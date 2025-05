網路的未來

使用網路即服務和 SASE 實現靈活性和安全性

組織應將其網路現代化,以保持靈活性

傳統的企業網路專為實體辦公室和資料中心的嚴格限制而設計。多年來,公司一直仰賴 多重通訊協定標籤交換 (MPLS) 等解決方案來連接辦公室位置,同時分層使用各種複雜的安全工具。此外,非雲端就緒的傳統網路連線解決方案引入了廠商鎖定和限制架構的瓶頸。

更複雜的是,許多組織在假設實體辦公室始終是預設辦公室的情況下簽署了多年的網路服務合約。隨著我們工作方式的改變,組織應該儘早實現網路現代化,以保持靈活性。

靈活的現代網路可以透過三個關鍵屬性來識別,它們是:

網路彈性。輕鬆升級或降級容量的能力,使組織能夠快速回應不斷變化的業務需求。

內建保護。透過將整合式安全性納入您的網路基礎結構中,可以避免分層式安全工具的缺陷,例如安全性漏洞和降低效能。

雲端就緒。將雲端服務整合到網路架構中,以避免應用程式效能瓶頸。

使用網路即服務和 SASE 建立靈活的網路

組織用來獲得彈性、現代化網路的兩種主要技術是 網路即服務 (NaaS) 和 安全存取伺服器邊緣 (SASE) 。

當公司採用網路即服務解決方案時,他們會從提供者處租用雲端交付的網路功能。這樣可以減輕公司維 護自己的網路基礎結構的需求,並取代許多傳統工具,例如 MPLS 和虛擬私人網路 (VPN)。某些網路即服務解決方案包括網路防火牆、分散式阻斷服務 (DDoS) 防護等整合式安全功能。

同樣, SASE 解決方案 將軟體定義網路與網路安全功能結合在一個整合平台中。使用網路安全即服務是 SASE 的基礎。因此,SASE 解決方案的四個關鍵安全元件是 安全 Web 閘道 、雲端存取安全性代理程式、Zero Trust 網路存取和防火牆即服務 (FWaaS)。

值得注意的是,網路即服務和 SASE 並不互斥。事實上,一些 SASE 解決方案使用網路即服務技術作為它們的連線基礎。

透過突破 MPLS 和 SD-WAN 限制來培養網路彈性

MPLS 和 SD-WAN 等現有連線方法是實現網路彈性的障礙。它們使企業難以迅速適應諸如遠端員工或合併辦公室等變化。

MPLS 的挑戰

MPLS 廣域網路並不適合 SaaS 和雲端時代。將公有雲端服務與 MPLS WAN 整合,迫使組織建立具有通道至公有雲端提供者的中樞和支點網路。

這會降低效能,因為所有網站流量都會透過集中式中樞進行回傳。例如,位於倫敦的使用者在存取電子郵件時,其流量可能會前往紐約某個 中樞站點,即使其電子郵件提供者在倫敦設有資料中心也是如此。

此外,MPLS WAN 服務將客戶鎖定在多年合約中,難以快速升級或降級容量。這些合約是出了名的昂貴,並且在新增新網站時會造成延遲。

SD-WAN 面臨的挑戰

另一方面, 軟體定義的 (SD) WAN 使用寬頻網際網路等 WAN 選項來幫助解決傳統 MPLS 的成本和僵化問題。然而,SD-WAN 也有很大的局限性。

一方面,SD-WAN 要求公司在安全工具和其他服務(例如負載平衡器)上設定自己的網路和層。這意味著,SD-WAN 仍然依賴於中樞和支點架構來提供安全服務,並且會遇到效能瓶頸。

SD-WAN 也不管理端到端效能,因為與私人連結或網路不同,它們主要是一種邊緣技術,不控制「 中間一英里 」。(中間一英里將本地網路連接到更大的外部網路,如網際網路或其他網路服務提供者,而不是終端使用者。)如果沒有對中間一英里的控制,組織就會依賴網際網路,而網際網路很容易出現擁塞, 影響整體效能。

網路即服務和 SASE 如何建立網路彈性

由於網路即服務和 SASE 允許組織使用軟體來管理其基礎結構,因此可以輕鬆地擴 展或縮減容量,而不會延遲。

此外,在沒有流量回傳的情況下,員工在存取雲端應用程式時會體驗到更高的效能,從而減少生產力的障礙。

擁有內建保護

組織需要在全球任何地方保護和支援他們的員工。為此,需要一個消除複雜性和安全漏洞的整體安全策略。

然而,許多公司都依賴於多種基於設備的安全解決方案,這帶來了僵化和復雜性。例如,使用 VPN 集訊器、安全 Web 閘道和網路防火牆等不同的解決方案構成了多種原則和分散的威脅資訊。這種方法不僅成本高昂,而且會產生影響應用程式效能和員工生產力的「瓶頸」。

而許多網路即服務解決方案提供內建安全功能,SASE 解決方案正是建立在這個概念之上。有了網路中內建的安全功能,組織不再需要透過一系列安全設備來傳輸流量。這減少了躍點和安全檢查次數,並提高了應用程式效能。

SASE 還透過整合用於管理和更新網路的設備團隊來降低營運成本。此外,安全服務始終與最新的保護保持同步,保護您的組織免受新興或不斷發展的攻擊趨勢。整合式安全服務還可以相互分享威脅情報,確保整體保護。

設計雲端就緒網路

根據 最近的一份 報告 ,92% 的企業採用多雲端策略,而 82% 的企業採用混合雲端策略。遺憾的是,建立支援這種架構的網路具有挑戰性。

雖然一些廠商提供多雲端網路選項,但許多廠商並未與傳統 WAN 整合。這迫使組織尋找複雜的解決方法,將公有雲端服務整合到他們的網路架構中。一些雲端提供者還難以連接到其他雲端服務提供者或內部部署基礎結構,從而限制了架構並造成了廠商鎖定。

因此,組織必須確保他們的網路和安全架構是雲端就緒的,並且可以連接各種雲端型和內部部署的基礎結構。然而,由於這是一個新興的需求,解決此問題的方法可能要在未來幾年內才能出現。

雲端就緒網路和 SASE

雖然許多 SASE 解決方案提供與多個公有雲端服務的連線,但組織必須注意用於提供這些服務的底層平台。與公有雲端服務的網路連線不足會迫使流量通過有限的互連,造成人為的阻塞點並降低效能。

現代 SASE 解決方案從具有密集互連的 全球平台 交付到所有主要的公有雲端服務,可以確保您的應用程式和終端使用者之間快速、安全的連線。

網路現代化的路線圖

雖然 SASE 是最終目標,但大多數組織不會一蹴而就。不過,組織可以採取一些步驟來開始他們的旅程。

步驟 1:新增並保護網際網路連接點

網際網路將繼續成為網路戰略的關鍵要素,SaaS 廠商將繼續最佳化透過網際網路使用的應用程式。新增廉價的網際網路連接點允許公司將一些流量從可能存在於分支機構的舊版 WAN 中轉移出去。將 SaaS 流量直接分流到網際網路會立即提高應用程式效能。

網際網路連接點還可以與 SD-WAN 邊緣技術相結合,以在可用網路選項之間智慧地轉移流量。然而,SD-WAN 仍然不能保證「中間一英里」的效能,需要一個中樞來互連站點和公有雲端服務。放棄中樞和支點架構需要一種新的安全模型,在每個分支裝置上執行原則。

步驟 2:採用網路即服務

網路即服務在大多數資料中心中日漸變得可用,並且正在擴展到辦公樓。NaaS 提供靈活、可程式設計的網路連線,具有端到端的效能控制。使用網路即服務可以更輕鬆地增加和減少容量以及新增網站。此外,NaaS 服務可以使用 GRE 和 IPSec 等基於標準的技術透過網際網路建立虛擬連線。

網路即服務解決方案還可以使用直接連線或交叉連接輕鬆互連到公有雲端服務。從短期來看,網路即服務將提高應用程式效能,從長遠來看,它將顯著降低網路成本。

步驟 3:採用 Zero Trust 安全性

現代 Zero Trust 解決方案跨多個連線選項運作,並同時保護在家和在辦公室工作的使用者。隨著混合工作成為常態,這一功能非常寶貴。Zero Trust 安全不僅可以保護使用者免受網際網路上的威脅,還可以防止勒索軟體攻擊中常見的惡意程式碼橫向傳播。

一旦所有網站都透過網際網路連接點和/或網路即服務連接起來,並且所有應用程式流量都已移轉到新網路,就可以安全地淘汰舊版 MPLS WAN。最好在合約期滿之前就開始計劃這段旅程。

現代化您的網路

Cloudflare 已 建置整合式雲端平台 ,以協助公司建立現代化、靈活的網路。

Cloudflare Magic WAN 用 Cloudflare 網路取代傳統 WAN,並提供各種內建安全功能,如網路防火牆和 Zero Trust 網路存取 (ZTNA)。Magic WAN 是 Cloudflare One 的連線基礎,Cloudflare One 是一種 SASE 解決方案,它將 NaaS 功能與 Zero Trust 安全功能結合到一個單一的綜合平台中。