受到“新冠”病毒疫情的影響,世界各地的企業開始採取在家辦公模式(當然,如今中國的企業已經開始復工啦,但也仍舊不可避免地需要使用遠程辦公方式)。從某種意義上說,正是相關遠程網絡技術的發展支持了人們遠程工作的方式,通過 家中的寬帶或VPN連接企業網絡,進行文件傳輸及視頻會議等,人們可以像在常規辦公環境中一樣繼續有效地完成工作。
這並不意味著IT部門能夠很好地支持這些關鍵技術,使得員工可以順利的在家辦公。這要取決於公司現有的網絡體系結構的類型,支持這些成千上萬名員工龐大的突發遠程流量,可能會比較容易,但也可能會面臨很大挑戰。
網絡基礎設施服務提供商Apcela公司的CEO Mark Casey講述了許多大型企業在這些方面面臨的挑戰。這些企業通常仍將傳統的星型WAN設置在物理數據中心中。企業網絡流量從分支機構和其他遠程的地方(比如員工家裡)回傳到中央數據中心,通過安全堆棧,然後再發送到Internet或雲服務。但不幸的是,這種傳統的網絡架構無法很好地適應因遠程辦公大量增加而導致的截然不同的流量模式。
在這種環境下的VPN架構是,Cisco的AnyConnect解決方案將其主要與Cisco設備搭配使用,該解決方案可與供應商的ASA防火牆產品搭配使用。無數大型企業在其本地數據中心中擁有這些硬件設備。無論是Cisco設備還是其他供應商,VPN /防火牆組合在正常情況下都是真正的主力軍,但是遠程辦公人員的大量增加卻對此造成了很大壓力。
VPN容量趨於緊張
試想一名員工在家辦公時的場景:該員工在家啟動了VPN連接,該VPN連接創建了安全隧道,可將其直接連接入數據中心。當企業期望10%到20%的員工在任何給定時間遠程工作時,這可能還能良好承載,但是現在這個數字如果接近50%或70%,就可能會導致資源爭用,所有人的VPN體驗會變得很差。此外,還會出現員工將大量Internet通信以及發往內部應用(例如Microsoft Office 365)的通信路由到數據中心等情況。Casey表示,在與許多大型企業組織進行互動交流時,經常會會看到這種情況。
“最近,我們與多家公司進行了交流,他們表示他們需要擴展VPN容量,但傳統的網絡體系結構卻使他們望而卻步。思科、Palo Alto Networks和其他公司提供免費的VPN客戶端許可證,但企業用戶仍然需要擴展VPN終端設備,而在這種情況下很難快速擴展容量。” Casey表示,“不管是‘新冠’病毒還是其他突發狀況對舊有網絡環境造成了這樣的壓力,我們都主張企業應實現多元化,並將其部分網絡架構轉移到雲上。從長遠來看,這將為他們提供更大的靈活性,以便為其員工提供安全的遠程訪問服務。”
SASE具有靈活性和按需容量
Casey提到了SASE(安全訪問服務邊緣)框架,作為重新架構企業網絡的模型, SASE一詞是Gartner提出的名稱,它結合了SD-WAN功能和主要通過基於雲的交付模型來交付許多安全服務。
Gartner將“服務邊緣”定義為通過將SD-WAN功能與網絡安全服務(例如安全Web網關(SWG)、雲訪問安全代理(CASB)和基於雲的防火牆)相結合,來支持數字企業訪問需求的產品。簡而言之,SASE產品通過提供高度可定製的基於策略的控制來幫助簡化網絡管理,該控制可以根據用戶身份、會話上下文以及應用對性能和安全性的需求進行定製,並且是從雲中交付的。
假設某位員工正在從上海家中的VPN接入到公司網絡,而數據中心位於北京。通常,所有流量都會定向到北京,但是如果他正在訪問互聯網內容,則最好通過安全的Web網關將流量通過本地發送到用戶所在的地方。最好訪問位於上海的VPN終止於本地防火牆的站點,並且那裡有一個安全的Web網關,以便可以將Internet流量傳到那裡,而不是將其回傳到北京。上海的這個站點就稱為服務邊緣。
公司防火牆的虛擬版本位於中心。 VPN終止於本地hub中的VPN集中器,然後對流量進行適當的路由。 進入互聯網的流量通過安全的Web網關流出,而發往數據中心中的應用的流量則通過安全的專用網絡傳輸。這實際上是回到數據中心的另一條隧道。 對於整個SASE概念而言,這是一個很好的用例,它將提升企業的某些核心安全組件並將其移至雲中。
人們用雲來形容AWS這樣的雲服務提供商所做的雲服務,但是Casey為雲提供了更廣泛的定義:“雲是軟件即服務,就像Salesforce那樣的。如果您是企業,那麼雲就像是Equinix數據中心。 雲與你不那麼直接相關,它就是作為服務交付的。”
服務邊緣是強大的樞紐
用Apcela的話來說,服務邊緣稱為應用中心或AppHub。 其他公司稱它們為通信中心,雲中心或簡稱為PoP。 無論名稱如何,概念都是相同的。
這些hub由交換和路由設備機架組成,這些機架通常部署在與運營商無關的託管中心中。然後,將這些數據中心與高容量、低延遲的線路互連,以創建高性能的核心網絡。SD-WAN、VPN和安全堆棧通常部署在hub中。在此網絡的邊緣,企業可以直接連接自己的數據中心、分支機構、遠程和移動用戶,甚至第三方合作伙伴。領先的SASE提供商在全球範圍內建立了PoP,以便企業及其員工可以連接到最近的hub,以獲得他們所需的通信和安全服務,每個企業都可以選擇需要使用的服務。
在考慮如何將安全性部署為虛擬服務時,Casey表示:“您不一定要將所有安全性都放在AWS這樣的雲服務商中,因為那樣一來它就可以與AWS一起很好地合作,但不適用於GCP或Azure,並且不會對您的SaaS應用有所幫助。因此,擁有位於應用雲(Salesforce、Office 365等)與用戶及企業之間的中心環境是放置這些安全服務的理想位置。而且由於hub本質上是一種基礎架構即服務,因此您不必遷移到某些專有的基於雲的平臺。”
SASE基礎架構本質上是按需提供的,因此新客戶很容易採用它,這並不複雜。我們必須在其他的某個地方找到一個位置,然後交叉連接回企業的基礎架構以提供私有連接。但這一切都非常像雲。它需要雲的敏捷性和雲的速度,並使您能夠迅速採取行動。
SASE已預先構建VPN容量
SASE模型使公司可以輕鬆擴展其VPN平臺,因為該功能都是預先構建的。服務啟動後,公司將可以為數以千計的員工提供遠程辦公支持。
那麼一般新客戶採用SASE方法需要花費多少時間呢?Casey表示:“當時 Apcela的解決方案是花了幾天到幾周的時間,當然,這取決於客戶的安全平臺,因為我們在安全方面利用了虛擬化網絡功能,因此整個採購和運輸設備的環節就不需要了。”其他供應商可以以不同的方式進行部署。
將這種方法與在數據中心中安裝新硬件以提供更大容量的傳統模型進行對比可知。公司通過訂購硬件,並將其運送到數據中心,然後進行安裝和配置等環節,可能要花費兩三個月。
SASE框架的另一個好處是流量通過私有核心網絡而不是公共Internet傳輸。 “互聯網不應該成為您的新WAN,當然,這不適用於業務和關鍵任務平臺。對於雲應用,您需要一種類似MPLS的專用網絡,這是SASE平臺所要做的。” Casey表示, “流量是在安全邊緣從Internet上移開,放置在專用安全網絡上,然後直接路由到相應的SaaS或IaaS平臺數據中心。”
目前,擁有專用核心網絡尤為重要,因為由於如此多的人在家在家辦公,由於流量和內容模式的變化,公共Internet承受著巨大的壓力。這種壓力是如此嚴重,以至於在歐洲,相關機構要求Facebook和Netflix等公司節制其服務以消耗更少的帶寬。畢竟,誰都不希望自己企業的辦公流量與Netflix這些互聯網服務商競爭帶寬。
如果您的企業今後還需要遠程工作的能力,可以考慮採取SASE服務方式。
閱讀更多 IT方程式 的文章
