根據(jù)Gartner最近的一份報告,安全性是企業(yè)更新其廣域網(wǎng)(WAN)時的首要考慮因素���。接下來�,需要確保的是企業(yè)與其分公司的高性能連接�����,并針對傳統(tǒng)連接(如多協(xié)議標簽交換MPLS)不斷增加的成本有效性管控����。
安全性挑戰(zhàn)中的一部分原因來源于現(xiàn)今網(wǎng)絡的高度互聯(lián),以及數(shù)據(jù)在不同信息系統(tǒng)和終端設備之間的傳輸。為了滿足新的數(shù)字化需求�,核心數(shù)據(jù)中心和云環(huán)境均需連接到分公司和物聯(lián)網(wǎng)設施上。也正是為了滿足對靈活性和可擴展性不斷增長的需求�����,供應商正在使用SD-WAN取代傳統(tǒng)的WAN連接提高遠程連接的有效性�。
SD-WAN的安全很難做
由于數(shù)字化轉型所帶來的結果,許多企業(yè)不得不實施混合型安全策略以確保他們部署的每個生態(tài)系統(tǒng)都能被安全的使用�����?��?闪钊诉z憾的是�,實際部署時很少有安全解決方案可以支持每個新的網(wǎng)絡環(huán)境���,即使可以��,也不會為每個環(huán)境提供一致的安全性能��。
他們嘗試在核心網(wǎng)絡部署復雜多供應商的安全解決方案時����,繼而轉向擴展到云上、移動設施終端或SD-WAN環(huán)境中時�,這個問題也變得更加復雜化。這些混合型的多供應商結構不僅無法在多變的環(huán)境中提供一致的保護級別��,而且還無法保證為在這些環(huán)境之間傳輸?shù)臄?shù)據(jù)��、應用程序和業(yè)務流程提供高度安全性�����。
由于所有這些環(huán)境都是相互關聯(lián)的���,所以潛在的攻擊面數(shù)量呈指數(shù)級增長�����。因此,任何存在于擴展網(wǎng)絡中的安全脆弱面都會對整個企業(yè)構成威脅��。隨著企業(yè)利用網(wǎng)絡直接從分公司實現(xiàn)更加高效的云端連接�����,這種風險將會進一步增加��。雖然這些連接能夠解決網(wǎng)絡延遲和流量擁塞帶來的問題從而提高性能,但與此同時也引入了傳統(tǒng)安全工具和網(wǎng)關無法解決的安全問題�����。
SD-WAN供應商傾向于不做安全
不幸的是���,在目前提供SD-WAN解決方案的60多家供應商中幾乎沒有一家提供過真正的集成安全解決方案�。雖然許多供應商提供過適用于第2層(表示層)和第3層(會話層)的基礎VPN連接和具有簡單狀態(tài)安全保護的一些解決方案��,但它們均未解決當今數(shù)字化業(yè)務越來越多地暴露于的第4到第7層(傳輸層���、網(wǎng)絡層���、數(shù)據(jù)鏈路層、物理層)的安全問題����。與之相反,有些供應商甚至還存在依賴其他產(chǎn)品所提供的高級安全功能���,例如:入侵防御�、Web過濾�、惡意軟件分析��、SSL����、IPSec檢查和沙盒��。
其中至關重要的問題是:SD-WAN解決方案更傾向于由網(wǎng)絡運維團隊負責選擇和實施�,以用來解決功能和成本問題,這就意味著安全性往往是一個只能在事后才能得到解決的問題�����。但是����,因安全資源仍受到各類條件的限制,導致安全技術的差距還在不斷地擴大����,因此SD-WAN解決方案實施后大多很難達到預期目標。如果沒有充足的資源來設計�����、部署��、實施���、迭代以及管理一組安全工具���,特別是對那些位于系統(tǒng)連接分支端的安全工具來講顯得尤為重要。
傳統(tǒng)的安全解決方案亟待優(yōu)化
然而���,當企業(yè)不斷嘗試在組織核心網(wǎng)絡內(nèi)容部署現(xiàn)有的安全解決方案時會伴隨產(chǎn)生另一個新的問題�。無論是物理設備還是虛擬設備���,這些設備中的大多數(shù)從未針對SD-WAN的可擴展性�、靈活性等功能而被設計生產(chǎn)��。
比如說�����,無論是在核心數(shù)據(jù)中心���、分公司�����、移動端還是多個云環(huán)境中��,都必須對通過公共互聯(lián)網(wǎng)進行傳輸?shù)臄?shù)據(jù)和業(yè)務信息加密��。但是檢查加密流量是大多數(shù)安全設備的致命弱點��,這使得大多數(shù)防火墻(NGFW)無法在此類應用環(huán)境中派上用場����。由此而影響系統(tǒng)性能,即在實際使用過程中將會抵消SD-WAN解決方案所帶來的優(yōu)勢��。
同樣��,它們也不能與類似的解決方案或完全相同的解決方案在云環(huán)境中部署��。因此供應商在認識到跨環(huán)境系統(tǒng)集成安全的重要性后都竭盡全力提供解決該問題的策略及方法�。例如:在企業(yè)網(wǎng)絡設備內(nèi)部署入侵防御系統(tǒng)(IPS)。但若試圖將傳統(tǒng)安全解決方案強行融入多變的環(huán)境中會引發(fā)更多問題�����,例如試圖將現(xiàn)有的安全解決方案擴展到SD-WAN:它們往往會因可擴展性和管理復雜性導致部署失敗����。
原生安全配置保留SD-WAN功能
為了幫助企業(yè)避免因采用分散的多供應商安全解決方案保護其SD-WAN部署所帶來的問題,供應商須在云上和客戶的WAN網(wǎng)關處提供威脅防護�。但很少有SD-WAN供應商愿意迎接此類挑戰(zhàn)。
我們需要的安全工具是為企業(yè)提供當今信息化業(yè)務所必須的全套安全解決方案�,并且這些解決方案是原生整合到SD-WAN解決方案中。通過這種方式��,安全性可以動態(tài)地適應連接環(huán)境的變化��,并支持關鍵性應用程序和業(yè)務流程��。無論是在核心網(wǎng)絡�����、云端�����,還是部署在分支端或物聯(lián)網(wǎng)設備中�,這些工具還需同部署在其他環(huán)境工具進行安全互聯(lián)。它們均要通過獨立的數(shù)據(jù)管理分析控制平臺進行管控�����,以確保數(shù)據(jù)和業(yè)務流程傳輸?shù)饺魏涡枰牡胤剑⒖梢暂p松對其部署���、協(xié)調和更新安全解決方案�。
無論在哪里部署安全系統(tǒng)都不能過分的夸大本機安全配置的必要性����。在SD-WAN環(huán)境中,安全性不僅需要保護數(shù)據(jù)和資源�����,還要確保其主要功能和成本可控性得以保留��。這包括維護安全性的同時不延遲敏感通信的傳輸�����、支持不斷發(fā)展的應用程序��、與DevSecOps策略集成以及安全地連接到不同的網(wǎng)絡環(huán)境中去����。
