资安转型正在改变企业组织管理与防护网络的方式,随着 BYOD(Bring Your Own Device, 自携设备)与云服务的兴起,大量的 IoT、移动式与云端设备的出现,传统的网络安全防护需求逐渐降低,企业该如何有效控管各设备、站点与分支机构的设备和服务呢?
传统安全架构己无法适应云端服务的变化
在过去,DNS、DHCP 服务建置于本地服务器、Router、防火墙并部署于远端位置和分支机构,这会让企业级解决方案应用在分支机构或远端区域的成本提高,每个站点的设备都是独立运作需要单独管理,提供服务、功能升级、查看纪录、管理以及设定控制都需要在各站点处理,而有移动工作需求的企业更需要针对这些移动设备配置不同的安全防护,以企业规模来说,这样的方法不仅耗费大量人力与时间,且容易因手动修改的形式出错,导致总部、各站点及移动工作者间设置不一致的情况发生。
DNS 回传(DNS backhaul)最初是为服务数据中心托管的应用服务而设计的,不适用于云端系统架构,在使用 DNS 回传机制时,无法提供用户与最近的服务提供点(point of presence)连线,当分支机构需要 DNS 解析的服务时,DNS 查询会将数据中心作为服务提供点,而非从分支机构的服务服务器做解析、回应,这样的模式会造成响应时间变慢,此外,远端站点依靠与数据中心的连线来进行 DNS 解析,若因外点地区的距离或环境影响而连线中断,则无法成功取得 DNS 服务解析的结果。
SASE 模型提供更好的网络安全环境
在 2019 年 7 月 Gartner 报告所提出之“网络与安全必须加以整合”市场趋势中,许多企业内会由多个不同的 IT 团队选用并管理网络不同的设备或架构,因无法落实管理与安全方面的一致性,进而提出 SASE(Secure Access Service Edge)网络模型,根据用户的网络环境,使用云端架构将传统的 WAN 管理与网络安全功能整合,集中并简化管理、动态部署网络与安全功能,以达到动态安全存取且快速的需求,Infoblox BloxOneTM DDI 整合系统符合 SASE 架构中的所有条件。
SASE 需要网络组件具备速度、敏捷性和灵活性的特性。 在不久之前虚拟网络(VNF)改变了网络,但在这个无边界企业的时代,虚拟网络技术已经不再符合需求,移动存取和云端上的应用无所不能,甚至连 VNF 也无法跟上期脚步。
进入云端原生功能(CNF)网络和微服务。 CNF 在 SASE 要求的边缘提供了极快的速度速度和低延迟。 微服务是应用程序服务的下一步发展。 微服务不是在虚拟机器(VM)上运行应用程序,而是在云端中实际运行。
Infoblox BloxOneTM DDI 是业界第一个云端原生平台的 DDI 产品,以云端控制整合平台,将各站点管理与控制功能整合至单一界面,自动化配置数千个远端站点,分支机构中的 DNS、DHCP、IP 管理服务皆集合在 DDI中,NIOS 网格架构使 BloxOneTM Cloud Service Portal 的用户可以在单一界面查看多个 BloxOneTM DDI 的资讯,基于云端的应用,不仰赖数据中心的连线,可以使流量固定导向最近的服务接口,以提高效能并确保企业分散式架构的运作,大幅改善终端使用者对服务需求的体验,BloxOneTM DDI 为远端站点与分支机构增加了由本地提供服务的能力,支援各种边际(Edge),取代传统控管方式,使各端点成为架构底下的用户而非数据中心,透过云端原生提高部署的灵活性,强化云端应用的网络存取,除了 DNS、DHCP、IPAM 整合服务外,也可以依照用户所需环境扩充更多安全化服务,简化操作部署,将成本缩减至最小。
(首图来源:Shutterstock 图片来源:Infoblox)
