當(dāng)我讀到只有不到 20% 的 IT 專業(yè)人士表示他們的組織可以正確監(jiān)控公共云基礎(chǔ)設(shè)施時(shí)，這讓我想起了我與全球網(wǎng)絡(luò)經(jīng)理進(jìn)行的反復(fù)出現(xiàn)的網(wǎng)絡(luò)可見性對(duì)話。云工作負(fù)載的動(dòng)態(tài)和分布式特性加上移動(dòng)勞動(dòng)力使得避免影子 IT 和實(shí)現(xiàn)網(wǎng)絡(luò)流的精細(xì)可見性對(duì)許多企業(yè)來(lái)說(shuō)具有挑戰(zhàn)性。

傳統(tǒng)的 VPN 解決方案可為移動(dòng)和遠(yuǎn)程員工提供連接，但幾乎無(wú)法實(shí)現(xiàn)相同的可見性和可能的本地控制。將流量路由回公司總部進(jìn)行審計(jì)并不是一個(gè)切實(shí)可行的解決方案。這樣做會(huì)削弱性能并限制云和移動(dòng)首先帶來(lái)的好處。對(duì)于企業(yè)來(lái)說(shuō)幸運(yùn)的是，基于云的 SD-WAN 通過(guò)在全球范圍內(nèi)、本地和云中實(shí)現(xiàn)安全、受監(jiān)控和策略執(zhí)行的 WAN 連接來(lái)解決這個(gè)問題，而不會(huì)犧牲性能。

但是，究竟是什么讓基于云的 SD-WAN 與眾不同呢？在我們回答這個(gè)問題之前，讓我們仔細(xì)看看網(wǎng)絡(luò)可見性并探索云和移動(dòng)帶來(lái)的挑戰(zhàn)。

定義網(wǎng)絡(luò)可見性

網(wǎng)絡(luò)可見性是收集和分析網(wǎng)絡(luò)內(nèi)和整個(gè)網(wǎng)絡(luò)的流量。在最細(xì)粒度上，企業(yè)可能會(huì)努力實(shí)現(xiàn)數(shù)據(jù)包、用戶和應(yīng)用程序級(jí)別的可見性。換句話說(shuō)，網(wǎng)絡(luò)可見性是企業(yè)通常希望從網(wǎng)絡(luò)和安全監(jiān)控工具中獲得的。

精細(xì)的網(wǎng)絡(luò)可見性為企業(yè)帶來(lái)了諸多好處。借助深入的網(wǎng)絡(luò)可見性，組織可以通過(guò)更嚴(yán)格的策略執(zhí)行、快速檢測(cè)惡意行為和減少影子 IT 來(lái)提高安全性。此外，網(wǎng)絡(luò)可見性可以改進(jìn)網(wǎng)絡(luò)分析和應(yīng)用程序分析。這反過(guò)來(lái)又可以實(shí)現(xiàn)更好的報(bào)告、更明智的決策制定和改進(jìn)的容量規(guī)劃。

云和移動(dòng)帶來(lái)的網(wǎng)絡(luò)可見性挑戰(zhàn)

云和移動(dòng)帶來(lái)的網(wǎng)絡(luò)可見性挑戰(zhàn)

企業(yè)在網(wǎng)絡(luò)可見性方面面臨的最大挑戰(zhàn)之一是解決云和移動(dòng)造成的盲點(diǎn)。企業(yè)很容易陷入一種安全的錯(cuò)覺，因?yàn)樗麄兛梢钥吹剿薪?jīng)過(guò) MPLS 鏈路的流量。問題是今天的企業(yè) WAN 是 MPLS、基于 Internet 的 VPN、移動(dòng)用戶和云服務(wù)的混合體。在這種情況下，傳統(tǒng)的監(jiān)控工具根本無(wú)法提供整個(gè) WAN 的可見性。

傳統(tǒng)上，SIEM（安全信息和事件管理）解決方案和網(wǎng)絡(luò)管理系統(tǒng)使 WAN 內(nèi)的網(wǎng)絡(luò)可見性成為可能，這些解決方案和網(wǎng)絡(luò)管理系統(tǒng)聚合來(lái)自多個(gè)安全和網(wǎng)絡(luò)監(jiān)控工具（例如安全設(shè)備、防火墻和端點(diǎn)傳感器）的數(shù)據(jù)包流數(shù)據(jù)。當(dāng)流量?jī)H限于 WAN 時(shí)，這些工具可以有效地工作，但當(dāng)云和移動(dòng)開始發(fā)揮作用時(shí)，它們就會(huì)開始崩潰。

例如，端點(diǎn)傳感器通常不能在移動(dòng)設(shè)備上運(yùn)行。同樣，捕獲進(jìn)出云數(shù)據(jù)中心的流量的應(yīng)用程序級(jí)可見性成為一項(xiàng)重大挑戰(zhàn)。這是因?yàn)槊總€(gè)云平臺(tái)通常都有自己的一套安全策略和協(xié)議，從而在網(wǎng)絡(luò)中形成孤島和盲點(diǎn)。事實(shí)上，傳統(tǒng)的監(jiān)控工具，如 SNMP（簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議）和許多基于代理的解決方案，根本無(wú)法在云中工作，這讓事情變得更糟。此外，由于它們會(huì)掩蓋來(lái)自網(wǎng)絡(luò)傳感器的數(shù)據(jù)，網(wǎng)絡(luò)地址轉(zhuǎn)換 (NAT) 和加密會(huì)降低傳感器的實(shí)用性，并會(huì)扼殺數(shù)據(jù)包檢查工作。

傳統(tǒng)網(wǎng)絡(luò)可見性和數(shù)據(jù)包檢測(cè)方法的另一個(gè)缺點(diǎn)是它與物理或虛擬站點(diǎn)特定設(shè)備相關(guān)聯(lián)，例如下一代防火墻 (NGFW)、安全 Web 網(wǎng)關(guān) (SWG) 和統(tǒng)一威脅管理 (UTM) 設(shè)備. WAN 中的每個(gè)位置都需要自己的一套設(shè)備，這些設(shè)備必須進(jìn)行采購(gòu)、配置和維護(hù)。另一種方法是將所有流量回傳到 WAN 上的一個(gè)中央位置進(jìn)行檢查，這會(huì)產(chǎn)生延遲并影響性能。

因此，基于設(shè)備的網(wǎng)絡(luò)可見性和安全性方法的擴(kuò)展性很差。企業(yè)擁有的設(shè)備越多，網(wǎng)絡(luò)就越復(fù)雜。設(shè)備本身也有容量限制，限制了在不升級(jí)硬件的情況下可以檢查和分析的流量。此外，不僅必須配置和部署設(shè)備，還必須維護(hù)、修補(bǔ)并最終更換設(shè)備。隨著企業(yè)的發(fā)展，這可能會(huì)變成具有不同配置、固件版本和策略的應(yīng)用程序拼湊而成。結(jié)果是有限的網(wǎng)絡(luò)可見性和站點(diǎn)之間的疏忽或策略偏差造成的潛在安全漏洞。

然而，將現(xiàn)代企業(yè)面臨的網(wǎng)絡(luò)可見性挑戰(zhàn)概念化的最佳方法可能是考慮將移動(dòng)用戶安全連接到云中資源的任務(wù)。在這種情況下，如果企業(yè)希望獲得一定程度的數(shù)據(jù)流可見性，移動(dòng)用戶傳統(tǒng)上必須通過(guò) VPN 連接回本地設(shè)備以進(jìn)行審計(jì)和檢查。然后，流量被路由到本地互聯(lián)網(wǎng)接入點(diǎn)或通過(guò)廣域網(wǎng)到達(dá)集中且安全的互聯(lián)網(wǎng)接入點(diǎn)，然后再到達(dá)其在云中的目的地。這種方法會(huì)對(duì)性能產(chǎn)生重大影響，使其對(duì)大多數(shù)企業(yè)沒有吸引力。

這是調(diào)查的超過(guò)一半的企業(yè)表示他們讓移動(dòng)用戶直接連接到云的原因之一。不出所料，超過(guò)一半的受訪者還表示，在為移動(dòng)用戶提供業(yè)務(wù)應(yīng)用程序訪問方面，“缺乏可見性和控制力”是他們面臨的最大挑戰(zhàn)。

基于云的 SD-WAN 如何實(shí)現(xiàn)完整的網(wǎng)絡(luò)可見性

正如我們所見，傳統(tǒng)的基于設(shè)備的方法讓企業(yè)面臨一個(gè)沒有吸引力的權(quán)衡：犧牲性能以獲得一定程度的安全性和可見性，或者以性能的名義犧牲網(wǎng)絡(luò)可見性。Cato 基于云的 SD-WAN 通過(guò)將范式從綁定到物理位置的基于設(shè)備的方法轉(zhuǎn)移開來(lái)解決了這個(gè)問題。

Cato Cloud 與眾不同的原因在于其全球 SLA 支持的私有骨干網(wǎng)和將安全性和監(jiān)控融入網(wǎng)絡(luò)的云原生網(wǎng)絡(luò)基礎(chǔ)設(shè)施。主干網(wǎng)由全球 45 個(gè)以上的存在點(diǎn) (PoP) 組成，Cato 力求在任何 Cato 用戶的 25 毫秒內(nèi)擁有一個(gè) PoP。在 Cato Cloud 中，云原生網(wǎng)絡(luò)基礎(chǔ)設(shè)施提供了過(guò)去需要獨(dú)立的本地設(shè)備的網(wǎng)絡(luò)安全和監(jiān)控功能。

與通過(guò)本地設(shè)備路由網(wǎng)絡(luò)流量相反，移動(dòng)用戶可以使用 Cato 的移動(dòng)客戶端連接到 Cato Cloud。這可實(shí)現(xiàn)與云應(yīng)用程序和 WAN 資源的安全且優(yōu)化的移動(dòng)連接。移動(dòng)用戶獲得與本地用戶相同的保護(hù)和性能。

IT 也受益于這種基于云的 WAN 連接方法。借助 Cato Cloud，可以降低網(wǎng)絡(luò)復(fù)雜性，同時(shí)提高網(wǎng)絡(luò)可見性，從而簡(jiǎn)化操作并增強(qiáng)安全性。使這成為可能的功能包括：

下一代防火墻 (NGFW)

Cato 的內(nèi)置NGFW功能無(wú)需部署多個(gè)設(shè)備即可實(shí)現(xiàn)應(yīng)用程序級(jí)網(wǎng)絡(luò)流量感知。與本地設(shè)備不同，Cato 的 NGFW 為企業(yè)提供了無(wú)限可擴(kuò)展性和完整流量檢查的優(yōu)勢(shì)，而無(wú)需強(qiáng)制升級(jí)。

身份感知路由

除了啟用業(yè)務(wù)流程、QoS（服務(wù)質(zhì)量）和高級(jí)策略抽象外，Cato 革命性的身份感知路由引擎還使以業(yè)務(wù)為中心的網(wǎng)絡(luò)可見性成為可能。IT 可以查看站點(diǎn)、組、主機(jī)和用戶級(jí)別的活動(dòng)和網(wǎng)絡(luò)流量，以改進(jìn)網(wǎng)絡(luò)規(guī)劃。

托管威脅檢測(cè)和響應(yīng) (MDR)

Cato 的MDR通過(guò)收集所有 WAN 和 Internet 流的完整元數(shù)據(jù)而無(wú)需部署任何網(wǎng)絡(luò)探測(cè)器，從而為企業(yè)提供零足跡網(wǎng)絡(luò)可見性。

編譯自：CATO   原文作者：戴夫格林菲爾德