3 แนวทางการใช้ SD-WAN เพื่อออกแบบสถาปัตยกรรมระบบเครือข่ายอย่างมั่นคงปลอดภัย

David Hughes ผู้ก่อตั้งและ CEO ของ Silver Peak ออกมาให้คำแนะนำถึงวิธีการนำเทคโนโลยี SD-WAN เข้ามาใช้เสริมความแข็งแกร่งให้แก่สถาปัตยกรรมระบบเครือข่ายขององค์กร เพื่อให้ทั้งสำนักงานใหญ่และสำนักงานสาขาสามารถเชื่อมต่อหากันได้อย่างมั่นคงปลอดภัย รวมไปถึงการเข้าถึงระบบ Cloud ได้อย่างรวดเร็ว

Hughes ได้แนะนำแนวทางการนำเทคโนโลยี SD-WAN เข้ามาใช้เอื้อประโยชน์ต่อการออกแบบสถาปัตยกรรมให้มั่นคงปลอดภัย 3 ข้อ ดังนี้

1. จำแนกและควบคุมการใช้แอปพลิเคชันได้ตั้งแต่ที่สำนักงานสาขา

ในยุคดิจิทัลนี้ หลายองค์กรเริ่มนำบริการ Software as a Service (SaaS) เข้ามาใช้ ส่งผลให้ปริมาณข้อมูลและทราฟฟิกจากแอปพลิเคชันต่างๆ ระหว่างสำนักงานสาขาและอินเทอร์เน็ตมีจำนวนเพิ่มสูงขึ้น ซึ่งก่อนหน้านี้ องค์กรจำเป็นต้องเลือกระหว่างส่งทราฟฟิกที่ออกสู่อินเทอร์เน็ตทั้งหมดมาตรวจสอบที่ Firewall กลางของสำนักงานใหญ่ หรือไม่ก็ติดตั้ง Firewall ขนาดเล็กที่ทุกสำนักงานสาขาเพื่อควบคุมการเชื่อมต่อทั้งหมด ส่งผลให้เสียค่าใช้จ่ายลิงค์ MPLS และค่าติดตั้ง รวมไปถึงบำรุงรักษาอุปกรณ์เป็นจำนวนมหาศาล

ด้วยการมาถึงของเทคโนโลยี SD-WAN ช่วยให้องค์กรสามารถกำหนด Policies เพื่อจำแนกและควบคุมการใช้แอปพลิเคชันต่างๆ ได้ทันทีตั้งแต่ที่สำนักงานสาขา เช่น

  • แยกทราฟฟิกที่มาจาก Guest Wi-Fi และแอปพลิเคชัน SaaS ที่องค์กรใช้งานให้ออกสู่อินเทอร์เน็ตโดยตรงจากสำนักงานสาขา
  • เปลี่ยนเส้นทางทราฟฟิกจากการใช้แอปพลิเคชันส่วนบุคคลให้ไปตรวจสอบที่ Cloud-based Firewall Service (หรือ Secure Web Gateway) ก่อนออกสู่อินเทอร์เน็ต
  • นำทราฟฟิกที่ต้องสงสัยหรือไม่ทราบข้อมูลแน่ชัดเข้าไปตรวจสอบยังระบบรักษาความมั่นคงปลอดภัยภายใน Data Center ของสำนักงานใหญ่

การใช้เทคโนโลยี SD-WAN สำหรับจำแนกและจัดการกับทราฟฟิกตั้งแต่ที่สำนักงานสาขาให้ออกสู่อินเทอร์เน็ตโดยตรง ช่วยลดปริมาณ Bandwidth บนเครือข่าย MPLS และช่วยลดความจำเป็นในการติดตั้ง Firewall ลง ซึ่งนอกจากจะช่วยประหยัดค่าใช้จ่ายแล้ว ยังช่วยให้ผู้ดูแลระบบสามารถบริหารจัดการทราฟฟิกทั้งหมดจากศูนย์กลางได้อีกด้วย

2. Micro-segmentation ทราฟฟิก WAN และสำนักงานสาขาตามโมเดล Zero Trust

SD-WAN ช่วยสนับสนุนการทำ Micro-segmentation ทราฟฟิก WAN และทราฟฟิกของสำนักงานสาขา ก่อให้เกิดการแบ่งส่วนและประเภทของทราฟฟิกตามโมเดล Zero-trust Networking ซึ่งช่วยให้ผู้ดูแลระบบสามารถกำหนด Policies สำหรับทราฟฟิกแต่ละประเภทได้ตั้งแต่ที่สำนักงานสาขา เช่น ทราฟฟิกข้อมูลบัตรเครดิตตามมาตรฐาน PCI-DSS, ทราฟฟิกอุปกรณ์ IoT, ทราฟฟิกเว็บแอปพลิเคชันภายใน หรือทราฟฟิกแอปพลิเคชันภายนอก เป็นต้น ที่สำคัญคือ การแบ่งแยกประเภทของทราฟฟิกนี้ช่วยลดผลกระทบเมื่อเกิดเหตุการณ์ Data Breach รวมไปถึงกักกันความเสียหายให้อยู่แต่เฉพาะทราฟฟิกบางส่วนได้

3. บริหารจัดการจากศูนย์กลาง ลดความผิดพลาดการตั้งค่าอุปกรณ์จำนวนมาก

ระบบเครือข่ายแบบดั้งเดิมที่ใช้กันอยู่นั้น Router และ Firewall จะถูกตั้งค่าผ่าน CLI เมื่อมีการขยายสาขา ติดตั้งอุปกรณ์ใหม่ หรือแก้ไขโครงสร้างระบบเครือข่ายเดิม ผู้ดูแลระบบจำเป็นต้องเข้าไปตั้งค่าอุปกรณ์ที่ละเครื่องๆ ด้วยตนเอง การทำเช่นนี้หลายๆ ครั้ง ถึงแม้ว่าดูเผินๆ ทุกอุปกรณ์อาจมีการตั้งค่าแบบเดียวกัน แต่จริงๆ แล้วมักจะมีจุดเล็กจุดน้อยที่ทำให้การตั้งค่าของแต่ละอุปกรณ์เริ่มผิดเพี้ยนไปจากแนวทางเดิม ก่อให้เกิดความสับสนและการทำงานที่ผิดพลาดได้ง่าย

อย่างไรก็ตาม เทคโนโลยี SD-WAN จะใช้วิธีบริหารจัดการอุปกรณ์จากศูนย์กลาง ผู้ดูแลระบบสามารถตั้งค่า Policies ผ่านหน้า GUI และบังคับใช้ไปยังทุกอุปกรณ์ในระบบเครือข่ายได้โดยอัตโนมัติ โดยที่ไม่จำเป็นต้องเสียเวลาลงไปตั้งค่าอุปกรณ์ทีละเครื่องแต่อย่างใด ที่สำคัญคือช่วยลดความผิดพลาดในการตั้งค่าด้วยตนเองและทำให้มั่นใจว่าทุกอุปกรณ์มีการตั้งค่าตรงตาม Policies และข้อบังคับต่างๆ ที่องค์กรได้กำหนดไว้

“โดยสรุปแล้ว ถ้าคุณถูกถามว่า ‘SD-WAN ของคุณมั่นคงปลอดภัยแค่ไหน’ มันไม่ได้วัดกันที่จำนวนฟีเจอร์ของ UTM หรือจำนวนการโจมตีที่อุปกรณ์ SD-WAN สามารถบล็อกได้ แต่เป็นเรื่องของ [1] การที่โซลูชันช่วยสนับสนุนให้องค์กรสามารถจัดการกับระบบรักษาความมั่นคงปลอดภัยของทั้งสาขา ระบบ Cloud และ Data Center ตามความต้องการของแอปพลิเคชันได้อย่างลงตัว [2] การรองรับการทำ Segmentation ของทราฟฟิกบนระบบเครือข่าย และ [3] การที่โซลูชันสามารถนำ Policies ด้านเครือข่ายและความมั่นคงปลอดภัยไปบังคับใช้บนเครือข่าย WAN โดยไม่มีข้อผิดพลาด”Hughes สรุปเรื่องการนำ SD-WAN มาสนับสนุนสถาปัตยกรรมด้านความมั่นคงปลอดภัยขององค์กร

David Hughes ผู้ก่อตั้งและ CEO ของ Silver Peak

ที่มา: http://blog.silver-peak.com/new-sdwan-edge-enables-improved-security-architectures


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

พบบั๊กบน Facebook API รูปภาพของผู้ใช้กว่า 6.8 ล้านคนเสี่ยงหลุดสู่ภายนอก

Facebook ออกแถลงการณ์ พบบั๊กบน Application Programming Interface (API) สำหรับรูปภาพบนแพลตฟอร์มโซเชียลมีเดียของตน ซึ่งอาจทำให้บุคคลที่สามสามารถเข้าถึงรูปภาพของผู้ใช้กว่า 6,800,000 คนเกินกว่าที่กำหนดไว้ได้โดยไม่ได้รับอนุญาต

สหรัฐฯ เตือนประชาชนอยู่ในความสงบ หลังพบอีเมลสแปมขู่วางระเบิดทั่วสหรัฐฯ

ตำรวจและหน่วยงานบังคับใช้กฎหมายที่เกี่ยวข้องของสหรัฐฯ ออกมาแจ้งเตือนให้ประชาชนอยู่ในความสงบ หลังพบแคมเปญอีเมลสแปมขู่วางระเบิดแพร่กระจายในหลายเมือง ไม่ว่าจะเป็นนิวยอร์ก ชิคาโก ดีทรอยต์ ซาน ฟรานซิสโก และวอชิงตัน หากไม่ยอมจ่ายค่าไถ่ $20,000 (ประมาณ 650,000 บาท) ส่งผลให้เกิดความวุ่นวายและการอพยพหนีออกจากอาคารไปทั่วทั้งสหรัฐฯ