มิถุนายน 1, 2022
โดย Michael Schneider - Sr. Manager, Product Management, Skyhigh Security
"ฟีเจอร์เป็นสิ่งที่ดี แต่ท้ายที่สุดแล้ว สิ่งที่เราใส่ใจเมื่อพูดถึงความปลอดภัยของเว็บและระบบคลาวด์ของเราคือสถาปัตยกรรม" – ไม่มีลูกค้ารายใดกล่าว
ความจริงก็คือไม่มีใครชอบพูดถึงสถาปัตยกรรมเมื่อซื้อเทคโนโลยีความปลอดภัยทางไซเบอร์ล่าสุดและยิ่งใหญ่ที่สุดและองค์กรส่วนใหญ่พอใจที่จะติดตั้งเครื่องมือและความสามารถด้านความปลอดภัยใหม่ ๆ ให้กับสถาปัตยกรรมแบบดั้งเดิมที่มีอยู่ต่อไป อย่างไรก็ตาม โครงการการเปลี่ยนแปลงทางดิจิทัลรวมถึงการโยกย้ายระบบคลาวด์และการเข้าถึงมือถือที่แพร่หลายได้เผยให้เห็นรอยร้าวทางสถาปัตยกรรม และหลายบริษัทได้เห็นเขื่อนระเบิดด้วยความต้องการการเข้าถึงระยะไกลที่เพิ่มขึ้นในช่วงไม่กี่เดือนที่ผ่านมา ด้วยเหตุนี้ องค์กรต่างๆ จึงตระหนักว่าการเปลี่ยนแปลงทางดิจิทัลต้องการการเปลี่ยนแปลงทางสถาปัตยกรรมเครือข่ายและความปลอดภัยที่สอดคล้องกัน
เฟรมเวิร์ก Secure Access Service Edge (SASE) ช่วยให้องค์กรมีแบบจําลองในการบรรลุการเปลี่ยนแปลงนี้โดยนําเทคโนโลยีเครือข่ายและความปลอดภัยมารวมกันเป็นบริการเดียวที่ส่งมอบบนคลาวด์ ซึ่งรับประกันการเข้าถึงทรัพยากรบนเว็บและระบบคลาวด์ที่รวดเร็ว ปลอดภัย เชื่อถือได้ และคุ้มค่า ในบล็อกนี้เรามุ่งเน้นไปที่สํานักงานระยะไกลและการรวมกันของ SD-WAN และ Next-Generation Secure Web Gateway ความสามารถที่ Skyhigh SSE สามารถเปิดใช้งานสําหรับการเปลี่ยนแปลงทางดิจิทัล
เมฆและภาวะที่กลืนไม่เข้าคายไม่ออกทางสถาปัตยกรรม
ในอดีตองค์กรส่วนใหญ่กระจุกตัวอยู่ในสถานที่จํานวนจํากัด แอปพลิเคชันและข้อมูลถูกโฮสต์บนเซิร์ฟเวอร์ที่ตําแหน่งศูนย์ข้อมูลส่วนกลางบนเครือข่ายท้องถิ่น – โดยทั่วไปที่หรือใกล้กับสํานักงานใหญ่ ผู้ใช้มักจะทํางานในสํานักงาน ดังนั้นพวกเขาจึงจะอยู่ที่สํานักงานและเข้าถึงทรัพยากรขององค์กรบนเครือข่ายเดียวกัน โดยรอบเครือข่ายนี้เป็นขอบเขตของการควบคุมความปลอดภัยที่สามารถตรวจสอบการรับส่งข้อมูลทั้งหมดที่เข้าหรือออกจากองค์กรรักษาทรัพยากรที่เชื่อถือได้ให้ปลอดภัยในขณะที่กันคนร้ายออกไป ผู้ใช้ระยะไกลและสํานักงานสาขาเชื่อมต่อกับเครือข่ายกลางนี้อย่างมีเหตุผลผ่านเทคโนโลยีเช่น VPN, MPLS และสายเช่า ดังนั้นจึงสามารถรักษาขอบเขตเครือข่ายที่ปลอดภัยได้
แม้ว่าแนวทางนี้จะเพียงพอเป็นเวลาหลายปี แต่การเปลี่ยนแปลงทางดิจิทัลได้สร้างความท้าทายที่สําคัญ แอปพลิเคชันและการจัดเก็บข้อมูลได้ย้ายไปยังระบบคลาวด์ดังนั้นจึงไม่ได้อยู่ในเครือข่ายขององค์กรอีกต่อไป ตรรกะจะกําหนดว่าแนวทางที่ดีที่สุดคือสําหรับผู้ใช้ระยะไกลและสํานักงานในการเข้าถึงทรัพยากรระบบคลาวด์โดยตรงโดยไม่ต้องกําหนดเส้นทางกลับผ่านเครือข่ายขององค์กร แต่สิ่งนี้จะส่งผลให้ขอบเขตความปลอดภัยด้านไอทีขององค์กรถูกหลีกเลี่ยงอย่างสมบูรณ์ซึ่งหมายความว่าสูญเสียการมองเห็นและการควบคุมความปลอดภัยซึ่งนําไปสู่ความเสี่ยงด้านความปลอดภัยและการปฏิบัติตามข้อกําหนดที่ยอมรับไม่ได้
สถาปนิกเครือข่ายและความปลอดภัยทุกแห่งกําลังเผชิญกับภาวะที่กลืนไม่เข้าคายไม่ออกเดียวกัน: วิธีใดดีที่สุดในการเปิดใช้งานการเปลี่ยนแปลงทางดิจิทัลโดยไม่มีการประนีประนอมที่สําคัญ โดยทั่วไปองค์กรต่างๆได้ปฏิบัติตามหนึ่งในสี่แนวทางสถาปัตยกรรมต่อไปนี้โดยพิจารณาจากความเต็มใจที่จะยอมรับเทคโนโลยีใหม่ ๆ และนําพวกเขามารวมกัน
เราจะพูดถึงสี่ตัวเลือกนี้ที่นี่ และประเมินตามปัจจัยสี่ประการ ได้แก่ ความปลอดภัย ความเร็ว เวลาแฝง และค่าใช้จ่าย ผลลัพธ์จะแสดงให้เห็นว่ามีเพียงวิธีเดียวในการเข้าถึงทรัพยากรบนเว็บและระบบคลาวด์ที่รวดเร็ว ปลอดภัย และคุ้มค่า
แนวทางที่ 1: สภาพที่เป็นอยู่
เนื่องจากความเสี่ยงที่จะสูญเสียการมองเห็นและการควบคุมความปลอดภัย หลายองค์กรจึงปฏิเสธที่จะอนุญาตให้ออกแบบสถาปัตยกรรมใหม่ "โดยตรงไปยังระบบคลาวด์" ดังนั้นแม้ว่าลิงก์อินเทอร์เน็ตความเร็วสูงจะสามารถเชื่อมต่อผู้ใช้โดยตรงกับทรัพยากรบนคลาวด์และเว็บ แต่วิธีการนี้จําเป็นต้องให้การรับส่งข้อมูลทั้งหมดยังคงถูกผลักผ่านลิงก์ MPLS ที่ช้ากว่ากลับไปยังเครือข่ายขององค์กร แล้วกลับออกไปผ่านท่ออินเทอร์เน็ตแบบรวมเดียวเพื่อเข้าถึงทรัพยากรบนเว็บและคลาวด์ แม้ว่าในทางทฤษฎีนี้จะรักษาการมองเห็นและการควบคุมความปลอดภัย แต่ก็มีค่าใช้จ่ายสูง
สําหรับผู้เริ่มต้น ประสบการณ์ของผู้ใช้ถูกขัดขวางอย่างมากจากประสิทธิภาพที่ไม่ดี แบนด์วิดท์ทนทุกข์ทรมานจากลิงก์ MPLS ที่ช้ากลับไปยังสํานักงานของ บริษัท รวมถึงการเชื่อมต่ออินเทอร์เน็ตของ บริษัท ที่แออัด นอกจากนี้ การกระโดดของเครือข่ายที่เพิ่มขึ้นและการโต้แย้งเครือข่ายที่เพิ่มขึ้นยังนําไปสู่เวลาแฝงที่สูง ซึ่งได้รับการขยายอย่างมากในช่วงไม่กี่เดือนที่ผ่านมา เนื่องจากปริมาณการรับส่งข้อมูลระยะไกลที่ย้อนกลับผ่านเครือข่ายขององค์กรได้เพิ่มขึ้นเกินความคาดหมายในการออกแบบดั้งเดิม ปัจจัยเหล่านี้ไม่ได้คํานึงถึงผลกระทบที่อาจเกิดขึ้นจากการหยุดชะงักของบริการที่เกิดจากการแนะนําจุดล้มเหลวเพียงจุดเดียวในสถาปัตยกรรมเครือข่าย
นอกจากประสิทธิภาพที่ไม่ดีแล้วยังมีต้นทุนทางการเงินที่สูงขึ้นอย่างเป็นรูปธรรมที่เกี่ยวข้องกับแนวทางนี้ สาย MPLS หลายสายที่เชื่อมต่อสํานักงานสาขากับศูนย์ข้อมูลขององค์กรมีราคาแพงกว่าการเชื่อมต่ออินเทอร์เน็ตสาธารณะมาก นอกจากนี้เพื่อรองรับการกําหนดเส้นทางการรับส่งข้อมูลของผู้ใช้ทั้งหมดองค์กรจําเป็นต้องเพิ่มการลงทุนอย่างมากในเครือข่ายกลางและความจุโครงสร้างพื้นฐานขอบเขตความปลอดภัยรวมถึงแบนด์วิดท์ของท่ออินเทอร์เน็ตที่ใช้ร่วมกัน
ดังนั้นเราจึงจําเป็นต้องหาคําตอบระยะยาวสําหรับความท้าทายด้านความเร็วเวลาแฝงและค่าใช้จ่าย ข้อควรพิจารณาเหล่านี้เป็นสิ่งที่ทําให้สถาปนิกเครือข่ายหลายคนดําเนินการปรับใช้ SD-WAN
แนวทางที่ 2a: มุ่งตรงสู่คลาวด์ด้วย SD-WAN
ขั้นตอนแรกในการส่งมอบสถาปัตยกรรมที่พร้อมใช้งานบนคลาวด์คือการขจัดปัญหาคอขวดที่เกิดขึ้นโดยการบังคับให้การรับส่งข้อมูลทั้งหมดถูกกําหนดเส้นทางผ่านสาย MPLS ที่ช้าไปยังเครือข่ายส่วนกลางแล้วกลับออกไปยังระบบคลาวด์ เทคโนโลยี SD-WAN สามารถช่วยในเรื่องนี้ได้ ด้วยการปรับใช้อุปกรณ์ SD-WAN ที่ขอบของเครือข่ายสาขา สามารถสร้างนโยบายการรับส่งข้อมูลที่ปรับให้เหมาะสมซึ่งกําหนดเส้นทางการรับส่งข้อมูลโดยตรงไปยังทรัพยากรบนเว็บและคลาวด์โดยใช้การเชื่อมต่ออินเทอร์เน็ตที่รวดเร็วและราคาไม่แพงในขณะที่ใช้การเชื่อมต่ออินเทอร์เน็ตเดียวกันเพื่อส่งเฉพาะการรับส่งข้อมูลที่ผูกไว้กับศูนย์ข้อมูลโดยตรงกลับไปยังเครือข่ายขององค์กรผ่านชุดอุโมงค์ VPN แบบไดนามิก การเพิ่มประสิทธิภาพ WAN และ QoS ตลอดจนเครือข่ายขอบและฟังก์ชันความปลอดภัยอื่น ๆ เช่นการกรองไฟร์วอลล์ที่เหมาะสมกว่าในการดําเนินการที่ขอบเครือข่ายมอบประสบการณ์การใช้งานที่รวดเร็วและน่าเชื่อถือที่สุดในขณะที่ลดภาระการรับส่งข้อมูลบนเครือข่ายกลาง
ด้วยการใช้ SD-WAN สถาปนิกเครือข่ายสามารถประหยัดต้นทุนได้มากโดยการกําจัดลิงก์ MPLS ราคาแพงกลับไปยังศูนย์ข้อมูลขององค์กร นอกจากนี้ ผู้ใช้จะไม่ถูกจํากัดด้วยแบนด์วิดท์ที่ช้ากว่ามากของสาย MPLS เหล่านั้น
อย่างไรก็ตามมีข้อเสียที่สําคัญสําหรับรุ่นนี้ แม้ว่าโซลูชัน SD-WAN จะมีความสามารถในการควบคุมโฟลว์ที่แข็งแกร่งจํานวนหนึ่งซึ่งสามารถแจกจ่ายไปยังไซต์ระยะไกลแต่ละแห่งได้ รวมถึงไฟร์วอลล์ การป้องกัน DNS และการทําให้ข้อมูลสับสน แต่ก็ไม่มีข้อมูลที่แข็งแกร่งและความสามารถในการป้องกันภัยคุกคามแบบเดียวกับที่องค์กรสร้างขึ้นในการรักษาความปลอดภัยขอบเขตเครือข่าย ดังนั้นสถาปนิกยังคงต้อง backhaul การรับส่งข้อมูลทั้งหมดผ่านอินเทอร์เน็ตกลับไปที่ศูนย์ข้อมูลแม้ว่าการรับส่งข้อมูลนั้นจะถูกกําหนดให้กลับออกไปยังอินเทอร์เน็ตในที่สุด! ดังนั้นในขณะที่ความเร็วและความคุ้มค่าของการเชื่อมต่อนี้ได้รับการปรับปรุงอย่างมากเมื่อเทียบกับรุ่นเก่าความจําเป็นในการดําเนินการกู้คืนการรับส่งข้อมูลต่อไปทําให้เกิดความท้าทายด้านเวลาแฝงและความแออัดเช่นเดียวกัน
แนวทาง 2b: Skyhigh Security Service Edge
ดังนั้นหากเส้นทางการรับส่งข้อมูลจําเป็นต้องวิ่งกลับไปที่ศูนย์ข้อมูลขององค์กรสําหรับองค์กรเพื่อรักษาการมองเห็นและการควบคุมความปลอดภัย แต่ทรัพยากรส่วนใหญ่ที่ผู้ใช้เข้าถึงอยู่ในระบบคลาวด์จะไม่สมเหตุสมผลหรือไม่ที่จะกําหนดการควบคุมความปลอดภัยในระบบคลาวด์ให้เป็นเส้นทางการรับส่งข้อมูลที่ตรงและปลอดภัยยิ่งขึ้น เข้าสู่ Skyhigh Security Service Edge.
Skyhigh SecurityNext-Gen ของ Secure Web Gateway ให้ขอบความปลอดภัยแบบไฮเปอร์สเกลบนคลาวด์ รวดเร็วปานสายฟ้าแลบ เชื่อถือได้ 99.999% โดยการบรรจบกัน SWG, CASB และ DLP และ Remote Browser Isolation เทคโนโลยี Skyhigh SSE ช่วยให้มั่นใจได้ว่าผู้ใช้ระยะไกลและสํานักงานจะเพลิดเพลินไปกับการป้องกันภัยคุกคาม ข้อมูล และแอปพลิเคชันระบบคลาวด์ในระดับที่ซับซ้อนที่สุด ตลอดจนความสามารถในการจัดการความเสี่ยงเชิงรุกที่ไม่เหมือนใครซึ่งเกินกว่าที่เป็นไปได้ในเฟรมเวิร์กการรักษาความปลอดภัยภายในองค์กรแบบดั้งเดิม
สิ่งที่สําคัญพอๆ กับความสามารถด้านความปลอดภัยขั้นสูงคือความจริงที่ว่า Skyhigh SSE สร้างขึ้นบนรากฐานที่รวดเร็ว เชื่อถือได้ และปรับขนาดได้ ด้วยเครือข่าย Point of Presence (POP) ทั่วโลกและความสัมพันธ์แบบเพียร์ริ่งที่ไม่เหมือนใคร Skyhigh SSE สามารถขยายขอบความปลอดภัยระดับไฮเปอร์สเกลได้ทุกที่ที่ผู้ใช้ต้องการ แม้จะมีการเข้าชมเพิ่มขึ้น 240% ในช่วงฤดูใบไม้ผลิปี 2020 Skyhigh Security สามารถรักษาความพร้อมใช้งานได้ 99.999% และตรงตามข้อกําหนดเวลาแฝงทั้งหมดที่ระบุไว้ใน SLA ของเรา องค์กรต่างๆ สามารถวางใจในโครงสร้างพื้นฐานของเราในช่วงเวลาที่ยากลําบากที่สุด และสามารถทําได้ต่อไปในอนาคต
ด้วยการสมัครสมาชิกการเชื่อมต่ออินเทอร์เน็ตสาธารณะราคาไม่แพงที่ไซต์สาขาและเชื่อมต่อกับ Skyhigh SSE ลูกค้าจะได้รับสิทธิประโยชน์ที่ต้องการมากมาย ความสามารถในการป้องกันข้อมูล ภัยคุกคาม และแอปพลิเคชันระบบคลาวด์ที่ครอบคลุมมากกว่าการตอบสนองความต้องการด้านความปลอดภัย และสําหรับการรับส่งข้อมูลของผู้ใช้ส่วนใหญ่ที่กําหนดไว้สําหรับเว็บหรือระบบคลาวด์การเชื่อมต่ออินเทอร์เน็ตโดยตรงช่วยให้มั่นใจได้ถึงการเข้าถึงที่รวดเร็วและมีเวลาแฝงต่ํา
อย่างไรก็ตาม หากไม่มีการปรับใช้ SD-WAN ร่วมกับ Skyhigh SSE องค์กรยังคงต้องมีลิงก์ MPLS ที่ช้าและมีราคาแพงเพื่อรักษาการเชื่อมต่อกับแอปพลิเคชันและทรัพยากรของศูนย์ข้อมูลแบบเดิม ดังนั้น ลูกค้าจะไม่สามารถประหยัดต้นทุนได้ และการเชื่อมต่อกับทรัพยากรศูนย์ข้อมูลเหล่านั้นจะประสบกับความท้าทายด้านความเร็วและเวลาแฝงเช่นเดียวกัน และนั่นคือจุดที่เรามาถึงสถาปัตยกรรมการรักษาความปลอดภัยบนคลาวด์ในอุดมคติในที่สุด โดยนํา Skyhigh SSE มารวมกับ SD-WAN
แนวทางที่ 3: Skyhigh Security SSE + SD-WAN = SASE
ด้วยการนํา Skyhigh SSE เข้ากับ SD-WAN มารวมกันในโซลูชันที่ผสานรวมอย่างราบรื่น องค์กรต่างๆ สามารถส่งมอบ SASE และสร้างสถาปัตยกรรมความปลอดภัยเครือข่ายที่เหมาะกับยุคคลาวด์ได้ Skyhigh Security ทําให้ลูกค้าสามารถรวม Skyhigh SSE เข้ากับโซลูชัน SD-WAN แทบทุกชนิดได้อย่างง่ายดายผ่านการสนับสนุนแบบเนทีฟที่แข็งแกร่งสําหรับการเชื่อมต่อ SD-WAN โดยใช้ประโยชน์จากโปรโตคอล Dynamic IPSec และ GRE มาตรฐานอุตสาหกรรม ด้วยการผสานรวมนี้ ลูกค้าจะได้รับประโยชน์จากความสามารถ SASE ที่จําเป็นอย่างครบถ้วน โดย SD-WAN มีฟังก์ชันเครือข่ายแบบบูรณาการและ SSE มอบความสามารถด้านความปลอดภัย Skyhigh Security ได้สนับสนุนพันธมิตรช่องทางในการส่งมอบโครงการ SD-WAN-cloud SWG ร่วมกับผู้จําหน่าย SD-WAN รายใหญ่หลายรายในตลาดได้สําเร็จ และได้สร้างพันธมิตรที่แน่นแฟ้นกับผู้นําในอุตสาหกรรมผ่านโปรแกรมพันธมิตรการผสานรวม
โซลูชัน UCE-SD-WAN แบบรวมจะตอบสนองความต้องการทางสถาปัตยกรรมสี่ประการได้อย่างไร ความปลอดภัยได้รับการแก้ไขอย่างชัดเจนโดย Skyhigh Securityความสามารถในการป้องกันภัยคุกคาม ข้อมูล และแอปพลิเคชันระบบคลาวด์ของ ตลอดจนความสามารถของไฟร์วอลล์แบบกระจายที่จัดส่งโดย SD-WAN ด้วยการใช้การเชื่อมต่ออินเทอร์เน็ตที่รวดเร็วเพียงครั้งเดียว SD-WAN สามารถกําหนดเส้นทางการรับส่งข้อมูลโดยตรงไปยังทรัพยากรระบบคลาวด์หรือกลับไปที่ศูนย์ข้อมูลขององค์กรได้อย่างชาญฉลาดและมีประสิทธิภาพ ด้วย Skyhigh SSE ที่ให้การรักษาความปลอดภัยโดยตรงในระบบคลาวด์ SD-WAN สามารถส่งต่อการรับส่งข้อมูลบนเว็บและบนคลาวด์ได้โดยตรงโดยไม่มีเวลาแฝงมากเกินไป การประหยัดต้นทุนมาจากการลบสาย MPLS ที่มีราคาแพงและเนื่องจากการรับส่งข้อมูลส่วนใหญ่ไม่จําเป็นต้อง backhaul ผ่านศูนย์ข้อมูลขององค์กรอีกต่อไปการประหยัดเพิ่มเติมสามารถทําได้โดยการลดแบนด์วิดท์เครือข่ายส่วนกลางและความจุของโครงสร้างพื้นฐาน
สร้างสถาปัตยกรรมการรักษาความปลอดภัยเครือข่ายที่พร้อมใช้งานบนคลาวด์วันนี้
การเปลี่ยนแปลงทางดิจิทัลแสดงถึงการปฏิวัติทางเทคโนโลยีครั้งยิ่งใหญ่ครั้งต่อไป และความสามารถขององค์กรในการย้ายไปยังระบบคลาวด์และเพิ่มขีดความสามารถให้กับพนักงานที่กระจายตัวด้วยการเข้าถึงที่รวดเร็ว ปลอดภัย เรียบง่าย และเชื่อถือได้ น่าจะเป็นตัวกําหนดความสําเร็จในยุคใหม่ SASE เป็นวิธีที่ดีที่สุดในการบรรลุสถาปัตยกรรมแบบ direct-to-cloud ที่ไม่กระทบต่อการมองเห็นและการควบคุมความปลอดภัย ประสิทธิภาพ ความซับซ้อน หรือต้นทุน ด้วยการผสานรวมโซลูชัน Skyhigh SSE ของเราเข้ากับ SD-WAN อย่างราบรื่น องค์กรต่างๆ สามารถส่งมอบ SASE ไปยังสํานักงานระยะไกลได้ง่ายกว่าที่เคย เป็นผลให้ผู้ใช้จะได้รับประโยชน์จากผลผลิตที่มากขึ้นบุคลากรด้านไอทีจะได้รับประสิทธิภาพการดําเนินงานที่มากขึ้นและ บริษัท ต่างๆจะเพลิดเพลินไปกับการประหยัดต้นทุนที่ยอดเยี่ยมอันเป็นผลมาจากโครงสร้างพื้นฐานรวมและการรับส่งข้อมูลเครือข่ายที่ปรับให้เหมาะสม
กลับไปที่บล็อก