在跨國企業的IT環境當中,如何有效提升分公司、駐外辦公室的網路防護,也成為企業資安的重大議題,2016年第一銀行ATM遭到駭客盜領吐鈔的事件,起因據傳是英國倫敦分行電話錄音主機受到入侵,而成為對方攻擊內部網路的跳板,之後滲透負責更新派送暨監控的應用程式伺服器,接著,再透過這個管道,發布帶有控制指令的檔案到指定的ATM設備。

該如何強化分公司網路安全,但又需兼顧簡易部署與集中管理等需求?市面上出現了軟體定義式廣域網路(SD-WAN)的解決方案,HPE Aruba也是其中一家可供應此類產品的供應商,早在2015年,他們就開始經營關於分公司網路環境的解決方案,而在今年6月,HPE Aruba宣布推出Software-Defined Branch(SD-Branch),當中整合了Aruba自家的SD-WAN,以及無線網路基地臺、網路交換器,協助企業管理當地的多種IT應用,例如,對於雲端服務、物聯網與行動應用的存取。

Aruba SD-Branch包含4種主要元件,分別是雲端管理平臺Aruba Central(圖中最上層的部份),以及分公司網路閘道(Branch Gateway)、分公司無線區域網路與有線區域網路(Access Point、Switches)、總部端閘道(Headend Gateway),同時,在集中化政策控管的部份,這套解決方案也囊括了Aruba ClearPass的平臺。

基本上,這套SD-Branch包含了兩大產品線,分別是閘道設備Aruba Branch Gateway,以及雲端管理平臺Aruba Central,以便在個別的單點環境當中,建置SD-WAN、有線網路與無線網路的連線服務,並且具備政策強制實施的控管能力,藉此提供安全、簡便、可橫向擴展規模的網路存取環境,能夠減少大規模部署相關設備的費用,以及降低建置廣域網路的成本。

這同樣是Aruba SD-Branch的架構,而且突顯了分公司網路閘道(Branch Gateway),以及總部端閘道(Headend Gateway)之間的關係,以及各自對應的設備機型。
圖中的上半部是公司總部所在的環境,閘道位於這裡的資料中心,同時,也設置了ClearPass的政策管理平臺,並且扮演VPN Concentrator的角色,可集中統整與管理所有的VPN連線。
下半部是分公司、駐外辦公室的環境,對外連線由分公司網路閘道負責,可同時連接網際網路與MPLS專線;對內,分公司網路閘道則與Aruba的Wi-Fi基地臺、交換器連接。

 

對於分公司網路環境部署需求,Aruba Central也強化了SD-WAN這類應用層面的相關支援,提供自動化的組態設定、細緻的流量透視,以及易於使用的障礙排除工具。

舉例來說,透過Aruba的零接觸式網路建置技術(Zero Touch Provisioning,ZTP)與操作更為直覺的行動App,即可提供行動裝置執行自動登錄的程序,如此一來,就算是沒有技術背景的員工,也能在分支辦公室享有即插即用的上網體驗,例如,當地人員可透過手機App,掃描基地臺、交換器或Branch Gateway設備標示的條碼,來進行相關的註冊作業,即可讓設備啟用,減少部署時間,而不需要派遣專人進駐當地,僅僅只是為了幫忙當地使用者手動設定網路組態的作業,而能省下大量時間和金錢。

如果使用Aruba SD-Branch的解決方案,企業想要將分公司的閘道、基地臺、交換器等網路設備,寄送到當地之前,IT人員可以透過Aruba Central Install Manager的操作介面,針對每個部署區域,預先指明特定使用者來進行設備上線登錄的程序,這麼一來,可以限制具有設備存取權限的人員,而這些安裝者只能看見他們受到指派位置的相關設定。

                                  

當地負責安裝這些網路設備的人員,一旦收到這些機器,只需插上電源、網際網路連線,然後透過手機安裝的Aruba Installer行動App,掃描設備外觀張貼的條碼,即可開始進行註冊步驟,這些裝置隨後會自動連至總部下載統一產生的組態,不需派人至當地逐臺設定。

此外,能夠同時橫跨區域網路與廣域網路,綜觀使用者與裝置的網路活動脈絡,也是Aruba的強項,而這套SD-Branch解決方案也整合了Aruba ClearPass,透過當中的政策管理機制,能夠針對不同層級網路與應用程式的存取,提供簡易與自動化的控管原則施行方式。同時,每個分支辦公室內部網路流量全都轉送到Aruba Branch Gateway,而在這個位置可以透過設備內建的狀態檢視防火牆(stateful firewall)執行深度封包檢測的作業,而對於IT部門的人員而言,可以藉由這樣的網路傳輸架構,輕易地針對特定裝置類型指派對應的控管政策,將它們的流量區隔到應用層的部份來處理。

若以實際的應用場景來看,SD-Branch若是用於零售服務業的環境,能夠限制店內網路攝影機遭到惡意使用,或是指定POS設備流量所能傳送出去的範圍。

擔任分公司網路閘道的產品,主要是Aruba 7000系列,有5種機型可選(7005、7008、7010、7024、7030),網路防火牆的吞吐量為2 Gbps、4 Gbps、8 Gbps,可控管網路第4層(L4)到第7層(L7),同時內建路由器、廣域網路壓縮、網頁過濾、QoS、IPsec VPN,也提供透視網路應用程式活動與分析功能。

企業如果想要解決分支網路邊界之外的安全弱點問題,SD-Branch可延伸到Aruba 360 Security Exchange技術合作夥伴計畫的廠商,提供額外整合防護。這項計畫的成員仍在持續增加當中,例如,雲端安全服務業者Zscaler,以及次世代防火牆廠商Check Point和Palo Alto Networks,都是最近加入與提出新整合作法的資安公司,它們可提供基於雲端服務的網路防火牆,以及進階威脅防護,確保企業透過網際網路所傳送的敏感流量都會受到保護。

而在網路管理的層面來看,Aruba Branch Gateway具備內容感知能力,能夠基於使用者角色的差異,針對區域網路與廣域網路存取,執行精細控管,提供更強大的網路服務品質的管理能力(QoS),兼顧前端使用者與後端IT維運人員的簡易操作需求。

值得一提的是,Aruba Branch Gateway也提供基於政策的路由處理,以及動態路徑選擇等特色。系統可運用相關情境下的資料與內容感知程度,並且考量到使用者、裝置、群組從屬關係等因素,以便針對跨越廣域網路流量傳輸,提供動態指引機制。

在這樣的功能當中,以零售業的環境而言,可以調高POS系統與視訊流量傳輸的優先順序,其次才是訪客的網路存取,而在飯店業的環境,可以設定為優先傳輸涉及客戶服務的語音流量。

Aruba SD-Branch具有動態路徑指引(Dynamic Path Steering,DPS),對於位於分公司網路環境的連網設備,可透過當地的閘道,動態、即時選擇上行(Upstream)的路徑。
企業可以根據不同類型的流量,針對傳輸效能來建立對應的廣域網路政策,需設定規則、服務等級協議、探針(Probe)、偏好的廣域網路,讓連網設備可以選擇最理想的上行路徑。
在這套機制背後,閘道設備會透過主動與被動監控的方式,持續注意延遲、封包遺失、網路吞吐的抖動(Jitter)。

產品資訊

Aruba Software-Defned Branch
●原廠:HPE Aruba(02)2652-8700
●建議售價:廠商未提供
●組成元件:分公司網路閘道、雲端管理平臺、存取交換器、Wi-Fi基地臺、總部端閘道
●分公司網路閘道機型:Aruba 7000系列(7005 7008、7010、7024、7030)
●總部端閘道:Aruba 7200系列(7205、7210、7220、7240)
●雲端管理平臺:Aruba Central

【註:規格與價格由廠商提供,因時有異動,正確資訊請洽廠商】


Advertisement

更多 iThome相關內容