Новости Статьи VMware Veeam StarWind vStack Microsoft Nakivo Citrix Symantec События Релизы Видео Контакты Авторы RSS
Виртуализация и виртуальные машины

Все самое нужное о виртуализации и облаках

Более 6230 заметок о VMware, AWS, Azure, Veeam, Kubernetes и других

VM Guru / Articles / Знакомимся с инфраструктурой VMware SASE и концепцией ZTNA

Знакомимся с инфраструктурой VMware SASE и концепцией ZTNA

Знакомимся с инфраструктурой VMware SASE и концепцией ZTNA

Автор: Александр Самойленко
Дата: 29/07/2022

Поддержите VM Guru!

USDT / TRC20, адрес: TCDP7d9hBM4dhU2mBt5oX2x5REPtq9QdU1




Статья:

В 2017 году компания VMware купила компанию VeloCloud, которая занималась продвижением технологии SD-WAN (software-defined WAN) для организации программно-определяемых WAN-сетей. Напомним, что для корпоративных онпремизных и облачных сетевых сред у VMware есть решение NSX, но решения VeloCloud предназначались для управления WAN-инфраструктурой компаний, которым было необходимо организовать и контролировать доступ пользователей из разных точек земного шара, с разных устройств и разных условиях защищенности и стабильности каналов, когда ресурсы организации, а также внешние SaaS-сервисы, находятся в географических разнесенных датацентрах. Сегодня мы поговорим об инфраструктуре VMware SASE - Secure Access Service Edge, которая призвана решить проблемы нового времени.

После покупки VeloCloud компания VMware интегрировала ее технологию в свою экосистему и объединила многие ее компоненты под зонтиком платформы SASE, которая была расширена средствами других продуктов и компаний, некоторые из которых были приобретены VMware. Концепция SD-WAN позволяет виртуализовать WAN-сети в целях отделения программных сетевых служб от оборудования и оконечных устройств, что дает гибкость, простоту управления, производительность, безопасность и возможность быстрого масштабирования в облаках.

Как продолжение эволюции технологии MPLS, SD-WAN позволяет целиком задействовать недорогие высокоскоростные интернет-каналы при сохранении требуемого качества обслуживания. Оборудование SD-WAN Edge обходится дешевле традиционных маршрутизаторов, а для подключения новых филиалов не требуется выезд высококвалифицированного специалиста.

Почему вообще возникла технология SD-WAN? Очень просто - современный подход к организации сетевого взаимодействия в гибридных инфраструктурах и средах удаленного доступа игнорирует многие проблемы, возникающие в постковидном мире удаленной рабочей силы. Например, давайте взглянем на следующие кейсы:

  • Пользователи соединяются между собой по всему миру, а политики компании требуют от них соединяться с корпоративным датацентром через VPN, что часто создает очень длинные маршруты. Например, пользователь подключается к конференции Microsoft Teams, для которой у Microsoft есть Point-of-Presence в облаке совсем рядом, но трафик маршрутизируется все равно через датацентр компании, который может находиться в тысячах километрах от этого места.
  • Пользователи используют ресурсы внешних SaaS-провайдеров. Например, работник хочет скачать файл из папки на сервисе Box коллеги из-за рубежа. В этой стране есть датацентр Box, но работник все равно подключается к VPN своего датацентра в другой стране, и трафик идет очень долгой дорогой по защищенному каналу.

Очевидно, что эти проблемы в глобальном масштабе надо решать - так появилась концепция SD-WAN и, в итоге, инфраструктура SASE. Технология VeloCloud Dynamic Multi-path Optimization (DMPO) позволяет автоматически отслеживать адреса, куда обращается пользователь, и обнаруживать приложения и перенаправлять их в нужные географические расположения сервис-провайдеров, задействуя все имеющиеся каналы связи. За счет интеграции со средствами распознавания приложений, аналитики производительности канала, приоритизации трафика и динамической маршрутизации, DMPO позволяет создать соединение на базисе packet-by-packet, чтобы обеспечить максимальное быстродействие для пользователя. Это и позволяет не прерывать звонок по Zoom в его середине и избегать ошибок синхронизации различных сервисов.

SD-WAN, таким образом, является платформой для инфраструктуры SASE.

 

Идея концепции SASE в том, чтобы обеспечивать защиту доступа к приложениям в географических центрах, максимально приближенных к облачной инфраструктуре, где эти приложения находятся (публичные облака и облака сервис-провайдеров). Сейчас у SASE есть более, чем 150 точек присутствия (points of presence, PoP), где физически размещено оборудование в облачных датацентрах, что позволяет построить безопасный и высокопроизводительный мост к географически локализованным SaaS-сервисам приложений. Партнерами VMware в рамках архитектуры SASE являются такие компании, как Equinix, которые ставят к себе на колокейшен оборудование компании.

Компоненты SASE включают в себя следующие решения, которые можно приобретать покомпонентно или в рамках набора, предоставляемого соответствующей PoP:

  • Реализацию шлюза для облачной технологии VMware SD-WAN, которая виртуализует WAN-сети в целях отделения программных служб от оборудования. Этот компонент представлен тремя продуктами: VMware SD-WAN Orchestrator - средство управления инфраструктурой SD-WAN, VMware SD-WAN Gateway - распределенная сеть сервисных шлюзов, размещенных по всему миру, и VMware SD-WAN Edge - программно-аппаратные средства для соединения к онпремизным и облачным сервисам, инструменты глубокого анализа пакетов, а также средства предоставления сервисов virtual network function (VNF).
  • Компонент VMware Secure Access для удаленного доступа в рамках фреймворка zero-trust network access (ZTNA). Это новый уровень VPN-подобных решений, который дает новые инструменты для доступа к облачным приложениям и их защите.
  • VMware Cloud Web Security - это интегрированное решение на базе таких техник, как Secure Web Gateway (SWG), Сloud access security broker (CASB), Data loss prevention (DLP), URL filtering, а также Remote browser isolation (RBI), что реализовано на уровне SASE PoP для защиты прямого доступа к SaaS-приложениям и веб-сайтам.
  • VMware NSX Cloud Firewall – это реализация VMware NSX next-generation firewall (NGFW) с расширенной функциональностью, такой как DPI, IPS/IDS как части сервисов SASE, чтобы обеспечить дополнительную защиту при доступе к онпремизным приложениям на базе идентичности пользователя.

Как вы видите на картинке, в рамках SASE также есть и дополнительный опциональный компонент - VMware Edge Network Intelligence (ранее этот продукт назывался Nyansa Voyance). Это платформа для отслеживания активности подключений и сетевых потоков в рамках концепции AIOps, которая предполагает использование алгоритмов AI/ML для аналитики трафика WAN-to-branch, WiFi/LAN, а также на уровне приложений.

Концепция защищенного удаленного доступа, который требуется пользователям, в современном мире реализуется через ZTNA (zero-trust network access), которая предполагает выдачу доверенного доступа пользователям не на базе его местоположения и IP-адреса, а на базе его идентичности и контекста работы приложений. Главное отличие ZTNA от VPN в том, что ZTNA предоставляет защищенный доступ для определенных сервисов и приложений, а не для всей сети, как это делает VPN. Это позволяет изолировать пользовательский доступ в рамках защищенных туннелей, откуда приложения не могут получать данные о других сетевых сервисах.

Получив доступ к уязвимому приложению, злоумышленник не сможет просканировать инфраструктуру доступа на наличие других приложений и не получит доступа к конфиденциальным данным компании. Механизм ZTNA является неотъемлемой частью инфраструктуры VMware SASE.

С точки зрения инструментов управления инфраструктурой SASE компания VMware предоставляет следующие инструменты для администраторов:

  • Функции VMware Secure Access реализуются инструментами Unified Endpoint Management (UEM) и VMware SD-WAN Orchestrator
  • Функции VMware Cloud Web Security и VMware NSX Cloud Firewall управляются через VMware SD-WAN Orchestrator

На уровне сервис-провайдеров, предоставляющих инфраструктуру SASE эти средства интегрируются с функциями Global Services Manager, который управляет глобальными службами инфраструктуры, касающихся не только SASE:

В итоге, для предприятий различного масштаба инфраструктура SASE даст следующие преимущества:

  • Использование cloud-native подхода для доставки трафика самым оптимальным путем в рамках гибридной инфраструктуры, использующей онпремизные и облачные датацентры
  • Предоставление унифицированного безопасного доступа для удаленных пользователей в разных локациях и филиалах
  • Предоставление контекстного доступа на базе идентичности пользователя, расположения устройства и его профиля безопасности
  • Управление политиками безопасности для пользователей в интернете из единой точки

VMware приводит несколько полезных эффектов от внедрения инфраструктуры SASE и Edge Network Intelligence, вот, например, один из даташитов об эффекте платформы для коммуникаций через Zoom:

Более подробно о решении VMware SASE вы можете почитать на официальной странице продукта. Также рекомендуем очень интересную книгу "SASE and ZTNA for dummies", где довольно подробно рассматривается проблематика и сценарии использования инфраструктуры защищенного доступа через SD-WAN в рамках ZTNA.

О работе инфраструктуры VMware SASE на примере конкретных сценариев можно узнать из видео VMware ниже:

Также рекомендуем к прочтению интересный документ "Intel architecture optimizes VMware SD-WAN Edge performance", в котором рассказывается о решении VMware Secure Access Service Edge (SASE) на базе аппаратных платформ Intel. В документе описывается использование компонентов VMware SD-WAN Edge на базе различных платформ Intel, использующих процессоры Atom и Xeon. Требуемая конфигурация устройств SD-WAN рассматривается через призму требований приложений к пропускной способности канала, а также объема виртуализуемых сетевых служб, таких как фаерволы, системы IDS и прочее, которые работают как VNF (virtual network functions) в рамках программно-аппаратных модулей.

Интересное:





Зал Славы Рекламодателя
Ближайшие события в области виртуализации:

04/11/2024:  VMware Explore 2024 Барселона

Быстрый переход:
VMware Cloud StarWind VMachines Offtopic NAKIVO vStack Gartner Veeam Vinchin Nakivo IT-Grad Teradici VeeamON VMworld PowerCLI Citrix VSAN GDPR 5nine Hardware Nutanix vSphere RVTools Enterprise Security Code Cisco vGate Microsoft SDRS Parallels IaaS HP VMFS VM Guru Oracle Red Hat Azure KVM VeeamOn 1cloud DevOps Docker Storage NVIDIA Partnership Dell Virtual SAN Virtualization VMTurbo vRealize VirtualBox Symantec Softline EMC Login VSI Xen Amazon NetApp VDI Linux Hyper-V IBM Google VSI Security Windows vCenter Webinar View VKernel Events Windows 7 Caravan Apple TPS Hyper9 Nicira Blogs IDC Sun VMC Xtravirt Novell IntelVT Сравнение VirtualIron XenServer CitrixXen ESXi ESX ThinApp Books P2V vSAN Tanzu VCF AI Intel Workstation Private AI VCP V2V HCX Aria NSX DPU Explore Update EUC Avi Broadcom Community Skyline Host Client Chargeback Horizon Labs SASE Workspace ONE Networking Backup Ransomware Tools Performance Lifecycle Network AWS API USB SDDC Fusion Whitepaper SD-WAN Mobile VMUG SRM ARM HCI Converter Photon OS Operations VEBA App Volumes Certification VMConAWS Workspace Imager SplinterDB DRS SAN vMotion Open Source iSCSI Partners HA Monterey Kubernetes vForum Learning vRNI UAG Support Log Insight AMD vCSA NSX-T Graphics NVMe HCIBench SureBackup vCloud Обучение Web Client vExpert OpenStack UEM CPU PKS vROPs Stencils Bug VTL Forum Video Update Manager VVols DR Cache Storage DRS Visio Manager Virtual Appliance PowerShell LSFS Client Datacenter Agent esxtop Book Photon Cloud Computing SSD Comparison Blast Encryption Nested XenDesktop VSA vNetwork SSO VMDK Appliance VUM HoL Automation Replication Desktop Fault Tolerance Vanguard SaaS Connector Event Free SQL Sponsorship Finance FT Containers XenApp Snapshots vGPU Auto Deploy SMB RDM Mirage XenClient MP iOS SC VMM VDP PCoIP RHEV vMA Award Licensing Logs Server Demo vCHS Calculator Бесплатно Beta Exchange MAP ONE DaaS Hybrid Monitoring VPLEX UCS GPU SDK Poster VSPP Receiver VDI-in-a-Box Deduplication Reporter vShield ACE Go nworks iPad XCP Data Recovery Documentation Sizing Pricing VMotion Snapshot FlexPod VMsafe Enteprise Monitor vStorage Essentials Live Migration SCVMM TCO Studio AMD-V KB VirtualCenter NFS ThinPrint Stretched Memory Bugs Director ESA Troubleshooting Android Python Upgrade ML Hub Guardrails CLI VCPP Driver Foundation HPC Orchestrator Optimization SVMotion Diagram Ports SIOC Plugin Helpdesk VIC VDS Migration Air DPM Flex Mac SSH VAAI Heartbeat MSCS Composer
Полезные постеры:

Постер VMware vSphere PowerCLI 10

Постер VMware Cloud Foundation 4 Architecture

Постер VMware vCloud Networking

Постер VMware Cloud on AWS Logical Design Poster for Workload Mobility

Постер Azure VMware Solution Logical Design

Постер Google Cloud VMware Engine Logical Design

Постер Multi-Cloud Application Mobility

Постер VMware NSX (референсный):

Постер VMware vCloud SDK:

Постер VMware vCloud Suite:

Управление памятью в VMware vSphere 5:

Как работает кластер VMware High Availability:

Постер VMware vSphere 5.5 ESXTOP (обзорный):

 

Популярные статьи:
Как установить VMware ESXi. Инструкция по установке сервера ESXi 4 из состава vSphere.

Включение поддержки технологии Intel VT на ноутбуках Sony VAIO, Toshiba, Lenovo и других.

Типы виртуальных дисков vmdk виртуальных машин на VMware vSphere / ESX 4.

Как работают виртуальные сети VLAN на хостах VMware ESX / ESXi.

Как настроить запуск виртуальных машин VMware Workstation и Server при старте Windows

Сравнение Oracle VirtualBox и VMware Workstation.

Что такое и как работает виртуальная машина Windows XP Mode в Windows 7.

Работа с дисками виртуальных машин VMware.

Диски RDM (Raw Device Mapping) для виртуальных машин VMware vSphere и серверов ESX.

Подключение локальных SATA-дисков сервера VMware ESXi в качестве хранилищ RDM для виртуальных машин.

Где скачать последнюю версию VMware Tools для виртуальных машин на VMware ESXi.

Инфраструктура виртуальных десктопов VMware View 3 (VDI)

Как перенести виртуальную машину VirtualBox в VMware Workstation и обратно

Как использовать возможности VMware vSphere Management Assistant (vMA).

Бесплатные утилиты для виртуальных машин на базе VMware ESX / ESXi.

Интервью:

Alessandro Perilli
virtualization.info
Основатель

Ратмир Тимашев
Veeam Software
Президент


Полезные ресурсы:

Последние 100 утилит VMware Labs

Новые возможности VMware vSphere 8.0 Update 1

Новые возможности VMware vSAN 8.0 Update 1

Новые документы от VMware

Новые технологии и продукты на VMware Explore 2022

Анонсы VMware весной 2021 года

Новые технологии и продукты на VMware VMworld 2021

Новые технологии и продукты на VMware VMworld 2020

Новые технологии и продукты на VMware VMworld Europe 2019

Новые технологии и продукты на VMware VMworld US 2019

Новые технологии и продукты на VMware VMworld 2019

Новые технологии и продукты на VMware VMworld 2018

Новые технологии и продукты на VMware VMworld 2017



Copyright VM Guru 2006 - 2024, Александр Самойленко. Правила перепечатки материалов.
vExpert Badge