SD-WAN网络和MPLS网络一样安全吗?

2020-09-14 17:40:32 云杰 102

f205757c2c066e7ed2d8bc0aaba2e3d.png

  

  MPLS网络是专用网络。通常通过您的数据中心之一来访问Internet和从Internet访问Internet,在这些数据中心中,外围安全通常很集中,并且配置和限制了流量。由于传递的实际消息只能由您的专用网络域中的人员和应用程序看到,因此MPLS流量通常不加密。

  在MPLS网络的顶部部署SD-WAN同样安全,并且可以为网络中的所有流量添加加密,但是将需要SD-WAN设备处理辐条,集线器和云网关的所有流量。有很多简单的方法可以使用MPLS内置的功能来实现SD-WAN的应用程序可见性和性能优化功能。

  基于互联网的运输

  转移到Internet传输并在IPSec隧道中加密您的信息实际上是确保其安全的一种很好的方法。当大量信息流汇聚到集线器中时,该信息完全隐藏在MPLS世界中,可用于标识一天,一周或一个月的关键位置和时间。假设这些流量对于贵公司的运营或法规遵从性很重要,则该集线器可以成为DDoS勒索攻击的潜在目标。

  与MPLS网络不同,SD-WAN网络具有在Internet上的中央控制器。除非得到良好控制,否则这些漏洞可能会暴露这些漏洞。最近的一项研究发现,分布在2000个主机上的近5000个IP地址似乎是SD-WAN中央控制器接口,其中大多数运行的是已知漏洞的软件过时版本。

  这些中央控制器不仅具有获得IPSec安全性密钥的潜力,而且还具有切断对SD-WAN管理服务器的访问的能力。这可能会导致您失去可见性并无法更改路由。一段时间后,站点将无法与管理器交换更新的密钥,因此将停止一起路由。

  向Internet传输和SD-WAN转移会带来安全风险,但最大的影响来自使用站点的Internet连接进行本地Internet突破。这将严格控制和可控制的面向互联网的范围从少数主要数据中心位置移至一个扩展到每个远程站点的位置。对于我们最大的全球客户而言,可能在140个国家/地区设有3000个营业点。

  本地Internet的突破带来了SD-WAN的真正前景-从源头上卸载Internet绑定的流量,避免与混乱相关的性能下降,并在任何本地提供对云服务的本地访问。

  可以采用两种方法。它首先尝试保持这种不可渗透的扩展边界。第二个重点是更多内部安全方法,例如身份控制和微分段。

  大多数SD-WAN供应商都包含一个访问控制列表(ACL),该访问控制列表应防止通过WAN端口和管理通道进行入站通信。然后,许多客户将此与使用基于云的代理进行出站通信相结合,利用许多SD-WAN解决方案中的功能来创建和保护到ZEN节点的GRE或IPSec链接。但是,在为出站流量提供合理的安全性的同时,此解决方案在入站流量方面相对较弱。对于有经验的黑客来说,欺骗流量以通过ACL并不难,这就是为什么维持安全边界取决于整个资产群中ACL策略的良好且一致的应用。

  企业对SD-WAN设备之间的流量安全性充满信心,因此可以通过在IaaS解决方案中添加虚拟SD-WAN设备来实现本地互联网突破,以保护“云”中的服务。需要根据特定站点或位置上或从特定站点或位置访问哪些资产和数据,以及由谁来访问,来考虑云安全控制以及网络访问控制和身份管理控制的使用。

  如何部署SD-WAN和维护安全性?

  如何部署SD-WAN以及维护其安全性,这取决于您将如何使用SD-WAN,安全策略以及远程站点上已经拥有的设备,公司的策略以及根据其运行的法规,同时您的企业必须平衡网络连接中断或丢失的影响与承受能力之间的关系,以在SD-WAN转换业务案例中在网络上部署额外的安全性。