案例分享 ｜ 大型全球企業(yè)是怎么做IT基礎(chǔ)設(shè)施運(yùn)維的？

深夜9點(diǎn)，Alan在完成一天的“日志分析”、“事件處理”、“配置變更”等眾多瑣碎的工作后，終于有時(shí)間檢查一下躺在收件箱里兩封特別顯眼的郵件：

一封來自采購，質(zhì)詢這次新辦公室更換VPN供應(yīng)商的原因；

另一封來自法務(wù)，采購SD-WAN設(shè)備的合同細(xì)節(jié)上還有一些問題需要重新修改。

新辦公室還有半個月就要投入使用了，配套設(shè)備的采購合同還卡在流程里。作為公司全球基礎(chǔ)架構(gòu)運(yùn)維團(tuán)隊(duì)的負(fù)責(zé)人，想起Leader對自己“關(guān)注頂層設(shè)計(jì)、賦能業(yè)務(wù)流程、體現(xiàn)價(jià)值”的要求，還有團(tuán)隊(duì)管理、資源協(xié)調(diào)、商務(wù)流程甚至在緊急時(shí)刻還要親自“救場”動手實(shí)施，似乎對立的兩面讓Alan不禁有點(diǎn)頭大。

Alan所在的公司是一家世界知名的整車設(shè)計(jì)、生產(chǎn)、制造企業(yè)，公司的業(yè)務(wù)遍布全球。當(dāng)前根據(jù)地理位置以及業(yè)務(wù)特點(diǎn)在全球分成7個區(qū)域，核心生產(chǎn)系統(tǒng)分布在中國大陸數(shù)據(jù)中心以及AWS、阿里云等公有云之上。隨著公司業(yè)務(wù)的快速增長以及全面擁抱數(shù)字化轉(zhuǎn)型，多年前設(shè)計(jì)的網(wǎng)絡(luò)及安全結(jié)構(gòu)開始力不從心：

·全球組網(wǎng)高昂成本

由于在全球多分支采用MPLS專線組網(wǎng)，每年付出的帶寬成本高昂。同時(shí)隨著業(yè)務(wù)對于IT基礎(chǔ)設(shè)施的依賴越來越重，專線帶寬無法滿足需求，然而升級帶寬將帶來天文數(shù)字般的租賃費(fèi)用。

·安全防護(hù)難以統(tǒng)一

傳統(tǒng)設(shè)計(jì)采用的是hub-and-spoken星型結(jié)構(gòu)，大量的安全防護(hù)功能位于數(shù)據(jù)中心與總部，分支僅部署邊界防護(hù)設(shè)備；此外由于歷史原因，不同批次采購不同廠商設(shè)備，安全防護(hù)強(qiáng)度難以統(tǒng)一，防護(hù)策略的一致性也難以保障。

·上云負(fù)載日益增多

數(shù)字化轉(zhuǎn)型的浪潮席卷全行業(yè)，為了提升效率、質(zhì)量與體驗(yàn)，應(yīng)用負(fù)載上云是非常成熟且必要的選擇。然而上云甚至多云的發(fā)展，如何保障應(yīng)用體驗(yàn)的同時(shí)保障安全性成為巨大的挑戰(zhàn)。

·傳統(tǒng)架構(gòu)響應(yīng)遲鈍

實(shí)現(xiàn)敏捷與高效已經(jīng)成為當(dāng)前IT基礎(chǔ)設(shè)施主要目標(biāo)之一，而傳統(tǒng)架構(gòu)需要設(shè)備的運(yùn)輸、安裝、配置等繁瑣的交付流程以及復(fù)雜的商務(wù)合同，無論是新增站點(diǎn)或者上云遷移，所需要的人力、時(shí)間、商務(wù)成本與敏捷高效絕緣。

·體驗(yàn)質(zhì)量難以保障

后疫情時(shí)代WFA（任意地點(diǎn)辦公）成為主流的工作方式，SaaS化的協(xié)同軟件成為提升生產(chǎn)力的主要工具。然而辦公地點(diǎn)的無處不在與訪問目標(biāo)的分布廣泛構(gòu)成了一個復(fù)雜的體驗(yàn)保障矩陣，加上安全的變量成為難以求解的方程式。

解決方案

Solution

其實(shí)這樣主要由數(shù)字化轉(zhuǎn)型帶來的問題已經(jīng)在幾年前被業(yè)界預(yù)判與捕捉到了，所以SASE（安全訪問服務(wù)邊緣）的概念應(yīng)運(yùn)而生：通過無所不在的、便捷的、按需獲得且有質(zhì)量保障的網(wǎng)絡(luò)接入到一個可動態(tài)配置的安全能力資源池，其核心是由經(jīng)過SD-WAN疊加優(yōu)化的骨干網(wǎng)的網(wǎng)絡(luò)能力以及部署在PoP點(diǎn)的安全能力棧構(gòu)成。

SASE不是“從0到1”產(chǎn)品顛覆，而是“從1到10”基于網(wǎng)絡(luò)和安全成熟能力的創(chuàng)新，簡而言之具備完善的網(wǎng)絡(luò)與安全能力是成功SASE的關(guān)鍵。

根據(jù)Gartner的調(diào)查，在2021年初僅有不超過10%的提供商具備全球骨干的能力。如果PoP點(diǎn)之間沒有骨干網(wǎng)優(yōu)化，只是基于互聯(lián)網(wǎng)聯(lián)通，完全不能滿足SASE對于網(wǎng)絡(luò)的要求。而具有完善網(wǎng)絡(luò)能力的提供商，往往安全防護(hù)能力不足防護(hù)效果不及預(yù)期。

Managed SASE應(yīng)運(yùn)而生。

作為Fortinet Fabric-Ready全球合作伙伴，Zenlayer與Fortinet將各自能力優(yōu)勢整合，為客戶提供了深度融合的解決方案：

#1

網(wǎng)絡(luò)方面，通過Zenlayer全球基礎(chǔ)架構(gòu)提供的云平臺骨干網(wǎng)絡(luò)、SaaS應(yīng)用加速以及私有應(yīng)用專線（或者基于PoP的VPN）實(shí)現(xiàn)供給側(cè)的優(yōu)化接入。

基于Zenlayer全球廣泛部署的PoP點(diǎn)，實(shí)現(xiàn)訪問側(cè)遠(yuǎn)程辦公用戶、分支辦公室的優(yōu)化接入。

安全方面，Managed SASE集成Fortinet業(yè)界領(lǐng)先的能力儲備，為用戶提供NGFWaaS、SWGaaS、ZTNAaaS等安全服務(wù)，URL過濾、應(yīng)用控制、入侵防御、DLP等全面的安全能力。滿足不同場景下互聯(lián)網(wǎng)、私有應(yīng)用訪問的防護(hù)需求。

#2

此外，作為該解決方案的重要組成，托管服務(wù)為用戶提供覆蓋WAN、LAN、User的一站式運(yùn)營服務(wù)。

在供給側(cè):

基于Zenlayer全球部署的Full-Mesh骨干網(wǎng)，結(jié)合BGP peering實(shí)現(xiàn)全球主要運(yùn)營商、云平臺最優(yōu)路徑可達(dá)；借助與主要云提供商的“一跳直連”，同時(shí)提供針對部署在AWS、阿里云等公有云平臺、自有數(shù)據(jù)中心的應(yīng)用負(fù)載的優(yōu)化接入，確保供給側(cè)“最后一公里”的服務(wù)質(zhì)量，以及為SaaS提供具有質(zhì)量保障的加速服務(wù)。

在訪問側(cè):

Work-From-Anywhere：針對遠(yuǎn)程接入用戶部署FortiClient，F(xiàn)ortiClient提供基于應(yīng)用的本地隧道分流，將關(guān)鍵應(yīng)用的流量發(fā)送給通過全局負(fù)載均衡判斷質(zhì)量最優(yōu)的PoP點(diǎn)。FortiClient的集中管理特性可以方便以統(tǒng)一的方式下發(fā)分流策略。此外FortiClient還提供未來ZTNA Ready的能力，隨時(shí)靈活部署ZTNA，保護(hù)私有應(yīng)用的安全訪問。

部分站點(diǎn)部署了FortiGate作為用戶側(cè)的CPE設(shè)備，基于地理位置分布接入到兩個不同的PoP點(diǎn)。一方面提供基于鏈路質(zhì)量的SD-WAN應(yīng)用分流，確保端到端的服務(wù)質(zhì)量，針對部分站點(diǎn)利舊原本的路由器，通過GRE隧道進(jìn)行多PoP點(diǎn)接入。

安全方面：

根據(jù)互聯(lián)網(wǎng)訪問與私有應(yīng)用訪問的業(yè)務(wù)特點(diǎn)，為互聯(lián)網(wǎng)訪問以及私有應(yīng)用訪問提供全面的安全審查功能，比如NGFWaaS、SWGaaS、ZTNAaaS、CASBaaS等覆蓋網(wǎng)絡(luò)、應(yīng)用、URL、行為、數(shù)據(jù)全方位的安全防護(hù)。另外在部署FortiGate的分支站點(diǎn)還可以根據(jù)業(yè)務(wù)需求平滑的將安全功能在本地與SASE平臺間遷移。同時(shí)天然支持SD-Branch場景將安全防護(hù)能力延伸覆蓋到局域網(wǎng)邊緣。

托管服務(wù)方面：

由Zenlayer專家工程師組成的運(yùn)營團(tuán)隊(duì)，面向用戶提供7*24的全球安全云托管服務(wù)，從底層計(jì)算資源、虛擬化資源、網(wǎng)絡(luò)資源、安全功能、配置部署、日志管理、設(shè)備集中管理、高可用等一站式托管，客戶只需就近接入邊緣云即可享Managed SASE所提供服務(wù)。同時(shí)基于Managed SASE幫助用戶引入全新的安全目標(biāo)分擔(dān)模型，更有效的管理安全風(fēng)險(xiǎn)與威脅。

用戶收益

User benefits

降本增效

使用Managed SASE替代傳統(tǒng)MPLS全球組網(wǎng)，每年節(jié)省超過30%線路租賃費(fèi)用，PAYG計(jì)費(fèi)模式解決傳統(tǒng)一次性高昂投入、周期性替代更新的困局?？煽康耐泄芊?wù)將團(tuán)隊(duì)精力從瑣碎工作中釋放出來，投入到高附加值工作。

敏捷彈性

將原本花費(fèi)數(shù)天甚至數(shù)周的新建、變更、擴(kuò)容等工作，縮減到分鐘級響應(yīng)。功能、資源按需使用按量計(jì)費(fèi)，根據(jù)動態(tài)的增減能力、性能滿足不同階段的業(yè)務(wù)需求。

體驗(yàn)保障

Managed SASE使用一個平臺適配、加速、保護(hù)不同訪問場景，借助優(yōu)化的全球骨干網(wǎng)、分布廣泛的PoP、業(yè)界領(lǐng)先的SD-WAN等能力確保端到端的使用體驗(yàn)。

安全提升

通過Managed SASE將安全能力覆蓋整個受攻擊面，借助原生網(wǎng)絡(luò)與安全深度融合，確保各級邊緣網(wǎng)絡(luò)的安全防護(hù)強(qiáng)度與防護(hù)能力的一致性，結(jié)合托管式服務(wù)實(shí)現(xiàn)高效的檢測、分析、響應(yīng)的防御閉環(huán)，全面提升安全防護(hù)的實(shí)時(shí)性、有效性。

亮點(diǎn)與優(yōu)勢

Managed SASE解決方案

全球覆蓋的基礎(chǔ)設(shè)施

Zenlayer作為全球邊緣云的行業(yè)領(lǐng)導(dǎo)者，目前在全球6大洲超40個國家擁有超過250個邊緣節(jié)點(diǎn)，1500+全球ISP互聯(lián)以及超30Tbps的骨干網(wǎng)帶寬容量。

同時(shí)Zenlayer也與大多數(shù)知名的公有云（AWS、Azure、GCP、Ali、Huawei等）及SAAS服務(wù)商建立了對等連接，可提供覆蓋全球的綜合網(wǎng)絡(luò)服務(wù)能力。

全面的整體安全防護(hù)

Fortinet作為全球網(wǎng)絡(luò)安全領(lǐng)域的領(lǐng)導(dǎo)企業(yè)，以全面覆蓋、深度集成和動態(tài)協(xié)同理念構(gòu)建的Security Fabric安全架構(gòu)，通過高度集成化、智能化、自動化的防護(hù)體系為客戶提供覆蓋云、邊、端的全面保護(hù)以及情報(bào)共享、協(xié)同聯(lián)動的安全能力。

專業(yè)資深的運(yùn)營團(tuán)隊(duì)

由超過50人組成的專家運(yùn)營團(tuán)隊(duì)，為客戶提供7*24中英雙語服務(wù)臺支持以及15分鐘首次響應(yīng)的SLA，平均MTTR小于4小時(shí)；作為領(lǐng)域內(nèi)的專家，絕大部分工程師擁有5年及以上的網(wǎng)絡(luò)、安全融合相關(guān)經(jīng)驗(yàn)。

網(wǎng)絡(luò)與安全深度融合

Fortinet堅(jiān)持網(wǎng)絡(luò)安全與融合，在該領(lǐng)域深耕踐行超過二十年，兼?zhèn)洚a(chǎn)品能力與技術(shù)儲備。同時(shí)Fortinet的自研定制芯片、單平臺戰(zhàn)略為帶來高性能加持下的網(wǎng)絡(luò)安全高度融合，成為唯一以單一平臺成為Gartner WAN Edge以及Firewall魔力象限領(lǐng)導(dǎo)者的廠商。