BLOG

Modernize Secure Branch Network with VMware SD-WAN + Palo Alto Firewall Service

Written by admin | Jan 17, 2023 5:22:38 AM

Technology ที่ถูกสร้างขึ้นบนโลกของเรานั้น มักจะถูกพัฒนาขึ้นมาจากพื้นฐานหลักคล้ายๆกันคือเพื่อตอบสนองความต้องการ ที่จะทำให้การใช้ชีวิตของคนเรา สะดวกสบายมากขึ้น และมีวิถีชีวิตเรียบง่ายขึ้น

 

ในภาคธุรกิจก็แทบไม่ต่างกัน ด้านผู้ให้บริการระบบเครือข่ายข้อมูลข่าวสารสนเทศ และบริการต่างๆที่มีในโลกของอินเตอร์เน็ต ต่างก็มีการนำเสนอ Technology ใหม่ๆ เพื่อตอบสนองความต้องการของผู้คน ยกตัวอย่างเช่น ระบบโครงข่ายการสื่อสารรูปแบบใหม่ที่เพิ่มความสามารถในการเข้าถึงข้อมูล ได้อย่างสะดวกรวดเร็วมากขึ้น และประหยัดค่าใช้จ่ายได้มากยิ่งขึ้น เช่น โครงข่ายสื่อสารความเร็วสูงผ่านใยแก้วนำแสง โครงข่ายสื่อสารผ่านระบบไร้สาย 3G/4G/5G รวมไปถึงโครงข่ายแบบส่วนตัว (Private link) ที่มุ่งเน้นกลุ่มงานที่มีคุณสมบัติเฉพาะตัว ถูกนำมาปรับใช้ หรือผสมผสานการทำงาน เพื่อให้เกิดผลประโยชน์สูงขึ้นสุด เช่น ในภาคธุรกิจ การจะทำการเชื่อมต่อระบบเพื่อแลกเปลี่ยนข้อมูลไปมาระหว่างสำนักงานหลัก ไปยังสาขาย่อยๆ ขององค์กร โดยทุกวันนี้ การมีช่องทางการสื่อสารที่หลากหลายได้ถูกนำเสนอ เพื่อให้เหมาะสมกับสภาพแวดล้อมของการทำงานและสถานที่ดำเนินการทางธุรกิจ โดยสิ่งที่ต้องคำนึงถึงนอกเหนือจากหัวข้อที่กล่าวมา ก็จะเป็นด้านความมั่นคงปลอดภัยในการสื่อสารข้อมูล ซึ่งก็ถือเป็นสิ่งที่ถูกหยิบยกมาเป็นข้อพึ่งพิจารณาในการให้ความสำคัญอันดับต้นๆ ในการออกแบบและเลือกใช้บริการโคร่งข่ายเชื่อมโยงข้อมูล

 

วันนี้ทางทีมงานขอนำเสนอทั้งจุดเด่นและข้อพิจารณาอุปกรณ์บริหารจัดการรักษาความปลอดสำหรับระบบเครือข่ายขององค์กร ในอดีตเรามักจะคุ้นชินอุปกรณ์ที่ทำหน้าที่ป้องการและรักษาความปลอดภัยที่เรียกกันว่า Firewall แต่ในปัจจุบันแนวโน้มด้านการรักษาความปลอดภัยมีความซับซ้อนมากขึ้น จึงได้มีการนำเสนอ อุปกรณ์ที่ทำหน้าที่เป็น Firewall คล้ายแบบเดิม แต่ก็ได้มีการเพิ่มเติมคุณสมบัติการทำงาน ด้านอื่นๆ เพื่อเสริมความปลอดภัยในการปกป้องระบบ ที่เรียกว่า Unified Threat Management (UTM) หรือที่บางครั้งก็มีชื่อเรียกกันว่า Next-Gen Firewall และ Technology แล้วนอกจากนี้ยังมีสิ่งที่สามารถทดแทนโดยมีคุณสมบัติในการทำงานร่วมกันและปกป้องระบบจากภัยคุกคามของผู้ไม่ประสงค์ดี หรือจากโปรแกรม ชุดคำสั่งที่เป็นอันตรายต่อข้อมูลขององค์กรบ้าง

 

อย่างแรกเลย ขออธิบายเพิ่มเติมในส่วนของ UTM ก่อนว่ามันคืออะไรนะครับ

UTM เป็นอุปกรณ์ Network ที่เอาไว้ป้องกันการเข้าถึงข้อมูลหรือเพื่อการกรองการสื่อสารระหว่างข้อมูลทั้งที่เป็นขาเข้าและขาออกของการเชื่อมต่อของแต่ละสาขา เพื่อให้มีประสิทธิภาพและมีความปลอดภัยที่สูงสุด แถมยังป้องกันการเกิดการโจมตีจากภายนอกได้อีกด้วย ซึ่งตัวอย่างของ UTM นั่นก็คือ Firewall ที่เป็น Hardware หรือ Appliance Box นั่นเอง นอกจากนั้นการที่เรามีอุปกรณ์ประเภทนี้อยู่ในองค์กร จะช่วยให้เราสามารถบริหารจัดการทางด้าน Data Network Security ได้อีกด้วย จากที่เราได้เข้าใจว่า UTM คืออะไรไปแล้ว เราอาจจะสงสัยว่ามันมีข้อจำกัดด้วยหรือเปล่า คำตอบก็คือใช่แล้วครับ อุปกรณ์ประเภทนี้ก็มีข้อจำกัดในตัวของอุปกรณ์เอง แทบไม่มี Technology ตัวไหนที่ไม่มีข้อจำกัด ซึ่งข้อจำกัดเหล่านั้น สามารถแบ่งออกได้ ดังนี้

 

  1. ความถี่ในการ Update Patch โดยปกติแล้วถ้า เป็นแบบ Firewall ที่เป็นแบบ Hardware หรือ Appliance จะมีรอบการ Update น้อยครั้ง ซึ่งเป็นสิ่งที่หลายๆ องค์กรค่อนข้างกังวล เนื่องจากช่องโหว่ หรือภัยคุกคามก็มีเกิดขึ้นอยู่เสมอ นั่นอาจจะส่งผลกระทบกับองค์กรเป็นอย่างมาก เช่น ภัยจาก RANSOMWARE

 

  1. Area Limitation ถึงแม้ว่า UTM นั้นจะถูกสร้างขึ้นมาเพื่อป้องกัน Virus หรือ Malware ต่างๆ แต่ก็ไม่ได้หมายความว่าอุปกรณ์นั้นจะสามารถป้องกันได้ทั้งหมด ถ้าอุปกรณ์ที่ใช้งาน อย่าง เครื่องคอมพิวเตอร์ที่ใช้งานในองค์กร และอาจจะมีบางครั้งที่นำออกไปใช้งานนอกองค์กร ก็เป็นอีกจุดอ่อนหนึ่งที่ระบบ UTM หรือ Firewall Appliance ขององค์กร ไม่สามารถปกป้องเครื่องคอมพิวเตอร์ที่มีการนำไปใช้งานภายนอกองค์กรได้

 

  1. Performance ที่เป็นปัจจัยหลักของ Firewall เนื่องจากเป็นอุปกรณ์ที่ต้องใช้ Performance สูงในการกรอง Traffic ต่างๆ หรือแม้กระทั่งป้องกันการโจมตีจากภายนอก ซึ่งการที่จะมี Firewall ที่มี CPU หลายๆ Core นั้น จะต้องใช้งบประมาณที่ค่อนข้างสูง และหากจะจัดหาอุปกรณ์ที่มีการรองรับการทำงานสูงๆ ก็จะมีราคาค่าตัวของอุปกรณ์ตัวนั้นสูงตามไปด้วย อีกทั้งยังไม่นับเรื่องการออกแบบให้มีระบบสำรอง ให้อุปกรณ์สามารถทำงานได้อย่างต่อเนื่อง ทั้งที่อุปกรณ์เหล่านี้อาจจะชำรุดจากสาเหตุระบบไฟฟ้า หรือจากขั้นตอนการผลิตก็เป็นได้

 

ทีนี้เรามาพูดถึง SD-WAN กันก่อนนะครับ SD-WAN เป็นอีก Technology ที่เอาไว้ช่วยให้การเชื่อมต่อระหว่างสาขามีเสถียรภาพสูง ลดปัญหาการหน่วงของ Application ได้ และยังสามารถช่วยกรอง Traffic ได้บางส่วน ด้วยเพราะเหตุนี้หลายๆ องค์กรในด้าน Security อย่างเช่น Fortinet, Palo Alto, Check Point และ อื่นๆ ได้นำเสนอการผสมผสานระหว่าง SD-WAN กับ UTM เข้าด้วยกัน ซึ่งก็ยังมีข้อจำกัดอยู่ว่าการทำงานระหว่างสอง Technology นั้น ยังไม่สามารถตอบโจทย์ ได้ เพราะว่า UTM ที่มี SD-WAN Built-in จะเน้นไปทางป้องกันการโจมตีหรือความปลอดภัยเป็นหลัก ทำให้การเชื่อมต่อระหว่างสาขายังไม่สามารถตอบโจทย์ในส่วนของการเข้าถึง Application ที่เน้น Low Latency และการทำ Link Remediation ในกรณีที่ Link Internet หรือ MPLS มีปัญหา

 

เราจะเห็นได้ว่าจุดอ่อนของ UTM ที่มี SD-WAN นั้นยังมีอยู่ ดังนั้น ทาง PROEN เองเลยได้หาวิธีที่จะช่วยให้การเชื่อมต่อหรือสื่อสารระหว่างสาขากับสำนักงานหลัก ให้มีประสิทธิภาพสูงที่สุด โดยได้นำ SD-WAN ของ VMware มาใช้และผสานกับ Palo Alto Virtual Firewall ที่ทำงานบน Hyper-visor ที่จะเข้ามาเติมเต็มในส่วนของด้านความปลอดภัยให้มีการป้องกันที่สูงขึ้น ซึ่งระบบนี้จะมีประสิทธิผลการทำงานที่ดีเยี่ยม เนื่องจากว่า SD-WAN ของ VMware ได้ติด Top Gartner ที่เป็นผู้นำใน Technology SD-WAN อยู่แล้วแถมยังมี Features เด่นต่างๆ ไม่ว่าจะเป็น Dynamic Multi-Path Optimization (DMPO) ที่จะเข้ามาช่วยในกรณีที่ Link ของ Internet, MPLS หรือ 4G นั้นมีปัญหา, คุณสมบัติ Zero Touch Provisioning แทบจะบอกว่าว่าการติดตั้งอุปกรณ์ SD-WAN ของ VMWare นั้นง่าย เพียงแค่มี Internet ก็สามารถตั้งค่าการทำงานจากส่วนกลางให้ใช้งานระบบได้อย่างรวดเร็วครับ

ทีนี้ถ้าเรามาดูในส่วนของ Virtual Firewall ของ Palo Alto ซึ่งพวกเราจะรู้กันดีว่า Palo Alto Firewall ก็อยู่อันดับต้นๆ ในวงการด้าน Network Security อยู่แล้วซึ่งถ้าเทียบกับที่เป็นแบบ Hardware แล้วถือว่าอยู่ในกลุ่มผู้นำ ในผลิตภัณฑ์ด้านนี้ เพราะว่าตัว Virtual นั้นมีการ Update Patch อยู่สม่ำเสมอแถมยังมี Option ให้เลือกมากมายในการเพิ่มเติมคุณสมัติการทำงาน และไม่ต้องกังวลในด้านการลงทุนในการจัดซื้อ และดูแลในส่วน Hardware ด้วยราคาที่เป็นนำเสนอเป็นแบบ Subscription ซึ่งถ้าเทียบในภาพรวมแล้วจะมีราคาที่ถูกกว่า Hardware อย่างแน่นอน อย่างไรก็ตามถ้าหากท่านใดสนใจข้อมูลเพิ่มเติมก็สามารถติดต่อเข้ามาหาเราได้เลยครับ

ติดต่อข้อมูลเพิ่มเติม

Email: dr.wan@proen.co.th

Web: https://www.proen.co.th

Web: https://www.branchconnect.in.th

Call: 02-690-3888