“截至2020年底,居然之家门店网络遍布全国30个省市自治区、272个城市,签约门店数量达到706家,累计直营开店数量达到416家。”自1999年成立到现在,居然之家作为有着22年历史的家居行业龙头,依然奔驰在高速扩张的快车道上,历久弥新。
为适应家居消费能力向区域市场下沉的趋势,居然之家近年来加速布局下沉的战略,作为居然之家的掌门人,董事长兼CEO汪林朋早在2018年就曾对外表示,“居然之家的全国连锁一直在加速,将来会成为第一个从北上广一线城市到县级城市全覆盖的企业。”
与此同时,居然之家进行了业务系统上云的规划,逐步将企业的业务系统迁移到云上。线下门店与总部的互联互通、线上与线下业务的融合,给网络基础设施建设提出了新的要求。为了满足新业务平台的组网、安全和运维需求,居然之家选择了奇安信合作,通过部署奇安信安全SD-WAN,实现了组网、安全和运营的三同步。
高速扩张带来的三大挑战
“不仅我们的门店数量在快速增长,同时也在加速向三四五线城市的区域下沉,这样的连锁化扩张速度,给我们信息化网络设施建设带来空前挑战,此项工作加快推进,花多少钱都值得,一方面规范员工上网行为,另一方面防止外部恶意攻击。”汪林朋多次强调。
更具体来说,这些挑战包括IT系统上云,以及安全边界从局域网络延伸到广域网络等趋势下,信息化网络所遇到的投入成本和运营成本居高不下,可用性、可靠性和安全性难以保障等问题。
首先网络初期建设时,传统专线模式的投资成本居高不下。过去在门店扩张或改造时,分部与全国的各分支机构采用了多家运营商的MPLS专线,持续性成本高昂,开通周期长,变更复杂,且以服务形式提供,不存在投资保护。
“我们在新疆某地区新建门店时,因为当地偏远,没有任何基础网络通讯设施,采用传统的组网方式,还需要找市政申请和审批,甚至还需要专门架电线杆子,少说也需要十天半个月。其成本之高、周期之长,可想而知。”新零售集团IT管理-IT管理部王欢分享了一个故事。
第二是运维成本较高,难度很大。由于分公司、门店网络环境变动较频繁,设备上线时间长,而且割接过程复杂,维护人力成本居高不下。同时由于网络、业务服务质量和安全风险不可见,不同分支机构与中心节点之间需要采用不同产品进行组网,运维难度较高,排错效率较低。
王欢表示,我们的门店和分支机构分布在全国各地,他们不一定有专业的IT维护人员,采用传统专线网络方式,无论是新建部署还是后期维护,配置都是很大的工程。同时后期运维管理的难度也非常之大。
第三在可靠性和安全性方面难以保障。传统的专线组网方式,无法满足业务高可用性、高可靠的需求,单链路故障所造成的业务瘫痪不可避免,遭遇链路故障后无法迅速进行链路切换。同时对用户访问互联网缺乏安全管控,对用户访问业务系统缺乏审计手段,对网络内外的僵尸、木马、蠕虫、病毒等威胁缺乏相对应的防护措施。
通过SD-WAN化繁为简 实现组网、安全、运营一步到位
“为了解决这些挑战,SD-WAN技术进入了我们的视野。所谓SD-WAN,就是“软件定义广域网”,它的ZTP技术、云连接技术、LLB技术,配合集中管控平台,可以有效解决快速组网、弹性扩展、运维可视的问题。”王欢回忆道。
尽管有诸多优点,但传统SD-WAN也存在一些不足:其一无法解决安全问题,攻击者能够以分支机构为跳板,绕过SD-WAN设备向总部进行渗透攻击,想要解决安全问题就还需接入防火墙、IPS等多个安全设备,必然带来成本的大幅度提升;二是无法实现全网安全风险的统一管理和可视化分析。
“信息化建设如同盖房子,如果业务规划初期忽视了安全,短期看似乎走了捷径、上线更快,但长线来看,后期补救所付出的成本和代价,远远大于忽视安全的短期便利。”对于具有多年信息化实践经验的新零售集团IT管理-IT管理部薄青松而言,对信息化和安全“三同步”的重要意义,具有深刻的体会。
显然,将组网、安全和运营一步到位无疑是适合的选择。作为边缘组网的重要设备,SD-WAN天生就是网络安全的“兵家必争之地”。凭借一站式组网和实战化的网络安全能力,奇安信安全SD-WAN方案自然而然成为了居然之家的首选。
新零售集团IT管理-IT管理部朱思霖表示,奇安信安全SD-WAN方案采用了更适合多分支型连锁企业的“all in one”,避免了在网络边界处同时串接大量网络设备。尤其是网络与安全部署同时进行,杜绝有网必有毒、流量无名氏等安全风险出现。同时,奇安信SD-WAN方案的多链路均衡使用,互相存在替代可能,提升了全网健壮度,增强投资保护。
由于奇安信安全SD-WAN解决方案正好契合居然之家的需求,通过规划、建设和运营的“三同步”方案,为该连锁商企客户量身打造了安全组网一体化解决方案,支持“总部-数据中心”、“总部-分支”、“分支-云”、“数据中心-云”等多种复杂的网络安全互联,并在非常短的时间内进行了全网升级部署,实现了对300多家门店的安全网关统一上线、监测和运维。
降本提效、安全可靠 奇安信SD-WAN优势显著
据介绍,居然之家安全SD-WAN混合云解决方案兼具了SD-WAN的组网优势,以及奇安信赋予的安全防护,最终带来的价值体现在以下方面。
首先是投资成本上的大幅度降低。
“对于任何企业而言,成本降低都是极具诱惑的。传统点对点的专网方式,单个门店而言,同是2Mb带宽,同城每月大约1500元,跨城每月4000元。全国数百家门店累积起来,每月都是近百万的花销。通过奇安信安全SD-WAN,这笔费用可以省下来。”薄青松说到。
据介绍,一方面,奇安信安全SD-WAN为居然之家在Internet网络打造了一个媲美专线网络的安全可靠私密空间,替换客户原本开通的大部分专线,为门店提供访问业务系统的安全稳定通道。客户仅保留少量专线作为部分重要业务系统备份。另一方面,安全SD-WAN支持防火墙、入侵防御、反病毒、上网行为管理等安全功能,无需在边界重复部署安全设备。通过以上两方面,显著降低客户的投资成本。
其次是运维管理成本上的极大降低,以及维护效率的指数级提升。
“在过去,网络开通之后,初始配置是一个庞大的工程。受制于不同门店的技术水平,如果不能如期配置完毕,各门店的收银、进销存、财务、库存、内网OA等业务终端无法与总部互联,可直接导致分店不能如期营业。对于零售行业而言,晚一天营业都是不能容忍的事故。”王欢说到。
安全SD-WAN的零配置上线、自动VPN组网、自动化部署等,可以极大缩短节点上线时间并节省运维人力资源,做到分支门店免IT,无需为门店配备专业的运维人员,显著降低客户的OPEX,并让分店人员专注于业务之上。
在分店运行过程中,经常会根据业务需求,进行更改配置。以前这些工作量非常之大,需要挨个门店进行逐一解决。通过安全SD-WAN的管控平台,可实现可视化集中管理、批量化变更、下发配置,批量化维护系统、备份系统,可视化故障排查工具。运维人员可轻松通过管控平台,实现对全网安全网关的运维,大大提高运维人员的工作效率,解决了客户原本组网设备零散品牌杂且无法统一运维、排障难的问题。
“以前要耗费一整天的繁琐配置工作,现在可以在家里用iPad就能轻松解决,用‘享受’来形容也不为过。”朱思霖感叹道。
最后是可靠性和安全性方面的强大保障。
家居零售属于资金密集行业,任何业务中断、网络故障都会造成极大影响。在业务系统安全可靠上云方面,安全SD-WAN通过可适配主流云服务提供商的虚拟化安全网关,为客户的云上业务系统提供了与客户门店、集团大厦、私有云之间安全互通的网络。并通过全自动组网、智能路径优选、云端双设备冗余提高上云的网络可靠性。
而在边界安全方面,安全SD-WAN通过安全网关自带的安全能力,为客户的边界提供基于应用层的业务策略控制、入侵防护、病毒防护、URL过滤、有线/无线接入认证、基于用户的策略控制、威胁情报联动等安全功能,使得居然之家在分支机构的网络边界可以只部署一台设备,避免一系列安全设备串接的现象,减少边界的故障点,同时极大提高业务的转发效率又保障业务的安全。
“在和奇安信合作的过程中,团队的配合度和支持度,给我们留下了深刻的印象。”朱思霖表示,“我们是奇安信安全SD-WAN的第一批客户,奇安信团队始终非常专业和敬业,每次版本更新,都会第一时间主动给我们完整的配置手册。在项目实施中,奇安信还会和我们一起结合实际场景,挖掘需求,推动功能更新迭代,更加完美的支撑居然之家的业务高速发展。
未来:部署态势感知平台 加速安全与信息化融合
居然之家安全SD-WAN项目的成功实施,充分体现了信息化和安全同步规划、同步建设、同步运营所带来的巨大价值。在“2019(暨第二届)中国SD-WAN峰会”上,该项目在“2019 SD-WAN Awards年度评选”中,斩获“优秀应用奖”和“年度新锐企业奖”双料大奖。
展望未来,薄青松表示,居然之家将进一步贯彻“三同步”的原则,将安全和底层基础能力,以及业务场景需求,紧密结合到一起,形成不可分割的整体。更具体来说,下一步居然之家计划部署态势感知与安全运营平台(NGSOC),成为整个业务系统的安全监控平台,通过安全大屏构建出指挥中心,紧密连接九大场景,打通底层数据,并融合奇安信的威胁情报能力,实现从点到线,从线到面的策略统一化,最终为居然之家构建出面向运营的实战化态势感知平台。
“安全的最大价值,恰恰是不容易看到价值。假如安全价值被显而易见看到了,说明安全的投入还不够。”薄青松谈到,“安全不可能到达终点,无法从0到100,只有不断提升攻击者的攻击门槛和攻击成本,才能获得相对的安全,为业务提供可靠的保障。”