思科日前發布《2022思科全球混合工作調查》研究報告,訪問了全球27個地區超過28,000名全職員工,篩選出台灣地區的調查統計,發現居家或遠距辦公改善了80%員工的工作生活平衡,其中因素包含可更靈活的安排工作(65%)、節省通勤時間(53%)。思科台灣技術長馮志良表示,根據《2022思科全球混合工作調查》統計,台灣有半數以上受訪者回覆希望公司能採用混合工作模式,面對此趨勢,打造完善的混合工作環境,可說是企業高層應持續關注與創新的課題之一。
思科台灣企業網路產品技術經理謝奇霖亦指出,為協助企業打造完善混合工作的基礎,思科在2022年已推出Wi-Fi 6E(Catalyst 9136與Meraki MR57)、思科5G專網、Catalyst 9000X交換器,以及基於思科Silicon One Q200 ASIC設計的全新Catalyst 9500X及9600X系列交換器。其中的Silicon One為思科投入大量資源研發的晶片,採用台積電7奈米製程,可讓雲端資料中心骨幹網路交換器傳輸速度從當前的400Gbps推進到800Gbps,甚至是1.6Tbps。
他進一步說明,隨著網路資料處理量持續增多,傳輸速度被不斷地要求更低延遲、加快回應速度,網路設備必須持續地精進,才有能力滿足現代化應用需求,也驅動著Cisco Silicon One系列持續創新。除了滿足低延遲與高效能傳輸,思科在產品原生設計也納入零信任控管方式,以及可程式化機制,讓路由器或交換器可藉由增添App方式扮演邊緣運算節點,對應用場域營運產生的資料先進行處理與過濾後再存放到雲端平台,以降低公有雲服務的訂閱成本開支。
ISE身分識別服務引擎為核心
雲端化的發展趨勢持續發酵,現代企業IT多數已為混合雲架構,機敏等級較高的關鍵應用系統仍保留在地端,其他則搬移到公有雲平台,更加仰賴企業既有部署的有線無線網路穩定、高可用性地提供服務。不論企業在疫情得到有效控制後召集全體員工回到辦公室恢復以往工作模式,抑或是轉為混合辦公,謝奇霖觀察,零信任控管模式正在不同產業逐步落實。
他舉例,過往辦公室環境無法禁止員工自攜裝置處理公務,產生「影子IT(Shadow IT)」的問題,改為零信任控管模式後,若非公司允許的裝置預設全數禁用。員工私人裝置須通過申請,經過身分驗證與安全檢測才可接入網路環境,即使是高階管理者的私人平板電腦也不例外,確實有助於降低資安風險。
裝置辨識機制主要採以Profiling實作,思科在交換器與無線控制器設備納入深度封包檢測(DPI)技術,蒐集與分析終端流量的行為特徵,辨識裝置廠商、型號、搭載系統等指標來判定風險等級。
思科研發設計的身分識別服務引擎(ISE)具備認證、授權、稽核的能力,可支援800多種分類規則,以動態且自動的方法來強制執行原則,簡化了網路存取控管模式。通過設備驗證後,ISE伺服器會依據角色授予最小權限,並持續監控裝置產生的網路傳輸流量,針對連線行為給予評分,整體運行狀態數據可呈現在Cisco DNA Center雲端平台的統一儀表板讓IT或資安管理者完整掌握。一旦行為異常時主動通知IT或資安管理者介入處理,搭配ISE伺服器的軟體可建立自動阻擋。
動態微分段落實零信任原則
思科自主研發的ISE與Cisco DNA Center相互搭配可自動化執行端到端的分段,在無須重新設計網路架構與調整配置的前提下,切分使用者、裝置、應用程式運行的網路流量,進而套用控管政策落實零信任管理原則。
謝奇霖說明,Cisco DNA Center涵蓋軟體定義存取(SDA)、網路品質保障(DNA Assurance)、網路自動化等機制,亦內建AI Endpoint Analytics(AI終端分析)功能,持續監控IP電話、網路監視器等連網裝置網路傳輸流量,即時確認健康狀態。萬一連網裝置MAC位址遭到惡意人士成功偽冒,可從連線行為模式判別異常,偏離日常運行邏輯隨即阻擋。
總體來看,思科運用DPI、ISE、網頁註冊登記,以及介接第三方組態管理資料庫(CMDB)等方式匯集資料,進而運行裝置Profiling,確認辨識裝置角色後給予最小權限,以及套用控管措施。並且在上線後仍持續監控,統計每個連線行為產生的分數,判斷風險值,可輔助人力吃緊的IT管理者更有效率地保障網路高可用性。
Cisco+訂閱模式滿足雲端優先戰略
針對網路微分段的應用需求,思科提供兩種方式進行實作,謝奇霖說明,第一種是適用於資料中心的Cisco ACI(Application Centric Infrastructure),利用軟體定義存取的技術來實現,先在控制層(Controller)基於GBP(Group Based Policy)配置連線策略模型進行微分段,之後推送到實體交換器、路由器、無線基地台執行套用。GBP可依據應用場域、部門別等群組切割微分段,讓彼此底層網路無法互連互通。進而由Cisco SDA管控存取權,在相同分段中,依照使用者、連網裝置屬性,動態地分配到不同群組,並且套用該群組的控管政策。
另一種方式是在地端的虛擬化系統或容器環境中配置Secure Workload(前稱為Tetration),以Connector接取三大公有雲,以便蒐集工作負載運行資料,自動運行分析釐清應用程式彼此之間的依賴關係,並且產生存取控管策略,發送到應用系統中安裝的代理程式,即便是多雲應用場景亦可藉此達到動態微分段的目的。
面對訂閱式成為企業IT採購模式之一,網路技術供應商陸續發布NaaS(網路即服務)方案,思科亦提出Cisco Plus(Cisco+),既有的解決方案逐階段轉換為服務形式交付,讓企業依據需求選用。謝奇霖指出,現階段Cisco+仍持續發展中,目前主要提供的是Cisco+ Secure Connect與Cisco+ Hybrid Cloud。Cisco+ Secure Connect包含網路接入安全與可視化管理,涵蓋範疇包含Cisco SD-WAN、VPN、Could Dashboard、SASE等方案,透過雲端交付服務,企業訂閱即可開通。Cisco+ Hybrid Cloud內容則涵蓋邊緣運算、虛擬桌面、虛擬伺服器、資料中心網路服務,更貼近多雲/混合雲應用體驗。