根據Gartner最近的一份報告,安全性是企業(yè)更新其廣域網(WAN)時的首要考慮因素���。接下來�,需要確保的是企業(yè)與其分公司的高性能連接�,并針對傳統(tǒng)連接(如多協(xié)議標簽交換MPLS)不斷增加的成本有效性管控。
安全性挑戰(zhàn)中的一部分原因來源于現今網絡的高度互聯(lián)��,以及數據在不同信息系統(tǒng)和終端設備之間的傳輸���。為了滿足新的數字化需求����,核心數據中心和云環(huán)境均需連接到分公司和物聯(lián)網設施上���。也正是為了滿足對靈活性和可擴展性不斷增長的需求����,供應商正在使用SD-WAN取代傳統(tǒng)的WAN連接提高遠程連接的有效性�����。
SD-WAN的安全很難做
由于數字化轉型所帶來的結果,許多企業(yè)不得不實施混合型安全策略以確保他們部署的每個生態(tài)系統(tǒng)都能被安全的使用����。可令人遺憾的是�,實際部署時很少有安全解決方案可以支持每個新的網絡環(huán)境,即使可以�,也不會為每個環(huán)境提供一致的安全性能。
他們嘗試在核心網絡部署復雜多供應商的安全解決方案時����,繼而轉向擴展到云上、移動設施終端或SD-WAN環(huán)境中時�,這個問題也變得更加復雜化。這些混合型的多供應商結構不僅無法在多變的環(huán)境中提供一致的保護級別�,而且還無法保證為在這些環(huán)境之間傳輸的數據、應用程序和業(yè)務流程提供高度安全性��。
由于所有這些環(huán)境都是相互關聯(lián)的�����,所以潛在的攻擊面數量呈指數級增長。因此�����,任何存在于擴展網絡中的安全脆弱面都會對整個企業(yè)構成威脅���。隨著企業(yè)利用網絡直接從分公司實現更加高效的云端連接,這種風險將會進一步增加��。雖然這些連接能夠解決網絡延遲和流量擁塞帶來的問題從而提高性能�,但與此同時也引入了傳統(tǒng)安全工具和網關無法解決的安全問題。
SD-WAN供應商傾向于不做安全
不幸的是�����,在目前提供SD-WAN解決方案的60多家供應商中幾乎沒有一家提供過真正的集成安全解決方案����。雖然許多供應商提供過適用于第2層(表示層)和第3層(會話層)的基礎VPN連接和具有簡單狀態(tài)安全保護的一些解決方案,但它們均未解決當今數字化業(yè)務越來越多地暴露于的第4到第7層(傳輸層��、網絡層��、數據鏈路層�、物理層)的安全問題。與之相反,有些供應商甚至還存在依賴其他產品所提供的高級安全功能�����,例如:入侵防御���、Web過濾�、惡意軟件分析�����、SSL�����、IPSec檢查和沙盒�����。
其中至關重要的問題是:SD-WAN解決方案更傾向于由網絡運維團隊負責選擇和實施�,以用來解決功能和成本問題,這就意味著安全性往往是一個只能在事后才能得到解決的問題�。但是,因安全資源仍受到各類條件的限制�,導致安全技術的差距還在不斷地擴大��,因此SD-WAN解決方案實施后大多很難達到預期目標����。如果沒有充足的資源來設計���、部署、實施�����、迭代以及管理一組安全工具���,特別是對那些位于系統(tǒng)連接分支端的安全工具來講顯得尤為重要����。
傳統(tǒng)的安全解決方案亟待優(yōu)化
然而�,當企業(yè)不斷嘗試在組織核心網絡內容部署現有的安全解決方案時會伴隨產生另一個新的問題。無論是物理設備還是虛擬設備�����,這些設備中的大多數從未針對SD-WAN的可擴展性���、靈活性等功能而被設計生產���。
比如說��,無論是在核心數據中心���、分公司、移動端還是多個云環(huán)境中�,都必須對通過公共互聯(lián)網進行傳輸的數據和業(yè)務信息加密。但是檢查加密流量是大多數安全設備的致命弱點�,這使得大多數防火墻(NGFW)無法在此類應用環(huán)境中派上用場。由此而影響系統(tǒng)性能��,即在實際使用過程中將會抵消SD-WAN解決方案所帶來的優(yōu)勢���。
同樣���,它們也不能與類似的解決方案或完全相同的解決方案在云環(huán)境中部署。因此供應商在認識到跨環(huán)境系統(tǒng)集成安全的重要性后都竭盡全力提供解決該問題的策略及方法�����。例如:在企業(yè)網絡設備內部署入侵防御系統(tǒng)(IPS)���。但若試圖將傳統(tǒng)安全解決方案強行融入多變的環(huán)境中會引發(fā)更多問題����,例如試圖將現有的安全解決方案擴展到SD-WAN:它們往往會因可擴展性和管理復雜性導致部署失敗。
原生安全配置保留SD-WAN功能
為了幫助企業(yè)避免因采用分散的多供應商安全解決方案保護其SD-WAN部署所帶來的問題����,供應商須在云上和客戶的WAN網關處提供威脅防護。但很少有SD-WAN供應商愿意迎接此類挑戰(zhàn)�����。
我們需要的安全工具是為企業(yè)提供當今信息化業(yè)務所必須的全套安全解決方案�,并且這些解決方案是原生整合到SD-WAN解決方案中����。通過這種方式,安全性可以動態(tài)地適應連接環(huán)境的變化����,并支持關鍵性應用程序和業(yè)務流程。無論是在核心網絡�、云端,還是部署在分支端或物聯(lián)網設備中��,這些工具還需同部署在其他環(huán)境工具進行安全互聯(lián)。它們均要通過獨立的數據管理分析控制平臺進行管控�����,以確保數據和業(yè)務流程傳輸到任何需要的地方��,并可以輕松對其部署�、協(xié)調和更新安全解決方案。
無論在哪里部署安全系統(tǒng)都不能過分的夸大本機安全配置的必要性��。在SD-WAN環(huán)境中����,安全性不僅需要保護數據和資源,還要確保其主要功能和成本可控性得以保留�����。這包括維護安全性的同時不延遲敏感通信的傳輸��、支持不斷發(fā)展的應用程序���、與DevSecOps策略集成以及安全地連接到不同的網絡環(huán)境中去���。
