圖片來源: 

iThome

企業針對不同安全等級(Security Domain)的設備或伺服器主機,通常會透過L3交換器、L3路由器及防火牆區隔出不同的網路區域(Network Segmentation),並執行流量過濾的資安政策。

而Ethernet Fabric技術擴大了L2存取層水平傳輸流向的範圍,部分伺服器之間的流量不必行經核心層,可直接於L2同一個網路區域進行水平交換。凌通科技資訊管理部經理周賢良表示,雖然Ethernet Fabric加快網路的傳輸效能,但從另一個角度來看,這些水平流量因而不會行經原本設置於L3與L2之間的資安設備,脫離資安設備的控管範圍,可能成為資安控管上的死角。

對此,大同資訊通信業務處技術顧問部網路技術顧問陳志賢表示,企業導入Ethernet Fabric時,可重新規畫VLAN的範圍,將原先因STP協定而區隔的VLAN開通,彼此能夠進行水平傳輸,至於其他因為資安政策而區隔的VLAN不需要更動,以維持原本的資安政策。

不過,Ethernet Fabric應用於相同安全等級的網路區域,雖然可以大幅提升傳輸效能,但遇到跨安全等級的連線請求,還是必須垂直行經L3資安設備,容易在此面臨效能瓶頸。

Juniper技術經理林佶駿表示,企業網路架構趨向扁平化,不會產生新的網路資安問題,然而,從舊架構走向新架構,企業確實需要提升資安設備的效能與容量、重新部署資安設備的位置,以及依據新架構重新設定資安政策。相較於傳統網路架構,在Ethernet Fabric架構中使用的交換器臺數銳減,每臺交換器負擔更大的網路流量,連帶造成資安設備控管的範圍也跟著擴大,企業不免要另外購置容量更大的資安設備。

並且,企業還要調整資安設備部署的位置,從原本的核心層與匯聚層的中間,改為旁接於存取層網路的側邊,或加強存取層交換器本身的安全功能,來控管伺服器之間的水平流量。隨著網路架構的改變,企業也必須重新制定資安政策。林佶駿表示,企業不需要改變原先資安政策的控管原則,只需要依據新的架構,重新設定資安設備的網路拓墣、控管範圍等。

 

凌通科技資訊管理部經理周賢良表示,Ethernet Fabric的水平傳輸流量不會行經原本設置於L3與L2之間的資安設備,脫離資安設備的控管範圍,可能成為資安控管上的死角。

 

Juniper技術經理林佶駿表示,企業網路架構趨向扁平化,雖然不會產生新的網路資安問題,但企業需要提升資安設備的效能與容量、重新部署資安設備的位置,以及依據新架構重新設定資安政策。

 

相關報導請參考「Ethernet Fabric:網路架構簡化的新變革

熱門新聞

Advertisement