网络的未来
利用 NaaS 和 SASE 实现灵活性和安全性
组织应将网络现代化,以保持灵活性
传统的企业网络是为实体办公室和数据中心的刚性限制而设计的。多年来,公司一直依靠多协议标签交换 (MPLS) 等解决方案来连接各办公地点,同时分层使用不同的、复杂的安全工具。此外,未云就绪的传统网络连接解决方案带来了供应商绑定和瓶颈,制约了架构。
特别是,许多组织都假设实体办公室将永远是默认选项,并签署了多年网络服务合同,使�得情况更加复杂。随着工作方式的改变,组织应该尽早寻求将网络现代化,以保持灵活性,而不是以后再说。
一个灵活的现代网络可以通过以下三个关键属性来识别:
网络弹性。能够轻松地升级或降级容量,以便组织能够快速响应不断变化的业务需求。
内置保护。在网络基础设施中纳入了集成安全性,您可以避免分层式安全工具的缺陷,例如安全漏洞和性能下降。
云就绪。将云服务集成到网络架构中,可避免应用程序性能瓶颈。
使用 NaaS 和 SASE 创建灵活的网络
组织用于实现灵活的现代网络的两项主要技术是:网络即服务 (NaaS) 和安全访问服务边缘 (SASE)。
公司采用 NaaS 解决方案时,他们从提供商处租赁云交付的网络功能。因此公司无需维护自己的网络基础设施,并取代了 MPLS ��和虚拟专用网络 (VPN) 等传统工具。有些 NaaS 解决方案包括集成安全功能,例如网络防火墙、分布式拒绝服务 (DDoS) 保护等。
同样,SASE 解决方案将软件定义的网络与网络安全功能整合在一个综合平台上。消耗网络安全即服务是 SASE 的基础。因此,SASE 解决方案的关键是四个安全组件:安全 Web 网关、云访问安全代理、Zero Trust 网络访问以及防火墙即服务 (FWaaS0。
值得注意的是,NaaS 和 SASE 并不互斥。事实上,有些 SASE 解决方案使用 NaaS 技术作为其连接基础。
摒弃 MPLS 和 SD-WAN 的局限,培养网络弹性
MPLS 和 SD-WAN 等现有连接方法是网络弹性的障碍。它们难以迅速适应变化,例如适应远程员工队伍或合并办公室。
MPLS 的挑战
MPLS WAN 并不适合 SaaS 和云时代。将公共云服务与 MPLS WAN 集成,迫使组织创建一个具有通往公共云提供商隧道的轴幅式网络。
这会降低性能,因为所有站点的流量都通过一个中心化中枢回传。例如,伦敦的用户在访问电子邮件时,其流量会流向纽约的中心站点,哪怕其电子邮件供应商在伦敦设有数据中心。
此外,MPLS WAN 服务将客户绑定在多年期合约上,难以快速升级或降级容量。众所周知,这些合约价格高昂,并且会在添加新网站时带来延迟。
SD-WAN 的挑战
另一方面,软件定义的 (SD) WAN 使用宽带互联网等 WAN 选项来帮助解决传统 MPLS 成本高昂且缺乏灵活性的问题。但 SD-WAN 也有很大的局限性。
首先,SD-WAN 要求公司配置自己的网络,并分层使用安全工具和其他服务上,例如负载平衡器。这意味着,为了提供安全服务,SD-WAN 仍然依赖于轴幅式架构,并且存在性能瓶颈。
SD-WAN 也不管理端到端的性能,因为它们与专用链路或网络不同,它们主要是一种边缘技术,不控制“中间一英里”。(中间一英里将本地网络连接到更大的外部网络,例如互联网或其他网络服务提供商,不是连接最终用户)。如果对中间一英里缺乏控制,企业就只能依赖互联网,而互联网很容易出现拥塞,影响整体性能。
NaaS 和 SASE 如何提高网络弹性
因为 NaaS 和 SASE 让企业可以使用软件来管理基础设施,因此可以轻松地扩大或缩小容量,而不会有任何延迟。
此外,在没有流量回传的情况下,员工在访问云端应用程序时的体验更佳,性能更好,减少了阻碍生产力的因素。
拥抱内置保护
组织需要保护全球任何地点的员工,为员工赋能。为此,组织需要一套整体的安全策略,消除复杂性和安全漏洞。
然而,许多公司依赖于几个基于设备的安全解决方案,使问题变得复杂,且缺乏灵活性。首先,使用多个不同的解决方案(例如 VPN 集中器、安全 Web 网关和网络防火墙)构成了多种策略和碎片化的威胁信息。这种方法不仅成本高昂,而且会产生“阻塞点”,有损应用程序性能和员工生产力。
虽然许多 NaaS 解决方案提供内置的安全功能,但 SASE 解决方案以该理念为基础。通过在网络中内置安全功能,组织不再需要通过一系列安全设备来过滤流量。这减少了跃点和安全检查,提升了应用程序性能。
SASE 还通过整合必须管理和更新网络的设备组来降低运营成本。此外,安全服务及时更新,始终配备最新的保护工具,确保您的组织免受新兴或不断变化的攻击趋势的影响。集成的安全服务还可以相互分享威胁情报,确保全方位保护。
设计云就绪网络
根据最近的一份报告,有 92% 的企业制定了多云战略,82% 的企业制定了混合云战略。但��构建支持这种架构的网络极具挑战。
虽然有些供应商提供了多云网络选项,但很多都没有与传统 WAN 集成。这迫使组织寻找复杂的变通方法,将公共云服务集成到其网络架构中。有些云提供商还阻止组织与其他云服务提供商或本地基础设施连接,限制了架构,将供应商绑定。
因此,组织必须确保他们的网络和安全架构为云就绪,并能连接各种基于云的基础设施和本地基础设施。然而,由于这是一个新兴需求,处理这一问题的新策略可能要过几年才会出现。
云就绪网络和 SASE
虽然许多 SASE 解决方案支持连接多个公共云服务,但组织必须注意用于提供这些服务的底层平台。如果与公共云服务的网络连接不足,流量被迫通过有限的互连,形成人为阻塞点,降低性能。
通过与所有主要公共云服务密集互联的全球平台提供的现代 SASE 解决方案可以确保您的应用程序与最终用户快速、安全连接。
网络现代化路线图
虽然 SASE 是最终目标,但大多数组织不会一夜之间实现这一目标。组织可以分步骤开始行动。
第 1 步:添加并保护互联网疏导
互联网将继续作为网络战略的一个�关键元素,SaaS 供应商将继续优化应用程序,以便在互联网上使用。增加廉价的互联网疏导,让公司能够将可能存在于分支机构的传统 WAN 中的一些流量转移出来。将 SaaS 流量直接疏导到互联网上,可立即提升应用程序性能。
互联网疏导也可以与 SD-WAN 边缘技术相结合,在可用的网络选项之间智能地转移流量。但 SD-WAN 仍不能保证“中间一英里”的性能,需要一个枢纽将各站点和公共云服务互联。摆脱枢纽和辐条需要一个新的安全模型,在每个分支设备上执行策略。
第 2 步:采用 NaaS
大多数数据中心使用 NaaS 的情况越来越多,还在扩展到办公大楼。NaaS 提供灵活、可编程的网络连接和端到端的性能控制。使用 NaaS 可以更轻松地增加和减少容量以及增加网站。此外,NaaS 服务可以通过互联网上的虚拟连接进行设置,使用基于标准的技术,例如 GRE 和 IPSec。
NaaS 解决方案还可以使用直接连接或交叉连接轻松地与公共云服务互连。在短期内,NaaS 将提升应用程序性能,长期将可大大降低网络成本。
第 3 步:采用 Zero Trust 安全
现代 Zero Trust 解决方案可应对多种连接方式,保护在家或在办公室工作的用户。随着混合办公模式成为常态,将证明该方案极具价�值。Zero Trust 安全不仅保护用户免受互联网上的威胁,还能防止勒索软件攻击中常见的恶意软件横向传播。
一旦所有站点都通过互联网疏导和/或 NaaS 连接,并且所有应用程序的流量都迁移到了新的网络,就可以安全弃用传统 MPLS WAN。最好是在合同期满之前尽早开始规划这一旅程。
将网络现代化
Cloudflare 已经构建了一个集成的云平台,旨在帮助企业创建灵活的现代网络。
Cloudflare Magic WAN 使用 Cloudflare 网络取代了传统 WAN,并提供各种内置安全功能,例如网络防火墙和 Zero Trust 网络访问 (ZTNA)。Magic WAN 是 Cloudflare One 的连接基础。Cloudflare One 是一个 SASE 解决方案,将 NaaS 功能与 Zero Trust 安全功能组合到一个单一的综合平台。
同时使用这些解决方案,公司可以通过轻松扩大或缩小容量,使用内置安全保护网络,并连接到主要的公共云供应商和本地基础设施,从而实现网络现代化。
Cloudflare 就影响当今技术决策者的最新趋势和主题发布了系列文章,本文为其一。
关键要点
阅读本文后,您将能够了解:
为什么网络韧性能帮助组织更好地应对不断变化的业务需求
内置网络安全减少安全漏洞
设计云就绪网络的重要性
组织可以采取哪些步骤将网络现代化