nginx 动态 代理 ip
随着云计算的广泛应用,企业更倾向于在多个云服务提供商处存储应用程序和数据。但这也带来了管理多云环境的挑战,如网络性能、安全性和可靠性等问题。在此情况下,具备敏捷性、智能性和可扩展性的 SD-WAN(软件定义广域网),成为了多云环境下网络解决方案的新宠。
本期,ITPUB策划了“SD-WAN 在多云环境中的应用与挑战”线上沙龙,邀请到了速宝科技SD-WAN产品总监万石浩、思科大中华区SD-WAN产品经理葛今非、网宿科技SD-WAN产品经理柳聪灵三位专家坐镇直播间,共同探讨如何重塑多云网络架构,分享实际应用的成功案例,以及实施中的挑战与难题,并寻找有效应对策略。
随着云计算、大数据、物联网等新兴技术的不断兴起,企业IT架构正在从“有边界”向“无边界”转变,传统的网络安全依赖于防火墙等物理边界防护,但新兴技术的应用使得网络边界变得模糊,传统安全边界逐渐瓦解。实施零信任安全原则是一个持续且不断增长的趋势。
据权威机构Gartner预测,到2026年,“10%的大型企业将拥有成熟且可衡量的零信任计划”,而2023年这一比例还不到1%。就部分零信任实施而言,普华永道的《2023年全球数字信任洞察报告》指出,36%的CISO已开始实施零信任组件,另有25%将在末来两年内开始实施。
MarketsandMarkets预计,全球零信任安全市场将从2023年的311亿美元增长到2028年的679亿美元。根据IBM Security发布的《2023年数据泄露成本报告》,2023年平均数据泄露成本达到445万美元的历史新高,比2022年增加2.3%。IBM Security的《2022年数据泄露成本报告》还表明,使用零信任的组织可以将数据泄露的成本降低20%。
万石浩认为,自疫情爆发之前,员工的远程办公占比约为17%。随着疫情的冲击和后续的影响,其远程办公的比例显著攀升至78%。这一显著的转变充分体现了疫情对全球工作模式带来的深刻变革,迫使并促进了我们向更加灵活、数字化的办公方式转型。
什么是ZTNA零信任?零信任网络访问(ZTNA)也称为软件定义边界(SDP),它是一组技术和功能,可根据明确定义的访问控制策略提供对组织应用程序、数据和服务的安全远程访问。ZTNA为远程用户提供与私有应用程序的无缝、安全连接,而无需将它们放在网络上或将应用程序暴露在互联网上。
零信任网络访问(ZTNA)基于“永不信任,始终验证”原则,通过用户身份认证、设备终端验证、动态访问控制、最小权限原则和持续监控确保远程访问安全,提供强大防御、灵活访问、降低风险和提升体验,适用于灵活办公、供应链管理和云服务访问。
简单来讲,ZTNA零信任实现的业务逻辑是“企业要求员工必须使用公司配发的电脑,安装并运行公司要求的安全软件,在通过认证后才能安全的访问公司应用。”
在当前复杂和多元的网络环境中,传统网络安全边界面临着外部威胁抵御的局限性、内部及资产安全的可信性不足、云计算和虚拟化带来的挑战、混合网络环境的复杂性,以及安全策略和管理手段的滞后等问题。
现如今,远程办公模式正日益成为主流趋势。数据显示,高达83%的员工表示,他们更喜欢混合模式,在这种模式下,他们至少有25%的时间可以远端工作。82%的公司接受远距离办公并允许员工一部份时间远程工作。预测到2025年,将有70%的员工每月有至少五天的时间进行远程办公。
企业正面临着前所未有的全新挑战,特别是在移动办公、企业总部与分支机构及云应用日益增多的背景下。这些变化不仅使得企业的网络结构变得异常复杂,还极大地扩展了潜在的安全攻击面。此外,随着网络复杂性的增加,传统安全策略在追踪和定位安全威胁方面显得力不从心,安全可视性的缺失让企业管理者难以迅速准确地掌握网络安全态势。
针对这一现状,Gartner和Forrester等研究机构纷纷提出了网络与安全超融合的理念。Gartner认为,安全访问服务边缘(SASE)是一种新兴的服务,它将广域网与网络安全(如:SWG、CASB、FWaaS、ZTNA)结合起来,从而满足数字化企业的动态安全访问需求。
万石浩提出了加速ZTNA安全模型的三个关键点:远程办公模式让任何地点都能工作,从而来保证用户访问不受位置限制,提升用户体验。我们不仅要关注单一云环境的安全防护,还要具备跨云、多云环境下的安全管理能力,确保数据在流动过程中始终受到保护。面对日益猖獗的勒索病毒攻击,我们需要从应用级别出发,对每一个应用、每一个角色、每一个用户实施精细化的权限控制,以最大限度减少攻击面。
Netskyper融合零信任能力,而非将零信任作为独立产品对外销售,可以带来集成化优势、降低用户选择难度、强调核心价值、服务灵活性、市场差异化竞争、避免零信任市场的复杂性以及持续创新等优势。这些优势有助于Netskyper在竞争激烈的市场中脱颖而出,吸引更多客户。
当用户与设备尝试访问系统时,首先通过SD-WAN控制器实现用户信息的同步。控制器负责将用户信息传递给所有需要访问的节点。用户必须获得SD-WAN控制器的授权后,方可发起访问请求。整个访问过程有验证设备、验证用户、设备安全态势检查、有限应用程序访问、数据加密五个关键步骤,以确保安全与效率。
在用户身份认证方面,Netskyper支持4A(认证、授权、账号、审计)认证账号系统。同时,它提供多因子认证(如短信验证码、OTP),并支持LDAP/CAS/Radius和PKI证书认证体系。单点登录(SSO)和U-Key功能确保了用户身份认证的便捷性和安全性,这些功能均可根据客户需求灵活开启。
在设备终端验证方面,Netskyper支持多种平台的准入,包括Windows、MacOS、Android、iOS等,确保各类设备均能安全接入。它还通过MAC地址、设备SN(序列号)绑定、UUID绑定等多种方式,增强设备可信性验证。
在终端健康状态验证方面,对于网络违规外联检测,Netskyper能够监控本地网络是否有非法访问互联网的行为,保障网络环境的纯净性。它还提供终端环境与基线检查(MAC地址、杀毒软件、防火墙、补丁、进程等)和应用进程合法性检查(应用进程名称、类型、安全信息、数字签等)。
在最小权限访问方面,Netskyper基于RBAC分配策略,支持IP或APP过滤、业务代理访问和网络隔离(多VPN),确保不同部门或区域间的访问策略动态匹配且有效隔离。
当前,全球超过90%的企业正在将其应用程序迁移到云中,企业正在广泛采用云基础网络架构来构建其数字化基石nginx 动态 代理 ip,Zoom、Microsoft 365、Cisco Webex等SaaS(软件即服务)应用的普及,进一步推动了企业数字化转型的步伐。
随着企业网络边缘逐渐从传统MPLS网络向互联网架构转变,利用互联网连接上云已成为常态。然而,这一转变也带来了诸多安全挑战。同时,不同云服务商(如AWS、Microsoft Azure、Google Cloud等)的技术架构各异,为企业在多云环境下运营带来了巨大的技术挑战。
会上,葛今非重点介绍了“云互联网络”或“云无关网络”概念。这一概念的提出,旨在解决企业在拥抱云时代过程中面临的多重挑战。云互联网络使企业能够迅速实现多种收益,这是传统网络难以企及的。更重要的是,“云互联网络”强化了安全性,这是企业在数字化转型中不可忽视的一环。
思科作为全球领先的网络解决方案供应商,在产品迭代与研发上持续深耕,不断优化与改进,以适应市场需求的快速变化。通过其创新的SD-WAN解决方案,企业可以快速实现多云互联。思科SD-WAN不仅支持云应用加速和云监控,还全面采用AI和API驱动,确保网络性能与安全的双重优化。
更重要的是,思科SD-WAN管理平台提供了统一的管理界面,覆盖了网络策略、安全策略等关键管理领域。这意味着,企业无需分别处理不同云服务商的账号开通、功能配置等繁琐事务,一切均可通过思科SD-WAN管理平台轻松完成。从节点的部署、管理到维护、故障排除,极大地提升了企业的运营效率。
随着企业数字化转型的加速,越来越多的企业正积极拥抱云计算,并采用多云策略以实现更高的灵活性、成本效益和业务连续性。在这一趋势的推动下,部署SD-WAN成为了企业关注的重点。企业追求的不仅是降本增效,更在于通过数字化提速来增强竞争力。截止2024年,已经部署SD-WAN的企业占据60%。
在《IDC MarketScape: 中国软件定义广域网基础设施2023年厂商评估》中,思科位居“领导者”类别。这不仅是对思科技术实力的认可,也反映了思科在市场份额上的显著优势。思科SD-WAN解决方案为企业提供了一个清晰、可行的路径图,从现有的SD-WAN网络平滑过渡到未来的多云网络架构。
思科SD-WAN是唯一支持Microsoft 365 INR,和微软的所有应用前端服务器做了自动化的集成。微软365的前端服务器会自动同步更新所有应用的URL列表。每当这些服务发布新版本或更新时,相关信息会即时传递给思科的网络控制器。通过这种方式,思科不仅实现了对多云环境下微软365等关键应用的加速,还极大地提升了整体的用户体验。
在思科的多云网络架构中,有一个关键概念被称为“Middle-Mile”。这一概念旨在清晰地界定企业在向云端迁移过程中,网络连接的不同阶段及其重要性。
首先,我们定义“第一公里”为企业数据与应用迁移至云端的初始阶段。在这一阶段,企业的核心业务数据和关键应用程序被部署到云平台上,标志着企业开始正式拥抱云计算。
接着是“最后一公里”,它关注的是企业网络如何触达其最终用户,包括各分支机构、移动办公人员以及居家办公的员工。这些用户可能通过企业专线、办公场所网络、咖啡厅Wi-Fi或家庭Wi-Fi等多种方式接入企业网络。这一阶段的稳定性和性能直接影响用户的日常工作效率和体验。
而“Middle-Mile”(中间一公里)介于这两者之间,它是连接云端与企业最终用户网络的中枢环节。这一环节之所以重要,是因为它直接关系到企业数据在云端与最终用户之间传输的安全性、可靠性和效率。为了应对网络挑战,并持续优化应用体验,企业需要依赖于高效且灵活的网络解决方案,尤其是中间一公里的多云网络。
采用多云网络的核心优势,首要体现在成本效益上。传统上云方式往往需要铺设昂贵的专用线路,以确保云连接的稳定性和服务质量(QoS),而多云网络则提供了一种更为经济高效的解决方案。它不仅能迅速连接至多个云环境,其成本相较于专有链路更为低廉,显著降低了上云链路费用。
其次,从部署时间来看,传统跨境或跨域链路的建设周期冗长,可能需要数月时间才能完成带宽的开通与配置。而借助多云网络,企业能够迅速在全球范围内的任一网络节点实现上云,其交叉矩阵模式支持多云连接,而非简单的点对点链路,大大缩短了部署周期。
再者,统一管理的便捷性也是其显著优势之一。云网络环境复杂,技术门槛高,但思科SD-WAN方案将这些技术壁垒大幅简化并消除,使得网络管理变得更为直观和高效。此外,思科SD-WAN还提供了全面的云监控能力,无论是云网络就绪状态还是云上应用的性能,都能得到实时监控与评估,确保整个云生态系统的稳定运行。
随着企业数字化转型的不断推进,上云的需求不断增长,企业在多场景下都有着互联的需求,包括总分组网、多云互联、移动办公等。传统的互联网组网方案一般使用运营商专线或者点对点的VPN,存在着安全防护薄弱、应用体验难保障、业务上线周期长,以及网络运维难度大的挑战。
传统的广域网组网方案中,采用的是静态安全部署,无法有效的抵御动态威胁。并且分支和个人的安全建设较为薄弱,容易成为攻击的跳板。并且VPN方案也需要开放连接端口,增加业务暴露面的风险,容易被黑客攻击。
广域网组网所承载的是企业的内网业务及办公流量,对访问质量和线路稳定性也有较高的要求。当网络出现故障或者中断的时候,将影响关键业务,甚至造成企业的经济损失。
随着业务的不断扩张,企业上云的需求也是不断增加的,以及运维难度大,企业需要在所有的分支之间实现流量的优化和管理。传统方案配置管理复杂,给运维人员也带来了更大的挑战。那么要满足当前的网络需求,就需要转变广域网的思想,朝着更敏捷、更安全,以及更具成本效益的方向进行转变。
SD-WAN方案正是基于这个背景而诞生的,当前已经成为企业广域网建设的优先选择。根据Gartner的数据,今年只有不到10%的企业拥有Internet WAN连接,而20%的企业采用了SD-WAN。在未来的四到五年中,Gartner预计部署基于Internet的WAN的企业数量将增长到30%,而SD-WAN的企业数量将达到60%。
针对SD-WAN的定义,不同厂商都有不同的答案。Gartner明确定义了SD-WAN的基本特性,包含四点:支持混合链路接入(MPLS,Internet,LTE等);支持动态链路调整,保障关键应用体验;企业WAN管理简单;支持VPN以及其他增值业务服务(如ZTNA,SASE等)。
那么,SD-WAN方案相对于传统专线方案有哪些优势?SD-WAN在专业性以及线路的稳定性方面都可以媲美专线。但是它的建设成本又比专线%以上,并且交付速度更快,基本上可以实现当天交付。在一些基础功能,比如配置、流控、告警等功能上面又比专线更丰富。
而传统的VPN方案除了价格便宜,基本上没有其他的优势。随着技术的不断更新迭代,也会慢慢的被淘汰。这也是为什么现代化的企业纷纷开始使用SD-WAN的原因。SD-WAN能够帮助企业去实现提速降本,提供更好的网络体验和更高的运营效率。
SD-WAN需要具备四大特性,来满足企业数字化转型的需求。首先,安全保障。SD-WAN整合云端安全服务,实现全面威胁防护、端到端加密,加固网络安全性。其次,应用访问加速。SD-WAN基于应用识别与智能路径选择,优先保障关键应用流量,确保优质体验。
再次,业务快速上线。顺应全球化趋势,新增分支机构也能快速部署,满足业务敏捷上线需求。最后,可视化运维。WAN全网分支能够统一接入管理,业务、链路、网络可视可控,降低运维复杂度。
提升企业安全水位。SD-WAN应当基于全球骨干节点构建高速网络,稳定加速,提升访问体验,降低专线成本。极速开通,多场景ZTP开局,适配不同场景分支网络部署。简易运维,可视化集中管理平台,告警实时监控,提升管理效率。
网宿科技SD-WAN方案可以为客户提供一个端到端的安全防护。从接入侧的CPE开始就具备信创金融能力,可以满足像政企金融行业的合规建设要求。工作节点也支持风险识别和入侵检测能力,通过多种过滤机制可以阻断威胁流量,支持平台级别的安全能力,支持DDOS防护保障平台自身的安全,整体可以实现安全加密。整个架构是支持国密算法,可以为客户提供端到端的安全防护,并实现企业研发数据、财务数据以及设计图纸等敏感资产的保护。
除了平台自身的安全能力和数据传输加密安全之外,成熟的SD-WAN方案也应当具备增值的安全服务能力,可以根据客户的不同需求来进行开通,包括实现反病毒、入侵防御、数据防泄漏,以及网站过滤的能力。
SD-WAN可以为企业提供更强的安全保障,通过分布式的云安全防护,解决传统网络存在的技能瓶颈,保护企业的内网。同时,基于高速节点实现用户的就近接入,降低最后一公里的时延,为用户带来更高效的访问体验。
通过灵活接入的方式,可以满足不同场景的需求,实现业务的快速上线。通过控制平台也能实现一站式的全网管理,简化管理人员的运维工作量。基于建设SD-WAN方案,可以为企业打造一个安全、快速、便捷的组网模型,实现强安全、快体验、减部署、易运维。
基于安全SD-WAN及零信任安全入手,整合安全、网络、边缘计算能力,融合AI技术,构建开放生态,网宿科技打造“3+X+AI”的SASE框架,帮助企业建设下一代安全办公一体化体系。