https://www.informationsecurity.com.tw/seminar/2024_Finance/
https://www.informationsecurity.com.tw/seminar/2024_Finance/

觀點

專訪:SD-WAN之外,你更該關注的「AI-driven WAN」是什麼?

2021 / 12 / 13
編輯部 (Sponsored by Juniper Networks)
專訪:SD-WAN之外,你更該關注的「AI-driven WAN」是什麼?
根據IDC調查亞太區新資料產生與儲存趨勢,報告指出2025年時亞太區產生的新資料總量將破33ZB。巨量資料的時代下,無論哪個行業都遇到頻寬不足的挑戰。同時在數位轉型的驅動下,企業在多雲環境採用 SaaS 和基礎架構即服務 (IaaS) 應用程式,卻發現應用程式體驗其實不如預期。因為雲端帶來了史無前例的 WAN 流量,龐大流量導致管理作業複雜、應用程式效能不穩,且資料出現安全漏洞。
 
以電信級大型交換器與路由器為主力產品的Juniper Networks (以下為Juniper),因應 IT人員必須在使用者體驗、資安和複雜作業間取得平衡的挑戰,與友訊科技合作針對企業或組織有分支機構者推出 AI-driven WAN 解決方案。

AI-driven WAN vs. SD-WAN

Juniper台灣區技術總監游源濱指出,Juniper強調 AI-driven WAN而不是SD-WAN。「企業選擇SD-WAN是希望(1)提高應用可用度及(2)節省線路成本。但這兩點是衝突的,而這個背後的衝突就是『IT維運的複雜度』。哪個時間點哪個應用要走哪個線路,維運人員不停的手動調整….這是IT的噩夢。要解決這個噩夢,有賴於SD-WAN背後的自動化機制,也就是軟體定義加上AI運算,才能真正降低人工維運的複雜度,同時在下修成本的目標下,不去犧牲網路品質及服務的可用度。」
Juniper Networks 台灣區技術總監游源濱強調 AI-driven WAN,而不是SD-WAN。
事實上,SD-WAN並不是一種技術標準,它不像OSPF、MPLS等通訊協定,它是一種「概念」,讓企業在使用多樣化的廣域網路線路,可以有更多彈性。但SD-WAN是基於使用者預先給條件去判斷要走哪一條線路,如語音品質要維持多少 ? 掉包率、Latency不可超過多少等。因此SD-WAN看的是線路品質,不是使用者的服務使用體驗。
 
而 AI-driven WAN的出現,是把 SD-WAN作一半的事情做完。Juniper的 AI-driven WAN要看到各分支機構的每個用戶的使用體驗,且這些體驗是被量化的。
 
「AI-driven WAN不是只看線路品質,它還要分析每個用戶的大數據,甚至判斷SLA( 服務等級協定),比如Voice Application 的SLA符合多少標準才可以。看這麼多、這麼細,這些都要系統自動判斷,不是也不可能手動調整 。」
 
更進一步,問題發生的時候,AI-driven WAN可以很快的定位問題、排除問題。
 
「當使用者抱怨使用體驗很爛,到底慢在哪邊?AI-driven WAN可以看到底糟在哪裡?是哪邊卡住? 是應用層,還是網路層?所以協助IT跟使用者沒有認知落差,解決認知落差。」游源濱指出當前IT與使用者體驗的現實代溝。
 
此外,AI帶來的好處是速度。當然熟悉網路設備指令的資深工程師,也可以做到查找、定位問題。「但是再快的工程師時間都需要時間,因為資料量很大。」

AI-driven WAN為資安帶來什麼優勢?

對於資安或維運團隊來說,AI-driven WAN最直接的好處,是防錯與減少工作負擔。
 
尤其有使用雲端服務的企業組織,SD-WAN其中一項普遍的應用是Local Breakout(本地上網),也就是說,分支機構的不再需要走加密通道繞回總公司以存取雲端服務,如:Office 365、SAP CONCUR等。
 
但Local Breakout就像雙面刃,帶來了方便,也出現了資安疑慮。根據Gartner 2018年報告,企業採用SD-WAN時,IT主管最大的擔心是「資安」。
Gartner 2018年報告指出企業採用SD-WAN時,IT主管最大的擔心是「資安」。
Juniper將AI引用到資安已經有一段時間,主要以ATP Cloud (Juniper Advanced Threat Prevention Cloud ) 為主,這項服務與全球資安情資系統進行交換,如:黑名單等。它同時可以作靜態與動態的威脅分析。靜態分析是針對已知的攻擊型態,而動態分析則用模擬環境,如沙箱,加上機器學習,進行行為分析,來判斷是否是惡意軟體攻擊。
 
「ATP cloud看行為模式。」ATP雲端的機器學習是藉由觀察各種惡意程式的行為作比對,它以類似的行為模式來動態地判斷是哪支惡意程式,而觸發告警。AI-driven WAN資安目前已整合ATP Cloud服務。
 
此外,AI-driven WAN也看到資安維運的實際困難。普遍的安全政策是遵循哪一個source(指人或設備) 可以到哪個 destination (指可以存取的檔案),這樣的模式通常透由指定IP或port number設定。在人員變動、設備增減的狀態下,如果安全政策綁定IP,很容易出現頻繁異動而造成防火牆設定錯誤。尤其是在企業具備一定規模,有多個分支機構時,資安的維運常出現頻繁修改,因而出錯的窘境。根據Gartner報告,預測未來有99%的防火牆被突破事件會是因為設定錯誤造成。
 
Juniper 建議企業利用Metadata(後設資料)定義,「讓頻繁異動的狀況,跟安全政策脫鉤。」
 
游源濱解釋,Metadata定義是用「角色」的概念來定義安全政策。「直白地說,就像男性只能進男廁,女性進女廁的邏輯。只要設定是男性或女性,就可以套用不變的安全邏輯。企業的人員角色也是一樣,HR只能進HR的路徑,Sales不能進HR的路徑。不綁死IP、不需要更動防火牆存取,減少修改,減少出錯,是基於Metadata的安全政策核心。」

將SD-WAN從加密中解放

除了基於Mist人工智慧雲平台的 AI-driven WAN方案外,針對政策因素服務不能上雲的軍方及政府單位,Juniper 也有地端的SD-WAN 解決方案128T系列。
 
128T系列的特點是不需建立加密通道(Tunnel Free),它解決普遍SD-WAN因為重複加密而耗費CPU及頻寬的問題。一般的封包,如果要穿透Internet,前後有GRE Tunnel、IPsec ESP協定等多個加密,整體來說Overhead非常高。
 
128T採用Adaptive Encryption(適應性加密),會主動判斷封包是否已經加密過,如是,128T就不會再去加密。這樣不只減少頻寬的白白耗用,更增加服務傳遞的有效性,「直白講就是通話品質會變好。」
128T採用Adaptive Encryption(適應性加密)主動判斷封包是否已經加密過,不重複加密以減少CPU及頻寬浪費。
128T的Secure Vector Routing專利的資訊安全性已被美國聯邦政府以及軍方認證過,拿到NIST FIPS140-2、ICSA Labs、PCI DSS(金融單位)等多項認證。
 
游源濱透露,Juniper有計畫將128T系列跟SRX系列從兩個技術層面整合,
一、SRX跟128T系列彼此透過Secure Vector Routing專利技術互通;
二、SRX跟128T系列都會納管到MIST AI雲端下
 
針對台灣市場,除了已著墨很深的電信行業,目前Juniper積極在政府單位、零售業以及醫療單位布局。例如大型超市需要連線到各地分店、醫院連線分院、軍方須連線各級單位等。
 
COVID-19疫情成為各行各業數位轉型加速器,安全的SD-WAN加上AI科技與智慧加密技術將是數位轉型的重要基石。

*本文與Juniper Networks合作企劃。