订阅业界RSS CSDN首页> 业界

数字化新基建中的数据流通与安全管控——浅谈SD-WAN融合SASE在新基建平台中的价值

发表于2020-05-26 09:32| 来源互联网| 作者互联网

摘要:近期,“新基建”政策正式出台,为我国未来数字化经济奠定坚实基础!数字化时代,无人驾驶、车联网、智慧城市、工业4.0、数字孪生、智能制造、微型传感器、数字结算、AR/VR、智慧医疗、实时模拟、裸眼3D、全息投影界面、手掌即操作界面、脑机对传数据等等都将是我们的日常,而新基建正是为数字...

  近期,“新基建”政策正式出台,为我国未来数字化经济奠定坚实基础!数字化时代,无人驾驶、车联网、智慧城市、工业4.0、数字孪生、智能制造、微型传感器、数字结算、AR/VR、智慧医疗、实时模拟、裸眼3D、全息投影界面、手掌即操作界面、脑机对传数据等等都将是我们的日常,而新基建正是为数字化的工业、农业、消费、医疗、交通、娱乐等各场景提供了坚实的数字基础平台。新基建的范畴包括工业互联网(又称工业物联网IIoT)、物联网、云计算、人工智能平台、边缘计算等具备创新技术的融合型平台,不仅仅是简单的底层网络、服务器、楼宇布电、IaaS等简单的传统事物。

      为了支撑新型数字化业务场景,新基建中的各个平台要融合打通,分享数据。因此,数据流通控制,包括数据分析的结果传递(也是一种数据),是新基建中的关键环节之一,其中需要关注两点:广域网传输效能与安全管控

      下图展现了在工业智能制造领域,数据传递到零件供货商、排程体系、动态派工体系等各个环节,实现各环节精确配合,达成定制化智造的产出:

      广域网传输效能

      新基建的融合平台,并不是单一企业或组织建设平台的所有模块,而是各取所长,再根据业务关联性,通过软/硬接口融合在一起,达到高效多赢共同获益的目标。这一切,大部分会发生在广域网环境下。

      为了增强广域网传输效能,首先企业需要关注业务场景与应用软件,以便确认数据类型。从传输视角看,数据类型可大致分为:静态数据、动态OLTP/OLAP(在线交易/分析进程)数据、实时音视频数据。而数字化经济中,各种业务单元与应用软件融合在一起,上述数据类型也会混合在一起传递到对端,需要企业在确保时效性、敏捷性、灵活性和经济性的同时,还要考虑业务高可用与灾备,重视用户体验。

      另外,企业还要考虑网络接入端的多样性。不同于传统情况,数字化场景中,在数据中心与办公室的物理机终端仍然存在,并且是网络主要接入端之一,但此外各种虚拟终端(云、容器、个人虚拟端)、多种个人终端(手机、平板、穿戴设备、AR/VR眼镜等)也会大量接入网络。新基建平台中,需要一种方案来同时适配如此多样性的接入,并对这些接入端进行管控。

      最后,企业必须要仔细考量链路种类。通讯产业发展到现在,已经存在二层物理专线、三层MPLS专线、ADSLInternetLTE2G, 3G, 4GWi-Fi(无线版Internet)、卫星链路等种类,5G也初步上市。今后很长时间内(超过10年)以上各种链路都将会混合使用,尽管5G性能强大,但不可能取代所有其他链路,最多取代现有的LTE信号。数据传输应该充分利用这些混合链路,达成端到端的最优传输效能。小结:新基建创新融合平台,在规划数据传输时,需要慎重考量传输方案与业务、应用、数据的无缝适配性;能够适配并管理多种非传统的网络接入端;能够充分利用多种链路,保证传输效能与高可用,而整体运营成本可被接受。面对业务场景与应用,具备良好适配能力的7层SD-WAN软件定义广域网技术,不失为理想选择(架构见下图)。

      引入SD-WAN的时候需要详细评估方案与服务商,确保使用质量。综合而言,企业可关注以下几点:

      · 关注产品是否具备业务应用层的支持功能。SD-WAN不同于传统网络,这一层功能强大的产品,可以使用有限的网络资源,实现超额性能,甚至在几百公里距离内,提升普通Internet近似于专线的性能。

      · 关注是否具备管理网络资产的能力。软件能力确保SD-WAN发展出强大的管理网络资产的能力,即:完全可以部署在已有组网之上,集中管控,提升传输性能,达成高可用,而不必改动架构拓扑,也不必替换线路。这是传统通过POP与链路实现的网络方案所不具备的新能力,值得企业仔细评估。

      · 关注是否具备便捷性与灵活性。软件的易操作性带来了便捷与灵活,可以做到真正的零接触远程部署,非专业用户可即插即用。而专业服务商可以帮助用户通过图形界面实现远程部署。在运维的时候,用户也可以通过图形界面,远程操控节点的设备与传输策略,如控制带宽、防火墙策略、上网行为、应用优先级,或是否加载数据优化等特殊功能。这会大幅减少有限IT人员的工作量,让他们从事更重要的工作。传统方案中,必须人到场调试设备,大大增加了运维工作量。

      · 如果服务商本身具备骨干网,有上述SD-WAN的加成,可能会提供低成本优质服务

      · 关注是否具备安全合规功能。成熟的SD-WAN产品具备较强的软防火墙功能,如图中显示的NGFWUTM,同时包括数据加密能力。以下详细介绍新一代SD-WAN安全能力,SASE

      网络安全管控, SASE

      在以上复杂场景中,网络安全是重中之重!网络安全,顾名思义,安全与网络密不可分。新基建面向新时代数字化经济,其规划网络安全的思路,也要超越传统框架。由于数字化场景趋于复杂,传统的安全防护仅仅局限于传统防火墙,这样的安全网关已经不足以做好全场景防护工作!企业还需要考虑业务与应用复杂性带来的数据保护,以及接入端的多样性,特别在业务融合时,零信任(或称非信任)融合占了大多数情况。

      SASESecure Access Service Edge,即具备安全接入服务的边缘终端,也被认为是SD-WAN技术面向全互联整体安全的演进技术,值得所有准备参与到数字化新基建的企业与用户花时间好好研究。根据全球最具影响力的IT研究机构Gartner,SASE,起源于网络服务与安全服务的碰撞对接,从而形成了更新一代的网络接入与安全服务总成IT资产身份认证是其核心原则云原生架构,微服务形态,特别适配于工业互联网,物联网,云计算与边缘计算,个人不同时间与地点接入SaaS和第三方非认证终端接入核心业务等场景。其核心能力包含SD-WAN与其他微型化的安全服务能力(软模块),可以完全部署在云端、容器以及小型终端,请见下图:

      以下通过风能电力系统的工业互联网场景,展现SASE针对业务场景中不同角色的部署与交付。以某风力能源企业为例,这一企业需要为地区提供风能电力服务,企业员工与风能设备是SD-WAN+SASE最终用户。该企业同时需要与供应商合作,也需要接入该企业的内网参与工作。以下是SASE为三种不同角色提供安全管控服务。

      可以看出SASE(具备安全接入服务的边缘)在SD-WAN无缝连接能力支持下,集成多种安全服务能力,并软件化、微型(服务)化,将足够强的安全能力输出到各端,通过身份认证这一原则,确保在复杂融合性的业务场景中,达成各方应用数据、终端、设备等多种IT资产的保护。对于企业用户,可使用不同终端,在不同的时间、地点,随意安全接入SaaS;而对于设备本身,保密性的传感数据、地理位置等,可以通过本地网传输到云端,用于数据收集与分析;最后,对于供应商,利用非企业终端,在授权托管场景下,可以安全接入SaaS,与最终用户、设备进行交互,便于设备维护等工作。三方各自通过安全通道,有条不紊地进行融合协作。

      传统网络安全,通过在网络出入口安装防火墙和安全网关等设备,针对流量进行管控,进而收集流量至分析中心,以便进行全网安全分析。然而这样的架构,并不适用于数字化时代的新基建融合场景。以下是SASE与传统架构的优势简单对比:

      虚拟防火墙与网关,虽然实现了云端部署,但会占据较多云虚机的资源,需要进一步瘦身,以便部署在容器中。

      Gartner通过架构图,进一步阐明SASE与传统安全架构的对比

      凌锐蓝信在深刻理解数字化业务的基础上,通过区块链哈希算法,紧叩IT资产身份认证的命门,已经开始内测SASE模块,在不久的将来,便可提供高价值的网络与安全综合服务。

【免责声明:CSDN本栏目发布信息,目的在于传播更多信息,丰富网络文化,稿件仅代表作者个人观点,与CSDN无关。其原创性以及中文陈述文字和文字内容未经本网证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本网不做任何保证或者承诺,请读者仅作参考,并请自行核实相关内容。凡注明为其他媒体来源的信息,均为转载自其他媒体,转载并不代表本网赞同其观点,也不代表本网对其真实性负责。您若对该稿件由任何怀疑或质疑,请即与CSDN联系,我们将迅速给您回应并做处理。】