SD-WAN 或軟件定義廣域網絡是一種網絡架構,使用軟件實時管理流量路線。
目錄
企業正在擴散至單一樓宇以外。無論是採用混合工作模式還是簡單地擴展,機構的「工作場所」都幾乎像雲端一樣抽象。
無論員工與其總部之間的距離如何,公司仍需保持聯繫,最好只花最少的資源。因此,網絡系統需要像雲端般超越傳統。
利用軟件定義的網絡,SD-WAN 已成為企業連線的首選。SD-WAN 在傳統 WAN 需要硬件定義規則的情況下提供韌性,為過去的硬質互聯網系統提供靈活且具成本效益的替代方案,讓資訊科技經理在系統的最佳路徑上作出選擇,並專注於其他問題。
與傳統 WAN 一樣,SD-WAN 可連接不同地點的裝置、伺服器及數據中心。與傳統的 WAN 不同,SD-WAN 可以根據一系列指示監控和確定數據的最佳路徑,在幾毫秒內切換理想路徑,以改善效能或其他業務優先次序。
SD-WAN 就像以感應技術打造的交通燈。傳統交通燈都會設置固定時間,給每個行車方向一分鐘時間,直到城市規劃師決定更新規定。然而,與感應器配對時,交通燈可以監控流量,並動態調整時間。在這兩種情況下,實時決策的能力可以使一切更順暢,減少勞力密集。
SD-WAN 如何運作
簡而言之,SD-WAN 將控制層與硬體層分開。網絡流量並非在各站點手動配置路由器,而是透過軟件定義政策進行指導。然後,這些政策會根據即時的壅塞或延遲狀況,決定透過互聯網、MPLS 或 LTE 取得最佳路徑。
令 SD-WAN 真正有效的原因在於它能夠自動化用於需要人工輸入的決策。這可減少錯誤、加快問題解決速度,並減低資訊科技團隊的壓力。
SD-WAN 架構說明
典型的 SD-WAN 安裝包括四個主要元件:
分行:包括進入點及用戶端,這些裝置可用作網絡之間的橋樑,並設於分行辦事處、數據中心或雲端平台
數據中心:資訊科技團隊定義及管理不同地點政策的地方
策劃人/管理層:資訊科技團隊使用的儀表板,是配置、澄清政策及分析的重點。
基礎網絡:又稱為“WAN transport”,這些是將 MPLS、互聯網、LTE/5G 等所有內容連結在一起的加密管道。在 SD-WAN 架構中,所有連結都會被提取並被視為單一的虛擬網絡。
邊緣裝置將一切整合,首先會偵測流量,並透過最好的 WAN 連結傳送。然後,控制器將確保流量符合機構設定的政策(例如透過寬頻發送 YouTube)。與此同時,協調人員將監控系統表現及為資訊科技團隊提供視野。因此,流量會被加密並安全地轉接至雲端,而這通常會直接傳送至雲端,而無須再向總部查詢。
SD-WAN 如何運作?
SD-WAN 實時監控流量,並自動調整路徑以優化效能。如果一個連接變得緩慢或不可靠,流量會被重新轉接,而不會中斷用戶體驗或尋求資訊科技專家的許可才繼續使用。
這對於需要可靠及低延遲連接的關鍵應用程式尤其有用,例如視像通話或雲服務。在這情況下,進階演算法會考慮諸如綁定、數據包遺失和可用頻寬等指標來做出轉接決定,自動尋找維持線上視像通話的最佳途徑。
此自動化水平有助資訊科技團隊維持服務質素,而無須細節管理網絡。這也意味著企業可以放心支援不同地點的熱門應用程式及服務。
SD-WAN 跨產業應用案例
SD-WAN 的應用可以說是與互聯網本身一樣多元化和全面,為零售店和學校等不同行業提供各式各樣的功能。
支援業務中的多分行營運
利用 SD-WAN 集中控制流量的能力,多分行零售商和銀行可利用 SD-WAN 來減少開支,並快速連接擴充的新地點。
這對於擴展業務的機構尤其重要,因為部署時間很重要,而且網絡政策一致。SD-WAN 消除了耗時的現場設定流程,讓分行在幾乎沒有中斷的情況下運作。
啟用遙距及混合工作
SD-WAN 可滿足雲端保安日漸增加的需求,無論員工身處實地或遙距,都能安全、一致地存取應用程式。
遙距工作者可受惠於應用程式感知轉接及原生安全性,而無論用戶位置如何,都會讓資訊科技人員掌握及監控流量規律。這對於賦權分散的勞動力而言至關重要,且不會影響系統表現或安全性。
賦權教育
學院及大學需要穩定及安全的互聯網,以促進數碼課堂安全、遠程測試及網上管理。SD-WAN 協助排序學習應用程式,並優化大型校園及宿舍的頻寬。
它具備原生的保安功能,可保護學生資料,防止接觸惡意內容。對於擴展數碼學習計劃的機構而言,SD-WAN 即使在高度複雜的網絡中,也能以可靠的效能促進更簡易的部署。
加強醫療網絡
醫療組織必須享受電子健康記錄、影像系統及遙距醫療服務的快速及安全存取。SD-WAN 提供加密連接及高可用性,確保醫生無論身處何地,都能實時存取患者資料。
它亦透過網絡區隔及中央化政策管理支援,協助符合醫療資料保護法規。這尤其適用於在分散地點共享敏感資料的醫院和診所。
SD-WAN 技術及保安功能
雖然 SD-WAN 的主要目的在於網絡效能,但現代平台也可作為機構網絡保安的關鍵元素。整體而言,SD-WAN 直接將威脅防護及登入管控機制融入網絡架構中,協助減低保安漏洞。
SD-WAN 保安功能
較新的 SD-WAN 平台提供內建功能,例如:
次世代防火牆
入侵防禦系統
網址過濾
端對端加密
安全 VPN 及用戶端認證
這些功能讓 SD-WAN 能夠保護傳輸中的資料,對網絡進行細分,並拒絕未經授權的存取,即使資料是透過公用網傳送。
SD-WAN 與零信任整合
SD-WAN 與 Zero Trustnetwork Access(ZTNA)及其他以身份導向的保安模式並存,因此成為 Secure Access Service Edge(SASE)架構的基礎。
Zero Trust 假設裝置或用戶都不會預設被信任。透過結合 SD-WAN 及 ZTNA,機構可在存取指定應用程式前驗證及授權用戶,減低歹徒的橫向移動風險。
防範勒索程式及威脅
SD-WAN 對現代企業的好處
SD-WAN 不僅是一個連接方案,更是符合靈活、保安及數碼轉型目標的策略推動因素。其優點涵蓋營運、財務及用戶體驗領域。
以下是企業在採用 SD-WAN 後可能體驗到的一些好處:
效能及正常運行時間:SD-WAN 透過動態路徑選擇及次秒故障轉移來改善應用程式效能,確保關鍵服務即使在停電期間也能保持順暢。
成本效益:SD-WAN 已不再局限在高成本的私有電路以確保可靠性,令機構可減少駐場基礎設施,並結合更實惠的寬頻、LTE 或 5G 選項,達到與 MPLS 相同的性能水平。
簡化管理:資訊科技團隊可透過單一平台配置政策、偵測異常情況及在數分鐘內推動更新,即使處理數千個地點亦然。
更強的合規狀態:SD-WAN 具備區隔及精細管控功能,透過限制資料存取及維持保安的視野來協助合規措施,例如 GDPR、PCI-DSS 及 HIPAA。
SD-WAN 部署注意事項
成功實施 SD-WAN 需要仔細規劃及評估現有基礎架構、業務需求及營運能力。
部署模式
機構可透過以下途徑部署 SD-WAN:
全面控制的 DIY 基礎設施
專為外包複雜性而設的託管服務商
雲原生平台提供可擴展性及靈活性
每種模式都提供不同的控制、速度和自訂程度。
與現有基礎架構兼容
主要規劃因素
提示:在部署前,進行全面的流量及應用程式審核,以辨識瓶頸及優先處理關鍵服務。
其他考慮因素包括:
頻寬規劃
應用程式關鍵性
現有資訊科技技能集
保安及合規要求
傳統 WAN 與 SD-WAN 比較
隨著數碼轉型重塑業務優先次序,機構必須評估傳統 WAN 模型能否跟上步伐。SD-WAN 提供傳統 WAN 難以匹配的強大優勢。
SD-WAN 已針對雲端及混合資訊科技模式進行優化。它讓企業能夠快速適應改變,無論是在引導新分支機構、轉向遙距工作或應對新興威脅。
SD-WAN 如何配合 SASE
SASE 是 Secure Access Service Edge 的簡稱,將網絡及保安融合為單一雲服務模式。SD-WAN 的核心是讓企業流量安全順暢地流入關鍵應用程式的技術。
SASE 提供安全、無縫的存取,無論用戶身在何處、使用何種裝置或連接方式。SD-WAN 並非經由中央數據中心進行所有運作,而是以智能方式將流量導向至雲端保安服務,並即時應用政策來發揮關鍵作用。
選擇合適的 SD-WAN 方案
並非每個 SD-WAN 解決方案都是一樣的,所以選擇正確的方案意味著它與您目前的設定相符,並計劃下一步。
要尋找甚麼
在評估 SD-WAN 選項時,以下是一些必須注意的功能:
實時分析及表現監控
內建保安(例如防火牆、入侵防護及零信任支援)
支援多重雲及混合環境
中央化管理,實際上容易使用
強大的 SLA 及反應靈敏的服務商支援
保持靈活——避免供應商鎖定
一個關鍵考慮因素? 彈性。尋找不會將您鎖定在單一供應商的方案。供應商中立的 SD-WAN 可在多個 ISP、雲端平台及保安工具上運作,讓您有足夠空間因應數碼轉型而作出調整及擴展。這就是您保護網絡的方式。
為何 SD-WAN 對現代網絡策略至關重要
SD-WAN 不僅可以升級您的網絡,還能重塑網絡,以滿足現代企業的需求。隨著企業發展和適應,SD-WAN 帶來在數碼世界中保持領先所需的效能、安全性和靈活性。
從支援雲端應用及支援混合式勞動力,以至加強網絡保安工作,SD-WAN 是現代資訊科技策略的關鍵支柱。在更廣泛的 SASE 框架內,它成為安全、可擴展及連接的重要組成部分。
我可以在哪裡取得 SD-WAN 防護的協助?
隨著網絡日益複雜及威脅變得更精密,SD-WAN 本身可能無法減低威脅。這亦是 Trend Vision One™ 的強項。它將原生的 SD-WAN 整合與 XDR 結合,涵蓋用戶端、網絡及雲端。
Trend Vision One 結合進階威脅偵測、零信任架構及智能網絡轉接,為您的保安團隊提供強大平台,以統一視野、自動化回應及可擴展的基礎架構來配合混合的世界。
李兆熙是趨勢科技產品管理副總裁,負責領導企業電郵與網絡資訊保安方案的全球策略與產品開發。