企业网络设计注意事项

事实并非如此 只是 关于连接.

执行概要

信息技术的见解

连通性和安全性是紧密耦合的

安全、风险和信任模型影响网络的设计和部署. 如果在网络设计时不考虑这些模型, 将采用权宜之计和变通办法来实现所需的目标, 潜在地绕过网络控制.

许多服务不再在网络中

云“淘金热”吸引了许多企业将服务从传统网络迁移到云上. 这些服务现在在传统网络和相关控制之外. 这改变了东西方vs. 南北交通模式, 以及扩展网络以包含企业IT控制范围之外的服务.

用户要求随时随地、任何设备访问模型

用户在哪里访问企业数据或服务，从哪些设备决定所需的连接. 随着越来越多的工作转移，企业正在远程完成, 并不是所有的设备和数据路径都在IT的控制之下. 这种转变不允许IT放弃提供安全网络的责任.

企业网络正在发生变化

新的网络现实

2020年及以后的企业网络正在发生变化:

• 服务正变得更加分散.
• “网络外”提供的服务数量正在增长.
• 用户往往是远程的.
• 安全威胁正在迅速升级.

以上描述仅适用于企业网, 尽管根据网络所支持的业务，每个都可能达到不同的级别. 这取决于当前和不久的将来网络受到的影响, 有不同的通用网络原型，它们最能解决这些问题，同时以适当的价格点交付业务价值.

高级设计注意事项

1. 了解业务需求

了解业务需求是什么以及用户和资源位于何处.

2. 定义您的信任模型

信任是一个范围，与安全紧密相连.

3. 与原型保持一致

网络将如何部署?

4. 了解可用的工具

市场上有哪些工具可以帮助实现设计原则?

了解业务需求

任务

永远不要忽视基础. 从重新审视业务的使命和愿景开始，以解决相关需求.

用户

确定用户将从何处访问服务. 远程vs. “在线”现在比以往任何时候都是一个设计考虑因素.

资源

确定所需的资源及其位置，在网上或网上. 云.

控制

识别所需的控制，以定义控制点和解决方案.

定义信任模型

信任是一个范围

• 信任有一个范围，从完全信任到完全不信任. 每个组织必须为其网络(或其每个区域)决定分配适当的信任级别.
• 网络设计和部署的难易程度与信任范围成正比.
• 当资源和用户不受IT的直接控制时, 应该密切审查适当信任的程度.

隐式的

信任网络中的一切. 安全性是基于边界的，旨在阻止外部参与者进入大型可信区域.

控制

网络中的多个信任区域. 分割是一种标准的做法，以区分较高和较低的信任区域.

零

验证信任. 网络的设置是为了识别和支持最小特权原则，其中只支持所需的访问.

与原型保持一致

原型是一个很好的指南

• 使用已定义的原型作为网络设计的指导原则可以帮助明确适当的工具或网络结构.
• 网络的不同方面可以有不同的原型.g. 它与. OT(操作技术)网络.

传统的

在传统的网络边界内提供服务，在网络边缘提供安全性.

混合动力

服务既可以从外部提供，也可以从传统网络边界内部提供, 安全主要是在网络边缘.

倒

服务主要由外部提供，安全性以云为中心.

传统网络

网络边界内的资源

护城河和城堡的安全防线

摘要

在传统网络中，有明确的安全边界. 信任可以适当地在网络边界内应用, 流量通常通过内部部署的控制点进行路由，这些控制点可能是集中的. 传统网络通常包括大型防火墙和其他“大铁”安全和控制设备.

网络设计原则

• 从资源到用户的完整网络路径由IT设计、部署和控制.
• 网络外部的用户必须首先连接到网络才能访问资源.
• 安全, 风险, 信任控制将由企业内部的硬件/软件设备实现.

控制

在传统网络中, 假设所有需要的控制点都可以在“本地”和中央it控制下的硬件/软件之间充分部署.

信息技术的见解

随着向最终用户提供的云服务的增加, 这种网络现在更常用于数据中心或OT网络.

传统网络

定义特征

• 在IT的控制下，流量在一个定义的路径上流向和从中央IT资源流出.
• 由于能见度, 以及对, 终端用户和资源之间的流量, IT可以相对简单地在自有硬件上实现所需的安全控制.

常见的组件

• 传统的办公室
• 远程用户/公路战士
• 私有数据中心/主机托管空间

混合网络

内部资源和外部网络

网络安全边界与云保护相结合

摘要

混合网络是将传统网络的元素与云资源相结合的网络. 因为其中一些资源不完全在IT的控制之下，可能完全“离线”或松散地耦合到本地网络, 安全边界和控制点不太可能集中. 混合网络允许云部署的灵活性和速度，而不会留下传统的网络结构. 这通常使它们的保护和维护成本很高.

网络设计原则

• 从资源到用户的网络路径可能不在IT的控制范围之内.
• 网络外部的用户必须首先连接到网络才能访问内部资源，但也可以直接访问公共托管的资源.
• 安全, 风险, 信任控制可能通过企业内部硬件/软件设备和外部控制点的混合来实现.

控制

混合网络的特点是公共和私人资源的混合. 这种混合往往需要公共和私人控制点，而这些控制点可能不是同质的.

信息技术的见解

有多个控制点要处理, 注意简化设计，同时解决所有问题，以减轻操作负荷.

混合网络

定义特征

• 在IT的控制下，流量通过定义的路径流向中央资源.
• 云资产的流量可能部分由IT部门控制.
• 中央资源, 进出最终用户的流量可以在自己的硬件上相对简单地实现所需的安全控制.
• 对于公共云资产，IT部门可能对部分路径有控制权，也可能没有控制权.

常见的组件

• 传统的办公室
• 远程用户/公路战士
• 私有数据中心/主机托管空间
• 公有云资产(IaaS/PaaS/SaaS)

倒周长

主要是网络外部的资源

安全控制点以云为中心

摘要

反向周界网络是指安全和控制点覆盖整个工作流程的网络, 在线或离线, 从服务的消费者到服务本身都是零信任的. 因为控制平面被设计为以一种安全的方式包含工作流, 许多底层连接都可以被抽象. 在此部署的极端版本中, IT将抽象终端用户访问, 任何基于云的或本地的资源都可以通过具有上下文感知的精确访问的控制平面安全地发布.

网络设计原则

• 从资源到用户的网络路径由IT通过安全访问服务边缘(SASE)等服务进行抽象和控制。.
• 用户只需要internet访问和适当的凭据就可以访问资源.
• 安全、风险和信任控制将通过基于云的外部服务实现.

控制

反向网络将底层连接抽象出来，重点实现基于云的零信任控制平面.

信息技术的见解

这种模式对于主要使用云服务并拥有大量远程工作人员的组织非常有吸引力.

反网络

定义特征

• 终端用户并不一定要在指定的位置.
• 所有需要访问的中心资源都托管在云资源上.
• IT对终端用户和中心资源之间的路径几乎没有控制.

常见的组件

• 传统的办公室
• 摄政办公室/共享工作空间
• 远程用户/公路战士
• 公有云资产(IaaS/PaaS/SaaS)

了解可用的工具

不要买了锤子就去找钉子

• 必须定义网络原型 为了了解哪些工具(硬件或软件)适合在网络构建或刷新中考虑.
• 工具是专门设计的 如果执行和操作正确，一般设计用于解决具体问题. 选择与你正在解决的挑战相一致的工具，而不是选择工具然后试图用这些购买来克服挑战.
• 购买工具不允许放弃正确的设计. 必须适当地选择和集成工具，以编排最佳解决方案. 购买一个工具并期望它能解决你所有的问题很少会成功.

“拥有好的工具是至关重要的, 但同样重要的是，这些工具应该以正确的方式使用.——华莱士·D. 金合欢

软件定义广域网(SD-WAN)

简化分支机构连接

原型值:传统网络

是什么 不是

SD-WAN通常不是通过降低WAN电路成本来削减开支的方法. 尽管传统上部署在成本较低的通道上, 为了最大限度地降低风险并实现平台的最大收益，许多组织在替换更昂贵的传统电路时，在每个端点安装具有更大带宽的多个电路. 虽然这最大化了技术投资的价值, 这将导致最终成本与传统成本相似，加上或减去一个小百分比.

是什么 Is

SD-WAN是软件定义网络(SDN)的一个子集，专门设计用于部署安全的网络, 集中管理的, 连接不可知, 覆盖网络连接多个办公地点. 这项技术可以用来代替, 协同工作, 或增强更传统的昂贵连接，如MPLS或专用点对点(PtP)电路. 除了安全覆盖层, SD-WAN通常也支持基于策略的, 智能控制, 基于交通和电路智能.

为什么要使用它

你有多个端点位置连接昂贵的低带宽传统电路. 您的目标是增加可见性和控制力，同时尽可能控制成本. 集中管理的便利性和更快找到新地点的能力很有吸引力.

云访问安全代理(CASB)

在用户和云服务之间执行内联策略

原型值:混合网络

是什么 不是

CASBs do not provide network protection; they are designed to provide compliance 和 enforcement of rules. 尽管casb的设计目的是提供对云流量的可见性和控制, 它们通常摄取和利用的数据是有限的. CASB不收集或报告云使用细节, 许可信息, 财务成本核算, 或者云资源的使用是否与部署目的一致.

是什么 Is

CASB旨在建立超出公司环境的安全控制. 它通常用于增强传统解决方案，以将可见性和控制扩展到云中. 保护云中的资产, casb的设计目的是提供集中策略控制，并主要在可见性领域应用服务, 数据安全, 威胁保护, 和遵从性.

为什么要使用它

您可以混合使用本地和云资产. 将资产转移到云端, 您失去了在数据中心实现的传统控制. 现在，您需要对这些云资产的使用具有可见性并应用控制.

安全访问服务边缘(SASE)

云中的安全与业务接入融合

原型值:倒置网络

是什么 不是

虽然这项服务将包括许多服务产品, SASE不是多个服务串在一起. 呈现本平台所提出的价值, 提议的所有功能必须由“单一窗格”下的单一平台提供.“SASE不是一项成熟和完善的服务. 市场仍在固化，全方位服务的定义仍不确定.

是什么 Is

SASE存在于网络即服务和网络安全即服务的交汇处. 它是许多网络和安全云产品(如CASB)的超集, 安全web网关, SD-WAN, 广域网优化. SASE提供商提供的任何服务都将被云托管, 以单个堆栈呈现, 通过一块玻璃进行控制.

为什么要使用它

您的网络是反向的，服务主要作为云资产提供. 在充分实现此部署的价值, 您将抽象用户获得初始网络访问的方式和位置，同时保持对通信和数据流的控制.

活动

了解您的企业网络选项

活动:一小时内进行网络评估

• 了解 企业网络路线图技术评估工具
• 完成 企业网络路线图技术评估工具

本次活动涉及以下参与者:

• IT战略方向决策者.
• 负责网络的IT经理.
• 评估关键任务应用平台的组织.

这一步的结果:

• 完成 企业网络路线图技术评估工具

信息技术的见解

在考虑安全性和遵从性的情况下审查您的设计选项. 基础设施不再是一个独立的实体，现在与软件定义的网络和安全解决方案紧密集成.

在一小时内建立一个评估

了解 企业网络路线图技术评估工具.

本工作簿根据您的组织的需要，提供了对技术准备情况的高级分析.

• 然后，工作簿将该技术放在一个图表上，该图表测量准备情况和适合您的组织. 除了, 它提供了对特定问题的警告，并让你知道你的答案是否有相当大的不确定性.
• 现在你可以一目了然地传达你正在做什么来帮助公司:
  • 成长
  • 省钱
  • 降低风险
• 不管你的特定受众是谁，这些都是重要的故事.

在一小时内建立一个评估

完成 企业网络路线图技术评估工具.

不需要详细的分析和定制，只需要呈现前方道路的快速快照.

1. 权重:调整“权重”选项卡以满足组织的需要. The provided weightings for the overall solution areas are based on a 通用的 firm; individual firms will have different needs.
2. 数据输入:对于每个类别，回答您正在考虑的技术的问题. 完成问卷后，转到下一个选项卡查看结果.
3. 结果:企业网络路线图技术评估工具为您的组织定制的您所选择的技术提供了价值与准备情况的评估.

相关信息技术研究

有效获取基础设施服务

获得一项服务就像购买一种体验. 不要将购买硬件的简单性与购买体验混为一谈.

外包IT基础设施以提高系统可用性、可靠性和恢复能力

只有很少的IT基础设施组件是你应该在内部安装的——其他的都外包出去.

构建基础设施路线图

超越一致性:把自己放在真正商业价值的驾驶座上.

通过稳健的RFP流程驱动成功的采购结果

利用您的供应商采购流程来获得更好的结果.

研究作者

斯科特·杨，信息技术研究小组首席研究顾问

斯科特·杨(斯科特年轻)是信息技术研究集团基础设施研究主管. 斯科特在技术领域工作了17年多, 重点关注电信和企业基础设施体系结构. 他在这些专业领域具有丰富的实践经验, 包括IP网络, 服务器硬件和操作系统, 存储, 和虚拟化.

特洛伊Cheeseman，信息技术研究小组实践主管

Troy拥有超过24年的经验，并支持大型企业范围的技术转型计划, 远程/家庭办公协作和远程工作策略, BCP, 它的组成, IT运营和费用管理程序, 国际配股计划, 和大型技术改造计划(M&A). 另外, 他拥有与IT解决方案提供商和技术(云)初创公司合作的丰富经验.

参考书目

Ahlgren,说. 信息网络的设计考虑.” ACM数字图书馆， 12月21日. 2008.

考克斯公司. “数字化转型已经到来. 你的企业准备好升级你的移动工作方程式了吗?” BizJournals, 2022年4月1日. 2022年4月访问.

爱尔摩,艾德. “与SASE集成安全性和网络的好处.” 技术雷达, 2022年4月1日. 网络.

格林菲尔德,戴夫. “从SD-WAN到SASE:广域网如何演进?.” 卡托网络, 2020年5月19日. 网络

Korolov,玛丽亚. “什么是SASE ?? 将SD-WAN与安全性结合在一起的云服务.” 网络世界中, 9月7日. 2020. 网络.

Korzeniowski, Paul:“CASB工具不断发展，以满足更广泛的云安全需求.” TechTarget的, 2019年7月26日. 2022年3月访问.