雲端化風險管控機制 從用戶角度看服務品質

2022-05-03
企業隨著數位轉型腳步加快,辦公模式改以遠端工作為優先,地端應用系統逐步遷移到雲端平台,以便讓員工隨處皆可存取。思科對此提供可解決網路遞送延遲與確保安全性的SASE架構,涵蓋連接、控制性、融合三大主軸,較特別的是藉由千里眼(ThousandEyes)平台掌握全球網際網路接入點(Point-of-Presence,PoP)細節資訊,達到可觀測性,以保障用戶擁有高效、穩定、安全的網路傳輸體驗。

IT人員熟知的網路監控(Monitoring)主要以SNMP協議、蒐集NetFlow資料等方式提升網路組成元件的問題排除效率;ThousandEyes具備的可觀測性,則著重於從終端用戶的角度分析體驗,監控的是網路各個節點的效能指數,不再是網路設備運行狀態。思科台灣技術長馮志良強調,在大量採用雲端服務的時代,用戶隨處皆可存取,若欠缺Internet的監控能力,根本無法釐清問題。企業導入監控的工具,主要是針對可管控的內部網路,但企業對Internet無權取得相關資料,ThousandEyes平台即可解決廣域網路遞送的盲點。

保障員工生產力與防範攻擊威脅

傳統網路架構為確保服務品質穩定,通常是總部統一控管,外部分公司據點透過MPLS專線、遠端工作者則透過VPN軟體連線回到總部存取資源,馮志良觀察,大致上80%企業網路流量為內部溝通,20%為接取Internet。

演進到雲端服務世代,前述網路存取模式恐面臨成本、效能、整合性、維護量能等多重挑戰。近兩年為了因應COVID-19疫情,企業增加了雲端服務採用數量,目的是讓員工分散在不同區域工作,得以有更靈活的方法取得公司內部資源與協同合作,雲端平台即是最佳選項。隨著企業應用模式轉換,外部據點或遠端工作者存取雲端服務時,須繞回總部再轉發到目的地,勢必效率低落,合理的做法是讓不同地區的員工直接透過Internet存取雲端服務,並藉由SD-WAN配置線路資源,大幅降低頻寬成本開支。

馮志良說明,開放各地員工可直接透過Internet存取雲端服務,無法避免將遇到網路延遲導致回應速度過慢問題,再加上勢必得增添安全保護機制降低風險,必須先解決才可保障員工生產力,此即SASE融合了SD-WAN與資安技術,以雲端服務方式提供可協助解決的關鍵痛點。

針對雲端運算應用模式,資安控管策略最佳方式是利用雲端平台來實作,依據各式應用場景,建立無所不在的安全防護措施。不論企業選擇關鍵應用系統遷移部署到雲端平台,抑或是改採SaaS服務,員工在任何地點、任何裝置皆可發起存取,便於執行工作任務,至於安全防護機制,交給建構在雲端平台的SASE機制便能有效降低風險。

SD-WAN奠基融合雲安全服務

回顧SD-WAN解決方案的興起,以思科為例,首次發布為2017年收購新創公司Viptela取得SD-WAN技術,至今可說普及速度相當快,2019年又被Gartner定義的SASE框架納入,足以顯示SD-WAN佔有舉足輕重的地位,不到5年時間已經成為市場上主流,在IT技術中實屬罕見。

馮志良以多年前在思科美國總部服務期間實際接觸的案例說明,當時尚未出現「軟體定義」名詞,就已曾經因應金融業客戶要求專案研發來解決外部據點線路費用過高的問題。他提及,要降低對於MPLS專線的依賴,提高Internet傳輸的使用率,前提是須先排除網路原生的傳輸延遲、外部攻擊問題。當時最主要的瓶頸是該金融業客戶在美國境內設立據點超過千個,部署工程相當浩大,同時須確保設定配置控管政策,可透過蒐集取得的Telemetry資料分析,掌握用戶體驗狀態,因此專案研發方向是利用軟體技術與自動化執行機制讓網路傳輸變得可彈性調配。思科美國總部的技術服務團隊基於網路工程,自主開發程式邏輯協助實踐,讓廣域網路遞送可彈性地調配,在保障效能的前提下讓客戶利用Internet降低專線開支,並且是全自動化的零接觸部署模式。

軟體定義網路從因應伺服器虛擬化須彈性調配網路所驅動的變革開始,由資料中心延伸到園區網路,隨後廣域網路出現SD-WAN,再逢百年一遇的COVID-19疫情大流行,使得工作模式快速分散,SD-WAN正可發揮撙節成本的效益。思科收購Viptela後,「獲得SD-WAN解決了網路頻寬費用過高、延遲時間導致效能不彰的問題,獨缺安全性機制。針對該如何補強,市場一致認同採用雲端平台來提供資安防護機制比自建部署更具彈性,因此SD-WAN整合雲端建構安全平台,即成為思科發展SASE主要的核心理念。」

千里眼賦予廣域網路可觀測性

思科正積極朝向完整的SASE框架發展,依據遠端工作者與辦公環境設計涵蓋了連接(Connect)、控制性(Control)、融合(Converge)三大主軸。馮志良說明,在Connect方面由AnyConnect提供VPN連線;Control方面由Umbrella雲端平台整合網路應用閘道(SWG)、防火牆即服務(FWaaS)、雲端存取安全代理(CASB)等技術,以及實踐零信任網路存取(ZTNA)提供Duo方案;至於Converge則最為關鍵,基於SD-WAN方案廣泛地整合雲端服務項目,可簡化安全控管措施部署與維運的複雜度。

另一方面,SD-WAN架構環境,須準確地掌握用戶體驗,關鍵在於必須具備可視性能力。思科發展的SASE架構,除了Connect、Control、Converge特性,另增添了ThousandEyes平台,可清楚地描述全球PoP細節資訊,達到可觀測性(Observability)。 馮志良進一步說明,ThousandEyes是思科於2020年收購取得的技術,可用於呈現全球廣域網路拓撲圖與掌握節點資訊。當企業開始執行數位轉型計畫,採用雲端平台供應商所提供的服務,分散式存取勢必成為趨勢,也驅動既有關鍵應用系統從集中在資料中心,演變成分散式部署,如此一來,必須有新的機制輔助掌握網路傳輸效能與保障用戶體驗,ThousandEyes創始初期即是為了解決此問題。

思科台灣技術長馮志良認為,從技術面來看,SASE內涵是運用雲端運算建構的安全應用環境,增進可視性、彈性調配管控風險,更貼近現代工作者應用場景,本就是大勢所趨,COVID-19疫情則是加速了實踐的進程。

各家SD-WAN實作技術的基礎,大多在既有網路環境以虛擬化技術建構Overlay,無法掌握Underlay實體傳輸的效能,畢竟Internet連線經過全球電信營運商轉發,一旦發生故障,根本無力釐清究竟是廣域網路轉發路由中哪個節點所導致。ThousandEyes平台上則可定義前端應用服務執行自動化監測,從各個用戶的角度模擬存取行為,來解析用戶體驗與釐清根本問題。


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!