据Cybersecurity Insider机构最新发布的“2018年企业网络内部威胁报告”,90%的企业认为自己容易受到内部攻击,53%的企业确认在2018年曾受到过5次以内的内部攻击,而27%的企业甚至更加频繁地受到内部攻击。而企业网络内部容易受到攻击的主要原因包括,拥有过度访问权的用户太多(37%),访问敏感数据的设备数量过多(36%),以及网络和IT连接越来越复杂(35%)。然而,随着企业数字化转型和对众多重要业务线管理需求的驱动,云的引入,软件定义广域网技术的应用,无法避免地给网络带来了更多的风险。
1.云边界问题使企业饱受困扰
云边界,即网络、云和安全系统的交叉点。企业分支机构通常需要大量对云应用或者云服务上的资源进行访问,如果所有流量都要发送到企业数据中心进行安全检查、分析和过滤,则需要使用大量的MPLS带宽,不仅价格昂贵,而且会增加数据中心安全架构的规模和复杂性,致使传输效率低下,安全成本增加。但是,如果不通过数据中心的安全设备,组织要面临员工访问恶意站点,恶意回传流量所带来的数据泄漏、恶意软件感染等安全隐患。
2.分支机构的网络接入管控
企业为了提升客户体验往往会倾向于向客户开放其分支机构WiFi,以便访客访问企业公开的业务、数据和服务。同时,由于企业组织架构在地域分布上的的复杂性,分支机构的员工及其设备在访问企业内部资源时也需要进行身份认证,并通过不同的网络分段策略划分权限。这种试图以多种形式通过分支结构接入企业广域网内部的行为,将会导致企业面临不可预估的风险。
分支机构网络的复杂性以及对于云端应用的青睐,让传统企业广域网的攻击面不断放大,SD-WAN作为新一代广域网技术,其安全性也备受关注,SD-WAN的安全连接可以帮助抵御网络安全攻击,企业还可以使用SD-WAN配置安全策略,针对特定于云的流量对流量进行加密和分段。SD-WAN的安全性又可以分为两个方面:
数据平面安全
在考虑SD-WAN安全性时,首先会想到就是数据面。数据平面承载用户流量,需要对其进行加密。加密方法可以包括安全套接字层、传输层安全、IPsec VPN隧道和基于量子的加密通讯等等。供应商往往会提供不同的加密和密钥交换方法。密钥轮换时间间隔越短意味着越安全,因为它们减少了黑客可以使用密钥的时间。
控制平面安全
控制平面的安全经常会被忽略。这是网络控制元素(位于组成SD-WAN的路由器和交换设备中)之间的消息传递路径。针对这些流量进行加密同样重要,这样攻击者就无法拦截、入侵或损害您的SD-WAN的管理和配置功能。大多数(但不是全部)供应商会对控制平面进行加密。