資訊科技隨著商業應用模式的轉變快速地變化,傳統須耗費大量專業人力維運的廣域網路架構,如今已可改用軟體定義實作,思科基於既有網路設備的研發能量,整合來自2017年收購Viptela取得技術延伸提供Cisco SD-WAN,讓過去採用T1/E1介面的傳輸,可透過模組變更實作SD-WAN;或是網路層部署vEdge設備整合MPLS專線、Internet、LTE線路,搭載雲端或自建部署的vSmart方案為控制層,以及負責協調層的vManage與vBond來建構。
SD-WAN架構之所以細分為網路層、控制層、協調層,思科台灣技術長馮志良說明,目的是為了因應大規模佈建所需,台灣企業或許目前未有多達上千個外部據點,但幅員遼闊的其他區域則須大規模佈建,以思科過去協助建置架構的經驗來看,只要外部據點多達近千個,網路複雜度相當高,必須由專業技術人員不斷地調校參數以優化傳輸效率,如今正可運用SD-WAN來突破傳統的侷限。
思科台灣技術解決方案專家林瑝錦說明,以軟體定義的精神來看,核心是讓設備既有的控制層與資料層脫鉤,SD-WAN同樣如此,藉此讓部署規模可以彈性伸縮,不再受限於硬體;同時思科控制器與實體設備之間是基於OMP(Overlay Management Protocol)協議溝通,控制器可完整掌握所有資料,並且主動派送設定配置參數與安全性控管政策,提升整體運行效率。
SaaS採用數增長驅動SD-WAN需求
近幾年SD-WAN解決方案供應商快速崛起,除了新創公司,既有的網通、廣域網路應用加速、次世代防火牆等領域的IT廠商,只要具備廣域網路傳輸介面,皆陸續發展SD-WAN架構,馮志良觀察,中國更多的是白牌機廠商,運用開源系統即可推出上市。
思科設計SD-WAN較具優勢之處,在於以擅長的網路傳輸技術為基礎發展整合數位應用所需的機制,除了實現降低頻寬與維運成本,更可彈性調用線路,保障傳輸品質。馮志良說明,SD-WAN在國際間需求殷切的另一項關鍵,在於採用SaaS雲端服務數量逐年增長,本土企業儘管腳步較慢,終究無法迴避新型態應用趨勢,已普遍開始採用Microsoft 365等雲端服務來處理公務。
逐年增長的SaaS應用數,可說是驅動SD-WAN興起的因素之一。過去企業外部據點欲存取ERP等內部核心應用系統或公眾網路的服務時,得透過專線或Internet建立加密通道連線到總部,經過多層次防禦技術確認無惡意攻擊程式才予以放行。如今SaaS成為普遍採用的服務項目,對於Internet出口的衝擊較大,為了避免總部的頻寬因此出現瓶頸,開始以DIA(Direct Internet Access)的做法,允許讓外部據點的網路傳輸不需要再回到總部,可就近直接存取SaaS,以保障員工生產力。至於安全性則大多借助SD-WAN設備本身就已具備的防火牆、入侵偵測防護等功能,搭配最新威脅情資強化防護力。
建構雲端原生安全防護與協調平台
因應雲端服務被廣為採用,市調機構Gartner於2019年提出更宏觀的SASE(Secure Access Service Edge)防護框架,建議企業搭配雲端化的網頁應用閘道器(SWG)、雲端存取安全代理(CASB)、防火牆即服務(FWaaS)、零信任網路存取(ZTNA)等,以落實建立安全措施與確保合規性。
「實際上,早在Gartner提出SASE此名詞之前,Cisco Umbrella雲端安全平台就已完成整合交換器與無線基地台、SD-WAN設備,建構混合雲應用防護。其中SD-WAN設備除了可採用收購取得的Viptela技術架構,既有的Meraki同樣具備SD-WAN功能,亦可整合Umbrella雲端防護能力完整實踐SASE。」林瑝錦說。
Umbrella初期設計本是防範用戶端詢問DNS解析時被導向惡意網域,經過多年持續不斷發展,已整合思科自家網路安全相關技術,讓存取行為透過加密通道遞送到Umbrella平台提供的惡意網域偵測、SWG、FWaaS、CASB等確保安全性,同時,思科日前發布運用API建構的SecureX雲端原生安全協調平台,兼具資安事件管理(SIEM)以及協調與自動化回應(SOAR)能力,可運行機器學習演算分析,掌握存取行為的行徑,在異常事件發生當下觸發回應劇本(Playbook)自動執行。至於零信任網路,則是由Duo解決方案來實踐,讓接取網路服務、應用系統存取的行為得透過雙因子認證,以確保安全性。
林瑝錦進一步提到,Cisco SD-WAN解決方案亦額外設計Auto-registration功能,讓各項訂閱式服務可透過Smart Account自動彙整與關聯,IT管理者不須再手動輸入授權金鑰,Umbrella可主動基於API派送到地端SD-WAN設備,即可建立加密傳輸通道。
SD-WAN與傳統廣域網路互通並行
Cisco SD-WAN解決方案涵蓋Viptela與Meraki,兩種皆可運用單一介面來執行控管。林瑝錦說明,Meraki設計思維是強調簡單易用、雲端版的控管中心,畢竟企業已經開始把內部應用系統部署到雲端平台,或是直接採用SaaS取代自建系統,IT控管平台自然也會以雲端服務來提供為主流,特別是營業據點較多、維運人力卻相當有限的狀況下,更能凸顯效益。
此外,Meraki特性是必須要能夠連接上雲進行註冊,若為專線可能不會導向網際網路,必須在總部建置防火牆或路由器,讓MPLS得以NAT來接取Internet。Meraki設備之所以一定要接取網際網路,除了必須向控制中心註冊,另一項關鍵是內建的Auto-VPN技術,可讓Meraki設備無須設定IP位址,透過雲端平台控制層即可掌握設備數量,相當適合零售業、便利商店等應用型態。
針對既有IT架構需要整合運行的企業,則可採用Viptela來部署SD-WAN架構,基於Zero Touch Provision技術實作部署,以集中式控制器操作配置。林瑝錦指出,營業據點相當多的金融業,或是正在拓展國際市場業務的企業,正可藉由SD-WAN架構來簡化IT部署的程序。
「部署SD-WAN勢必會遇到的狀況是作業時間短、外點距離很遠,以實際客戶佈建的經驗來看,初期勢必得跟現有廣域網路架構並行,此時Viptela支援多種路由線路即可發揮整合效益。」林瑝錦說。即使外部據點遍佈全台,各有不同網段,在Umbrella雲端平台上亦可先行定義,以便在報表中指出異常行為發生的位置。思科正在積極發展中的項目之一是結合Meraki資料彼此相互關聯,讓IT管理者可更清楚地掌握外部據點網路狀態。