Extreme Identity and Access Control Air Traffic Control Airtime Fairness ExtremeAnalytics Single Channel Meru Networks Virtual Cell Enterasys Microcell ClearPass ExtremeCo Fortinet Extreme AirWave D-Link Aruba BYOD 數位轉型 HPE 物聯網 IoT 網路

企業網路架構整合 強化安全穩定及管理性

2016-03-03
自各式行動裝置興起,造就員工自攜裝置(BYOD)的新型態工作模式,使得接取無線網路的需求量大增,為IT人員帶來不小維運管理的壓力。同時,行動應用亦逐步趨向更多元發展,促使各產業掀起數位轉型聲浪,其中尤其是物聯網(IoT)的影響力最為廣泛。
根據國際市場研究機構Gartner預估,全球物聯網裝置總數量,將從2016年的64億個,至2020年將成長達到208億個之多,其中包含44億個跨產業裝置,以及29億個垂直產業裝置,屆時跨產業的物聯網裝置將主導企業應用。創新應用模式的爆發性成長隨時可能發生,亦可能出現在企業內部網路,如此情況下,對IT基礎架構而言,傳統有線與無線網路環境的整合控管能力勢必將面臨前所未有的挑戰。

整合有線與無線網路 降低IT維運負擔

就傳統三層式網路架構中的存取層(Access Layer)環境來看,早期以有線網路為主的時代,IT人員只要佈建實體網路接口,使用者可透過任一連接埠接取網路;而現在的無線基地台,則大都必須依據部門別部署,並賦予不同存取權限;或者透過VLAN區隔,當使用者接取網路時,依據VLAN的標籤(Tag)被賦予相對應的存取權限,不僅配置模式不同,後續維運時的問題排除亦較複雜。

D-Link產品暨推廣部高級專員李治民即指出,當使用者反映連線速度很慢,除了無線基地台(Access Point,AP)上行至交換器、核心網路層的路徑,需逐一確認以外,從無線基地台到終端設備,也就是無線網路存取環境,亦必須仰賴分析工具,才有能力從中觀察是否出現干擾源,或者是特定終端用戶占用過多流量,導致效能降低。

但是長期以來,有線與無線網路設備供應商大多分屬於不同技術領域,各自提供專屬的配置方式,以及後續維運管理軟體,往往難以透過單一介面,統一控管所有網路設備。近年來在BYOD驅動下,以及著眼於即將興起的物聯網應用,全球網路設備廠供應商皆陸續開始透過合作夥伴、或直接以併購方式,為企業打造可符合應用所需的有線與無線整合方案。

網通大廠接連整併 強化整合應用競爭力

其實從全球網通設備大廠相繼整併亦可窺探趨勢發展端倪,例如Extreme Networks在2013年併購Enterasys(凱創)、Fortinet在2015年併購Meru Networks、HPE(HP Enterprise)在2015年併購Aruba,皆是近年來網通領域相當受到關注的合併案。Fortinet技術顧問張益盛說明,原本Fortinet提供的無線網路,功能性較單純,對於無線訊號處理、分析圖表皆著墨不多,隨著Meru技術加入,即可補足過去產品線所欠缺的部分。


▲結合資訊科技與操作技術,為物聯網建立的安全控管機制與概念,同樣適用於有線與無線整合控管。

「Fortinet看重的是Meru在技術方面的獨特性,運用行動通訊技術架構實作於無線網路環境,擁有包括:Air Traffic Control與Airtime Fairness、Single Channel(單一通道)、Virtual Cell(虛擬蜂窩)等技術,也因此被Gartner譽為是第四代無線網路。」張益盛說。 早在1990年開始出現無線網路接取技術稱為第一代;隨著IEEE 802.11標準制定後,進入Fat AP(Access Point)稱為第二代;為了便於維運與控管,又發展出Microcell(微蜂窩)的集中化架構,也就是目前主流的Thin AP;如今Fortinet結合Meru之後所建構的第四代無線網路,則是以Virtual Cell為基礎,建置單一通道,確保語音與資料傳輸品質。

至於日前剛拆分獨立運作的HPE,旗下的網通部門在Aruba加入後,品牌名稱正式變更為「Aruba, a Hewlett Packard Enterprise company」(以下簡稱Aruba)。Aruba台灣區總經理許佳樹表示,未來產品線整合發展的方向,將依據不同產業應用所需,提出相對應的解決方案。Aruba亞太區技術總監韋頌修進一步說明,Aruba的發展重點,會從資料中心的靈活性開展,並協助企業建立數位化的工作環境,經由自適化信任(Adaptive Trust)機制確保安全性,以便員工自攜設備進入工作環境,或是對外提供無線接取服務時,得以透過專屬App等方式觸及終端用戶,藉此增加彼此互動以提升參與度。

MAC搭配動態控管 確保網路應用安全性

除了穩定性、可管理性以外,安全性亦是有線與無線網路整合應用不可或缺的機制。Extreme技術顧問蘇俊銘以物聯網的應用為例說明,物聯網主要來自於資訊科技(Information Technology,IT)與操作技術(Operational Technology,OT)的結合,前者為既有資訊部門的職責;後者較偏向營運相關,例如製造執行系統(MES)、感知器等廣泛的領域知識。但設備本身,不論是獨立運作、抑或是智慧型裝置,皆需具備連網能力,讓控管系統透過溝通介面擷取終端裝置上的資訊,如此一來,即必須結合IT技術,也就是裝置接取網路時,認證、套用管理政策、授權等機制,同樣是必備要項。

相較於BYOD應用模式,物聯網的裝置數量勢必更加龐大,萬一攻擊事件爆發時,必須有能力及時反應,才能控制受影響範圍。但是物聯網裝置通常是嵌入式系統,不易透過防毒軟體、個人防火牆等端點安全機制來保護,欲達到控管的目的,必須從網路層著手。

多數常見的作法是依據VLAN的存取控制清單(ACL),直接更改交換器上連線規則,若是連網裝置的應用場景不影響營運,則直接予以隔離。但蘇俊銘認為,「隔離並非解決問題的方式,就Extreme IAC(Identity and Access Control)的控管模式而言,建議的方式是僅允許連線至IAC伺服器,以便得知違反資安政策的事項,待修正後恢復正常連線。」

當使用者接取無線網路時,必須經過IAC的認證,也就是過去熟知的NAC機制,認證通過之後才會套用動態控管政策(Dynamic Policy)。此機制可在背景自動執行,例如在交換器上啟用MAC認證,使用者完全不需要輸入任何資訊,即可依據該MAC位址所屬群組、搭配的作業系統環境等條件,動態套用不同的政策。

至於物聯網裝置,則可依據MAC位址的前三碼製造商編號(OUI)配置群組,並且辨識作業系統,給予特定角色及其權限。不論是固定位置或移動性裝置,控管政策皆可隨之調整,才可確保應用環境不致因此失控。


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!