配合SD-WAN:基于意圖的隔離方案
責編:gltian |2020-07-20 17:20:53SD-WAN是數字創新重定義企業和網絡如何運作的經典范例,它將遠程辦公、多云平臺、企業關鍵應用、以及高級網絡融合成了單一的集成系統。而一旦SD-WAN和完整的安全解決方案相結合,它就能在整個分布的網絡上,極大地提升一個組織的安全態勢并進行保護。
但是,如果在防火墻之后的網絡缺乏適當的保護,那么用一些列高級技術對關鍵資源進行快速穩定的接入就會不那么高效。傳統的安全解決方案傾向于基于邊緣進行,意味著大部分安全資源會注重于在網絡邊界建立下一代防火墻,或者3A服務。然而,大部分時候,防火墻之后的區域缺乏有效的管控,用戶輕而易舉地就能在網絡中平行移動,意味著威脅也通常能夠在受限制的企業網絡資源中穿梭。尤其在內部網絡缺乏安全管控的時候,攻擊者可以潛伏數月而不被發現。
另外,企業在架構擴張中造成的環境負載性,以及因業務對其他公司進行的并購,也會帶來新的安全問題——尤其在沒有提前從基礎能力就做好準備的情況下。
建立一個更敏捷的商業模型是為了應用、工作流能夠更快地在內部網絡中無縫穿行。部署新的公有云與私有云、將WAN延伸到分部、支持新的物聯網與個人終端設備、啟用更激進的應用發展策略等行為,都會對保護網絡擴展的安全性產生直接的沖突。
網絡安全需要始于隔離
內部的隔離解決方案不只是單純地使用VLAN,是確保諸如SD-WAN之類的敏捷連接策略可以安全整合入傳統網絡的重要手段。因此,隔離策略需要能夠支持及商業應用和SD-WAN連接性的各種接入方式和動態變化要求。但是,傳統的隔離方式在遇上SD-WAN應用的時候往往很難使用。
第一個問題,就是僵硬的隔離方式難以適應業務和合規要求。尤其對SD-WAN而言,架構總是隨著業務要求而改變。另一個問題在于,由于靜態或者間接的信任因素,隔離還可能造成更大的非必要風險。在數據和用戶可以自由在不同隔離中移動,以及設備因需改動的時候經常會發生 。傳統的隔離方案無法檢測這些變化,并根據情況進行自我調整。最后,不同隔離之間的隔離會降低安全可視化能力,并且使安全策略難以統一。這會使得攻擊面不穩定,帶來更多的風險。
基于意圖的隔離
為了確保網絡內部的安全性能夠匹配SD-WAN和傳統邊界外的其他數字創新要求,企業開始轉向使用基于意圖的隔離方式。這一解決方案能夠幫助企業建立和維系一個安全驅動的網絡策略,從而補充整個分布環境中數字創新的需求。
基于業務意圖,而非網絡結構,可以就終端用戶、應用、和設備之間的邏輯決定如何隔離。它也能讓安全策略可視化,并且通過實時變化做到可隨著網絡演化的可持續信任。這能夠彌補高級應用等級的安全解決方案部署中的不足,使得這些方案可以惠及整個網絡。基于意圖的隔離還能提供完整的中心化意圖檢測能力,對所有流量提供完整的可視化,并且通過限制惡意內容在區域間的移動防范泄露的發生。另外,能夠支持數千應用簽名的解決方案能夠進行更精確的檢測,并進行針對用戶和應用的隔離邏輯轉變。
基于意圖的隔離方案的優勢在于它能夠為全網提供可視化。它能夠快遞提供對接入控制的微調,使得隔離能夠動態化建立,并且通過商業意圖驅動網絡隔離從而緩解高級威脅。
信任的重要性
組織面臨的挑戰之一,是大部分的網絡都會基于一些隱含的信任。這個模型是靜態網絡運行多年的結果,但是在一個動態和演進的環境中,提前配置好的隔離標準產生的間接或者靜態的信任關系最終都會給關鍵資源帶來風險,尤其在發生網絡攻擊事件的時候。如果要安全地部署SD-WAN,就需要通過基于意圖的隔離解決方案能夠對不同的用戶、設備和應用設置不同的接入權限等級。現在已經有數個針對這方面設計的信任數據庫。
但這還遠遠不夠。物聯網設備和其他設備能很輕易地被修改,從而被受信任的員工和內部人員惡意利用,造成難以計數的損失。因此,信任關系需要通過一個完整的安全策略持續改變。這就需要引入行為分析、多因子驗證等工具,通過嚴格的接入控制維持信任關系,并保持對設備數據和流量的監控,最終當行為出現不可信任的情況時動態修改接入規則。
為了有效建立并維系這個等級的信任關系,組織需要考慮將基于意圖的網絡隔離能力和零信任網絡接入能力結合,從而確保嚴格限制平行移動的同時,所有接入都必須被認證,每個方面的流量都被監控,用戶和設備都只能接入他們工作所需的資產和資源。
用一個簡單的安全結構保障數字轉型
隨著組織持續追求快速的數字轉型策略,他們的分布式網絡需要單一、集成的安全解決方案將整個網絡中所有的關鍵資源進行保護。通過合并可驗證的信任關系、基于意圖的隔離、以及安全集成,組織可以建立一個受信任的、安全驅動的網絡策略。這可以讓企業的網絡能夠動態適應環境演化中的安全需求,包括動態SD-WAN帶來的挑戰。
來源:數世咨詢