什麼是 SD-WAN?

軟體定義廣域網路 (SD-WAN) 是虛擬的 WAN 架構,可讓企業運用各種傳輸服務 (包括 MPLS、LTE 和寬頻網際網路服務) 組合,將使用者安全地連線到應用程式。

SD-WAN 定義

傳統的網路模型會將分支辦公室的流量回傳到資料中心,藉此徹底進行安全性檢查,但這種方式已經不再堪用了,因為它既浪費頻寬又會增加延遲,進而導致應用程式效能低下。使用者確實需要一套更好的方法,以便將分支據點的流量直接透過網際網路傳送到信任的 SaaS 和雲端型應用程式,同時保持遵守企業的安全性強制規定。

SD‑WAN 可確保一致的應用程式效能和備援能力、根據業務意圖來自動掌控應用程式驅動的流量、提升網路安全,並且簡化 WAN 架構。SD-WAN 會運用集中控制的功能,以安全又智慧的方式將 WAN 中的流量直接引導到信任的 SaaS 和 IaaS 供應商。這種方法提高了應用程式效能,並帶來高品質的使用者體驗,進而提升企業生產力與靈活性,同時降低 IT 成本。

SD-WAN 架構

以傳統路由器為基礎的傳統 WAN 並不適用雲端;這類網路通常需要將所有流量 (包括以雲端為目的地的流量) 從分支機構回傳至可套用進階安全性檢查服務的資料中心總部。回傳帶來的延遲會造成應用程式效能下降,因而導致使用者體驗不佳和生產力低落。

不同於傳統的路由器型 WAN 架構,SD-WAN 模型能夠完全支援託管在內部部署資料中心、公用或私有雲端以及 SaaS 服務 (例如 Salesforce.com、Workday、Dropbox、Microsoft 365 等) 的應用程式,同時還提供最高水準的應用程式效能。

SD-WAN 架構定義

SD-WAN 如何運作?

不同於 SD-WAN,傳統的路由器型模型將控制功能分散在網路的所有裝置,並僅根據 TCP/IP 位置及 ACL 路由流量。這種傳統模型不僅僵化、複雜、效率不彰且不適合支援雲端,還會導致使用者體驗不佳。

SD-WAN 能讓雲端優先型企業為使用者提供卓越的應用程式經驗品質 (QoEx)。藉由識別應用程式,SD-WAN 可為 WAN 提供智慧化應用程式感知型路由功能。此架構會依據業務需求,讓各類應用程式都能獲得適當的 QoS 和安全政策執行機制。除此之外,分支機構的 aaS 和 SaaS 應用程式流量能夠進行安全的本地網路卸載,從而提供最高水準的雲端效能,同時保護企業免於威脅。

觀看影片

為什麼選擇 SD-WAN?

隨著時代變遷,企業開始使用雲端和訂閱軟體即服務 (SaaS)。使用者以往都是連回公司資料中心來存取商務應用程式,如今則可透過雲端存取許多這類應用程式,享有更優質的服務。

因此傳統 WAN 已不再是合適的方案,主要原因在於將所有流量 (包括雲端流量) 從分支機構回傳至總部會導致延遲,並造成應用程式效能下降。SD-WAN 能夠針對關鍵應用程式大幅提升應用程式效能,同時又能保障安全性與資料隱私權,藉此為 WAN 簡化操作程序、降低成本、提高頻寬效率並提供順暢好用的雲端入口。提升應用程式效能有助於改善企業生產力、客戶滿意度,進而提高獲利率。一致的安全性則能降低企業風險。

觀看影片

基本 SD-WAN 與業務導向 SD-WAN 的比較

  • 並非所有的 SD-WAN 都可以提供同樣的效能。許多 SD-WAN 解決方案是基礎 SD-WAN 解決方案或「堪用」的解決方案。這些解決方案缺乏打造卓越網路體驗所需的情報、可靠性、效能和規模。並且別忘了,若沒有快速、安全且高成效的網路,企業數位轉型計劃可能停滯不前,因為這些計劃所仰賴的應用程式倚賴服務運作,而這些服務的運作又需藉助於網路。SD-WAN 是重要的數位轉型推動者,同時也有助於促成企業內部的策略決策。那麼什麼是業務導向 SD-WAN?為何基本 SD-WAN 還不夠好呢?
  • 生命週期協調流程和自動化。大部分的基本 SD-WAN 產品提供一定程度的零接觸佈建功能。但是基本 SD-WAN 解決方案針對所有 WAN 邊緣功能,例如路由、安全服務 (包括進階第三方安全服務的服務鏈) 以及 WAN 最佳化,不一定會提供完整的端對端協調流程。當企業部署新的應用程式,或需要變更 QoS 或安全原則時,業務導向的 SD-WAN 可支援集中化設定,在幾分鐘內 (而非數週或數月) 就能部署所需的變更。集中式協調能大幅減少人為錯誤,不必犧牲效能或安全性。
  • 持續自我學習。基本 SD-WAN 解決方案根據預先定義的規則來控制流量,而這些規則通常是透過範本程式化。無論在哪種網路條件下或發生哪種網路異動 (包括網路壅塞或損壞),業務導向 SD-WAN 都能提供最佳應用程式效能。透過持續監視和自主學習,業務導向 SD-WAN 會自動且即時回應網路狀態所發生的任何變化。業務導向 SD-WAN 不僅持續因應網路異動,也能自動且即時適應任何可能對應用程式效能造成影響的變動 (包括網路壅塞、電力管制和傳輸中斷狀況),讓使用者可隨時連結到應用程式,而無需 IT 人員手動介入。舉例而言,如果 WAN 傳輸服務或雲端安全服務遇到效能受損的情況,網路可以自動調整以保持流量暢通,同時遵循業務政策。
  • 經驗品質 (QoEx) 一致。進階 SD-WAN 解決方案的主要優勢在於提供可主動且同時使用多種 WAN 傳輸方式的功能。基本解決方案可以將某個應用程式的流量導引至單一路徑,並且在路徑失敗或效能不佳時,動態重新導向效能較佳的連結。但是,若有多個基本解決方案,服務中斷的容錯移轉時間為數十秒或更長的時間,這通常會造成惱人的應用程式中斷。業務導向的 SD-WAN 可智慧化監控和管理所有底層傳輸服務。它可以克服封包遺失、延遲和抖動的難題,即使在 WAN 傳輸服務受損的情況下,也可以為使用者提供最高層級的應用程式效能和 QoEx。不同於基本 SD-WAN,業務導向 SD-WAN 可順暢處理總傳輸中斷,提供次秒容錯移轉,以防關鍵業務應用程式發生語音和視訊通訊中斷等問題。
  • 端對端分割。基本 SD-WAN 提供與 VPN 服務相當的功能,而業務導向的 SD-WAN 提供更全方位的端對端安全功能。除了支援新一代防火牆之外,SD-WAN 平台應可協調並執行端對端分割 (例如 LAN-WAN-資料中心及 LAN-WAN-雲端)。以裝置為中心的 WAN 模型或基本 SD-WAN 模型通常需要依個別裝置設定原則,相較之下,集中設定的安全原則更為一致,因為得以減少人為錯誤。如果需要變更原則,則可以使用業務導向 SD-WAN 集中設定,然後推送到整個網路上數十、數百、甚至數千個節點,因此可以大幅提高作業效率,同時減少整體的受攻擊面並避免產生任何安全性漏洞。
  • 雲端應用程式的安全本地網路卸載。許多基本 SD-WAN 會根據固定定義和手動撰寫指令碼的 ACL 應用程式分類功能,以便直接引導網際網路中的 SaaS 和 IaaS 流量。然而,雲端應用程式會不斷變化。業務導向 SD-WAN 能夠持續因應變遷,並提供自動化日常應用程式定義和 IP 位址更新,這有助於減少應用程式服務中斷及使用者生產力問題。

在理想情況下,企業客戶必須改用業務導向 SD-WAN 平台:將 SD-WAN、防火牆、分割、路由、WAN 最佳化以及可見性和控制功能全部整合到在單一集中管理的平台。

SASE 適用的進階 SD-WAN 功能

2019 年,Gartner 發明了安全存取服務邊緣這個詞,簡稱為 SASE。這項技術提供一套更安全有彈性的方法,可直接在雲端執行進階安全性檢查,無需將應用程式流量傳回資料中心,再轉送到雲端。

SASE 結合了 SD-WAN 與必要的雲端傳遞安全性功能,後者又稱安全性服務邊緣 (SSE)。SSE 採納了一套明確的安全性服務組合來兌現 SASE 的安全性理想。

SASE 的最終目標是為使用者提供雲端託管應用程式最佳體驗,同時不會犧牲安全性。在與許多已設計及部署 SASE 架構的企業合作之後,我們瞭解到基本 SD-WAN 功能仍有不足之處。若要充分發揮 SASE 效能,必須使用具備進階網路功能的 SD-WAN:

  • 識別並精確地控制第一個封包的應用程式流量,以便執行業務意圖所定義的 QoS 和安全原則
  • 每天都自動更新雲端應用程式定義和 TCP/IP 位址範圍
  • 透過單一控制台自動化 SD-WAN 和雲端式安全服務之間的協調,以便輕鬆完成相關作業
  • 自動容錯移轉到次要雲端安全性執行點,以防任何應用程式受到干擾
  • 若有離分支機構更近、更新的地點,則自動重新設定雲端安全性執行點的安全連線
  • 協助客戶依自己的步調採用雲端安全服務及 SASE 實作
  • 最重要的是,在任何供應商推出安全創新功能時,開放使用者自由選擇是否部署這些功能,以便輕鬆解決日後出現的未知威脅

觀看影片

準備好開始了嗎?