SASE服务与SD-WAN架构比较
安全访问服务边缘(SASE)和SD-WAN是旨在将地理位置不同的端点连接到数据和应用程序资源源的两种联网技术。SD-WAN是软件定义网络(SDN)的应用程序,它使用虚拟化网络覆盖来连接和远程管理分支机构。重点放在将这些分支机构连接回中央专用网络上。尽管SD-WAN可以适合连接到云,但它并不是以云为重点构建的。
另一方面,SASE确实专注于云并具有分布式架构。SASE并非专注于将分支机构连接到中央网络,而是专注于将各个端点(无论是分支机构,单个用户还是单个设备)连接到服务边缘。服务边缘由运行SASE软件堆栈的分布式存在点(PoP)网络组成。此外,SASE着重于固有的安全性(因此其名称为“安全访问”部分)。
就像通过Intranet与通过Google Drive共享文件之间的区别一样。两种方法都力争达到相同的最终目标,但是两种方法截然不同。
SD-WAN是一个日趋成熟的市场,总体而言一直保持稳定增长,尽管COVID-19大流行确实阻碍了它的发展。SASE相对较新,因为它是研究组织Gartner在2019年创造的一个术语。尽管SASE市场刚刚起步,但许多供应商开始通过自己的SASE或类似SASE的服务进入市场。
SASE和SD-WAN之间的差异可以归纳为三类:
他们与云的关系
安全和网络工具所在的位置
如何进行交通检查
SASE,SD-WAN和云
SASE使用以下一项或多项:私有数据中心,公共云和托管设施。这些存在点构成了运行SASE堆栈的体系结构的服务边缘。而且,这些PoP通常位于公共云中,或者紧邻公共云网关,以确保对云资源的安全低延迟访问。无论哪个节点有足够的资源来满足用户的请求,流量都将流向何处。SASE软件可以确定前往端点的流量的最佳路由。分布式体系结构不同于SD-WAN以组织数据中心为中心的本质。Gartner认为,随着越来越多地使用云服务,将单个私有数据中心作为网络焦点会导致效率低下。
有SD-WAN产品可与云一起使用。但是,云集成更多是SD-WAN的功能,而不是关键组件。在启用了云的SD-WAN中,用户可以通过Internet连接到虚拟云网关,从而使网络更易于访问并支持云本机应用程序。这与SASE方法相当相似
安全性和网络决策的位置
SASE的重点是为网络及其用户提供对分布式资源的安全访问。这些资源可以分布在私有数据中心,主机托管设施和云中。这样,安全性和网络决策制定就融入了相同的安全工具中。SASE产品具有作为安全代理驻留在用户设备中的安全工具,以及作为云原生软件堆栈驻留在云中的安全工具。例如,安全代理可以包含安全的Web网关,供应商的云可以包含防火墙即服务。在分支机构或其他聚集人员的位置,为了保护打印机等无代理设备的安全,通常使用SASE设备。
SD-WAN技术的设计重点不是安全性。安全性通常是通过辅助功能或第三方供应商提供的。尽管某些SD-WAN解决方案确实具有内置的安全性,但这并不是大多数。SD-WAN的中心目标是在地理上相互独立的办公室之间以及中心总部之间建立连接,并具有针对不同网络条件的灵活性和适应性。在SD-WAN中,安全工具通常位于CPE中的办公室,而不是设备本身。SD-WAN中的网络决策是在遍布整个网络的虚拟网络设备中做出的。
SASE与SD-WAN流量检查
使用SASE网络,流量可以一次开放,一次可以被多个策略引擎检查。引擎并行运行,而不会在引擎之间传递流量。这样可以节省时间,因为在SD-WAN中,由于不会将流量从一个安全功能传递到下一个安全功能,因此不会重复访问该流量。此外,这些策略引擎的作用与SD-WAN中的安全工具一样多,甚至更多。
SD-WAN使用服务链。服务链接是通过一个安全功能一次,一次又一次地检查流量。这些单独的功能处理一种类型的威胁,称为积分解决方案。每个点解决方案都会打开,检查,关闭流量,然后将其转发到下一个点解决方案,直到流量通过所有点解决方案为止。
两种网络技术之间的相似之处
尽管具有相似的目的,但是SASE和SD-WAN在架构上没有很多相似之处。一些更高层次的相似之处包括它们既是广域网又是虚拟化基础结构。
SD-WAN和SASE均设计为覆盖较大的地理区域。基础设施不同。SASE的基础架构具有私有数据中心,托管设施或充当端点的云。这些是运行网络,优化和安全功能的地方。在SD-WAN中,这些功能在分支机构和总部的盒子中运行。SASE和SD-WAN均可在任何地方进行控制。在SD-WAN的情况下,DIY方法通常将控制权放在组织的总部中,托管解决方案将由服务提供商远程控制,并且共同管理的解决方案类似于托管解决方案,但是组织可以通过一个门户
尽管两种基础架构的格式不同,但它们都仍是虚拟化的。SD-WAN和SASE并不像非虚拟WAN那样依赖固定功能的专有设备。如前所述,SASE在云或其他数据中心以及安全代理中运行安全和网络功能。对于SD-WAN,网络节点以及CPE是软件定义的。换句话说,这些功能作为软件运行。
SASE与SD-WAN:关键要点
SASE和SD-WAN是两种不同的网络技术,它们使用不同的方法达到相似的目的。
两种技术都旨在以灵活和适应性强的方式连接地理分布的组织。
SASE网络专注于提供云本机安全工具,并且云以网络为中心。
SD-WAN技术致力于将办公室连接到中央总部和数据中心,尽管它也可以将用户直接连接到云。
页:
[1]