3 แนวทางการใช้ SD-WAN เพื่อออกแบบสถาปัตยกรรมระบบเครือข่ายอย่างมั่นคงปลอดภัย

David Hughes ผู้ก่อตั้งและ CEO ของ Silver Peak ออกมาให้คำแนะนำถึงวิธีการนำเทคโนโลยี SD-WAN เข้ามาใช้เสริมความแข็งแกร่งให้แก่สถาปัตยกรรมระบบเครือข่ายขององค์กร เพื่อให้ทั้งสำนักงานใหญ่และสำนักงานสาขาสามารถเชื่อมต่อหากันได้อย่างมั่นคงปลอดภัย รวมไปถึงการเข้าถึงระบบ Cloud ได้อย่างรวดเร็ว

Hughes ได้แนะนำแนวทางการนำเทคโนโลยี SD-WAN เข้ามาใช้เอื้อประโยชน์ต่อการออกแบบสถาปัตยกรรมให้มั่นคงปลอดภัย 3 ข้อ ดังนี้

1. จำแนกและควบคุมการใช้แอปพลิเคชันได้ตั้งแต่ที่สำนักงานสาขา

ในยุคดิจิทัลนี้ หลายองค์กรเริ่มนำบริการ Software as a Service (SaaS) เข้ามาใช้ ส่งผลให้ปริมาณข้อมูลและทราฟฟิกจากแอปพลิเคชันต่างๆ ระหว่างสำนักงานสาขาและอินเทอร์เน็ตมีจำนวนเพิ่มสูงขึ้น ซึ่งก่อนหน้านี้ องค์กรจำเป็นต้องเลือกระหว่างส่งทราฟฟิกที่ออกสู่อินเทอร์เน็ตทั้งหมดมาตรวจสอบที่ Firewall กลางของสำนักงานใหญ่ หรือไม่ก็ติดตั้ง Firewall ขนาดเล็กที่ทุกสำนักงานสาขาเพื่อควบคุมการเชื่อมต่อทั้งหมด ส่งผลให้เสียค่าใช้จ่ายลิงค์ MPLS และค่าติดตั้ง รวมไปถึงบำรุงรักษาอุปกรณ์เป็นจำนวนมหาศาล

ด้วยการมาถึงของเทคโนโลยี SD-WAN ช่วยให้องค์กรสามารถกำหนด Policies เพื่อจำแนกและควบคุมการใช้แอปพลิเคชันต่างๆ ได้ทันทีตั้งแต่ที่สำนักงานสาขา เช่น

  • แยกทราฟฟิกที่มาจาก Guest Wi-Fi และแอปพลิเคชัน SaaS ที่องค์กรใช้งานให้ออกสู่อินเทอร์เน็ตโดยตรงจากสำนักงานสาขา
  • เปลี่ยนเส้นทางทราฟฟิกจากการใช้แอปพลิเคชันส่วนบุคคลให้ไปตรวจสอบที่ Cloud-based Firewall Service (หรือ Secure Web Gateway) ก่อนออกสู่อินเทอร์เน็ต
  • นำทราฟฟิกที่ต้องสงสัยหรือไม่ทราบข้อมูลแน่ชัดเข้าไปตรวจสอบยังระบบรักษาความมั่นคงปลอดภัยภายใน Data Center ของสำนักงานใหญ่

การใช้เทคโนโลยี SD-WAN สำหรับจำแนกและจัดการกับทราฟฟิกตั้งแต่ที่สำนักงานสาขาให้ออกสู่อินเทอร์เน็ตโดยตรง ช่วยลดปริมาณ Bandwidth บนเครือข่าย MPLS และช่วยลดความจำเป็นในการติดตั้ง Firewall ลง ซึ่งนอกจากจะช่วยประหยัดค่าใช้จ่ายแล้ว ยังช่วยให้ผู้ดูแลระบบสามารถบริหารจัดการทราฟฟิกทั้งหมดจากศูนย์กลางได้อีกด้วย

2. Micro-segmentation ทราฟฟิก WAN และสำนักงานสาขาตามโมเดล Zero Trust

SD-WAN ช่วยสนับสนุนการทำ Micro-segmentation ทราฟฟิก WAN และทราฟฟิกของสำนักงานสาขา ก่อให้เกิดการแบ่งส่วนและประเภทของทราฟฟิกตามโมเดล Zero-trust Networking ซึ่งช่วยให้ผู้ดูแลระบบสามารถกำหนด Policies สำหรับทราฟฟิกแต่ละประเภทได้ตั้งแต่ที่สำนักงานสาขา เช่น ทราฟฟิกข้อมูลบัตรเครดิตตามมาตรฐาน PCI-DSS, ทราฟฟิกอุปกรณ์ IoT, ทราฟฟิกเว็บแอปพลิเคชันภายใน หรือทราฟฟิกแอปพลิเคชันภายนอก เป็นต้น ที่สำคัญคือ การแบ่งแยกประเภทของทราฟฟิกนี้ช่วยลดผลกระทบเมื่อเกิดเหตุการณ์ Data Breach รวมไปถึงกักกันความเสียหายให้อยู่แต่เฉพาะทราฟฟิกบางส่วนได้

3. บริหารจัดการจากศูนย์กลาง ลดความผิดพลาดการตั้งค่าอุปกรณ์จำนวนมาก

ระบบเครือข่ายแบบดั้งเดิมที่ใช้กันอยู่นั้น Router และ Firewall จะถูกตั้งค่าผ่าน CLI เมื่อมีการขยายสาขา ติดตั้งอุปกรณ์ใหม่ หรือแก้ไขโครงสร้างระบบเครือข่ายเดิม ผู้ดูแลระบบจำเป็นต้องเข้าไปตั้งค่าอุปกรณ์ที่ละเครื่องๆ ด้วยตนเอง การทำเช่นนี้หลายๆ ครั้ง ถึงแม้ว่าดูเผินๆ ทุกอุปกรณ์อาจมีการตั้งค่าแบบเดียวกัน แต่จริงๆ แล้วมักจะมีจุดเล็กจุดน้อยที่ทำให้การตั้งค่าของแต่ละอุปกรณ์เริ่มผิดเพี้ยนไปจากแนวทางเดิม ก่อให้เกิดความสับสนและการทำงานที่ผิดพลาดได้ง่าย

อย่างไรก็ตาม เทคโนโลยี SD-WAN จะใช้วิธีบริหารจัดการอุปกรณ์จากศูนย์กลาง ผู้ดูแลระบบสามารถตั้งค่า Policies ผ่านหน้า GUI และบังคับใช้ไปยังทุกอุปกรณ์ในระบบเครือข่ายได้โดยอัตโนมัติ โดยที่ไม่จำเป็นต้องเสียเวลาลงไปตั้งค่าอุปกรณ์ทีละเครื่องแต่อย่างใด ที่สำคัญคือช่วยลดความผิดพลาดในการตั้งค่าด้วยตนเองและทำให้มั่นใจว่าทุกอุปกรณ์มีการตั้งค่าตรงตาม Policies และข้อบังคับต่างๆ ที่องค์กรได้กำหนดไว้

“โดยสรุปแล้ว ถ้าคุณถูกถามว่า ‘SD-WAN ของคุณมั่นคงปลอดภัยแค่ไหน’ มันไม่ได้วัดกันที่จำนวนฟีเจอร์ของ UTM หรือจำนวนการโจมตีที่อุปกรณ์ SD-WAN สามารถบล็อกได้ แต่เป็นเรื่องของ [1] การที่โซลูชันช่วยสนับสนุนให้องค์กรสามารถจัดการกับระบบรักษาความมั่นคงปลอดภัยของทั้งสาขา ระบบ Cloud และ Data Center ตามความต้องการของแอปพลิเคชันได้อย่างลงตัว [2] การรองรับการทำ Segmentation ของทราฟฟิกบนระบบเครือข่าย และ [3] การที่โซลูชันสามารถนำ Policies ด้านเครือข่ายและความมั่นคงปลอดภัยไปบังคับใช้บนเครือข่าย WAN โดยไม่มีข้อผิดพลาด”Hughes สรุปเรื่องการนำ SD-WAN มาสนับสนุนสถาปัตยกรรมด้านความมั่นคงปลอดภัยขององค์กร

David Hughes ผู้ก่อตั้งและ CEO ของ Silver Peak

ที่มา: http://blog.silver-peak.com/new-sdwan-edge-enables-improved-security-architectures



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

OpenBSD ปิดใช้งาน Hyper-Threading ของชิป Intel เหตุด้านความมั่นคงปลอดภัย

OpenBSD ประกาศวันนี้ว่ามีแผนยกเลิกการรองรับการทำงานแบบ Hyper-Threading ของชิปประมวลผล Intel เพื่อแก้ปัญหาด้านความมั่นคงปลอดภัยเพราะเชื่อว่าอาจจะมี Bug ระดับ Spectre โผล่ตามมาอีก

[PR] โปรเอ็น อินเทอร์เน็ต ขานรับนโยบายภาครัฐ จัดงานสัมมนาเรื่อง ‘Big Data เป้าหมายและความคาดหวังของรัฐบาล ต่อ 20 กระทรวง 200 กรม’

บริษัท โปรอิมเมจ เอ็นจิเนียริ่ง แอนด์ คอมมูนิเคชั่น จำกัด หรือ โปรเอ็น อินเทอร์เน็ต ผู้ให้บริการอินเทอร์เน็ต และผู้ให้บริการศูนย์ข้อมูลคอมพิวเตอร์ จัดสัมมนาเรื่อง ‘Big Data เป้าหมายและความคาดหวังของรัฐบาล …