Maximierung der SASE Leistung: Die entscheidende Rolle der verteilten Durchsetzung im großen Maßstab

Architekturen für die Bereitstellung von Netzwerksicherheit unterliegen einer regelmäßigen Weiterentwicklung, die von verschiedenen Entwicklern vorangetrieben wirderpsteigende Anforderungen. Nachfolgend sind einige der aktuellen Branchentrends aufgeführt:

• Minimierung der Kosten und des Wartungsaufwands im Zusammenhang mit disparate und mehrere Netzwerksicherheitssysteme.
• Umsetzung eines „Zero Trust Everywhere“-Mandats, das alle Netzwerke innerhalb von Rechenzentren umfasst WANs und innerhalb von Kubernetes-Clustern.
• Gewährleistung einer hohen Leistung (Durchsatz, reduzierte Latenz und minimaler Jitter), um die Benutzererfahrung zu verbessern und Echtzeitanwendungen wie WebRTC zu unterstützen.
• Auf die Bedürfnisse einer verteilten Belegschaft eingehen.
• Erfüllung der Anforderungen von Remote-Belegschaft.
• Erhöhte Akzeptanz von SaaS Dienstleistungen von enterperhebt sich.
• Wachsendes Vertrauen in Cloud für enterpAufstiegsanwendungen.
• Umfassende Multi-Cloud Bereitstellungen.
• Erkundung der potenziellen Vorteile von Edge- und Fog-Computing.
• Schwierigkeiten bei der Schulung oder Gewinnung von Fachpersonal für Netzwerk- und Sicherheitsfunktionen.
• Minimierung der Ressourcen, die für die Verwaltung der Internetkonnektivität auf der letzten Meile für verteilte Büros erforderlich sind.

Legacy-Netzwerk- und Sicherheitsarchitektur

Enterpsteigt, da mehrere Niederlassungen und Remote-Mitarbeiter traditionell erhebliche Ressourcen für die Beschaffung und Wartung ihrer Netzwerk- und Sicherheitsinfrastruktur aufwenden. Die vereinfachte Abbildung unten zeigt die typische, zuvor verwendete Architektur.

Dieses Beispiel enthält ein enterpAufstieg mit zwei Niederlassungen und zwei Hauptbüros in verschiedenen Teilen der Welt. Um die Kosten für Sicherheitsgeräte zu senken und den Verwaltungsaufwand zu verringern, wird die gesamte Sicherheitsdurchsetzung in den Hauptbüros zentralisiert. Der Datenverkehr von den Zweigstellen und Remote-Benutzern wird zur Sicherheitsdurchsetzung an die nahegelegenen Hauptbüros weitergeleitet, bevor er zum vorgesehenen Ziel weitergeleitet wird. 'Dünn CPE'-Geräte werden typischerweise in den Zweigstellen eingesetzt, um dieses Traffic-Tunneling zu erleichtern.

Die Hauptbüros sind ausgestattet mit VPN Konzentratoren zum Beenden der Tunnel, mehrere Sicherheitsgeräte zum Erkennen und Entfernen von Exploits, Implementierung detaillierter Zugriffskontrollen, Schutz vor Malware und Verhinderung von Phishing-Angriffen.

Wie jedoch anhand der Datenverkehrsströme (im Bild durch 1 dargestellt) dargestellt, folgt der Datenverkehr von Zweigstellen zu Internetseiten einer Haarnadelkurve. Dieses Routing kann zu einer erhöhten Latenz und damit zu einem suboptimalen Benutzererlebnis führen, insbesondere wenn die Filiale und die nahegelegenen Hauptbüros weit voneinander entfernt liegen. Einige enterpRises versuchte, den Durchsatz zu erhöhen und Jitter durch den Einsatz dedizierter Verbindungen zu reduzieren, aber diese Lösungen waren kostspielig und konnten Latenzprobleme nicht angemessen lösen.

Darüber hinaus stellt die Verwaltung mehrerer Netzwerk- und Sicherheitsgeräte mit jeweils eigenem Konfigurations- und Analyse-Dashboard eine Herausforderung dar. Diese Komplexität kann zu fehleranfälligen Konfigurationen führen, da Personal für mehrere Schnittstellen geschult werden muss.

Bei diesen veralteten Sicherheitsarchitekturen wurden die Zero-Trust-Prinzipien oft außer Acht gelassen, da sie sich eher auf Netzwerksegmentierung und IP-Adressen stützten als auf eine benutzerbasierte Zugriffskontrolle, die von der Benutzerauthentifizierung abhängt. Während dieser Ansatz zu dieser Zeit effektiv funktionierte, kam es mit der Zunahme von Remote-Arbeitsszenarien und der umfassenden Nutzung von NAT (Network Address Translation) machte die Benutzeridentifizierung über IP-Adressen immer schwieriger. Infolgedessen zeigte dieser Stamm Einschränkungen in Legacy-Architekturen.

Cloud/POP gelieferte Sicherheit

Als Reaktion auf die Herausforderungen im Zusammenhang mit der Aufrechterhaltung der Sicherheitsinfrastruktur vor Ort, der Bewältigung der Anforderungen von Remote-Arbeit, der Reduzierung der Latenz im Zusammenhang mit Traffic-Hairpinning und der verstärkten Nutzung von cloud und SaaS Dienstleistungen, cloud-basierte Sicherheitslösungen haben sich als vielversprechende Alternative herausgestellt. Viele enterpAnstiege haben begonnen, diese zu nutzen cloud- Bereitstellung von Sicherheitslösungen zur Behebung dieser Probleme, wie im folgenden Bild dargestellt.

Sicherheitsdienste werden über verschiedene Points of Presence verteilt (POPs) durch den Anbieter. EnterpRises haben die Flexibilität, die POP-Standorte basierend auf ihrer Büroplatzierung und der Konzentration ihrer Remote-Arbeitskräfte auszuwählen. Client-Datenverkehr, der für einen beliebigen Standort bestimmt ist, wird über den nächstgelegenen POP weitergeleitet, an dem Sicherheitsmaßnahmen angewendet werden. Dieses Routing wird durch die Verwendung erleichtert CPE Geräte in Büros und VPN Client-Software auf Remote-Benutzergeräten, wodurch die mit der alten Sicherheitsarchitektur aufgrund der Nähe der POP-Standorte verbundene Latenz reduziert wird.

Anfangs gab es in der Branche Sicherheitsdienste von mehreren Anbietern, doch es hat sich eine Verlagerung hin zu einheitlichen, technologiebasierten Lösungen eines einzelnen Anbieters vollzogen cloud Sicherheitsdienste. Diese einheitlichen Dienste bieten eine optimierte Sicherheitskonfiguration und Beobachtbarkeitsverwaltung und bewältigen so das fragmentierte Sicherheitsmanagement älterer Bereitstellungsarchitekturen.

Dieses Setup eignet sich zwar gut für Datenverkehr, der für das Internet bestimmt ist/SaaS Bei Standorten stellt es eine neue Herausforderung dar, wenn sich beide kommunizierenden Entitäten am selben Standort, im selben Rechenzentrum oder innerhalb eines Kubernetes-Clusters befinden, wie in den Abläufen (4) und (5) zu sehen ist. Fluss (4) zeigt den Datenverkehr zwischen Entitäten innerhalb desselben Standorts, der zum nächstgelegenen POP-Standort getunnelt und dann zurückgeleitet wird. Dies geschieht, um Sicherheitsmaßnahmen für alle Verkehrsströme durchzusetzen und die Zero-Trust-Anforderungen zu erfüllen. Fluss (5) veranschaulicht die Kommunikation zwischen zwei Anwendungsdiensten, die zur Erfüllung von Zero-Trust-Anforderungen zur Sicherheitsverarbeitung von der Site zum nächstgelegenen POP weitergeleitet wird, bevor sie zum selben Kubernetes-Cluster zurückkehrt. Dieser Prozess erhöht unbeabsichtigt die Latenz für diese Datenströme und kann den Datenverkehr unnötigerweise für zusätzliche Entitäten offenlegen.

Einige EnterpDurch den Einsatz unterschiedlicher lokaler Sicherheits-Appliances lässt sich diese Latenz zwar vermeiden, dies bringt jedoch erneut Herausforderungen mit sich, die mit älteren Bereitstellungsarchitekturen verbunden sind.

Eine weitere Herausforderung bei der über POP bereitgestellten Sicherheit hängt mit der Leistungsisolation zusammen. Da diese Anbieter Dienstleistungen für mehrere Kunden/Mieter bereitstellen, kann es aufgrund lauter Nachbarn zu Leistungsproblemen kommen. Das heißt, das Verkehrsaufkommen anderer Unternehmen kann sich auf die Verkehrsleistung Ihres Unternehmens auswirken. Dies ist auf die gemeinsame Nutzung desselben Ausführungskontexts für den Datenverkehr mehrerer Unternehmen zurückzuführen.

Als EnterpRises suchen nach Lösungen, die Zero-Trust-Anforderungen erfüllen, eine einheitliche Richtlinienverwaltung bieten, Leistungsisolation ermöglichen und unnötige Latenzzeiten durch Haarnadeln verringern Netzwerk-Sicherheit Die Industrie hat ihre Bereitstellungsarchitekturen weiterentwickelt, um diesen Bedenken Rechnung zu tragen. Unified Secure Access Service Edge (SASE), bereitgestellt von Unternehmen wie Aryakahat sich herausgestellt, dass es in dieser Landschaft eine zentrale Rolle spielt.

Einheitlicher SASE mit hybriden und verteilten Sicherheitsdiensten

Eine ideale Architektur ist eine, die die Verwaltungskomplexität früherer Architekturen verringert, strenge Zero-Trust-Anforderungen erfüllt, ein gleiches Maß an Sicherheit für Nord-Süd- und Ost-West-Verkehrsströme gewährleistet, eine einheitliche Richtlinienverwaltung bietet, Leistungsisolation bietet und umgeht die mit dem Hair-Pinning verbundenen Latenzprobleme.

Einheitlicher SASE von Firmen wie Aryaka Bereitstellung einer Architektur, die viele der oben genannten Anforderungen erfüllt. Bitte sehen Sie sich das Bild unten an.

Innerhalb der dargestellten Architektur gehen Netzwerk- und Sicherheitsdurchsetzung über POP/Cloud Orte, die es zu erfassen gilt CPE Geräte, die alle von demselben Dienstleister bereitgestellt und einheitlich verwaltet werden. Diese Strategie zerstreut die Bedenken der Kunden hinsichtlich der Wartung dieser Anlagen CPE Geräte.

Erst wenn bei diesen Geräten eine Verkehrsüberlastung auftritt, wird neuer Datenverkehr zur Durchsetzung der Sicherheit an nahegelegene POP-Standorte weitergeleitet. Das Volumen des an die POP-Standorte umgeleiteten Datenverkehrs hängt von der Auswahl ab CPE Gerätemodelle, wodurch der Fallback-Verkehr reduziert wird.

Bezüglich des Datenverkehrs von Fernzugriffsbenutzern (dargestellt als 6) folgt ein ähnlicher Weg wie bei früheren Architekturen. Der Datenverkehr von Remote-Benutzergeräten durchläuft am nächstgelegenen POP-Standort eine Netzwerk- und Sicherheitsverarbeitung, bevor er sein beabsichtigtes Ziel erreicht.

Die Flüsse (1) und (2) innerhalb dieser Architektur umgehen die POP-Standorte und eliminieren so selbst minimale Latenzen cloud-gelieferte Setups.

Darüber hinaus umgehen die innerhalb einer Site enthaltenen Flüsse (4) und (5) nicht nur Latenz-Overheads, sondern verringern auch die Angriffsfläche. Diese lokale Sicherheitsdurchsetzung ist für Echtzeitanwendungen wie WebRTC unerlässlich, da sie empfindlich auf Latenzprobleme reagieren.

Für Anwendungsdienste an verschiedenen Standorten, die eine deterministische Leistung mit geringem Jitter erfordern, einige SASE Anbieter bieten dedizierte Konnektivität zwischen Standorten über die nächstgelegenen POP-Standorte an. Fluss (3) veranschaulicht Verkehrsströme, die von dedizierter Bandbreite und Verbindungen profitieren und das Internet-Backbone umgehen, um deterministischen Jitter zu erreichen.

Es ist wichtig zu beachten, dass nicht alle einheitlich sind SASE Die Angebote sind identisch. Manche SASE Zur Netzwerkoptimierung und Sicherheit leiten Anbieter weiterhin den gesamten Büroverkehr an die nächstgelegenen POP-Standorte um. Obwohl sie den Latenzaufwand bei mehreren POP-Standorten verringern können, erweist sich jede Reduzierung der Latenz als vorteilhaft für Enterpsteigt, insbesondere in Erwartung potenzieller Anforderungen an Anwendungen mit geringer Latenz. EnterpRises wird wahrscheinlich nach Lösungen suchen, bei denen Benutzerfreundlichkeit und hohe Sicherheit im Vordergrund stehen, ohne dass die Leistung oder das Benutzererlebnis beeinträchtigt werden. Angesichts der Notwendigkeit eines geringen Jitters in allen Büros hat EnterpAufsteiger sollten Anbieter in Betracht ziehen, die dedizierte virtuelle Verbindungen zwischen Büros anbieten, die das Internet-Backbone umgehen.

Ein weiterer entscheidender Faktor für EnterpRises wählt Anbieter aus, die Wartung und Software-Updates verwalten SASE-CPE Geräte. In älteren Modellen ist EnterpDie Erhöhungen trugen die Verantwortung für Modernisierungen und Ersatzlieferungen. Um diese Bedenken zu vermeiden, hat EnterpAnstiege sollten Dienstleister in Betracht ziehen, die umfassende Managed-White-Glove-Services anbieten, die das gesamte Unternehmen abdecken SASE Infrastrukturlebenszyklus, der Aufgaben wie die Ausstattung des Kundenstandorts umfasst (CPE) Geräteverwaltung, Konfiguration, Upgrades, Fehlerbehebung und Beobachtbarkeit. Diese Anbieter fungieren als One-Stop-Shops, kümmern sich um alle Aspekte des Netzwerks und der Sicherheit und bieten gleichzeitig Co-Management- oder Self-Service-Optionen für Enterperhebt sich.

Der Blick nach vorn – universell und einheitlich SASE

Obwohl der bestehende Architekturrahmen „Unified SASE Obwohl „mit verteilter Sicherheit“ mehrere im Artikel beschriebene Anfangsanforderungen zufriedenstellend erfüllt, gibt es zusätzliche Strategien, um die Anwendungsleistung zu verbessern, ohne die Sicherheitsintegrität zu beeinträchtigen. Wenn wir in die Zukunft blicken, erwarten wir darüber hinaus Fortschritte bei der Durchsetzung von Sicherheitsmaßnahmen und der Optimierung des Datenverkehrs POPs und der Rand der Büros. Diese neuen Architekturansätze zielen auf die Flüsse (5) und (7) ab und zielen insbesondere auf die Verbesserung des Latenzaspekts der Leistung ab.

Wie im Bild dargestellt, kann das Konzept der universellen Implementierung von Sicherheit und Optimierung, insbesondere am Ursprung des Datenverkehrs, zu einer optimalen Leistung führen.

Die wichtigsten zu beachtenden Verkehrsströme sind als (5) und (7) dargestellt.

Die Verbreitung von auf Mikro-/Minidiensten basierenden Anwendungsarchitekturen wird in der Anwendungslandschaft zum Standard. Diese Minidienste können innerhalb von Kubernetes-Clustern, über Cluster innerhalb von Rechenzentren oder an verschiedenen geografischen Standorten verteilt bereitgestellt werden. In Szenarien, in denen Kommunikationsdienste innerhalb desselben Kubernetes-Clusters vorhanden sind, ist es von Vorteil, sicherzustellen, dass der Datenverkehr innerhalb des Clusters verbleibt, was die Anwendung von Sicherheit und Optimierung direkt in der Kubernetes-Umgebung ermöglicht. Kubernetes erleichtert das Hinzufügen von Sidecars zu den PODs, auf denen die Minidienste gehostet werden. Wir erwarten SASE Anbieter werden diese Funktion in Zukunft nutzen, um umfassende Sicherheits- und Optimierungsfunktionen bereitzustellen und Zero-Trust-Anforderungen ohne Leistungseinbußen zu erfüllen.

Ich entscheide mich für ein einziges Universalmodell SASE Anbieter gewährt enterpbietet eine einheitliche Verwaltungsoberfläche für alle Sicherheitsanforderungen, unabhängig von der Platzierung der Kommunikationsdienste. Fluss (5) im Bild zeigt die Sicherheitsdurchsetzung mittels Beiwagen (SC). Es ist wichtig zu beachten, dass Sidecars in der Kubernetes-Welt nichts Neues sind; Service-Mesh-Technologien verwenden einen ähnlichen Ansatz für das Verkehrsmanagement. Einige Service-Mesh-Anbieter haben damit begonnen, Bedrohungssicherheit wie WAAP in die Sidecars zu integrieren. In Anbetracht dessen, dass Dienste mit dem Internet und anderen kommunizieren können SaaS Dienstleistungen sind umfassende Sicherheitsmaßnahmen unerlässlich. Folglich ist absehbar, dass es zu einer Konvergenz von Service Mesh und kommen wird SASE in der Zukunft, als enterpRises suchen nach einer umfassenden und einheitlichen Lösung.

Der als (7) dargestellte Verkehr ist für viele von Bedeutung SASE Anbieter erforschen, was nicht nur bedeutet, zu haben VPN Client-Funktionalität, sondern auch Leistung SASE Funktionen direkt am Endpunkt. Erweitern SASE zu den Endpunkten trägt dazu bei, etwaige Latenzprobleme im Zusammenhang mit POP-Standorten zu umgehen. Da die Rechenleistung der Endpunkte zunimmt und verbesserte Kontrollen angeboten werden, um Dienstverweigerungen aus Mali zu verhinderncioFür uns Unternehmen ist eine Erweiterung machbar geworden SASE Durchsetzung bis zu den Endpunkten.

Während Dienstanbieter den Wartungsaufwand übernehmen SASE Seite, enterpAnstiege müssen möglicherweise noch sichergestellt werden, dass die Umsetzung gewährleistet ist SASE auf den Endpunkten führt nicht zu neuen Problemen. Daher enterpAnstiege streben nach Flexibilität bei der Ermöglichung SASE Erweiterung auf Endpunkte speziell für Power-User.

Abschließende Gedanken

Dieser Artikel hat die Entwicklung von Netzwerk und Sicherheit veranschaulicht und einen Weg von Altsystemen zu modernen Systemen aufgezeigt cloud-gelieferte Lösungen, einheitlich SASE mit verteilter Durchsetzung und prospektiven zukünftigen Architekturentwürfen.

Es ist von größter Bedeutung, die Unterschiede in den Lösungsangeboten zu erkennen. EnterpRises müssen gründliche Bewertungen von Dienstanbietern durchführen und nach „As-a-Service“-Lösungen suchen, die eine verteilte Durchsetzung über alle Bereiche hinweg abdecken PoPs und CPE Geräte, einschließlich Betriebssystem- und Software-Upgrades, unter Beibehaltung konsistenter Verwaltungspraktiken, die sowohl Sicherheit als auch Leistung gewährleisten.

Darüber hinaus ist es für die HNO von entscheidender Bedeutungerpsteigt, um verwaltete (oder gemeinsam verwaltete) Dienste eines einzigen Anbieters zu priorisieren. Diese Dienste sollten nicht nur Internet-Konnektivitätslösungen mit fortschrittlichem technischem Support bereitstellen, sondern sich auch schnell an neue Anforderungen anpassen und auf neue Bedrohungen reagieren. Entscheiden Sie sich für einen Managed-Service-Anbieter, der As-a-Service von anderen nutzt SASE Anbieter können bei zukünftigen Verbesserungen zu Komplikationen führen und langwierige Verhandlungen zwischen Managed Service- und Technologieanbietern nach sich ziehen. Angesichts der zwingenden Notwendigkeit rascher Lösungen glaube ich, dass Unified SASE Lösungen mit umfassenden Managed-Service-Angeboten von einem Anbieter sind die ideale Wahl für Enterperhebt sich.

• CTO Insights-Blog

  Die Aryaka-CTO-Insights-Blogserie bietet Vordenker für Netzwerk, Sicherheit und SASE-Themen. Aryaka Produktspezifikationen beziehen sich auf Aryaka Datenblätter.