|
近期,“新基建”政策正式出臺,為我國未來數字化經濟奠定堅實基礎!數字化時代,無人駕駛、車聯網、智慧城市、工業4.0、數字孿生、智能制造、微型傳感器、數字結算、AR/VR、智慧醫療、實時模擬、裸眼3D、全息投影界面、手掌即操作界面、腦機對傳數據等等都將是我們的日常,而新基建正是為數字化的工業、農業、消費、醫療、交通、娛樂等各場景提供了堅實的數字基礎平臺。新基建的范疇包括工業互聯網(又稱工業物聯網IIoT)、物聯網、云計算、人工智能平臺、邊緣計算等具備創新技術的融合型平臺,不僅僅是簡單的底層網絡、服務器、樓宇布電、IaaS等簡單的傳統事物。 為了支撐新型數字化業務場景,新基建中的各個平臺要融合打通,分享數據。因此,數據流通控制,包括數據分析的結果傳遞(也是一種數據),是新基建中的關鍵環節之一,其中需要關注兩點:廣域網傳輸效能與安全管控。 下圖展現了在工業智能制造領域,數據傳遞到零件供貨商、排程體系、動態派工體系等各個環節,實現各環節精確配合,達成定制化智造的產出:
廣域網傳輸效能 新基建的融合平臺,并不是單一企業或組織建設平臺的所有模塊,而是各取所長,再根據業務關聯性,通過軟/硬接口融合在一起,達到高效多贏共同獲益的目標。這一切,大部分會發生在廣域網環境下。 為了增強廣域網傳輸效能,首先企業需要關注業務場景與應用軟件,以便確認數據類型。從傳輸視角看,數據類型可大致分為:靜態數據、動態OLTP/OLAP(在線交易/分析進程)數據、實時音視頻數據。而數字化經濟中,各種業務單元與應用軟件融合在一起,上述數據類型也會混合在一起傳遞到對端,需要企業在確保時效性、敏捷性、靈活性和經濟性的同時,還要考慮業務高可用與災備,重視用戶體驗。 另外,企業還要考慮網絡接入端的多樣性。不同于傳統情況,數字化場景中,在數據中心與辦公室的物理機終端仍然存在,并且是網絡主要接入端之一,但此外各種虛擬終端(云、容器、個人虛擬端)、多種個人終端(手機、平板、穿戴設備、AR/VR眼鏡等)也會大量接入網絡。新基建平臺中,需要一種方案來同時適配如此多樣性的接入,并對這些接入端進行管控。 最后,企業必須要仔細考量鏈路種類。通訊產業發展到現在,已經存在二層物理專線、三層MPLS專線、ADSL、Internet、LTE(2G, 3G, 4G)Wi-Fi(無線版Internet)、衛星鏈路等種類,5G也初步上市。今后很長時間內(超過10年)以上各種鏈路都將會混合使用,盡管5G性能強大,但不可能取代所有其他鏈路,最多取代現有的LTE信號。數據傳輸應該充分利用這些混合鏈路,達成端到端的最優傳輸效能。小結:新基建創新融合平臺,在規劃數據傳輸時,需要慎重考量傳輸方案與業務、應用、數據的無縫適配性;能夠適配并管理多種非傳統的網絡接入端;能夠充分利用多種鏈路,保證傳輸效能與高可用,而整體運營成本可被接受。面對業務場景與應用,具備良好適配能力的7層SD-WAN軟件定義廣域網技術,不失為理想選擇(架構見下圖)。
引入SD-WAN的時候需要詳細評估方案與服務商,確保使用質量。綜合而言,企業可關注以下幾點: ·關注產品是否具備業務應用層的支持功能。SD-WAN不同于傳統網絡,這一層功能強大的產品,可以使用有限的網絡資源,實現超額性能,甚至在幾百公里距離內,提升普通Internet近似于專線的性能。 ·關注是否具備管理網絡資產的能力。軟件能力確保SD-WAN發展出強大的管理網絡資產的能力,即:完全可以部署在已有組網之上,集中管控,提升傳輸性能,達成高可用,而不必改動架構拓撲,也不必替換線路。這是傳統通過POP與鏈路實現的網絡方案所不具備的新能力,值得企業仔細評估。 ·關注是否具備便捷性與靈活性。軟件的易操作性帶來了便捷與靈活,可以做到真正的零接觸遠程部署,非專業用戶可即插即用。而專業服務商可以幫助用戶通過圖形界面實現遠程部署。在運維的時候,用戶也可以通過圖形界面,遠程操控節點的設備與傳輸策略,如控制帶寬、防火墻策略、上網行為、應用優先級,或是否加載數據優化等特殊功能。這會大幅減少有限IT人員的工作量,讓他們從事更重要的工作。傳統方案中,必須人到場調試設備,大大增加了運維工作量。 ·如果服務商本身具備骨干網,有上述SD-WAN的加成,可能會提供低成本優質服務 ·關注是否具備安全合規功能。成熟的SD-WAN產品具備較強的軟防火墻功能,如圖中顯示的NGFW與UTM,同時包括數據加密能力。以下詳細介紹新一代SD-WAN安全能力,SASE 網絡安全管控, SASE 在以上復雜場景中,網絡安全是重中之重!網絡安全,顧名思義,安全與網絡密不可分。新基建面向新時代數字化經濟,其規劃網絡安全的思路,也要超越傳統框架。由于數字化場景趨于復雜,傳統的安全防護僅僅局限于傳統防火墻,這樣的安全網關已經不足以做好全場景防護工作!企業還需要考慮業務與應用復雜性帶來的數據保護,以及接入端的多樣性,特別在業務融合時,零信任(或稱非信任)融合占了大多數情況。 SASE,Secure Access Service Edge,即具備安全接入服務的邊緣終端,也被認為是SD-WAN技術面向全互聯整體安全的演進技術,值得所有準備參與到數字化新基建的企業與用戶花時間好好研究。根據全球最具影響力的IT研究機構Gartner,SASE,起源于網絡服務與安全服務的碰撞對接,從而形成了更新一代的網絡接入與安全服務總成。IT資產身份認證是其核心原則,云原生架構,微服務形態,特別適配于工業互聯網,物聯網,云計算與邊緣計算,個人不同時間與地點接入SaaS和第三方非認證終端接入核心業務等場景。其核心能力包含SD-WAN與其他微型化的安全服務能力(軟模塊),可以完全部署在云端、容器以及小型終端,請見下圖:
以下通過風能電力系統的工業互聯網場景,展現SASE針對業務場景中不同角色的部署與交付。以某風力能源企業為例,這一企業需要為地區提供風能電力服務,企業員工與風能設備是SD-WAN+SASE最終用戶。該企業同時需要與供應商合作,也需要接入該企業的內網參與工作。以下是SASE為三種不同角色提供安全管控服務。
可以看出SASE(具備安全接入服務的邊緣)在SD-WAN無縫連接能力支持下,集成多種安全服務能力,并軟件化、微型(服務)化,將足夠強的安全能力輸出到各端,通過身份認證這一原則,確保在復雜融合性的業務場景中,達成各方應用數據、終端、設備等多種IT資產的保護。對于企業用戶,可使用不同終端,在不同的時間、地點,隨意安全接入SaaS;而對于設備本身,保密性的傳感數據、地理位置等,可以通過本地網傳輸到云端,用于數據收集與分析;最后,對于供應商,利用非企業終端,在授權托管場景下,可以安全接入SaaS,與最終用戶、設備進行交互,便于設備維護等工作。三方各自通過安全通道,有條不紊地進行融合協作。 傳統網絡安全,通過在網絡出入口安裝防火墻和安全網關等設備,針對流量進行管控,進而收集流量至分析中心,以便進行全網安全分析。然而這樣的架構,并不適用于數字化時代的新基建融合場景。以下是SASE與傳統架構的優勢簡單對比:
虛擬防火墻與網關,雖然實現了云端部署,但會占據較多云虛機的資源,需要進一步瘦身,以便部署在容器中。 Gartner通過架構圖,進一步闡明SASE與傳統安全架構的對比
凌銳藍信在深刻理解數字化業務的基礎上,通過區塊鏈哈希算法,緊叩IT資產身份認證的命門,已經開始內測SASE模塊,在不久的將來,便可提供高價值的網絡與安全綜合服務。 |
- 關注天氣:
