SD-WAN与SDP-SASE框架下数控分离最佳实践
日期:2024年04月15日 阅:73
每逢假日或上下班等道路运输高峰期,堵车打工人们不可言说之痛,尽管每位司机都会提前规划一条通畅的路线以避免堵车,实际情况却常常不尽如人意,更令人恼火的是,经常会有司机在交通拥堵时频繁变道,试图破坏道路秩序,寻求“捷径”,但这反而使得交通更加拥堵且更容易出现交通安全事故。
这个场景在网络数据传输的过程中也频频发生,数据传输通道/路径错综复杂,经常存在传输瓶颈,经常影响人们接收和发送信息/数据的效率,另外不加管控的数据传输也常常会引发网络安全/数据泄露事件,那么,如何才能使“交通”更加顺畅、安全呢?
让我们看一个简单两台主机通过几台路由器通信网络的例子,我们可以考虑主机与路由器在网络层中的动作,一个是输入链路向其输出链路转发数据报文,另一个作用是协调这些本地路由器的转发,使得数据报文沿源与目的主机之间的路由器进行端到端的传输。而这两个动作,即是我们在计算机网络中学习到的网络层能够被分解为两个互相作用的部分,即数据平面和控制平面。
数据面与控制面描述了将信息从一台发送主机移动到一台接受主机,需要使用到两种重要的网络层功能:转发与路由选择。回归本质,就是两个问题:转发(数据面功能)就是无差错的移动数据包;路由选择(控制面功能)就是告诉数据包如何移动。用春节从厦门驾驶汽车回到湖北的例子进行类比:我们可以把路由选择看做是规划从厦门到湖北行驶的过程,通过手机导航可以看到有多条可达到的路径,其中每条路径都由一系列的高速和国道进行组合;而我们认为转发就像通过单个高速或者国道的过程(汽车进入高速的哪个入口,从哪个出口离开)。
随着用户网络规模越来越庞大、运维愈加复杂,假设这两个平面不进行任何的分离,数据平面和控制平面使用共用的资源,在大数据流量、复杂应用环境下,数据平面由于承担着繁重的日常任务将可能消耗绝大部分资源,这对于整个网络系统无疑是灾难性的,因为在某些极端的情况下,控制平面将没有充分的资源来保障运行,这就意味网络设备失去了对设备所处网络环境的真实了解,网络设备将立即陷于非正常工作状态甚至瘫痪状态。
这时数据面和控制面的分离思想被提出,用于解决上述这些棘手的网络问题。数据面与控制面是个网络方面的概念,但数据面与控制面分离的思想是非常有创造力的,也会在其他领域应用出最佳实践。
软件定义网络(SDN)作为一种新的网络架构思想被提出,它通过将网络平面(决策层)从数据平面(执行层)中分离出来,实现网络控制的中心化和自动化。SDN的这一理念极大地提高了网络的灵活性、可编程性和自动化程度,为解决传统网络架构的局限性提供了新的可能。
而软件定义广域网(SD-WAN)的设计思想是则是沿用了SDN的架构,使得网络设备只需要专注于数据的转发任务,而路径选择等复杂的决策任务则交给集中的控制器来处理。
Gartner定义下的SD-WAN应该包括一个集中式策略控制器、一个抽象底层网络的软件覆盖层以及SD-WAN转发器(路由功能)。基于控制中心上定义的网络策略,这些共同提供跨WAN访问的链路。这样,数据平面可以专注于提高数据的转发效率,而控制平面则可以更好地利用全局的网络信息来做出最优的决策。
SD-WAN使得企业无论在任何地点,可以选择最短路径以实现最快的数据包交付,从而在降低成本的同时实现更快的性能。这也是SD-WAN在近几年大火的原因。
但 SD-WAN 本身并非完美,SD-WAN 方案的安全性也是企业常常关注的点。近年来,SD-WAN市场上最重要的进步是SD-WAN产品中集成了安全功能。安全是任何网络投资的重要组成部分,SD-WAN和安全集成管理的趋势有两方面的发展:
一方面是SD-WAN产品提供的本地集成安全功能。SD-WAN硬件产品融合的常见安全功能,包括入侵检测和预防(IDS/IPS)、下一代防火墙(NGFW)和内容/网络/URL过滤的能力。另一方面是向安全访问服务边缘(SASE)架构发展。Gartner描述它将SD-WAN与基于云的网络边缘安全服务(NESaaS)工具相结合,如安全Web网关(SWG)、云访问安全代理(CASB)和零信任网络访问(ZTNA/SDP)。
在SASE架构下,比较巧合的情况是,数据面与控制面分离的思想不仅仅局限于网络层面中的SD-WAN技术,另一个重要的应用方向是安全领域中零信任的思想。
零信任思想是打破现有网络安全防护对内部网络信任的理念,默认内部网络与外部网络一样,都是不可信任和不安全的,对网络中的任何人、任何设备、任何系统、任何应用进行的任何连接,都需要进行认证和根据当前状态动态授权,实现访问控制。而零信任SDP本质上是一个以软件和网络资产为边界的技术,而不是传统的以网络基础设施为边界。由于云计算的普及,硬件设备、操作系统、功能服务等等,所有网络资产都可以被软件定义和代码化,因此SDP的出现是顺理成章的。
零信任SDP网络中的数据平面是由直接处理网络流量的应用程序、防火墙、代理服务器和路由器组成。零信任SDP中的控制平面由一系列组件的信息输入构成,这些组件接收并处理来自数据平面的请求,这些请求或者是希望访问网络资源,或者是授予网络资源的访问权限。
控制平面的信任评估算法利用多源输入信息,计算获得用户的信任评估值和生成访问策略;控制引擎根据策略引擎获得的信任评估值和访问策略,判定用户是否可以访问数据平面,并通知数据平面的安全代理;安全代理开启用户终端访问业务应用的通道,用户终端利用开启的通道实现业务应用的访问。
控制平面和数据平面之间的接口类似于操作系统内核空间和用户空间之间的接口,为了防止提权攻击,两个系统之间的交互需要进行高度隔离。而传统的VPN系统由于并没有严格区分两个平面的数据,就会形成先连接再认证的通道,容易被各类漏洞所利用。
零信任SDP技术通过分离访问控制和数据平面,保护关键资产和基础架构,从而阻止潜在的基于网络的攻击。
SASE架构下网络和安全层面无不印证着数控分离思想的最佳实践,正是这一框架的落地,充分的释放了客户现有网络的潜力和保护企业每一次的业务访问过程。
1918年,《科学美国人》发布了一篇文章,展示了最早的汽车自动驾驶的畅想。到1956年,美国电力公司在广告中写道:“有一天,你的汽车可以在电动高速公路上高速行驶,它的速度和转向由嵌人道路的电子设备自动控制。高速公路将变得安全–没有交通堵塞、没有碰撞、没有驾驶员疲劳。”
这一想法的实现何尝又不是一种数控分离思想的应用呢?
基于全球广泛分布的边缘节点,依托10余年安全运营和海量攻防数据,「网宿安全」构建从边缘到云的智能安全防护体系,提供DDoS防护、Web应用防护、爬虫管理、远程访问安全接入、安全SD-WAN、主机安全等全方位的安全产品及服务,覆盖云安全、企业安全和安全服务等领域,助力企业构筑基于零信任和安全访问服务边缘(SASE)模型的全新安全架构,护航网络安全,为数字时代保驾护航。 网宿科技(300017)成立于2000年,2009年于创业板首批上市,是全球领先的边缘计算及安全服务商,业务遍及全球70多个国家和地区。公司始终致力于提升用户的数字化体验,满足用户随时随地、安全、可靠的数据处理及交互需求。