為什么SD-WAN需要新的安全控制點
隨著越來越多的用戶和事物在云中訪問應用程序和數(shù)據(jù),更多企業(yè)采用SD-WAN技術,使能企業(yè)高效地進行數(shù)字化轉(zhuǎn)型。研究表明,在接下來的幾年里,到2022年,SD-WAN將增加五倍,占WAN流量的29%。IDC最新的SD-WAN基礎設施預測稱:“ 這個快速發(fā)展的網(wǎng)絡市場將從2017年到2022年以40.4%的復合年增長率增長到45億美元?!焙苊黠@,這是2019年網(wǎng)絡行業(yè)里網(wǎng)絡安全最大的變化。
我們要清楚為什么SD-WAN在構(gòu)建廣域網(wǎng)的過程中推動了這種范式的轉(zhuǎn)變?首先,我們知道傳統(tǒng)的WAN架構(gòu)并非針對云應用程序進行了優(yōu)化設計,而是借助SD-WAN,企業(yè)可以通過直接互聯(lián)網(wǎng)訪問(DIA)從遠程分支機構(gòu)使用互聯(lián)網(wǎng)作為其虛擬網(wǎng)絡,該分支機構(gòu)易于大規(guī)模部署且易于管理,還為企業(yè)提供了傳統(tǒng)MPLS服務的高質(zhì)量,價格合理的骨干替代方案,以及大多數(shù)WAN流量的回傳方式。例如,企業(yè)可以直接訪問Office365,AWS,Salesforce和其他SaaS / IaaS產(chǎn)品,以及將其流量直接路由到云應用提供商最近的Point of Presence(PoP),從而提高用戶的網(wǎng)絡響應能力和應用體驗,同時降低業(yè)務的帶寬成本。
一、SD-WAN新的安全挑戰(zhàn)
雖然,SD-WAN在企業(yè)網(wǎng)絡中彰顯了眾多優(yōu)勢,但也暴露了新的安全挑戰(zhàn)。由于SD-WAN支持直接互聯(lián)網(wǎng)訪問,能夠規(guī)避DMZ安全性,IT部門必須考慮解決幾種不同的安全組件,以最大化實現(xiàn)其SD-WAN拓撲:
外部威脅:直接使用互聯(lián)網(wǎng)接入使WAN易受攻擊,可能會使分支暴露于更廣泛的攻擊媒介,這導致未經(jīng)授權的訪問其基礎設施,拒絕服務攻擊和勒索軟件。
由內(nèi)而外的威脅:當發(fā)生違規(guī)時,數(shù)據(jù)通過互聯(lián)網(wǎng)發(fā)送到惡意基礎設施。以惡意軟件感染,命令和控制攻擊,網(wǎng)絡釣魚攻擊和內(nèi)部威脅的形式,如果沒有回流到企業(yè)防火墻的流量,云端必須有邊緣保護,以保護和保護關鍵數(shù)據(jù)免受攻擊。
內(nèi)部威脅:Corporations始終需要對其流量進行身份驗證,加密和分段,否則,他們會將攻擊面打開。內(nèi)部威脅有多種形式,例如,違規(guī)或內(nèi)部威脅,橫向移動可能會感染關鍵基礎設施,80%的分支機構(gòu)違規(guī)發(fā)生在企業(yè)公司的范圍內(nèi),因此,內(nèi)部威脅變得尤為重要。
信任:擴展遠程連接時IT的首要任務是確保用戶和遠程設備(最終用戶和網(wǎng)絡設備)的安全性和完整性,這些設備不再受數(shù)據(jù)中心的鎖定和密鑰控制。隨著企業(yè)開始采用軟件定義的架構(gòu),確認用戶和設備身份,狀態(tài)評估,可見性以及隨后由策略(安全性,數(shù)據(jù)和應用程序)驅(qū)動的網(wǎng)絡訪問將是最大的挑戰(zhàn)之一。
二、如何實現(xiàn)有效的SD-WAN安全實施
在部署方面,企業(yè)可以實現(xiàn)一些有效的模型:
①內(nèi)部部署解決方案:企業(yè)可以采用控制和嵌入功能,如下一代防火墻(NGFW),入侵防御(IPS)和URL過濾功能,以實現(xiàn)在路由器本地運行的全面分支邊緣安全性。
?、诜侄问歉綦x和保護企業(yè)中關鍵資產(chǎn)的基本方法。SD-WAN通過基于IPsec等加密協(xié)議在所有企業(yè)鏈路上構(gòu)建單個覆蓋,提供差異化的分段解決方案,并將VLAN或IP地址范圍映射到每個位置的定義隧道。使用SD-WAN進行分段可以實現(xiàn)對每個網(wǎng)段的完全可見性和控制。
?、圻m用于IaaS的云安全功能:安全和網(wǎng)絡團隊之間的有效協(xié)作可為應用程序和/或工作負載帶來安全,可擴展的云占用空間。SD-WAN有助于在虛擬網(wǎng)絡功能(VNF)之間實現(xiàn)更緊密的集成,編排和服務鏈,以實現(xiàn)路由和安全性。這使企業(yè)能夠圍繞云托管服務構(gòu)建適當?shù)陌踩吔纭?/p>
?、躍aaS和DIA訪問的安全性:通過DIA訪問SaaS應用程序時的內(nèi)外和內(nèi)外威脅可以通過云中的安全互聯(lián)網(wǎng)網(wǎng)關(SIG)服務得到緩解,提供網(wǎng)絡內(nèi)外的可見性和執(zhí)行,保護所有端口和協(xié)議以及SaaS的發(fā)現(xiàn)和控制。云訪問安全代理(CASB)服務強制執(zhí)行資源的身份驗證和授權,并有效地實現(xiàn)對公共域中的SaaS的安全訪問。
?、菰O備(BYOD)和移動性:BYOD需要適當?shù)陌踩胧?,以便通過蜂窩或公共Wi-Fi連接所有員工,對內(nèi)部部署以及基于云的應用程序和工作負載進行安全,可擴展的訪問。SD-WAN和身份服務集成可確保設備/用戶級身份驗證,狀態(tài)評估以及對企業(yè)基礎架構(gòu)的安全分段訪問,多因素身份驗證(MFA)已被證明是安全訪問資源的有效方法。
?、藜用芰髁糠治觯夯ヂ?lián)網(wǎng)上的大多數(shù)應用流量都是加密的,無論是SaaS還是P2P或https交易,使用加密的威脅分析技術是一種唯一可擴展的模型,它使用機器學習通過威脅啟發(fā)式不斷更新自身。
最后,根據(jù)您的網(wǎng)絡環(huán)境,找出那些控件放置最有意義的地方,并查看使用基于云的管理和協(xié)調(diào)策略的機會,以便您可以獲得相同的策略。
*博客內(nèi)容為網(wǎng)友個人發(fā)布,僅代表博主個人觀點,如有侵權請聯(lián)系工作人員刪除。