SD-WAN帶來了新的安全挑戰

安全是部署SD-WAN的組織最關心的問題之一。Fortinet的John Maddison解釋了什麼是SD-WAN安全挑戰以及如何解決它們。

SD-WAN產品已經上市五年多了。該技術的早期採用者主要關注與傳輸相關的問題，如用寬頻替換或增加MPLS。隨著技術的成熟並超越早期採用者階段，購買標準也會發生變化——SD-WAN也不例外。

2018年，ZK Research的一項調查要求受訪者對SD-WAN的購買標準進行排名，安全性排在首位，遠遠領先於技術創新和價格。(注:該問原作者為ZK Research的員工。)為了更好地理解這一趨勢以及這對網路專業人士意味著什麼，我採訪了Fortinet負責產品和解決方案的執行副總裁約翰·麥迪森(John Maddison)，他制定了公司的產品戰略，使他精通SD-WAN和安全。

SD-WAN的現狀如何?

John Maddison:隨著數字技術的發展，很明顯，傳統的分支機構之間的聯繫已經不能滿足當今企業所需要的複雜連接。就像一條分開的隧道一樣簡單，一個分支機構與公司總部之間有專門的連接，而與互聯網的實時連接可能會破壞整個組織的安全。

SD-WAN提供類似支持先進的業務應用,移動的能力對延遲敏感的數據,如聲音或視頻到可靠,高速鏈接,並結合多個連接在一起,如核心網路的鏈接,連接到多重雲網路和服務,和生活連接到互聯網和移動設備——成為一個完整的軟體包。

Fortinet執行副總裁John Maddison

我們看到組織所面臨的最大挑戰是試圖將一致的安全框架應用到這個新環境中。它不僅需要保護主要的SD-WAN連接，而且還需要集成到部署在其他地方的任何安全解決方案中，比如在雲中或遠程網路中。這允許組織實現單一的安全策略，包括應用程序保護、web過濾、沙箱、網路訪問控制、SSL檢查，以及諸如NGFW、IPS和VPN等解決方案，從而保護應用程序、工作流和動態數據。

隨著從早期採用者到主流用戶的轉變，市場會發生怎樣的變化?

SD-WAN的初始浪潮主要以傳輸為中心。它的主要驅動因素是從MPLS轉向MPLS和寬頻的組合，以便採用新的應用程序和服務以支持數字業務需求方面具有更大的靈活性。然而，由於企業在生產中使用了SD-WAN，因此更加關注安全性。分支機構不可能成為當今互聯分散式網路模式下新的薄弱環節。將SD-WAN擴展到LAN，並使用SD-Branch重新定義整個分支，從而提供一致的安全性、統一的策略和統一的管理，也引起了越來越多的興趣。

既然安全是SD-WAN的核心要求，那麼又帶來了哪些新的挑戰呢?

最大的挑戰是傳統的安全解決方案已經不再適用。傳統安全解決方案不具備SD-WAN連接所需的性能、靈活性或互連性。更有挑戰性的是，他們經常看不到邊緣連接。這就是為什麼我們一直在開發基於意圖的細分。這種策略可以基於許多參數隔離用戶、應用程序、工作流或數據，從而在整個事務路徑上提供安全性。流量可以被強制遵循特定的行為，或者被隔離到特定的用戶或目的地，以確保始終一致的策略應用程序和執行。

能否詳細介紹一下基於用戶和意圖的細分:它是什麼，以及它能夠提供哪些好處?

當用戶啟動或接收交易時，它需要通過公共網路進行傳輸。傳統的安全工具可以加強連接，檢查流量，識別惡意軟體以及防止流量劫持，但這通常是不夠的。考慮到流量的增長和其他設備在這些相同連接上的密度，很容易失去對流量的跟蹤。

隔離用戶、應用程序或工作流，允許組織查看和控制可與該連接交互的設備，使犯罪分子和內部人員更難截獲，竊取或損壞該數據，並有助於確保管理數據和資源，當他們跨越日益擴大的互聯生態系統網路時獲得保障。基於意圖的分段是基於業務目標和所需安全流程的意圖智能地分割IT資產，具有細粒度訪問控制，以防止在網路中傳播的橫向威脅的擴散。

這可以防範哪些威脅?

基於意圖的分段可以防範各種各樣的安全問題，包括內部威脅，甚至可能已經感染網路其他部分的惡意軟體溢出。基於意圖的分段可確保快速檢測到滲入網路的網路罪犯，以防止安全威脅的橫向傳播。

安全團隊面臨的挑戰之一是：他們已經被太多的安全工具所淹沒，這不會加劇這個問題嗎?

真正的問題是嘗試使用從未為此設計的工具來保護分散式網路。往往會發生的是，安全性僅應用於網關，這會降低對網路的深入可見性，或者為網路的不同部分選擇和部署不同的工具。IT團隊很快就會被安全蔓延所淹沒，因此，工具不會得到更新或優化，或者執行不一致。

我們需要的是一個單一的安全平台，無論在何處部署安全解決方案，都可以提供一致的策略實施，然後使用統一的管理和編排控制台進行管理。核心，雲端和分支機構的安全性需要像單個整體系統一樣進行部署，實施，管理和優化。當然，這說起來容易做起來難。例如，不同雲環境中的本機控制項可能會有很大差異。安全解決方案需要根據其應用和管理的能力進行仔細選擇，無論其部署位置如何。

關於SD-WAN，您還有什麼其他建議想告訴我們的讀者嗎?

考慮使用SD-WAN解決方案的組織所面臨的最大挑戰之一是如何應對所有的市場宣傳。新平台往往沒有很好的定義，導致供應商的解決方案可能彼此非常不同。安全性是一個特別具有挑戰性的問題，因為它最近被確定為部署SD-WAN策略的組織最關注的問題之一。

在目前提供SD-WAN解決方案的60多家供應商中，很少有提供所有類型的集成安全策略。雖然大多數都提供基本的VPN連接和一些簡單的有狀態安全，但它們並不能解決當今數字企業所面臨的大多數安全問題。相反，它們依賴其他供應商提供諸如入侵預防、下一代防火牆、web過濾、惡意軟體分析、SSL和IPSec檢查和沙箱等功能。

但考慮到目前的安全技能差距，這可能是一場等待發生的災難。通過公共網路將高級安全部署到下一代分支機構並非易事。僅部署、配置和優化就會產生許多組織沒有資源管理的人員和財務開銷。但是其中的任何漏洞都可能使SD-WAN連接容易受到攻擊。

相反，組織應該通過將簡單的、集成的安全性和SD-WAN解決方案綁定到單個平台來尋找滿足資源約束的解決方案。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！