件。

云托付并非 SASE 特有

一些供应商将 SASE 与云托付同日而言,从而来宣扬所谓的“特等上风”,以及营造一种SD-WAN也曾“过期 ”的假象。

当供应商迤逦地宣称SASE是唯独的基于云的汇聚劳动时,问题就来了。尽管云托管是咱们首选的 SASE 运营模式,但它不是必需的,况且一些产物接济云、腹地或搀杂部署。

角落汇聚和安全的云劳动托付在大多数企业SaaS使用爆炸式增长的期间最有趣味,在线愚弄设施取代了腹地软件,但云托付不是唯独的遴选。例如来看,在以SaaS为中心、有多半WFH职工的企业环境中,将安全性强制靠拢到数据中心开导上既奋斗又低效。

云部署不仅限于 SASE,它亦然托付基本SD-WAN劳动的一种灵验款式。事实上,像Aryaka、Adaptiv Networks(前身为TeloIP)、Masergy等NaaS供应商早就通过将收尾平面靠拢在云基础设施上,并使用私有中枢网和公共分散的POP,提供SD-WAN即劳动。

这又带来了另一个问题,有供应商宣称SASE是“基于开导的架构”,需要“专有开导来加多安全性和长途接济”。实质情况是,任何基于 SD-WAN 的长途探听处置有蓄意都需要某种款式的 CPE 来拒绝两条或多条物理链路,为长途 LAN 提供 L2/L3 一语气,并现实收尾平面决策,将流量指引至最好物理链路。将 SD-WAN CPE(常常是袖珍低功耗开导)与功能完好的分支机构路由器(如Cisco ISR或Juniper SRX)同日而言是实足迤逦的。

竞争 vs. 互补

SASE 不是 SD-WAN 的继任者,而是它的队友,为软件界说的 WAN 基础添加安全功能。同期每个也都不错零丁使用:SD-WAN 不需要 SASE,SASE 功能也不错在传统汇聚上使用。相同的,SD-WAN 和 SASE 都不错部署在职何 VM 或容器环境中,非论是手脚云劳动 (NaaS)、云 IaaS照旧搀杂部署。

SASE上风在于它为组织提供了一个完整的、集成的安全组合,隐蔽了大多数情况,比肩斥了将单点产物拼集在一路的问题。不外也有好多组织更高亢磨叽地、增量地引入新的愚弄或劳动。在这么的情况下,SD-WAN 更相宜企业变更料理,因为它允许根据需要在 WAN 中整合NGFW、WAF和SWG等基本功能。

SASE的大部分贫困安全性校正(即零信任身份考据模子)需要时期来引入。因此,大部分组织倾向于将更容易部署的NGFW、SWG等 SASE 功能手脚 SD-WAN 的增量添加,同期有遴选地为高风险/高价值愚弄和用户引入 ZTNA。

与其让 SASE 和 SD-WAN 相互竞争,不如将它们视为互补功能。