在各种企业需求的推动下,网络安全部署架构经常发生演变。
下文概述了一些行业最新趋势:

  • 最大限度地减少与不同的多重网络安全系统相关的成本和维护负担。
  • 实施 “无处不在的零信任 “任务,涵盖数据中心、广域网和 Kubernetes 集群内的所有网络。
  • 确保高性能(吞吐量、减少延迟和最小抖动),以提升用户体验并支持 WebRTC 等实时应用。
  • 满足分布式员工的需求。
  • 满足远程劳动力的需求。
  • 企业更多地采用 SaaS 服务。
  • 企业应用越来越依赖云技术。
  • 拥抱多云部署。
  • 探索边缘计算和雾计算的潜在优势。
  • 难以培训或获得熟练的网络和安全人员。
  • 最大限度地减少管理分布式办事处最后一英里互联网连接所需的资源。

传统网络和安全架构

拥有多个办事处和远程工作人员的企业传统上都会分配大量资源来采购和维护其网络和安全基础设施。
下面的简化插图展示了以前采用的典型架构。 传统安全部署 本例中的企业有两个分支机构和两个主要办事处,分别位于世界不同地区。
为了减少安全设备的开支并减轻管理开销,所有安全执行都集中在总办事处。
来自分支机构和远程用户的流量先被路由到附近的总办事处执行安全措施,然后再前往预定目的地。
瘦 CPE “设备通常部署在分支机构,以促进这种流量隧道。
总办事处配备了 VPN 集中器来终止隧道,并配备了多种安全设备来检测和清除漏洞、实施细粒度访问控制、抵御恶意软件和防止网络钓鱼攻击。
然而,如流量图所示(图中以 1 表示的流量),从分支机构到互联网站点的流量遵循的是毛细路由。
这种路由选择会导致延迟增加,从而带来不理想的用户体验,尤其是当分支机构与附近的总公司相距甚远时。
一些企业试图通过采用专用链路来提高吞吐量和减少抖动,但这些解决方案成本高昂,而且无法充分解决延迟问题。
此外,管理多个网络和安全设备(每个设备都有自己独特的配置和分析仪表板)也带来了挑战。
由于需要对人员进行多个接口的培训,这种复杂性可能导致配置容易出错。
这些传统的安全架构往往忽视了零信任原则,更多地依赖于网络分段和 IP 地址,而不是根据用户身份验证提供基于用户的访问控制。
虽然这种方法在当时行之有效,但随着远程工作场景的增多和 NAT(网络地址转换)的广泛使用,通过 IP 地址识别用户变得越来越具有挑战性。
因此,这种压力开始暴露出传统架构的局限性。

云/POP 交付的安全性

为了应对与维护内部安全基础设施、适应远程工作需求、减少与流量发散相关的延迟以及云计算和 SaaS 服务使用量增加有关的挑战,基于云的安全解决方案已成为一种很有前途的替代方案。
许多企业已开始利用这些云提供的安全解决方案来解决这些问题,如下图所示。 传统 POP/云交付安全部署(即服务) 提供商通过不同的存在点(POP)分发安全服务。
企业可根据其办公地点和远程员工的集中程度灵活选择 POP 位置。
前往任何地点的客户端流量都会通过最近的 POP 路由,在那里实施安全强制执行。
这种路由选择是通过办公室内的 CPE 设备和远程用户设备上的 VPN 客户端软件来实现的,从而减少了传统安全架构因临近 POP 位置而产生的延迟。
最初,业界看到的安全服务来自多个供应商,但现在已转向单一供应商、基于统一技术的云安全服务。
这些统一服务提供简化的安全配置和可观察性管理,解决了传统部署架构的安全管理分散问题。
虽然这种设置对于以互联网/SaaS 站点为目的地的流量性能良好,但当通信实体位于同一站点、数据中心或 Kubernetes 集群内时,它就会带来新的挑战,如流量 (4) 和 (5) 所示。
流 (4) 描述了同一站点内实体之间的流量通过隧道传输到最近的 POP 位置,然后再路由返回。
这样做是为了对所有流量实施安全措施,满足零信任要求。
流量 (5) 展示了两个应用服务之间的通信,为了满足零信任要求,这些通信会从站点路由到最近的 POP 进行安全处理,然后再返回到同一个 Kubernetes 集群。
这一过程无意中增加了这些流量的延迟,并可能不必要地将流量暴露给其他实体。
一些企业通过部署不同的内部部署安全设备来避免这种延迟,但这又带来了与传统部署架构相关的挑战。
POP 交付安全的另一个挑战与性能隔离有关。
由于这些提供商向多个客户/租户提供服务,因此会遇到与嘈杂邻居相关的性能挑战。
也就是说,其他公司的流量会影响贵公司的流量性能。
这是由于来自多家公司的流量共享相同的执行上下文。
随着企业寻求能满足零信任要求、提供统一策略管理、提供性能隔离和减少不必要的延迟的解决方案,网络安全行业已经发展了部署架构来解决这些问题。
Aryaka 等公司提供的统一安全接入服务边缘(SASE)在这一格局中发挥了关键作用。

具有混合和分布式安全服务的统一 SASE

理想的架构应能减轻以往架构的管理复杂性,满足严格的零信任要求,确保南北和东西流量具有同等的安全级别,提供统一的策略管理,提供性能隔离,并避免与 “发针 “相关的延迟问题。
Aryaka 等公司提供的统一 SASE 架构可满足上述多项要求。
请参见下图。 混合与分布式执行的安全部署 - 统一 SASE 在所描绘的架构中,网络和安全执行的范围超出了 POP/云位置,涵盖了 CPE 设备,所有设备均由同一服务提供商提供并统一管理。
这一策略减轻了客户对这些 CPE 设备维护的担忧。
只有当这些设备遇到流量过载时,新的流量才会被引导到附近的 POP 位置进行安全执法。
重新路由到 POP 位置的流量取决于所选的 CPE 设备型号,从而减少了回退流量。
至于来自远程访问用户的流量(如图 6 所示),其路径与之前的架构类似。
来自远程用户设备的流量在到达预定目的地之前,会在最近的 POP 位置进行网络和安全处理。
该架构中的流量(1)和(2)绕过了 POP 位置,甚至消除了云交付设置中存在的最小延迟。
此外,包含在站点内的流量(4)和(5)不仅规避了延迟开销,还减少了攻击面。
这种本地安全执行对于 WebRTC 等对延迟问题敏感的实时应用至关重要。
对于需要确定性、低抖动性能的不同站点的应用服务,一些 SASE 提供商通过最近的 POP 位置在站点之间提供专用连接。
流量 (3) 举例说明了受益于专用带宽和链路的流量流,绕过互联网骨干网实现了确定性抖动。
值得注意的是,并非所有统一的 SASE 产品都是相同的。
一些 SASE 提供商出于网络优化和安全考虑,仍会将所有办公室流量重定向到最近的 POP 位置。
虽然它们可以通过多个 POP 位置来减少延迟开销,但任何延迟的减少对企业来说都是有利的,尤其是在预计潜在的低延迟应用需求时。
企业可能会寻求在不影响性能或用户体验的前提下,优先考虑用户友好性和高级安全性的解决方案。
鉴于各办事处之间需要低抖动,企业应考虑提供绕过互联网骨干网的办事处之间专用虚拟链路的提供商。
企业的另一个关键因素是选择能够管理 SASE-CPE 设备维护和软件更新的供应商。
在传统模式中,企业承担着升级和更换的责任。
为避免这种担忧,企业应考虑提供全面管理白手套服务的服务提供商,这些服务涵盖整个 SASE 基础设施生命周期,包括客户驻地设备 (CPE) 设备管理、配置、升级、故障排除和可观察性等任务。
这些供应商提供一站式服务,处理网络和安全的所有方面,同时还为企业提供共同管理或自助服务选项。

展望未来–通用和统一 SASE

尽管现有的架构框架 “具有分布式安全功能的统一 SASE “已圆满地满足了文章中详述的几项初步要求,但仍有其他策略可在不影响安全完整性的情况下提高应用性能。
展望未来,我们预计安全执行和流量优化将超越 POP 和办事处边缘。
这些新的架构方法将针对流量 (5) 和 (7),特别是旨在改善性能的延迟方面。 统一和通用 SASE - 大规模分布式执法 如图所示,普遍实施安全和优化的概念,特别是在流量的源头,可以产生最佳性能。
需要注意的关键流量如图(5)和(7)所示。
基于微型/迷你服务的应用架构正在成为应用领域的标准。
这些微型服务可以部署在 Kubernetes 集群中,也可以分布在数据中心内的集群中,或跨越不同的地理位置。
在同一 Kubernetes 集群内存在通信服务的情况下,确保流量保持在集群内是有利的,这样就可以直接在 Kubernetes 环境中应用安全性和优化。
Kubernetes 为向托管迷你服务的 POD 添加侧车提供了便利。
我们预计 SASE 提供商未来将利用这一功能提供全面的安全和优化功能,在不影响性能的情况下满足零信任要求。
选择单一的通用 SASE 提供商可为企业提供统一的管理界面,满足企业的所有安全需求,而无需考虑通信服务的位置。
图中的流程(5)描述了通过侧车(SC)实施的安全措施。
值得注意的是,侧车在 Kubernetes 领域并不新鲜;服务网格技术也使用类似的方法进行流量管理。
一些服务网格提供商已经开始将威胁安全(如 WAAP)集成到侧车中。
考虑到服务可以与互联网和其他 SaaS 服务通信,全面的安全措施至关重要。
因此,可以预见,随着企业寻求全面统一的解决方案,服务网格和 SASE 将在未来实现融合。
如图(7)所示的流量是许多 SASE 提供商正在考虑的问题,其中不仅包括 VPN 客户端功能,还包括直接在端点上执行 SASE 功能。
将 SASE 扩展到端点有助于避开与 POP 位置相关的任何延迟问题。
随着端点计算能力的增强,以及为防止恶意实体拒绝服务而提供的控制措施的改进,将 SASE 的执行扩展到端点已变得可行。
服务提供商负责 SASE 方面的维护工作,而企业可能仍需要确保在端点上实施 SASE 不会带来新的问题。
因此,企业需要灵活地将 SASE 扩展到端点,特别是针对高级用户。

结束语

本文阐述了网络和安全的演变,描绘了从传统系统到现代云交付解决方案、分布式执行的统一 SASE 以及未来架构设计的前景。
最重要的是要认识到解决方案产品的差异。
企业必须对服务提供商进行全面评估,寻求 “即服务 “解决方案,以涵盖跨 PoP 和 CPE 设备的分布式执行,包括操作系统和软件升级,同时保持一致的管理实践,以维护安全性和性能。
此外,企业必须优先考虑由单一供应商提供的托管(或共同管理)服务。
这些服务不仅要提供具有先进技术支持的互联网连接解决方案,还要快速适应新的要求并应对新出现的威胁。
选择使用其他 SASE 供应商服务的托管服务提供商,可能会导致未来的改进工作复杂化,从而延长托管服务提供商与技术提供商之间的谈判时间。
鉴于迅速解决问题的迫切需要,我认为由一家供应商提供全面管理服务的统一 SASE 解决方案是企业的理想选择。

  • CTO Insights 博客

    Aryaka CTO Insights博客系列提供有关网络、安全和SASE主题的思想领导。
    有关Aryaka产品规格,请参阅Aryaka数据表。