為什么安全公司是最適合做SD-WAN的?
責編:gltian |2019-12-24 15:38:01網絡廠商根本無力涉足 SD-WAN 領域,一些 SD-WAN方案 僅添加有狀態數據包過濾能力,就稱之擁有“安全性”。
在 SD-WAN 誕生之初,在市場中“開荒”的只是單純的 SD-WAN 廠商,但很快就暴露出了缺點 —— “安全性”不到位。相比之下,安全廠商從一開始就強調安全的重要性。
如今,安全廠商似乎傾向于提供具有普遍安全特性的 SD-WAN 功能。Gartner 廣域網邊緣基礎設施魔力象限報告對此進行了重大預測,報告指出:“到 2024 年,隨著云服務的不斷普及,分布式企業購買的新防火墻中將有 50% 使用 SD-WAN 功能,而今天這一比例還不到 20%。”
目前,市場上已經有 Forcepoint、SonicWall 和 Barracuda 等安全廠商采用了 Fortinet 模式,為 廣域網邊緣架構提供了內置安全能力,以支持分布式企業這一龐大的使用場景。
集成安全的SD-WAN解決方案簡介
顯然,集成安全的SD-WAN解決方案包括領先的下一代防火墻安全性、SD-WAN、高級路由和 WAN 優化功能,能夠提供由安全驅動的 廣域網邊緣。它融合了 SD-WAN 的功能和安全特性。
集成安全的SD-WAN解決方案可以完全部署在分支機構和云中或者混合環境中。對于不想完全云化的企業來說,混合實現可能是一種更可行的選擇。
值得注意的是,據 Gartner 估計,Fortinet 擁有超過 21,000 個SD-WAN客戶。這一龐大的用戶群是對 Fortinet 產品的充分肯定,尤其是當強大而內置的安全功能成為關鍵要求時。
為網絡增加安全性
安全公司添加新網絡功能可謂是信手拈來,SD-WAN 公司添加高級安全功能(補齊 20 年以來的安全缺口)卻是難上加難。我們可以大膽地假設任何 SD-WAN 廠商都不會成為安全廠商。
隨著市場的發展,一些功能必須適時地進行重命名,比如有關應用身份、加密、路徑監控、路由協議和 廣域網鏈路負載均衡的特性。從根本上講,所有這些高級路由功能都不是新功能,也不是 SD-WAN 專有功能。它們并不是一夜之間突然冒出來的,而是在 SD-WAN 市場形成之前就已經存在了。
但是,在某些場景中,您可能必須在 廣域網上實施專有路由協議,當然這需要一個新設備。但是對于大部分而言,只需在網絡邊緣部署一個綜合性防火墻便足矣。
部署在廣域網邊緣的防火墻
防火墻正在演變成能夠提供 SD-WAN 功能的網絡安全平臺。網絡防火墻魔力象限報告指出:“中小型企業多功能防火墻市場在 2018 年增長了 10.1%,其中 SD-WAN 的采用是一個強勁的推動力。”
仔細想想,您會發現防火墻已經充當路由器很長時間了。防火墻基本上可以提供專用 WAN、互聯網和內部路由所需的所有路由協議,并且通常通過專門負責路由的基礎設備來實現。但是,這些功能正在被帶有防火墻的邊緣設備所替代。
防火墻已經進駐網絡數十年了,除了做分內的安全工作外,它們還參與路由工作,常常被用作提供路由的 WAN 邊緣設備。
傳統安全設計的問題
如何集成安全性與 SD-WAN?普通的設計方法主要涉及多個單點安全解決方案的集成。我們先來了解一下這樣做的后果。
- 復雜性
單點解決方案只能解決一個問題,必須進行大量集成,因此它們通常以服務鏈的形式存在,并且必須環環相扣、緊密融合。
由于必須要不斷地添加解決方案,管理開銷和復雜性可能會隨之飆增,更不用說 NOC 和 SOC 團隊整合所面臨的挑戰了。而 SD-WAN 的最初賣點就是降低復雜性。
如果我們研究一下 SD-WAN 領域的安全性,就會發現:目前它的使用方式實際上增加了復雜性。這就像您本來只想簡單地買房,卻變成了一磚一瓦地砌房。
分析表明,許多 SD-WAN 只是借用其他廠商的安全技術,“堆砌”起來出售給客戶。
- 相關成本
在網絡中分散使用來自不同廠商的多點解決方案不僅成本高昂,價格也永遠不固定。一些安全廠商可能會無論您使用多少,都按使用模式收費。那么,如何有效規劃多點解決方案的使用?
隨著成本的不斷累加,安全專員可能會出于壓力犧牲掉一定的單點解決方案。我們知道,這不是一種有效的風險管理策略。理想情況下,安全工作應該做到有備無患,防范未然。這意味著威脅情報是關鍵,許多 SD-WAN 廠商常常忽略了這一點。
無論是從技術層面還是成本角度來看,整合所有安全解決方案的功能都無比重要。這樣只需一個經驗豐富的安全專員來管理便可。這也是將 SD-WAN 功能和高級安全性同時整合到一個集成式綜合平臺中的原因。
集成安全的SD-WAN解決方案完美地做到了這一點,從而避免了更復雜的管理、許可問題,以及較高的成本或不必要的服務鏈。
SD-WAN 的關鍵不在于功能
SD-WAN 市場上有很多“功能至上論”。但現實卻是,“功能并沒有創造太大的價值去支持市場細分”。實際上,SD-WAN 的價值主張與功能無關,畢竟各家廠商在應用分類和路徑擇優發送上都做得很好。我們來了解一下 SD-WAN 的真正價值主張。
- 性能與可擴展性
就 SD-WAN 而言,通常最應關注的是應用流量導向,但舉例來說,如果您沒有性能可靠的 TLS1.3 深度檢查,如何獲得準確的身份證明并確保您的分支機構安全?但是,關注這一點的人并不多。
為此,我們需要定制的 SD-WAN 特定應用專用集成電路 (ASIC),這可以為高資源密集型加密/解密和覆寫可擴展性提供強大的優勢。
使用 IPSec 時,系統需要進行大量加密運算,會占用大量 CPU 和 RAM 資源。而這項任務可以由專用 SD-WAN ASIC 來代勞,以便減少每個通道消耗的 CPU 和 RAM。
通常,可擴展性的上限為 1,000 或 1,500。而借助適當的 ASIC,這一數字可以增加到 100,000 以上,一些大型中心站點可能會很受用。此外,您還可以在同一設備中運行網絡堆棧和安全堆棧,從而打造一款經濟高效的解決方案。
- 威脅情報的重要性
下一代防火墻是許多 SD-WAN 廠商數據表中的標配,那么威脅檢測和威脅防護服務呢?在許多 SD-WAN 解決方案中,威脅情報(結合威脅研究)仍然處于缺席狀態。威脅形勢不斷演變,安全解決方案也應該與時俱進。
威脅防護的核心功能覆蓋 4-7 層,比如 IPS、內容過濾、深度 SSL 檢查和惡意軟件防護。此外,我們還有一個威脅檢測工具。如今,我們不能僅靠檢測已知威脅就高枕無憂,還必須檢測未知威脅。因此,擁有一整套預防和檢測功能非常重要。有了這兩種能力,我們就相當于擁有了經驗豐富的安全研究和分析人員團隊。了解 SD-WAN 廠商是否具有自己的威脅情報非常重要。
為此,您不妨選擇具有安全公司血統的廠商。任何安全廠商的核心價值都在于他們的情報研究水平。這才是支持市場細分的原因,而不是 SD-WAN 功能。
但是,您還應該確認這些廠商提出的功能是否已得到第三方(如 NSS 實驗室)的驗證。NSS 實驗室已對一些安全廠商的領先 SD-WAN 產品進行了評估,評估內容涉及 VoIP 和視頻的體驗質量 (QoE)、性能(WAN 損害和高可用性)、總體擁有成本 (TCO) 以及安全成效。
另外,我們還必須考察“提供防火墻的 SD-WAN 設備”根據最新威脅信息進行更新的頻率,是每天幾次還是每周幾次?一些 SD-WAN 解決方案宣稱自己是集成安全的SD-WAN廠商,但是構建有效的安全防護需要一支強大的威脅情報團隊,初創企業是否有足夠的人力來做到這一點?網絡廠商更是根本無力涉足這一領域,一些 SD-WAN 僅添加有狀態數據包過濾能力,便稱之為“安全性”了。
坦白地講,任何人都可以使用下一代防火墻。但是,功能的覆蓋廣度、它們提供的情報以及市場的認可卻不可一概而論。只有做到了這幾點,下一代防火墻才能贏得分支機構的信任,確保企業安全防線固若金湯。
您在尋找集成安全的SD-WAN廠商合作伙伴時,請著重考慮這些問題,并考察其安全業務的歷史,同時評估他們是否具有經驗豐富的威脅情報團隊。
集成安全的SD-WAN解決方案正成為市場主要發展方向。行業分析和客戶群體的覺醒在其中產生了重大影響。人們不再將安全廠商與 SD-WAN 廠商混為一談。
最終,市場需要的是整合于集成式綜合平臺之中的集成安全的SD-WAN解決方案。
原文作者:Matt Conran,? Advisor, Contributor, Network World
原文標題:Secure SD-WAN: The security vendors and their SD-WAN offerings