随着企业数字化转型的加速发展,业务上云逐渐成为刚需。云网融合的大趋势下,越来越多的企业希望找到高效灵活的组网方案,快捷进行总部与分支互联及上云用云,为数字化转型打下坚实基础。在此背景下,SD-WAN成为近年来备受关注的广域网技术之一。

与此同时,多元的互联场景、线上线下混合办公模式的普及,使企业面临的数字安全威胁与日俱增。在组网能力之外,如何构建全面的安全防护体系,亦成为千行百业必须直面的挑战。SD-WAN与SASE安全架构的融合开始备受瞩目。

在日前举办的第五届SD-WAN & SASE峰会上,互联科技网络产品事业部总监熊学涛向与会嘉宾分享了第一线在云网安一体化服务方面的技术创新与行业实践。

SD-WAN整体的发展态势如何?如何看待SD-WAN与SASE之间的关系?SASE如何解决行业用户的痛点?未来第一线将如何推进云网安一体的专业服务?会后,51CTO采访了熊学涛,就上述议题进行了充分探讨。

MPLS VPN还是SD-WAN?这不是一个问题

在很长一段时间里,MPLS VPN 一直是企业组织青睐的组网首选。不过自SD-WAN崭露头角后,尤其是随着互联网最后一公里质量和带宽的不断提升,更多企业开始面临“MPLS VPN还是SD-WAN”的抉择。而今,随着SD-WAN的技术逐步成熟,其在网络管控方面的优势充分彰显,用户对其认可度亦显著提升。

熊学涛认为:“当前SD-WAN已步入发展成熟阶段,在企业中具备较高的渗透率。从近几年来看,其年复合增长率也很可观,持续领跑企业组网服务市场。随着企业上云需求不断增长,远程办公场景持续涌现,SD-WAN的应用将越来越广泛,帮助企业实现高效互联与上云。由此SD-WAN后续还将迎来更快速的发展。”

对于MPLS VPN与SD-WAN之争,熊学涛认为两者并不是非此即彼的关系。本身两者各有长处,MPLS VPN具备可靠的数据包传送能力,可以应用于总部与大型数据中心互联。SD-WAN具备快速开通、节约成本、敏捷上云等特点,满足企业快速拓展分支门店,并进行统一化管理的需求。企业需要根据自身情况权衡,是选择SD-WAN还是MPLS VPN,还是将MPLS VPN与SD-WAN合理结合。

熊学涛介绍,第一线以MPLS VPN起步,同时也是国内首批推出SD-WAN业务的网络服务商,目前服务六千多家国内外企业,提供MPLS VPN SD-WAN的混合组网解决方案,依托100 城市的200 POP节点资源,针对企业总部-分支-云-IDC多种场景,提供一站式组网服务,通过二者相辅相成,充分满足企业数字化转型的多元需求。

云网安融合的演进:SASE=SD-WAN SSE

固然SD-WAN正在成为企业组网服务领域的宠儿,但是在具体实践中,依靠单一的组网能力已经很难切实解决用户既有痛点。熊学涛指出,越来越多企业希望网络融合安全,从而一站式满足自身转型进程中的需求。而SASE的出现,在一定程度上为这个问题提供了新的解决方案。

根据Gartner的定义,SASE(Secure Access Service Edge,安全访问服务边缘)是一种整合广域组网网络功能和网络安全功能的新兴产品,为企业数字化转型升级提供可订阅的安全服务。

“SD-WAN从发展伊始,并未十分强调安全。但在企业网络边界不断延展、IT架构日趋复杂、网络攻击威胁日盛的新态势下,用户对安全的需求逐步提升。而到了今天,SASE的定义已经比较明确。SASE就是SD-WAN与SSE(Security Service Edge)功能的整合,其本身就是网络 边缘云化安全的结合体。”

概括来说,首先,SASE是SD-WAN网络能力的再演进,也是面向边缘云网的再创新。再者,SD-WAN网络是支撑SASE架构落地与发展的基石。广布的SD-WAN POP节点,具备了向边缘云原生安全SASE POP点演进的基础。企业多元化的数字化应用场景又需要SASE的安全保障随需而至。在两者的深度融合中,SASE将SD-WAN与网络安全访问集成于边缘云网服务基础设施中,实现了一种能适应当前企业网络流量模型的安全架构。

熊学涛表示:“现在SASE主推的就是将网络和安全服务一站式交付给企业,这也是SD-WAN厂商特别关注SASE演进的原因。由于企业需求越来越综合,需要尽可能解决所有问题的一体化方案。如果只专注于组网,而不做安全,将无法满足新要求。”

基于这一认知,第一线打造了一站式云网安融合解决方案,推进SD-WAN融合SASE安全架构,在距企业最近的POP节点提供企业级安全服务;打造SD-WAN与SASE一体化管理平台,助企业可视化统管网络与安全;推动SD-WAN网络整合第一线OCD边缘云、公有云,助力企业快捷一网入多云,构建混合云架构。

SASE的本质:动态重构企业的逻辑安全边界

从SASE本身的定义来看,它包含SWG安全Web网关、CASB云访问安全代理、FWaaS防火墙即服务、ZTNA零信任网络等等,其功能几乎覆盖了企业组网的全场景。

熊学涛谈到:“细究SASE的细节,可以发现它的初衷就是以全面的防护能力,覆盖所有安全挑战。当然并非所有企业都需要其全部功能,如针对远程办公的安全访问,仅需订阅零信任服务即可。”

在熊学涛看来,采用过云服务的客户,对SASE服务接受度会相对较高。因为它与云上应用,按需订阅、弹性扩缩容的特性相同。具体而言,SASE基于边缘云化部署,客户在新增某些安全能力需求时,无需增加任何硬件设施,直接订阅,即开即用。

那么SASE到底是如何发挥其作用的呢?熊学涛以ZTNA零信任网络访问这一应用场景进行了说明。

以某制造业企业为例,该企业在中国及东南亚国家建有工厂。经常出差的业务人员会在Internet、4G/5G等多元网络环境下,接入企业私有云,进行访问设计图纸、调用OA系统等操作。在安全方面,该企业希望工厂、业务人员采用安全的方式访问企业关键资源与应用。

第一线SASE的ZTNA解决方案,会从接入前到接入后,全程对工厂、移动办公人员进行一系列系统的安全监测与限制,保护客户关键资源与应用安全可控。落实到具体场景,表现为:

  • 人员登录和终端的接入认证(远程和移动办公场景)。ZTNA会对访问的人员/设备进行多因素的身份与终端安全认证。安装于授权设备上的ZTNA 代理客户端会将当前安全环境、身份等多元信息,发送到云端控制系统进行验证,通过之后,才允许连接至安全网关,进行下一步操作。
  • 企业应用与数据的安全访问。人员/设备接入后,无论是访问内网应用与数据,或者访问云上应用与数据,ZTNA都能提供良好保护基于ZTNA微分段的特性,企业总部、工厂、移动工作人员/设备在通过身份验证后,将被授予对特定设备、应用程序或资源的最低访问权限,如需访问其他设备、资源或数据,需要再次进行权限认证或权限升级,而该人员无法看到、访问、拷贝其它未授权的应用程序或资源。同时该人员此次访问完毕后,权限就此注销。此外,ZTNA还会持续对接入网络的人员/设备操作检查验证,并进行动态策略调整。如果检测到不合规操作,ZTNA可以立即对相应的人员和终端的权限进行降级,切断进一步的非法访问。

熊学涛总结道,采用SASE架构,企业边界不再是一个位置,而是一组动态创建的、基于策略的安全访问服务边缘。依托安全策略集中编排分散执行的特性,SASE将围绕每一个边缘云网POP点,为企业远程办公、多云、混合云等复杂场景提供所需的安全保障,预防出现安全威胁盲点。同时,企业可通过统一控制平台对网络进行全局集中化管理与威胁分析,进而更加精准且敏捷的响应处置安全问题。所以整体上来看,SASE就是一个非常完善的安全解决方案。

愿景:加速云网融合,筑基算力网络

SASE目前仍是新兴概念,但熊学涛认为,SD-WAN与SASE的融合必然是大势所趋。SASE概念的出现,不仅推动网络服务提供商关注安全能力的演进,也撬动了安全服务提供商开始注重自身的网络能力建设。

熊学涛表示,“第一线希望以自身的网络能力为基础,进一步发展安全能力,为客户提供简便而全面的服务。简便,意味着轻量化、便于开通、便于运维。全面,意味着第一线希望尽可能做的全面,能有机会去覆盖更多场景和功能。第一线的愿景是成为‘网络 云 安全 算力’的整体解决方案服务提供商。”

未来,第一线的整体演进策略,一是追求SD-WAN组网能力不断外延,能力不断提升。二是以二十多年积累的网络能力和云网融合能力为基础,将边缘网络POP全面升级为SASE POP,提供网络 安全的解决方案。三是紧跟算力网络建设及发展的趋势,不断探索SD-WAN SASE 算力的融合。

写在最后

根据Gartner预测,到2024年,SASE市场规模将从2019年的19亿美元攀升至110亿美元。SASE赛道必将迎来传统IT厂商、云厂商、安全厂商等多方势力的竞逐。第一线不断探索实践SD-WAN与SASE的融合,正是这一大势下厂商努力布局,筑基算力网络时代的缩影。未来如何从产品、资源、服务等多维度升级,帮助企业快速获得高品质的网络 安全 算力服务,我们拭目以待。