SD-WAN安全五項基本原則
眾所周知,安全性是兌現(xiàn)SD-WAN商業(yè)價值的首要前提和后盾。SD-WAN技術具有許多優(yōu)勢,例如更大的靈活性和更低的傳輸成本。但是,一旦將流量從結構化的專用MPLS 虛擬專用網(wǎng)轉(zhuǎn)移到公共寬帶鏈路上,安全性就成了第一位的考量因素,這也使得網(wǎng)絡安全廠商的SD-WAN解決方案相比傳統(tǒng)網(wǎng)絡廠商更具競爭力,因為對于SD-WAN而言,安全性比連接性更加具有挑戰(zhàn)性,大量安全廠商的涌入為SD-WAN市場帶來了豐富的選擇,但有時也會讓用戶“挑花了眼”。
為了確保網(wǎng)絡韌性和安全性,企業(yè)選擇SD-WAN解決方案時,需要參考以下五項基本原則:
1. 將SD-WAN安全性集成到企業(yè)的整體安全性體系結構中
許多企業(yè)錯誤地將SD-WAN安全性視為孤立的問題,而不是將其作為整體企業(yè)安全策略的關鍵要素。網(wǎng)絡安全技術提供商Perimeter 81的首席執(zhí)行官Amit Bareket指出:“大多數(shù)組織都將SD-WAN視為提供一定程度數(shù)據(jù)加密的連接工具。但事實上SD-WAN解決方案通常并不是用來提供數(shù)據(jù)安全服務的,對SD-WAN定位的錯誤認知會讓企業(yè)面臨安全風險。”
Bareket建議,對于SD-WAN流量的防護,組織及其安全團隊應開發(fā)一種方法,該方法應將監(jiān)視數(shù)據(jù)流量的基于策略的控制規(guī)則與整體SDN管理的檢測響應模型集成起來。他說:“通過將安全放在首位,SD-WAN相當于為企業(yè)網(wǎng)絡的漏洞增加了一個防護層。”
2. 不要將SD-WAN看作傳統(tǒng)的網(wǎng)絡技術
用傳統(tǒng)物理網(wǎng)絡的經(jīng)驗去理解SD-WAN安全性是錯誤的,傳統(tǒng)的物理網(wǎng)絡會自動對數(shù)據(jù)流施加某些限制,但這并不適用于SD-WAN。網(wǎng)絡安全公司Menlo Security的首席技術官Kowsik Guruswamy 解釋說:“例如,在傳統(tǒng)網(wǎng)絡中,您必須考慮流量模式和帶寬要求。”“這將決定您在何處以及如何執(zhí)行安全策略。”但是SD-WAN基于互聯(lián)網(wǎng),傳統(tǒng)網(wǎng)絡中的管控限制手段在這里并不適用。
3. 不要將安全性與單個供應商綁在一起
隨著網(wǎng)絡基礎架構的擴展和新威脅的到來,企業(yè)的安全需求隨著時間的推移而發(fā)展。在保留基本SD-WAN投資的同時,企業(yè)還需要網(wǎng)絡具有靈活的功能,可以在出現(xiàn)新的攻擊媒介時快速經(jīng)濟地遷移到其他安全解決方案,這是一項寶貴的安全能力。不幸的是,一些SD-WAN供應商將客戶鎖定在某個專有安全技術堆棧中。VMware的VeloCloud業(yè)務部門高級總監(jiān)Karl Brown表示:“這種SD-WAN方案沒有為將來提供靈活性,也沒有提供與現(xiàn)有安全基礎結構一起使用的靈活性。”
4. 不要過于傳統(tǒng)防火墻
使用傳統(tǒng)的WAN,分支機構的流量可以回傳到企業(yè)數(shù)據(jù)中心,由傳統(tǒng)防火墻處理或者在分支機構中部署與邊緣路由器分開維護的傳統(tǒng)防火墻。Brown認為:“這可能會導致一些問題,例如昂貴的帶寬,沉重的性能損失,不可預測的應用程序性能以及不必要的復雜分支IT管理。”“借助SD-WAN,企業(yè)可以通過便宜的互聯(lián)網(wǎng)服務,更有效地將流量發(fā)送到云和SaaS工具或者云托管網(wǎng)關。”
但是,在分支機構位置部署SD-WAN訪問時,企業(yè)必須采取額外的安全預防措施,因為連接到互聯(lián)網(wǎng)會產(chǎn)生更廣泛的攻擊面。Brown建議:“減輕這種新安全風險的最佳方法是利用云的功能來檢測和緩解威脅。”他還建議采用統(tǒng)一的管理方法,合并模板化的策略和審核,并在每個分支機構集成網(wǎng)絡和安全性。“總的來說,企業(yè)可以有效地實現(xiàn)和維護一致的先進威脅管理戰(zhàn)略”他指出。
5. 正確部署SD-WAN設備
許多SD-WAN用戶在防火墻后部署SD-WAN設備或在故障排除和/或配置SD-WAN設備時意外繞過了防火墻。WatchGuard網(wǎng)絡安全產(chǎn)品管理副總裁B rendan Patterson認為:“在這種情況下,企業(yè)根本沒有安全性,這使他們處于感染惡意軟件的高風險中。”
可以通過將SD-WAN設備安裝在防火墻前面來避免SD-WAN設備放錯位置造成的安全漏洞,處理WAN連接的同時防火墻也能繼續(xù)保護內(nèi)部網(wǎng)絡。Patterson 指出,對SD-WAN進行任何更改后,記住要重新檢查所有安全控制,這一點很重要。
Patterson還建議企業(yè)利用最新的網(wǎng)絡安全技術。他解釋說:“許多統(tǒng)一威脅管理設備(UTM)和下一代防火墻現(xiàn)在都提供SD-WAN功能,例如智能路徑路由。”“使用這些內(nèi)置功能還可以解決[放置]問題,并且可以減少管理和維護兩個設備的成本。”這對于中小型企業(yè)來說通常是一個不錯的選擇。
【本文是51CTO專欄作者“安全牛”的原創(chuàng)文章,轉(zhuǎn)載請通過安全牛(微信公眾號id:gooann-sectv)獲取授權】
