Der Unterschied zwischen SASE, Einheitlich SASE und Universal SASE

Was ist SASE?
SASE (Secure Access Service Edge) wird von Gartner definiert. Netzwerksicherheitsfunktionen sind nicht neu und SD-WAN ist in der Branche nichts Neues. SASE liefert sie als cloud Service. Einfach gesagt, SASE vereint SD-WAN, Netzwerksicherheitsfunktionen und liefert sie als cloud Bedienung.

SD-WAN Anbieter liefern deterministische und zuverlässige Konnektivität zu Enterpsteigt mit mehreren Büros an verschiedenen Standorten über eine geografisch verteilte PoP-Infrastruktur. SD-WAN Service bietet auch VPN-basierter sicherer Fernzugriff um WFH- (Work-From-Home) und Roaming-Benutzer mit dem Ent zu verbindenerpAufstiegsnetzwerke. Viele SD-WAN Zu den Diensten gehören auch grundlegende Sicherheitskomponenten wie Firewall und NAT.

Kombination von Bedrohungsschutzfunktionen – Next Generation Firewall, Anti-Malware, URL Filter- und Data Loss Prevention-Funktionen zum Schutz verschiedener EnterpVermögen mit erhöhen SD-WAN bietet mehrere Vorteile zu Enterperhebt sich. Zu den Vorteilen gehören eine weniger komplexe Netzwerkinfrastruktur und ein schnelleres Hoch- und Herunterfahren bei Änderungen in EnterpAufstiegsstandorte, cloud Dienstleistungen, SaaS Dienste, verteilte Arbeitskräfte und schnellere Skalierung bei zunehmender EntlastungerpAufstiegsanwendungen. EnterpRise-Administratoren sehen außerdem eine zentrale Übersicht für Richtlinienverwaltung und Beobachtbarkeit. Verteilte Durchsetzungspunkte für Netzwerk und Sicherheit bieten Benutzern und Anwendungen unabhängig von ihrem Standort ein konsistentes und deterministisches Erlebnis.

Was bedeutet SASE bilden?
Das folgende Bild bietet eine konsolidierte Ansicht davon SASE. SASE Der Dienst befindet sich zwischen Client-Entitäten und EnterpAnstieg der Anwendungs-/Datenbestände. Clients können menschliche Clients, Geräte und Programme sein. Kunden können überall sein. EnterpSteigende Anwendungen und Daten mit digitaler Transformation sind nicht auf Ent beschränkterpRise On-Prem-Standorte und Colos. EnterpSteigt die Bereitstellung der Anwendungen in mehreren Regionen und mehreren clouds aus Ausfallsicherheit, Redundanz, geringer Latenz und regulatorischen Gründen. EnterpAnstiege werden auch zunehmend genutzt SaaS Dienste, die auch an mehreren Standorten eingesetzt werden. Aufgrund der überall verfügbaren Kunden und überall verfügbaren Dienstleistungen, SASE Der Dienst wird auch als verteilter Dienst bereitgestellt, aber natürlich mit einer gemeinsamen Managementebene.

Die Hauptbestandteile von SASE sind:

SD-WAN:  SD-WAN Bietet sichere, optimierte, deterministische und zuverlässige Konnektivität zwischen Büros und Rechenzentren über mehrere PoPs mit zentraler Leitung. SD-WAN Dienstleistungen werden intelligenter. Sie verfügen nicht mehr über grundlegende Funktionen im Zusammenhang mit MPLS Ersatz, sondern bieten auch benutzer- und anwendungsorientiertes Routing/QoS, SaaS Beschleunigung durch intelligentes Routing, WAN Optimierung und Caching für den Zugriff auf redundante Daten mit geringer Latenz und sogar grundlegende Sicherheitsdienste wie NAT, Firewall usw VPN.

Firewall der nächsten Generation (NGFW): Es handelt sich um eine grundlegende Sicherheitstechnologie für jede Art von Zugriff. Es bietet normalerweise NAT-, Stateful-Inspection- und IDS/IPS-Dienste (Intrusion Detection and Prevention System). Um den Zero-Trust-Anforderungen gerecht zu werden, NGFW in SASE Architektur Es wird erwartet, dass es identitätsbewusste Zugriffsfunktionen unterstützt.

Zero-Trust-Netzwerkzugriff (ZTNA): Die ZTNA-Funktionalität schützt EnterpAufstiegsanwendungen und zugehörige Daten. SD-WAN Dienste verfügen über grundlegende ZTNA-Funktionalität über VPN & Stateful-Inspection-Firewall. Das reicht nicht aus, um es ZTNA zu nennen SASE die Architektur. Die ZTNA-Funktionalität umfasst identitätsbewussten Anwendungszugriff, benutzerrollenbasierten, granularen Zugriff auf Anwendungen zur Einhaltung des „Least Privilege Access“-Prinzips und Traffic Engineering für mehrere Instanzen der Anwendung übergreifend clouds & Rechenzentren, privilegiertes Zugriffsmanagement auf kritische Dienste und mehr. Differenzierte ZTNA-Frameworks werden durch WAF (Web Application Firewall), API-Sicherheit, DLP (Data Loss Prevention) und Anti-Malware-Funktionen zum Schutz vor Bedrohungen und zum Stoppen jeglicher Datenexfiltrationsversuche ergänzt.

Cloud Zugriffssicherheitsbroker (CASB):  CASB Funktionalität schützt EnterpAnstiegsdaten in SaaS Dienste, indem sichergestellt wird, dass echte Benutzer auf die zulässigen Ressourcen zugreifen. Noch wichtiger ist, dass es Einblick in die Benutzer und Ressourcen bietet, auf die zugegriffen wird. CASBs helfen auch dabei, den Zugriff auf nicht genehmigte Inhalte zu verhindern SaaS Websites. Seit CASBs den Datenverkehr behindern, können sie auch etwaige Schatten-IT-Zugriffe identifizieren und feststellen, ob es Datenlecks zwischen Firmenkonten und Privatkonten gibt. Manche SaaS Anbieter empfehlen keine Inline-Sicherheit. Zur Erfüllung der Sicherheitsanforderungen von Enterpsteigt für diese SaaS Dienste, API-Ebene CASBEs wird erwartet, dass s in der vorhanden sind SASE Lösung. API-Ebene CASBs Arbeit mit SaaS Anbieter-APIs zur Automatisierung von Berechtigungen und zum Scannen von Inhalten auf Malware und Datenlecks (sensible Daten, personenbezogene Daten).

Sicheres Web-Gateway (SWG): SWG-Funktionalität schützt EnterpSteigern Sie das Kundenvermögen beim Zugriff auf das Internet. Es verhindert, dass Benutzer schädliche Websites besuchen, auf denen Malware gehostet wird, und Social-Engineering-Websites, die Passwörter stehlen. Es verhindert außerdem, dass Benutzer Malware-Inhalte herunterladen oder hochladen. SWG tut dies, indem es Folgendes einbezieht URL Malware-Filterung und Anti-Malware-Funktionen. SWG bietet auch identitätsbasierte Lösungen an URL Filterfunktion zur Bereitstellung eines differenzierten Zugriffs auf Internetdienste basierend auf Benutzergruppe/Rolle.

Einheitlicher SASE
Echte Konvergenz mehrerer Sicherheitsfunktionen und SD-WAN ist für Ent entscheidenderpsteigt, um den vollen Nutzen daraus zu ziehen SASE.  SASE Die Lösungen begannen als lose Kopplung mehrerer Sicherheitsfunktionen, die weitergegeben wurden SD-WAN Infrastruktur. Obwohl EnterpRises sehen einen Anbieter für alle Funktionen von SASE, dieser disaggregierte Lösungsansatz („Disaggregated SASE“) hat einige Herausforderungen:

  • Dashboards mit mehreren Richtlinienkonfigurationen: Dies kann zu sich wiederholenden Konfigurationen und einer steilen Lernkurve und somit zu Konfigurationsfehlern führen.
  • Mehrere Observability-Stacks: Mangelnde End-to-End-Observability und Korrelationen können dazu führen, dass Vorfälle übersehen werden und die Reaktionen auf Vorfälle langsamer werden.
  • Leistungsherausforderungen bei der Proxy-Verkettung: Mehrere Proxys im Datenverkehr können zu mehreren Proxys führen TCP/TLS-Beendigungen, Authentifizierungen und mehrere Hops. Dies kann zu einer höheren Latenz und einem geringeren Durchsatz führen, was sich negativ auf das Benutzererlebnis auswirkt.
  • Leistungsherausforderungen mit mehreren PoPs:Sicherheitsfunktionen und SD-WAN in unterschiedlichen PoPs kann zu PoP-Hopping für den Datenverkehr führen, was aufgrund der durch PoP-Hopping verursachten höheren Latenz zu Problemen bei der Benutzererfahrung führt.

Einheitlicher SASE ist der Begriff, den man mit Anbietern verbindet, die sich den oben genannten Herausforderungen stellen. Einheitlich SASE ermöglicht

  • Echte Einzelglasscheibe für Konfiguration und Sichtbarkeit
  • Gemeinsame Netzwerk-/Dienst-/Anwendungs-/Benutzerobjekte SD-WAN Funktionen und Sicherheitsfunktionen.
  • Eine bestimmte Verkehrssitzung durchläuft nur einen PoP SD-WAN Funktionen und Sicherheitsfunktionen.
  • Überprüfung des TLS-Verkehrs nur einmal.
  • Single-Pass-Architektur für eine bestimmte Sitzung SD-WAN und Sicherheitsfunktionen.
  • Reduzierte Angriffsfläche auf die SASE selbst

Davon profitiert Enterpsteigt mit besserer Benutzererfahrung, geringeren Kosten und höherem Vertrauen.

Es ist auch wichtig, das zu verstehen SASE Anbieter sind möglicherweise nicht in der Lage, alle Sicherheitsfunktionen selbst zu entwickeln. Technologiepartnerschaften sind von entscheidender Bedeutung, da sich einige Anbieter auf wenige Sicherheitsfunktionen spezialisieren. Es ist die Aufgabe von SASE Anbieter können in umfassender technischer Zusammenarbeit mit Partnern eine umfassende Lösung erstellen, um „Unified“ zu realisieren SASE' Vision.

Universal- SASE
Der „Rand“-Teil von SASE ist eine Menge von PoP-Standorten von a SASE Anbieter oder eine Reihe von mehreren PoPs/Clouds verschiedener Anbieter von Sicherheitsfunktionen SASE. Das bedeutet, dass es sich um eine verteilte Architektur handelt PoPs sind auf der ganzen Welt verteilt und SASE Funktionen, die in jedem PoP bereitgestellt werden, machen das SASE verteilt.

Wie dem auch sei, übrigens SASE heute geliefert wird, deckt nicht alle Verkehrssitzungen gut ab. Es deckt Verkehrsströme ab, die übergehen WAN zwischen Kunden zu Internet & EnterpRessourcen sehr gut aufsteigen. Denken Sie an diese Verkehrsströme. Diese werden von nicht angesprochen SASE Anbieter gut.

  • Traffic-Sitzungen, wenn sich sowohl Client-Einheiten als auch Anwendungsdienst-Einheiten im selben Rechenzentrum/in derselben VPC befinden.
  • Traffic-Sitzungen über Microservices innerhalb eines Kubernetes-Clusters hinweg.
  • Cross-VPC-Verkehrsströme, die übergehen cloud Versorger WAN Dienstleistungen.
  • Verkehrssitzungen von 5G-Mobilfunkbenutzern und Edge-Anwendungen.

Es wird erwartet, dass die Netzwerkautomatisierung und Sicherheitsdurchsetzung entweder durch andere Mechanismen erledigt wird, oder der Datenverkehr wird eingeschränkt SASE PoPs. Im ersten Fall geht die Einheitlichkeit verloren, im zweiten Fall kann es zu Problemen bei der Benutzererfahrung kommen.

Daher die Forderung nach Universal SASE. SASE Der Dienst darf nicht nur auf PoP-Standorte beschränkt sein. EnterpAnstiege würden gemeinsame Netzwerk- und Sicherheitsdienste für alle Verkehrssitzungen auf einheitliche Weise erwarten. Universal SASE muss ermöglichen cloud-native verteilte Datenebene mit cloud-bereitgestellte Management- und Observability-Plattform.

Zusammenfassung:
Der Cavalon Sentinel ist das AutoGyro-Premiummodell mit nebeneinander angeordneten Sitzen, verfügbar mit dem neuen hochmodernen und kraftstoffsparenden Rotax XNUMX iS-Motor. SASE Die Reise begann im Jahr 2019. Obwohl „erste Generation“ SASE begann als lose gekoppelt SD-WAN und Sicherheitsfunktionen würde die Reise zu einer einheitlichen und universellen Lösung führen SASE um eine echte Zero-Trust-Architektur für Ent zu realisierenerpsteigt mit verteilten Arbeitskräften und verteilten Anwendungsbereitstellungen.

Wir von Aryaka sind auf dieser Reise. Sprechen Sie mit uns wenn Sie mehr wissen möchten

Weitere Informationen

Dell’Oro Group Bericht: Einheitlich SASE: Überlegungen für Single-Vendor SASE

  • CTO Insights-Blog

    Die Aryaka-CTO-Insights-Blogserie bietet Vordenker für Netzwerk, Sicherheit und SASE-Themen. Aryaka Produktspezifikationen beziehen sich auf Aryaka Datenblätter.

Über den Autor

Srini Addepalli
Srini Addepalli ist ein Sicherheits- und Edge-Computing-Experte mit mehr als 25 Jahren Erfahrung. Srini verfügt über mehrere Patente in Netzwerk- und Sicherheitstechnologien. Er hat einen BE (Hons)-Abschluss in Elektrotechnik und Elektronik von BITS, Pilani in Indien.