如何解決軟件定義廣域網(wǎng)(SD-WAN)的安全問題?

張小柒
由于數(shù)字化轉(zhuǎn)型所帶來的結(jié)果,許多企業(yè)不得不實施混合型安全策略以確保他們部署的每個生態(tài)系統(tǒng)都能被安全的使用。可令人遺憾的是,實際部署時很少有安全解決方案可以支持每個新的網(wǎng)絡(luò)環(huán)境。

安全性挑戰(zhàn)中的一部分原因來源于現(xiàn)今網(wǎng)絡(luò)的高度互聯(lián),以及數(shù)據(jù)在不同信息系統(tǒng)和終端設(shè)備之間的傳輸。為了滿足新的數(shù)字化需求,核心數(shù)據(jù)中心和云環(huán)境均需連接到分公司和物聯(lián)網(wǎng)設(shè)施上。也正是為了滿足對靈活性和可擴(kuò)展性不斷增長的需求,供應(yīng)商正在使用SD-WAN取代傳統(tǒng)的WAN連接提高遠(yuǎn)程連接的有效性。

SD-WAN的安全很難做

由于數(shù)字化轉(zhuǎn)型所帶來的結(jié)果,許多企業(yè)不得不實施混合型安全策略以確保他們部署的每個生態(tài)系統(tǒng)都能被安全的使用??闪钊诉z憾的是,實際部署時很少有安全解決方案可以支持每個新的網(wǎng)絡(luò)環(huán)境,即使可以,也不會為每個環(huán)境提供一致的安全性能。

他們嘗試在核心網(wǎng)絡(luò)部署復(fù)雜多供應(yīng)商的安全解決方案時,繼而轉(zhuǎn)向擴(kuò)展到云上、移動設(shè)施終端或SD-WAN環(huán)境中時,這個問題也變得更加復(fù)雜化。這些混合型的多供應(yīng)商結(jié)構(gòu)不僅無法在多變的環(huán)境中提供一致的保護(hù)級別,而且還無法保證為在這些環(huán)境之間傳輸?shù)臄?shù)據(jù)、應(yīng)用程序和業(yè)務(wù)流程提供高度安全性。

由于所有這些環(huán)境都是相互關(guān)聯(lián)的,所以潛在的攻擊面數(shù)量呈指數(shù)級增長。因此,任何存在于擴(kuò)展網(wǎng)絡(luò)中的安全脆弱面都會對整個企業(yè)構(gòu)成威脅。隨著企業(yè)利用網(wǎng)絡(luò)直接從分公司實現(xiàn)更加高效的云端連接,這種風(fēng)險將會進(jìn)一步增加。雖然這些連接能夠解決網(wǎng)絡(luò)延遲和流量擁塞帶來的問題從而提高性能,但與此同時也引入了傳統(tǒng)安全工具和網(wǎng)關(guān)無法解決的安全問題。

SD-WAN供應(yīng)商傾向于不做安全

不幸的是,在目前提供SD-WAN解決方案的60多家供應(yīng)商中幾乎沒有一家提供過真正的集成安全解決方案。雖然許多供應(yīng)商提供過適用于第2層(表示層)和第3層(會話層)的基礎(chǔ)VPN連接和具有簡單狀態(tài)安全保護(hù)的一些解決方案,但它們均未解決當(dāng)今數(shù)字化業(yè)務(wù)越來越多地暴露于的第4到第7層(傳輸層、網(wǎng)絡(luò)層、數(shù)據(jù)鏈路層、物理層)的安全問題。與之相反,有些供應(yīng)商甚至還存在依賴其他產(chǎn)品所提供的高級安全功能,例如:入侵防御、Web過濾、惡意軟件分析、SSL、IPSec檢查和沙盒。

其中至關(guān)重要的問題是:SD-WAN解決方案更傾向于由網(wǎng)絡(luò)運維團(tuán)隊負(fù)責(zé)選擇和實施,以用來解決功能和成本問題,這就意味著安全性往往是一個只能在事后才能得到解決的問題。但是,因安全資源仍受到各類條件的限制,導(dǎo)致安全技術(shù)的差距還在不斷地擴(kuò)大,因此SD-WAN解決方案實施后大多很難達(dá)到預(yù)期目標(biāo)。如果沒有充足的資源來設(shè)計、部署、實施、迭代以及管理一組安全工具,特別是對那些位于系統(tǒng)連接分支端的安全工具來講顯得尤為重要。

傳統(tǒng)的安全解決方案亟待優(yōu)化

然而,當(dāng)企業(yè)不斷嘗試在組織核心網(wǎng)絡(luò)內(nèi)容部署現(xiàn)有的安全解決方案時會伴隨產(chǎn)生另一個新的問題。無論是物理設(shè)備還是虛擬設(shè)備,這些設(shè)備中的大多數(shù)從未針對SD-WAN的可擴(kuò)展性、靈活性等功能而被設(shè)計生產(chǎn)。

比如說,無論是在核心數(shù)據(jù)中心、分公司、移動端還是多個云環(huán)境中,都必須對通過公共互聯(lián)網(wǎng)進(jìn)行傳輸?shù)臄?shù)據(jù)和業(yè)務(wù)信息加密。但是檢查加密流量是大多數(shù)安全設(shè)備的致命弱點,這使得大多數(shù)防火墻(NGFW)無法在此類應(yīng)用環(huán)境中派上用場。由此而影響系統(tǒng)性能,即在實際使用過程中將會抵消SD-WAN解決方案所帶來的優(yōu)勢。

同樣,它們也不能與類似的解決方案或完全相同的解決方案在云環(huán)境中部署。因此供應(yīng)商在認(rèn)識到跨環(huán)境系統(tǒng)集成安全的重要性后都竭盡全力提供解決該問題的策略及方法。例如:在企業(yè)網(wǎng)絡(luò)設(shè)備內(nèi)部署入侵防御系統(tǒng)(IPS)。但若試圖將傳統(tǒng)安全解決方案強(qiáng)行融入多變的環(huán)境中會引發(fā)更多問題,例如試圖將現(xiàn)有的安全解決方案擴(kuò)展到SD-WAN:它們往往會因可擴(kuò)展性和管理復(fù)雜性導(dǎo)致部署失敗。

原生安全配置保留SD-WAN功能

為了幫助企業(yè)避免因采用分散的多供應(yīng)商安全解決方案保護(hù)其SD-WAN部署所帶來的問題,供應(yīng)商須在云上和客戶的WAN網(wǎng)關(guān)處提供威脅防護(hù)。但很少有SD-WAN供應(yīng)商愿意迎接此類挑戰(zhàn)。

我們需要的安全工具是為企業(yè)提供當(dāng)今信息化業(yè)務(wù)所必須的全套安全解決方案,并且這些解決方案是原生整合到SD-WAN解決方案中。通過這種方式,安全性可以動態(tài)地適應(yīng)連接環(huán)境的變化,并支持關(guān)鍵性應(yīng)用程序和業(yè)務(wù)流程。無論是在核心網(wǎng)絡(luò)、云端,還是部署在分支端或物聯(lián)網(wǎng)設(shè)備中,這些工具還需同部署在其他環(huán)境工具進(jìn)行安全互聯(lián)。它們均要通過獨立的數(shù)據(jù)管理分析控制平臺進(jìn)行管控,以確保數(shù)據(jù)和業(yè)務(wù)流程傳輸?shù)饺魏涡枰牡胤?,并可以輕松對其部署、協(xié)調(diào)和更新安全解決方案。

無論在哪里部署安全系統(tǒng)都不能過分的夸大本機(jī)安全配置的必要性。在SD-WAN環(huán)境中,安全性不僅需要保護(hù)數(shù)據(jù)和資源,還要確保其主要功能和成本可控性得以保留。這包括維護(hù)安全性的同時不延遲敏感通信的傳輸、支持不斷發(fā)展的應(yīng)用程序、與DevSecOps策略集成以及安全地連接到不同的網(wǎng)絡(luò)環(huán)境中去。

THEEND

最新評論(評論僅代表用戶觀點)

更多
暫無評論