工作型態丕變,企業分支機構及外點網路安全存取備受考驗

作者 | 發布日期 2020 年 11 月 30 日 18:41 | 分類 網路 , 資訊安全 Telegram share ! follow us in feedly


資安轉型正在改變企業組織管理與防護網路的方式,隨著 BYOD(Bring Your Own Device,自攜設備)與雲服務的興起,大量的 IoT、移動式與雲端設備的出現,傳統的網路安全防護需求逐漸降低,企業該如何有效控管各設備、站點與分支機構的設備和服務呢?

傳統安全架構己無法適應雲端服務的變化

在過去,DNS、DHCP 服務建置於本地伺服器;Router、防火牆部署於遠端位置和分支機構,這會讓企業級解決方案應用在遠端位置或分支機構的成本提高。每個站點的設備都是各自獨立運作,需要單獨管理,包含提供服務、功能升級、查看紀錄、管理以及設定控制等。而有移動工作需求的企業,更需要針對這些移動設備配置不同的安全防護。以企業規模來說,這樣的方法不僅耗費大量人力與時間,且容易因手動修改的形式出錯,導致總部、各站點及遠距員工間設置不一致的情況發生。

DNS 回傳(DNS backhaul)最初是為服務數據中心託管的應用服務而設計的,不適用於雲端系統架構。在使用 DNS 回傳機制時,無法提供用戶與最近的服務提供點(point of presence)連線,當分支機構需要 DNS 解析的服務時,DNS 查詢會將數據中心作為服務提供點,而不是從分支機構的伺服器做解析、回應,這樣的模式會造成響應時間變慢,此外,遠端站點依靠與數據中心的連線來進行 DNS 解析,若因外點地區的距離或環境影響而導致連線中斷,則無法成功取得 DNS 服務解析的結果。

SASE 模型提供更好的網路安全環境

Gartner 在 2019 年 7 月所提出的《網路與安全必須加以整合》市場趨勢中強調,許多企業內會由多個不同的 IT 團隊選用並管理網路不同的設備或架構,因無法落實管理與安全方面的一致性,進而提出 SASE(Secure Access Service Edge)網路模型,根據用戶的網路環境,使用雲端架構將傳統的 WAN 管理與網路安全功能整合,集中並簡化管理、動態部署網路與安全功能,以達到動態安全存取且快速的需求,Infoblox BloxOne DDI 整合系統即符合 SASE 架構中的所有條件。

在不久之前,虛擬網路(VNF)改變了網路,但在這個企業無邊界的時代,虛擬網路技術已經不再符合需求。SASE 需要網路組件具備速度、敏捷性和靈活性的特性,如今移動存取和雲端上的應用無所不能,甚至連 VNF 也無法跟上腳步。

此外,雲端原生功能(CNF)網路和微服務,能夠為 SASE 要求的邊緣提供極快的速度和低延遲效果。微服務是應用程序服務的下一步發展,並非在虛擬機器(VM)上運行應用程序,而是在雲端中實際運行。

▲ (Source:Infoblox)

Infoblox BloxOne DDI 是業界第一個雲端原生平台的 DDI 產品,以雲端控制整合平台,將各站點管理與控制功能整合至單一介面,自動化配置數千個遠端站點。分支機構中的 DNS、DHCP、IP 管理服務皆集合在 DDI中,NIOS 網格架構使 BloxOne Cloud Service Portal 的用戶可以在單一介面查看多個 BloxOne DDI 的資訊。基於雲端的應用,不仰賴數據中心的連線,可以使流量固定導向最近的服務接口,以提高效能並確保企業分散式架構的運作,大幅改善終端使用者對服務需求的體驗。

BloxOne DDI 為遠端站點與分支機構增加了由本地提供服務的能力,支援各種邊緣(Edge),取代傳統控管方式,使各端點成為架構底下的用戶而非數據中心,透過雲端原生提高部署的靈活性,強化雲端應用的網路存取,除了 DNS、DHCP、IPAM 整合服務外,也可以依照用戶所需環境擴充更多安全化服務,簡化操作部署,將成本縮減至最小。

(首圖來源:Shutterstock)