你听说过一个经典的印度寓言故事吗?在这个故事中,六个盲人触摸了大象的不同部位,但他们对大象的认识却完全不同。
这个故事让你思考,一个人是否可以仅凭主观经验就声称自己在某个问题上具有绝对权威?
在讲述这个故事如何适用于当前的 SASE 环境之前,让我们先来欣赏一下约翰-戈弗雷-萨克斯(John Godfrey Saxe)朗朗上口的《盲人摸象》:印度斯坦的六个人都很喜欢学习,他们去看大象(尽管他们都是盲人),每个人都想通过观察来满足自己的想法。根据 Gartner 的定义,安全接入服务边缘或 SASE(读作 “sassy”)在过去一年里一直是安全和网络行业的热门话题。
这是有道理的。
为了跟上横跨网络和安全领域的庞大数字化转型计划,企业在有限的资源和预算范围内一直在两头烧蜡烛。
网络团队本已在努力适应 SaaS 应用程序、多云环境、物联网和大数据计划方面捉襟见肘,现在的任务是为众多试图从家中或其他地方访问这些业务应用程序的远程用户和设备提供对所有这些服务和应用程序的快速、可靠访问。
他们最不希望看到的就是更加复杂和需要跟上的趋势。
但也许,所有这些喧嚣正是采用 SASE 的最佳时机。
解密 SASE
在了解 “为什么 “和 “如何 “之前,有必要先了解一下什么是 SASE?
它是 Gartner 于 2019 年推出的一种企业技术架构和类别。
根据 Gartner 的说法,SASE 的简短定义是:它将网络和安全点解决方案的功能融合到一个统一的全球云原生服务中。
它是企业网络和安全的架构演进,有助于为数字业务提供自适应和敏捷的服务。
术语太多?
简单地说,通过企业数据中心将所有分支机构和基于云的流量输送到企业数据中心以提供安全保障的原始集线器方法已经过时了。
将网络和安全视为两个独立的孤岛也行不通。
SASE 的目标是通过云提供相同的网络安全堆栈,确保云本地流量不必访问企业网络。
但等等……事情没那么简单。
我用大象的故事开篇是有原因的。
厨师太多会破坏蛋糕
如果你在谷歌上搜索“什么是 SASE?”,你很可能会看到十种不同的描述,而这些描述是由十个不同的 SASE 供应商根据自己的叙述量身定做的。
虽然 SASE 的新颖性造成了混淆,但必须了解 SASE 的真正含义。
SASE 不仅仅是网络与安全的融合。
SASE 背后的理念超越了整合的概念,而是深入探讨这种融合解决方案的外观、感觉和交付方式。
您的 SASE 蓝图应着重强调由单一托管服务提供商提供基于云的服务模式。
此外,尽管 SASE 被概括为云交付服务,但在某些情况下,企业可能需要使用物理解决方案来补充基于云的解决方案,以获得更好的效果。
例如,在处理敏感数据时需要边缘安全,而不是将数据转移到云端进行检查。
这种物理和云提供的安全功能的合并将 SASE 的作用深入到网络中,而不是将安全外包给边缘或云中完全孤立的系统。
为什么是 SASE 和 SD-WAN,而不是 SASE vs. SD-WAN
有趣的是,SASE 产品被大肆宣传为 SD-WAN 技术的继承者。
如果说有什么不同的话,那就是两者相辅相成。
SASE 将云安全与全面的广域网功能融合在一起,以适当的比例混合后,可提供最高的流量效率和网络安全适应性。
虽然 SASE 通过本地互联网断点减少了回程架构的延迟,但却无法消除公共互联网的不可预测性。
如何确保关键任务应用程序获得比 YouTube 流量更优先的通道?
此外,您仍然需要边缘计算的功能来实现分支到 DC 或分支到分支的连接,因为许多数据敏感型业务应用不会很快迁移到云中。
SD-WAN 是网络功能的核心,而 SASE 则将其与其他安全服务(如安全 Web 网关 (SWG)、零信任网络访问 (ZTNA)、FWaaS 和云访问安全代理 (CASB) 等)融合为核心能力。
两者结合,就有可能创造出一个全面的广域网连接和安全解决方案。
但它能为我省钱吗?
企业通常依赖多个点产品来保护不同的入侵敏感网络点。
这些产品可能包括应用防火墙、VPN 设备或用于不同地点的其他物理产品。
它们大多都有自己的策略、协议、接口和支持。
最终结果是什么?
一个管理复杂、运营成本较高的脱节解决方案。
SASE 为您提供了一个选择,让您摆脱这种通过不同供应商的虚拟和物理设备组装而成的脱节模式。
取而代之的是,它提供单一的 “手到手 “模式,从而消除了各种设备的成本,并减少了不同集成点可能出现的不必要的复杂性。
这也意味着减少了运行它的 IT 人员。
最终,用户一定会看到更好的节约效果。
Aryaka:铺平通往 SASE 的道路
企业需要选择权,以满足其架构和/或监管需求。
Aryaka的安全策略始终围绕着提供选择权展开。
ANAP内的接入防火墙,即Aryaka的安全接入服务边缘(SASE),可在分支机构提供 “南北 “控制。 Aryaka Zones 通过基于策略访问的站点分区,将 “东西向 “安全扩展到局域网。 这两项功能结合在一起,可将通往 Aryaka 和互联网的广域网流量与局域网流量(包括内部流量和 DMZ 流量)分开。 
我们的解决方案还将先进的下一代防火墙(NGFW)功能作为VNF(虚拟网络功能)集成到Aryaka的ANAP服务边缘CPE中。
Aryaka可与同类最佳供应商合作,为企业提供最适合其特定企业架构和监管要求的解决方案。Aryaka在Aryaka PoP上与Check Point CloudGuard Connect集成,优化并保护其上的所有流量。
第三项功能是通过Aryaka的安全合作伙伴(包括Zscaler、Palo Alto Networks和赛门铁克)将安全扩展到云中。
举例来说,企业可以使用Zscaler的免费云安全即服务(security-as-a-Service),由Aryaka对流量进行适当引导。
另外,远程员工可以通过Palo Alto的Prisma云安全套件访问Aryaka,提供身份验证和加速。
该组合解决方案将Aryaka的全面管理、云优先广域网功能与Check Point的安全解决方案紧密集成。
它为企业采用SASE等新兴架构方法提供了基础模块,同时通过Aryaka的全球服务存在点(PoPs)及其多云网络功能,利用服务交付足迹。
所有这些都是以服务形式交付的。 
与此同时,Aryaka私有核心向所有企业提供分区连接,对数据进行加密并防止DDoS攻击。
在分支机构内,企业可以访问系统日志(Syslog)和Netflow日志,而在网络层面,MyAryaka云门户网站为服务配置、监控和健康状况提供了单一窗口。
最后,让我们来谈谈房间里的大象。
您应该采取 DIY 还是完全托管的方式来管理 SASE?
在配置、运行和更新构成最先进安全解决方案的所有元素时,对每个方面的关注都是一项复杂的工作,可能会让您的 IT 团队疲于奔命,这已经不是什么秘密了。
更重要的是,鉴于 SASE 遵循云模式,采用 OpEx 云消费模式的完全托管服务更符合这一概念,是将 IT 支出转为现收现付模式的绝佳方式。
如需深入了解我们的安全架构,请阅读我们的安全架构白皮书。
想进一步了解 全球最普遍的 广域网趋势?注册参加我们的网络研讨会,了解 IT 和网络专业人士的想法、他们的重点关注领域以及优先事项在过去一年中的变化情况。
