看好SASE的發展態勢,Aruba整合Silver Peak的EdgeConnect,加速部署從Edge to Cloud的安全連線能力。
採訪/施鑫澤 文/楊迺仁
愈來愈多的企業邁向數位轉型,加速將應用程式和基礎設施遷移到雲端。Aruba台灣及東協新興國總經理許佳樹指出,從不同的研究單位萃取出來的資料可以得知,全球已有48%的企業不再固守在原本的傳統架構,而是轉向採用雲端優先型策略(私有雲及公有雲兩者皆有),另外也可以看到83%的企業工作負載已經轉移到雲端。
[ 下載 2020-21 CIO大調查報告,掌握最新IT採購趨勢 ]
許佳樹觀察現在的環境,指出現在的企業在思考的是,不管資料是集中放在一個國家,或是分散到不同的國家,都希望企業人員能夠在不同的地方都可以存取資料及應用程式,所以已有60%的企業已轉用雲端,以改善分支機構和遠端工作人員的資料安全,也讓資訊安全永遠都會是很重要的主題。
數位轉型需要同時實現WAN和安全
許佳樹指出,不管是什麼產業,現在都會談到數位轉型,金融產業會談金融科技,製造業會談工業4.0,其實在新的趨勢中,怎麼樣同時實現WAN和安全的轉型,會是共同關注的焦點,必須兼顧雲端上的應用程式、雲端基礎設施及進階SD-WAN+雲端安全。
關於SD-WAN Edge的主要趨勢,其實已經有不少業者提供解決方案,這也是為什麼Aruba會與Silver Peak整合的原因。許佳樹表示,企業會關注SD-WAN Edge,除了是希望尋求通往SASE(Secure Acess Service Edge,安全存取服務邊緣)的新途徑外,另外就是希望能解決雲端資料中心、物聯網的安全挑戰。
[ 加入 CIO Taiwan 官方 LINE 與 FB ,與全球CIO同步獲取精華見解 ]
許佳樹指出,Aruba過去主要是關注SD-Branch,提供客戶更快上線的解決方案,但其實這樣是不夠的,我們看到新的Edge不斷演進,主要整合SD-WAN、SD-Branch和SASE,Edge策略也因此會在新常態下,成為重新評估的指標。而在5G的時代,當低軌道Low-Earth Orbit(LEO)通訊也加入競爭的同時,可望成為首選的無線WAN技術。
另外一個趨勢則是,物聯網將驅動對動態分割的需求,讓企業管理可以更加快速及簡便,尤其是全球供應鏈正面臨大幅度的轉移,企業IT部門要如何能更快速的動態管理,也是企業追求的目標,怎麼樣透過自動化和AI的進步,推動企業走向自主運作的廣域網路,勢必成為SD-WAN Edge主要趨勢,實現軟體定義企業的解決方案也將更為普及。
[CIO都在讀:啟動數位轉型 第一銀行接軌Fintech ]
但既有的傳統網路架構,難道就不能實現前述的目標嗎?如果要實現雲端轉型,會遭遇什麼樣的挑戰?許佳樹認為,首先就是要考量寬頻專線的成本及性能,即使現在有不少的方案,但都可能不是那麼穩定,也不知道是否足夠安全,連帶也就難以確保應用程式的效能穩定及安全,安全性也必須演進,才能應對安全邊界的攻防。所以Aruba在與 Silver Peak 整合之後,在整合式基礎架構會多一個SD-WAN,可以讓解決方案變得更完整,包括醫療保健、科技、製造、金融/會計、專業服務及零售產業,都已有不少的成功部署成功經驗。
新時代的網路架構
Aruba亞太暨日本地區SD-WAN售前技術經理鄧江表示,企業數位轉型的需求及愈來愈多的應用遷移到雲端,對新時代網路架構有不少的要求及挑戰。鄧江以一家總部位於台灣的跨國製造業為例指出,由於企業的分支機構超過300個,每個分支機構皆有2路MPLS連結,導致成本居高不下,而且在將應用如Office 365遷移到雲端,或是將海外的資料中心遷移回台灣的過程中,海外機構的關鍵業務應用卻出現回應緩慢的挑戰。
後來在Aruba的協助下,該製造將先是將一路MPLS替換為商業網路,性能成本進行優化,再以Silver Peak SD-WAN解決方案建置混合式網路,進行設備優化,並為關鍵業務應用程式如SAP啟用WAN優化。實施之後,除了為WAN連結省下30%的費用,也為關鍵業務應用如SAP的回應時間,提升50%的性能,有效提高生產力,快速故障備援切換的時間也小於1秒,大幅提高應用的可用性。
[CIO都在讀: 6個基礎架構及維運的熱門趨勢 ]
鄧江指出,傳統的網路架構,也許在當時建置時好用合用,但畢竟不是為了雲端環境而設計,用戶必須要先連到企業資料中心,才能存取公共雲端的應用,導致許多挑戰。如在傳統安全方面,不僅所有流量都會回傳到資料中心,只要資料中心發生資安問題,後果將會十分嚴重;不斷回傳的資料,也無可避免的會損害應用程式的效能,無法持續支付SLA,VPN也會影響遠端存取效能,更無法利用分佈式雲端支付如CDN服務,影響所及就是造成MPLS回傳成本、管理費用及託管資料中心費用的成本不斷上升。
雲端趨勢也迫使資訊安全面對轉型的挑戰,因為資訊安全的邊界正在消散。鄧江指出,過去的方式,企業會將所有資訊安全的資源部署在資料中心,但用戶在使用公共雲端的應用程式時,因為在路徑上必須要不斷的在公共雲端及企業資料中心不斷的來回,勢必會影響使用體驗及工作效率,但如果為了提升效率而將資料中心及公共雲端加以整合,企業資訊安全必須要跟著轉型,才能讓企業安心。
企業應該要按照自己的節奏循序漸進
但不只是企業要適應全新的雲端應用,安全和網路也正在融合,各個企業因為背景各有不同,於是就有不同的考量。如傳統的資訊安全業者或是有比較多分支機構的企業,會傾向將虛擬NGFW接入雲端,構建安全邊界;而在雲端時代誕生的業者,會傾向讓一切都在雲端提供服務,並讓端點代理程式重新導向到企業的資料中心進行處理;而誕生於Edge的業者,就會認為要讓用戶最靠近接入點、時間、地點、事物,要在Edge上應用和實施策略,在需要時轉換為企業首選的雲端安全服務。
Gartner因此在2019年提出,SASE(安全存取服務邊緣)的概念,簡單的說,就是將全面的WAN功能與全面的網路安全功能(如SWG、CASB、FWaas和ZTNA等)相結合,以滿足數位化企業的動態安全存取需求。
鄧江建議有意轉向SASE的企業,應該要按照自己的節奏循序漸進,不需要馬上拋棄傳統的網路架構。如第一步可以先直接從分支機構以智慧方式分流SaaS(如Office 365)和受信任的網際網路繫結流量,自適應Internet分流,第二步再按照自己的節奏,透過應用程式驅動引導轉換安全模型,最後再讓整個網路範圍實施一致的安全策略,讓應用程式的安全和效能不會顧此失彼。
[CIO都在讀: 10個數位轉型成功案例 ]
如此一來,不僅企業可以利用最短的網路路徑到達應用程式,避免增加延遲,改善應用程式的響應時間,也因為只會將不受信任的流量回傳到公司防火牆,可以減少回傳的負擔,進而節省寶貴的WAN頻寬。
轉型完成之後,客戶可以利用SD-WAN的功能,提高應用程式效能,如寬頻QoS路徑調節、應用程式自動勾心、自適應調節以確保本地Internet分流,需要時隨時隨地將WAN最佳化,同時也可達到一致的安全性,包括全面提供安全性堆疊的雲端服務,可在任何地方連接WAN工作,並在分支站點進行區隔和防火牆狀態分析,未來的安全解決方案也可以更方便的納入,進而透過API不斷更新,實現高度自動化,不但能夠建立滿足未來安全需求的平台,WAN基礎就夠也進行簡化,有效降低風險和成本。
Edge是WAN和安全轉型的樞紐
鄧江希望Aruba能夠在Edge趨勢中扮演樞紐的角色,幫助客戶實現轉型的需求。如Aruba 的EdgeConnect SD-WAN邊緣平台,分為三個模組,各自提供不同的價值。如第一個模組Aruba EdgeConnect是物理設備,但也支援虛擬機器,可以部署在分支機構或資料中心;第二個模組是Aruba Orchestrator,也是邊緣平台的管理核心,所有的設定、報表都可以使用單一介面管理;第三個模組是Aruba Boost,可以讓WAN最佳化,降低延遲風險,刪除重複資料。
如某客戶因為有大量站點,手動設定從分支路由器到Zscaler ZEN的IPsec通道非常耗時,而且在啟用Zscaler子位置功能更加困難,但透過將Silver Peak SD-WAN API層與Zscaler整合後,可以自動建立從邊緣裝置到ZEN的IPSec通道和路由策略,為工程師省下90%以上的時間。
[CIO都在讀: 網路安全真相、數據與統計 ]
鄧江指出,雲端安全如果無法自動化,假設要在1000個位置上手動設定雲端安全服務,每個位置如果需要兩小時設定,全部完成就需要83天的時間,不僅建立IPsec或GRE通道非常耗時,後期維護也會很辛苦,如無法刪除特定應用程式,難以長期管理,也很難在每個分支強制實作DC回傳。
但如果能夠整合Aruba解決方案,Silver Peak Orchestrator可以直接連至雲端安全服務,API可以從網路和安全服務匯集必要的資訊,並建立完整網路,而且透過拖放疊加,即可輕鬆的將流量路由到安全服務,網路也可自動管理,並保持即時更新,即使是1000個裝置,也只需要10分鐘即可在單一介面中設定,自動完成建立IPsec通道、路由流量、備份等工作。
建立多供應商的生態系統
更重要的是,鄧江強調,使用Aruba解決方案,在幫助客戶完成現代化WAN與安全轉型的同時,並不會影響客戶關鍵基礎架構,就可以感受到提高生產力和終端使用者品質的體驗,自動部署和管理WAN及安全解決方案,提高應用程式效能和可靠性,更可提供一致的網路和安全策略,將風險減到最低。還可簡化分支基礎架構,無須回傳和成本高昂的電路,將WAN及安全架構現代化,使雲端投資享受倍增效應。
許佳樹最後指出,WAN與安全轉型,應該是要讓客戶可以按照自己的節奏來實現,輕鬆整合未來的安全技術與解決方案,動態區隔及彈性調整管理,才更能符合客戶需求,同時幫助客戶不會受限於特定供應商,進而建立多供應商的生態系統。
(本文授權非營利轉載,請註明出處:CIO Taiwan)