SD-WAN, softwarově definovaná rozsáhlá síť WAN, vzniká kvůli masivnosti, automatizaci a zabezpečení. Cisco to nutí dodávat inovace průběžně, říká Pavel Křižanovský, technický ředitel Cisco ČR.
Změnily se oproti minulosti požadavky na počítačové sítě? Pokud ano, jak?
Požadavky na sítě se mění a začal bych tím, proč. Je tomu především z důvodu digitalizace, která probíhá už několik let a je s IT velmi úzce spojená. Je na IT závislá a bez IT k ní nikdy nemůže dojít. Potřebujete inovace v IT, implementaci nových věcí. Proti tomu jde jiný trend, a sice tlak na omezování nákladů a nedostatek lidí, kteří nejen v Čechách, ale v celém regionu docházejí. Toto vše má na IT obrovský vliv. Vedle toho jsou zde trendy v podobě cloudu a nároků na mobilitu. Podle studie Cisco Visual Networking Index připadají na člověka téměř čtyři připojená zařízení. Někdo říká, že firmy migrují do cloudu, já argumentuji, že do něj expandují, protože většina firem si stále ještě zachovává svoje lokální datová centra.
Dalším velkým trendem je podnikové nasazení internetu věcí, kde už nejde jen o zařízení spojená s lidmi, jakými jsou počítače a mobily, ale dnes už i kamery, osvětlení, termostaty, chytré zámky nebo klimatizace. Toto vše se nám začíná připojovat do sítě, kde se najednou ocitá ohromný počet zařízení. Jestliže dnes správce spravuje desítky až stovky zařízení, v brzké době jich budou desetitisíce. A to nemluvíme o konvergenci OT prostředí, tedy výrobních sítí do IT infrastruktury, tam budou tyto trendy ještě markantnější. Proti tomu pak jde kyberkriminalita, která je obrovským byznysem, už dlouho se v ní točí velké peníze. Společnost Gartner předpovídá, že v roce 2021 budou kyberútoky stát firmy 6 bilionů dolarů. IT se proto musí změnit, inovovat, ale za tu cenu, že nemá ani víc peněz, ani víc lidí.
Co zajišťovaly sítě dříve a jaká je jejich úloha dnes?
Dříve sítě zajišťovaly konektivitu, dostupnost, bezpečnost a dostatečnou propustnost, což stačilo. Dnešní nároky na sítě jsou poněkud větší a souvisejí s trendy, o nichž jsem hovořil. Zvyšují se nároky na automatizaci, protože s rostoucím počtem zařízení je nelze ručně řídit. K tomu se přidává i telemetrie a analytika, abychom mohli zjistit, co se v síti děje. Kromě toho se pak k samotné bezpečnosti přidává i možnost rychle a dynamicky měnit řadu dalších parametrů, včetně bezpečnostních politik a v neposlední řadě i zajištění compliance, tedy shody s externími právními i interními nařízeními dané organizace. Nejde přitom jen o GDPR, ale například i o lokální pravidla na pobočkách či v celých sektorech, jakými jsou bankovnictví nebo zdravotnictví.
Veškeré inovace a celý digitální byznys jsou závislé na aplikacích, které vše řídí, jsou jejich hybatelem. Mají však zákonitě také nároky na infrastrukturu, lidé se přesouvají mezi pobočkami, aplikace komunikují s datovými zdroji v on-premise datových centrech i v rozličných cloudech. To vše by ale mělo být pro uživatele transparentní, kterého nesmí zajímat odkud a přes jakou síťovou technologii se připojuje a kde jsou uložena aplikační data. Aplikace by měly dát požadavky na síť, která pro ně musí fungovat jako platforma, jako ekosystém. Síť v roli platformy dnes ještě není. My se snažíme, aby se tomu tak stalo a síť byla pro uživatele transparentní a konzistentní. Měl by to být ekosystém, který nezávisí jen na jediném výrobci. Vizí je otevřená platforma, aby byla rozšiřitelná více výrobci. Neexistuje firma, která by uměla všechno a na všech vrstvách, vždy musejí výrobci nějak spolupracovat. Cílem společnosti Cisco je právě ze sítě takovou platformu vytvořit.
Společnost Cisco je v oblasti sítí lídrem už dlouho. Jak k tomu přistupujete?
Nestavíme platformu na zelené louce. Inovujeme dvěma způsoby. Jednak sami vyvíjíme, další část našich inovací pochází z akvizic. Například pro budování SD-WAN jsme v roce 2017 akvírovali firmu Viptela a její řešení jsme zaintegrovali do celého našeho konceptu. Cisco je také první firma, která nasadila inteligentní sítě nejen na slidech v PowerPointu, ale i do praxe. Ty představují koncept intent-based networking, sítě řízené záměrem. S tímto pojmem přišla analytická společnost Gartner, Cisco přišlo jako první s reálnou implementací a po nás tento koncept se zpožděním přebírají i ostatní výrobci. Celý princip lze částečně připodobnit k „centrálnímu mozku lidstva“, který implementuje do chytré infrastruktury nějaký záměr. Záměrem rozhodně není jedna atomická operace (jedna příkazová řádka), ale například nasazení konkrétní aplikace do celé síťové infrastruktury. Síť už je tak inteligentní a záměr je tak dobře popsaný, že jde o nějakou sérii akcí, která se v síti provede. Nejde o konfiguraci per box, ale přes tento centrální mozek řeknu, že v určité části sítě chci implementovat nějaký záměr, což má za následek automatický rollout na desítkách, stovkách či tisících zařízeních. Dalším příkladem může být nasazení nové pobočky, včetně Wi-Fi, serverové aplikace, která se do celé sítě „nalije“.
Tohle je ale pouze část příběhu, část celého konceptu, implementace záměru. My se však odlišujeme tím, že máme zpětný kanál, poskytujeme kontext, ve kterém se infrastruktura, k ní připojená zařízení a uživatelé nacházejí. Infrastruktura musí disponovat dostatečnou inteligencí, aby poskytovala centrálnímu mozku telemetrii, zpětnou vazbu a obrovské množství dat, které centrum dokáže zpracovat a díky tomu vědět, co se v síti děje. Kontextem může být přechod uživatele z jednoho místa na druhé, či to, že změnil zařízení a z notebooku právě přešel na smartphone. Automaticky se tak musí např. změnit nějaká politika bezpečnosti, směrování dat či kvalita služby.
Na jednu stranu tedy jde o záměr, na druhou o kontext, který nám umožní analytiku toho, co se v síti děje. Implementujeme proto algoritmy strojového učení a umělé inteligence. Sice jde trochu o hudbu budoucnosti, ale některé z těchto věcí už fungují. Posouváme analytiku i do byznysové roviny, protože když víte, co se v síti děje a máte nad ní kontrolu, tak můžete zjistit, jak se uživatelé chovají a předložit jim například v supermarketu přes Wi-Fi kontextovou reklamu. To umí například technologie Cisco DNA Spaces nebo Meraki. Hodně se odlišujeme i tím, že celé řešení stavíme s ohledem na bezpečnost, a to nikoliv „on top“, nýbrž ji integrujeme přímo do něj. Všechny intent-based principy, tj. implementaci záměru, zpětný kontext, analytiku s učením a bezpečnost se snažíme integrovat nejen do LAN, ale i do WAN sítí a obdobné principy řešíme i v datových centrech a cloudu.
Cisco je velkým hráčem zejména v nejvyšším segmentu, i vy jste zmínil WAN. Jak vaše SD WAN ve stručnosti funguje? Jaké jsou její klíčové výhody a byznysové přínosy?
Pokud se podívám na tradiční architekturu pobočkových sítí, tak dříve se uživatelé se svými zařízeními připojovali do lokální sítě LAN a dále přes pobočkovou WAN, do privátního datového centra, a případně dále přes centrální firewall do internetu. Aplikace byly typicky v datovém centru a internet byl používán spíše pro získávání informací. Dnes je jednak mnohem více uživatelů, jednak jsou zde senzory internetu věcí, takže se celá báze zvětšuje. Ještě mnohem markantnější však je, že aplikace se dnes dostávají do cloudu, kterých firma používá několik – privátní i veřejný, kde mohou být aplikace IaaS (infrastruktura jako služba) nebo SaaS (software jako služba), například Office 365, Salesforce.com nebo Dropbox. Hlavní soubor aplikací tedy nemusí být uložen jen ve firemním datovém centru, ale i někde jinde. Pokud bychom to stále řešili tradičním způsobem přes datové centrum, pak by to bylo dosti neefektivní. Museli bychom totiž mít vše směrované do centra, a pak teprve do cloudu. Proto vzniká SD-WAN, nejen tedy z důvodu lepšího škálování ale i vyšší efektivity, funkčnosti, spravovatelnosti a ve výsledku i celkové ceny řešení.
Jak tedy ovlivňuje expanze do cloudu přístup k budování sítí?
Cloud dnes není jeden, jsou jich desítky. Proto musela vzniknout jakási inteligentní vrstva „cloud edge“, která umožňuje vše škálovat. Například když máme pobočkovou síť s několika desítkami či stovkami lokalit a zařízení WAN, pak je nechceme řídit každé zvlášť a „říkat“ jim, že když jde o aplikaci Office 365, pak se má jít touto cestou, když jde o centrální aplikaci, pak jít jinou cestou přímo do datového centra. Škálování a řízení přístupu k aplikacím a jejich datům je tedy jednou věcí. Druhou věcí je pak bezpečnost, protože k přístupu do cloudu už nepoužíváme jen vlastní síť, ale také internet, proto musíme masivně řešit bezpečnostní otázku více než dříve. Tyto parametry jsou důležité především z pohledu správce pobočkové infrastruktury. Nicméně uživatele pochopitelně zajímá hlavně uživatelská zkušenost a rychlost přístupu. Jeho nezajímá, kde jsou data a aplikace uloženy, zda v lokálním datovém centru či v cloudu. SD WAN mu musí zabezpečit, že půjde tou nejlepší cestou s nejlepší kvalitou služby.
SD-WAN je zde tedy kvůli masivnosti, automatizaci a zabezpečení. Výhoda společnosti Cisco spočívá v jednoduchosti, a to jak pro uživatele, tak pro správce díky možnosti snadného škálování přes celou síť. Klíčovou roli hraje segmentace, která umožňuje, aby bylo možno přes jednu infrastrukturu přenášet různé sítě, různé VPN. Z technického hlediska pak je nutností nezávislost na přenosovém médiu. Dříve šlo o pevné linky, které byly extrémně drahé, dnes lze kromě MPLS VPN bezpečným způsobem používat i internet a jako záložní cestu např. mobilní sítě. Díky SD-WAN můžeme transparentně používat kteroukoliv z těchto tras a zvolit vhodnou cestu pro danou aplikaci. Firmy totiž pracují také s kritickými aplikacemi a požadují plnění SLA, které mohu směrovat přes dražší MPLS VPN linku. Dále existují méně důležité aplikace, které mohou být náročnější na množství dat, ale z hlediska SLA jim plně vyhoví přenos přes internetový tunel. A SD-WAN sítě umějí tento provoz inteligentně různě směrovat.
Velkým tématem je bezpečnost. Jak tu SD-WAN sítě řeší?
V otázce bezpečnosti bych vypíchnul několik věcí. Pokud přecházím z pobočky do cloudu přes internet, pak jako IT správce chci mít vyřešené nastavení bezpečnostních řešení, jako jsou firewall, IPS (Intrusion Prevention System), filtrace URL (Universal Resource Locator – jednotné adresy zdroje) nebo pokročilou ochranu před malware. Jde o záležitosti, které se dříve dělaly v centrálním datovém centru. Díky novým síťovým technologiím optimalizujeme cestu, kudy data tečou. Zejména u aplikací typu SaaS to není jednoduché, protože musíme vědět, jak tyto aplikace fungují, kde jsou uloženy. Musíme někde mít sondy, které zjišťují, kudy vede nejlepší cesta. Zda jít do datového centra a odtamtud k aplikaci, která může být rychlejší, než pokud je směrována přes internet. Cisco přichází s řešením, které toto dokáže, neboť má znalost toho, jak aplikace vypadá. Navíc spolupracujeme s mnoha firmami. Například u Microsoft Office 365 dokážeme uživateli zrychlit přístup až o 40 % díky tomu, že víme, kde se daná služba nachází a kudy k ní vede nejlepší cesta.
Žádná večeře není zadarmo a každá „legrace“ něco stojí. Jaký je váš obchodní model prodeje pro Cisco SD-WAN? Prodáváte tuto technologii přímo, nebo přes certifikované partnery?
V České republice prodáváme 99 % řešení přes partnery, na tom se nic nemění. I naše firma se však transformuje a inovace u nás jsou řízeny nejen hardwarem. Stáváme se softwarovou firmou, a s tím souvisí i způsob prodeje. Když to přirovnám ke svému životu, tak dříve jsem si kvůli hudbě kupoval černé vinylové LP desky, pak CD, pak alba v online obchodě na internetu. No a dnes mám streamovanou hudbu díky službám jako Spotify či Apple Music. Mám k dispozici to nejnovější a už neřeším, které album bych si měl koupit, protože to je součástí mého předplatného. Přesně toto se děje ve světě softwaru, kde na systém předplatného tradiční softwarové firmy přišly už před časem. Stačí zmínit MS Office 365, SAP či Oracle, kde určitá forma předplatného už existuje.
Ve světě sítí to tak doposud nefungovalo a Cisco je v oblasti přechodu na předplatné pionýrem. Máme část uživatelů, kteří jsou na to už delší dobu zvyklí. Jde o ty, kteří se starají o bezpečnost ve firmách. Vědí, že pokud chtějí mít aktuální zabezpečení, typicky antivirové programy s databázemi signatur, musejí za ně platit. Obdobně jsou zvyklí platit za předplatné IP telefonie nebo za systémy pro týmovou spolupráci. A nyní se má předplatné stát standardem i pro síťaře.
Dnes se začíná cena hardwaru a softwaru oddělovat. Máme cenu hardwaru s nějakým minimalistickým operačním systémem a nad tím software, který se kupuje jako předplatné. Přináší to výhody jako u streamování hudby – máte k dispozici všechny aktuální funkce. To je velkým přínosem pro inovace. Pokud vás totiž digitalizace nutí inovovat, pak máte díky předplatnému ty nejnovější nástroje. Předplatné navíc nemusí být závislé na hardwaru. Hardware můžete pravidelně obnovovat ve zcela jiném sledu, než tomu bylo doposud. Dříve se mohutně investovalo na začátku, po delší době se něco dokoupilo, a pak začal tento cyklus znovu. Dnes jsou tyto výdaje průběžné. Tento model oceňují zejména finanční ředitelé, protože je předvídatelný a zjednodušuje plánování. A i na nás jako výrobce to vytváří tlak, abychom našim zákazníkům neustále nabízeli nové funkce a ti v rámci svého předplatného dostali služby a funkce, které očekávají.
