近年來市場上大量湧現軟體定義廣域網路(SD-WAN)實作方案,不僅可讓企業透過廣域網路連接外部分公司的電路成本下降,同時藉此提高傳輸品質,正可滿足現代企業工作場域對於數位化應用的需求。Juniper旗下的軟體定義網路(SDN)解決方案,亦提供SD-WAN架構,主要由控制器CSO(Contrail Service Orchestration)擔任協同作業平台,外部據點則可選擇NFX系列或SRX系列執行控管政策,日前進一步發布最新策略,增添EX系列交換器與Wi-Fi,讓企業藉此建立軟體定義分公司(SD-Branch)。
Juniper Networks台灣區技術總監游源濱指出,SD-WAN可說是為既有需求提供新的解決方法。企業透過廣域網路連接外部分公司的市場始終存在,只是因為軟體定義網路的概念日趨普及,技術也逐漸成熟,讓既有的作法得以運用更彈性的機制改善效率。
以往廣域網路中,企業租用的寬頻上網、LTE、MPLS專線電路,無法運用傳統的防火牆、路由器等提供控管,因此要求外部據點必須連回總部之後才能上網際網路,如此複雜的存取模式主要是為了稽核與控管,同時藉由總部統一部署的安全機制來降低威脅入侵、機敏資料外洩等風險。Juniper Networks台灣區技術顧問胡昌臺認為,在各行各業開展數位轉型之後,使得IT基礎架構轉變成為混合雲,勢必無法維持傳統傳輸方式由人工設定。軟體定義網路概念的出現,正意味著既有設備的技術不再能夠滿足現代化應用需求,當企業嘗試運用數位化解決現有問題時,SD-WAN可用於改善以往架構中無效率的環節,接受度自然增加。
雲端服務興起改變既有應用模式
在市場需求殷切下,研發設計的產品當然也得跟進。如今企業多數都是混合雲、多雲的應用架構,勢必會有部分應用建置在雲端平台,抑或如台灣常見的狀況是改用Office 365,分公司的員工大可直接存取使用網路服務,根本無須再透過昂貴的專線連到總部再上網際網路。如此一來,不僅可降低電路費用,網路傳輸路徑較短也可提高回應速度,因此許多新創公司開始專注於開發SD-WAN技術來滿足這類需求。 「廣域網路連接並非新興市場,之所以需要新技術去解決老需求,是因為雲端服務的興起改變應用模式。否則若像過去IT思維,建置一台路由器即可因應網路需要,根本用不到軟體定義網路。」游源濱強調。
事實上,不僅是企業或組織需要力求轉型,IT廠商同樣也是。游源濱說明,就SD-WAN應用需求來看,並非只有廣域網路應用加速在轉型,IT基礎架構中不可或缺的防火牆、路由器等建置,全數皆得跟進,包括Juniper長期經營的電信運營商,也紛紛計畫推出SD-WAN服務。 對電信業者而言,提供SD-WAN服務亦可說是轉型的方向之一,從單純的銷售電路,到搭配用戶終端設備(CPE)讓企業透過每年折舊攤提,轉換為服務供應商,讓用戶得以透過瀏覽器登入查看線路運行狀態,一旦偵測到問題可主動發出通知,較以往的銷售模式完全不同。
從資安角度發展新方案
就技術層面來看,SD-WAN最大創新之處,在於網路傳輸封包遞送的路徑,不再依據路由表定義,而是判斷應用服務類型來決定。游源濱說明,企業經常同時租用專線、ADSL/FTTH、LTE,為了降低專線費用,採用IPSec VPN基於Internet線路來傳輸,也是常見的應用模式,然而卻無法精準地掌握線路品質,也不具備判別應用服務的能力。採用SD-WAN架構之後,則能實作基於線路品質動態地調整遞送的線路,甚至於按照應用系統連接埠來定義傳遞的電路IP位址,增添了許多前所未見的架構模式。
前文所述,以往分公司的連線之所以必須先回到總部才能上公眾網路,主要為安全考量所設計,若企業為了降低電路預算、提高連線接取的方便性,讓分公司員工可直接存取網際網路、雲端服務,恐因此成為資安缺口,此時Juniper發展的SD-WAN即可發揮優勢。
「目前市場上的SD-WAN解決方案供應商,不論是VMware併購的VeloCloud、Cisco併購的Viptela,或是其他領域進入者,大多有各自的強項。例如新創公司有能力偵測應用程式傳輸延遲時間,進而切換電路來保障用戶體驗,確實相當實用,問題在於普遍欠缺資安保護能力。Juniper發展的SD-WAN解決方案,則是以SRX為基礎所設計,藉此建立資安防護措施。」游源濱說。
以前企業的關鍵資源集中在總部資料中心,不斷地提升防禦力即可拉高攻擊門檻。在雲端應用加入後,各個外部據點的連線不再回到總部可直接上網,在欠缺防護機制的狀況下,安全性勢必成為最大的挑戰。現代企業IT管理若要在便利性與安全性之間取得平衡,可利用雲端服務來輔助,搭配外部據點部署的設備整合防禦。由於實體設備並非用來容納所有資安相關技術,僅內建輕量的偵測機制,較耗費運算資源的沙箱模擬分析等功能,則可交由雲端平台,也就是Juniper自主研發的Sky ATP來執行。
摒除硬體為王思維轉型服務供應商
在SD-WAN環境中,主要是運用深度封包檢測(DPI)掌握封包內容,藉此辨識應用程式相關資訊。胡昌臺說明,SRX設備內建可辨識4,000多種的App,即使封包為加密,亦可運用DNS服務解析取得的網域名稱來判別。欲更進一步檢查Payload,就得透過Proxy功能執行加解密SSL封包,但此機制主要為全功能性防火牆所具備。
以組成架構來看,CSO控制器為大腦,NFX系列與SRX系列則是Juniper設計的CPE。其中NFX系列亦可建立網路功能虛擬化(VNF)來整合第三方廠商提供的技術,例如廣域網路加速等機制。至於最新提出的EX系列交換器與Wi-Fi,則可完全整合於既有網路架構,支援各種標準路由通訊協定。
值得一提的是Juniper發展CSO是以雲端服務方式提供,游源濱認為,意味著Juniper正在從產品製造商轉型到服務供應商,未來不論是軟體或實體設備,將轉變成為雲端服務項目中的其中一環。以SD-WAN架構為例,分公司須佈建NFX或SRX系列的設備,主要即是為了讓CSO控制器進行指揮調度指派任務,已不再是過去硬體為王的思維。