企业该如何避免常见的SD-WAN安全错误?

2020-05-06 17:31:18 云杰 108

数字化转型将工作业务就转向云迁移和物联网的采用,是整个网络的工具重新配置,使整个网络更快、更高效、更灵活、更具成本效益。

数字转换还意味着应用敏捷软件和应用程序开发,重新思考访问和登录,以及创建一个动态的自适应网络环境。

软件定义的SD-WAN许多公司的首选,因为它可以将数字转换的好处扩展到分支机构。无论员工身在何处,无论他们是部署在数据中心还是网络上的任何地方,他们都可以立即访问分布式资源,而无需严格的实施要求和昂贵的传统多协议标签交换(MPLS)连接开销。

企业该如何避免常见的SD-WAN安全错误?


企业中常见的SD-WAN安全错误

许多公司在采用SD-WAN时没有仔细考虑安全问题SD-WAN项目通常由网络运营团队来实施,太多的公司往往看到SD-WAN有利的一面而忽略了其安全性

部分供应商未能将适当的安全措施纳入他们的解决方案。目前,约有60家SD-WAN解决方案提供商,几乎所有提供商都只支持IPSec虚拟专用网络和基本的状态安全,这完全不足以保护企业面对不断发展的网络攻击。公司必须在部署SD-WAN后增加一个额外的有效安全层。供应商的过失不仅使公司的企业因运行不安全的解决方案而面临风险,而且通过添加传统的安全工具,增加了复杂的可升级SD-WAN部署的不必要的复杂性和费用,导致维护可升级SD-WAN的总成本增加。


如何解决SD-WAN所存在的安全错误问题企业应该怎样避免:

1.设置下一代防火墙安全系统

公司必须选择内置下一代防火墙(NGFW)安全性的SD-WAN解决方案。作为SD-WAN部署的一项集成功能,这种先进的安全技术可以确保对SD-WAN进行一致的检查、检测和保护,无论是在分支办公室、云中还是在数据中心。同时,NGFW可以保护本地工作流、数据和应用程序,即使SD-WAN为了满足网络要求而发生变化。这是大多数传统安全解决方案无法提供的功能。当然,并不是所有的安全解决方案都是相同的,所以如果集成的NGFW安全解决方案能够被第三方验证其安全有效性将会更好。

2.实现SD-WAN整合

分布式数字网络安全保护工作已经足够复杂,分散的可见性和逐个设备的策略安排只会使工作更加复杂。为SD-WAN部署选择的安全策略可以无缝集成到现有的安全体系结构中。通过提供网络安全可见性、集中管理控制以及威胁情报共享和关联,选择能够集成到现有安全框架中的解决方案可以为公司带来更强大的安全状态。

3.SD-WAN流量加密

用宽带连接取代多协议标签交换的问题是公共互联网通常是不可靠的,这可能会给需要即时访问资源和数据的数字公司和用户带来严重的问题。此外,近90%的公司和企业采用了云策略,每个云都需要独立的连接。因此,大多数部署SD-WAN的公司使用多个宽带连接将每个分支连接到核心网络,并访问每个云实例。然而,每一个这样的连接也扩展了公司潜在的攻击接口。

员工协作效率应加强提高,公司倾向于部署基于云的软件即服务(SaaS)应用程序,如Office 365和Salesforce。云杰在以往的解决方案中增加了Office 365的部署,基于云的基础上实现员工间协作办公的方式。这些连接通常包含需要保护的关键信息。因此,任何SD-WAN解决方案都应该采用虚拟专用网络来覆盖自身的传输安全层,并且这些虚拟专用网络解决方案还提供了非常高的性能和动态可扩展性。

4.对加密流量进行检查

在以微秒为成功衡量单位的数字商务环境中,安全连接显然是不够的。随着SSL(HTTPS)流量的增加,攻击者逐渐将恶意软件隐藏到加密的隧道中以避免被发现。SD-WAN供应商提供的基本安全措施不包括安全检查,或者即使有安全检查,功能性能也不能满足要求。这是企业在部署SD-WAN时最常见的错误。

安全团队确实将安全性嵌入到了可扩展SD-WAN部署中,但是SSL检查会降低市场上几乎所有遗留NGFW解决方案的性能。事实上,绝大多数安全提供商甚至不会公布他们的SSL检查性能指标。然而,在当今的数字市场中,竞争激烈的公司和企业不愿意为了安全而牺牲性能。因此,SSL检查要么随意执行,要么根本不执行。我们还应该注意第三方测试给出的SSL检查索引。

选择同时满足性能和安全要求的解决方案。


在当今激烈的数字市场竞争中,标准数字SD-WAN已迅速成为网络转型的基本组成部分,使公司在速度和效率方面获得优势。然而,随着威胁和恶意软件变得越来越复杂和普遍,我们必须加强对传统MPLS连接的现有安全保护。