如何解决软件定义广域网(SD-WAN)的安全问题?
根据Gartner最近的一份报告,安全性是企业更新其广域网(WAN)时的首要考虑因素。接下来,需要确保的是企业与其分公司的高性能连接,并针对传统连接(如多协议标签交换MPLS)不断增加的成本有效性管控。
安全性挑战中的一部分原因来源于现今网络的高度互联,以及数据在不同信息系统和终端设备之间的传输。为了满足新的数字化需求,核心数据中心和云环境均需连接到分公司和物联网设施上。也正是为了满足对灵活性和可扩展性不断增长的需求,供应商正在使用SD-WAN取代传统的WAN连接提高远程连接的有效性。
SD-WAN的安全很难做
由于数字化转型所带来的结果,许多企业不得不实施混合型安全策略以确保他们部署的每个生态系统都能被安全的使用。可令人遗憾的是,实际部署时很少有安全解决方案可以支持每个新的网络环境,即使可以,也不会为每个环境提供一致的安全性能。
他们尝试在核心网络部署复杂多供应商的安全解决方案时,继而转向扩展到云上、移动设施终端或SD-WAN环境中时,这个问题也变得更加复杂化。这些混合型的多供应商结构不仅无法在多变的环境中提供一致的保护级别,而且还无法保证为在这些环境之间传输的数据、应用程序和业务流程提供高度安全性。
由于所有这些环境都是相互关联的,所以潜在的攻击面数量呈指数级增长。因此,任何存在于扩展网络中的安全脆弱面都会对整个企业构成威胁。随着企业利用网络直接从分公司实现更加高效的云端连接,这种风险将会进一步增加。虽然这些连接能够解决网络延迟和流量拥塞带来的问题从而提高性能,但与此同时也引入了传统安全工具和网关无法解决的安全问题。
SD-WAN供应商倾向于不做安全
不幸的是,在目前提供SD-WAN解决方案的60多家供应商中几乎没有一家提供过真正的集成安全解决方案。虽然许多供应商提供过适用于第2层(表示层)和第3层(会话层)的基础VPN连接和具有简单状态安全保护的一些解决方案,但它们均未解决当今数字化业务越来越多地暴露于的第4到第7层(传输层、网络层、数据链路层、物理层)的安全问题。与之相反,有些供应商甚至还存在依赖其他产品所提供的高级安全功能,例如:入侵防御、Web过滤、恶意软件分析、SSL、IPSec检查和沙盒。
其中至关重要的问题是:SD-WAN解决方案更倾向于由网络运维团队负责选择和实施,以用来解决功能和成本问题,这就意味着安全性往往是一个只能在事后才能得到解决的问题。但是,因安全资源仍受到各类条件的限制,导致安全技术的差距还在不断地扩大,因此SD-WAN解决方案实施后大多很难达到预期目标。如果没有充足的资源来设计、部署、实施、迭代以及管理一组安全工具,特别是对那些位于系统连接分支端的安全工具来讲显得尤为重要。
传统的安全解决方案亟待优化
然而,当企业不断尝试在组织核心网络内容部署现有的安全解决方案时会伴随产生另一个新的问题。无论是物理设备还是虚拟设备,这些设备中的大多数从未针对SD-WAN的可扩展性、灵活性等功能而被设计生产。
比如说,无论是在核心数据中心、分公司、移动端还是多个云环境中,都必须对通过公共互联网进行传输的数据和业务信息加密。但是检查加密流量是大多数安全设备的致命弱点,这使得大多数防火墙(NGFW)无法在此类应用环境中派上用场。由此而影响系统性能,即在实际使用过程中将会抵消SD-WAN解决方案所带来的优势。
同样,它们也不能与类似的解决方案或完全相同的解决方案在云环境中部署。因此供应商在认识到跨环境系统集成安全的重要性后都竭尽全力提供解决该问题的策略及方法。例如:在企业网络设备内部署入侵防御系统(IPS)。但若试图将传统安全解决方案强行融入多变的环境中会引发更多问题,例如试图将现有的安全解决方案扩展到SD-WAN:它们往往会因可扩展性和管理复杂性导致部署失败。
原生安全配置保留SD-WAN功能
为了帮助企业避免因采用分散的多供应商安全解决方案保护其SD-WAN部署所带来的问题,供应商须在云上和客户的WAN网关处提供威胁防护。但很少有SD-WAN供应商愿意迎接此类挑战。
我们需要的安全工具是为企业提供当今信息化业务所必须的全套安全解决方案,并且这些解决方案是原生整合到SD-WAN解决方案中。通过这种方式,安全性可以动态地适应连接环境的变化,并支持关键性应用程序和业务流程。无论是在核心网络、云端,还是部署在分支端或物联网设备中,这些工具还需同部署在其他环境工具进行安全互联。它们均要通过独立的数据管理分析控制平台进行管控,以确保数据和业务流程传输到任何需要的地方,并可以轻松对其部署、协调和更新安全解决方案。
无论在哪里部署安全系统都不能过分的夸大本机安全配置的必要性。在SD-WAN环境中,安全性不仅需要保护数据和资源,还要确保其主要功能和成本可控性得以保留。这包括维护安全性的同时不延迟敏感通信的传输、支持不断发展的应用程序、与DevSecOps策略集成以及安全地连接到不同的网络环境中去。