《深度解析:五大主流SASE服务商的解决方案与架构对比》
举报
亿人安全
发表于 2024/11/30 21:34:17
2024/11/30
【摘要】 根据Gartner的预测,SASE市场规模将在2024年从2019年的19亿美元增长至110亿美元。预计到2024年,至少40%的企业将明确采用SASE战略,而这个比例在2018年底还不到1%。SASE并非仅限于单一产品,它代表了网络和安全技术实现方式的一次架构性转变。许多安全技术提供商已经推出了基于SASE网络安全管理的解决方案,涵盖了各大网络巨头,以及SD-WAN、云安全、Web安全、零...
根据Gartner的预测,SASE市场规模将在2024年从2019年的19亿美元增长至110亿美元。预计到2024年,至少40%的企业将明确采用SASE战略,而这个比例在2018年底还不到1%。
SASE并非仅限于单一产品,它代表了网络和安全技术实现方式的一次架构性转变。许多安全技术提供商已经推出了基于SASE网络安全管理的解决方案,涵盖了各大网络巨头,以及SD-WAN、云安全、Web安全、零信任安全等领域。本文就来盘点一下国内外典型SASE提供商的解决方案及其架构。
一、Zscaler
Zscaler是一家总部位于美国的网络安全公司,成立于2008年。Zscaler引领了一种全新的安全策略——通过云平台提供安全服务,这种安全策略实现了架构设计和网络安全方法的根本变革。
1. 方案描述
Zscaler采用了基于云的方式,提供了一系列综合服务,如URL过滤、HTTP流量扫描、用户Web访问控制、应用程序控制和数据防泄漏(DLP)。Zscaler不仅解决了安全设备单点功能的局限性,还通过SaaS模式将企业的资本支出(CAPEX)转变为运营支出(OPEX),从而大幅缩短了企业部署Web安全的周期。
核心技术方面,Zscaler引入了单次扫描多次操作(Single-Scan-MultiAction, SSMA)引擎。该引擎的工作原理是将数据包存放在高度优化的自定义服务器的共享内存中,所有节点上的CPU都可以同时访问这些数据包。每个功能都配备了专用CPU,使得所有引擎能够同时检查相同的数据包,这就是“单次扫描多次操作”的来源。这种方式保证了服务链不会增加延迟,节点能够快速做出策略决策,并将数据包快速转发回互联网。如图1是Zscaler SSMA代理的示意图,展示了其高效的数据处理方式。
2. 典型产品
Zscaler公司以安全SaaS为基础,提供了四种主要的云服务,如图2所示。关于这四种云服务的详细内容欢迎阅读《SASE原理、架构与实践》第3章内容。
二、Cato Networks
Cato Networks是一家成立于2015年的以色列网络安全公司,它是早期投入SASE领域的知名厂商之一。通过与全球领先的网络运营商合作,Cato Networks在多个网络连接点(POP)上构建了分布式网络。这些POP之间通过优化且加密的私有骨干线路连接,使企业的分支机构能够接近POP并使用Cato Cloud的安全服务。这种架构使客户无需购买单独的防火墙、Web过滤器、VPN等传统安全产品,从而轻松管理网络安全。此外,Cato Cloud还能够统一安全策略,提供卓越的用户体验,确保网络安全,并提供高速连接至各分支机构、云平台(如AWS)以及移动设备用户。
1. 方案描述
Cato公司的SASE方案主要依托于Cato Cloud平台。Cato Cloud是一个综合的SASE平台,整合了全球专线网络、SD-WAN和网络安全栈,如图3所示。通过Cato Cloud,企业可以将其物理位置、云资源和移动用户连接起来,并通过一个自助服务控制台来统一管理网络和安全订阅服务。这使得企业能够获得更大的业务部署、访问和运维的灵活性。
Cato的SASE解决方案目前提供了多种安全订阅服务,能够为各个站点、应用程序和用户提供优化的网络和多样化的安全服务,能够保障客户的网络服务始终是最新的、经过优化的,并能够保护所有地区的网络流量。Cato的SASE服务架构如图4所示。
2. 典型产品
Cato Networks的SASE解决方案提供了网络即服务和安全即服务两大类功能。
-
网络即服务:Cato的SASE方案通过多个网络运营商的基础网络,提供了70余个POP接入点。这些POP点构成了一个全球私有Overlay网络。POP网络服务持续监测运营商的性能参数,如延迟、数据包丢失和抖动,以实时决定每个数据包的最佳路由。通过网格化布局,Cato创造了一个优化的全球网络,为企业提供了高效且私密的连接。
-
安全即服务:Cato的SASE方案中的安全即服务是一组针对企业的网络安全功能集合,这些功能被构建为云网络的一部分。目前的安全服务包括下一代防火墙即服务(NGFW)、安全Web网关(SWG)、高级威胁预防、安全分析和托管威胁检测与响应(MDR)服务等。
三、Fortinet
Fortinet(中文名“飞塔”)是一家成立于2000年的全球性企业,总部位于美国。该公司专注于为服务提供商和政府机构提供网络安全设备和安全网关解决方案。Fortinet的解决方案旨在整合多层次的安全防护,其中包括防火墙、虚拟专用网络、应用控制、防病毒、入侵防护、网页过滤、防垃圾邮件和广域网加速等功能。
1. 方案描述
Fortinet公司的主要战略是以防火墙作为核心能力,构建一个以防火墙为基础的网络安全体系。这个体系通过场景化和集成新的能力,加强了网络的安全性,形成了以防火墙为核心的安全网络解决方案。Fortinet也提出了新的数字IT变革下,企业网络安全全貌,如图5所示。
Fortinet Security Fabric是Fortinet的网络安全平台(见图6),它以Forti OS为底层支持,具备强大的开放生态系统。该平台跨越了扩展的数字攻击面和生命周期,实现了自我安全修复网络,以保护设备、数据和应用程序。
图6 Fortinet Security Fabirc视图
2. 典型产品
lFortinet提供的SASE服务,称为FortiSASE。FortiSASE是一个综合的SASE解决方案,将安全和网络集成在一起,为用户提供市场上最广泛的安全驱动型网络解决方案。它不是一个孤立的纯云解决方案,而是作为Fortinet Security Fabric安全架构的延伸部分存在。通过整合FortiOS通用操作系统的强大功能,FortiSASE将SASE服务与Fortinet安全解决方案集成在一起,覆盖网络的各个位置。图7展示了 FortiSASE的能力图谱,说明了其全面的安全服务能力。
lFortiSASE SIA(Secure Internet Access,安全互联网访问)是一种云交付服务,专为保护公司外部的远程用户访问网络而设计。它基于FortiOS提供了一个基于云的可扩展平台,允许客户将防火墙即服务(FWaaS)、入侵防御(IPS)、数据丢失防护(DLP)、安全Web网关(SWG)、沙盒等安全能力扩展到远程访问应用场景,例如远程办公。FortiSASE SIA旨在为客户提供实时的客户端流量防护,保护用户的流量,扫描已知和未知的流量威胁,并在任何工作地点实施公司的安全策略,见图8。
四、Cisco
Cisco(中文名“思科”)公司是全球领先的网络解决方案供应商。思科的业务范围几乎涵盖了网络建设的每个领域,包括组成互联网和数据传输的路由器、交换机等网络设备,网络安全,以及提供整体网络解决方案等。作为全球领先的网络设备制造商和解决方案提供商,思科在各个行业和领域中都发挥着重要作用,支持着世界各地的网络通信、数据传输和信息技术发展。
1. 方案描述
Cisco的SASE架构旨在通过云端的无缝连接,为应用提供安全访问,以支持随时随地的远程办公,见图9。
核心功能包括软件定义广域网SD-WAN、安全Web网关SWG、防火墙即服务、CASB以及零信任网络zero-trust network access。SASE的目标即在于将这个技术整合为一个整体,提供云服务。
Cisco的SASE方案关注于连接、控制和融合这三个主要方面,以实现更加安全、高效和统一的网络和安全架构,如图10所示。
2. 典型产品
Cisco提倡SASE的开放性整合,可以将Cisco作为合作伙伴攻坚SASE。Cisco SASE架构的核心产品和组件包括SD-WAN、Secure Access by Duo、Umbrella、ThousandEyes。
五、绿盟科技
绿盟科技集团股份有限公司在国内有50多个分支机构,广泛服务于政府、金融、运营商、能源、交通、科教文卫等领域,以及各类企业用户。公司提供超过60款安全产品,包括安全评估、检测与防护、认证与访问控制、安全审计、安全运营与管理等多个类别。
作为全球的安全产品和服务供应商,绿盟科技在云安全领域具备丰富经验,拥有零信任、云原生安全能力和流量编排等关键技术。结合产品技术和运营服务的优势,公司积极响应业务发展趋势,融合智慧安全3.0理念,于2021年推出SASE服务。该服务颠覆传统的应用访问和安全防护模式,显著提升用户在混合环境中访问各类服务的便捷性和安全性。
1. 方案描述
绿盟科技的目标在于通过一个综合平台来应对多种接入场景,解决客户在不同业务中遇到的各种挑战。客户可以根据需求订阅网络和安全服务,通过SASE安全平台提供统一的基于边缘云的连接和一致的安全保障,如图11所示。
绿盟科技的SASE产品将安全能力从本地提升至云端,作为中继云为企业用户提供多种安全功能,如图12所示。
绿盟科技的SASE服务符合Gartner的SASE模型定义,全球范围内分布着POP节点,云上集成了SD-WAN网络服务和多种安全服务,包括零信任访问控制、云安全网关、云威胁防护等,为客户提供了网络和安全一体化的SaaS服务。
2. 典型产品——NPA服务和NIA服务
绿盟科技在2021年推出了两款核心SASE服务类产品——私有应用访问服务(NSFOCUS Private Access,NPA)和互联网安全访问服务(NSFOCUS Internet Access,NIA)。
l绿盟科技的NPA服务(见图13)主要解决企业用户的私有网络和应用访问安全问题。该服务基于零信任原则,旨在全面收敛资产暴露面,为企业应用实施基于用户、设备和应用身份等上下文信息的实时接入控制。NPA服务可应用于远程办公、移动办公、多分支访问、多云资产等场景,为客户提供全面的零信任访问控制能力,并提供应用加速和SD-WAN等服务。
绿盟科技的NPA服务具有广泛的适用场景,可以有效地为企业办公提供全面的安全防护,同时满足不同场景下的办公需求。包括:
lNIA主要致力于解决企业在上网场景下所面临的互联网访问安全问题。NIA为企业提供了多项关键的安全特性和能力,旨在构建一个充满威胁的外部网络环境与企业内部网络之间的安全隔离带。该服务适用于多种场景,包括上网办公和使用公有云SaaS应用等,见图17。
绿盟科技NIA服务的关键特性包括访问代理和就近接入、威胁防护、访问控制、基础安全能力、高级安全能力。
在上网行为管理场景(见图18)中,绿盟科技的NIA发挥着重要作用,能够确保员工终端的上网安全。
针对企业缺少全网威胁的防护手段,网络安全风险高,NIA基于大数据的流量分析安全平台,可实现对复杂的网络安全攻击、攻击事件之间的关联分析,通过精准检测、全网威胁可视和及时响应,有效抵御各类已知威胁和高级威胁,安全态势场景,如图19所示。
要了解更详细内容,请阅读《SASE原理、架构与实践》。
推荐
【版权声明】本文为华为云社区用户原创内容,转载时必须标注文章的来源(华为云社区)、文章链接、文章作者等基本信息, 否则作者和本社区有权追究责任。如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容,举报邮箱:
cloudbbs@huaweicloud.com
评论(0)