當我讀到只有不到 20% 的 IT 專業人士表示他們的組織可以正確監控公共云基礎設施時,這讓我想起了我與全球網絡經理進行的反復出現的網絡可見性對話。云工作負載的動態和分布式特性加上移動勞動力使得避免影子 IT 和實現網絡流的精細可見性對許多企業來說具有挑戰性。
傳統的 VPN 解決方案可為移動和遠程員工提供連接,但幾乎無法實現相同的可見性和可能的本地控制。將流量路由回公司總部進行審計并不是一個切實可行的解決方案。這樣做會削弱性能并限制云和移動首先帶來的好處。對于企業來說幸運的是,基于云的 SD-WAN 通過在全球范圍內、本地和云中實現安全、受監控和策略執行的 WAN 連接來解決這個問題,而不會犧牲性能。
但是,究竟是什么讓基于云的 SD-WAN 與眾不同呢?在我們回答這個問題之前,讓我們仔細看看網絡可見性并探索云和移動帶來的挑戰。
定義網絡可見性
網絡可見性是收集和分析網絡內和整個網絡的流量。在最細粒度上,企業可能會努力實現數據包、用戶和應用程序級別的可見性。換句話說,網絡可見性是企業通常希望從網絡和安全監控工具中獲得的。
精細的網絡可見性為企業帶來了諸多好處。借助深入的網絡可見性,組織可以通過更嚴格的策略執行、快速檢測惡意行為和減少影子 IT 來提高安全性。此外,網絡可見性可以改進網絡分析和應用程序分析。這反過來又可以實現更好的報告、更明智的決策制定和改進的容量規劃。
云和移動帶來的網絡可見性挑戰
云和移動帶來的網絡可見性挑戰
企業在網絡可見性方面面臨的最大挑戰之一是解決云和移動造成的盲點。企業很容易陷入一種安全的錯覺,因為他們可以看到所有經過 MPLS 鏈路的流量。問題是今天的企業 WAN 是 MPLS、基于 Inte.NET 的 VPN、移動用戶和云服務的混合體。在這種情況下,傳統的監控工具根本無法提供整個 WAN 的可見性。
傳統上,SIEM(安全信息和事件管理)解決方案和網絡管理系統使 WAN 內的網絡可見性成為可能,這些解決方案和網絡管理系統聚合來自多個安全和網絡監控工具(例如安全設備、防火墻和端點傳感器)的數據包流數據。當流量僅限于 WAN 時,這些工具可以有效地工作,但當云和移動開始發揮作用時,它們就會開始崩潰。
例如,端點傳感器通常不能在移動設備上運行。同樣,捕獲進出云數據中心的流量的應用程序級可見性成為一項重大挑戰。這是因為每個云平臺通常都有自己的一套安全策略和協議,從而在網絡中形成孤島和盲點。事實上,傳統的監控工具,如 SNMP(簡單網絡管理協議)和許多基于代理的解決方案,根本無法在云中工作,這讓事情變得更糟。此外,由于它們會掩蓋來自網絡傳感器的數據,網絡地址轉換 (NAT) 和加密會降低傳感器的實用性,并會扼殺數據包檢查工作。
傳統網絡可見性和數據包檢測方法的另一個缺點是它與物理或虛擬站點特定設備相關聯,例如下一代防火墻 (NGFW)、安全 Web 網關 (SWG) 和統一威脅管理 (UTM) 設備. WAN 中的每個位置都需要自己的一套設備,這些設備必須進行采購、配置和維護。另一種方法是將所有流量回傳到 WAN 上的一個中央位置進行檢查,這會產生延遲并影響性能。
因此,基于設備的網絡可見性和安全性方法的擴展性很差。企業擁有的設備越多,網絡就越復雜。設備本身也有容量限制,限制了在不升級硬件的情況下可以檢查和分析的流量。此外,不僅必須配置和部署設備,還必須維護、修補并最終更換設備。隨著企業的發展,這可能會變成具有不同配置、固件版本和策略的應用程序拼湊而成。結果是有限的網絡可見性和站點之間的疏忽或策略偏差造成的潛在安全漏洞。
然而,將現代企業面臨的網絡可見性挑戰概念化的最佳方法可能是考慮將移動用戶安全連接到云中資源的任務。在這種情況下,如果企業希望獲得一定程度的數據流可見性,移動用戶傳統上必須通過 VPN 連接回本地設備以進行審計和檢查。然后,流量被路由到本地互聯網接入點或通過廣域網到達集中且安全的互聯網接入點,然后再到達其在云中的目的地。這種方法會對性能產生重大影響,使其對大多數企業沒有吸引力。
這是調查的超過一半的企業表示他們讓移動用戶直接連接到云的原因之一。不出所料,超過一半的受訪者還表示,在為移動用戶提供業務應用程序訪問方面,“缺乏可見性和控制力”是他們面臨的最大挑戰。
基于云的 SD-WAN 如何實現完整的網絡可見性
正如我們所見,傳統的基于設備的方法讓企業面臨一個沒有吸引力的權衡:犧牲性能以獲得一定程度的安全性和可見性,或者以性能的名義犧牲網絡可見性。Cato 基于云的 SD-WAN 通過將范式從綁定到物理位置的基于設備的方法轉移開來解決了這個問題。
Cato Cloud 與眾不同的原因在于其全球 SLA 支持的私有骨干網和將安全性和監控融入網絡的云原生網絡基礎設施。主干網由全球 45 個以上的存在點 (PoP) 組成,Cato 力求在任何 Cato 用戶的 25 毫秒內擁有一個 PoP。在 Cato Cloud 中,云原生網絡基礎設施提供了過去需要獨立的本地設備的網絡安全和監控功能。
與通過本地設備路由網絡流量相反,移動用戶可以使用 Cato 的移動客戶端連接到 Cato Cloud。這可實現與云應用程序和 WAN 資源的安全且優化的移動連接。移動用戶獲得與本地用戶相同的保護和性能。
IT 也受益于這種基于云的 WAN 連接方法。借助 Cato Cloud,可以降低網絡復雜性,同時提高網絡可見性,從而簡化操作并增強安全性。使這成為可能的功能包括:
下一代防火墻 (NGFW)
Cato 的內置NGFW功能無需部署多個設備即可實現應用程序級網絡流量感知。與本地設備不同,Cato 的 NGFW 為企業提供了無限可擴展性和完整流量檢查的優勢,而無需強制升級。
身份感知路由
除了啟用業務流程、QoS(服務質量)和高級策略抽象外,Cato 革命性的身份感知路由引擎還使以業務為中心的網絡可見性成為可能。IT 可以查看站點、組、主機和用戶級別的活動和網絡流量,以改進網絡規劃。
托管威脅檢測和響應 (MDR)
Cato 的MDR通過收集所有 WAN 和 Internet 流的完整元數據而無需部署任何網絡探測器,從而為企業提供零足跡網絡可見性。
編譯自:CATO 原文作者:戴夫格林菲爾德
