SD-WAN组网方案助企业阻止公共互联网攻击

2020-03-31 16:23:17 云杰通信 265

SD-WAN组网方案助企业阻止公共互联网攻击

尽管不是定义要求,但SD-WAN解决方案应包括高级安全服务。所有SD-WAN提供商都声称提供“安全SD-WAN”,但这仅指流量保护。组织仍然需要防御数据泄露,恶意软件感染和其他高级安全威胁,这需要诸如下一代防火墙(NGFW),安全Web网关(SWG)和高级威胁防护之类的高级安全技术。

公共互联网攻击广域网基础设施,公司被迫应对对其基础架构的互联网和恶意软件攻击。理想情况下,SD-WAN将与高级安全服务融合。通过将安全和网络融合在一起,部署变得更加简单,资本成本下降,并且在操作上,与单独的安全和网络设备相比,SD-WAN和安全基础结构更易于维护。但是,如果不可能实现融合的安全性,那么至少SD-WAN提供商应该提供服务链/插入以与外部第三方安全服务集成。

SD-WAN在云级别阻止恶意流量/攻击

与融合的SD-WAN相比,部署成本会更高,操作也会更加复杂,但这是必需的。多大的性能和成本效益SD-WAN来自替代MPLS接入与直接访问Internet的分支机构。通过本地退出Internet流量,SD-WAN避免了传统WAN配置的回程和性能问题。没有分支机构的高级安全性,用户将无法利用本地Internet,无法抵抗各种Internet带来的威胁。

SD-WAN提供商要考虑的特定高级安全功能包括:

下一代防火墙(NGFW)

高性能和弹性 - 无需强制升级容量即可检查所有应用程序流量,而无论其数量或加密方式如何。

应用程序感知 —识别对本地或云应用程序的访问,而不管使用的端口或协议是什么,或者应用程序是否经过SSL加密。

用户意识 —识别用户,组和位置,而不管IP地址如何

统一的精细安全策略 -控制对应用程序,服务器和网络资源的访问

安全WEB网关(SWG)

动态站点分类 -SWG功能应包括具有许多站点类别分类的URL数据库,其中包括网络钓鱼,恶意软件分发,僵尸网络和其他恶意站点。

阻止,提示或跟踪用户访问权限 -减少因使用风险网页而导致的法律或安全风险

Web访问策略实施 —根据公司策略限制网站访问

先进的威胁防护

高级威胁防护功能应包括:

反恶意软件 -扫描HTTP 和 HTTPS流量以查找恶意文件并阻止端点感染。

IPS / IDS —基于域/ IP信誉,地理位置,已知漏洞,DNS以及应用程序和用户意识,对流量应用上下文感知保护。

SD-WAN提供了三种用于在分支机构交付高级安全功能的选项 - 本地安全设备,虚拟网络功能或防火墙即服务(FWaaS)

本地安全设备

本地安全设备(例如防火墙或UTM设备)是公司保护分支机构的典型方法。因引入操作复杂性和增加成本而臭名昭著的设备。在每个位置配置,修补和维护安全设备会产生大量开销。而且,如上所述,使用高级安全功能(或在流量水平达到峰值时继续有效运行)需要使用设备中的大量硬件资源。通常,安全专家最终会在禁用高级功能,损害组织安全性或被迫进行硬件升级之间进行选择。

虚拟网络功能(VNF)

VNF是部署在物理SD-WAN设备或称为vCPE的第三方设备中的虚拟网络安全堆栈。因此,VNF减少了在分支机构运行单独的物理箱的物理难题,包括HVAC问题,计算功率以及其余配线间问题。但是,VNF仍然是离散的实体,需要对其软件和升级进行管理,并且面临与任何本地安全设备相同的扩展问题。

防火墙即服务(FWAAS)

防火墙即服务(FWaaS)不会面临本地安全设备或VNF的扩展和维护挑战。该基础架构是作为云服务从头开始构建的,从而消除了管理方面的挑战并解决了安全设备的扩展问题。他们确实要求服务提供商提供完全多租户,易于使用且功能强大的安全引擎,并且可以由客户完全运行。