SD-WAN安全五項基本原則
責編:gltian |2020-08-25 13:27:06眾所周知,安全性是兌現SD-WAN商業價值的首要前提和后盾。SD-WAN技術具有許多優勢,例如更大的靈活性和更低的傳輸成本。但是,一旦將流量從結構化的專用MPLS VPN轉移到公共寬帶鏈路上,安全性就成了第一位的考量因素,這也使得網絡安全廠商的SD-WAN解決方案相比傳統網絡廠商更具競爭力,因為對于SD-WAN而言,安全性比連接性更加具有挑戰性,大量安全廠商的涌入為SD-WAN市場帶來了豐富的選擇,但有時也會讓用戶“挑花了眼”。
為了確保網絡韌性和安全性,企業選擇SD-WAN解決方案時,需要參考以下五項基本原則:
1、將SD-WAN安全性集成到企業的整體安全性體系結構中
許多企業錯誤地將SD-WAN安全性視為孤立的問題,而不是將其作為整體企業安全策略的關鍵要素。網絡安全技術提供商Perimeter 81的首席執行官Amit Bareket指出:“大多數組織都將SD-WAN視為提供一定程度數據加密的連接工具。但事實上SD-WAN解決方案通常并不是用來提供數據安全服務的,對SD-WAN定位的錯誤認知會讓企業面臨安全風險。”
Bareket建議,對于SD-WAN流量的防護,組織及其安全團隊應開發一種方法,該方法應將監視數據流量的基于策略的控制規則與整體SDN管理的檢測響應模型集成起來。他說:“通過將安全放在首位,SD-WAN相當于為企業網絡的漏洞增加了一個防護層。”
2、不要將SD-WAN看作傳統的網絡技術
用傳統物理網絡的經驗去理解SD-WAN安全性是錯誤的,傳統的物理網絡會自動對數據流施加某些限制,但這并不適用于SD-WAN。網絡安全公司Menlo Security的首席技術官Kowsik Guruswamy 解釋說:“例如,在傳統網絡中,您必須考慮流量模式和帶寬要求。”“這將決定您在何處以及如何執行安全策略。”但是SD-WAN基于互聯網,傳統網絡中的管控限制手段在這里并不適用。
3、不要將安全性與單個供應商綁在一起
隨著網絡基礎架構的擴展和新威脅的到來,企業的安全需求隨著時間的推移而發展。在保留基本SD-WAN投資的同時,企業還需要網絡具有靈活的功能,可以在出現新的攻擊媒介時快速經濟地遷移到其他安全解決方案,這是一項寶貴的安全能力。不幸的是,一些SD-WAN供應商將客戶鎖定在某個專有安全技術堆棧中。VMware的VeloCloud業務部門高級總監Karl Brown表示:“這種SD-WAN方案沒有為將來提供靈活性,也沒有提供與現有安全基礎結構一起使用的靈活性。”
4、不要過于傳統防火墻
使用傳統的WAN,分支機構的流量可以回傳到企業數據中心,由傳統防火墻處理或者在分支機構中部署與邊緣路由器分開維護的傳統防火墻。Brown認為:“這可能會導致一些問題,例如昂貴的帶寬,沉重的性能損失,不可預測的應用程序性能以及不必要的復雜分支IT管理。”“借助SD-WAN,企業可以通過便宜的互聯網服務,更有效地將流量發送到云和SaaS工具或者云托管網關。”
但是,在分支機構位置部署SD-WAN訪問時,企業必須采取額外的安全預防措施,因為連接到互聯網會產生更廣泛的攻擊面。Brown建議:“減輕這種新安全風險的最佳方法是利用云的功能來檢測和緩解威脅。”他還建議采用統一的管理方法,合并模板化的策略和審核,并在每個分支機構集成網絡和安全性。“總的來說,企業可以有效地實現和維護一致的先進威脅管理戰略”他指出。
5、正確部署SD-WAN設備
許多SD-WAN用戶在防火墻后部署SD-WAN設備或在故障排除和/或配置SD-WAN設備時意外繞過了防火墻。WatchGuard網絡安全產品管理副總裁B rendan Patterson認為:“在這種情況下,企業根本沒有安全性,這使他們處于感染惡意軟件的高風險中。”
可以通過將SD-WAN設備安裝在防火墻前面來避免SD-WAN設備放錯位置造成的安全漏洞,處理WAN連接的同時防火墻也能繼續保護內部網絡。Patterson 指出,對SD-WAN進行任何更改后,記住要重新檢查所有安全控制,這一點很重要。
Patterson還建議企業利用最新的網絡安全技術。他解釋說:“許多統一威脅管理設備(UTM)和下一代防火墻現在都提供SD-WAN功能,例如智能路徑路由。”“使用這些內置功能還可以解決[放置]問題,并且可以減少管理和維護兩個設備的成本。”這對于中小型企業來說通常是一個不錯的選擇。