最大化 SASE 性能：“大规模”分布式执行的重要作用

在各种实体的推动下，网络安全部署架构经历着定期的演变erp上升要求。 行业近期的一些趋势概述如下：

• 最大限度地减少与 d 相关的成本和维护负担isp和多个网络安全系统。
• 实施“无处不在的零信任”要求，涵盖数据中心内的所有网络 WANs，以及 Kubernetes 集群内。
• 确保高性能（吞吐量、减少延迟和最小抖动）以增强用户体验并支持 WebRTC 等实时应用程序。
• 满足分散劳动力的需求。
• 满足以下要求 远程劳动力.
• 增加采用 SaaS 耳鼻喉科服务erp上升。
• 越来越依赖 Cloud 对于耳鼻喉科erp上升应用程序。
• 拥抱多元Cloud 部署。
• 探索边缘计算和雾计算的潜在优势。
• 难以培训或获取网络和安全角色的熟练人员。
• 最大限度地减少管理分布式办公室最后一英里互联网连接所需的资源。

遗留网络和安全架构

耳鼻喉科erp随着多个办公室和远程员工的增加，传统上会分配大量资源来采购和维护其网络和安全基础设施。 下面的简化图展示了之前采用的典型架构。

这个例子有一个enterp在世界不同地区设有两个分支机构和两个主要办事处。 为了减少安全设备的开支并减轻管理开销，所有安全实施都集中在主要办公室。 来自分支机构和远程用户的流量将被路由到附近的主要办公室以进行安全执行，然后再前往其预定目的地。 '薄的 CPE设备通常部署在分支机构中以促进这种流量隧道。

主要办公室配备 VPN 用于终止隧道的集中器、用于检测和消除漏洞的多个安全设备、实施精细的访问控制、屏蔽恶意软件并防止网络钓鱼攻击。

然而，正如流量（图中1代表的流量）所示，从分支机构到互联网站点的流量遵循发夹式路线。 这种路由可能会导致延迟增加，从而导致用户体验不佳，尤其是在分支机构和附近的主要办公室相距相当远的情况下。 一些人erpraises尝试通过采用专用链路来提高吞吐量并减少抖动，但这些解决方案成本高昂，并且无法充分解决延迟问题。

此外，管理多个网络和安全设备（每个设备都有其独特的配置和分析仪表板）也带来了挑战。 由于需要对人员进行多个接口的培训，这种复杂性可能会导致配置容易出错。

这些传统安全架构常常忽视零信任原则，更多地依赖于网络分段和 IP 地址，而不是根据用户身份验证提供基于用户的访问控制。 虽然这种方法在当时有效地发挥了作用，但远程工作场景的兴起和 NAT（网络地址传输）的广泛使用sla化）使得通过 IP 地址进行用户识别变得越来越困难。 因此，这种压力开始暴露出遗留架构的局限性。

Cloud/POP 提供的安全性

为了应对与维护本地安全基础设施、满足远程工作需求、减少与流量发夹相关的延迟以及扩大使用 cloud 和 SaaS 服务， cloud基于网络的安全解决方案已成为一种有前景的替代方案。 许多企业erp上涨已开始利用这些 cloud- 提供安全解决方案来解决这些问题，如下图所示。

安全服务通过各个存在点（POPs）由提供商提供。 耳鼻喉科erp企业可以根据办公室布局和远程劳动力的集中程度灵活选择 POP 地点。 发往任何位置的客户端流量均通过应用安全强制措施的最近的 POP 进行路由。 使用此路由可以促进 CPE 办公室中的设备和 VPN 远程用户设备上的客户端软件，减少了由于 POP 位置接近而与传统安全架构相关的延迟。

最初，业界看到来自多个供应商的安全服务，但现在已经转向单一供应商、基于统一技术的服务 cloud 安全服务。 这些统一服务提供简化的安全配置和可观察性管理，解决传统部署架构的分散安全管理问题。

虽然此设置对于发往互联网/的流量表现良好SaaS 站点，当两个通信实体位于同一站点、数据中心或 Kubernetes 集群内时，它会带来新的挑战，如流程 (4) 和 (5) 中所示。 流程 (4) 描述了同一站点内的实体之间的流量通过隧道传输到最近的 POP 位置，然后路由回来。 这样做是为了对所有流量实施安全措施，满足零信任要求。 流程 (5) 说明了两个应用程序服务之间的通信，为了满足零信任需求，这些应用程序服务从站点路由到最近的 POP 进行安全处理，然后返回到同一个 Kubernetes 集群。 此过程无意中增加了这些流的延迟，并可能不必要地将流量暴露给其他实体。

一些耳鼻喉科erp通过部署不同的本地安全设备来避免这种延迟，但这又带来了与传统部署架构相关的挑战。

POP 交付安全性的另一个挑战与性能隔离有关。 由于这些提供商向多个客户/租户提供服务，因此存在与吵闹的邻居相关的性能挑战的情况。 也就是说，其他公司的流量会影响您公司的流量表现。 这是由于来自多个公司的流量共享相同的执行上下文。

作为耳鼻喉科erp崛起寻求满足零信任要求的解决方案，提供统一的策略管理，提供性能隔离并减少发夹造成的不必要的延迟， 网络安全 业界已经发展了其部署架构来解决这些问题。 统一安全访问服务边缘（SASE），由像这样的公司提供 Aryaka，已在这一领域发挥着关键作用。

统一 SASE 具有混合和分布式安全服务

理想的架构能够减轻以前架构中的管理复杂性，满足严格的零信任要求，确保南北和东西流量具有同等级别的安全性，提供统一的策略管理，提供性能隔离，并且避免了与发夹相关的延迟问题。

统一 SASE 来自像 Aryaka 提供满足上述许多要求的架构。 请看下图。

在所描述的架构中，网络和安全实施超出了 POP/Cloud 涵盖的地点 CPE 设备，全部由同一服务提供商提供和统一管理。 该策略减轻了客户对这些设备维护的担忧 CPE 设备。

只有当这些设备遇到流量过载时，新流量才会被引导到附近的 POP 位置以进行安全执行。 重新路由到 POP 位置的流量取决于所选的 CPE 设备型号，减少回退流量。

对于来自远程访问用户的流量（如 6 所示），它遵循与以前的架构类似的路径。 来自远程用户设备的流量在到达其预期目的地之前在最近的 POP 位置经过网络和安全处理。

该架构中的流 (1) 和 (2) 绕过 POP 位置，甚至消除了 cloud- 交付的设置。

此外，站点内包含的流 (4) 和 (5) 不仅可以规避延迟开销，还可以减少攻击面。 这种本地安全实施对于像 WebRTC 这样对延迟问题敏感的实时应用程序至关重要。

对于不同站点中需要确定性、低抖动性能的应用服务，一些 SASE 提供商通过最近的 POP 位置在站点之间提供专用连接。 流 (3) 举例说明了受益于专用带宽和链路的流量，绕过互联网主干网以实现确定性抖动。

需要注意的是，并不是所有的都统一 SASE 产品是相同的。 一些 SASE 提供商仍然将所有办公室流量重定向到最近的 POP 位置，以实现网络优化和安全。 尽管它们可以减轻多个 POP 位置的延迟开销，但任何延迟的减少都对 Ent 有利erp上升，特别是在预期潜在的低延迟应用程序需求的情况下。 耳鼻喉科erp崛起的人可能会寻求优先考虑用户友好性和高级安全性而不影响性能或用户体验的解决方案。 鉴于办公室之间需要低抖动，Enterp崛起应考虑提供商在办公室之间提供绕过互联网骨干网的专用虚拟链接。

Ent 的另一个关键因素erp上升正在选择管理维护和软件更新的提供商 SASE-CPE 设备。 在传统模型中，Enterpraises承担升级和更换的责任。 为了避免这种担忧，Enterp崛起应考虑提供全面管理的白手套服务的服务提供商，覆盖整个 SASE 基础设施生命周期，包括客户驻地设备（CPE) 设备管理、配置、升级、故障排除和可观察性。 这些提供商充当一站式商店，处理网络和安全的各个方面，同时还为企业提供共同管理或自助服务选项。erp上升。

展望未来——通用和统一 SASE

虽然现有的架构框架“统一” SASE “使用分布式安全性”令人满意地满足了本文中详述的几个初始要求，还存在其他策略来增强应用程序性能而不损害安全完整性。 展望未来，我们预计安全执行和流量优化方面的进步将超越 POPs 和办公室的边缘。 这些新的架构方法将针对流程 (5) 和 (7)，特别旨在改善性能的延迟方面。

如图所示，普遍实施安全和优化的概念，特别是在流量的源头，可以产生最佳性能。

需要注意的关键流量如 (5) 和 (7) 所示。

基于微/迷你服务的应用程序架构的流行正在成为应用程序领域的标准。 这些迷你服务可以部署在 Kubernetes 集群内、跨数据中心内的集群或跨不同的地理位置。 在同一 Kubernetes 集群内存在通信服务的场景中，确保流量保留在集群内是有利的，从而可以直接在 Kubernetes 环境中应用安全性和优化。 Kubernetes 有助于将 sidecar 添加到托管微型服务的 POD。 我们预计 SASE 提供商将来将利用此功能来提供全面的安全和优化功能，在不影响性能的情况下满足零信任要求。

选择单一通用 SASE 提供者补助金erp无论通信服务的位置如何，都可以为所有安全需求提供统一的管理界面。 图中的流程 (5) 描述了通过 sidecar (SC) 进行安全执行。 值得注意的是，sidecar 在 Kubernetes 世界中并不新鲜。 服务网格技术使用类似的方法进行流量管理。 一些服务网格提供商已开始将威胁安全（例如 WAAP）集成到 sidecar 中。 考虑到服务可以与互联网和其他设备进行通信 SaaS 服务完善，保障措施必不可少。 因此，可以预见的是，服务网格和服务网格将会融合。 SASE 未来，作为恩特erp崛起寻求全面、统一的解决方案。

(7) 所示的流量是许多人考虑的因素 SASE 提供商正在探索，这不仅涉及 VPN 客户端功能但也执行 SASE 直接在端点上运行。 延伸 SASE 到端点有助于绕过与 POP 位置相关的任何延迟问题。 随着端点计算能力的增长并提供改进的控制以防止来自马里的服务拒绝cio美国实体，扩展已变得可行 SASE 对端点的强制执行。

虽然服务提供商承担了维护负担 SASE 侧面、入口erp上涨可能仍需要确保实施 SASE 在端点上不会引入新问题。 因此，应erp崛起寻求灵活性，以实现 SASE 专门针对高级用户的端点扩展。

关闭的思考

本文阐述了网络和安全的演变，描绘了从遗留系统到现代系统的过程 cloud- 交付的解决方案，统一 SASE 具有分布式执行和前瞻性的未来架构设计。

认识到解决方案产品中的差异至关重要。 耳鼻喉科erp崛起必须对服务提供商进行彻底的评估，寻求涵盖跨领域分布式执行的“即服务”解决方案 PoPs 和 CPE 设备，包括操作系统和软件升级，同时保持一致的管理实践，以维护安全性和性能。

此外，这对于耳鼻喉科来说至关重要erp优先考虑来自单一提供商的托管（或共同管理）服务。 这些服务不仅应该提供具有先进技术支持的互联网连接解决方​​案，还应该快速适应新的要求并应对新出现的威胁。 选择使用其他服务的托管服务提供商 SASE 供应商可能会导致未来增强功能的复杂化，导致托管服务和技术提供商之间的谈判时间延长。 鉴于迫切需要迅速解决问题，我相信统一 SASE 来自一家提供商的全面托管服务解决方案是企业的理想选择erp上升。

• CTO 见解博客

  Aryaka CTO 见解博客系列提供网络、安全和技术方面的思想领导力 SASE 主题。 为了 Aryaka 产品规格参考 Aryaka 数据表。