David Hughes ผู้ก่อตั้งและ CEO ของ Silver Peak ออกมาให้คำแนะนำถึงวิธีการนำเทคโนโลยี SD-WAN เข้ามาใช้เสริมความแข็งแกร่งให้แก่สถาปัตยกรรมระบบเครือข่ายขององค์กร เพื่อให้ทั้งสำนักงานใหญ่และสำนักงานสาขาสามารถเชื่อมต่อหากันได้อย่างมั่นคงปลอดภัย รวมไปถึงการเข้าถึงระบบ Cloud ได้อย่างรวดเร็ว
Hughes ได้แนะนำแนวทางการนำเทคโนโลยี SD-WAN เข้ามาใช้เอื้อประโยชน์ต่อการออกแบบสถาปัตยกรรมให้มั่นคงปลอดภัย 3 ข้อ ดังนี้
1. จำแนกและควบคุมการใช้แอปพลิเคชันได้ตั้งแต่ที่สำนักงานสาขา
ในยุคดิจิทัลนี้ หลายองค์กรเริ่มนำบริการ Software as a Service (SaaS) เข้ามาใช้ ส่งผลให้ปริมาณข้อมูลและทราฟฟิกจากแอปพลิเคชันต่างๆ ระหว่างสำนักงานสาขาและอินเทอร์เน็ตมีจำนวนเพิ่มสูงขึ้น ซึ่งก่อนหน้านี้ องค์กรจำเป็นต้องเลือกระหว่างส่งทราฟฟิกที่ออกสู่อินเทอร์เน็ตทั้งหมดมาตรวจสอบที่ Firewall กลางของสำนักงานใหญ่ หรือไม่ก็ติดตั้ง Firewall ขนาดเล็กที่ทุกสำนักงานสาขาเพื่อควบคุมการเชื่อมต่อทั้งหมด ส่งผลให้เสียค่าใช้จ่ายลิงค์ MPLS และค่าติดตั้ง รวมไปถึงบำรุงรักษาอุปกรณ์เป็นจำนวนมหาศาล
ด้วยการมาถึงของเทคโนโลยี SD-WAN ช่วยให้องค์กรสามารถกำหนด Policies เพื่อจำแนกและควบคุมการใช้แอปพลิเคชันต่างๆ ได้ทันทีตั้งแต่ที่สำนักงานสาขา เช่น
- แยกทราฟฟิกที่มาจาก Guest Wi-Fi และแอปพลิเคชัน SaaS ที่องค์กรใช้งานให้ออกสู่อินเทอร์เน็ตโดยตรงจากสำนักงานสาขา
- เปลี่ยนเส้นทางทราฟฟิกจากการใช้แอปพลิเคชันส่วนบุคคลให้ไปตรวจสอบที่ Cloud-based Firewall Service (หรือ Secure Web Gateway) ก่อนออกสู่อินเทอร์เน็ต
- นำทราฟฟิกที่ต้องสงสัยหรือไม่ทราบข้อมูลแน่ชัดเข้าไปตรวจสอบยังระบบรักษาความมั่นคงปลอดภัยภายใน Data Center ของสำนักงานใหญ่
การใช้เทคโนโลยี SD-WAN สำหรับจำแนกและจัดการกับทราฟฟิกตั้งแต่ที่สำนักงานสาขาให้ออกสู่อินเทอร์เน็ตโดยตรง ช่วยลดปริมาณ Bandwidth บนเครือข่าย MPLS และช่วยลดความจำเป็นในการติดตั้ง Firewall ลง ซึ่งนอกจากจะช่วยประหยัดค่าใช้จ่ายแล้ว ยังช่วยให้ผู้ดูแลระบบสามารถบริหารจัดการทราฟฟิกทั้งหมดจากศูนย์กลางได้อีกด้วย
2. Micro-segmentation ทราฟฟิก WAN และสำนักงานสาขาตามโมเดล Zero Trust
SD-WAN ช่วยสนับสนุนการทำ Micro-segmentation ทราฟฟิก WAN และทราฟฟิกของสำนักงานสาขา ก่อให้เกิดการแบ่งส่วนและประเภทของทราฟฟิกตามโมเดล Zero-trust Networking ซึ่งช่วยให้ผู้ดูแลระบบสามารถกำหนด Policies สำหรับทราฟฟิกแต่ละประเภทได้ตั้งแต่ที่สำนักงานสาขา เช่น ทราฟฟิกข้อมูลบัตรเครดิตตามมาตรฐาน PCI-DSS, ทราฟฟิกอุปกรณ์ IoT, ทราฟฟิกเว็บแอปพลิเคชันภายใน หรือทราฟฟิกแอปพลิเคชันภายนอก เป็นต้น ที่สำคัญคือ การแบ่งแยกประเภทของทราฟฟิกนี้ช่วยลดผลกระทบเมื่อเกิดเหตุการณ์ Data Breach รวมไปถึงกักกันความเสียหายให้อยู่แต่เฉพาะทราฟฟิกบางส่วนได้
3. บริหารจัดการจากศูนย์กลาง ลดความผิดพลาดการตั้งค่าอุปกรณ์จำนวนมาก
ระบบเครือข่ายแบบดั้งเดิมที่ใช้กันอยู่นั้น Router และ Firewall จะถูกตั้งค่าผ่าน CLI เมื่อมีการขยายสาขา ติดตั้งอุปกรณ์ใหม่ หรือแก้ไขโครงสร้างระบบเครือข่ายเดิม ผู้ดูแลระบบจำเป็นต้องเข้าไปตั้งค่าอุปกรณ์ที่ละเครื่องๆ ด้วยตนเอง การทำเช่นนี้หลายๆ ครั้ง ถึงแม้ว่าดูเผินๆ ทุกอุปกรณ์อาจมีการตั้งค่าแบบเดียวกัน แต่จริงๆ แล้วมักจะมีจุดเล็กจุดน้อยที่ทำให้การตั้งค่าของแต่ละอุปกรณ์เริ่มผิดเพี้ยนไปจากแนวทางเดิม ก่อให้เกิดความสับสนและการทำงานที่ผิดพลาดได้ง่าย
อย่างไรก็ตาม เทคโนโลยี SD-WAN จะใช้วิธีบริหารจัดการอุปกรณ์จากศูนย์กลาง ผู้ดูแลระบบสามารถตั้งค่า Policies ผ่านหน้า GUI และบังคับใช้ไปยังทุกอุปกรณ์ในระบบเครือข่ายได้โดยอัตโนมัติ โดยที่ไม่จำเป็นต้องเสียเวลาลงไปตั้งค่าอุปกรณ์ทีละเครื่องแต่อย่างใด ที่สำคัญคือช่วยลดความผิดพลาดในการตั้งค่าด้วยตนเองและทำให้มั่นใจว่าทุกอุปกรณ์มีการตั้งค่าตรงตาม Policies และข้อบังคับต่างๆ ที่องค์กรได้กำหนดไว้
“โดยสรุปแล้ว ถ้าคุณถูกถามว่า ‘SD-WAN ของคุณมั่นคงปลอดภัยแค่ไหน’ มันไม่ได้วัดกันที่จำนวนฟีเจอร์ของ UTM หรือจำนวนการโจมตีที่อุปกรณ์ SD-WAN สามารถบล็อกได้ แต่เป็นเรื่องของ [1] การที่โซลูชันช่วยสนับสนุนให้องค์กรสามารถจัดการกับระบบรักษาความมั่นคงปลอดภัยของทั้งสาขา ระบบ Cloud และ Data Center ตามความต้องการของแอปพลิเคชันได้อย่างลงตัว [2] การรองรับการทำ Segmentation ของทราฟฟิกบนระบบเครือข่าย และ [3] การที่โซลูชันสามารถนำ Policies ด้านเครือข่ายและความมั่นคงปลอดภัยไปบังคับใช้บนเครือข่าย WAN โดยไม่มีข้อผิดพลาด” — Hughes สรุปเรื่องการนำ SD-WAN มาสนับสนุนสถาปัตยกรรมด้านความมั่นคงปลอดภัยขององค์กร

ที่มา: http://blog.silver-peak.com/new-sdwan-edge-enables-improved-security-architectures