Als Gartner im Jahr 2019 Secure Access Service Edge (SASE) vorstellte, überraschte es den Markt. Im Gegensatz zu vielen anderen technologischen Fortschritten war SASE keine neue Netzwerkfunktion oder eine Antwort auf ein ungelöstes Sicherheitsrätsel. Vielmehr ging es um eine banale, aber geschäftskritische Frage: Wie kann die IT das Unternehmen mit der gewünschten Sicherheit, Leistung und Agilität in einer Zeit unterstützen, die von zunehmender technischer und betrieblicher Komplexität geprägt ist?
Gartner hat diese Frage beantwortet, indem sie eine SASE-Architektur als die Konvergenz mehrerer WAN-Edge- und Netzwerksicherheitsfunktionen beschreiben. Diese werden über einen globalen Cloud-Service bereitgestellt, der eine einheitliche Richtlinie für alle Unternehmens-Edges durchsetzt: Benutzer, Standorte und Anwendungen.
Diese neue Architektur stellte eine große Herausforderung für die etablierten Anbieter dar, die IT-Netzwerke und Sicherheit mit einer Vielzahl unzusammenhängender Point-Solutions kontrollierten. Ihre Architekturen und Entwürfe waren weitgehend für die allgegenwärtige Komplexität verantwortlich, mit der die Kunden in den letzten 20 Jahren zu kämpfen hatten. Warum war die SASE-Architektur eine solche Herausforderung für sie? Weil die Umsetzung des Gartner-Frameworks eine massive Umstrukturierung von Legacy-Produkten erforderte, die nie für die Unterstützung eines konvergenten, globalen Cloud-Services entwickelt worden waren.
Genau hier hat Cato Networks mit der Innovation der Cato Single Pass Cloud Engine (SPACE) eine neue Hoffnung für Kunden geschaffen. Cato SPACE ist das Kernelement der Cato SASE-Architektur und wurde von Grund auf entwickelt, um einen globalen, skalierbaren und stabilen SASE-Cloud-Service zu betreiben. Tausende von Cato SPACEs ermöglichen es der Cato SASE Cloud, jedem Benutzer oder jeder Anwendung überall auf der Welt alle Netzwerk- und Sicherheitsfunktionen zur Verfügung zu stellen – in der Cloud skalierend und als Service, der selbstheilend und selbstwartungsfähig ist.
Single Pass Cloud Engine: The Key to Unlocking the True Value of SASE (eBook)Warum Konvergenz und Cloud-native Software der Schlüssel zur True-SASE-Architektur sind.
SASE wurde als Lösung für das Komplexitätsproblem entwickelt. Ansätze, die separate Point-Solutions beibehalten, sind nach wie vor durch separate Konsolen, Richtlinien, Konfigurationen, Sizing-Verfahren und mehr gekennzeichnet. Kurz gesagt, sie erhöhen die Komplexität im IT-Lebenszyklus. Darüber hinaus führen solche Ansätze zu mehreren Fehlerquellen und zusätzlichen Latenzzeiten durch das Entschlüsseln, Prüfen und erneute Verschlüsseln von Paketen in jeder Point Solution.
Die Konvergenz war der erste Schritt zur Verringerung der Komplexität, indem die zahlreichen Funktionen mehrerer Point-Solutions durch ein einziges Softwarepaket ersetzt wurden. Ein einziger Software-Stack ist einfacher zu warten, ermöglicht eine effizientere Verarbeitung, optimiert die Verwaltung durch ein einziges Fenster und vieles mehr. Die Konvergenz hat jedoch nicht nur operative, sondern auch strategische Vorteile.
Ein konvergierter Stack kann Kontext gemeinsam nutzen und sehr umfangreiche Richtlinien durchsetzen, um intelligentere Entscheidungen zur Optimierung und Sicherung des Datenverkehrs zu treffen. Dies ist nicht der Fall bei Point Solutions, die oft nur einen begrenzten Einblick haben, je nachdem, wie sie den Datenverkehr verarbeiten (z. B. Proxy) und welche Art von Informationen für die spezifische Funktion, die sie bereitstellen, als notwendig erachtet wurden. So kann eine Quality-of-Service-Engine beispielsweise keine Identitätsinformationen erfassen, und IPS-Regeln berücksichtigen nicht das mit dem Zugriff auf eine bestimmte Cloud-Anwendung verbundene Risiko.
Cloud-Native baut auf dem Mehrwert der Konvergenz auf, indem es die Skalierung und Verteilung des konvergenten Software-Stacks ermöglicht. Der konvergente Stack ist in Komponenten aufgeteilt und orchestriert, um eine sehr große Anzahl von Unternehmen und deren Datenverkehr von Nutzern, Standorten und Anwendungen zu einem beliebigen Ziel im WAN oder Internet zu leiten. Der Orchestration Layer ist auch für die Globalisierung, Skalierbarkeit und Ausfallsicherheit des Dienstes verantwortlich, indem er den Datenverkehr dynamisch mit der verfügbaren Verarbeitungskapazität verknüpft. Dabei handelt es sich nicht um eine bloße Nachrüstung bestehender produktbasierter Architekturen, sondern vielmehr um die Schaffung einer völlig neuen servicebasierten Architektur.
Cato SPACE:
Die Geheimzutat für die Cato SASE-Architektur
Die Cato SASE Cloud ist der globale Cloud-Service, der den Kunden von Cato bereitsteht. Jede Unternehmensorganisation wird innerhalb der Cato SASE Cloud als virtuelles Netzwerk dargestellt, dem dynamisch Datenverarbeitungskapazitäten zugewiesen werden, um den Datenverkehr des Kunden von jedem Edge zu jedem Ziel zu optimieren und zu sichern
Die Cato SASE Cloud ist auf einem globalen Netzwerk von Cato SASE Points of Presence (PoPs) aufgebaut. Jeder Cato SASE PoP verfügt über mehrere Rechennodes mit jeweils mehreren Rechenkernen. Auf jedem Kern läuft ein Exemplar der Cato Single Pass Cloud Engine, Cato SPACE, dem konvergenten Software-Stack, der den gesamten Datenverkehr gemäß den Kundenrichtlinien optimiert und absichert.
Dies sind die wichtigsten Merkmale des Cato SPACE:
- Konvergenter Software-Stack, Single-Pass-Verarbeitung: Cato SPACE übernimmt die gesamte Verarbeitung und Entscheidung in den Bereichen Routing, Optimierung, Beschleunigung, Entschlüsselung und Deep Packet Inspection. In „traditionellen“ Begriffen der Produktkategorie ausgedrückt, umfasst ein Cato SPACE die Funktionen der globalen Routenoptimierung, der WAN- und Cloud-Zugangsbeschleunigung und der Sicherheit als ein Service mit der Firewall der nächsten Generation, sicherem Web-Gateway, Anti-Malware und IPS. Cato erweitert den Software-Stack kontinuierlich mit zusätzlichen Funktionen, folgt dabei aber immer demselben SASE-Architekturrahmen.
- Jeder Kunde, Edge, Flow: Der Cato SPACE ist nicht an ein bestimmtes Kundennetz oder einen Edge gebunden. Durch einen Prozess der dynamischen Flow-Orchestrierung wird ein bestimmter Edge-Tunnel dem am wenigsten ausgelasteten Cato SPACE innerhalb des Cato SASE PoP zugewiesen, der dem Kunden-Edge am nächsten liegt. Der Cato SPACE kann daher eine beliebige Anzahl von Tunneln von einer beliebigen Anzahl von Kunden und Edges verarbeiten. Dies schafft eine von Haus aus ausgeglichene und agile Umgebung mit großen Vorteilen, wie wir weiter unten erläutern.
- Durchsetzung kontextbezogener Richtlinien just-in-time: Sobald der Datenfluss einem Cato SPACE zugewiesen ist, wird der Kontext des Datenflusses erfasst, die relevante Richtlinie wird dynamisch abgerufen und mit dem Datenfluss verknüpft, und die Verarbeitung des Datenverkehrs erfolgt gemäß diesem Kontext und dieser Richtlinie. Der Kontext selbst ist sehr breit gefächert und umfasst Netzwerk-, Geräte-, Identitäts-, Anwendungs- und Datenattribute. Der Kontext wird den Richtlinien zugeordnet, die jedes beliebige Attribut innerhalb jeder Regeln berücksichtigen können und vom Cato SPACE durchgesetzt werden.
- Cloud-Skalierung: Jeder Cato SPACE kann bei aktivierten Sicherheits-Engines bis zu 2 GBit/s verschlüsselten Datenverkehr von einem oder mehreren Edge-Tunneln verarbeiten. Edge-Tunnel werden nahtlos innerhalb der Cato SASE Cloud und über Cato SPACEs verteilt, um sich an Schwankungen der Gesamtlast anzupassen. Die Kapazität kann durch das Hinzufügen von Rechenknoten zu den PoPs erweitert werden, da die Cato SPACEs vollkommen symmetrisch sind und jederzeit in den Service orchestriert werden können.
- Selbstheilung: Da Cato SPACEs identisch sind und just-in-time arbeiten, kann jeder Cato SPACE jeden Tunnel übernehmen, der von einem anderen Cato SPACE bedient wurde. Die Steuerungsebene verschiebt die Tunnel im Falle eines Ausfalls zwischen den Cato SPACEs. Wenn ein Cato PoP unerreichbar wird, können Edge-Tunnel zu einem Cato SPACE in einem anderen Cato SASE PoP migrieren. Dies kann je nach Kundenpolitik innerhalb der gleichen Region oder regionsübergreifend geschehen. Kunden müssen keine Failover-Szenarien für ihre regionalen Hubs mehr entwerfen, Cato SASE Cloud bietet diese Ausfallsicherheit automatisch an.
- Selbstwartung: Die DevOps-, Technik- und Sicherheitsteams von Cato sind für die Wartung aller Aspekte der Cato SASE Cloud verantwortlich. Softwareerweiterungen und -korrekturen werden im Hintergrund auf alle Cato PoPs und Cato SPACEs angewendet. Neue IPS-Regeln werden vom Cato SOC entwickelt, getestet und bereitgestellt, um neuen Bedrohungen zu begegnen. Die DevOps- und NOC-Teams von Cato überwachen den Service rund um die Uhr, um Spitzenleistungen zu gewährleisten. Kunden können sich daher auf die Analyse der Richtlinienkonfiguration konzentrieren, indem sie die Verwaltungskonsole von Cato nutzen, die eine einzige Sicht auf den gesamten Service bietet.
Cato SPACEs vs. Cloud-Appliance: Man kann einen Cloud-Service nicht aus einem Haufen Kisten bauen.
Cato SPACEs sind für die Cloud konzipiert, während Cloud-basierte Geräte dies nicht sind. Das bedeutet, dass die Verwendung von diesen Geräten viele der Vorteile in Bezug auf Agilität, Skalierbarkeit und Ausfallsicherheit, die ein auf einer Cloud-nativen Service-Architektur basierender SASE-Dienst bietet, zunichte macht.
| Fähigkeit | „Cloud“-Appliance | Cato SPACE |
| Single-Pass-Verarbeitung | Teilweise. Dies hängt vom Aufbau der Geräte-Software ab und davon, wie viele andere Funktionen für eine vollständige Lösung in die Servicekette eingebunden werden müssen. | Ja. Alle Funktionen werden immer innerhalb des architektonischen Rahmens von Cato SPACE bereitgestellt. |
| Jeder Kunde, Edge, Flow | Nein. Jedem Kunden werden eine oder mehrere Geräte in einer oder mehreren Betriebsregionen des Cloud-Anbieters zugewiesen. | Ja. Jeder Kunde, Edge oder Datenfluss kann von jedem der Tausenden von Cato SPACEs in der Cato SASE. |
| Lastverteilung | Nein. Die regionalen Edges sind fest an bestimmte Geräte gebunden. Da es keinen oder nur einen begrenzten Belastungsausgleich gibt, muss die Kapazität richtig bemessen sein, um Spitzenlasten zu bewältigen. | Ja. Die Verwaltungsebene für Cloud-Dienste sorgt für einen Lastausgleich zwischen den Edge der Kunden in den Cato SPACEs. |
| Cloud-Skalierung | Nein.Die Geräte schaffen keine Cloud-Scale-Architektur. Das Betriebsmodell geht von einer geringen Variabilität des Datenverkehrs aus, so dass zur Erweiterung der Verarbeitungskapazität eine manuelle Größenanpassung erforderlich ist. Die derzeitige Grenze für gerätegestützte SASE-Dienste liegt bei 500 MBit/s. | Ja. Cato SPACEs werden dynamisch Edge-Tunnels zugewiesen, um eine zunehmende Last zu bewältigen. Dies erfordert keine Neukonfiguration der Dienste. Cato übernimmt die Kapazitätsplanung für den Einsatz von Cato SPACEs um sicherzustellen, dass überschüssige Kapazität in der gesamten Cloud verfügbar ist. Das aktuelle Limit von Cato SPACE liegt bei 2gbps über einen oder mehrere Edge-Tunnel. |
| Ausfallsicherheit | Teilweise. Die Ausfallsicherheit muss für bestimmte Kunden auf der Grundlage der erwarteten Ausfallszenarien für die Geräte (HA-Paar in einem PoP, Standby-Gerät an alternativen PoPs) erstellt werden. Das Design muss getestet werden, um sicherzustellen, dass es funktioniert. | Ja Cato übernimmt automatisch die Ausfallsicherung innerhalb des Dienstes, indem Edge-Tunnel zwischen Cato SPACEs im selben PoP oder über PoPs hinweg migriert werden. Dies ist eine automatisierte Funktion, die kein menschliches Eingreifen oder Vorplanen erfordert. Cato hat im Laufe der Jahre viele Erfahrungen gesammelt, um den besten Weg zur Ausfallsicherheit zu finden, ohne laufende Anwendungssitzungen zu unterbrechen. |
| Globalisierung | Begrenzt. Die meisten SASE-Anbieter stützen sich auf Hyperscale-Cloud-Anbieter. Gartner warnte davor, dass solche Konzepte die Reichweite dieser SASE-Services auf den PoP-Fußabdruck und -Roadmap von Hyperscale Compute-Anbietern beschränkt. | Unbegrenzt und wachsend. Cato stellt seine eigenen PoPs überall dort auf, wo Kunden unseren Service zur Unterstützung ihres Geschäfts benötigen. Wir kontrollieren die Wahl des Standorts, des Rechenzentrums und der Netzbetreiber, um das globale und lokale Routing zu optimieren. Wir kontrollieren auch die IP-Geolokalisierung und den Umfang der gemeinsamen Nutzung. |
Die SASE-Architektur ist wichtig. Wählen Sie deshalb mit Bedacht.
SASE wurde von Gartner nicht ohne Grund als revolutionäre Technologie bezeichnet. Sie verändert die Art und Weise, wie die IT die gesamten Netzwerk- und Sicherheitsfunktionen für das Unternehmen bereitstellt. Der Funktionsumfang von SASE wird im Laufe der Zeit bei allen Anbietern weiterwachsen. Ohne die richtige zugrunde liegende Architektur werden Unternehmen jedoch nicht in der Lage sein, die transformative Kraft von SASE zu nutzen.
Cato ist der Pionier in der Kategorie SASE. Wir haben die EINZIGE Architektur entwickelt, die speziell darauf ausgerichtet ist, den Wert zu liefern, den SASE schaffen soll. Ob es sich um Übernahmen, globale Expansion, neue Arbeitsmodelle, aufkommende Bedrohungen oder Geschäftschancen handelt:
Yishay Yovel
Yishay leitet Catos strategische Kommunikation mit Investoren, Partnern und Kunden. Yishay, ein Cato-Veteran, ist der ehemalige CMO von Cato. Vor Cato hatte Yishay leitende Marketingpositionen bei Trusteer, einem Unternehmen für Finanzbetrug und fortschrittlichen Malware-Schutz, und bei Imperva inne. Yishay verfügt über mehr als 25 Jahre Erfahrung im Marketing und Produktmanagement bei Unternehmen in den Bereichen Sicherheit, Netzwerk, IT-Infrastruktur und Mobile Computing. Yishay hat einen Bachelor-Abschluss in Rechtswissenschaften von der Universität Tel Aviv.