在近日召開的亞馬遜云科技re:Invent年度技術峰會上,亞馬遜云科技發布了全新服務AWS Cloud WAN(預覽版),Fortinet作為首批5家發布合作伙伴之一率先支持此服務,并且是能夠同時提供完善的NGFW(下一代防火墻)+SD-WAN能力的唯一廠商。
隨著企業越來越多采用公有云服務,SD-WAN的應用也迅速增長。畢竟,SD-WAN的主要用例是提供到云服務的快速和彈性連接。雖然向SD-WAN遷移是由節約成本、更快的部署速度和更多的應用控制能力驅動的,但一直以來其實在SD-WAN和MPLS(多協議標簽交換)之間存在孰優孰劣的爭議。MPLS提供了路由域和分段隔離的細粒度控制,并通過流量工程為用戶提供端到端的低延遲和高服務質量。AWS Cloud WAN的推出意味著在AWS云中首次提供了一種產品,它具有類似MPLS核心網絡的網絡性能和穩定性,同時兼具讓許多本地站點通過SD-WAN上云的靈活性優勢。
AWS Cloud WAN建立在TGWC(中轉網關)之上,允許用戶定義核心網并再進一步的劃分隔離段。每個隔離段都是一個全局同步且隔離的三層分段,類似于IP VPN或VRF,并在用戶的AWS帳戶內提供一個隔離的路由域。遠程端點通過連接到CNE(核心網絡邊緣)來連接到核心網絡(Core Network)。
在AWS Cloud WAN中,隔離段表示天然的隔離邊界,可以基于這個邊界啟用應用安全檢查。Fortinet的FortiGate NGFW虛擬化版作為策略實施點,應用零信任過濾,檢查用戶和應用流量,可以幫助組織保持隔離段的完整性。除此之外,它還提供SD-WAN功能。
FortiGate虛擬化NGFW結合AWS Cloud WAN可以為用戶提供多個隔離段之間的無縫保護的能力,包括隔離段間和出向外部連接。通過將此架構與AWS GWLB(網關負載均衡器)相結合,Fortinet可以提供靈活的、可伸縮的安全檢查,無論各個業務單元的需求如何。尤其將位于本地位置的FortiGate物理設備和AWS云中的虛擬設備與AWS Cloud WAN結合在一起,使得AWS上的混合云網絡比以往任何時候都更加安全和靈活。Fortinet在為各種規模的組織提供安全的SD-WAN和運營商級MPLS保護方面處于領先地位。
用例1:單區域的隔離段檢查
上圖描述了單個AWS區域中的多個隔離段 (AWS Cloud WAN初版不支持多區域)。如圖所示,每個隔離段可以屬于一個單獨的用戶,每個用戶又屬于單個組織的內部業務單元,或者一個MSSP(安全托管服務提供商)提供的服務。為了安全的進行Internet訪問,每個隔離段都可以訪問共享服務隔離段。一條由共享服務隔離段發布的默認路由,將應用VPC(專有網絡)的流量通過CNE 路由到安全VPC。本例中使用GWLB時,針對隔離段、用戶或應用部署檢測策略,然后將檢測策略返回到該GWLB原來的路徑。
用例2:單區域服務商外聯網
本用例擴展到了包括遠程SD-WAN設備在內,就像您正常和MPLS服務商配合的情況。在這里,SD-WAN站點通過CNE連接到AWS,類似傳統的MPLS CE-PE鏈路,隔離段中的路由可以發布到遠端站點。通過AWS安全VPC的默認路由,遠程站點可以實現類似于使用MPLS網絡的共享安全Internet訪問。在這種情況下,來自SD-WAN站點的流量將直接從FortiGate虛擬NGFW轉發到IGW(互聯網網關)。因為每個隔離段有獨立的路由實例以及在GWLB處理NTA策略,打破IP地址不能重疊的限制。同時通過FortiGate提供即插即用的安全能力。
通過支持AWS Cloud WAN, Fortinet拓展了客戶云邊緣使用場景,提供靈活、良好的架構和云原生的高級網絡安全。Fortinet的FortiGate NGFW和AWS Cloud WAN為云網絡提供了電信級的性能、安全性和可靠性,使企業能夠實現他們的數字加速目標。
