隨著疫情趨向穩定可控,人們的生活逐漸回到三年前的樣貌,但集中式的工作型態卻已被徹底改變,混合辦公已成主流。為了滿足辦公室環境改為行動化、各式功能的連網裝置應用需求,以及協助企業IT維運日趨複雜的有線無線網路架構,網通設備大廠紛紛投入發展AIOps,讓IT管理者基於雲端平台監控,降低確保有線無線網路穩定、高效傳輸水準的技術門檻,亦可增進連線行為分析與診斷能力,有效提升用戶體驗。
Extreme Networks台灣首席技術顧問陳瑞建觀察,過去三年因應疫情緊急實施遠距工作,多數員工裝置已從桌機轉換成筆電,以便於在家防疫期間亦可執行工作任務。如今疫情趨緩回到實體辦公室,無線網路自然成為筆電首要連網方式,進而驅動無線基地台的部署與維運需求更甚以往。
Juniper Networks台灣區技術總監游源濱亦指出,疫情大流行期間企業為了維持營運不中斷,辦公室網路須延伸到每位員工居家環境,並以VPN連線建立端到端的遠端存取管道。高階主管甚至可能配置SD-WAN(軟體定義廣域網路)等設備,讓不熟悉遠端工作的主管可順利在家處理公務。
即便如今全球疫情已趨緩,工作樣貌卻不會再回到以往集中於辦公室的模式,混合工作型態已成為趨勢,讓員工隨處皆可執行任務有助於提高生產力。游源濱認為,對於既有的有線無線網路架構而言,運用AI與雲端來管控,已不僅只是輔助維運提高效率,更重要的是讓員工在辦公室與遠端工作皆可擁有一致的體驗。
軟體定義網路為AIOps奠基礎
推動數位化應用發展過程中,企業IT關注的指標也隨之轉變。游源濱說明,過去IT管理者對於導入部署執行專屬功能的設備評估準則,以穩定、效能、安全性為核心指標,在實體設備增添網管模組以便於遠端監控。
近十年來軟體定義網路之所以持續發展與演進,背後驅動因素之一即為了提高服務開通與後續維運的效率。以往IT基礎架構維運團隊區分為網路、系統、應用等不同職能,各自運用不同工具輔助日常管控,若因應營運業務需求導入建置全新應用系統,須填寫申請單,再由IT部門派工支援設定開通。為了改善設定配置與維運效率,開始出現自動化的發展趨勢,把固定的操作步驟轉化為執行腳本(Script),讓新業務上線提供服務的時間,從半年縮短到幾天時間,加快營運業務上線搶占商機。
隨著應用系統逐年累積,IT團隊既有人力配置不僅工作負擔加重,一旦發生故障得花時間修復,抑或是接收到用戶抱怨連線品質不佳的投訴根本難以釐清問題根源,對此維運管理工具開始引進AIOps方法,藉由蒐集業務服務所有環節產生的資料提供演算分析,建立自動化流程來降低人力負擔,並即時地掌握運行指標,提高故障排除的效率,進而改善用戶體驗。游源濱強調,如今有線無線網路已可實踐以用戶體驗為優先考量,主要仰仗大量蒐集終端用戶或裝置在發起連線的前中後產生的資料,以運算式的數值準確地判斷連線品質。
雲端平台統管分散式控制平面
就企業無線網路架構演進來看,自主型無線基地台(Fat-AP)發展到輕量型(Thin-AP)架構,開始把控制層(Controller)獨立為實體設備扮演指揮官的角色,讓無線基地台單純接收指令執行,以緩解無線網路大規模部署的運行瓶頸。
隨著雲端平台發展日漸成熟,控制層除了實體設備的設計,技術供應商開始提供虛擬化版本可掛載到雲端平台,讓IT管理者在任何地點皆可隨時掌握連網裝置接取連線的資料,且省去維運控制器設備的繁雜度。問題是,既有韌體改為虛擬版本,仍無法擺脫控制器、無線基地台的韌體版本必須一致才可正常運行的限制。
陳瑞建指出,以往控制器設備統一管理無線基地台,韌體勢必得相同版本,因此每隔一段時間,企業都得被迫升級;汰換時亦須整批變更。例如既有部署為Wi-Fi 5,新採購的是Wi-Fi 6,搭載版本較新,控制器得先升級才可運行。近年來控管平台再進化,改以雲端原生技術發展,實現分散式控制平面(Distributed Control Plane)架構才解除韌體版本的侷限,不同世代的無線基地台彼此之間可自主溝通,執行以往由控制器負責溝通的事項,例如相互交換漫遊資訊、調整訊號發送頻道等任務。
分散式控制平面架構打破了以往韌體一致性的限制,可接受不同時期採購部署的無線基地台,讓企業無須整批升級或汰換。現階段台灣企業面臨主要障礙是企業或組織未必能接受網管改為雲端服務,特別是涉及產線配方等營業機密,更是無法接受雲端提供的服務,需要持續溝通與建立信任基礎來扭轉思維。
微分段網路實踐零信任政策
有線無線網路技術持續發展,除了利用雲端平台特性來建置統一控管平台,降低維運複雜度、增進用戶體驗,因應企業正積極推展的零信任管理規範,納入微分段機制,基於標準的VXLAN(Virtual eXtensible LAN)網路虛擬化協議建構Overlay網路,限制南北向與東西向流量,以阻隔惡意程式橫向擴散,減少遭受影響的範圍。
游源濱說明,微分段發展理念類似於船艙設計的隔間,可有效避免船體發生單一破洞導致海水湧入而沈沒。微分段機制之所以受到各產業青睞,驅動實踐的推手之一即為零信任控管模式成為顯學,藉由微分段實施政策措施,實作僅開放通訊必要的服務、阻斷相同群組非必要的連通,以及跨微分段不得互通。
既有的有線無線網路改變設定配置方式,落實零信任原則,亦可發揮降低資安風險的效益。例如銀行發行的金融卡金鑰外洩,經過事件調查後發現是攻擊者利用協力廠商的存取權限滲透進入內網,並且低調地橫向移動感染銀行核心系統盜取機敏資料。設置微分段機制正可遏制諸如此類橫向擴散感染導致的損害。