img

پیاده سازی WAN امن در عصر کلاد…

/
/
/

در چند سال گذشته بسیاری از سازمان ها اتکای خود به اینترنت را به دلیل برون سپاری برنامه های کاربردی مانند ایمیل، ارتباطات واحد، ERP، CRM و غیره به ارائه دهندگان SaaS بیشتر کرده اند.
برنامه های کاربردی مبتنی بر کلاد روش هایی سریع و مقرون به صرفه برای بسط محدوده سرویس هایی که ارائه می دهند و فراهم آوردن ابزارهای بهره وری جدید مورد درخواست تیم ها، دپارتمان ها یا خطوط کسب و کار در اختیار سازمان های آی تی قرار می دهند.
علی رغم اتخاذ فراگیر سرویس های کلاد، بسیاری از سازمان ها در برابر اتصال مستقیم دفاتر راه دور خود به ارائه دهندگان برنامه های کاربردی در اینترنت عمومی، خودداری کرده اند. این امر به این دلیل است که دسترسی مستقیم به هر شعبه موجب مشکلات انطباق می شود. تنها راه تسکین این امر ایجاد سیاست های امنیتی گسترده در هر مکان است. تصور کنید ۳۰۰۰ سایت دارید که هر یک نیازمند مجموعه سیاست های مخصوص خود هستند که باید تنظیم و نگهداری شود. این به معنای یک کابوس مدیریتی است. علاوه بر استفاده از برنامه های کاربردی SaaS سازمان ها برای اجاره فضای ذخیره سازی مبتنی بر کلاد، اینستنس های فیزیکی و مجازی سرور و در برخی موارد منابع تعادل بار اکنون شروع به استفاده از PaaS و IaaS ارائه شده از AWS، مایکروسافت آزور و غیره کرده اند.
با توجه به این تغییرات، یک توافق کلی وجود دارد که اتصال WAN باید به دلایل زیر از جایگزین دیگری برای انتقالات به MPLS استفاده کند.
هزینه: مدارات MPLS با سرعت و هزینه مدارات مبتنی بر اینترنت عمومی توان رقابت ندارند. برای مثال هزینه یک مدار MPLS متداول on-net 10 Mbs تقریبا ماهی ۵۰۰ تا ۷۰۰ دلار است و off-net آن تقریبا ماهی ۸۰۰ تا ۱۰۰۰ دلار. در عین حال یک مدار پهن باند در حدود ۱۸۹ تا ۲۴۹ دلار در ماه هزینه دارد.
سرعت: تأمین یک مدار MPLS می تواند بسته به اینکه حامل در آن محل فوتپرینت دارد یا خیر و یا اینکه نیاز به اجاره یک اتصال از مرکز مبادله محلی (LEC) دارند یا خیر از سه هفته تا دو ماه زمان ببرد.
ظرفیت: با توجه به افزایش استفاده از برنامه های کاربردی چند رسانه ای، تقاضای پهنای باند WAN در حدود ۲۵-۳۰ درصد در سال افزایش یافته در حالی که بودجه شرکت فناوری اطلاعات یکسان باقی مانده است.
تجربه کاربر از کلاد: در حال حاضر اکثر شرکت ها تمام ترافیک اینترنت را به مراکز داده ای واگذار کرده اند که گاهی اوقات حتی در نزدیکی همان کاربر یا ارائه دهنده SaaS واقع نیست. این امر تاثیر منفی بر تجربه کاربر از کلاد دارد.
به دلیل این عوامل شرکت ها باید شروع به استفاده از اتصالات مبتنی بر اینترنت کنند تا مدارهای MPLS خود را تقویت کنند. در بسیاری از موارد آنها سعی در ایجاد یک شبکه پوشش دهنده با یک خروجی مرکزی اینترنت می نمایند، در برخی صنایع مانند خرده فروشی شرکت ها درواقع خروجی محلی اینترنت ارائه می دهند. با این وجود به دلیل امنیت پایین اتصالات عمومی از این اتصالات نمی توان به عنوان خروجی محلی در صنایع تحت کنترل مانند سرویس های مالی و بهداشت و درمان استفاده کرد.
برای ایجاد شعبی با دسترسی به اینترنت محلی به یک ارائه دهنده SaaS (برای اتخاذ مسیری با بهترین اجرا)، این شرکت ها باید مطمئن شوند که ارائه دهنده سرویس کلاد می تواند نیازمندی های آنها را پاسخ گوید.
این مثال را از سرویس های مالی که یک شعبه می تواند با سه خط کسب و کار تعامل داشته باشد در نظر بگیرید:
خرده فروشی
مونتاژ
سرمایه گذاری

از آنجا که اکثر ارائه دهندگان خدمات کلاد در حال حرکت به سوی امکانات و تجهیزات اشتراک مکانی شهری (colo) هستند، ایجاد ارتباطات مشابه برای ارائه یک تجربه کاربری بهتر با راه اندازی مینی DMZها منطقی به نظر می رسد. برای جلوگیری از نقض انطباق، استفاده از امکاناتcolo  گزینه خوبی است.
در این سناریو، بخش خرده فروشی می تواند colo منطقه ای را برای اینترنت محلی در صورتی که نیاز به دسترسی به کانال یوتیوب برای آموزش داشت استفاده کند. امنیت می تواند توسط یک MSSP (ارائه دهنده مدیریت خدمات امنیتی) منطقه ای ارائه شود. دسترسی به برنامه های کاربردی مانند مایکروسافت آفیس ۳۶۵ و Salesforce.com مسدود می شود از آنجایی که کارمندان فروش مجاز به آپلود داده ها در ارائه دهندگان SaaS نیستند. در عین حال بانک سرمایه گذاری و کاربران وام مسکن مجبور به خروج از شرکت های بزرگ DMZ خواهند بود زیرا الزامات قانونی آنها را از استفاده از خروجی های عمومی با توجه به خطرات نشت اطلاعات منع می کند.
در نهایت می توان از  برگشت همه ترافیک صدا و تصویر به دیتا سنتر جلوگیری کرد. این امر استثنایی بر این قانون است زیرا ۹۰ درصد موارد نیازی به جریان ترافیک داده از شعبه ای به شعبه دیگر وجود ندارد.
با استفاده از این رویکرد با ترافیک داده به صورت نقطه به نقطه برخورد می شود در حالی که ترافیک داده از هاب و دیگر اتصالات گفته شده استفاده می کند. با ورود برنامه های کاربردی متنوع تر به شبکه هر خط کسب و کار ممکن است نیاز به توپولوژی مربوط به خود به دلایل مربوط به انطباق داشته باشد.
همان طور که این سناریو نشان می دهد اکنون شبکه ها نیاز به انعطاف پذیری برای اتصال بر اساس نیازمندی های کسب و کار دارند که با استفاده از معماری های فعلی که مبتنی بر توپولوژی های فیزیکی هستند، دستیابی به این امر دشوار است.
برای پشتیبانی از استقرار کلاد، امنیت شبکه باید به عملیات آی تی نزدیکی بیشتری داشته باشد. این امر نیازمند معماری شبکه است که می تواند کنترل مرکزی فراهم کند و از جریان داده توزیع شده و روان بر اساس سیاست و نه توپولوژی پشتیبانی کند.

نظر بدهید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

It is main inner container footer text