SASE是SDWAN的未来
企业上云是现在IT基础架构发展的趋势,上云以后,终端和云端应用的访问延迟和安全风险一直是当前企业网的核心问题。SDWAN在私有骨干网上面的优化大幅改善了网络通信的问题, 敏捷、灵活地访问分支和云的需求得以满足。IT部署的多样性,灵活性也带来安全的挑战,传统的安全策略应对企业上云方面已经显示出较多弱点:部署能力的灵活性不足;多个分支机构之间的安全策略相互协同比较困难;根据数据的路由策略(数据分流到不同的分支,公有云,私有云,SaaS服务)安全策略需要实时调整时能力不足;缺乏全局视角的安全中心。
企业希望SDWAN和安全设施能够融合的更好, SDWAN融入安全架构,从安全策略,安全架构,安全实现三个层次都考虑安全元素和数据传输的协同,全方位的保护用户的数字资源。
LinkWAN相信:SDWAN最终的演变是SASE。
Native-Cloud架构的SDWAN
LinkWAN的SDWAN 技术架构是以虚拟化,Native-Cloud为基础的体系。
SDN控制器分布运行在混合云,业务控制是工作在共有云,数据分析的主要负载是私有云,两者之间通过私有专线连通,确保数据通信的安全和质量。混合云的架构确保了服务的SLA,增加服务的弹性。基于SaaS理念创建的NMS单元让用户随时随地的访问自己的控制器,进行服务管理、告警处理、配置下发。
PoP点架构在k8s的容器集群,数据转发层是居于Linux构建的虚拟路由器。接入的每个用户拥有架构在VXLAN上的VPC网络,用户的数据安全和QoS可以得到确定的保证。 连接PoP点 的underlay 骨干网是私有光网络,云服务商的VPC网络,三大运营商私有专线三者相结合共同打造,既能保证线路的稳定性,又确保网络的延伸能力。点和点之间的延迟,带宽,抖动等网络质量数据实时监控、上报; LinkWAN的SDN控制器根据网络的传输质量,动态计算和调整数据传输的骨干路径。用户通过最后一公里建立和PoP点的连接,数据通信服务将全程私有化,数据接入、数据转发、数据输出三个分段都能确保传输的安全和质量。
源于LinkWAN的先进技术架构,从LinkWAN2.0到3.0的演化过程中,SASE(Secure Access Service Edge)的理念充分融入LinkWAN的SDWAN系统中,作为LinkWAN平台进一步发展和演化的基本设计概念,注入到所有的数字业务模型中。
正如Gartner 说到的:“SASE capabilities are delivered as a service based upon the identity of the entity, real-time context, enterprise security/compliance policies and continuous assessment of risk/trust throughout the sessions. Identities of entities can be associated with people, groups of people (branch offices), devices, applications, services, IoT systems or edge computing locations.”
SDWAN作为SASE的网络载体,目的是为各种连接单元(分支机构,终端用户,IoT设备,SaaS,应用服务)提供最优的连接体验,即使各种连接单元分布在不同地域,不同ISP,也必须最大地确保网络体验的一致性。LinkWAN相比当前的SDWAN理念走得更快,看得更远,充分发挥云的优势,依靠虚拟化和NFV技术,打造SASE概念下的新一代SDWAN平台。
SASE架构下的PoP
分布极广的PoP点天生就是边缘计算的最佳平台,LinkWAN集成NGFW,CASB等安全功能到PoP点,完美的承担起SASE Broker的角色。LinkWAN和国内著名的安全厂商共同合作开发SASE理念下的PoP点技术,把LinkWAN擅长的虚拟化,native-cloud,NFV技术和安全厂商的安全技术完美结合,推出LinkWAN3.0。 依靠边缘云的支撑,安全设施可以脱离硬件环境的限制,弹性扩展,快速部署。弹性扩展不仅仅是容量和处理能力方面的,也包括功能、业务需求上的变化和扩张;传统的硬件安全设施,对于同时升级,扩展多点分支是如此之困难,部署时间和出错概率上远超虚拟化架构的SASE。SDWAN和SASE融合后,在验证部署升级后的系统是否按照自己设计的安全策略相匹配是如此简单:应用服务常用的蓝绿发布或者灰度发布可以更自然地在SASE上轻松体现,平滑,无感知升级帮助IT基础设施的工程师在应对服务升级的时候,更为敏捷、可靠,得心应手。
企业在WAN域上对Internet的访问是安全方面的一个典型的挑战,一般企业都依靠专业的FW来解决相关问题。但是,配置SDWAN网络的企业一般拥有较多分支机构,确保分支互联的同时,还需要保证安全地访问云端SaaS服务,企业内部部署的应用程序。在如此分散、复杂的网络环境下,IT工程师维护安全策略和规则是一项富有挑战的工作。SASE架构下的SDWAN把所有网络数据汇聚到PoP点,由PoP点代替传统的FW做安全审查,甚至可以作为“network sandbox”来访问外部的资源,依靠PoP点来应对来自Internet的威胁,大幅提升安全能力。LinkWAN的安全和网络专家可以和企业的IT工程师一起参与定制和维护企业网络的安全设施,大幅降低IT成本的同时,享有更好的安全保护。
SASE概念下的CPE
随着SDWAN技术的成熟,当前CPE非常的多样化,从性价比较高的SOC架构,强劲的x86白盒,虚拟vCPE,到容器化的应用服务级别的CPE技术。无论是何种平台,CPE都集成了丰富的功能,越来越复杂,越来越重,SDWAN中的一个重要的特性ZTP(Zero Touch Provisioning)面临着两难的困境:复杂功能和敏捷部署之间的矛盾。SASE可以让部分的安全功能上移到PoP点,简化CPE的复杂度,趋向于简单可靠,并同时大幅的降低CPE的成本。企业网络的架构就如一个数字章鱼,聪明高级的大脑(控制器,PoP点)依靠灵敏可靠的触角(CPE)随时延伸自己的数字业务。
PoP点作为边缘云节点,很多计算可以下沉到PoP点,不需要过多地访问数据中心或者共有云的服务,数据延迟大幅下降,这将助力 CPE发展成为一个硬件的Broker, 更多地集成数据采集和传输两个功能, 这在IoT的领域内有广阔空间。LinkWAN依托KubeEdge, 已经实现了完整的边缘计算平台, CPE向更为复杂的硬件接入平台演进,成为“数字章鱼”中丰富的数字神经触角。
SDWAN的进一步演化是SASE网络, LinKWAN正全力开拓这一深海,领航下一代企业网络的技术发展,为客户带来更好的服务,创造更多价值。
关于LinkWAN
LinkWAN是杭州网银互联科技股份有限公司旗下专注于SD-WAN(软件定义广域网)设计、研发、及服务的业务品牌。LinkWAN依托于集团公司全球近200个POP节点,在全球范围内构建了一张端到端网络,同时与阿里云、腾讯云、华为云、微软云、亚马逊等主流云服务商无缝对接,支持云、数据中心、分支机构之间的任意互联,可为全球商业体提供和打造超高性价比、快捷部署的SD-WAN组网、云连接及SaaS应用高速访问服务,满足客户在快速组网、云网融合、敏捷网络、4G/5G应用、边缘计算、智能调度与管理等方面的个性化服务需求。
与此同时,LinkWAN基于自主知识产权技术推出了不同系列的智能网关设备,并基于自研的操作系统,可与各种物联网设备深度融合,广泛应用于物联网、车联网、智慧城市、智能家居、数字工厂等领域。
目前,LinkWAN服务范围已涵盖亚洲、北美及欧洲等各大板块和国家,为新零售、智能制造、互联网、房产物业、政府、金融、教育等主流行业超1200家企业提供高性能、优体验、简运维的服务。
相关引用:
Gartner《The Future of Network Security Is in the Cloud》
https://www.zscaler.com/blogs/corporate/new-report-gartner-research-future-network-security-cloud
