據Cybersecurity Insider機構最新發布的“2018年企業網絡內部威脅報告”,90%的企業認爲自己容易受到內部攻擊,53%的企業確認在2018年曾受到過5次以內的內部攻擊,而27%的企業甚至更加頻繁地受到內部攻擊。而企業網絡內部容易受到攻擊的主要原因包括,擁有過度訪問權的用戶太多(37%),訪問敏感數據的設備數量過多(36%),以及網絡和IT連接越來越複雜(35%)。然而,隨着企業數字化轉型和對衆多重要業務線管理需求的驅動,雲的引入,軟件定義廣域網技術的應用,無法避免地給網絡帶來了更多的風險。
1.雲邊界問題使企業飽受困擾
雲邊界,即網絡、雲和安全系統的交叉點。企業分支機構通常需要大量對雲應用或者雲服務上的資源進行訪問,如果所有流量都要發送到企業數據中心進行安全檢查、分析和過濾,則需要使用大量的MPLS帶寬,不僅價格昂貴,而且會增加數據中心安全架構的規模和複雜性,致使傳輸效率低下,安全成本增加。但是,如果不通過數據中心的安全設備,組織要面臨員工訪問惡意站點,惡意回傳流量所帶來的數據泄漏、惡意軟件感染等安全隱患。
2.分支機構的網絡接入管控
企業爲了提升客戶體驗往往會傾向於向客戶開放其分支機構WiFi,以便訪客訪問企業公開的業務、數據和服務。同時,由於企業組織架構在地域分佈上的的複雜性,分支機構的員工及其設備在訪問企業內部資源時也需要進行身份認證,並通過不同的網絡分段策略劃分權限。這種試圖以多種形式通過分支結構接入企業廣域網內部的行爲,將會導致企業面臨不可預估的風險。
分支機構網絡的複雜性以及對於雲端應用的青睞,讓傳統企業廣域網的攻擊面不斷放大,SD-WAN作爲新一代廣域網技術,其安全性也備受關注,SD-WAN的安全連接可以幫助抵禦網絡安全攻擊,企業還可以使用SD-WAN配置安全策略,針對特定於雲的流量對流量進行加密和分段。SD-WAN的安全性又可以分爲兩個方面:
數據平面安全
在考慮SD-WAN安全性時,首先會想到就是數據面。數據平面承載用戶流量,需要對其進行加密。加密方法可以包括安全套接字層、傳輸層安全、IPsec VPN隧道和基於量子的加密通訊等等。供應商往往會提供不同的加密和密鑰交換方法。密鑰輪換時間間隔越短意味着越安全,因爲它們減少了黑客可以使用密鑰的時間。
控制平面安全
控制平面的安全經常會被忽略。這是網絡控制元素(位於組成SD-WAN的路由器和交換設備中)之間的消息傳遞路徑。針對這些流量進行加密同樣重要,這樣攻擊者就無法攔截、入侵或損害您的SD-WAN的管理和配置功能。大多數(但不是全部)供應商會對控制平面進行加密。