什么是SD-WAN安全性?

2020-01-10 14:39:04 云杰通信 106

SD-WAN安全性主要基于IP安全性(IPsec),VPN隧道,下一代防火墙以及应用程序流量的微分段的使用。网络管理员通过可授予网络精细可见性的软件集中管理和协调这些安全元素。

需要对安全网络功能进行虚拟化,以跟上不断发展的安全威胁并控制更新和升级安全元素的成本。WAN虚拟化与在云中放置应用程序的实践相结合,扩展了网络范围。这要求安全功能必须位于组织的总部,分支机构和云中。

SD-WAN安全性对虚拟机的使用意味着可以将软件更新安装在现有硬件上,而不必为每次更新安装新硬件,从而节省了时间和金钱。

什么是SD-WAN安全性?

SD-WAN安全基础:IPsec和VPN

基于IPsec的VPN几乎对所有SD-WAN通用。

由于SD-WAN除了使用MPLS连接外还使用公共互联网,因此至少需要VPN或IPsec隧道来确保流量不会在发送方和接收方之间受到干扰。

这是通过以下方式完成的:

  • 验证发送方,接收方和正在发送的数据包;

  • 使用发送和接收数据的主机已经共享的加密密钥,或者使用公共和私有密钥加密;

  • 使用封装安全有效载荷(ESP)协议确保数据包未被篡改;

  • 通过查看IP标头的Authentication Header(AH)确认数据包的来源是受信任的。

能见度

与传统WAN相比,SD-WAN的主要优势是SD-WAN提供的网络可见性级别。

网络管理员能够集中管理和协调网络,监控流量的不一致性。借助此功能,网络管理员可以确保应用程序运行正常,排除网络故障并确保安全元素和策略正常运行。

网络流量的应用程序级可见性为网络管理员提供了有关哪些应用程序正在使用带宽,它们正在使用多少资源以及其性能如何的详细信息。

网络管理员使用可见性来细化建立用户可以访问哪些应用程序或IP地址的安全策略。

此外,SD-WAN中几乎所有其他安全功能都依赖于网络可见性,因为该软件只能与它可以检测到的流量进行交互。下一代防火墙不依赖于网络可见性,因为它们正在分析通过它们的所有流量。

设备级别的可见性不仅限于显示有关创建流量的应用程序的数据,还包括在使用该应用程序的设备以及使用该设备的人员上(如果存在将用户连接到该设备的标识符)。设备级别的可见性为可应用于网络的安全策略提供了更大的粒度。它可以对用户进行分组,并确定他们对网络的访问级别以及他们在网络上的活动。

NGFW用于SD-WAN安全

下一代防火墙(NGFW)是SD-WAN安全性的关键要素。NGFW部署在分支机构和总部,是传统的基于硬件的防火墙的虚拟化和改进版本。一个NGFW运行多个虚拟网络功能(VNFs),如应用程序的意识,入侵检测和防御,URL和网页内容过滤,恶意软件检测和防病毒保护。它们运行的NGFW和VNF可以基于本地,也可以基于云。

微细分

在SD-WAN中,可以根据其特征和网络管理员为SD-WAN建立的网络策略对来自不同应用程序的流量进行分段。分段是在SD-WAN的虚拟网络覆盖范围内创建虚拟网络。分段允许将来自不同应用程序或应用程序组的流量彼此隔离,从而消除了攻击媒介,并可以更精细地应用安全策略和服务质量。可以将不同的策略应用于各个细分。

微细分能够将流量细分为工作负载。通过将非常特定类型的流量彼此分开,来自不太安全的位置的流量无法与敏感信息进行交互。