谈到云计算,首先想到的是安全问题。因此,对于接入云服务的网络给予了很大的关注。传统的方法是,IT组织依赖于MPLS链路的内在隔离,但是通信服务提供商(CSP)在一定情况下会配错他们的系统。随着业界转变为通过互联网连接和在现有MPLS架构上运行SD-WAN,对安全、受保护的广域连接的需求越来越高。
Ovum的行业分析师Mike Sapien表示,以IPSec协议、加密和访问控制的形式分层安全性有很多选择。将虚拟专用网络作为Overlay来运行可能会获得与MPLS相当的安全性,甚至尤有甚之,主要区别在于MPLS具有安全和私有网络策略。
SD-WAN通常基于应用或设备或用户的身份提供细粒度的策略,以及改进流量的可视化,可以实现应用访问控制与其他工具确保网络本身没有被黑客入侵。此外,SD-WAN提供了在云端调用分析引擎的机会,以进一步实时检测流量。一些SD-WAN可以根据应用程序编程实现云突破,允许直接访问受信任的站点,同时将未知站点的流量集中到基于云或基于集中的检测服务。这有助于提高生产力,最大限度地减少可信任流量的不必要检测,并提供比传统的hub-spoke MPLS解决方案更好的安全性。
当使用SD-WAN访问远程服务时,需要特别注意控制平面。通常SD-WAN的控制平面可以部署在公有云或私有云上,该控制平面需要充分固化,以确保其不会受到影响。另外还需要注意确保恶意平台不能伪装成有效的端点,一些受监管的行业甚至需要具有防篡改硬件的SD-WAN平台。
评估成本
专家表示很多组织可能会采用混合SD-WAN部署的模式,MPLS将继续用于访问敏感的ERP应用程序,而安全的Internet连接应用于访问生产力和协作应用程序。
The Deal Architect行业分析师Vinnie Mirchandani表示,使用SD-WAN平台的真正问题是惯性。MPLS连接的成本明显高于企业级Internet连接。但是,很多公司更喜欢单一的网络服务提供商,并希望确保向每个分支机构提供相同质量的服务。然而,企业表示在全球部署中,拥有单一网络服务提供商并不是在所有情况下都适用,但作为重叠的SD-WAN可以提供改进的管理,而不管基础传输。
但是云服务提供商CenturyLink的产品经理Craig Belics表示,IT组织需要谨慎地考虑如何在诸如SAP HANA等数据库部署应用程序的背景下如何运作MPLS。MPLS链路具有内置的容错功能,每当一条链路发生故障时容错功能自动启动。这将导致数据库与应用程序不同步,因为数据库无法识别以及建立的新的MPLS连接。Belics表示,由于这个问题,很多IT机构正在依靠SD-WAN来访问驻留在外部云端的数据库应用程序。
SD-WAN变得越来越普遍
IT组织越来越多地将SD-WAN视为可靠且安全的远程访问解决方案,事实上,IT服务提供商Liaison Technologies的营销高级总监Amanda Thomas表示,无论云服务是否有后门,很多组织都担心会失去对其数据的控制。IT组织真正想要的是部署混合SD-WAN的能力,以便他们能够主动积极地灵活利用MPLS和Internet链路。随着时间的推移,他们可能会发现通过安全的互联网连接访问的云应用程序的数量将最终消除通过MPLS链路访问的应用程序的数量。
