כיצד בוחרים את פתרון ה-SD-WAN הנכון?
מאת:
איציק מלכה, 23.1.20, 13:46
מהם 4 המרכיבים העיקריים, שארגונים צריכים לקחת בחשבון לפני הטמעת פתרון SD-WAN?
לכל הארגונים ישנו מכנה משותף אחד - אצל כולם גובר הצורך באבטחת מידע עבור קישוריות ללקוחות שלהם, ליישומים בענן, לכלים ולמשאבים מולם הם נדרשים להתמודד. דרישות רשת ה-
IT שלהם ממשיכות לעלות, איומי האבטחה ממשיכים להתגבר, הדרישה לרוחב פס ממשיכה לגדול והמעבר לענן מגדיל את מורכבות ה-
WAN.
בעבר, ספקי שירותים מנוהלים התמודדו מול אתגרים אלה בעזרת פורטפוליו מגוון של שירותי קישוריות
WAN. אך ככל שצרכי הארגון התפתחו, כך צרכי השירותים המנוהלים של ארגוני ה-
IT מתרחבים. ארגוני
IT רוצים גמישות וזריזות רשת גבוהות יותר, ראות טובה יותר של ביצועי הרשת ואבטחת המידע, יכולת ניטור והתאמת זרימת תעבורת הנתונים ביישומים והיכולת לפרוס ולנהל אתרי סניפים מרחוק. יתר על כן, הם רוצים לעשות כל זאת דרך מסך אחד השולט הן על רשתות ה-
LAN והן על הרשתות האלחוטיות.
בעזרת בחירה בפתרון ה-
SD-WAN הנכון, ספקי שירותים יוכלו להציע פלטפורמה לשירותים מנוהלים, שניתן לצמצם ולמקד עד רמת הלקוחות העסקיים הקטנים ביותר או להרחיב עד לרמה של ארגונים בין לאומיים הגדולים ביותר. אך מה הם המרכיבים העיקריים, שארגונים צריכים לקחת בחשבון לפני הטמעת פתרון?
תיעדוף יכולות אבטחה משולבות
בעוד כמה מפתרונות ה-
SD-WAN מציעים את היכולת לשלב פתרונות אבטחת מידע של צד שלישי, ברבים מהמקרים פתרונות אבטחה אלה אינם משולבים במלואם בסביבת ה-
SD-WAN. וכך נותר משתמש הקצה לנהל שתי פתרונות, לרוב דרך פלטפורמות ניהול שונות. גישה זו נקראת גישת אינטגרציית
"bolt-on", במסגרתה מסתכלים על אבטחת המידע כשיקול אחרון.
לעומת זאת, פתרונות
SD-WAN מלאים מספקים פתרונות הכוללים בתוכם פיירוול הדור הבא. דרך זו מאפשרת אבטחה איתנה ל-
SD-WAN endpoints ולרשת עצמה, לרבות צד ה-
WAN וצד ה-
LAN של תיחום ה-
CPE. בנוסף, פתרונות אלה מציעים לרוב אינטגרציה עם יכולות אבטחת מידע מתקדמות כמו
UTM ו-
ATP.
חומרת SD-WAN ויכולת הפעלה הדדית
בעוד ה-
SD-WAN controller הוא תוכנה, פתרונות ה-
SD-WAN עדיין דורשים חומרה או תוכנה ב-
endpoints (נקודות קצה) עבור קישוריות. שוב, אנו מוצאים, שלא כל ספקי ה-
SD-WAN endpoints שווים. חלק מהספקים יספקו חומרת
OEM או קופסאות בדיקה לבנות (
white box) עבור הפתרונות שלהם, שבמקרים רבים מוגבלים ביכולתם לגדול ואינם מספקים את היכולת להוסיף פיצ'רים נוספים, יכולות או שירותים. במקביל, חלק מהפתרונות מוגבלים לספק מסוים או לסביבה מוגדרת מראש.
לפיכך, זה עוזר להשתמש בפתרון התומך במנעד רחב של סוגי מוצרים כדי לכלול את כל הצרכים בפתרון אחד התומך באותם רכיבים ומדיניות. הדרך הטובה ביותר היא, שהספק יאפשר גישת תבנית (
template) המשכפלת את אותן תבניות על פני כל נקודות הקצה. חשוב מאד לבחור ספק, שיכול לתמוך בנקודות קצה בענן עם נקודות קצה וירטואליות מבוססות תוכנה, שיכול לתמוך במקומות מרוחקים בכל מקום שיהיו דרך כל אפשרויות קישור זמינות, עם תמיכה רחבה יותר לממשקי רשת, כולל
4G/LTE וכזה, שהחומרה שלו מאובטחת.
תקנים פתוחים (Open Standards) ומדרגיות (Scalability)
פתרונות מבוססי
Open Standards, שפועלים לרוב על בסיס הפעלה הדדית, מאפשרים יכולות התאמה גבוהות יותר של הפתרון עצמו ולרוב גמישים וזריזים יותר להטמעה, לשימוש ולניהול. פתרונות ה-
SD-WAN הטובים יותר בשוק כוללים
Open APIs ומשתמשים בפרוטוקול ניתוב סטנדרטי. זה חשוב משום שפתרונות אלה יכולים לשלב פונקציות רשת אחרות לתוך סביבת ה-
SD-WAN, ומאפשרים לשלב יותר מיכולות רשת ה-
WAN/LAN לתוך פורטל ניהול ה-
SD-WAN. פורטל, שמספק מסך ניהול והגדרה אחד העוזר, בסופו של דבר, לבצע אוטומציה ופישוט של ה-
WAN.
לא רק שעל הפתרון להיות פתוח, עליו להיות גם מדרגי (
scalable). רוב פתרונות ה-
SD-WAN תומכים בחיבורי
10M-1G עם מספר מאות נקודות קצה. לעומת זאת, עבור דרישות רשת גדולות יותר, ארגונים צריכים להסתכל על ספקים היכולים לתמוך בלמעלה מ-10,000 נקודות קצה, יכולים לגדול מנקודות קצה וירטואליות מבוססות תוכנה לכמות גדולה יותר של
endpoints NGFW, ולפתרונו היכולים לתמוך ב-
100Gbps של תעבורת רשת. פתרונות
SD-WAN מתקדמים אלה מאפשרים קיבולת גדולה יותר, ורסטיליות, תמיכה בצמיחת העסק ומבטיחים, שפתרונות ה-
SD-WAN יוכלו לתמוך בנקודות קצה בכל האזורים והתרחישים.
אמינות ושרידות
כאשר בוחנים פתרונות
SD-WAN עבור שרידות (
redundancy), חפשו פתרונות בעלי קונטרולרים בעלי יכולות צמיחה אופקית וזמינות גבוהה. חשוב לבחור פתרונות המספקים אשכולות בקרת מחשוב בעלי שרידות גאוגרפית (
geographically redundant controller clusters). רוב פתרונות ה-
SD-WAN משתמשים במכשירי
gateway (צמתי מחשוב) לתקשר בין הבקר ל-
CPE endpoints. ישנה אפשרות להשתמש במכשירים נוספים כמרכזיה (
hub) לחיבור מכשירי
CPE ביחד. חשוב לבחור בפתרונות התומכים בשרידות מרכזיות וצמתי מחשוב.
SD-WAN מספק תמיכה ב-
redundant link, עם פתרונות רבים לתמיכה בריבוי דרכים.
חשוב גם להבין, שהפתרונות הטובים יותר יספקו תמיכה בתצורות הגדרת פעיל/גיבוי וכן כ-פעיל/פעיל. במידה והקישור הפעיל נופל, או שתעבורת הרשת תוסט למסלול הגיבוי, או במקרה של פעיל/פעיל, תופץ על גבי מסלולים פעילים אחרים. לבסוף, כמה ארגונים ידרשו גם תמיכה בשרידות מכשירי
CPE. לכן, פתרון מדרגי אמין באמת יציע
CPE הניתן להגדרה באשכול מחשוב
CPE דואלי עם תמיכה פעילה בתקלות.
לסיכום
ישנם מספר ספקים האומרים, שהם מציעים את התמהיל הנכון של יכולות
SD-WAN אלו, אך כרגע על הצרכן להיזהר ולבדוק אם הפתרונות עומדים בהגדרה המחמירה ביותר. לדוגמה, לא כל פתרונות ה-
SD-WAN זמינים ברמה גבוהה, ניתנים לשדרוג אופקי, מיועדים למספר משתמשים מרובה, מאפשרים בקרת גישה מבוססת תפקידים, או בעלי שרידות מלאה. לכן, חשוב לשקול את כל הגורמים לפני השקעה בפתרון. אך ע"י יצירת האיזון הנכון בין אבטחה משולבת, יכולת פעולה הדדית, מדרגיות ואמינות, ספקי השירותים המנוהלים יהיו ממוקמים היטב כדי לענות על צרכי ה-
IT המתפתחים של הלקוחות שלהם.
מאת:
איציק מלכה, ינואר 2020.
מנכ"ל ג'וניפר נטוורקס בישראל
www.juniper.net