作者: Colin Jao 饒康立 – VMware資深技術顧問,主要負責VMware NSX產品線,目前致力於網路虛擬化、分散式安全防護技術與SD-WAN方案的介紹與推廣。
本篇網誌內,我們要談一個常在與客戶討論時碰到的必考題:我們的重要應用網路流內有個資以及重要交易資料,而因為這個這個法規,那個那個稽核,我們的某個核心應用網路流就是不准在Internet上面跑耶。而現在這些線路都有獨立設備、獨立線路處理,在SD-WAN架構內要怎麼做呢?
這個問題不僅是在像是有信用卡交易,要符合PCIDSS的零售業客戶,也常會出現在金融、政府等客戶的討論內。應用與法規最大,如果現在的要求就是某個業務必須只能在獨立專有線路上傳輸,一定要加密,像這樣的要求NSX SD-WAN可以滿足嗎?
當然是可以的。幾個機制可以確保最重要的核心業務 / 交易資料能夠受到最嚴密的區隔與保護。首先,在我們前面介紹對於不同應用的政策配置時有討論到,對於各個應用或是群組,可以設置其線路轉送的配置為Mandatory / Preferred / Available。其中,如果我們要將某種應用鎖在特定線路上,可以選擇Mandatory。
在下圖內,我們可以把PCI相關的交易資料放置在Link A這條私有專有線路上,而政策設定為Mandatory。此時在任何狀況下,這些交易流都不會跑到Internet線路上。但同樣的,此時如果私有線路出現斷線,交易流也不會切換到其他的共享線路去喔。
第二個常遭遇的狀況是企業可能進一步希望把機敏交易資料傳輸的路由控制、IP配置等都獨立。而與其要購買獨立的設備,Velocloud也有支援Segmentation / VRF等機制來做企業內不同部門、用途、業務間的獨立配置。在下圖內,有些外點只是單純的業務辦公室 (Branch 1),有些外點除了員工內部的連線外也提供訪客的Internet連線 (Branch 2),而也有些店舖內有開放給客戶的Internet連線以及交易的信用卡相關傳輸需求 (Retail Store)。在這裡,各種不同需求的Application可以藉由不同的Segmentation區塊,或是不同的VRF (Virtual Routing and Forwarding)來獨立進行政策配置與路由控制。在Datacenter端的Edge接收到這些網路流後,會依據不同的Segment各自往後傳輸。
在Segmentation的機制內,有幾個好處:
- 依據Segment來定義路由與應用政策。各Segment有獨立的配置。
- 不同的Segment內,可以配置Overlapped的IP地址。
- 各個Segment間可以做到完全阻隔 (Isolation)。
第三個機制是加密。除了被分類為”Direct”,直接往Internet網站送的低優先權類應用,所有Velocloud構件間的,如Edge-to-Edge / Edge-to-Gateway間的DMPO通道,都會強制加密。因此無論重要應用是通過Internet路徑或是MPLS私有線路傳送,都沒有在傳輸過程中有資料洩漏的問題。
對於核心機敏與交易資料的保護是SD-WAN要能夠發展與落實的重大要點,而Velocloud的主要客戶許多都是極大的零售業廠商,對於信用卡交易資料的保護、PCIDSS的合規更是異常重要。Velocloud目前已經是PCIDSS的Level 1 Service Provider,也是各個SD-WAN廠商內唯一取得PCI認證的方案。在下圖內,大家可以看到在各項PCIDSS需求內,Velocloud都已經取得合規。
通常在信用卡交易支付這邊的安全規範已經相當的完備,而Velocloud這種Cloud-Network的機制能在PCIDSS架構下合規,希望能夠讓大家感受到這是一個足夠安全的架構,可以讓企業安心把最重要的業務流也能跑在SD-WAN環境內。
