面对软件定义的分支机构态势 企业如何见招拆招提升IT价值 原创

毋庸置疑,云计算正在改变着我们的一切,大到国际间的合作。小到个人的生活方式,云计算几乎无孔不入的渗透到了整个社会的方方面面。可以说我们已经离不开云,但云也给我们当前的工作方式带来了新的改变。

至顶网网络频道 08月01日 北京报道:毋庸置疑,云计算正在改变着我们的一切,大到国际间的合作(共享数据中心)。小到个人的生活方式(你上网就离不开云),云计算几乎无孔不入的渗透到了整个社会的方方面面。可以说我们已经离不开云,但云也给我们当前的工作方式带来了新的改变。

具体有哪些改变呢?最普遍的云服务(如Office 365)的广泛采用和企业工作负载向公有云的转移,改变了数据的流向。通过中央枢纽站路由到互联网上的流量不再是一种性能友好的选择。越来越多的流量被分配给运行在公有云上的服务,这些服务可以通过Internet直接访问,而不是组织的内部私有数据中心。因此,IT组织正在考虑从分支提供直接的Internet访问,以便使用户能够直接连接到云服务并最小化延迟,这也促进了企业分支这一IT场景的大量增长。

面对软件定义的分支机构态势 企业如何见招拆招提升IT价值

虽然云给我们带来了种种便利,但作为承载云服务的基础网络,却面临了一次不小的冲击,现有网络在面对这种分布式处理时,由于数据转发界面的不确定,使得企业IT部门无法获得端到端的业务流量视图,导致出现问题时难以界定故障原因,网络监控运维难以实施。所幸的是网络领域也适时提出了软件定义的概念。业界普遍认为,软件定义网络将改变现有网络对云服务的支撑环境,最终要实现可视化、自动化,以及智能化。

再看物联网市场,根据2018年物联网报告预计,相比2017年的90亿台,到2025年IoT设备数将增长到超过550亿。在某种程度上,由于这一巨大增长,IoT将影响到各行各业,许多行业将基于IoT开发业务,如零售业和医疗保健业;另外,在金融服务行业预计也会受到IoT的巨大冲击,例如银行中利用IoT的视频出纳员和自助终端,而传感技术可以监视并对使用者的行为采取特定操作。此外,移动地理位置功能与信标技术的结合可以在预约排队的客户进入分行时进行信息推广,从而改进服务。但不幸的是,这一系列应用都将面临一个严重的挑战,那就是安全漏洞也将呈几何指数增长。

云计算、物联网、移动化、安全性、当企业同时面对这些“武林高手”围攻之时,难免会感到茫然,不知所措。但不必担心,因为在这一领域中有一位“绝世高手”正在暗中协助,所谓天下武功唯快不破,顷刻间就已破解各路招式,并在关键时刻祭出手中“杀手锏”为企业保驾护航,这位“绝世高手”正是在有线/无线领域享誉江湖的Aruba。

在Aruba看来,以上种种“攻势”,间接形成了越来越复杂的IT搭建与维护环境,并衍生出一种物理和逻辑上同时存在的企业分支场景。如何简化企业的全新办公环境,提高生产效率,减少企业成本支出才是当前需要认真思考的问题。

基于此种考虑,Aruba适时推出了软件定义的分支机构(SD-BRANCH)解决方案,为满足企业快速进化到云、物联网和高速移动网络的需求,并优化分支机构的网络现代化管理提供了全新的途径。这一方案整合了基于软件定义的广域网、有线和无线统一接入,基于网络情景数据的安全策略,以及基于云的中心化管理,能够帮助IT部门快速提升网络可靠性和应用性能,并且极大的降低企业在分支网络部署和运维方面耗费的大量时间和成本。从根本上解决了企业面对庞杂IT环境在搭建与维护中的棘手问题,下面我们具体来了解一下Aruba这套方案到底有哪些“精妙招式”。

简单、自动、高效的SD-WAN

毫无疑问,SD-WAN正在为企业带来了巨大的价值。

Aruba通过重新设计基于云并且充分利用以软件为中心的解决方案,以此来提供基于SD-WAN的分支机构组网功能。例如,Aruba 7200以及VMC作为VPN网关可以同时运行在单个或者多个数据中心、私有云,甚至公有云基础设施中,用于终结来自分支机构的IPSec VPN隧道并提供分支机构与数据中心及各项云服务之间的路由。 Aruba 7200以及VMC头端设备可以与Aruba 7000系列分支网关建立独立的SD-WAN拓扑,叠加在MPLS、Internet甚至是LTE线路上,并在这一拓扑基础上提供基于用户、终端、应用、线路的策略路由、负载均衡、动态路径选择和线路备份等SD-WAN特性。

在此基础上,Aruba进一步提出了软件定义的分支机构(SD-Branch)的理念,这一理念与SD-WAN是一脉相通的,同样是为了解决分支机构中庞杂的IT系统而提出的。SD-Branch简化的不仅仅是WAN,还包括分支机构中所有网络功能,以简化与支持整个分支网络相关的持续运营负担。采用SD-WAN只是实现这一重大目标的一个起点。

灵活、安全的接入网络搭建

在分支环境中缺乏能见度一直是IT最关注的问题。由于企业和分支之间的距离问题,在分支的一些用户会尝试绕过安全控制的方法,将物联网设备在IT不知情的情况下进行连接,从而使企业网络环境面临大量安全隐患。此外,基于分支机构的移动性、IoT设备和基于云的应用程序的兴起,企业需要一种全面而且自动化的方式实现接入网络的安全性。

在Aruba SD-Branch解决方案中,IT管理员可以利用用户和设备情境信息,在LAN和WAN上同时实现一致的基于角色的控制策略。Aruba ClearPass策略管理平台能够简化并基于不同层次的网络和应用程序访问自动应用LAN和WAN访问策略,从而省去了费时的人工配置的需要。

同时,Aruba交换机和无线接入点为分支机构的用户提供有线和无线接入服务。通过将所有网络流量转发到Aruba分支网关,透过中心化的基于角色的准入策略,同时利用内置状态防火墙进行深度包检查,可以对分支机构中任何设备的有线或无线连接进行身份认证和灵活控制。这样,IT管理员就可以很容易地为特定的物联网设备分配策略,以实现从流量到应用的安全隔离。例如,在零售环境中,这一能力将非常有助于限制对分支店铺内安全摄像机的恶意使用,以及企图控制POS终端向非法设备传送数据的行为。

完善的分支与云安全生态体系

考虑到分布式企业的管理和保护分支机构网络是一个日趋复杂的问题,因此Aruba SD-Branch方案在设计过程中结合了云安全解决方案,其中包括IPsec VPN、Client VPN、动态网络隔离、状态化防火墙、Web内容分类与信誉等级评估、云安全整合等主要功能,并允许使用云安全服务的企业在企业总部或分支机构的用户组中应用相同的安全策略。

通过Aruba 7000系列分支网关连接WAN上行链路,并作为端点设备参与SD-WAN整体组网架构,同时还是有线、无线、安全和广域网策略(包括路由)的策略执行点,其功能涵盖状态防火墙、Web内容分类、混合广域网连接、IPSec VPN、QoS和WAN上行路径监控和链路选择。

与此同时,为了解决分支边界以外的安全漏洞,通过扩展Aruba 360安全交换技术合作伙伴计划,Aruba增加了与Zscaler、Check Point和Palo Alto Networks的集成功能。这些生态系统伙伴提供基于云的防火墙和统一威胁管理功能,以确保与互联网交互的企业数据流量的安全。

简单的有线/无线一体化集中管理

在大多数企业环境中,分支机构通常不具备本地技术资源来安装硬件并检查故障。但是,分支机构如今的部署模式则往往要求提供技术人员进行现场安装调试,这毫无疑问抬升了分支机构部署的成本及复杂性。因此,一个小型团队开通大型分布式网络时,需要有一个可操作的安装流程,同时涉及到第三方安装人员在现场的技术能力、以及系统配置模式等因素。要做到不需要技术人员到现场进行支持,这就意味着安装和打造一个分支网络必须是简单的、充分的利用基于云的管理,无人干预的自动部署技术,必须为非技术人员设计简单理想的操作界面。

与此同时,在传统的网络环境下,随着云服务的不断开展,IT部门很难监控基于云的业务性能,更无法实现对问题和故障的深入排查。

针对上述问题,Aruba 提供了基于云的Aruba Central中心化管理服务。Aruba Central是一个基于订阅的云管理服务平台,为所有Aruba无线接入点(AP)、交换机、分支网关和头端设备提供了中心化的管理和控制功能。Aruba SD-Branch解决方案一方面利用Aruba Central的Zero Touch Provision技术提供了分支网络设备的自动开通服务,以简化企业分支机构的网络安装和部署流程;另一方面,利用Aruba Central对企业分支网络,包括WAN和LAN进行自动配置, 并提供分支网络的拓扑视图,同时还可以采集和关联各种网络运行数据,以提供全面的网络运维洞察力和故障处理能力。

人工智能与机器学习技术的融入

随着人工智能及机器学习的兴起,Aruba也在自身产品和解决方案中引入了相关的前沿技术。其中最典型的例子就是Aruba IntroSpect和NetInsight解决方案。

IntroSpect用户和实体行为分析(UEBA)使用基于AI的机器学习来检测用户行为改变,这种改变通常指示已经避开了边界防御的内部攻击。实体风险评分基于机器学习,考虑到了多种关键因素,如不同攻击阶段中意外事件的顺序和时间,以及自检测以来的时间和企业具体环境信息。准确的规范化评分意味着安全分析人员可以放心地安排其工作优先级。安全团队具备了对恶意、受侵害或粗心用户、系统和设备的洞察力,可在威胁造成损害之前消除威胁。

NetInsight通过提供基于机器学习的分析来为IT组织提供网络保证。NetInsight采用无监管模式主动学习和监测正在运行的无线网络,自动分析该网络与其它同等规模网络的性能差异,然后提出系统优化建议,并进一步提供优化前后的无线网络性能比较数据,从而可以帮助企业不断适应和提高用户和物联网(IoT)的体验质量。

综上所述,造成管理和维护分支机构网络任务日趋复杂的原因主要集中在,企业缺少对基于云解决方案性能的监控能力,同时也无法对相关故障进行有效排除;与在分支机构中使用移动终端的人员所不断变化的安全挑战;以及在分支机构中使用基于IoT的企业应用相关的安全隐患。

为了解决上述问题,Aruba认为,企业在对传统网络特别是分支机构网络进行升级改造时需要注意以下几个方面:

  • 尽可能采用单一策略,用于集中管理有线 LAN、无线 LAN 和 WAN;

       分支机构办公室运营不仅复杂,而且成本高昂,特别是当部门在不同运营孤岛中管理传统网络组件时。通过借助软件来应用网络控制的方法,可以将对隔离配置的需求,替换为通过简单的通用策略集中管理的功能。

  • 采用SD-WAN技术对现有宽带和专用 WAN 链路实现路由和流量的动态优化;
  • 能够在整个企业环境中提供轻松开通新用户的功能;

       企业发现,在分布式体系结构中,登录移动用户和IoT设备的成本和延迟都在不断攀升。无缝登录体验可以实现更快地配置,从而减少成本和服务差距。

  • 网络系统应具备实时应用程序感知能力并提供服务质量指标;

       对不同业务具有更好的监控能力,可以为分支机构网络的各个层面带来了提高,特别是相对于从RF到WAN两个层面同时改进用户体验和服务质量。

  • 网络系统应具有先进的安全功能;

       传统网络边界的概念不再适用于移动和云网络模型。用户和设备要求能够在企业物理边界之外传输企业数据,从而实现实时动态访问资源。

  • 具备深入到用户和设备级别的基于角色的监控能力;

       利用网络接入层向 WAN 提供的深入分析和智能功能,例如具体环境感知以及用户、设备和应用程序相对于位置的行为模式。

  • 采用基于订阅和云托管的服务。

来源:至顶网网络频道

0赞

好文章,需要你的鼓励

2018

08/01

11:16

分享

点赞

邮件订阅
白皮书