為了更好地理解云原生的重要性，Cato Networks公司首席執(zhí)行官Shlomo Kramer對(duì)此進(jìn)行了探討，他為該公司從頭開(kāi)始創(chuàng)建安全訪問(wèn)服務(wù)邊緣(SASE)服務(wù)以進(jìn)行云交付。

Gartner公司去年創(chuàng)造了安全訪問(wèn)服務(wù)邊緣(SASE)這一術(shù)語(yǔ)，您對(duì)其定義是否認(rèn)同?

[[321598]]

Kramer：我對(duì)此表示認(rèn)同。Cato Networks公司創(chuàng)建安全訪問(wèn)服務(wù)邊緣(SASE)服務(wù)是融合網(wǎng)絡(luò)傳輸和網(wǎng)絡(luò)安全并將其作為云計(jì)算服務(wù)交付的愿景。關(guān)于為什么需要安全訪問(wèn)服務(wù)邊緣(SASE)的爭(zhēng)論本質(zhì)上在于拓?fù)浞矫?，因?yàn)榱髁磕Ｊ揭呀?jīng)更改。網(wǎng)絡(luò)流量過(guò)去一直是內(nèi)向的，因?yàn)槿藗兪褂闷髽I(yè)的工作站并連接到位于企業(yè)數(shù)據(jù)中心的應(yīng)用程序。

這意味著安全性實(shí)際上是圍繞軟核放置的“硬殼”。在邊緣計(jì)算提供了安全性，并保護(hù)了其后面的所有物理設(shè)施。如今，流量模式已經(jīng)改變，安全性需要在所有地方得到應(yīng)用。應(yīng)用程序都在AWS公共云和內(nèi)部部署環(huán)境中構(gòu)建，而工作人員則在辦公室、家中、酒店或任何地方。因此，現(xiàn)在企業(yè)資產(chǎn)無(wú)處不在，因此這種安全性不再起作用。其安全性必須有所不同，并且必須集成到各處，因此認(rèn)同安全訪問(wèn)服務(wù)邊緣(SASE)這個(gè)概念。

MPLS和安全設(shè)備等傳統(tǒng)技術(shù)還有哪些其他挑戰(zhàn)?

Kramer：多協(xié)議標(biāo)簽交換(MPLS)的問(wèn)題有很好的文檔記錄，因此，不用在這個(gè)主題上花費(fèi)太多時(shí)間，很多公司都希望擺脫多協(xié)議標(biāo)簽交換(MPLS)，這是因?yàn)槠涑杀靖?、部署時(shí)間長(zhǎng)，以及缺乏敏捷性。多協(xié)議標(biāo)簽交換(MPLS)對(duì)移動(dòng)用戶(hù)或云計(jì)算連接沒(méi)有任何作用，因此組織需要部署VPN服務(wù)器、云互連和其他技術(shù)以連接其公司的所有資源。

在安全方面，分支機(jī)構(gòu)一直是一個(gè)巨大的問(wèn)題，被業(yè)界視為唯一可能的解決方案。設(shè)備需要采購(gòu)、部署、維護(hù)、升級(jí)和淘汰。所有這一切都需要時(shí)間和努力。它們需要相互融合，這需要更多的時(shí)間和技能。大多數(shù)設(shè)備是通過(guò)單獨(dú)的管理控制臺(tái)進(jìn)行管理的，這使操作變得復(fù)雜而富有挑戰(zhàn)性。隨著時(shí)間的推移，將添加更多設(shè)備，從而提高了復(fù)雜性級(jí)別。此外，當(dāng)流量激增或打開(kāi)太多功能時(shí)，通常需要在預(yù)算周期之外進(jìn)行升級(jí)。安全專(zhuān)家在應(yīng)用軟件修補(bǔ)程序時(shí)通常會(huì)滯后，因?yàn)楦略O(shè)備存在風(fēng)險(xiǎn)，需要仔細(xì)規(guī)劃，這會(huì)使企業(yè)面臨風(fēng)險(xiǎn)。

但對(duì)于那些希望變得更精簡(jiǎn)、更靈活的企業(yè)來(lái)說(shuō)，作為一種架構(gòu)的安全設(shè)備涉及太多的麻煩和成本。對(duì)于VNF和虛擬設(shè)備也是如此，企業(yè)仍然需要部署、管理和擴(kuò)展它們。

云原生平臺(tái)可提供什么好處?

Kramer：對(duì)于來(lái)自安全和網(wǎng)絡(luò)領(lǐng)域的Cato公司聯(lián)合創(chuàng)始人Gur Shatz和我來(lái)說(shuō)，對(duì)這些問(wèn)題很熟悉。當(dāng)我們考慮正確的架構(gòu)將向前發(fā)展時(shí)，云計(jì)算似乎是顯而易見(jiàn)的選擇，人們已經(jīng)看到了云計(jì)算如何改變數(shù)據(jù)中心、服務(wù)器、存儲(chǔ)和應(yīng)用程序的市場(chǎng)。我們認(rèn)為云計(jì)算可以在安全和網(wǎng)絡(luò)方面也可以做到這一點(diǎn)。

像用于數(shù)據(jù)中心和服務(wù)器的AWS公共云一樣，我們希望創(chuàng)建一個(gè)實(shí)用程序，該實(shí)用程序可以保護(hù)整個(gè)企業(yè)(不僅是站點(diǎn))，而且還可以保護(hù)遠(yuǎn)程網(wǎng)絡(luò)、云計(jì)算數(shù)據(jù)中心、云計(jì)算應(yīng)用程序和第三方設(shè)備，并使其聯(lián)網(wǎng)。我們希望企業(yè)利用這一實(shí)用工具，并立即獲得整個(gè)組織的所有高級(jí)安全和網(wǎng)絡(luò)服務(wù)。這就是我們將SD-WAN設(shè)備稱(chēng)為“Cato插座”的原因，就像電源插座一樣。該愿景與安全訪問(wèn)服務(wù)邊緣(SASE)定義相符。

我們將涉及安全和網(wǎng)絡(luò)的“繁重工作”轉(zhuǎn)移到一個(gè)全球性的、分布式的、云端原生軟件平臺(tái)，而不是使用設(shè)備。對(duì)于云原生軟件，這意味著幾件事情。我們實(shí)際上對(duì)于這個(gè)主題通過(guò)博客文章討論了云原生的價(jià)值。這有許多好處，特別是多租戶(hù)正在改變游戲規(guī)則。這使得云計(jì)算提供商可以分?jǐn)偲湔麄€(gè)客戶(hù)群的成本，從而使他們能夠以客戶(hù)購(gòu)買(mǎi)設(shè)備所無(wú)法比擬的價(jià)格交付產(chǎn)品。

該平臺(tái)運(yùn)行單通道、安全和網(wǎng)絡(luò)堆棧，該堆棧并行執(zhí)行所有安全檢查。數(shù)據(jù)包由我們的軟件傳入、解包和解密，然后在發(fā)送數(shù)據(jù)包之前并行執(zhí)行所有必要的安全檢查。與當(dāng)今的電器工作方式相比，這是一個(gè)令人難以置信的變化。如今，每個(gè)設(shè)備都必須對(duì)數(shù)據(jù)包進(jìn)行解包和解密，運(yùn)行深度數(shù)據(jù)包檢查(DPI)引擎以了解數(shù)據(jù)包，應(yīng)用特定的安全檢查，并對(duì)下一個(gè)設(shè)備重新打包并重新加密。

為什么說(shuō)全球?qū)Ｓ镁W(wǎng)絡(luò)是必要的?

Kramer：對(duì)于網(wǎng)絡(luò)來(lái)說(shuō)，企業(yè)始終需要可預(yù)測(cè)的低延遲性能。使用寬帶時(shí)，如今的全球互聯(lián)網(wǎng)路由根本不可能做到這一點(diǎn)。盡管即使在全球互聯(lián)網(wǎng)區(qū)域內(nèi)，跨全球路由或全球互聯(lián)網(wǎng)欠發(fā)達(dá)區(qū)域的不可預(yù)測(cè)延遲問(wèn)題也是眾所周知的，但我們已經(jīng)看到特定的路由存在問(wèn)題。

如何克服多協(xié)議標(biāo)簽交換(MPLS)的延遲和全球連接成本?我們的答案是利用全球IP連接中的大規(guī)模擴(kuò)展。通過(guò)購(gòu)買(mǎi)跨多個(gè)IP骨干網(wǎng)的大規(guī)模批發(fā)服務(wù)等級(jí)協(xié)議(SLA)支持的容量，然后在網(wǎng)絡(luò)中的每一躍點(diǎn)動(dòng)態(tài)選擇最佳的骨干網(wǎng)，我們能夠以多協(xié)議標(biāo)簽交換(MPLS)成本的一小部分提供全球低延遲連接。

SASE行業(yè)目前有很多初創(chuàng)企業(yè)和較小的供應(yīng)商。為什么大型企業(yè)在努力做出這一轉(zhuǎn)變?

Kramer：我認(rèn)為這種轉(zhuǎn)變很明顯，但是現(xiàn)有的基于設(shè)備的解決方案根本無(wú)法轉(zhuǎn)換為云原生的解決方案。重新設(shè)計(jì)云平臺(tái)需要在研發(fā)上進(jìn)行大量投資，這將以犧牲現(xiàn)有的和非常成功的產(chǎn)品線為代價(jià)，因此，除了工程設(shè)計(jì)之外，還需要克服內(nèi)部沖突。

這就是為什么所說(shuō)的大公司受到安全訪問(wèn)服務(wù)邊緣(SASE)威脅的原因。我們都認(rèn)識(shí)到安全訪問(wèn)服務(wù)邊緣(SASE)的價(jià)值，但要實(shí)現(xiàn)這一目標(biāo)，許多已建立的解決方案提供商需要中斷其現(xiàn)有業(yè)務(wù)，這不容易做到。

在行業(yè)中，我們看到供應(yīng)商試圖通過(guò)將其解決方案重新命名為安全訪問(wèn)服務(wù)邊緣(SASE)產(chǎn)品來(lái)利用安全訪問(wèn)服務(wù)邊緣(SASE)。為了讓IT人員分辨出安全訪問(wèn)服務(wù)邊緣(SASE)平臺(tái)的真假，采用試金石測(cè)試很簡(jiǎn)單：如果其重點(diǎn)在設(shè)備中，那就是安全訪問(wèn)服務(wù)邊緣(SASE)，如果提供的產(chǎn)品缺少SD-WAN，并且管理控制臺(tái)不止一個(gè)，那么這不是安全訪問(wèn)服務(wù)邊緣(SASE)。