在路上:安全公司“跨界”SD-WAN
编者按:本文是SDNLAB“企业+”特别报道之一。“企业+”是SDNLAB重点打造的栏目,汇聚信息行业运营商、设备商、互联网公司、软件公司、集成公司、融创投资公司、科研院所等企业,重新定义IT行业撮合方式。
信息通信领域日新月异,历经个人PC业务革命、互联网大规模扩容、智能手机爆发、云计算风行等多个阶段,沉浮其中的企业选择了不同的命运钥匙,走向了不同的征途。
有的黯然神伤:昔日强大的IBM错过了智能手机、云时代,据悉其营收已下滑至与1998年持平;明星企业Oracle裁员事件前段时间刷屏,入局云转型太晚致使市场被瓜分或是其中的催化剂。有的意气风发:微软从个人电脑行业向云计算的转型中获得了巨额财富,谷歌借助互联网获益颇丰,亚马逊、阿里云是在线零售的巨头,通过云服务已成为云计算市场的第一梯队。
世界上唯一不变的是变化本身。 --斯宾塞•约翰逊
信息领域变化太快,不进则退。眼看他起朱楼,眼看他宴宾客,眼看他楼塌了,昨日的巨人一不小心就会跌下云端。在AR/VR、物联网、工业互联网、5G等新需求、新技术及一带一路等战略下,企业的命运与其对新技术、新思想的选择紧密相连,决定着企业这艘巨轮是驶向一望无垠的海洋,还是危机四伏的冰山。
网络作为现在和未来的重要基础设施,在以应用为中心的云计算时代蓬勃发展,焕发出新的魅力与机遇,SDN、NFV、SD-WAN、网络转型是重要的关键词。其中,萌芽于2012年、诞生于2015年的SD-WAN成为网络领域近两年国/内外新的风口,SD-WAN市场涌入成百上千个供应企业,电信运营商、设备商、软件公司、IDC、初创公司等各显神通。
以应用为中心的云计算与SD-WAN
在云计算崛起之前,网络的流量、支付、通证、资源等都被运营商掌握,互联网应用整体上小、弱、散,根本无法达到今天普通数据中心的规模。此时,新技术是为网络而非应用服务。在以网络为中心的时代,除了运营商,没有人有资格定义网络。而站在食物链顶端的运营商并不需要对互联网应用做出任何QoS承诺,因为一来互联网公司没有付费,二来用户租用的是带宽不是服务,最多约束几个网络侧的SLA,如果想上网体验更好,请买更大、更贵的带宽吧!
云计算的出现最大限度地释放出应用的潜能,同时被释放出来的还有远远超过摩尔定律的需求增长速度。越来越多的应用开始对QoS有非常苛刻的要求,这时候中间就出现一个落差,网络提供的服务和应用要求的QoS之间出现了裂痕,而这个裂痕仅仅靠应用程序自己优化并不能弥补。这就是SDWAN产生的基础。[1]
2008年,《OpenFlow: enabling innovation in campus networks》论文的发表为SDN(软件定义网络)揭开了序幕。SDN的初心是建设一种灵活、可编程的网络,这种网络通过控制面与转发面的分离,以及开放的可编程接口获取传统网络无法匹及的灵活性,同时通过集中式的控制器实现对网络管理的统一调度和自动化编排。以2008年为起点,SDN在网络基础设施领域更深度、更广泛的渗透,其中最为重大的进步就是软件定义网络构想赢得了高高在上的电信运营商群体的广泛接受。
作为SDN领域内快速成熟的垂直市场,SD-WAN的整体成长性取决于需求侧的强劲驱动,例如对降低MPLS成本、简化VPN、降低远程协作成本等真实需求。而伴随着企业将越来越多的应用部署在云端,并且在IT基础架构上采用混合云的技术架构,企业的数字化转型进程、SaaS应用的推广也将带动SD-WAN市场的快速增长。 [2]
SD-WAN并不是一种全新的技术,而是一种牢牢根植在路由、安全等众多传统技术之上的,通过SDN/NFV/白盒等新型架构对交付方式进行改造的,企业级WAN组网的一揽子解决方案。根据研究机构Gartner预测,到2020年,SD-WAN设备销售额将达到12.5亿美元。创业公司以外,传统的企业路由器、WAN加速、安全厂商、运营商也各自带着不同的理解,陆陆续续地投身到SD-WAN的生态当中,一时间呈现出百花齐放之势。 [3]
从安全切入SD-WAN
在SD-WAN的供应侧,奇安信、深信服、上元信安等安全出身的企业也纷纷布局SD-WAN。
今年3月,奇安信正式发布以“智连接,全守护”为价值主张的安全SD-WAN产品。奇安信的前身是360企业安全集团,主要提供To B安全产品与服务,经过近年来持续领跑企业安全市场,现已成为中国最大的网络安全公司之一,其客户群已广泛覆盖90%以上的中央政府、部委、中央企业和大型银行,并正通过遍布全国的渠道体系发力商企市场,具有广泛的客户基础。本次,全新发布的安全SD-WAN产品能够以Security Defined – Wide Area Network的方式,为多分支机构、数据中心互联、混合云等场景的用户提供广域安全组网方案。可以看出,作为“数据驱动安全”理念的践行者,奇安信正在通过基础架构侧的布局,寻求新一代组网技术与既有安全能力储备的深度融合。
深信服科技股份有限公司是一家专注于企业级安全、云计算及IT基础设施的产品和服务供应商。早在2016年,深信服就开始向SD-WAN方向进军。2017年正式发布SD-WAN 1.0版本,解决了全局多线路连通性问题。2018年,凭借着安全及云计算的双重积累,深信服打造了面向未来、有效保护的下一代安全组网SD-WAN 2.0。截止2019年Q1季度,深信服SD-WAN解决方案服务客户超4000家:单个已部署实施项目中,最大组网点数超过8000点。
成立于2015年的上元信安是一家致力于解决云计算、物联网等新业务场景下安全问题的国家级高新技术企业,在云安全防护、下一代防火墙、SD-WAN、网络攻防等方面积累多年,产品线涵盖云安全、网络安全等领域。上元在2016年即发布了SD-WAN v1.0,并迅速在海外项目中成功落地实施。后续在SD-WAN产品上持续投入,并在2018年发布了面向运营商级的SD-WAN v3.0。拥有SD-WAN解决方案——矩阵、云安全防护系统——护云、下一代防火墙、入侵防御系统、上网行为管理系统等系列安全产品。
安全公司融入SD-WAN可以说是顺势而为,总结起来可能有如下原因:
市场竞争促使安全公司转型或多主业发展
- 从国内看,传统安全市场多年来一直保持较为稳定的增速,未来亦将如此,增长动力来自政策带来的被动需求。2016年我国防火墙/VPN增速22.0%,UTM增速23.4%,IDS/IPS增速22.5%,数据安全市场增速24%。这些主要细分市场增速都接近行业增速,意味着市场份额基本稳定。
- 竞争格局基本稳定,少数龙头公司把持着市场份额前三名的位置。这与信息安全市场下游客户的特点息息相关,渠道为王,赢家通吃。只要市场特点不发生改变,这种竞争格局就不会出现大的变化。
- 为了追求高速成长,部分传统信息安全企业已经开始转型或者向多主业方向发展。由于行业竞争格局渐趋稳定,各个企业在自己优势领域具备一定壁垒,市场份额扩大具有难度,所以部分企业开始将目光投向其他行业。[4]
SD-WAN的安全问题成就新兴市场
以往,集中访问和数据中心处理的方式保证了互联网访问的安全性。然而,SD-WAN的出现以及向混合连接的转变,使得部分分支机构无法避免遭受新一波复杂攻击的影响。SD-WAN不经意间创造了新的攻击面,利用直接互联网接入,为勒索软件、APT、病毒蠕虫和其他恶意软件提供了便利。
目前市场上的大部分SD-WAN解决方案供应商,几乎全部都仅支持IPSec VPN和基本的状态性安全,而这完全不足以在不断进化发展的网络攻击面前保护好企业。因此,企业不得不在部署SD-WAN后再添加额外的安全保护。SD-WAN支持端到端加密以及按应用或组织层级进行划分,可提供嵌入式安全机制。但相当一部分SD-WAN供应商并不提供全面的企业级安全解决方案。企业可以选择(1)整合至SD-WAN解决方案当中的高级安全方案(2)第三方SaaS方案(3)由现有或新供应商提供一套基于设备的内部方案来加强SD-WAN的安全性。正如奇安信所言,“业内的数通厂商,有将安全能力做到自己的SD-WAN方案中的趋势。如果自己没有安全能力,也会选择和专业的安全厂商进行合作。这是一个业内的现状。”而这,即是安全公司融入SD-WAN的重要契机。
SDN与开源思想打破安全公司技术壁垒
SDN、开源思想以及它们创造的软件/硬件(白盒、CPE)开放生态打破了新兴企业切入SD-WAN组网的技术、设备等壁垒,为如安全出身的非传统网络公司进入SD-WAN市场提供了基础。
SDN以其软硬件解耦的特性为行业带来了诸多变革,也催生了围绕SDN的开源开放生态。从北向的编排、调度、策略控制到南向的白盒、可编程芯片,伴随着Openflow、NETConf、OVSDB、BGPLS、PCEP及厂商协议等丰富的协议,引发了网络进化的革命。 [5] 开源也加速了SD-WAN供给方的繁荣。开源使得SD-WAN厂商能够利用所有可用的组件,如用于管理流量的开源网络软件和其他开源组件等,然后他们将它“粘合”在一起,并添加他们自己的附加功能,为早期的SD-WAN厂商奠定了大量的代码基础。使用开源开放式架构,再加上不同提供商提供的软件,可以更轻松地控制版本并提供更高的灵活性。
现有用户资源助力安全公司进入SD-WAN市场
信息安全下游客户市场中渠道为王,安全公司在专业领域通过长时间的耕耘和沉淀已经积累了一批重要的用户,虽然目前客户在广域网方案中的安全需求主要体现在统筹化、集约式的防护和管控等,但他们也正在积极寻求利用SD-WAN的方案实现创新的契机,都是非常有引导和融合机会的潜在客户,安全公司推出SD-WAN可与用户在新兴业务上加强合作与联系,巩固和拓展市场。
安全思维与基因烙印
SD-WAN安全性至关重要,然而目前的SD-WAN的供应方却极少提供过真正的集成安全解决方案。虽然许多供应商提供过适用于第2层和第3层的基础VPN连接和具有简单状态安全保护的一些解决方案,但它们均未解决当今数字化业务越来越多地暴露于的第4到第7层的安全问题。
另外,SD-WAN解决方案更倾向于由网络运维团队负责选择和实施,以用来解决功能和成本问题,这就意味着安全性往往是一个只能在事后才能得到解决的问题。但是,因安全资源仍受到各类条件的限制,导致安全技术的差距还在不断地扩大,因此SD-WAN解决方案实施后大多很难达到预期目标。如果没有充足的资源来设计、部署、实施、迭代以及管理一组安全工具,特别是对那些位于系统连接分支端的安全工具来讲显得尤为重要。 [6]
那么,安全出身的公司推出的SD-WAN在安全性方面有哪些基因烙印呢?
上元信安是在项目实践中逐渐融入SD-WAN。上元早在2015年底的海外项目中,就接触到了SD-WAN的价值与需求。在大量的项目实践中,经常有客户提出一些需求,比如,企业业务和应用在云端部署越来越多后,企业通过网络访问云上业务和应用的需求日渐明显,在这些情况下,使用专线进行跨广域网组网费用高、开通周期长,使用Internet又有体验难保障、安全薄弱和运维难的问题。上元对于企业在广域网的分析总结出了:企业建设网络的最终目的,是为了保障其业务的开展,而互联只是达成这一目的的基础。云时代需要的不只是连接,在广域网的实际应用中,存在着许多致命风险,如链路透明不可控,分支安全能力薄弱,于是成为了黑客的有效入侵点,从而导致终端失陷后数据泄露,恶意代码通过VPN快速扩散;于此同时,总部优秀的安全分析和监控能力,却无法有效的应用在分支。能否对广域网进行有效的安全管控,才是企业更加关注的问题。上元SD-WAN方案的安全能力包括:1.链路、边界全面安全防护。支持基于IPsec的链路安全防护和基于NGFW的安全能力,保障数据传输安全和L2-L7层的增强安全防护。2.安全能力按需开通。集成安全资源池,支持服务链编排,提供按需开通的安全防护服务。3.安全态势可视化。通过收集设备安全日志,进行大数据分析,呈现整网安全态势,帮助管理人员提前预警和为阻断潜在安全风险提供丰富的监控报表。
作为安全行业的老兵,奇安信认为,在数字化转型的大背景下,安全需要回归到本质,建立能力导向的安全体系,其关键思想是关口前移,与信息化系统同步规划、建设安全能力,实现安全与网络和信息化的全面覆盖和深度结合。安全SD-WAN是“关口前移”思想和数据驱动的三位一体安全能力建设的落地实现,将安全内置在SD-WAN这种新一代IT技术架构中,做到安全与SD-WAN的全面覆盖和深度结合,在帮助政企机构实现网络向智能化、灵活化以及云化发展的同时,实现安全端到端守护。SD-WAN技术能够支持企业在总部、分支机构、数据中心和云平台之间分钟级快速组网,还能高效利用专线网络、互联网、4G/5G 等多种广域网资源,通过多维智能选路、数据遥测及智能切换等技术,提升广域网的质量、可用性和可靠性,同时大大降低企业广域网络的总拥有成本TCO。但是,当SD-WAN技术引入到企业网络中时,也必然会引起网络安全边界的改变。网络在变革,安全也需与时俱进。随着企业网络边界的延伸,其安全边界也从终端、局域网络扩展到广域网络范围的终端、组网设备和云平台。与此同时,越来越多的网络攻击、恶意访问的目标都集中到企业内部的关键业务系统和敏感数据,更有甚者,网络攻击的源头可能就是企业内部雇员的失陷主机、云端服务平台、或者是连接到公司分支的供应商系统的一部分。因此,在网络基础设施的架构中引入安全因素,从安全性、智能化角度去完善SD-WAN产品和解决方案,也是契合客户需求和技术发展趋势的主流思想。
深信服在安全领域积累多年,根据IDC数据,深信服硬件VPN、SSL VPN、上网行为管理、广域网优化等多款产品,多年来保持中国市场占有率第一。深信服推出的SD-WAN 安全融合一体机按需配置NFV安全组件保障边界安全,总部部署安全态势感知平台做到全网安全感知防护。在分支端,通过SD-Branch的方式,包括下一代防火墙、上网行为管理等网络功能通过虚拟化软件方式随需部署,全面防护边界安全、传输安全、上网安全、移动安全、终端安全五大安全风险。在总部端,以安全感知作为安全大脑,结合分支设备,使用大数据分析保证全网的安全,可提供全网安全感知、业务外联分析、失陷业务检测等安全防护功能。
SD-WAN架构与特点
SD-WAN目前没有一个事实的标准衡量,导致每家的技术差别很大,实现功能千差万别。《老网工:SD-WAN 技术架构的发展和演进》中,分析和梳理了市场上主流SD-WAN技术和设计思路,将SD-WAN技术大致分成四种技术架构:叠加架构、云端架构、整合架构和原生架构,每种技术架构都有不同的特点与适用场景。安全公司的SD-WAN,除了安全性外在架构方面有何特点呢?
深信服下一代安全组网SD-WAN 2.0解决方案主要覆盖跨境云组网、连锁分支组网、多线路智能选路组网、安全组网等,拥有软件交付、硬件交付两种产品形态:
产品具有如下特点:
1. 支持按网络质量和应用智能选路
SD-WAN最重要的特征是在UNDERLAY物理网络上并发构建OVERLAY多通道线路,并实时监测各线路QoE(丢包、时延、抖动等)参数,并以此为依据,进行智能化、精细化流量调度:支持识别客户业务,并根据业务优先级,将重要业务指定到优质链路;当链路中断时,能在短时间内切换到备援链路;当链路实时网络质量不足以保证特定应用的网络需求时,可切换到其他可满足性能要求的链路。
2. 多维度广域网优化加速
通过链路、数据、应用等多维度的优化技术,提升约300%的访问速度。
3. 易部署
SD-WAN支持设备即插即用的易部署。设备配置在中心端进行预配,分支设备在分支正确插上网线后,不需要在本地进行复杂配置,设备即可通过集中管理设备自动下载指定配置和策略实现部署。
4. 集中管理
当分支规模较大时,多设备的管理和可视化显得至关重要。如果没有集中管理平台,过多的设备运维效率低下,还极易出错。深信服SD-WAN解决方案支持通过集中管理平台配置统一模板,短时间内下发到所有分支,保证配置的一致性。
5. 软件定义安全
由于SD-WAN引入互联网宽带,虽然降低了链路成本,但在互联网出口容易招致攻击。深信服SD-WAN解决方案支持以NFV方式集成防火墙、防入侵、上网行为管理等安全防护能力。
奇安信网神安全SD-WAN是安全可定义的新一代SD-WAN产品。产品的理念是在SD-WAN之外,整合SD-SEC(软件定义安全)、SDP(软件定义边界),可以支持企业自助的智能组网,也能实现安全功能的按需扩展,在降低企业网络建设运维成本的同时,极大的简化了IT基础设施的复杂度,真正做到带宽随选(Bandwidth on Demand)和安全随选(Security on Demand)。
奇安信网神安全SD-WAN由两部分组成,奇安信网神安全网络路由网关和奇安信网神安全网络管控平台。奇安信网神安全网络路由网关(以下简称安全网关)部署在企业总部、数据中心或者分支机构,为企业的总部与分支、数据中心与分支、分支与分支之间的互联提供组网和安全防护功能。奇安信网神安全网络管控平台(以下简称管控平台)集中部署在企业总部或者数据中心,负责对奇安信网神安全网络路由网关的网关设备、网络连接、安全功能以及接入的终端和用户进行集中化、可视化的统一控制和管理。
产品具有如下特点:
1、快速开通、降低成本:奇安信网神安全SD-WAN可以基于多种网络资源为用户打造自有的安全可靠的网络数字空间,提高网络资源的利用率。通过零配置上线、自动VPN组网、自动化部署、可视化管理,极大缩短节点上线时间并节省企业的运维人力资源,显著降低企业的TCO。
2、灵活敏捷、安网融合:传统组网与安全分离,使得安全策略和网络策略难以及时的相互适应,组网的灵活高效受限于安全设备的部署。奇安信网安全SD-WAN通过组网技术与安全技术的融合,在网络编排上同步安全编排,让弹性灵活的组网结构完全结合安全能力,让安全功能支持按需部署和灵活扩展。
3、洞悉业务、高效保障:奇安信网安全SD-WAN运用专利的应用识别技术,可实现精准的业务感知,结合业务质量需求和链路质量监控,按需进行路径优选和流量调度,支持用户自定义业务优先级和带宽要求,智能保障关键业务的优质交付。
上元的“矩阵”是一种面向运营商、多分支企业的SD-WAN方案。其整体架构分为:转发平面、控制平面、扩展平面。
转发平面:通过Gateway和Edge设备,采用Overlay技术基于Internet、MPLS、LTE等任意链路进行组网。
控制平面:通过SD-WAN服务平台,向下进行网络、设备和业务的统一编排和管理。
扩展平面:通过SD-WAN服务平台及其全功能的RESTful APIs,支持应用扩展。
产品具有如下特点:
- 混合链路传输,按需定义组网
- 快捷业务开通,保障应用体验
- 全面安全防护,灵活安全服务
- 高效运维配置,可视网络管理
- 丰富API接口,快速系统对接
SD-WAN服务模式
以奇安信为例,当前,他们主要面向的市场是大型多分支企业、连锁机构等具有总部、分支架构的客户,安全、快捷、智能、低成本组建高效的自有业务网络是此类客户的刚需。
此外,也在积极的与运营商、云服务商开展需求,着力为上云企业、数据中心互联、混合云等场景提供高质量的组网方案。
现阶段奇安信网神安全SD-WAN有两种服务模式:
1.企业OP(On Premise)模式,企业根据自己企业的情况在分支机构、总部/数据中心可部署多形态的安全网络路由网关,经SD-WAN虚拟网进行组网,并统一由部署在总部平台的安全网络管控平台进行统一的网络编排、安全编排,实现全网的可视化、自动化、智能化运维,实现基于业务的带宽随选、安全随选,奇安信为用户提供完整的解决方案、产品、相关培训,只需要企业总部有专业的运维人员即可管理整个企业的网络,无需各个企业分支专业运维,大大降低了企业网络运营和维护成本。
2.企业SaaS服务模式,这种模式主要是针对中小企业,中小企业由于受资金投入、人员结构等方面的限制,它们更希望投资要小,见效要快,使用的费用比较低。由奇安信与运营合作伙伴一起,共同搭建SaaS化的SD-WAN集中控制平台,当企业需要使用SD-WAN服务时,通过SaaS服务的账号进行企业自有网络的集中管理和远程控制,在企业互联网络的基础上叠加企业与总部、企业与公有云、企业私有云与公有云等场景下的SD-WAN服务。同时,企业客户也可以委托专业的网络运营服务人员支撑运营,并给企业提供数据分析报告,帮助客户打造安全精品网络。
随着一带一路、海外需求、5G和物联网的兴起及运营商近期对SDWAN的重视,SD-WAN的需求慢慢被挖掘,市场已逐渐升温。
SD-WAN适用场景案例
SD-WAN继承SDN控制与转发分离、集中控制等理念,在企业WAN中部署软件控制系统,提供业务快速部署、业务智能管理等功能,帮助企业应对云服务及办公移动化所带来的挑战。零售、银行金融服务、制造业、医疗、物流等行业均可受益于SD-WAN,涌现出了不少案例。
上元信安
海外某无线城市SD-WAN项目
项目背景:该项目拟在国内多城市之间覆盖能集中管控、有质量保障、安全保障的民用无线网络。
项目需求:
- 可对无线AP进行高效、简易地部署和运维;
- 可对网络、业务和无线AP进行集中可视化地管理;
- 用较低成本部署服务质量较好的网络;
- URL过滤、流量控制等网络管理能力;
- 网络入侵防御检测、防病毒等安全防护能力。
上元SD-WAN解决方案:
- 支持零接触配置的CPE设备,运维周期单位短至分钟级;
- 支持全局视角网络业务编排管理,和基于报表、地图等多种可视化界面的SD-WAN服务平台,大幅提升网络运维人员操作体验和工作效率;
- 采用Overlay技术基于任意链路进行组网,降低链路成本;
- 支持应用体验按需保障,提供可靠服务质量;
- 全面支持链路安全防护和边界安全防护,满足安全防护需求。
上线规模:
18年上线设备总数达到 5000 +,仍在持续扩容中。
深信服
陆家嘴国泰人寿:轻量化IT运维,分公司快速组网上线
背景:陆家嘴国泰人寿保险是由中国东方航空集团公司与台湾地区国泰人寿共同发起成立的第一家海峡两岸合资寿险公司,也是是台湾地区第一家进入祖国大陆市场并正式获得营业资格的金融企业。
为了匹配“快速圈地”的业务战略,陆家嘴国泰人寿准备快速扩建一二三级分公司。在快速扩建过程中,涉及到分公司快速组网互联、业务快速上线。此次组网改造以IT轻量化为目标,需要能够支持分公司快速扩张、安全防护、业务按需部署、简化运维的需求。
方案概述
深信服为金融行业分支提供一整套基于软件定义广域网的分支组网解决方案。
为满足快速扩张、安全防护、业务按需部署、简化运维的要求,本次国泰人寿建设方案中,在各级分公司共计部署41台SD-WAN安全融合一体机设备,除与总部VPN设备互联实现了安全组网外,还可按需部署NFV安全组件及业务虚拟机。此外,在总部数据中心部署了集中管理平台,实现全网运维可视化,包括对各级分公司智能监控、远程管理、运行报表分析等。
方案价值
分支机构快速上线:对于日常的策略配置、设备版本升级、分权管理等,都可以通过集中管理平台进行统一操作,此外SD-WAN方案支持邮件开局易部署、AUTO VPN等策略,满足了国泰人寿对分支扩张过程中,快速接入网络,实现业务上线的需求。
业务按需部署: SD-WAN安全人格一体机设备除支持按需部署NFV安全组件(上网行为管理、下一代防火墙等)外,还支持部署业务虚拟机,分公司可按照业务需求,在设备中部署业务虚拟机,实现业务动态调整。
简化运维: 集中管理平台提供网络告警、离线告警、授权告警、硬件告警、安全告警五大维度监管机制,实现智能化、自动化管理分支机构。
奇安信
某连锁商企安全组网
项目背景:近几年,某连锁商企随着业务的飞速扩张,使得自身信息化网络的稳定建设和安全有效运营提出了提前所未有的挑战,诸多网络问题迫在眉睫:
- 全国近300个分支机构,无法保证安全互联,分支与总部间断性互联,影响业务正常开展;
- 涉及财务、商业等多种业务类型,无法保障有效的权限管理,业务安全风险极高;
- 公司规模不断扩张,网络部署越来越庞大,运维成本逐渐攀升
解决方案:
得知该企业的实际痛点,奇安信公司为量身定制了安全方案,通过每个分支部署安全网络路由网关,对全网建立安全屏障,SaaS化部署进行集中管理,通过合理有效的安全策略,简化、加固全网安全建设。
- 全国各节点部署“奇安信网神安全网络路由网关”,建“分支-总部”、“分支-分支”的IPSecVPN组网,实现全网多分支互联;
- 云端部署“奇安信网神安全网络管控平台”,对全网300多台安全网关进行统一的监控、部署和运维,企业网关设备零配置上线,远程自助管理和控制,同时兼顾未来企业网络扩容,极大提高运维效率,降低运维成本;
- 分支机构通过宽带、4G接入区域中心,区域中心与总部支持Internet和MPLS、MSTP等多种网络资源的主备及应用选路;
- 对全网网关部署合理的访问控制策略,实现全网的安全上网,合理用网;
价值收益:
在未使用奇安信安全SD-WAN之前,企业快速扩张的分支经常因为网络资源无法快速到位而推迟分支投入运营的时间,同时也因为与总部网络的间断性互联,导致业务无法正常使用;现网部署的安全设备,由于无法统一远程管理,造成部署不规范,出现故障或者对业务有影响时消耗大量人力进行本地运维;缺乏网络状态实时监控和安全问题日志分析等功能,无法对全网状态进行及时的管理和响应。这些问题,在部署了奇安信SD-WAN安全建设方案后,全部得以解决。
应运而生,顺势而为
现阶段,提供SD-WAN不一定能获利,大部分是因为市场竞争和客户选择不得不为之。而在未来,一方面,以应用和服务为王的时代已经来临,消费升级和服务升级是大势所趋,网络必须开放能力、提供贴身服务才有未来,而这种能力和服务,都可以归入SDWAN的范畴,SDWAN类技术将会以更快的速度被工业界接受。另一方面,网络基础设施正在进入1990年代以来第二轮大规模建设的下半场,后续的建设重点,很可能是海外网络和数据中心,这会显著改变网络基础设施与SDWAN成本、利润、规模之间的微妙平衡,甚至改变整个行业的生态,重新洗牌。[7] 在一带一路、5G等新政策、新技术下,SD-WAN正面临新的挑战与机遇,奇安信、上元信安、深信服等安全公司选择SD-WAN也是拓展业务、布局未来的顺势而为,未来请拭目以待。
参考文献:
[1]:摘选并整理自北京邮电大学李昕老师《SD-WAN的槽边往事》《SD-WAN下半场:与恐龙同行》等
[2]:摘选并整理自《万云之下的新星:SD-WAN的2017》
[3]:摘选并整理自《SD-WAN大局之观》
[4]:摘选并整理自《重磅深度:整个信息安全行业的投资逻辑都在这里了》
[5]:摘选并整理自《SD-WAN广域网重构和与实践》
[6]:摘选并整理自《如何解决软件定义广域网(SD-WAN)的安全问题?》
[7]:摘选并整理自《2019,SD-WAN会好吗?》
在路上:安全公司“跨界”SD-WAN的更多相关文章
- 跨界玩AR,迪奥、Hugo Boss等知名奢侈品牌将制造AR眼镜
Snapchat因为阅后即焚消息应用而被人所熟知,前段时间这家公司拓展主要业务,未来将不再只有消息应用,还有款名为"Spectacles"的AR太阳镜.内置了一个摄像头,戴上之后即 ...
- 2016年终总结--一个Python程序猿的跨界之旅
时间过得真快.感觉15年年终总结刚写完,16年就结束了.看了blog,16年就写了可怜的8篇,对我来说16年还算顺风顺水. 真正可能出乎意料的是年底我离开了呆了2年半的龙图游戏,临时放弃了用了3年半的 ...
- JJ Ying:越来越跨界的界面设计
2013年6月29号 星期六 小雨 @大众点评 利用非界面设计的专业知识来提升界面设计 向平面设计跨界 向工业设计的跨界 向摄影跨界 向动向的的跨界 向程序跨界 讲师介绍: JJ Ying / ...
- 跨界!Omi 发布多端统一框架 Omip 打通小程序与 Web 腾讯开源 2月28日
https://mp.weixin.qq.com/s/z5qm-2bHk_BCJAwaodrMIg 跨界!Omi 发布多端统一框架 Omip 打通小程序与 Web 腾讯开源 2月28日
- java web框架发展的新趋势--跨界轻型App
“跨界(cross over)在汽车界已然成风,将轿车.SUV.跑车和MPV等多种不同元素融为一体的混搭跨界车型,正在成为汽车设计领域的新趋势.从个人而言,当包容.多元的审美要求和物质要求越来越强烈时 ...
- XMOS发布集单片机,AI,FPGA,DSP于一身的跨界处理器完全体xcore.ai,致力于AIOT,售价1美元起步
说明:XMOS这次致力于打造全新的,颠覆性的嵌入式平台,简化开发人员要学一堆东西才能开发一款高性能AIOT产品的痛点. XCORE.AI集单片机,AI,FPGA,DSP于一身,嵌入式软件开发人员可以灵 ...
- 跨界 - Omi 发布多端统一框架 Omip 打通小程序与 Web
Omip 今天,Omi 不仅仅可以开发桌面 Web.移动 H5,还可以直接开发小程序!直接开发小程序!直接开发小程序! Github Omi 简介 Omi 框架是微信支付线研发部研发的下一代前端框架, ...
- [跨界思考|瑞典|IKEA]有意思的宜家|IKEA
来自北欧瑞典的IKEA无疑是成功的企业.根据我最近几天的去宜家的体验和来自网上的资料,我发现IKEA不止是成功的企业,而且可以说是一家独特又伟大的公司. 说到IKEA,就不得不说下它的创始人:坎普拉德 ...
- 记View跨界平局
<?xml version="1.0" encoding="utf-8"? > <RelativeLayout xmlns:android=& ...
随机推荐
- static关键字所导致的内存泄漏问题
大家都知道内存泄漏和内存溢出是不一样的,内存泄漏所导致的越来越多的内存得不到回收的失手,最终就有可能导致内存溢出,下面说一下使用staitc属性所导致的内存泄漏的问题. 在dalvik虚拟机中,sta ...
- STM32三种启动模式 boot0 boot1
STM32三种启动模式对应的存储介质均是芯片内置的,它们是: 1)用户闪存=芯片内置的Flash.2)SRAM=芯片内置的RAM区,就是内存啦.3)系统存储器=芯片内部一块特定的区域,芯片出厂时在这个 ...
- 【HIHOCODER 1599】逃离迷宫4
描述 小Hi被坏女巫抓进一座由无限多个格子组成的矩阵迷宫. 小Hi一开始处于迷宫(x, y)的位置,迷宫的出口在(a, b).小Hi发现迷宫被女巫施加了魔法,假设当前他处在(x, y)的位置,那么他只 ...
- hdu 6312
Problem Description Alice and Bob are playing a game.The game is played on a set of positive integer ...
- 关于.ascx
.ascx用户控件 参考系列教程User controls in asp.net - Part 104 用户控件包含了html.代码和其他Web或者用户控件的组合,并在Web服务器上以自己的文件格式 ...
- Mysql登陆、退出、更改环境编码
登录: mysql -h[数据库地址] -u[username] -p[password] -P[端口] //大写P表示端口,小写p表示密码 例如:mysql -hlocalhost -uroot ...
- HDU 5525 Product 数论
题意: 给出一个长度为\(n(1 \leq n \leq 10^5)\)的序列\(A_i\),\(N=\prod\limits_{i=1}^{n}i^{A_i}\).求\(N\)的所有约数的乘积. 分 ...
- Mybatis(1、核心配置文件、Properties、Settings、typeAliases...)
Mybatis(1.核心配置文件.Properties.Settings.typeAliases...) 2017年04月23日 22:52:36 阅读数:1527 此章主要介绍sqlMapConfi ...
- SpringBoot 项目打包部署Resin遇到的问题
1)javax/validation/ParameterNameProvider 找不到. 解决:A) resin/lib 目录下删掉原来的,validation-api 更新为 validation ...
- Python socket粘包问题(初级解决办法)
server端配置: import socket,subprocess,struct from socket import * server=socket(AF_INET,SOCK_STREAM) s ...