SASE架构中的数字体验监控与终端安全检查

在本文中，我将深入探讨数字体验监控（DEM）和终端状态检查的概念，并讨论这些关键能力如何集成到SASE框架中以实施零信任原则。这些能力共同赋能企业的安全和IT团队，无论用户从何处连接，都能保持最佳性能、强大的安全状态和信任。

数字体验监控

数字体验监控（DEM）有助于监控并提供整个路径的可观测性。它提供跨终端、网络路径和应用服务的细粒度实时遥测数据，无论用户位于何处。过去，采用云资源的企业需要部署各种工具来监控云应用、网络基础设施或本地设备中的问题，以便为混合和远程员工提供一致的用户体验。

作为零信任模型的一部分，SASE通过将DEM直接集成到其框架中来应对这一挑战。借助DEM，IT和网络运营中心（NOC）团队能够准确识别性能下降（无论是在设备、WAN边缘还是应用层），并快速排查问题。这种操作可见性显著提高了平均解决时间（MTTR），并确保了一致的数字用户体验。

DEM如何工作？

为了提供全面的端到端性能可见性，数字体验监控（DEM）通过终端监控、合成测试和SASE结构内的内联流量检查的组合来运作。以下是DEM在用户到应用路径的各个层面的工作方式。

终端代理：边缘的实时可见性

数字体验监控（DEM）通过安装在用户设备（通常是笔记本电脑或移动设备）上的代理启用，以持续监控用户访问应用时的体验。该代理收集设备级性能数据，并发送合成探测（如ping、traceroute、HTTP GET请求和TWAMP）以模拟用户活动并测量网络和应用的响应性。所有收集的指标都转发到分析引擎，以精确定位性能下降的根源。

用户设备层

• 代理收集系统级指标，包括CPU使用率、内存利用率、磁盘队列长度和电池健康状态。
• 代理还在后台执行真实用户监控（RUM），从用户交互中捕获数据，包括延迟和网站加载时间。
• 这些指标有助于确定性能问题是与设备相关还是由网络引起。

WiFi层

• 代理评估WiFi连接的信号强度和质量。分析收集的日志表明信号是否弱，用户可能需要靠近接入点。
• 代理还使用驱动程序WiFi驱动程序的遥测数据收集、传输和接收带宽信息。

本地网络（LAN）

• 分析用户设备与本地网关之间的连接问题。从客户端到ISP可能会发生本地网络问题，如数据包丢失、抖动和延迟。
• 向下一跳网关发送ping/traceroute以识别本地网络上的问题。

互联网（ISP/中间链路）

• 通过收集性能指标（包括拥塞、数据包丢失、抖动和延迟）来识别从互联网到SASE网关的问题。
• 上述指标来自ping、traceroute和TWAMP测试的结果。

SASE POPs/网关（最后一英里）

• 在此层识别与SASE结构相关的不同问题。在SASE结构层识别以下问题：
  • 网络底层问题包括数据包丢失、抖动、延迟和拥塞。
  • 系统资源，如CPU利用率、内存利用率和磁盘损坏。
  • 与阻止数据流量的安全策略相关的异常。

应用服务器

• 使用ping、traceroute或HTTP GET请求检测从POP/网关到应用服务器的网络问题。
• 高响应时间
  • DNS查找时间：DNS将域名解析为应用服务器IP地址所花费的持续时间。
  • TCP连接时间：与应用的Web服务器完成TCP握手所需的持续时间。
  • TLS/SSL握手时间：为HTTPS连接完成TLS/SSL握手所需的持续时间。
  • 数据传输时间：数据传输所需的持续时间。
  • 首字节和末字节时间：指发出请求后接收第一个或最后一个信息字节所花费的持续时间。

基于上述导出的指标对应用体验进行评分。

跨SASE结构内联流量检查和监控

DEM还可以集成到SASE流量流中，以提供整个网络的实时会话级洞察。DEM监控通过SASE结构的所有网络或会话流量，包括TCP和UDP，以提供用户体验以及应用在各种条件下如何行为的实时洞察。DEM检查跨SASE结构的内联流量以提取以下元数据：

• 源IP、目标IP、源端口、目标端口
• 往返时间
• 数据包丢失
• 应用层延迟

终端代理：实时可见性工作流

如何处理大量DEM数据

DEM洞察

所有来自各个阶段的统计、指标和日志都发送到分析引擎。分析引擎关联这些数据，并利用这些洞察（DEM洞察）识别问题。例如，对于一个问题，分析引擎将关联：

• 有多少用户正在经历此问题？
  • 如果只有少数用户连接不佳，分析将表明问题要么出在他们的本地LAN或WiFi层，要么是设备本身。
• 如果许多用户遇到性能问题，他们是否都连接到同一个ISP？
• 这些用户是否连接到同一个SASE PoP？日志表明分析将显示问题与底层网络、SASE PoP资源利用率或从用户到SASE PoP的路径是否最优有关。
• 这些用户是否访问同一个应用？分析将指示用户是否访问靠近其地理位置的应用，或者问题是否是拥塞或应用服务器资源利用率导致高响应时间。

DEM的好处

将DEM无缝集成到SASE架构中为企业带来了显著的好处。

• IT和NOC团队可以依赖DEM提供问题根本原因及其性质的洞察。
• 通过持续监控和提醒适当团队，从被动监控转向主动监控。
• 提供清晰的洞察缩短诊断时间，从而更快解决客户工单。
• 为混合和远程员工提供一致的用户体验和应用性能，以增强业务成果。

AI驱动的DEM以获得更深入的洞察

AI驱动的DEM可以进一步优化用户、网络基础设施和应用的数字体验。DEM现在转向预测性和自主修复行动系统，并与主动监控配对。利用历史数据和对从用户到应用的每个点的持续实时监控，AI/ML驱动的DEM系统：

• 基线每个组件的预期行为。如果观察到任何偏离基线行为的情况，AI会标记任何潜在的性能下降。
• 提前预测性能下降的趋势。例子包括SASE PoPs路径上的数据包丢失、抖动和延迟，以及某些区域的WiFi信号恶化问题等。
• 如果在从用户到应用的任何层观察到任何问题，系统会触发修复步骤。例如：
  • 如果观察到从用户到SASE PoP的路由拥塞，系统可以启动重路由到同一PoP内性能更好的路径，或将连接切换到不同的SASE PoP。
  • 为用户提供自导式故障排除步骤，以解决其设备问题，如高CPU或内存利用率，或低电池健康状态。

终端状态检查

作为ZTNA实施的一部分，终端状态检查在SASE网关上配置，以保护企业数据和应用程序。使用终端状态检查，企业基于其实体的状态维护安全标准。企业根据其标准指南评估终端安全性和健康信息，以决定是否允许或拒绝终端连接到SASE网络并访问企业资源。企业还知道用户从哪里连接以及他们使用哪些设备。当用户设备尝试连接到SASE网关以访问企业资源时，终端状态检查收集有关设备的元数据和上下文属性。客户端在注册过程中收集设备的元数据。元数据包括：

• 操作系统和版本：macOS Sequoia、Windows 11、Ubuntu 23.10等
• 设备类型：笔记本电脑、移动设备或平板电脑。
• 设备状态：
  • 防火墙
  • 反恶意软件
  • 反病毒软件
  • 磁盘加密软件
  • 数据丢失防护软件
  • 最新补丁更新
  • 特定批准的浏览器
• 用户身份：通过Active Directory (AD)、LDAP或单点登录（SSO）登录的用户。
• 地理感知：用户登录的时间和位置。

企业如何处理元数据和属性？

企业管理员使用收集的终端元数据和属性来配置安全策略和流量引导配置文件。基于收集的信息，用户终端被授予或拒绝访问网络。此外，应用安全策略以访问企业应用或资源。另外，SASE网关在终端连接后持续评估终端，以了解设备状态的任何变化。例子：

• 使用Windows 11、Symantec反病毒和CrowdStrike软件的用户被允许连接到SASE网关。此外，用户被允许访问企业数据库和/或SharePoint应用。
• 使用Windows 11、Windows Defender和CrowdStrike软件的用户被允许连接到SASE网关。连接后，如果Windows Defender被禁用，则拒绝访问任何企业资源。
• 使用Windows 10和Windows Defender的用户不允许连接到SASE网关，因为Windows 10不被认可为企业标准操作系统。

结论

DEM和终端状态检查是智能SASE架构的基本特性。这些能力使企业能够从被动监控和保证转向主动。

• DEM提供对用户和设备体验的持续、实时可见性。此外，它们使IT团队能够在问题影响网络之前检测和解决问题。
• 通过终端状态检查，只有受信任和合规的设备被授予对企业网络和应用的访问权限。这样，企业网络得以免受受损和不合规终端的威胁。