在近日召开的亚马逊云科技re:Invent年度技术峰会上,亚马逊云科技发布了全新服务AWS Cloud WAN(预览版),Fortinet作为首批5家发布合作伙伴之一率先支持此服务,并且是能够同时提供完善的NGFW(下一代防火墙)+SD-WAN能力的唯一厂商。
随着企业越来越多采用公有云服务,SD-WAN的应用也迅速增长。毕竟,SD-WAN的主要用例是提供到云服务的快速和弹性连接。虽然向SD-WAN迁移是由节约成本、更快的部署速度和更多的应用控制能力驱动的,但一直以来其实在SD-WAN和MPLS(多协议标签交换)之间存在孰优孰劣的争议。MPLS提供了路由域和分段隔离的细粒度控制,并通过流量工程为用户提供端到端的低延迟和高服务质量。AWS Cloud WAN的推出意味着在AWS云中首次提供了一种产品,它具有类似MPLS核心网络的网络性能和稳定性,同时兼具让许多本地站点通过SD-WAN上云的灵活性优势。
AWS Cloud WAN建立在TGWC(中转网关)之上,允许用户定义核心网并再进一步的划分隔离段。每个隔离段都是一个全局同步且隔离的三层分段,类似于IP VPN或VRF,并在用户的AWS帐户内提供一个隔离的路由域。远程端点通过连接到CNE(核心网络边缘)来连接到核心网络(Core Network)。
在AWS Cloud WAN中,隔离段表示天然的隔离边界,可以基于这个边界启用应用安全检查。Fortinet的FortiGate NGFW虚拟化版作为策略实施点,应用零信任过滤,检查用户和应用流量,可以帮助组织保持隔离段的完整性。除此之外,它还提供SD-WAN功能。
FortiGate虚拟化NGFW结合AWS Cloud WAN可以为用户提供多个隔离段之间的无缝保护的能力,包括隔离段间和出向外部连接。通过将此架构与AWS GWLB(网关负载均衡器)相结合,Fortinet可以提供灵活的、可伸缩的安全检查,无论各个业务单元的需求如何。尤其将位于本地位置的FortiGate物理设备和AWS云中的虚拟设备与AWS Cloud WAN结合在一起,使得AWS上的混合云网络比以往任何时候都更加安全和灵活。Fortinet在为各种规模的组织提供安全的SD-WAN和运营商级MPLS保护方面处于领先地位。
用例1:单区域的隔离段检查
上图描述了单个AWS区域中的多个隔离段(AWS Cloud WAN初版不支持多区域)。如图所示,每个隔离段可以属于一个单独的用户,每个用户又属于单个组织的内部业务单元,或者一个MSSP(安全托管服务提供商)提供的服务。为了安全的进行Internet访问,每个隔离段都可以访问共享服务隔离段。一条由共享服务隔离段发布的默认路由,将应用VPC(专有网络)的流量通过CNE 路由到安全VPC。本例中使用GWLB时,针对隔离段、用户或应用部署检测策略,然后将检测策略返回到该GWLB原来的路径。
用例2:单区域服务商外联网
本用例扩展到了包括远程SD-WAN设备在内,就像您正常和MPLS服务商配合的情况。在这里,SD-WAN站点通过CNE连接到AWS,类似传统的MPLS CE-PE链路,隔离段中的路由可以发布到远端站点。通过AWS安全VPC的默认路由,远程站点可以实现类似于使用MPLS网络的共享安全Internet访问。在这种情况下,来自SD-WAN站点的流量将直接从FortiGate虚拟NGFW转发到IGW(互联网网关)。因为每个隔离段有独立的路由实例以及在GWLB处理NTA策略,打破IP地址不能重叠的限制。同时通过FortiGate提供即插即用的安全能力。
通过支持AWS Cloud WAN, Fortinet拓展了客户云边缘使用场景,提供灵活、良好的架构和云原生的高级网络安全。Fortinet的FortiGate NGFW和AWS Cloud WAN为云网络提供了电信级的性能、安全性和可靠性,使企业能够实现他们的数字加速目标。
发表评论