SD-WAN SASE Citrix Fortinet Cisco

新型態應用需求增長 帶動廣域網路與安全架構轉型

SD-WAN方興未艾 SASE助攻雲端防護

2020-10-12
隨著雲端服務越來越受企業歡迎,驅動廣域網路傳輸模式隨之改變,近年來在市場上竄紅的軟體定義廣域網路(SD-WAN)尤其受到具有多據點特性的金融業、兩岸三地製造業青睞,促使具備廣域網路傳輸技術的網路設備、防火牆、應用加速等廠商紛紛提出SD-WAN解決方案,並且從初期著眼降低頻寬支出,迅速發展到可提供安全存取服務前端(Secure Access Service Edge,SASE)框架,更貼近數位化應用發展中的混合雲架構資安控管需求。

 

SASE是Gartner去年(2019)提出的框架,主要根據當前數位化應用需求,建議企業發展方向必須具備身份辨識(Identity-Driven)、雲端原生(Cloud Native)、全球分散式部署(Globally Distributed)、支援所有接取端(Support All Edges)等方面的能力,SD-WAN則為整體網路架構的關鍵要素。

廣域網路轉型SD-WAN已是大勢所趨

SD-WAN核心精神在於運用軟體定義方式進行配置與控管,可支援多種廣域網路接取類型,包含MPLS、Internet、4G LTE或5G傳輸能力,以演算分析進行動態路徑切換方式提高關鍵應用傳輸品質,並且SD-WAN方案亦設計提供簡易操作配置與監看的介面,降低維運的複雜度。

思科台灣技術長馮志良觀察,近十年來資料中心持續發展軟體定義的成果,讓企業對於網路架構的革新奠定信心,欲藉此突破過去難以解決的困境,尤其SD-WAN初期被提出時定位相當明確,主要目的是為了降低電路開支,對於企業而言吸引力相當大,但須有完整措施確保穩定、安全的傳輸,才得以讓企業願意真正落實。

根據市場調研機構Dell’Oro  Group於今年(2020)第一季發布的數據顯示,2019年SD-WAN市場增長了64%,在IT領域可說相當突出。Citrix大中華區技術總監何浩祥指出,若從國際市場來看,SD-WAN確實顯著成長,主要是幅員遼闊的地區,單一客戶部署數量可能多達上千台設備。反觀本土企業,除非是擁有遍佈全台的營業據點,才較可能有SD-WAN應用需求。

Fortinet技術顧問楊光明亦認為,SD-WAN在國際市場增長的力道確實強勁,儘管本土企業已有相當多在積極地評選、概念性驗證,只是不見得立即會導入部署,畢竟多據點的企業,既有的路由政策規則複雜度已成為包袱。多數IT人員很清楚,過去設計規畫的網路架構看似運行順暢,實際上維運並不容易,可能只是簡單地調整設定參數,都得嚴陣以待觀察好幾天。正因為如此的制約,導致新技術無法被立即引進,既有企業IT現代化轉型只能逐階段推進。

外部據點本地卸載接取網路服務

至於新設立的外部據點,網路傳輸必須先整合到既有的路由架構,透過VPN接取網路,底層無需變動,用以實作SD-WAN是比較可行的方式。楊光明說明,VPN方案既有的分割通道(Split Tunnel)機制,連線目的位址是自家網段時才以加密傳輸,存取外部網站服務則直接以Internet傳輸,此機制又被稱之為本地卸載(Local Breakout)。

現代企業大多有兩條以上的線路,常見到租用MPLS專線確保關鍵應用系統存取品質的做法,備援線路可能同樣採用MPLS,或是Internet、LTE。隨著SaaS服務應用數量增加,通常SaaS存取行為會直接以Internet傳輸,除了金融產業以外,多數企業皆已開放本地卸載,才得以提升效率。 金融業對於安全性要求相當高,現階段外部據點連線仍舊得彙整到總部再接取網際網路,由於關鍵應用系統仍舊維持在自家資料中心,連線存取架構自然也無需改變。但隨著雲端服務採用數量增多,若仍維持既有的網路架構,勢必將遇到傳輸過程得經過相當多節點,導致延遲、回應速度過慢的狀況,屆時則可引進SD-WAN架構來解決難題。

SASE框架確保混合雲應用安全

數位化應用模式除了驅動網路傳輸架構走向軟體定義,風險控管的焦點也轉移到用戶端或連網設備,才能保障遠端存取自建部署的資源,以及雲端服務的安全性。對此,Garter提出的建議是搭建SASE框架,核心組成元素包含SD-WAN,以及雲端平台提供安全網頁閘道(SWG)、雲端存取安全中介(CASB)、DNS防護、零信任網路存取(Zero Trust Network Access,ZTNA)、遠端瀏覽器隔離(Remote Browser Isolation,RBI)等。

思科台灣技術解決方案專家林瑝錦指出,思科早在十多年前就已經在發展相關技術,只是當時是把單純的資安功能部署在雲端平台來提供。如今則是改以軟體來定義,不同技術領域的廠商皆可有所發揮,以思科為例,擅長之處在於集中式控管,配置政策調動路由傳送位址。此外,前端的Secure Web Gateway、SD-WAN設備,可協助讓存取行為透過加密通道遞送到Cisco Umbrella雲服務檢查網域名稱解析、SWG、雲端版防火牆、CASB,此外,思科最新發布的SecureX已納入Talos威脅情資,藉由SecureX可建立一目了然的戰情中心並提供XDR回應機制。

Garter提出SASE雲端安全框架,核心組成元素包含SD-WAN,以及雲端平台提供安全網頁閘道(SWG)、雲端存取安全中介(CASB)、DNS防護、零信任網路存取(ZTNA)、遠端瀏覽器隔離(RBI)等資安技術。

隨著企業逐漸接受SaaS應用模式,特別是今年受到COVID-19疫情影響,何浩祥觀察到視訊會議、虛擬桌面等雲端服務已廣泛地應用在各產業,為了進一步滿足用戶體驗,企業對於頻寬遞送的可靠度與即時性,較以往的要求更加嚴格,過去MPLS專線用來存取ERP系統,一分鐘的斷線時間或許還能忍受,如今用來存取Microsoft 365、Teams等協同工作服務,可能三秒沒反應就會讓使用者抱怨。

用戶體驗要求愈來愈高之後,促使企業IT得評估更多網路遞送方法以更貼近需求。另一方面,受到高度關注的安全性與合規性,在混合雲應用模式下已經無法建立一致性管理原則,以前在自家專線,運用簡單的監控軟體即可,改採用雲端服務之後IT變得難以掌握,抑或是分公司的員工直接接取SaaS,不需要再繞回到總公司,必須想辦法控管這類常見的應用場景,何浩祥指出,Citrix SD-WAN便可整合Zscaler來實踐SASE防護機制。

近期透過收購OPAQ Networks取得SASE相關技術的Fortinet,亦是看重雲端服務已成為常態性遠距辦公不可或缺的應用,藉由強化零信任網路存取雲端方案,協助企業在分散式網路環境中建立有效的保護措施。

 


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!