奇安信安全SD-WAN 2.0:開啓數字化組網新時代
釋出日期:2020-07-02 作者:奇安信
近日,奇安信發佈了全新的安全SD-WAN 2.0,在零配置上線、自動VPN組網、流量調度、安全策略與網絡策略統一編排等核心功能的基礎上,新加入了威脅情報能力,為SD-WAN技術應用和市場注入了新的活力。
廣域組網技術由來已久,政府機構的上下級單位、大型企業的總部分支,常採用專線或VPN的方式進行互聯。而在數字化轉型時代,智能聯網已成為更加普遍的需求。冠以”軟件定義“的光環,SD-WAN技術應運而生並迅速“紅遍全網”。
根據今年上半年IDC對SD-WAN市場的調研顯示,2019年SD-WAN市場增速超過130%,市場規模接近7000萬美元,已經廣泛應用於金融、零售、製造、互聯網、媒體、政府、醫療等多個行業。
然而,數字化轉型並非傳統意義上的數字化升級,其核心目標是要將創新的數字化技術注入核心業務,從而引領全新的業務運作模式產生。
那麼,數字化轉型究竟需要什麼樣的廣域網?SD-WAN是否已具備了替代傳統廣域組網方案的競爭力?
敏捷高效,助力企業以快制勝
北京市一家老牌零售企業為了守住市場、贏得主動,積極向連鎖型新零售業務模式轉型,通過快速擴張門店佔領熱點市場。一時間,該企業每月新開張的門店數量驟增至20餘家,而每家新門店開通時間通常要求在幾天內完成。
如果説店面裝修、設備安裝尚可通過標準化施工的方式提升效率,那麼IT系統的部署上線則令信息部門苦不堪言。
“門店的信息系統其實並不複雜,收銀終端只需和數據中心的業務前置機連接成功即可,但我們不得不花費大量時間在VPN的連通性配置上”該企業IT經理表示,各門店通過VPN網絡與數據中心建立連接,而每開通運營一家門店,都需要總部的IT工程師進行現場部署,有時遇到位置偏遠的門店開張,耗時費力效率很低。
專家介紹,VPN技術基於互聯網在分支與總部間建立加密的隧道連接,從而形成虛擬的企業專網。
VPN的配置涉及對端認證、密鑰交換、加密算法、完整性校驗、感興趣流定義、訪問控制等諸多環節,且必須在兩端設備分別啓用對應的設置,任何一點偏差即可導致兩端VPN協商失敗,部署過程可謂複雜繁瑣、極易出錯且難於排障,即便是富有經驗的“老師傅”,也時常會遇到無法理喻的“新問題”。
當前,該企業已使用奇安信安全SD-WAN產品完成了全網改造,基於“零配置上線”的特性,IT工程師無需再到現場進行安裝,無專業背景的人員也可輕鬆完成設備上線並實現企業專網“即插即用”,之前上線難、部署慢的問題得以解決。
圖 SD-WAN極簡上線、分鐘級開通
成本低廉,便於部署易於維護
另一方面,儘管專線互聯性能好、可靠性高,但昂貴的專線價格同樣制約着企業快速擴張。
國內一家知名的家電零售企業在全國共計1000餘家商場,每年僅專線鏈路租用的開支就在數千萬元,近日該企業採用奇安信SD-WAN技術並基於互聯網連接重構了其業務專網,各門店的鏈路成本由每月近萬元縮減至幾百元。該企業CIO形象地將SD-WAN稱為“Save Dollar - WAN”。
如果説上面的例子體現了企業利用新技術降本增效,那麼在萬物互聯時代,SD-WAN則使過往很多止步於高昂成本的“不可能”變為現實。
2019年起,各省啓動“危險化學品監測預警系統”建設,全國數萬家危化品企業的安全生產數據統一上報、集中監測。與之類似,“智慧礦山”建設通過廣域網監測礦井的安全生產狀態,對生產事故及時做出預判。
同時,生態環境部門新增大批監測站點,加強大氣、水文及輻射指標的監控。傳統領域依託物聯網技術煥發出全新活力。
相比IT網絡,物聯網的終端規模更為龐大,部署環境更加複雜,不少物聯網終端設備需要户外部署、無線接入。因此,物聯網的組網更加受制於採購、部署和運營維護成本,如果沒有成本低廉、便於部署且易於維護的組網方案支撐,則難以產生規模效應。
SD-WAN可為物聯網終端提供多種形式的接入方案,同時基於其智能路徑選擇、全網集中監控運維等特性,為企業搭建具備自運營能力的組網服務,以低廉成本獲得穩定可靠連接。
圖 基於SD-WAN實現重要設施監測數據安全傳輸
“對於那些已經部署過VPN的機構,奇安信安全SD-WAN可與傳統的標準IPSec VPN組網環境相兼容,使企業網絡由傳統的多點獨立組網逐步地平滑過渡到SD-WAN網絡,這就可以大大提升政企客户網絡設備的複用率,進一步降低部署成本。”奇安信安全SD-WAN產品負責人説,“同時,在SD-WAN2.0版本中,奇安信免費開放了基於SAAS模式的安全網絡管控平台,用户開通賬號即可免費享受SD-WAN帶來的一鍵組網能力。”
全程守護,安網一體內生安全
長期以來,網絡與安全正如信息化的一體兩翼,難以割裂看待,SD-WAN與安全技術的集成,似乎是天然搭配。據Gartner 2018年底發佈的一份調查報告顯示,在分支機構較多的企業中,有72%的受訪者將安全性視為部署SD-WAN首要考慮的問題。
以奇安信安全SD-WAN解決方案為例,基於安全路由網關內置的用户識別、終端認證功能,確保接入用户和終端可信,同時利用深度集成的入侵防禦(IPS)、病毒防護(AV)等高級安全特性,實現了分支與總部間網絡的深度安全過濾。
安全SD-WAN並非兩類技術的物理堆疊,將安全能力植入網絡基礎設施,從網絡聯通開始,即可在網絡的關鍵節點部署各類安全策略,並通過安全網絡管控平台實現了網絡策略與安全策略的一體化編排,使得企業網絡具備了天然的免疫力,實則體現出“內生安全”的理念。
圖 安全SD-WAN實現網絡及安全策略一體化編排
在奇安信最新發布的“安全SD-WAN 2.0”版本中,還開創性地集成了威脅情報引擎,通過雲端的訂閲服務,將用於防禦、檢測、處置最新威脅的情報源源不斷地輸送至全網各接入點,進一步提升了業務網絡的安全有效性和防禦實時性。
除此之外,SD-WAN的核心在於“軟件定義”,這使得其內涵遠比“實現網絡的聯通”更為豐富。SD-WAN所天然具備的集約化管理和靈活的網絡編排、流量調度能力,使其更加便於與新的安全防護體系相結合,在重構企業網絡縱深防禦的進程中發揮更為關鍵的作用。