當我讀到只有不到 20% 的 IT 專業(yè)人士表示他們的組織可以正確監(jiān)控公共云基礎(chǔ)設(shè)施時,這讓我想起了我與全球網(wǎng)絡(luò)經(jīng)理進行的反復(fù)出現(xiàn)的網(wǎng)絡(luò)可見性對話�����。云工作負載的動態(tài)和分布式特性加上移動勞動力使得避免影子 IT 和實現(xiàn)網(wǎng)絡(luò)流的精細可見性對許多企業(yè)來說具有挑戰(zhàn)性�。
傳統(tǒng)的 VPN 解決方案可為移動和遠程員工提供連接�����,但幾乎無法實現(xiàn)相同的可見性和可能的本地控制�。將流量路由回公司總部進行審計并不是一個切實可行的解決方案。這樣做會削弱性能并限制云和移動首先帶來的好處����。對于企業(yè)來說幸運的是,基于云的 SD-WAN 通過在全球范圍內(nèi)��、本地和云中實現(xiàn)安全����、受監(jiān)控和策略執(zhí)行的 WAN 連接來解決這個問題��,而不會犧牲性能���。
【資料圖】
但是,究竟是什么讓基于云的 SD-WAN 與眾不同呢����?在我們回答這個問題之前,讓我們仔細看看網(wǎng)絡(luò)可見性并探索云和移動帶來的挑戰(zhàn)���。
定義網(wǎng)絡(luò)可見性
網(wǎng)絡(luò)可見性是收集和分析網(wǎng)絡(luò)內(nèi)和整個網(wǎng)絡(luò)的流量�。在最細粒度上�����,企業(yè)可能會努力實現(xiàn)數(shù)據(jù)包�����、用戶和應(yīng)用程序級別的可見性����。換句話說����,網(wǎng)絡(luò)可見性是企業(yè)通常希望從網(wǎng)絡(luò)和安全監(jiān)控工具中獲得的�。
精細的網(wǎng)絡(luò)可見性為企業(yè)帶來了諸多好處。借助深入的網(wǎng)絡(luò)可見性�,組織可以通過更嚴格的策略執(zhí)行、快速檢測惡意行為和減少影子 IT 來提高安全性���。此外����,網(wǎng)絡(luò)可見性可以改進網(wǎng)絡(luò)分析和應(yīng)用程序分析��。這反過來又可以實現(xiàn)更好的報告�����、更明智的決策制定和改進的容量規(guī)劃����。
云和移動帶來的網(wǎng)絡(luò)可見性挑戰(zhàn)
云和移動帶來的網(wǎng)絡(luò)可見性挑戰(zhàn)
企業(yè)在網(wǎng)絡(luò)可見性方面面臨的最大挑戰(zhàn)之一是解決云和移動造成的盲點����。企業(yè)很容易陷入一種安全的錯覺���,因為他們可以看到所有經(jīng)過 MPLS 鏈路的流量。問題是今天的企業(yè) WAN 是 MPLS��、基于 Internet 的 VPN���、移動用戶和云服務(wù)的混合體�����。在這種情況下�����,傳統(tǒng)的監(jiān)控工具根本無法提供整個 WAN 的可見性�。
傳統(tǒng)上��,SIEM(安全信息和事件管理)解決方案和網(wǎng)絡(luò)管理系統(tǒng)使 WAN 內(nèi)的網(wǎng)絡(luò)可見性成為可能���,這些解決方案和網(wǎng)絡(luò)管理系統(tǒng)聚合來自多個安全和網(wǎng)絡(luò)監(jiān)控工具(例如安全設(shè)備�����、防火墻和端點傳感器)的數(shù)據(jù)包流數(shù)據(jù)�。當流量僅限于 WAN 時,這些工具可以有效地工作��,但當云和移動開始發(fā)揮作用時�,它們就會開始崩潰。
例如����,端點傳感器通常不能在移動設(shè)備上運行。同樣���,捕獲進出云數(shù)據(jù)中心的流量的應(yīng)用程序級可見性成為一項重大挑戰(zhàn)���。這是因為每個云平臺通常都有自己的一套安全策略和協(xié)議,從而在網(wǎng)絡(luò)中形成孤島和盲點����。事實上�,傳統(tǒng)的監(jiān)控工具,如 SNMP(簡單網(wǎng)絡(luò)管理協(xié)議)和許多基于代理的解決方案���,根本無法在云中工作��,這讓事情變得更糟�����。此外�,由于它們會掩蓋來自網(wǎng)絡(luò)傳感器的數(shù)據(jù),網(wǎng)絡(luò)地址轉(zhuǎn)換 (NAT) 和加密會降低傳感器的實用性���,并會扼殺數(shù)據(jù)包檢查工作����。
傳統(tǒng)網(wǎng)絡(luò)可見性和數(shù)據(jù)包檢測方法的另一個缺點是它與物理或虛擬站點特定設(shè)備相關(guān)聯(lián)��,例如下一代防火墻 (NGFW)����、安全 Web 網(wǎng)關(guān) (SWG) 和統(tǒng)一威脅管理 (UTM) 設(shè)備. WAN 中的每個位置都需要自己的一套設(shè)備,這些設(shè)備必須進行采購�����、配置和維護�����。另一種方法是將所有流量回傳到 WAN 上的一個中央位置進行檢查,這會產(chǎn)生延遲并影響性能����。
因此,基于設(shè)備的網(wǎng)絡(luò)可見性和安全性方法的擴展性很差���。企業(yè)擁有的設(shè)備越多����,網(wǎng)絡(luò)就越復(fù)雜��。設(shè)備本身也有容量限制�����,限制了在不升級硬件的情況下可以檢查和分析的流量�����。此外��,不僅必須配置和部署設(shè)備����,還必須維護、修補并最終更換設(shè)備�����。隨著企業(yè)的發(fā)展����,這可能會變成具有不同配置、固件版本和策略的應(yīng)用程序拼湊而成�。結(jié)果是有限的網(wǎng)絡(luò)可見性和站點之間的疏忽或策略偏差造成的潛在安全漏洞。
然而���,將現(xiàn)代企業(yè)面臨的網(wǎng)絡(luò)可見性挑戰(zhàn)概念化的最佳方法可能是考慮將移動用戶安全連接到云中資源的任務(wù)���。在這種情況下,如果企業(yè)希望獲得一定程度的數(shù)據(jù)流可見性��,移動用戶傳統(tǒng)上必須通過 VPN 連接回本地設(shè)備以進行審計和檢查���。然后����,流量被路由到本地互聯(lián)網(wǎng)接入點或通過廣域網(wǎng)到達集中且安全的互聯(lián)網(wǎng)接入點���,然后再到達其在云中的目的地����。這種方法會對性能產(chǎn)生重大影響,使其對大多數(shù)企業(yè)沒有吸引力����。
這是調(diào)查的超過一半的企業(yè)表示他們讓移動用戶直接連接到云的原因之一。不出所料��,超過一半的受訪者還表示��,在為移動用戶提供業(yè)務(wù)應(yīng)用程序訪問方面��,“缺乏可見性和控制力”是他們面臨的最大挑戰(zhàn)����。
基于云的 SD-WAN 如何實現(xiàn)完整的網(wǎng)絡(luò)可見性
正如我們所見,傳統(tǒng)的基于設(shè)備的方法讓企業(yè)面臨一個沒有吸引力的權(quán)衡:犧牲性能以獲得一定程度的安全性和可見性�����,或者以性能的名義犧牲網(wǎng)絡(luò)可見性��。Cato 基于云的 SD-WAN 通過將范式從綁定到物理位置的基于設(shè)備的方法轉(zhuǎn)移開來解決了這個問題�。
Cato Cloud 與眾不同的原因在于其全球 SLA 支持的私有骨干網(wǎng)和將安全性和監(jiān)控融入網(wǎng)絡(luò)的云原生網(wǎng)絡(luò)基礎(chǔ)設(shè)施����。主干網(wǎng)由全球 45 個以上的存在點 (PoP) 組成���,Cato 力求在任何 Cato 用戶的 25 毫秒內(nèi)擁有一個 PoP。在 Cato Cloud 中���,云原生網(wǎng)絡(luò)基礎(chǔ)設(shè)施提供了過去需要獨立的本地設(shè)備的網(wǎng)絡(luò)安全和監(jiān)控功能��。
與通過本地設(shè)備路由網(wǎng)絡(luò)流量相反��,移動用戶可以使用 Cato 的移動客戶端連接到 Cato Cloud��。這可實現(xiàn)與云應(yīng)用程序和 WAN 資源的安全且優(yōu)化的移動連接�����。移動用戶獲得與本地用戶相同的保護和性能�����。
IT 也受益于這種基于云的 WAN 連接方法��。借助 Cato Cloud���,可以降低網(wǎng)絡(luò)復(fù)雜性��,同時提高網(wǎng)絡(luò)可見性���,從而簡化操作并增強安全性。使這成為可能的功能包括:
下一代防火墻 (NGFW)
Cato 的內(nèi)置NGFW功能無需部署多個設(shè)備即可實現(xiàn)應(yīng)用程序級網(wǎng)絡(luò)流量感知��。與本地設(shè)備不同��,Cato 的 NGFW 為企業(yè)提供了無限可擴展性和完整流量檢查的優(yōu)勢���,而無需強制升級����。
身份感知路由
除了啟用業(yè)務(wù)流程���、QoS(服務(wù)質(zhì)量)和高級策略抽象外�����,Cato 革命性的身份感知路由引擎還使以業(yè)務(wù)為中心的網(wǎng)絡(luò)可見性成為可能�����。IT 可以查看站點�、組、主機和用戶級別的活動和網(wǎng)絡(luò)流量�,以改進網(wǎng)絡(luò)規(guī)劃。
托管威脅檢測和響應(yīng) (MDR)
Cato 的MDR通過收集所有 WAN 和 Internet 流的完整元數(shù)據(jù)而無需部署任何網(wǎng)絡(luò)探測器����,從而為企業(yè)提供零足跡網(wǎng)絡(luò)可見性�。
編譯自:CATO 原文作者:戴夫格林菲爾德
