SD-WAN为安全和网络提供更好的协作方式

2020-05-08 09:17:20 云杰 108

SD-WAN为安全和网络提供更好的协作方式


SD-WAN的“ SD”意味着安全灾难?

SD-WAN完全禁止向每个办公室提供直接Internet访问(DIA),这代表了公司攻击面的巨大扩展。大多数企业都有一个或最多几个区域安全的互联网访问中心。将DIA放到分支机构中可以使网络面临我们在Internet上发现的各种威胁:勒索软件,网络钓鱼,按下载下载站点等等。

如果企业都将DIA放到分支机构中,很可能您的分支机构中的现有安全性非常有限甚至已经面临着威胁。无论是依靠 MPLS 还是基于Internet的IPSec VPN,我们遇到的大多数公司仍然将回程流量回送到中央或区域中心的安全Internet访问门户。分支机构可能没有防火墙,恶意软件检测或其他安全设施。

实际上,由SD-WAN供应商Versa Networks赞助最近进行的一项调查表明了这一点。调查发现40%的企业分支甚至没有基本的状态防火墙。所有分支机构中有一半没有下一代防火墙(NGFW)。分支机构的SD-WAN和DIA代表着双重危险。公司不仅拥有更多的攻击面来确保安全,而且甚至不能利用现有的工具和程序来保护这些点。


网络和安全

SD-WAN供应商非常了解安全挑战。WAN上的网络分段将其自己的覆盖中的流量隔离开,从而保护覆盖中的应用程序免受覆盖外部WAN上的威胁。在主机上自己的VM中隔离应用程序的价值大致相同。现在,许多公司在其分支设备中建立了状态防火墙。

但是,更大的安全性问题是如何在分支机构提供NGFW,恶意软件检测,IDS / IPS,URL过滤和其他应用程序级安全机制。


服务链和云安全

服务链允许将安全功能“缝合”在一起。需要在边缘进行深度数据包检查以识别和引导往返于相关安全设备的流量,这些流量通常仍不一定集中在数据中心中。

服务链安全设备仍然使组织将分支机构的流量回程到某个位置进行检查。为了提供DIA而不需要在分支机构中部署完整的安全设备堆栈,许多SD-WAN供应商正在与云安全提供商合作。

服务链提供了解决基本安全问题的框架,但是企业仍然面临在数百个应用程序,用户类型和站点中创建该服务实例的挑战。为了使企业WAN管理变得可行,需要高度的策略集成和自动化。

一般情况下,应该定义SD-WAN和安全参数并通过一个接口传递。然后,必要的工具应该能够在整个基础架构中推出这些策略。

许多领先的SD-WAN提供商都提供了这些功能,但即使在那时,网络和安全分析仍然是分开的。例如,无法通过关联安全性和网络信息来最小化安全操作人员的安全警报风暴。例如,安全设备检测DDoS攻击并阻止网段从相关位置进入,情况也是如此。网络和安全日志始终可以导出到第三方工具,但是这些紧密的分析和控制功能仍然超出了大多数SD-WAN的范围。


SD-WAN和安全性集成

使用内部部署方法,组织仍然需要维护安全基础结构的所有管理和操作复杂性。防火墙大小,更新和补丁仍然是必需的。使用云安全服务,组织仍必须保护非HTTP流量。在这两种情况下,策略集成都可能受到限制,而分析集成通常不存在。

SD-WAN提供商将安全性和SD-WAN功能紧密结合在一起。Versa Networks 使用NFV在连接到SD-WAN的站点外围运行安全功能。

通过将安全性和网络紧密结合在一起,企业可以获得一些可观的收益。例如,Versa将安全性和网络日志相关联,以进行更深入的分析,从而有可能减少安全操作的事件负担。通过将所有功能转移到其云中,减轻了IT团队的负担,使他们不必承担单独基础架构的运营成本。

SD-WAN为安全和网络团队更好地协作提供了一种方式,这可能只是它们对IT安全性的最大贡献。