Vũ Minh Đức-D17CQVT08-B 35
3.1.5 Giá trị kinh tế
3.1.5.1 Tăng băng thông theo cách hiệu quả về chi phí
Theo những nghiên cứu báo cáo rằng Cisco SD-WAN đã giúp cân bằng giữa hiệu suất và chi phí mạng WAN. Các doanh nghiệp đã tăng đáng kể lượng băng thông khả dụng với Cisco SD-WAN ngay cả khi họ đã giảm chi phí cung cấp băng thơng. Các tổ chức cho rằng họ có khả năng tăng băng thơng ngay cả khi họ giảm chi phí xuống một số trong số các yếu tố được Cisco SD-WAN kích hoạt, bao gồm:
● Dễ dàng thêm băng thơng ít tốn kém hơn từ nhà cung cấp khác. ● Sử dụng băng thông hiệu quả hơn để chạy các ứng dụng kinh doanh. ● Ưu tiên lưu lượng mạng và có khả năng tổng hợp băng thơng.
● Đảm bảo các cấp độ dịch vụ trên các địa điểm và trang web, do đó sử dụng băng thơng một cách nhất quán hơn.
Để có thể đạt được những hiệu quả liên quan đến băng thông này một phần lớn là do các chức năng của Cisco SD-WAN liên quan đến tự động hóa và ưu tiên dựa trên chính sách. Kết quả được thể hiện trong Hình 3.11, chúng đã tăng hơn gấp đơi lượng băng thơng có sẵn cho hoạt động kinh doanh (tăng 125%). Điều quan trọng là khi đã giảm chi phí kết nối trung bình 21%.
Hình 3.11: Băng thơng mạng với SD WAN
Hiệu quả chi phí liên quan đến kết nối được Cisco SD-WAN hỗ trợ cho những người tham gia nghiên cứu đặc biệt đáng kể khi xem xét tăng băng thông. Các tổ chức được phỏng vấn không chỉ nhận ra thực tế tiết kiệm chi phí, nhưng cũng tránh các chi phí bổ sung đáng kể mà nếu không cần phải gánh chịu để đạt được mức băng thơng tương đương. Theo tính
Vũ Minh Đức-D17CQVT08-B 36
tốn của IDC đã phỏng vấn khách hàng đang chi tiêu trung bình ít hơn 65% cho kết nối so với những gì họ muốn cung cấp các mức băng thơng tương đương.
Hình 3.12: Chi phí kết nối với SD-WAN
3.1.5.2 Kết nối các hoạt động với sự nhanh nhẹn và hiệu suất mạng mạnh mẽ
Các tổ chức thường khó khăn để mở rộng mạng WAN của mình một cách hiệu quả và cung cấp chất lượng cần thiết của hiệu suất ứng dụng tại các địa điểm không trung tâm. Như thể hiện trong Hình 3.13, các tổ chức này đã có những bước tiến mạnh mẽ trong việc để môi trường WAN của họ phù hợp với các yêu cầu kinh doanh của họ với Cisco SD- WAN, cải tiến đáng kể về các chỉ số liên quan đến tính linh hoạt, chẳng hạn như mở rộng mạng WAN của họ đến các địa điểm mới (nhanh hơn 44%) và giảm thời gian cần thiết để thực hiện thay đổi chính sách mạng hoặc cấu hình (nhanh hơn 58%). Một tổ chức giải thích: “Thực hiện thay đổi mạng là một thay đổi lớn với Cisco SD-WAN. Trước đây, việc thực hiện các thay đổi mạng để hỗ trợ các dịch vụ dựa trên internet phải mất nhiều tháng. Giờ đây, mạng cung cấp sự linh hoạt, nơi các dịch vụ có thể được triển khai trên đám mây ngay lập tức. ”
Độ trễ của ứng dụng, liên quan nhiều đến trải nghiệm người dùng, giờ đây trung bình tốt hơn gần hai lần (thấp hơn 45%) và họ có thể bắt đầu các dịch vụ mới nhanh hơn đáng kể (59%). Các chỉ số này nhằm nghiên cứu khả năng được cải thiện của những người tham gia trong việc hỗ trợ doanh nghiệp của họ với các ứng dụng và dịch vụ có hiệu suất cao và kịp thời với Cisco SD-WAN, giúp đáp ứng tốt hơn các mục tiêu kinh doanh.
Vũ Minh Đức-D17CQVT08-B 37
Hình 3.13: Sự linh hoạt và hiệu suất kinh doanh
3.2 Truy cập Internet trực tiếp an toàn
Trong mạng diện rộng truyền thống, lưu lượng truy cập internet từ một trang chi nhánh được gửi đến một vị trí trung tâm như trung tâm dữ liệu hoặc trang trung tâm khu vực. Điều này cho phép lưu lượng truy cập trở lại từ internet được kiểm tra bởi một ngăn xếp bảo mật trước khi được gửi trở lại chi nhánh. Điều này được thực hiện theo cách truyền thống do chi phí triển khai ngăn xếp bảo mật ở mọi vị trí rất cao.
Khi nhu cầu về lưu lượng truy cập internet ngày càng tăng, nhiều công ty đang sử dụng các dịch vụ đám mây như SaaS (ví dụ: Office 365, Box) và IaaS. Ngoài ra, nhiều ứng dụng khác được dựa trên internet, nhiều nhân viên kinh doanh đang làm việc từ xa và các thiết bị Internet of Things (IoT) cũng đang địi hỏi băng thơng rộng.
Việc điều chỉnh lưu lượng truy cập đến một trang trung tâm để truy cập internet làm tăng việc sử dụng băng thông tại trang trung tâm. Như thể hiện trong hình 3.14, điều này là do lưu lượng truy cập phải được tạo đường hầm đến trang trung tâm trước khi truy cập internet, điều này cũng có thể tiêu tốn băng thông cao cấp từ chi nhánh đến trang trung tâm. Ngăn xếp bảo mật và các thiết bị mạng tại vị trí trung tâm cần phải đáp ứng được băng thông đến từ các nhánh. Các ứng dụng cũng bị tăng độ trễ, dẫn đến giảm hiệu suất của ứng dụng.
Vũ Minh Đức-D17CQVT08-B 38
Hình 3.14: Hỗ trợ lưu lượng truy cập internet thông qua trung tâm
3.2.1 Truy cập Internet trực tiếp
Direct Internet Access (Truy cập Internet Trực tiếp) cải thiện trải nghiệm Internet cho người dùng chi nhánh bằng cách loại bỏ độ trễ trong việc điều chỉnh lưu lượng truy cập vào một điểm trung tâm. Nó làm giảm tiêu thụ băng thơng tại địa điểm trung tâm, do đó cũng giảm chi phí mạng WAN.
Giải pháp Cisco SD-WAN DIA an tồn và dễ thực hiện. DIA được cấu hình cho các ứng dụng cụ thể và giữ cho các ứng dụng quan trọng của doanh nghiệp trên các liên kết WAN cao cấp.
Ví dụ trong hình 3.15, DIA có thể được bật cho các ứng dụng duyệt Internet và SaaS, trong khi các ứng dụng quan trọng về độ trễ hoặc nhạy cảm với độ trễ kinh doanh như thoại có thể vẫn cịn trên các mạch WAN riêng.
Kế thừa của giải pháp Cisco SD-WAN là khả năng phân khúc người dùng. Phân khúc rất hữu ích trong việc giữ nhân viên và khách tách biệt. Cisco SD-WAN cho phép cấu hình DIA cho một phân đoạn VPN, cho phép kiểm soát truy cập internet trên cơ sở mỗi phân đoạn VPN.
Người dùng và mạng chi nhánh có thể được bảo mật từ internet bằng cách triển khai các tính năng bảo mật SD-WAN của Cisco. Các tính năng bảo mật bao gồm tường lửa nhận biết ứng dụng, bảo vệ chống xâm nhập, lọc URL, Bảo vệ phần khỏi mềm độc hại và bảo mật DNS.Các tính năng bảo mật này có thể được triển khai trên chính bộ định tuyến WAN Edge hoặc dưới dạng dịch vụ bảo mật tích hợp của bên thứ ba.
Vũ Minh Đức-D17CQVT08-B 39
Hình 3.15: DIA cho các phân đoạn VPN khác nhau từ chi nhánh
3.2.2 Chính sách bảo mật
Với Cisco SD-WAN, chi nhánh có thể cho phép người dùng khách hoặc nhân viên truy cập internet trực tiếp, giúp:
● Cải thiện trải nghiệm ứng dụng
● Giảm tải lưu lượng truy cập Internet từ các kết nối WAN cao cấp
● Giảm nhu cầu về các thiết bị bảo mật tại mọi địa điểm, bằng cách cung cấp các tính năng bảo mật tích hợp bao gồm tường lửa nhận biết ứng dụng, lọc URL, IPS / IDS, Bảo vệ chống phần mềm độc hại nâng cao (AMP) và bảo mật DNS.
3.2.3 Quyền truy cập của khách
Đối với quyền truy cập của khách, bảo mật có thể được bật trực tiếp trên bộ định tuyến WAN Edge hoặc bằng cách định tuyến lưu lượng DIA thông qua nhà cung cấp bảo mật đám mây. Các ưu tiên chính cho lưu lượng DIA của khách là:
● Hạn chế quyền truy cập vào một số điểm đến internet nhất định ● Bảo vệ mạng khỏi phần mềm độc hại và / hoặc nội dung độc hại ● Hạn chế sử dụng băng thông cho khách.
Tường lửa nhận biết ứng dụng có thể được bật trên bộ định tuyến WAN Edge để kiểm tra lưu lượng truy cập từ các thiết bị khách đến internet. Trong sơ đồ 3.16 lưu lượng giữa các máy chủ và máy chủ ứng dụng qua internet được bộ định tuyến WAN Edge kiểm tra.
Vũ Minh Đức-D17CQVT08-B 40
Hình 3.16: Tường lửa nhận biết ứng dụng cho lưu lượng DIA từ khách
Tính năng lọc URL hoạt động trên bộ định tuyến WAN Edge để hạn chế lưu lượng khách truy cập vào các điểm đến nhất định trên internet. Trong hình 3.17 bên dưới, người dùng khách được phép truy cập vào "www.abc.com" nhưng bị từ chối truy cập vào "www.xyz.com".
Vũ Minh Đức-D17CQVT08-B 41
3.2.4 Quyền truy cập của khách thông qua nhà cung cấp bảo mật đám mây
Thay vì bật bảo mật SD-WAN trên bộ định tuyến chi nhánh, khách hàng cũng có thể chọn định tuyến lưu lượng truy cập Internet liên kết đến nhà cung cấp bảo mật đám mây như thể hiên trong hình 3.18. Lưu lượng truy cập bắt nguồn từ phân khúc khách được chuyển hướng đến nhà cung cấp bảo mật đám mây thông qua đường hầm điểm-điểm (IPSec hoặc GRE). Trong trường hợp này, nhà cung cấp bảo mật đám mây cung cấp bộ lọc bảo mật cần thiết cho lưu lượng DIA.
Hình 3.18: Lưu lượng truy cập DIA của khách thông qua nhà cung cấp bảo mật đám mây
3.2.5 Quyền truy cập của nhân viên
Cũng như quyền truy cập của khách, nhân viên có thể có quyền truy cập vào các điểm truy cập internet bị hạn chế bằng cách bật bảo mật SD-WAN.
Các ưu tiên chính cho lưu lượng nhân viên là:
● Hạn chế quyền truy cập vào một số điểm đến internet nhất định
Vũ Minh Đức-D17CQVT08-B 42
Hình 3.19: IPS / IDS được kích hoạt để bảo vệ khỏi các mối đe dọa từ internet
Cùng với tính năng lọc URL và tường lửa nhận biết ứng dụng, bộ định tuyến WAN Edge có thể được kích hoạt với các tính năng bảo mật nâng cao như IPS / IDS và AMP trong hình 3.19 để ngăn nhân viên tải xuống nội dung độc hại từ internet. Trong sơ đồ sau, bộ định tuyến WAN Edge được kích hoạt với IPS và ngăn các gói tin độc hại từ internet xâm nhập vào phân khúc nhân viên.
Tận dụng tính năng AMP, bộ định tuyến WAN Edge có thể ngăn nhân viên tải xuống tệp độc hại từ internet bằng cách kiểm tra danh tính của tệp, hình 3.20. Bộ định tuyến WAN Edge nói chuyện với hệ thống cảnh báo nguy hiểm thơng minh (CTI) trong nền nếu danh tính tệp khơng xác định và cần sandboxing. Lưu ý rằng các tính năng IPS / IDS và AMP cũng có thể được sử dụng trong trường hợp sử dụng truy cập khách nếu cần.
Vũ Minh Đức-D17CQVT08-B 43
Hình 3.20: Danh tính tệp và phân tích
3.2.6 Giám sát an ninh
Bảng điều khiển vManage của Cisco có thể được sử dụng để theo dõi các yếu tố khác nhau đối với lưu lượng DIA. Đối với các thiết bị riêng lẻ, các yếu tố như băng thông giao diện, mức sử dụng ứng dụng, thông tin luồng thời gian thực và bản dịch NAT có thể được theo dõi. Bảng điều khiển bảo mật có thể hiển thị các khía cạnh khác nhau của bảo mật được kích hoạt cho lưu lượng DIA.
Ảnh chụp màn hình sau của bảng điều khiển bảo mật cho thấy hoạt động thực thi tường lửa, dữ liệu IPS / IDS, kết quả lọc URL và số lượng Bảo vệ chống phần mềm độc hại nâng cao. Đi sâu vào từng biểu đồ cung cấp thêm thông tin.
Vũ Minh Đức-D17CQVT08-B 44
Hình 3. 21: Bảng điều khiển bảo mật SD-WAN
Hình 3. 22: Thực thi tường lửa giảm theo thời gian
3.2.7 Giá trị kinh tế
3.2.7.1 Giảm rủi ro liên quan đến hiệu suất mạng WAN
Bằng cách tận dụng tự động hóa và các kiến trúc WAN mạnh mẽ hơn, chúng đã giảm cả tỷ lệ mắc và thời gian xảy ra các sự cố ảnh hưởng. Một tổ chức đã nhận xét về việc tăng khả năng phục hồi của mạng bằng cách cung cấp thêm dung lượng: “Chúng tơi đã giảm rõ rệt tình trạng mất mạng với Cisco SD-WAN.
Một trong những điều chúng tôi đã làm khi chuyển sang Cisco SD-WAN là cung cấp kết nối 4G với nó. Điều đó đã tạo ra một sự khác biệt lớn trong việc giảm thời gian chết." Một khách hàng khác được phỏng vấn của Cisco có các vấn đề về hiệu suất mạng hạn chế: “Sự xuống cấp của mạng xảy ra nếu một trong các mạch được khởi động nhưng nó hoạt động
Vũ Minh Đức-D17CQVT08-B 45
không tốt và đây là lĩnh vực mà Cisco SD-WAN đã giúp ích rất nhiều. Trước đây, chúng tôi thường nhận được cái mà chúng tơi gọi là 'ticket chậm', và chúng có lẽ đã được giảm 70%." Những người tham gia nghiên cứu đã giảm tác động của thời gian ngừng hoạt động ngoài kế hoạch đối với mạng WAN của họ trung bình là 94%, làm giảm năng suất của người dùng bị mất từ mức trung bình hơn 2 giờ / người dùng mỗi năm xuống dưới 10 phút. Thống kê được thể hiện trong bảng 3.1.
Bảng 3.1: Tác động đến Nhóm quản lý cơ sở hạ tầng mạng
3.2.7.2 Bảo mật mạng WAN nâng cao và mạnh mẽ thông qua phân đoạn
Các tổ chức được phỏng vấn cũng báo cáo việc cải thiện tính bảo mật của mạng WAN của họ với Cisco SD-WAN. Đối với một số các tổ chức, việc định lượng giá trị của bảo mật được cải thiện là một thách thức, nhưng họ vẫn cơng nhận nó là lợi ích cốt lõi của Cisco SD-WAN. Đặc biệt, họ cho rằng những cải tiến và hiệu quả trong việc đảm bảo bảo mật cho các khả năng đạt được với Cisco SD-WAN về mặt phân đoạn mạng cho người dùng và cụ thể ứng dụng và dịch vụ.
Một tổ chức hiện có thể dễ dàng cân bằng các mối quan tâm về an ninh và kinh doanh hơn:“Thực tế là chúng tơi có thể thực hiện phân đoạn đầu cuối với Cisco SD-WAN đã cho phép chúng tôi xây dựng một khuôn khổ để đưa các thiết bị vào mạng mà có thể chúng tơi khơng hồn tồn tin tưởng nhưng doanh nghiệp muốn trong khi vẫn đảm bảo an toàn cho mạng”.Một tổ chức khác ghi nhận lợi ích của việc phân đoạn từ góc độ hiệu suất: “Chúng tơi có thể phân đoạn lưu lượng mạng với Cisco SD-WAN, tính năng mới đối với chúng tơi. Về mặt hiệu suất, chúng tơi có thể chọn phương tiện giao thơng phù hợp dựa trên cách mạng đang hoạt động tại thời điểm đó, đó là vấn đề chính sách nhiều hơn. Ví dụ: chúng ta có thể định tuyến lại giao thơng nói để xử lý lưu lượng video. Đó là một sự cải tiến ”.
Cisco SD-WAN đã giảm bớt những thách thức liên quan đến việc mở rộng và bảo mật môi trường WAN đồng thời cho phép cải thiện nhiều hiệu suất và độ tin cậy của mạng. Tất cả những yếu tố này đều cần thiết đối với các tổ chức để có thể tối đa hóa việc tạo ra giá trị thơng qua các hoạt động phân tán của họ và để giảm thiểu rủi ro kinh doanh
Vũ Minh Đức-D17CQVT08-B 46
3.3 Hiệu suất ứng dụng đám mây
Cisco SD-WAN cung cấp tính năng Cloud onRamp cho phép hiển thị các ứng dụng SaaS (Software as a Service) và đưa ra quyết định chuyển tiếp theo thời gian thực. Kiến trúc mạng WAN truyền thống không được thiết kế để tối ưu cho cloud. Khi các doanh nghiệp chuyển sang dùng các ứng dụng SaaS chẳng hạn như Office365 và các public cloud như AWS và MS Azure, hạ tầng mạng hiện tại cho thấy nhiều vấn đề liên quan đến sự phức tạp và các trải nghiệm của người dùng cuối. Giải pháp SD-WAN bao gồm các chức năng để tối ưu các ứng dụng SaaS (Software as a service) và IaaS (Infrastructure as a Service). Tính năng này được gọi là Cloud OnRamp.
Cloud OnRamp cho phép các trải nghiệm tốt nhất cho các ứng dụng SaaS bằng cách