迁移SD-WAN时要避免的安全问题

2019-12-05 16:04:50 云杰通信 106

迁移SD-WAN时要避免的安全问题

SD-WAN市场的增长,对希望降低成本并提高网络效率的中小型企业和分布式企业来说,具有吸引力。

向SD-WAN的转变虽然带来了巨大的业务收益,但对于网络覆盖位置多、分布广的公司而言,也带来了新的安全风险。

实际上研究发现43%的攻击针对小型企业,因此这些企业与大型企业一样面临风险。如果企业将现有网络迁移SD-WAN,则应注意以下四个常见的安全错误,并应避免这些错误。

暴露新的攻击面

想象一下具有MPLS(多协议标签交换)连接的远程办公室的集合,该连接将所有流量路由到总部,然后在总部通过企业防火墙。由于所有远程位置都没有暴露于公共互联网,并且连接在安全的总部,因此总体而言是相当安全的。

但是,如果该公司采用SD-WAN,则每个位置现在都有与Internet的物理连接,从而使它们遭受到攻击。

即使他们的所有流量仍通过VPN隧道通过防火墙路由到总部,也带来了新的风险。攻击者也许可以通过该Internet连接利用开放式网络服务漏洞来获得某种访问权限,然后通过SD-WAN连接横向移动到其他系统。如果不通过防火墙等其他安全控制措施来实现,SD-WAN本质上会增加许多公司的攻击面。以我的经验,大多数企业对于这种额外风险并没有做好准备,特别是如果它们在SD-WAN过渡之前不习惯于保护分支站点不受开放式Internet的侵害,并且没有采取必要的步骤来提高安全性时。

忽视防火墙

接下来,高度依赖基本路由器安全性和MPLS线路来保护其数据的公司在移至SD-WAN时常常会忘记更新其安全性硬件或做法。

例如,考虑一个也有许多远程位置的组织,该组织使用MPLS进行企业通信,并在每个位置使用受防火墙保护的小型Internet连接。现代路由器确实提供了一些基本的安全功能(通常只是一个访问控制列表),组织经常依靠这些路由器安全功能来保护其MPLS线路,并使用防火墙来保护每个站点上的Internet流量。

问题是:这些公司升级到SD-WAN时,大概率将其所有设备(包括防火墙)交换为SD-WAN路由器。现在,他们正在通过开放的Internet移动大量流量,并消除了防火墙提供的有限安全性。即使他们仍然依靠路由器内置的基本ACS安全性,但就网络安全性而言,它们已经过时,这使他们极易遭受新的安全威胁,如恶意软件、木马、网络软件漏洞以及DDoS攻击。

集中应用安全性而不是分布式

在上述示例中,迁移到SD-WAN的公司正在使用总部的中央防火墙将安全性应用于其流量。但是应该在每个网络和网关上应用一些网络安全性。例如在每个单独位置的网关处应用的预防服务(IPS)可以保护每个站点免受其他站点的攻击。当网络蠕虫在系统之间传播时,这可以捕获它们,或者阻止攻击者通过网络横向移动。如果集中应用安全性,则不会进行网络分段,恶意软件可以更轻松地在网络中传播。在这种情况下,内部威胁将更加危险,只需一名员工将携带他们在其他地方拾取的恶意软件的笔记本电脑(或在停车场拾取的USB驱动器)带到办公室,然后连接到网络恶意软件越过中央防火墙并造成严重破坏。

意外绕过防火墙

这听起来像是一个令人难以置信的愚蠢错误,但它的发生频率比想看到的要高。

使用纯SD-WAN设备和防火墙的组织可能会意外绕过防火墙,从而根本无法保护其流量!

发生这种情况的方法有几种:

  • 如果SD-WAN设备位于防火墙后面,则在防火墙进行任何检查之前,将通过隧道发送流量。

  • 通常,IT会绕过防火墙来对SD-WAN设备进行故障排除,但在修复问题后却忘记将其重新打开。

SD-WAN设备应安装在防火墙的前面,以便SD-WAN盒可以处理WAN连接,并且防火墙仍可以保护内部网络。