说到 SASE,新的安全范式有哪些
來源 |?好奇瞅瞅
責編 | 寇雪芹
頭圖 |?下載于視覺中國
前言
本系列目錄:
深入理解SASE(一):什么是云化
深入理解SASE(二):網絡云化及演進方向
深入理解SASE(三):什么是云網融合
深入理解SASE(四):SD-WAN市場分析及細分切入
深入理解SASE(五):新的安全范式
對于SASE,當前可能存在兩類看法:
又瞎扯淡:感覺SASE沒啥,和SD-WAN一樣,炒作成分居多;
不明覺厲:感覺SASE重要,但又說不上來哪里好,了解一些相關技術。
一個可能的原因是:諸如Gartner之類的高大上權威,在定義完SASE后,一上來就談SASE有12點優勢,“巴拉巴拉”小魔仙,非常感人。Gartner作為一家頂級咨詢機構,客戶都是花了大筆訂閱費的,這也決定了必須要專業嚴肅一些。
作者沒背景,沒負擔,無束縛,可以不按套路,會按一貫風格,側重分析:
散點知識如果沒法融入知識體系,早晚都會是過眼浮云。
更重要的一點,作者也不懂什么高深的安全技術,還得繼續學習。
一個人不可能全心投入他不認可的領域。所以,即便是為了跨界學習,也需要盡可能理解SASE,這也是整理本文最原始的初衷。
什么是范式
In science and philosophy, a paradigm is a distinct set of concepts or thought patterns, including theories, research methods, postulates, and standards for what constitutes legitimate contributions to a field. -- Wikipedia
什么是范式?在科學和哲學中,范式是一組獨特的概念或思維模式,包括構成一個領域的一套自洽的理論,研究方法,假設和標準。
范式有什么用?范式會自帶世界觀,會引導人們帶著其特有的傾向和思路去析構世界,認知/分析/解決問題。
可能還是有些抽象,舉一個最直接的范式例子:地心說和日心說。
圖2-1:日心說與地心說;來源:http://www.malinc.se/math/trigonometry/geocentrismen.php
上圖的右半部分,是地心說下的太陽系;
上圖的左半部分,是日心說下的太陽系。
推薦點擊圖片鏈接,可以看到動態軌跡圖;地心說其實是挺精妙的。
以上,地心說是一種范式,日心說是另一個范式。
同一個世界,在不同范式的析構下,會呈現出巨大的復雜性差異,這就是范式的作用。
作者認為,和SD-WAN類似,SASE也不是一種產品,不是一種技術,而是一種新的安全范式,這也意味著SASE可能會進一步衍生出不同的技術、工具和產品。
SASE至少提供了兩個范式:
一個是產品形態方面的,這里可能會卡一卡傳統設備商;
一個是業務建模方面的,這里可能會拼一拼產品架構。
產品形態的范式
3.1 為什么產品形態重要
先回到一個經典例子:“客戶不是要買電鉆,而是要買墻上的那個洞”。
?圖3-1:客戶要的是電鉆嗎;來源:互聯網
假設你要掛一幅畫:
產品形態:你花了200元錢,在京東上買了一把電鉆,京東很牛逼,次日達。次日,你疊起了兩個凳子,晃晃悠悠,勉強打了兩個洞,掛上了畫。
服務形態:你給物業打了個電話,物業報價20元/洞,15分鐘內上門。物業帶了一些列電鉆鉆頭和折疊梯,30分鐘完成掛畫,還幫你清理了鉆墻的粉屑。
高級的服務形態:物業上門后,查看了一下畫和墻,直接推薦掛鉤方案,既不破壞墻體,也沒有噪音灰塵。你認可了,物業也更方便,只收了20元。說這更高級,是因為“聽用戶說,但沒有照著用戶說的去做,而是在洞悉之后售賣了更為專業的服務”。
更高級的服務形態:物業上門后,發現畫風與墻飾風格不符,現場說出了三點原因,給出了完整建議。你一聽還挺受用,購買了物業的裝飾服務,收費200元。你很高興,因為在親友面前提升了品味;物業也很高興,因為不但成了更大的單,而且因為準確挖掘了客戶的根本訴求,客戶的滿意度和忠誠度也更高。說這更高級,是因為這項服務過渡到了“售賣標準”,在這個例子里,就是“審美標準”。售賣標準,長期是西方國家的優勢領域,當前很多中國產品,正在試圖突破這個階段。
為什么服務形態比產品形態更加高級?這個問題搜不到答案,以下是一些作者理解:
更容易接近真實需求:產品是硬的,服務是軟的。社會進步的標志就是分工越來越細,這也意味著需求越來越多樣化,軟性的服務相對更容易匹配用戶的真實需求。以上例子,“打洞”就要比“電鉆”更接近用戶的真實需求:不同的客戶有著不同的墻體,不同的孔徑,不同的深度,“打洞”顯然更要比“電鉆”更容易匹配各種真實需求。一個更加宏大的例子:哪怕是最硬梆梆的制造業,在推的概念也是“柔性制造”,本質上就是“軟件定義產線”,盡可能去快速逼近細分客戶的特定需求。
用戶界面更簡單:產品離滿足需求,還差了一個“集成”。在這個例子里,集成比較簡單,就是業主自己去操作打洞,但其實也是有一定門檻的;在很多2B產品的例子里,集成往往會更加困難,一個直接表現就是存在著大量的集成商;不過羊毛出在羊身上,這些都會增加客戶的廣義擁有成本。
更快滿足需求:客戶,大多都會把時間留給自己,把難題留給供應商:下單之前,貨比三家,磨磨嘰嘰;下單之后,立刻就要,拼命催單。這是客觀存在的事實,很難改變客戶的心理,那就只能改變自己的交付形態了。
3.2 產品形態的串聯
SASE在產品形態方面的范式革新,已然比較明顯:客戶要的不是設備,也不是功能,而是服務。
最好這個服務足夠全,能涵蓋我的所有相關需求,不用讓我再去考慮多供應商和多供應商之間的集成問題;
最好這個服務剛剛好,可以調整到剛好涵蓋我的所有相關需求,不用讓我多花一分冤枉錢;
最好這個服務夠專業,可以成標準成體系地從根本上解決相關顧慮,可以讓我在老板面前更專業更得力。
前文提到,產品形態的范式,可能會卡一卡傳統設備商,那我們就來稍微展開一下。
一個設備虛擬化了,就成為服務了嗎?當然不是。虛擬化了的,還只是功能。功能和服務差在哪?功能是偏靜態的,偏供給側視角的;服務是偏動態的,偏需求側視角的。這兩者又有什么區別?偏靜態的供給側視角:我有這這這功能,超級牛逼,你來用用啊;偏動態的需求側視角:客戶發現,在他想睡覺的時候,路上出現了一個枕頭;在他想打怪的時候,路上出現了一個耙子,他甚至不需要“懂”,只需要會“用”。
在客戶隨時需要時能隨時滿足,“敏捷、彈性、按量付費”,這樣才叫云化服務;或者翻譯成那句大白話:“不求天長地久,但求要時能有,隨時要隨時有”。所以,
需要齊全的網絡棧和安全棧,足以匹配各種場景的網絡和安全需求;
需要高度的虛擬化和模塊化,足以剛剛匹配所需的場景;
需要高效的建模能力和快速的投送能力,足以應對VUCA的用戶和需求。
這方面,再啰嗦估計就要被嫌棄了,這個系列也已經鋪墊很久了,可以參考前面幾篇,不再贅述。
3.3 大道無形
本章最后,做個大膽預測:與SD-WAN類似,SASE可能也會分成“名義市場”和“無形市場”;會有一些更大的玩家去玩“無形市場”,即直接服務一個更大的產品或產品體系,不以“SASE”的名頭直接出現在市場上,拭目以待。
業務建模的范式
4.1 為什么業務建模重要
之前提到,范式能幫助我們析構世界,引導我們去認知/分析/解決更廣更深的問題。
產品形態的范式,解決了用戶界面復雜度的問題;業務建模的范式,解決了產品架構復雜度的問題。
2B產品,本質上是強化了某種生產關系。這就意味著,2B產品必須要解決具體的現實問題,而解決問題的效能和效率,取決于產品本身對現實世界的建模能力:模型越逼真,方案越匹配。
圖4-1:問題域與解決方案;來源:互聯網
4.2 范式與技術
在進一步析構業務建模的范式之前,有必要先澄清一下范式與技術之間的關系,因為兩者在SASE里,都會是重要的存在。
范式和技術是兩個層面的詞,先進的范式,不代表先進的技術。還是以地心說和日心說為例,反倒是地心說可能需要更高深的技術功底才能掌握,而日心說,初中物理水平就已足夠理解。回望歷史,往往正是舊范式的建模能力有限,為了逼近真相,才被迫發展出很多“高深”的技術來“代償”。
這也是為什么不建議直接投身技術而是先來研究一下范式背景:技術容易成為深深的豎井,貿然進去短時間可能爬不出來,反而就容易忽略新技術所代表的新范式本身的力量。一個最簡單的例子,比如C和C++的區別在哪?
表面上,兩者的語法確實有區別,但這不是本質區別。
C++蘊含的是一種面向對象的編程范式(Object-oriented Programming Paradigm),語法變化只是為了落地新范式的手段之一。見語法而不見OOP,就容易有點知乎所以,不入門道。
面向對象編程范式,與指令式編程范式、過程式編程范式相比有什么好處?并非后者無用,它們至今都仍在各自領域發揮重要作用;舊范式的問題,往往在于不適合構建復雜系統,難以適應快速變化的商業需求。需要用最趁手的工具,解決最迫切的問題,僅此而已。
其實,中國人理解范式與技術,應該是有些獨特的優勢的:
第一、先哲智慧:君子不器。“形而上者謂之道,形而下者謂之器”。道是系統,器是工具;道有主動性,器為被動性。
第二、武俠文化:范式和技術,有點像武俠中的心法和招式,兩者都很重要。
一直在夸范式,也得扶一扶技術:趙志敬只教楊過心法,不教招式,楊過空有心法但沒法用招式使出來,就容易被胖道士欺負。
此外,招式具有外在性,相對容易模仿習得,反而是心法,一般是不外法門。這么說,本文的價值更大一些。:-)
4.3 業務建模的串聯
如果閱讀過一些相關材料,可能已經可以看出一些相關端倪了,以下摘錄一段CATO的表述:
Solving emerging business challenges with point solutions leads to technical silos that are complex and costly to own and manage. Complexity slows down IT and its response to these business needs. SASE changes this paradigm through a new networking and security platform that is identity-driven, cloud-native, globally distributed, and securely connects all edges (WAN, cloud, mobile, and IoT).
這段文字很精彩,邏輯非常清晰,大意如下:
用當前點狀的解決方案,去解決當下涌現的業務挑戰,會導致一個個技術豎井,它們的獲取和管理,都很復雜且昂貴。請對照一下地心說,如果拿地心說去析構太陽系,就會有這個特點,需要定義什么“本輪”、“均輪”、“恒星天”等概念,這些概念就像是一個個技術豎井——你還是可以去逼近世界,但是會發現越來越散,越來越累,直到開始懷疑人生:“如果我是上帝,會不會弄出這么復雜的宇宙”。
復雜性會降低IT對業務需求的響應速度。請結合一下SASE的大背景:你理解成VUCA的延續也行,或者分解成云計算、移動計算、邊緣計算、全球化等等也行。更快的需求響應速度,正是為了解決一個一個更加挑戰的現實問題;所有的2B產品,都是生產工具性質的延伸,延伸了真實世界的邏輯關系。舊工具面對新問題,已經不再趁手了。
SASE通過一個新的身份驅動的,云原生的,全球分布的,安全連接所有邊緣的網絡和安全平臺,改變了當前的范式。這是在一句話總結SASE,很精彩:
“云原生的”,“全球分布的”,“安全連接所有邊緣的”,“網絡和安全平臺”,這些內容涵蓋在“產品形態的范式”中,以及在本系列的前期鋪墊中,這里不再贅述。
以下會重點析構一下“業務建模的范式”的四個基礎。
4.3.1 基于身份驅動
范式還有一些有意思的特點:
初階范式最符合人類的直覺。日心說如此,最符合人們仰望天空所得的直覺;基于邊界的安全模型也是類似:大到國家沖突,小到同桌別扭,千百年來人們一直都是這么直接認知的,見下表。
新范式一旦被發明之后,人們會覺得新范式是多么的自然,自然到“不值一提”。翻譯成不太雅的話,有點像:許久便秘的憋屈,如今一氣呵成,太特么舒服了;通了就好,鬼才想回憶過往,對比分析呢。例如,日心說發明之后,一切都是那么暢快那么自然那么不值一提,你很難再理解地心說在科學精英中發展了1000多年的事實。所以,以下析構新范式的四個基礎時,可能也會讓你覺得“這特么不是廢話”么;如果有這種效果,作者就很高興,認為達到了初衷。
表4-1:現實世界與網絡世界安全模型對比
| 現實世界 | 網絡世界 |
安全區域 | 內網區域 |
非安全區域 | 外網區域 |
緩沖區(例如萊茵河、外蒙古) | DMZ, Demilitarized Zone |
SASE摒棄了傳統的基于邊界的安全模型,確立了“身份”這一概念的重要性:身份是所有訪問決策的中心,邊界退化成了至多是某種需要參考的上下文之一。
圖4-2:基于身份驅動;來源:Gartner
本章重點要談的就是新范式逼近現實世界的能力,所以就找一些現實世界的映襯。這一條,翻譯成大白話,就是:
“邊界”模糊了,基于邊界防守的安全模型不再可靠了;
“你是誰”才真正重要,邊界退化成了至多是某種動態上下文——因為你在哪,邊界可能就需要動態地跟到哪:基于“你是誰”,配合著“什么時間”,“什么場地”、“什么工具”,“什么任務”,等等動態上下文,才是現代安全的基礎。
以上是什么?活脫脫就是以海灣戰爭為標志的現代戰爭理念的變遷啊。海灣戰爭改變了傳統的作戰模式,對二戰以來形成的傳統戰爭觀念,產生了強烈的震撼:
“邊境”?在現代化的打擊手段面前,想捅破時不是比紙還薄嗎?
“身份”到哪,依托現代化的快速投送能力(軟件定義網絡),迅速動態地構建針對作戰對象的立體防御體系(軟件定義安全),完成一個VUCA時代的業務目標,不是更像“軟件定義邊界”么。
圖4-3:沙漠盾牌與沙漠風暴行動,名字都起得那么有軟件定義邊界感;來源:互聯網
在這里特別提起海灣戰爭,是因為海灣戰爭這種現代化的“戰爭范式”,讓人們驚掉過一回下巴,包括兔子。尼瑪老美當年還通過調整衛星網絡(軟件定義網絡),對現代戰爭進行了人類歷史上的首次電視直播,好好“教育了一回市場”;海灣戰爭后,海灣地區的軍火市場,直接翻番——基于傳統邊界建立的政權,在現代戰爭面前,太特么脆弱了。
“兵者,國之大事,死生之地,不可不察也”,很多革命性的理念和技術,基本全部源于軍事,在解決成本問題之后,民用跟進。民用市場,不知道會不會出現一次“海灣戰爭式的市場教育”。
海灣戰爭之后的另一個戰爭理念變遷,是以911為代表的反恐戰爭,進一步崩塌了傳統邊界。這方面,普京大帝給出過一個精彩回答。
圖4-4:不受邊界束縛的反恐戰爭;來源:互聯網
普京大帝事后后悔了,覺得自己在媒體面前太沖動了,不過這更加說明了這個答案的內心真實性。
本節最后,重新回到Gartner對SASE的定義:SASE是一種基于實體的身份、實時上下文、企業安全/合規策略,以及在整個會話中持續評估風險/信任的服務。實體的身份可與人員、人員組、設備、應用、服務、物聯網系統或邊緣計算場地相關聯。
SASE按需提供所需的服務和策略執行,獨立于請求服務的實體、場所和所訪問的服務。
圖4-5:基于身份和動態上下文的功能棧;來源:Gartner
一些「基于身份驅動」的段子,活躍一下提到高大上機構之后的肅穆氣氛:
我媽挖了一勺西瓜沒拿穩掉地上了,她撿起來就要往我嘴里塞,看見我很詫異地盯著她,突然反應過來笑著說:“不好意思,我還以為你還是小時候呢!” 我突然感覺胸口有點疼。
身份+時間上下文:只核實了身份,沒有留意時間上下文。
昨晚在路邊停車等人,有個腦袋探到窗邊問:“走嗎?” 我心想:我TM又不是來拉客的黑車,于是頭也不抬地說:“不走!” 過了一會兒,他遞進來一張罰單。
身份+場地上下文:只留意到了位置上下文,沒有核實身份。
一位北方的朋友去重慶吃火鍋,問:“有麻醬嗎?” 服務員說:“麻將要開包間才有。”
身份+場地上下文+訪問信息的敏感程度:只核實了身份,沒有留意位置上下文,以及訪問信息的敏感程度。
以上段子,并不能直接套在SASE上,只是用來說明:用“基于身份驅動+動態上下文”,比“基于邊界+隱含身份”,是更容易寫出清晰易懂的規則去逼近真實世界的。
4.3.2 基于動態信任
可能有點殘酷,但是現實世界里,可能不存在絕對信任,信任是一個動態過程。以下兩位大佬,對此頗有心得。
圖4-6:動態信任;來源:混子曰
兩位大佬雖然簽訂了《蘇德互不侵犯條約》,但都在之后瘋狂瓜分夾在其中的國家作為緩沖區(基于邊界的安全模型);結果已經明了了,誰信的更多一些誰倒霉。
不了解歷史也沒關系,回顧一下我們自己認識新朋友的心路歷程,也可以足夠明了:剛認識一個人時,信任是比較模糊的;隨著“聽其言觀其行”,慢慢會對不同的人發展出不同的信任程度;但是無論到哪種程度,信任總是有范圍的,不是絕對的。
不知道孩子的初始狀態是否有絕對信任,不過長大之后都慢慢被教會了動態信任,說殘酷也行,說成熟也行,這就是現實。動態信任,更能逼近現實世界。
「基于身份驅動」和「基于動態信任」是什么關系?覺得前者是信任的動態載體,后者是信任的動態過程。
活躍一下氣氛,一些「基于動態信任」相關的段子:
朋友說他的媳婦兒特別懶,我問咋了,他說他家住三樓,他媳婦兒每次在網上買東西的時候都在備注上寫:“孕婦,行動不便,請送貨上門!” 前些天,快遞小哥終于忍不住了,在樓下大喊:“三年了!我忍了你三年了!你懷的是哪吒嗎!!”
這位快遞小哥,具備了人性的初始信任,最后被迫學會了動態信任。
長官問花木蘭:“聽說你在出征前,先到東市買了駿馬,再去西市買了鞍韉,然后去南市買了轡頭,最后,又到北市去買了長鞭,是不是這樣?”
木蘭說:“確實如此。”
長官接著問:“你是女人吧。”
木蘭感覺十分吃驚:“將軍你是如何得知我是女人?”
長官緩緩說道:“如果是男人,絕對是不會跑去逛了四個市集,而就為了買這些東西的。”
這位長官很老道,已然具備了初級的態勢感知能力,至少是全流量分析的能力。
以上兩個段子,也在側面說明:
身份還是靜態的,相對容易偽造;行為模式等是動態的,相對更難隱藏。
在身份被突防之后,通過動態信任機制建立起的安全模型,更容易逼近現實世界。
4.3.3 基于分層設計
分層,是人們簡化世界,理解世界的必須。網絡原本就存在分層,例如廣為人知的OSI七層模型。
圖4-7:OSI模型;來源:互聯網
但問題是,從架構角度而言,這里的網絡層,存在著較大問題。倒不是作者狂妄到敢批判協議,而是這與歷史有關:還是那句話,哪怕是頂級專家,都容易低估未來,當時互聯網規模極小,安全性并非設計時的首要考慮因素。網絡層,顧名思義負責網絡連接,這意味著它要面臨整個世界的攻擊面,但自身卻缺乏有效的安全機制。活脫脫一個傻白甜,“傻白甜”只是一種昵稱,另一個說法叫“坑爹”。
一個典型的例子就是DDoS類中的SYN Flood攻擊:“爹在家中坐,禍從天上來”。
簡單介紹一下SYN Flood攻擊:TCP是面向連接的傳輸層協議,大量的應用都基于TCP協議;因為是面向連接的協議,所以建立一個TCP連接需要經歷一個三步握手過程,以下選了一張比較直白的原理圖。
圖4-8:TCP三步握手;來源:https://github.com/jawil/blog/issues/14
SYN Flood攻擊者,操作一批肉雞向服務器喊話:“喂,你在嗎,伸出手來咱握一握唄”,然后玩消失,留著服務器在那伸手后傻等,直到超時。這種方式會消耗服務器大量的連接資源,進而沒有能力去服務合法用戶。
圖4-9:SYN Flood攻擊;來源:AllOT
SYN Flood為什么能成功,是因為攻擊者的喊話,在協議層面是完全合法的,服務器無法區分,只能做應答。作為家中端坐的爹(TCP層),心中定是一萬頭草泥馬,丫的老子的手是誰都可以摸的嗎?你丫龜兒子(IP層)能不能認清了再往家里帶!
IP層說兒做不到啊!事實上,IP層確實做不到,因為“認人”這事,帶了點語義層面的邏輯,IP層就一個負責通道的,哪管得到語義層面的事。那該怎么辦呢?“網絡革命的一聲炮響,給我們送來了SDN主義”。SASE在這方面的革新,更進一步,采用了零信任的理念,例如CSA(Cloud Security Alliance, 云安全聯盟)的SDP(Software-Defined Perimeter, 軟件定義邊界)實現方式:通過獨立的認證中心,隱藏網絡基礎設施;通過SPA(Single Packet Authorization, 單包授權認證)技術,隱藏認證中心自己。結果就是在網絡層,形成了一朵近乎零攻擊面的暗云(Dark Cloud),從根本上解決了網絡層自身的安全問題。
為什么說這也是SASE的范式基礎,是因為長期以來,我們其實已經躺平接受了:網絡層搞不定的安全問題,就蔓延到其他地方去轉移解決。
可能會有人覺得,你SASE不也把問題轉移到其他地方去了嗎?對,不過這種轉移,在架構上有著本質區別:這不是在縱向的層級之間轉移,而是橫向轉移給了更加專業的管控平面或者認證平面,邏輯清晰,平面隔離。
繼續拿現實世界做類比,你是否會把任何對象先領進家門,讓家長先握握手保持聯系?不會,家長有家長要負責的頭疼事,你會先委托專業的第三方檢查對方身份并開介紹信,比如具有國家信用背書的公安部門,有問題的對象,聰明如你,肯定連家門都不會讓他找到。
注意,通過以上分析,希望也可以理解到,包括零信任、包括SASE,其實也解決不了全部的安全問題,理論上只能解決可管控范圍內的部分問題。
4.3.4 統一開放架構
統一開放架構,可能是個隱藏的范式基礎,但是已經比較好推導了:
基于身份驅動,意味著認證中心需要獨立于業務網絡,這樣才能獨立完成初始驗證。
基于分層設計,意味著控制中心需要獨立于業務網絡,這樣才能在完成初始驗證后,控制整個網絡基礎設施的基于最小授權原則的閉合(先驗證再最小授權再開放再連接),以及集中控制網絡功能和安全功能的動態投放。
基于動態信任,意味著評估中心需要獨立于業務網絡,評估中心采集包括認證中心、控制中心、網絡基礎設施等在內的全貌信息,這樣才有可能通過記錄、分析,態勢感知等,保持動態信任。
以上,外加SASE需要較為完備的網絡棧和安全棧,很難由一家獨自完成,都意味著需要一個統一開放架構,去持續探索相關行業最佳實踐。這方面,已經跟主流SD-WAN產品緊密相關了,而且更能體現出SD-WAN作為廣域網云化這一生產方式變遷的發酵作用;此外,統一開放架構也還會進一步與其他相關領域綜合演進,諸如云原生、NFV等。這些方面,稍后分析MEC時,會盡量做些力所能及的說明。
本節最后,回應一下一個潛在問題和一個潛在趨勢:
潛在問題:傳統的安全功能還有用嗎?當然有用,C語言不是也還至今頑強么;只不過在很多場合,可能需要適配到包括統一開放架構在內的范式框架中。
潛在趨勢:產業互聯網可能會與SASE有什么樣的關系?直接以5G為例,原文引用5G架構協議中的一些架構原則:
"Separate the User Plane (UP) functions from the Control Plane (CP) functions, allowing independent scalability, evolution and flexible deployments e.g. centralized location or distributed (remote) location." 俗稱的CUPS(控制平面與數據平面徹底分離),帶來在獨立伸縮性、演進性以及靈活部署方面的諸多優勢。可以看作是基于分層設計以及基于統一開放架構方面的表現。
"Enable each Network Function and its Network Function Services to interact with other NF and its Network Function Services directly or indirectly via a Service Communication Proxy if required." 每個網絡功能和網絡功能服務與其它網絡功能和網絡功能服務之間的交互,通過直接方式,或者以服務通信代理的方式間接完成。可以看作是基于統一開放架構方面的表現。
"Support a unified authentication framework." 支持統一的身份驗證框架。可以看作是基于身份驅動,基于分層設計,以及基于統一開放架構方面的表現。
基于動態信任,作者當前暫未在協議層面找到,但可以理解,因為當前協議更多是在基礎設施層面做規范,而基于動態信任有點偏向于業務建模方面。但即便如此,還是傾向于預測:在5G的各個層面,逐步都會有更多基于動態信任的體現。
SASE系列至此完結,下一話題會過度到5G MEC。如果要從事ICT行業,離不開參考協議,但協議可能比字典還厚,所以會側重于對協議的導讀和分析。聽到過一些對通信行業的誤解,覺得相對較大的一個就是“通信行業是協議驅動”,那就從澄清這個誤解開始。
后記
預測趨勢要比預測時間點簡單得多,一些分析判斷:
5G、物聯網、邊緣計算等技術革新,不是為了技術而技術,而是為了能將數字化、信息化、智能化,從消費互聯網行業,延展到更為廣闊的產業互聯網領域。
為什么產業互聯網重要?因為第三次科技革命所能支撐起的消費互聯網,已經接近尾聲了,存量搏殺越來越激烈,政府、企業,都迫切需要新的增量來安撫“不安的靈魂”。
那當下產業互聯網為什么難做?除了技術原因之外,需要的主流創新模式不同。越上層的創新,復制起來也相對越快,這也客觀造就了當下能直接復制解決的問題,大部分都已經解決了。這種情況下,需要ICT(Information and Communication Technology,信息和通信技術)領域與各個行業領域,能有更加廣泛而深入的交流與融合,在原理層面相互理解貫通,才有可能孵化出更有意義的產品。
如果您也認同這個趨勢,歡迎來評論區聊聊~
何為“邊緣計算”?編程祖師爺尼古拉斯?威茨:算法+數據結構=程序“一學就會”的微服務架構模式除了 k8s,留給 k 和 s 中間的數字不多了!到底是誰發明了物聯網?再見 Nacos,我要玩 Service Mesh?了!點分享點收藏點點贊點在看總結
以上是生活随笔為你收集整理的说到 SASE,新的安全范式有哪些的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 你想知道的容器混合云问题,答案都在这里!
- 下一篇: Cloud Native Infrast