כיצד בוחרים את פתרון ה-SD-WAN הנכון?

בחירה בפתרון הנכון תאפשר לספקי שירותים להציע פלטפורמה לשירותים מנוהלים שניתן לצמצם ולמקד עד רמת הלקוחות העסקיים הקטנים ביותר, או להרחיב עד לרמה של הארגונים הבינלאומיים הגדולים ביותר

26/01/2020 15:33
איציק מלכה, מנכ"ל ג'וניפר נטוורקס בישראל. צילום: ניב קנטור

לכל הארגונים ישנו מכנה משותף אחד – אצל כולם גובר הצורך באבטחת מידע עבור קישוריות ללקוחות שלהם, ליישומים בענן, לכלים ולמשאבים מולם הם נדרשים להתמודד. דרישות רשת ה-IT שלהם ממשיכות לעלות, איומי האבטחה ממשיכים להתגבר, הדרישה לרוחב פס ממשיכה לגדול והמעבר לענן מגדיל את מורכבות ה-WAN.

בעבר, ספקי שירותים מנוהלים התמודדו מול אתגרים אלו בעזרת פורטפוליו מגוון של שירותי קישוריות WAN. אך ככל שצרכי הארגון התפתחו, כך צרכי השירותים המנוהלים של ארגוני ה-IT מתרחבים. ארגוני IT רוצים גמישות וזריזות רשת גבוהות יותר, ראות טובה יותר של ביצועי הרשת ואבטחת המידע, יכולת ניטור והתאמת זרימת תעבורת הנתונים ביישומים, והיכולת לפרוס ולנהל אתרי סניפים מרחוק. יתר על כן, הם רוצים לעשות כל זאת דרך מסך אחד, השולט הן על רשתות ה-LAN, והן על הרשתות האלחוטיות.

בעזרת בחירה בפתרון ה-SD-WAN הנכון, ספקי שירותים יוכלו להציע פלטפורמה לשירותים מנוהלים שניתן לצמצם ולמקד עד רמת הלקוחות העסקיים הקטנים ביותר, או להרחיב עד לרמה של הארגונים הבינלאומיים הגדולים ביותר. אך מה הם המרכיבים העיקריים שארגונים צריכים לקחת בחשבון לפני הטמעת הפתרון?

תיעדוף יכולות אבטחה משולבות

בעוד כמה מפתרונות ה-SD-WAN מציעים את היכולת לשלב פתרונות אבטחת מידע של צד שלישי, ברבים מהמקרים פתרונות אבטחה אלו אינם משולבים במלואם בסביבת ה-SD-WAN. וכך נותר משתמש הקצה לנהל שני פתרונות, לרוב דרך פלטפורמות ניהול שונות. גישה זו נקראת גישת אינטגרציית bolt-on, במסגרתה מסתכלים על אבטחת המידע כשיקול אחרון.

לעומת זאת, פתרונות SD-WAN מלאים מספקים פתרונות הכוללים בתוכם פיירוול הדור הבא. דרך זו מאפשרת אבטחה איתנה ל-SD-WAN endpoints ולרשת עצמה, לרבות צד ה-WAN וצד ה-LAN של תיחום ה-CPE. בנוסף, פתרונות אלו מציעים לרוב אינטגרציה עם יכולות אבטחת מידע מתקדמות כמו UTM ו-ATP.

חומרת SD-WAN ויכולת הפעלה הדדית

בעוד ה-SD-WAN controller הינו תוכנה, פתרונות ה-SD-WAN עדיין דורשים חומרה או תוכנה ב- endpoints (נקודות קצה) עבור קישוריות. שוב, אנו מוצאים כי לא כל ספקי ה-SD-WAN endpoints שווים. חלק מהספקים יספקו חומרת OEM או קופסאות בדיקה לבנות (white box) עבור הפתרונות שלהם, אשר במקרים רבים מוגבלים ביכולתם לגדול ואינם מספקים את היכולת להוסיף פיצ'רים נוספים, יכולות או שירותים. במקביל, חלק מהפתרונות מוגבלים לספק מסוים או לסביבה מוגדרת מראש.

לפיכך, זה עוזר להשתמש בפתרון התומך במנעד רחב של סוגי מוצרים, על מנת לכלול את כל הצרכים בפתרון אחד התומך באותם רכיבים ומדיניות. הדרך הטובה ביותר היא שהספק יאפשר גישת תבנית (template), המשכפלת את אותן תבניות על פני כל נקודות הקצה. חשוב מאד לבחור ספק אשר יכול לתמוך בנקודות קצה בענן עם נקודות קצה וירטואליות מבוססות תוכנה, אשר יכול לתמוך במקומות מרוחקים בכל מקום שיהיו, דרך כל אפשרויות קישור זמינות, עם תמיכה רחבה יותר לממשקי רשת, כולל 4G/LTE, וכזה שהחומרה שלו מאובטחת.

תקנים פתוחים ומדרגיות

פתרונות מבוססי תקנים פתוחים (Open Standards), הפועלים לרוב על בסיס הפעלה הדדית, מאפשרים יכולות התאמה גבוהות יותר של הפתרון עצמו, ולרוב גמישים וזריזים יותר להטמעה, לשימוש ולניהול. פתרונות ה-SD-WAN הטובים יותר בשוק כוללים Open APIs, ומשתמשים בפרוטוקול ניתוב סטנדרטי. זה חשוב משום שפתרונות אלו יכולים לשלב פונקציות רשת אחרות לתוך סביבת ה-SD-WAN, ושהם יאפשרו לשלב יותר מיכולות רשת ה-WAN/LAN לתוך פורטל ניהול ה-SD-WAN. פורטל המספק מסך ניהול והגדרה אחד אשר עוזר, בסופו של דבר, לבצע אוטומציה ופישוט של ה-WAN.

לא רק שעל הפתרון להיות פתוח, עליו להיות גם מדרגי (scalable). רוב פתרונות ה-SD-WAN תומכים בחיבורי 10M-1G עם מספר מאות נקודות קצה. לעומת זאת, עבור דרישות רשת גדולות יותר, ארגונים צריכים להסתכל על ספקים אשר יכולים לתמוך בלמעלה מ-10,000 נקודות קצה, יכולים לגדול מנקודות קצה וירטואליות מבוססות תוכנה לכמות גדולה יותר של endpoints NGFW, ולפתרונות שיכולים לתמוך ב- 100Gbps של תעבורת רשת. פתרונות SD-WAN מתקדמים אלו מאפשרים קיבולת גדולה יותר, ורסטיליות, תמיכה בצמיחת העסק ומבטיחים שפתרונות ה-SD-WAN יוכלו לתמוך בנקודות קצה בכל האזורים והתרחישים.

אמינות ושרידות

כאשר אתם בוחנים פתרונות SD-WAN עבור שרידות (redundancy), חפשו פתרונות בעלי קונטרולרים בעלי יכולות צמיחה אופקית וזמינות גבוהה. חשוב לבחור פתרונות המספקים אשכולות בקרת מחשוב בעלי שרידות גיאוגרפית (geographically redundant controller clusters). רוב פתרונות ה-SD-WAN משתמשים במכשירי gateway (צמתי מחשוב) לתקשר בין הבקר ל-CPE endpoints. ישנה אפשרות להשתמש במכשירים נוספים כמרכזיה (hub) לחיבור מכשירי CPE ביחד. חשוב לבחור בפתרונות התומכים בשרידות מרכזיות וצמתי מחשוב. SD-WAN מספק תמיכה ב-redundant link, עם פתרונות רבים לתמיכה בריבוי דרכים.

חשוב גם להבין שהפתרונות הטובים יותר יספקו תמיכה בתצורות הגדרת פעיל/גיבוי וכן כ-פעיל/פעיל. במידה שהקישור הפעיל נופל, או שתעבורת הרשת תוסט למסלול הגיבוי, או במקרה של פעיל/פעיל, תופץ על גבי מסלולים פעילים אחרים. לבסוף, כמה ארגונים ידרשו גם תמיכה בשרידות מכשירי CPE. לכן, פתרון מדרגי אמין באמת יציע CPE הניתן להגדרה באשכול מחשוב CPE דואלי, עם תמיכה פעילה בתקלות.

לסיכום: ישנם מספר ספקים האומרים שהם מציעים את התמהיל הנכון של יכולות SD-WAN אלו, אך כרגע על הצרכן להיזהר ולבדוק אם הפתרונות עומדים בהגדרה המחמירה ביותר. לדוגמה, לא כל פתרונות ה-SD-WAN זמינים ברמה גבוהה, ניתנים לשדרוג אופקי, מיועדים למספר משתמשים מרובה, מאפשרים בקרת גישה מבוססת תפקידים, או בעלי שרידות מלאה. לכן חשוב לשקול את כל הגורמים לפני השקעה בפתרון. אך על ידי יצירת האיזון הנכון בין אבטחה משולבת, יכולת פעולה הדדית, מדרגיות ואמינות, ספקי השירותים המנוהלים יהיו ממוקמים היטב כדי לענות על צרכי ה-IT המתפתחים של הלקוחות שלהם.

הכותב הוא מנכ"ל ג'וניפר נטוורקס בישראל

תגובות

(1)

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *

אין לשלוח תגובות הכוללות דברי הסתה, דיבה, וסגנון החורג מהטעם הטוב

אירועים קרובים