不僅僅是SD-WAN 分支機構邊界安全最佳實踐
責編:gltian |2019-07-30 17:34:14軟件定義廣域網 (SD-WAN) 安全很好,但也有不足:SD-WAN 解決方案處理不了分支機構本身的變遷。必須從另外的角度加以解決。
最想實現數字轉型的肯定是企業分支機構。各部門都想快點采用云和擴大廣域網 (WAN) 邊界運營。軟件定義廣域網 (SD-WAN) 在其中起到了很好的輔助作用,而安全 SD-WAN 也比完全集成的企業級安全更進了一步。
安全 SD-WAN 優勢明顯,但也存在不足:SD-WAN 解決方案無法解決分支機構本身的變動。比如說,物聯網設備采用率的激增和聯網終端用戶設備的增長,就已經超出了本地分支機構網絡的處理范疇。而且,數字轉型還擴大了潛在攻擊界面,將安全頂到了前沿陣地。沒有哪家公司想讓自己的分支機構成為安全戰略中的薄弱環節。
然而,很多公司覺得自己能用自身主網絡所用同一套安全方法來解決分支機構的安全問題。結果十分打臉,堪稱搬起石頭砸自己腳的生動實例。分支機構 IT 員工本就奇缺,很快便會被諸多終端安全產品、孤立的管理系統和復雜的集成服務路由器給壓垮。于是,分支網絡安全往往面臨可見性缺乏、管理復雜和解決方案太多的挑戰,保護 WAN 和 SD-WAN 連接之外的訪問邊界變得困難重重。
隨著問題的積累,公司企業開始轉向軟件定義分支 (SD-Branch) 架構:以軟件為中心的自動化集中管理平臺。
本文,安全提供商 Fortinet 給出了 SD-Branch 安全部署的基本元素列表:
- 網絡邊界防護
下一代防火墻 (NGFW) 是安全 SD-Branch 部署的完美基礎構件。NGFW 需能將 SD-WAN 連接的安全擴展至有線及無線接入的控制器。這可保證所有出入站流量經受實時審查,確保即時安全,無論流量是直接互聯網連接還是單個設備上產生的云鏈接,也不管流量是否經過加密。
為分支機構部署設計的 NGFW 還應整合安全與網絡訪問控制。與其他所有 SD-Branch 組件一樣,NGFW 需支持零接觸配置 (zero-touch provisioning),以便可快速安裝和在數分鐘內即可全面運轉。
- 接入保護
為保護 SD-Branch 網絡邊界,接入點 (AP) 不僅必須安全,還要能將 NGFW 功能擴展至無線局域網 (WLAN) 邊界,好接受與 WAN 邊界同等級的防護。WiFi AP 需提供足夠的容量和吞吐量,跟上不斷上升的帶寬需求;交換機需支持更高的速度與更強的以太網供電 (PoE),帶得動耗電量大的物聯網設備。
- 設備邊界防護
每設備安全是 SD-Branch 解決方案的另一個必備要素。分支機構物聯網設備的激增給公司企業帶來了嚴重威脅,必須合理識別和分隔。網絡訪問控制 (NAC) 解決方案應在物聯網設備加入網絡時提供自動化發現、分類與安全,包括基于意圖的分隔。而且,NAC 的工作不止于此。
- 設備監視
由于常與 NGFW 協同,NAC 解決方案還應時常監視這些設備,通過流量掃描查找異常行為。這可使安全解決方案得以識別潛在被黑設備,通過動態分隔設備加以隔離和修復。
- 零接觸配置
零接觸部署是 SD-branch 解決方案的基本要求,能快速推出新的分支機構環境,甚至 IT 人員不在現場都能完成這一操作。同樣的,通過單一管理平臺實施的集成管理,能夠中心化和自動化配置更新、漏洞修復、遠程管理與分析、策略更新等等,簡化企業分支機構部署。