Vi överväger för närvarande att implementera en SDWAN-lösning och tänker på att göra internetspring ut vid varje filialplats istället för att skicka tillbaka till säkerhetsstacken vid datacentret. En av oroarna är insyn och säkerhet. Erbjuder leverantörer som viptella och velocloud detta? Eller måste vi använda något som Zscaler? Vi ville initialt bara sätta upp SDWAN och fortfarande skicka allting tillbaka till datacentret.
Kolla in Cato Networks, då det är en distribuerad SDWAN-lösning med inbyggda säkerhetserbjudanden. Det passar bra med en lokal utgångsmodell med många fjärranslutna platser.
Jag är inte säker på viptella eller velocloud, men Fortinets Fortigate SDWAN har de funktioner du letar efter.
Meddelande: Företags-ISP/SD-WAN Mäklar
Du har ett mycket vanligt användningsfall för SD-WAN. Att decentralisera internet kommer att förbättra användarupplevelsen (med snabbare internethastigheter) vid de fjärranslutna platserna, och förbättra driftsäkerheten (undvika att alla går ner om en HUB förlorar internet)… men ja, att decentralisera säkerheten utan att bli galen, är avgörande.
Viptella och VeloCloud är inte bra val för detta. Till exempel erbjuder VeloCloud bara en tillståndsbaserad brandvägg… inte tillräckligt bra. Istället rekommenderar jag att använda en SD-WAN-tjänsteleverantör som erbjuder ett inbyggt UTM (ny generation), säkerhetspaket. Det finns flera leverantörer som erbjuder detta, men vilken jag rekommenderar beror på dina krav.
Är majoriteten av dina kritiska applikationer i molnet eller körs på dina egna servrar?
Jag vet att Velocloud har den samlade insynen du verkar leta efter. Du kan se vem som använder vilka applikationer och från var, med rätt konfiguration. Du kan också dela upp det per plats. Jag tror att Viptela har något liknande. Tjänstekedjning tillåter fortfarande att du kan styra trafik selektivt genom ett centralt läge för varje applikation om du vill det. Och Velocloud har integrationer med Zscaler, om du tittar i den riktningen.
Ärligt talat, såvida jag vet, är bristen på insyn inte en funktion av centralisering så mycket längre. Det är inte den distribuerade naturen av SDWAN/lokala utgångsinfrastrukturen som kan hindra din insyn. Det handlar mer om att dessa nya SDWAN-produkter inte har lika många insynsfunktioner än, jämfört med mer avancerade säkerhetsprodukter.
Jag använder Fortinet för SD-WAN av just detta skäl. Säkerhet vid grenen och direktinternet.
Zscaler är också ett gångbart alternativ.
Nej, men det gjorde vi inte heller innan SDWAN.
Jag håller på att implementera en Viptela SDWAN på C-Edge och gör exakt det. DIA med zonbaserad brandvägg för att tillåta utgående tjänster vid filialen. Spara oss mycket på brandväggar och hantering, ger en bättre användarupplevelse eftersom de inte behöver vandra över WAN och sparar bandbredd i kärnorna.
Vi fortfarande tar emot inkommande trafik för de värdtjänster som är i mitten för IPS o.s.v. men utgående Office 365 behöver inte så mycket inspektion. Webtrafik går ändå genom en molnproxy, så det var enkelt.
Vad gäller insyn använder vi SDWAN-rapporteringsverktygen, stealwatch och några andra smågrejer. Inga ledsamheter än så länge.
Vi gick igenom alla SDWAN-leverantörer innan vi valde, men har några nischbehov som gjorde att Cisco passade oss (vilket jag tar upp i en annan tråd).
Jag måste säga att det fanns några tips för Cato, men jag var mindre imponerad av dem. Kanske hade det att göra med ett dåligt förförsäljningslag (jag menar att deras teknik ansvariga försökte antyda dumheter som att QoS inte behövs längre). De hade en intressant spelplan om du inte hade några av staplarna eller ingen intern expertis, men det kommer med vissa konsekvenser. De är så beroende av att deras ryggrad är passande, medan du kan rulla din egen utan att vara bunden till ett specifikt transportmedium, men YMMV och allt det där.
Använder någon Fortinet för detta? Jag har Meraki MX i över 90 platser nu, men funderar på att byta eftersom vi vill göra split tunneling.
Det är ett vanligt användningsfall för mina kunder. Vanligtvis vill de använda failover och trafikstyrning av SDWAN för att skydda deras internettrafik. Om de har brandväggar på varje plats kan vi tilldela ett offentligt VRF som sätter en offentlig IP på varje brandvägg, och sedan routa trafiken tillbaka till datacentret via SDWAN.
Med vissa lösningar kan du dela upp tunneltrafik och tunnelera andra typer av trafik. Ett vanligt användningsfall är att skydda VoIP-trafik men dirigera webbsurfning via split tunneling.
Vad är dina specifika bekymmer kring insyn och säkerhet?
Utgång lokalt. Faktiskt, om Microsoft Teams är på horisonten, är det deras rekommendation (nästan till kravnivå). (Prepare your organization's network for Teams - Microsoft Teams | Microsoft Learn)
Sås: Använder Velocloud på ett semi-icke-standardiserat sätt. Min standardrutt per filialkontor går inte till VeloCloud, utan till en lokal Fortigate.
Meddelande: SDWAN-utvecklare här
Det finns många alternativ och vägar att gå beroende på antalet och platsen för filialerna.
- om du har färre filialer och vill ha snabb och enkel anslutning utan att underhålla en huvudnod, titta på Versa Titan-erbjudandet.
- om du letar efter många anpassade alternativ kan du få den traditionella Versa-enheten med inbyggd säkerhet från Versa Networks eller via MSPs.
- om du vill ha en lösning där SDWAN och säkerhet är separerade, kan du använda tjänstkedjning av befintliga säkerhetslösningar med Versa.
Kontakta bara säljavdelningen på @Versa Networks och låt dem förklara hela ekosystemet av produkter som kan fungera för ditt specifika fall.
Viptela är inte fantastisk för det direkt ut ur boxen, men du kan köpa och integrera Cisco Umbrella och få centraliserad synlighet/filtrering om du behöver.
Du bör nog titta på Cato Networks.
Vi betalar cirka 300 USD per månad för en MPLS-länk på 1/1 Gbps till filialen. Så ja, vi skickar fortfarande trafiken först till datacentret och sedan till internet. Nästan all vår trafik är också till datacentret eftersom vi bara har väldigt få molnapplikationer.
Det är en av de stora försäljningsargumenten för de mer avancerade SD-WAN-produkterna. Jag känner till att Viptella, Velocloud och Versa alla stödjer konfigurationen och ett inbyggt brandvägg.
Vi minskar viss latens-känslig mol Internettrafik lokalt i våra fjärrkontor och skickar resten tillbaka till datacentret för IPS. Vi använder Versa SDWAN-enheter och Fortigate-brandväggar.
Det här är det enda svaret du behöver titta på OP.
Men ja, vi skickar bara värdtjänster över SD-WAN och slänger vanlig internett trafik ut till lokal internet.
Jag tror att i de flesta fall skulle det vara mer meningsfullt att kombinera en SDWAN-design med ett molnbaserat säkerhetsalternativ för lokal internetutgång (dvs Zscaler, men det finns andra).
Vad tycker du om att använda Meraki?