隨着越來越多的用戶和事物在雲中訪問應用程序和數據,更多企業採用SD-WAN技術,使能企業高效地進行數字化轉型。研究表明,在接下來的幾年裏,到2022年,SD-WAN將增加五倍,佔WAN流量的29%。IDC最新的SD-WAN基礎設施預測稱:“ 這個快速發展的網絡市場將從2017年到2022年以40.4%的複合年增長率增長到45億美元。”很明顯,這是2019年網絡行業裏網絡安全最大的變化。
我們要清楚爲什麼SD-WAN在構建廣域網的過程中推動了這種範式的轉變?首先,我們知道傳統的WAN架構並非針對雲應用程序進行了優化設計,而是藉助SD-WAN,企業可以通過直接互聯網訪問(DIA)從遠程分支機構使用互聯網作爲其虛擬網絡,該分支機構易於大規模部署且易於管理,還爲企業提供了傳統MPLS服務的高質量,價格合理的骨幹替代方案,以及大多數WAN流量的回傳方式。例如,企業可以直接訪問Office365,AWS,Salesforce和其他SaaS / IaaS產品,以及將其流量直接路由到雲應用提供商最近的Point of Presence(PoP),從而提高用戶的網絡響應能力和應用體驗,同時降低業務的帶寬成本。
一、SD-WAN新的安全挑戰
雖然,SD-WAN在企業網絡中彰顯了衆多優勢,但也暴露了新的安全挑戰。由於SD-WAN支持直接互聯網訪問,能夠規避DMZ安全性,IT部門必須考慮解決幾種不同的安全組件,以最大化實現其SD-WAN拓撲:
外部威脅:直接使用互聯網接入使WAN易受***,可能會使分支暴露於更廣泛的***媒介,這導致未經授權的訪問其基礎設施,拒絕服務***和勒索軟件。
由內而外的威脅:當發生違規時,數據通過互聯網發送到惡意基礎設施。以惡意軟件感染,命令和控制***,網絡釣魚***和內部威脅的形式,如果沒有迴流到企業防火牆的流量,雲端必須有邊緣保護,以保護和保護關鍵數據免受***。
內部威脅:Corporations始終需要對其流量進行身份驗證,加密和分段,否則,他們會將***面打開。內部威脅有多種形式,例如,違規或內部威脅,橫向移動可能會感染關鍵基礎設施,80%的分支機構違規發生在企業公司的範圍內,因此,內部威脅變得尤爲重要。
信任:擴展遠程連接時IT的首要任務是確保用戶和遠程設備(最終用戶和網絡設備)的安全性和完整性,這些設備不再受數據中心的鎖定和密鑰控制。隨着企業開始採用軟件定義的架構,確認用戶和設備身份,狀態評估,可見性以及隨後由策略(安全性,數據和應用程序)驅動的網絡訪問將是最大的挑戰之一。
二、如何實現有效的SD-WAN安全實施
在部署方面,企業可以實現一些有效的模型:
①內部部署解決方案:企業可以採用控制和嵌入功能,如下一代防火牆(NGFW),***防禦(IPS)和URL過濾功能,以實現在路由器本地運行的全面分支邊緣安全性。
②分段是隔離和保護企業中關鍵資產的基本方法。SD-WAN通過基於IPsec等加密協議在所有企業鏈路上構建單個覆蓋,提供差異化的分段解決方案,並將VLAN或IP地址範圍映射到每個位置的定義隧道。使用SD-WAN進行分段可以實現對每個網段的完全可見性和控制。
③適用於IaaS的雲安全功能:安全和網絡團隊之間的有效協作可爲應用程序和/或工作負載帶來安全,可擴展的雲佔用空間。SD-WAN有助於在虛擬網絡功能(VNF)之間實現更緊密的集成,編排和服務鏈,以實現路由和安全性。這使企業能夠圍繞雲託管服務構建適當的安全邊界。
④SaaS和DIA訪問的安全性:通過DIA訪問SaaS應用程序時的內外和內外威脅可以通過雲中的安全互聯網網關(SIG)服務得到緩解,提供網絡內外的可見性和執行,保護所有端口和協議以及SaaS的發現和控制。雲訪問安全代理(CASB)服務強制執行資源的身份驗證和授權,並有效地實現對公共域中的SaaS的安全訪問。
⑤設備(BYOD)和移動性:BYOD需要適當的安全措施,以便通過蜂窩或公共Wi-Fi連接所有員工,對內部部署以及基於雲的應用程序和工作負載進行安全,可擴展的訪問。SD-WAN和身份服務集成可確保設備/用戶級身份驗證,狀態評估以及對企業基礎架構的安全分段訪問,多因素身份驗證(MFA)已被證明是安全訪問資源的有效方法。
⑥加密流量分析:互聯網上的大多數應用流量都是加密的,無論是SaaS還是P2P或https交易,使用加密的威脅分析技術是一種唯一可擴展的模型,它使用機器學習通過威脅啓發式不斷更新自身。
最後,根據您的網絡環境,找出那些控件放置最有意義的地方,並查看使用基於雲的管理和協調策略的機會,以便您可以獲得相同的策略。