安全的SD-WAN取决于设计安全

2019-11-01 19:20:19 云杰通信 103

安全的SD-WAN取决于设计安全

SD-WAN的灵活性,可扩展性和成本节约使其对全球组织具有很高的吸引力,但可能带来更高的风险。

在本文中,我们从设计安全性入手,探讨如何保护SD-WAN服务。

设计安全

转移到SD-WAN会带来很多好处,同时您也可能使您的业务面临网络,应用程序可用性和性能方面的额外安全风险。您的SD-WAN路由器和管理平台直接连接到Internet。使用互联网进行流量传输意味着您失去了对数据路径的控制,您的数据正在零信任区域中流动。SD-WAN元素的物理安全性变得更加重要。

在许多情况下,仅依靠SD-WAN的内置安全性是不够的,留给客户评估他们自己的要求以及他们需要什么安全控制,否则将面临SD-WAN路由器被黑客入侵的风险,DDoS攻击或内部威胁。

SD-WAN:CIO和CISO之间的楔子?

但是,在我们看到的大约80%的出价中,客户没有积极考虑或意识到风险。SD-WAN凸显了CIO之间的紧张关系,CIO专注于通过技术支持的解决方案为业务提供支持,而CISO则关注于管理信息安全风险。CIO和CISO都认识到SD-WAN可以提供的节省和敏捷性,但这只是CISO的工作,以确保业务保持安全并实现收益。

实际上,网络罪犯也充分意识到了这些挑战,并希望确保IT和安全团队保持脱节状态。这些功能之间没有紧密协调的任何数字转换都可能导致漏洞的增加或延迟,因为追溯了安全方面的考虑,与一开始就设计所需的安全性相比,这可能会花费大量成本。

安全设计原则

实施SD-WAN概念验证或解决方案需要网络团队和安全团队共同合作。通过分析您想要实现的目标,了解您的网络和应用程序上的核心,您可以确定想要保护的内容以及保护方式。

无论采用哪种技术,我们都需要从思考数据安全性和网络安全性转向思考网络底层,SD-WAN覆盖和云安全架构的策略,可见性和控制。

我们建议七个设计原则:

  • 在所有层应用安全性;

  • 通过身份控制访问;

  • 保护静态和动态数据;

  • 自动化安全;

  • 持续监控并寻找威胁;

  • 遵守法规和法律;

  • 备灾。

SD-WAN安全控制

通过将站点分类为关键任务站点,关键业务站点或其他业务站点,可以为每种类型的站点设计正确的安全控制。对于我们的某些客户,答案可能是采取一种混合方法,将关键任务站点保留在安全的MPLS上,但将其他业务站点迁移到SD-WAN,或者添加其他安全控制措施。

常规安全注意事项还应包括诸如持续安全监视以发现异常流量,漏洞管理/补丁管理以及对SD-WAN控制器和设备的身份和访问管理之类的内容。

我们将安全控制措施(例如防火墙,身份和访问管理,入侵检测和防御以及URL过滤)直接嵌入到网络中,从而使我们能够根据组织要保护的内容以及需要保护的地方,在应用程序和站点之间提供不同的安全状态。 。 

网络和安全性不再可以分开考虑。我们对这两种方法都有深入的了解,这意味着我们的IT顾问可以帮助您了解SD-WAN周围的潜在风险,确保您在转换网络时不会无意间使组织,关键资产和数据遭受未知威胁。