根據(jù)Gartner最近的一份報(bào)告���,安全性是企業(yè)更新其廣域網(wǎng)(WAN)時(shí)的首要考慮因素��。接下來(lái),需要確保的是企業(yè)與其分公司的高性能連接����,并針對(duì)傳統(tǒng)連接(如多協(xié)議標(biāo)簽交換MPLS)不斷增加的成本有效性管控。
安全性挑戰(zhàn)中的一部分原因來(lái)源于現(xiàn)今網(wǎng)絡(luò)的高度互聯(lián)�,以及數(shù)據(jù)在不同信息系統(tǒng)和終端設(shè)備之間的傳輸�。為了滿足新的數(shù)字化需求,核心數(shù)據(jù)中心和云環(huán)境均需連接到分公司和物聯(lián)網(wǎng)設(shè)施上��。也正是為了滿足對(duì)靈活性和可擴(kuò)展性不斷增長(zhǎng)的需求��,供應(yīng)商正在使用SD-WAN取代傳統(tǒng)的WAN連接提高遠(yuǎn)程連接的有效性����。
SD-WAN的安全很難做
由于數(shù)字化轉(zhuǎn)型所帶來(lái)的結(jié)果�,許多企業(yè)不得不實(shí)施混合型安全策略以確保他們部署的每個(gè)生態(tài)系統(tǒng)都能被安全的使用����。可令人遺憾的是��,實(shí)際部署時(shí)很少有安全解決方案可以支持每個(gè)新的網(wǎng)絡(luò)環(huán)境,即使可以�,也不會(huì)為每個(gè)環(huán)境提供一致的安全性能。
他們嘗試在核心網(wǎng)絡(luò)部署復(fù)雜多供應(yīng)商的安全解決方案時(shí)�����,繼而轉(zhuǎn)向擴(kuò)展到云上���、移動(dòng)設(shè)施終端或SD-WAN環(huán)境中時(shí)���,這個(gè)問(wèn)題也變得更加復(fù)雜化���。這些混合型的多供應(yīng)商結(jié)構(gòu)不僅無(wú)法在多變的環(huán)境中提供一致的保護(hù)級(jí)別�,而且還無(wú)法保證為在這些環(huán)境之間傳輸?shù)臄?shù)據(jù)�、應(yīng)用程序和業(yè)務(wù)流程提供高度安全性。
由于所有這些環(huán)境都是相互關(guān)聯(lián)的��,所以潛在的攻擊面數(shù)量呈指數(shù)級(jí)增長(zhǎng)。因此�����,任何存在于擴(kuò)展網(wǎng)絡(luò)中的安全脆弱面都會(huì)對(duì)整個(gè)企業(yè)構(gòu)成威脅。隨著企業(yè)利用網(wǎng)絡(luò)直接從分公司實(shí)現(xiàn)更加高效的云端連接���,這種風(fēng)險(xiǎn)將會(huì)進(jìn)一步增加�。雖然這些連接能夠解決網(wǎng)絡(luò)延遲和流量擁塞帶來(lái)的問(wèn)題從而提高性能��,但與此同時(shí)也引入了傳統(tǒng)安全工具和網(wǎng)關(guān)無(wú)法解決的安全問(wèn)題�����。
SD-WAN供應(yīng)商傾向于不做安全
不幸的是����,在目前提供SD-WAN解決方案的60多家供應(yīng)商中幾乎沒(méi)有一家提供過(guò)真正的集成安全解決方案。雖然許多供應(yīng)商提供過(guò)適用于第2層(表示層)和第3層(會(huì)話層)的基礎(chǔ)VPN連接和具有簡(jiǎn)單狀態(tài)安全保護(hù)的一些解決方案����,但它們均未解決當(dāng)今數(shù)字化業(yè)務(wù)越來(lái)越多地暴露于的第4到第7層(傳輸層���、網(wǎng)絡(luò)層��、數(shù)據(jù)鏈路層�����、物理層)的安全問(wèn)題��。與之相反�����,有些供應(yīng)商甚至還存在依賴其他產(chǎn)品所提供的高級(jí)安全功能����,例如:入侵防御、Web過(guò)濾��、惡意軟件分析���、SSL、IPSec檢查和沙盒�����。
其中至關(guān)重要的問(wèn)題是:SD-WAN解決方案更傾向于由網(wǎng)絡(luò)運(yùn)維團(tuán)隊(duì)負(fù)責(zé)選擇和實(shí)施,以用來(lái)解決功能和成本問(wèn)題�����,這就意味著安全性往往是一個(gè)只能在事后才能得到解決的問(wèn)題��。但是�����,因安全資源仍受到各類條件的限制��,導(dǎo)致安全技術(shù)的差距還在不斷地?cái)U(kuò)大��,因此SD-WAN解決方案實(shí)施后大多很難達(dá)到預(yù)期目標(biāo)。如果沒(méi)有充足的資源來(lái)設(shè)計(jì)����、部署、實(shí)施���、迭代以及管理一組安全工具�,特別是對(duì)那些位于系統(tǒng)連接分支端的安全工具來(lái)講顯得尤為重要���。
傳統(tǒng)的安全解決方案亟待優(yōu)化
然而�����,當(dāng)企業(yè)不斷嘗試在組織核心網(wǎng)絡(luò)內(nèi)容部署現(xiàn)有的安全解決方案時(shí)會(huì)伴隨產(chǎn)生另一個(gè)新的問(wèn)題���。無(wú)論是物理設(shè)備還是虛擬設(shè)備,這些設(shè)備中的大多數(shù)從未針對(duì)SD-WAN的可擴(kuò)展性���、靈活性等功能而被設(shè)計(jì)生產(chǎn)�。
比如說(shuō)��,無(wú)論是在核心數(shù)據(jù)中心���、分公司���、移動(dòng)端還是多個(gè)云環(huán)境中,都必須對(duì)通過(guò)公共互聯(lián)網(wǎng)進(jìn)行傳輸?shù)臄?shù)據(jù)和業(yè)務(wù)信息加密��。但是檢查加密流量是大多數(shù)安全設(shè)備的致命弱點(diǎn)���,這使得大多數(shù)防火墻(NGFW)無(wú)法在此類應(yīng)用環(huán)境中派上用場(chǎng)�����。由此而影響系統(tǒng)性能���,即在實(shí)際使用過(guò)程中將會(huì)抵消SD-WAN解決方案所帶來(lái)的優(yōu)勢(shì)。
同樣��,它們也不能與類似的解決方案或完全相同的解決方案在云環(huán)境中部署�����。因此供應(yīng)商在認(rèn)識(shí)到跨環(huán)境系統(tǒng)集成安全的重要性后都竭盡全力提供解決該問(wèn)題的策略及方法����。例如:在企業(yè)網(wǎng)絡(luò)設(shè)備內(nèi)部署入侵防御系統(tǒng)(IPS)����。但若試圖將傳統(tǒng)安全解決方案強(qiáng)行融入多變的環(huán)境中會(huì)引發(fā)更多問(wèn)題��,例如試圖將現(xiàn)有的安全解決方案擴(kuò)展到SD-WAN:它們往往會(huì)因可擴(kuò)展性和管理復(fù)雜性導(dǎo)致部署失敗����。
原生安全配置保留SD-WAN功能
為了幫助企業(yè)避免因采用分散的多供應(yīng)商安全解決方案保護(hù)其SD-WAN部署所帶來(lái)的問(wèn)題��,供應(yīng)商須在云上和客戶的WAN網(wǎng)關(guān)處提供威脅防護(hù)��。但很少有SD-WAN供應(yīng)商愿意迎接此類挑戰(zhàn)���。
我們需要的安全工具是為企業(yè)提供當(dāng)今信息化業(yè)務(wù)所必須的全套安全解決方案,并且這些解決方案是原生整合到SD-WAN解決方案中���。通過(guò)這種方式�,安全性可以動(dòng)態(tài)地適應(yīng)連接環(huán)境的變化����,并支持關(guān)鍵性應(yīng)用程序和業(yè)務(wù)流程�。無(wú)論是在核心網(wǎng)絡(luò)、云端�,還是部署在分支端或物聯(lián)網(wǎng)設(shè)備中,這些工具還需同部署在其他環(huán)境工具進(jìn)行安全互聯(lián)���。它們均要通過(guò)獨(dú)立的數(shù)據(jù)管理分析控制平臺(tái)進(jìn)行管控�����,以確保數(shù)據(jù)和業(yè)務(wù)流程傳輸?shù)饺魏涡枰牡胤?��,并可以輕松對(duì)其部署���、協(xié)調(diào)和更新安全解決方案。
無(wú)論在哪里部署安全系統(tǒng)都不能過(guò)分的夸大本機(jī)安全配置的必要性���。在SD-WAN環(huán)境中,安全性不僅需要保護(hù)數(shù)據(jù)和資源�,還要確保其主要功能和成本可控性得以保留。這包括維護(hù)安全性的同時(shí)不延遲敏感通信的傳輸��、支持不斷發(fā)展的應(yīng)用程序�����、與DevSecOps策略集成以及安全地連接到不同的網(wǎng)絡(luò)環(huán)境中去�����。
