SASE(安全访问服务边缘)与SD-WAN两种技术的差异性分析

安全访问服务边缘(SASE)和SD-WAN是两种不同的网络技术,旨在将地理上不同的端点连接到数据源和应用程序资源。

SD-WAN是软件定义网络(SDN)的应用程序,它使用虚拟化网络覆盖层连接和远程管理分支机构。重点放在将这些分支机构连接回中央专用网络上。虽然SD-WAN可以适应连接到云,但它并不是以云为中心构建的。

另一方面,SASE专注于云,并且拥有分布式架构。SASE不再关注于将分支机构连接到中心网络,而是专注于将单个端点(无论是分支机构、单个用户还是单个设备)连接到服务边缘。服务边缘由一个分布式节点(POP)网络组成,SASE软件堆栈在其中运行。此外,SASE还将重点放在bakein安全性上(因此其名称中的“安全访问”部分)。

这就像是通过内部网共享文件和通过谷歌硬盘共享文件的区别。两种方法都力求达到相同的最终目标,但这两种方法截然不同。

SD-WAN是一个成熟的市场,总体上持续增长,尽管COVID-19大流行确实阻碍了它的发展。SASE相对较新,因为它是研究机构Gartner在2019年提出的一个术语。尽管SASE市场刚刚起步,但许多供应商开始以自己的SASE或SASE类服务进入市场。

SASE和SD-WAN之间的差异可归纳为三类:

  • 他们与云的关系
  • 安全和网络工具所在的位置
  • 如何进行交通检查

一、SASE、SD-WAN和云

SASE使用以下一个或多个:私有数据中心、公共云和托管设施。SASE架构的存在形成了这些服务栈的边缘。此外,这些pop通常位于公共云中,或者靠近公共云网关,以实现对云资源的低延迟安全访问。无论哪个节点有足够的资源来满足用户的请求,都是流量的去向。SASE软件可以确定流量在到达其端点时使用的最佳路径。分布式体系结构不同于SD-WAN以其组织的数据中心为中心的本质。Gartner认为,当云服务越来越多地被使用时,将单一的私有数据中心作为网络的焦点会导致效率低下。

有一些SD-WAN产品可与云一起使用。然而,云集成更多的是SD-WAN的一个特性,而不是一个关键组件。在支持云的SD wan中,用户通过互联网连接到虚拟云网关,使网络更易于访问,并支持云原生应用程序。这与SASE方法非常相似。

二、安全和联网决策的位置

SASE的重点是为网络及其用户提供对分布式资源的安全访问。这些资源可以分布在私有数据中心、托管设施和云上。因此,安全性和网络决策都被纳入了相同的安全工具中。SASE产品具有作为安全代理驻留在用户设备中的安全工具,以及作为云本地软件堆栈驻留在云中的安全工具。例如,安全代理可以包含安全的web网关,供应商的云可以包含防火墙即服务。在分支机构或其他人员聚集的地方,SASE设备是常见的,以保护打印机等无代理设备的安全。

SD-WAN技术的设计并不是以安全为重点的。安全性通常通过辅助功能或第三方供应商提供。虽然一些SD-WAN解决方案确实在安全性方面取得了成功,但这并不是大多数。SD-WAN的中心目标是将地理位置不同的办公室相互连接并连接到一个中央总部,具有对不同网络条件的灵活性和适应性。在SD-WAN中,安全工具通常位于CPE的办公室,而不是设备本身。SD-WAN中的网络决策是在分布在整个网络中的虚拟化网络设备中做出的。

三、SASE vs SD-WAN流量检查

在SASE网络中,流量一旦打开,并由多个策略引擎同时检查。两个引擎并行运行,没有经过它们之间的流量。这节省了时间,因为在从一个安全功能传递到下一个安全功能时,不会像SD-WAN那样重复访问流量。此外,这些策略引擎与SD-WAN中的安全工具一样多,甚至更多。

SD-WAN使用服务链。服务链是指一次一个安全功能一个接一个地检查流量。这些单独的功能处理一种类型的威胁,称为节点解决方案。每个节点解决方案打开流量,检查它,关闭它,然后将其转发到下一个节点解决方案,直到流量通过所有节点解决方案。

四、两种网络技术的相似性

尽管服务于相似的目的,SASE和SD-WAN在架构上没有太多相似之处。一些更高层次的相似之处包括它们如何既是广域网又是它们的虚拟化基础设施。

SD-WAN和SASE都是为了覆盖一个大的地理区域而设计的。不同之处在于基础设施。SASE的基础设施有私有数据中心、托管设施或充当端点的云。这些是网络、优化和安全功能运行的地方。在SD-WAN中,这些功能在分支机构和总部的机箱中运行。SASE和SD-WAN都可以从任何地方进行控制。在SD-WAN的情况下,DIY方法通常将控制权置于组织的总部,托管解决方案将由服务提供商远程控制,而共同管理解决方案类似于托管解决方案,但组织通过门户具有一定的控制权

尽管这两个基础设施的格式不同,但它们仍然是虚拟化的。SD-WAN和SASE不像非虚拟化WAN那样依赖于固定功能的专有设备。如前所述,SASE在云或其他数据中心以及安全代理中运行安全和网络功能。对于SD-WAN,网络节点和CPE都是软件定义的。换言之,软件的功能是运行的。

五、供应商如何销售SASE和SD-WAN

SASE仍然是一种新兴技术。为了反映这一点,许多供应商开始在其SD-WAN解决方案之外提供SASE解决方案,或者至少声称他们拥有的是SASE。例如,Cisco、VMwareVelocloud和OpenSystems都在实践这一点;还有许多其他公司。

还有一些其他组织已经将他们的资源更多地用于开发和部署SD-WAN上的SASE服务。例如,Palo Alto和Cato Networks。

六、SASE vs SD-WAN:关键要点

  1. SASE和SD-WAN是两种不同的网络技术,它们使用不同的方式达到相似的目的。
  2. 这两种技术都旨在以灵活和适应性强的方式连接地理上分布的组织。
  3. SASE网络专注于提供云本地安全工具,并将云作为网络的中心。
  4. SD-WAN技术专注于将办公室连接到中央总部和数据中心,不过它也可以将用户直接连接到云。
weinxin
DC Farm小程序二维码
扫一扫添加博客小程序
Jim

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: