2021-09-23
Citrix
SD-WAN與安全融合:新常態下企業的當務之急

原文出自Citrix

高可用性和安全訪問已經成為全球企業的一個關鍵優先事項。在數位轉型的背景下,混合應用程式——在地端資料中心,在 IaaS 雲中的應用程式,以及作為 SaaS 應用程式——是數位業務的處理方式,也是生產性工作的完成方式,以及客戶和合作夥伴與企業溝通和接觸的方式。
使用者的數位體驗——作為確保和維護應用程式可用性的一種手段,正在日益普及。

應用程式和工作負載的存儲日益分散,它們不僅駐留在本地資料中心中,而且還駐留在 IaaS 雲(如AWS、微軟 Azure 和 Google Cloud)和 SaaS 應用程式(如Office 365、Salesforce 和 Workday)中。儘管有些企業遲遲不承認這一點,但工作負載的分散性質實際上已重新定義了網路和安全要求。同樣,現在的用戶甚至比他們所存取的應用程式更加分散。參加 IDC 2020 年12 月的《企業聯網:新常態的興起調查》的企業受訪者稱,在 COVID-19 爆發之前,他們近 38% 的員工要麼工作地點靈活(在家、辦公室、遠端),要麼完全遠端工作。到 2020 年 12 月,在 COVID-19 疫情蔓延期間,這一比例飆升至約 72%。然而,即使在疫情後的新常態中,企業受訪者預計,約 53%的員工將採用混合辦公模式。混合雲應用程式和靈活、混合辦公的員工隊伍結合在一起後,給企業IT部門帶來了巨大的挑戰,因為他們要考慮如何優化應用程式訪問並保障安全,同時還要改善使用者數位體驗。

事實上,隨著企業越來越熟悉將其混合雲和多雲戰略付諸實施過程中所固有的挑戰,他們更充分地認識到其網路的重要性,並瞭解網路如何在促進和增強應用程式體驗和數位參與方面發揮著不可或缺的作用。更重要的是,人們越來越認識到,NetOps 和SecOps 的融合越來越普遍。在 IDC 的《企業聯網:新常態的興起調查》中,企業受訪者將“更集成的網路和安全管理”列為 COVID-19 推動的一項網路營運變革,這也將在其組織中長期存在。


永久性變化:集成的網路和安全管理引領潮流

來源:IDC《企業聯網:新常態的興起調查》,2020年12月

大多數企業或組織都有多個分支機構和遠端網站,其中包括在家工作的使用者,無論客戶的空間與時間,都需要保障他們能隨時隨地、可靠安全地接入存取分佈在本地資料中心、SaaS 和 IaaS 雲中的應用程式。在數位轉型時代,應用程式是企業的命脈,正日益成為組織處理業務、與客戶及其他利益相關者接觸的手段。網路,包括延伸到分支機構和遠端網站的廣域網路,必須能夠支援和優化應用程式性能和體驗,同時兼顧安全和管控。

最初,SD-WAN 的出現是為了與雲的應用程式以及地端資料中心中應用程式進行最佳連接。傳統的企業廣域網路主要是為了照顧只駐留在資料中心防火牆後面的應用程式的流量模式而建構的。因此,廣域網路不是為雲計算而設計的,也不是為了促進數位轉型。相反,傳統廣域網路的設計和建構是為了支援分支機構到資料中心和分支機構到分支機構的流量,而不是為了支援日益重要的分支機構到雲的應用程式流量。此外,傳統的廣域網路很難滿足與分散式應用程式和雲中應用程式相關的安全要求。

隨著雲進一步被企業接納,並且大量多雲的採用趨勢,要求 SD-WAN 進一步發展。全功能的 SD-WAN 產品必須能夠提供更廣泛的自動化智慧、可見性和全面安全性。這些都是企業在重新考慮雲時代的廣域網路需求時希望得到解決的挑戰。

IDC 的研究發現,各企業或組織認為他們最亟待解決的三個廣域網路挑戰是:處理IaaS 和 SaaS 的安全要求,降低廣域網路的複雜性,以及實現一致的多雲應用程式使用者體驗。

廣域網路的現代化不僅必須要滿足自動化的、基於策略的應用程式路由的需要,還要解決分支機構直接接入網路以及各種傳輸網路和服務上的流量模式變化所帶來的安全問題。在分支機構,也許比企業網路中的任何其他地方更需要網路和安全的融合,以支援日益重要的應用程式的可用性和完整性。

IT 營運也需要現代化,而 SD-WAN 技術可以為這一變化奠定關鍵的基礎。今天,廣域網路上的網路故障排除和補救工作繁瑣而困難,涉及人工作業,複雜程度很高。我們所需要的是對廣域網路營運採取積極主動的方法,利用遙測和普遍的可見性來獲得可操作的洞察力,讓廣域網路始終可用於業務關鍵型應用程式並保障安全。

雲交付的網路和安全平臺可以在簡化這些挑戰方面發揮重要作用,為營運商提供便利和敏捷性,並同時保留安全性或功能豐富性。企業越來越多地通過雲交付和雲管理的產品,推動廣域網路和分支機構的網路和安全服務融合,其中的驅動因素包括以下:

  • 提高員工生產力,優化關鍵應用程式的接入存取,接入存取,得到綜合全面的安全保障
  • 必須增強消費者/客戶數位接觸及更令人滿意的體驗
  • 要求更快地進入市場和投入服務,網路快速適應業務需求的能力,包括更快地推出新服務和更快地配置分支機構
  • 靈活IT維運,其中包括以下內容: 

a. 統一配置、全域視覺化、自動擴展和更快的故障排除

b. 與情境相關的可操作洞察力

c. 能夠主動發現和阻止所有安全威脅(已知和未知的威脅)

d. 通過更簡單、集成的工作流消除孤島式的營運

e. 更簡單的、跨IT領域融合管理,縮短了學習曲線,降低了採購和管理多種零散工具的成本在各處採用

  • 一致策略的必要性:
a. 網路及應用、位置和設備的安全性原則得到一致體驗

b. 始終強調降低營運支出和資本支出

一個集成的、智慧的網路和安全架構能夠滿足所有這些驅動因素和要求。

通過智慧架構感知和識別整個廣域網路或安全雲中發生的即時中斷和故障,進而可以通過最佳可用路徑自動重定向流量,企業可以確保 SaaS、IaaS 和本地應用程式,以及網路和 PaaS 服務隨時保持彈性和可用性。例如,如果洛杉磯的一個安全網點(POP)發生故障,任何融合網路和安全架構的控制平面必須能夠自動將流量重定向到最近的可用安全網點,也許位於舊金山或拉斯維加斯,以確保用戶體驗不受影響。

如果使用者確實提交了與應用程式性能問題有關的故障,IT團隊應該能夠找出根本原因並迅速解決問題,而不必在各種零散的工具和控制台之間來回定位故障。相反,顯示了與廣域網路和雲交付的安全資源有關的、可操作的綜合指標的統一儀錶盤將幫助IT團隊迅速解決問題。通過在網路和安全方面具有綜合視覺化的單一架構,企業將完全能夠減少平均解決問題的時間(MTTR),改善用戶體驗,並降低基礎架構的擁有權總成本。

 

Citrix 如何滿足安全與 SD-WAN 融合的需求 

為了應對上述挑戰,Citrix 推出整合式產品組合。Citrix 解決方案開發的目的就是為了滿足不斷擴大混合和多雲 IT 戰略企業不斷發展的需求,這些企業在接納混合和多雲戰略的同時努力提供優化和安全的應用程式體驗。

Citrix 的統一解決方案為企業客戶提供雲交付和雲管理的 SD-WAN 和廣域網路安全。為了促進 SD-WAN 與安全的融合,Citrix SD-WAN 還配有兩種雲交付的安全服務:Citrix Secure Internet Access (SIA) 和 Secure Workspace Access (SWA). 在接下來的章節中,將對每一項安全服務進行簡要描述,然後對它們的整體功能和優點進行總結。  

 

Citrix SD-WAN 

Citrix SD-WAN 具有應用程式感知功能,旨在滿足各種網路需求,以實現對本地、SaaS 和 IaaS 應用程式的可靠和安全連接。應用程式優化特性包括毫秒級故障切換、包級優先順序和雙端 QoS。通過與 Azure、AWS 和 GCP 雲的直接連接,以及對邊緣設備的零接觸配置(ZTP),實現了靈活的部署,並支援供家庭工作者使用的 LT E和Wi-Fi連接。Citrix SD-WAN 旨在提供以下收益:

  • 增強員工數位體驗。與 Citrix Workspace 的集成有助於增強用戶體驗,並利用Citrix HDX 技術的性能改進和視覺化,實現網站、會話和用戶級報告以及更快的故障排除。集成的管理工作流簡化了 VPN 遷移後的部署和配置。
  • 簡化向多雲的過渡。SD-WAN 和私人網路路徑的自動化部署有助於客戶更快地實現多雲架構。Citrix 的專網覆蓋服務為數以千計的SaaS、UCaaS 和雲交換提供冗餘和彈性的高性能連接。
  • 安全存取。通過使用集成防火牆來防範來自分支機構的安全威脅,加快安全接入服務邊緣的進程,有助於實現安全性和SD-WAN基礎架構的整合。
Citrix Secure Internet Access 

Citrix Secure Internet Access(SIA)通過雲交付的安全堆疊保護分支機構和遠端使用者免受網路或 SaaS 流量中的威脅,該安全堆疊將 SWG、CASB、資料丟失預防(DLP)、防火牆、惡意軟體保護和沙箱功能統一起來。SIA 作為雲服務交付,旨在促進所有用戶和地點安全性原則的一致性。行動使用者和分支機構使用者——包括居家辦公的使用者——在虛擬環境和地端桌面上獲得了相同標準的保護。此外,以下優點有助於提高營運敏捷性,企業對安全產品的敏捷性的需求日益增長,同時希望兼顧敏捷性和控制權:
  • Citrix SIA不需要任何硬體管理。端點和SIA管理之間的連接可以通過多種方法建立,推薦的選項是雲連接器代理和 Citrix SD-WAN。雲連接器代理支援眾多作業系統,包括 MacOS、Windows、Chrome OS、Linux、Android 和 iOS。尤其是正在經歷或打算合併和收購的企業或組織中,或者在放寬端點策略以支援員工偏好,從而獲得最佳生產力的企業或組織中,全面的作業系統支援非常重要。
  • 安全補丁是自動安裝的。借助來自10多個威脅引擎的更新,SIA 能夠保護最終用戶免受最新威脅。可疑檔被引導到雲沙箱環境中進行誘導執行和行為識別。
  • Citrix SIA 在基於實例的架構上構建。因此,每個客戶的資料平面是分開的。用於解密流量的私密金鑰是專屬於客戶的。為每個客戶提供專有 IP,確保與上游的雲服務集成更容易。
  • 通過範本的報告和即時儀表板,可以獲得內置的視覺化。對於利用協力廠商SIEM供應商的團隊來說,可以在不需要編排和管理單獨的日誌流服務的情況下匯出日誌資料。


Citrix Secure Workspace Access 

Citrix Secure Workspace Access(SWA)是一個雲原生產品,用於簡單和安全地存取內網應用程式。SWA 提供情境式存取,內置多因子身份驗證,還有基於推送的通知和細細微性安全控制。以下優點有助於提高營運敏捷性,企業對安全產品的敏捷性的需求日益增長,同時希望兼顧敏捷性和控制權:
  • 不通過VPN方式存取內網應用程式。通過用零信任存取來補充或取代傳統的 VPN解決方案,企業 IT 團隊可以為最終用戶提供安全和無摩擦的應用程式訪問體驗。
  • 資料和應用程式保護。Citrix SWA 提供諸如浮水印和剪貼板以及下載存取控制等控制措施,以防止敏感資訊的洩漏。它還能防範鍵盤側錄和螢幕擷取惡意軟體。
  • 情境式存取策略與Radius部署的集成。Citrix SWA 允許情境式策略定義用戶何時以及如何存取應用程式和資料。
  • 遠端瀏覽器隔離。當使用者需要存取未知或不安全的網路和 SaaS 內容時,可以動態地啟動隔離瀏覽器。
  • 從 SSO 到 SaaS 應用程式的無縫使用者體驗。客戶可以通過 Citrix Workspace 使用者介面,無縫、統一地存取 SaaS 應用程式。
  • 用戶活動分析。Citrix SWA 中提供了對網路和 SaaS 活動的監控和合規性管理,並可通過 Citrix Analytics for Security 進一步擴展。

 

將Citrix SD-WAN 與雲交付安全集成後的綜合優勢

除了Citrix SD-WAN、SIA 和 SWA 分別提供的好處之外,這三者在集成後還能為客戶提供額外的好處,如以下所列。

無需硬體或手動更新軟體的綜合安全性

所有的功能都包括在內——SWG、CASB、DLP、FW、沙箱和 ZTNA——以及額外的功能,如 SIA 的基於實例的架構、SWA 的防螢幕擷取和防剪貼/複製/貼上。
由於 SIA 和 SWA 由雲交付,客戶無需管理硬體。隨著更多應用程式,SSL/TLS 流量,更多用戶的增加,安全性將始終以彈性擴展的方式實現,並且沒有硬體設定方面的延遲。此外,不需要對軟體進行更新來防範新的威脅。取而代之的是,更新是由 10 多個威脅防護引擎自動進行的。
鑒於不需要回傳,應用程式的性能和回應性得以保持。Citrix 安全架構本身是單通道的,每個 SSL/TLS 資料包由所有安全引擎同時解密和檢查,而不需要與傳統服務鏈解決方案相關的連續處理。這樣提高了性能。

此外,SD-WAN 解決方案通過區分優先順序來提高性能,增加了網路和安全方面的架構彈性,同時為 Citrix 特定的應用程式流量優化了 HDX 等協定。

更容易和更快的管理(採購、實施、故障排除、擴展)

作為集成解決方案的唯一供應商,Citrix 為採購、實施、故障排除和擴展提供全面支援。Citrix 產品之間的許可一致性簡化了採購工作。通過 Citrix Cloud Orchestrator 對帶有 Citrix SD-WAN 的 SIA 進行 Day 0 到 Day 2 的自動配置,在週期的每個階段都能帶來好處,提供了自動化、控制和視覺化。詳述如下:

  • Day 0:NetOps 和 SecOps 團隊借助自動配置,可以在分支地點和 Citrix SIA 之間快速啟用隧道設置。主要和次要(備份)網點(POP)建立雙重彈性雙通道,在發生中斷的情況下,通過持續監視和基於事件的容錯移轉提供支援。
  • Day 1和 Day 2:提供了對分支機構、入點和隧道的單一視圖,並且 NetOps 和SecOps 團隊還獲得了細細微性控制,以根據需要分配頻寬,確保關鍵應用程式獲得必要的網路資源,從而維持數位體驗和參與度。綜合報告和視覺化也有助於消除可能影響可用性的盲點。

對於混合環境中的分散式用戶,可以在分支機構或家庭中部署帶有SD-WAN設備的雲交付安全。 

 

機遇與挑戰

改變思維方式是企業面臨的一個重大挑戰,這種思維方式一直傾向於將基礎架構和技術領域以及與之相伴的營運模式視為獨立和彼此不相連的孤島。隨著應用程式在雲時代佔據主導地位,並越來越多地決定著企業或組織在數位轉型中的成敗,各企業或組織必須進行重組,以確保基礎架構和營運流程更好地與應用程式需求和業務成果保持一致。這意味著企業必須更清楚地認識到,跨廣域網路和分支機構的網路和安全服務的集成管理有什麼威力,以及會帶來哪些價值。

同樣,企業將需要對許多零散的網路和安全工具進行評估,並考慮它們在當前情況下是否仍然具有實際效用。每種工具都有資本支出和營運支出,而在任何特定工具的生命週期內,後一支出往往超過前一支出。然而,許多 IT 團隊繼續使用不同的工具,因為他們熟悉這些工具,也因為他們曾經用這些工具解決了某一問題。但現在,擁有多種工具會增加複雜性,阻礙敏捷性,甚至可能無法解決在雲時代突顯出來的問題。如果企業要成功地使用工具,並從網路和安全服務的融合管理和營運中獲得全面的效益,就必須克服對熟悉事物的依戀,克服不願改變的心理。

結論:不可否認的是,應用程式已經成為企業數位轉型的中心。現在所有的基礎架構都圍繞應用演進,並且其意義和價值源於其保障應用程式安全交付的能力。由於應用程式在雲時代變得越來越分散——有些仍然駐留在本地資料中心,但越來越多的被用作 SaaS 應用程式或 IaaS 工作負載——混合 IT 環境不僅需要將網路基礎架構現代化,還需要將網路和安全營運現代化。無論是傳統的體系結構和基礎架構方法,還是孤立的營運模式,都無法滿足這些需求。而現在需要的是一種以雲為中心的營運模式,在這種模式下,NetOps 和 SecOps 可以聯手協作,使用集成管理平臺來實現敏捷性和靈活性,為實際的業務成果做出貢獻,同時不用在控制方面作出任何妥協。

在這個後疫情時期,企業認識到集成的網路和安全管理具有長期價值,可以幫助企業更快地發展並實現業務韌性。Citrix 已經充分準備好幫助企業沿著這一方向前進發揮重大作用。