如何解決軟件定義廣域網(SD-WAN)的安全問題?

【編者按】根據Gartner最近的一份報告,安全性是企業更新其廣域網(WAN)時的首要考慮因素。接下來,需要確保的是企業與其分公司的高性能連接,並針對傳統連接(如多協議標籤交換MPLS)不斷增加的成本有效性管控。

本文首發於安全牛,作者張小柒;由億歐編輯,供行業人士參考。

安全性挑戰中的一部分原因來源於現今網絡的高度互聯,以及數據在不同信息系統和終端設備之間的傳輸。爲了滿足新的數字化需求,核心數據中心和雲環境均需連接到分公司和物聯網設施上。也正是爲了滿足對靈活性和可擴展性不斷增長的需求,供應商正在使用SD-WAN取代傳統的WAN連接提高遠程連接的有效性。

SD-WAN的安全很難做

由於數字化轉型所帶來的結果,許多企業不得不實施混合型安全策略以確保他們部署的每個生態系統都能被安全的使用。可令人遺憾的是,實際部署時很少有安全解決方案可以支持每個新的網絡環境,即使可以,也不會爲每個環境提供一致的安全性能。

他們嘗試在覈心網絡部署複雜多供應商的安全解決方案時,繼而轉向擴展到雲上、移動設施終端或SD-WAN環境中時,這個問題也變得更加複雜化。這些混合型的多供應商結構不僅無法在多變的環境中提供一致的保護級別,而且還無法保證爲在這些環境之間傳輸的數據、應用程序和業務流程提供高度安全性。

由於所有這些環境都是相互關聯的,所以潛在的攻擊面數量呈指數級增長。因此,任何存在於擴展網絡中的安全脆弱面都會對整個企業構成威脅。隨着企業利用網絡直接從分公司實現更加高效的雲端連接,這種風險將會進一步增加。雖然這些連接能夠解決網絡延遲和流量擁塞帶來的問題從而提高性能,但與此同時也引入了傳統安全工具和網關無法解決的安全問題。

SD-WAN供應商傾向於不做安全

不幸的是,在目前提供SD-WAN解決方案的60多家供應商中幾乎沒有一家提供過真正的集成安全解決方案。雖然許多供應商提供過適用於第2層(表示層)和第3層(會話層)的基礎VPN連接和具有簡單狀態安全保護的一些解決方案,但它們均未解決當今數字化業務越來越多地暴露於的第4到第7層(傳輸層、網絡層、數據鏈路層、物理層)的安全問題。與之相反,有些供應商甚至還存在依賴其他產品所提供的高級安全功能,例如:入侵防禦、Web過濾、惡意軟件分析、SSL、IPSec檢查和沙盒。

其中至關重要的問題是:SD-WAN解決方案更傾向於由網絡運維團隊負責選擇和實施,以用來解決功能和成本問題,這就意味着安全性往往是一個只能在事後才能得到解決的問題。但是,因安全資源仍受到各類條件的限制,導致安全技術的差距還在不斷地擴大,因此SD-WAN解決方案實施後大多很難達到預期目標。如果沒有充足的資源來設計、部署、實施、迭代以及管理一組安全工具,特別是對那些位於系統連接分支端的安全工具來講顯得尤爲重要。

傳統的安全解決方案亟待優化

然而,當企業不斷嘗試在組織核心網絡內容部署現有的安全解決方案時會伴隨產生另一個新的問題。無論是物理設備還是虛擬設備,這些設備中的大多數從未針對SD-WAN的可擴展性、靈活性等功能而被設計生產。

比如說,無論是在覈心數據中心、分公司、移動端還是多個雲環境中,都必須對通過公共互聯網進行傳輸的數據和業務信息加密。但是檢查加密流量是大多數安全設備的致命弱點,這使得大多數防火牆(NGFW)無法在此類應用環境中派上用場。由此而影響系統性能,即在實際使用過程中將會抵消SD-WAN解決方案所帶來的優勢。

同樣,它們也不能與類似的解決方案或完全相同的解決方案在雲環境中部署。因此供應商在認識到跨環境系統集成安全的重要性後都竭盡全力提供解決該問題的策略及方法。例如:在企業網絡設備內部署入侵防禦系統(IPS)。但若試圖將傳統安全解決方案強行融入多變的環境中會引發更多問題,例如試圖將現有的安全解決方案擴展到SD-WAN:它們往往會因可擴展性和管理複雜性導致部署失敗。

原生安全配置保留SD-WAN功能

爲了幫助企業避免因採用分散的多供應商安全解決方案保護其SD-WAN部署所帶來的問題,供應商須在雲上和客戶的WAN網關處提供威脅防護。但很少有SD-WAN供應商願意迎接此類挑戰。

我們需要的安全工具是爲企業提供當今信息化業務所必須的全套安全解決方案,並且這些解決方案是原生整合到SD-WAN解決方案中。通過這種方式,安全性可以動態地適應連接環境的變化,並支持關鍵性應用程序和業務流程。無論是在覈心網絡、雲端,還是部署在分支端或物聯網設備中,這些工具還需同部署在其他環境工具進行安全互聯。它們均要通過獨立的數據管理分析控制平臺進行管控,以確保數據和業務流程傳輸到任何需要的地方,並可以輕鬆對其部署、協調和更新安全解決方案。

無論在哪裏部署安全系統都不能過分的誇大本機安全配置的必要性。在SD-WAN環境中,安全性不僅需要保護數據和資源,還要確保其主要功能和成本可控性得以保留。這包括維護安全性的同時不延遲敏感通信的傳輸、支持不斷發展的應用程序、與DevSecOps策略集成以及安全地連接到不同的網絡環境中去。

相關文章