SD-WAN带来了新的安全挑战
SD-WAN产品已有五年的大部分时间可用。该技术的早期采用者主要关注与传输相关的问题,例如用宽带替换或扩充MPLS。随着任何技术的成熟和逐渐超越早期采用者阶段,购买标准也会发生变化 - 而SD-WAN也不例外。
在2018年,ZK研究调查要求受访者对SD-WAN购买标准进行排名,安全性作为最佳响应出现,远远超过技术创新和价格。(注意:我是ZK Research的员工。)为了更好地了解这一趋势及其对网络专业人士的意义,我与Fortinet的产品和解决方案执行副总裁John Maddison坐下来,他制定了公司的产品战略,使他很好精通SD-WAN和安全性。
[查看10个热门SD-WAN初创公司观看。| 通过注册Network World简报获取定期安排的见解。]
Zeus Kerravala:SD-WAN的当前状态是什么?
John Maddison:随着数字化转型的实施,很明显传统的分支机构链接无法支持当今企业所需的复杂连接。像分裂隧道这样简单的事情,分支机构有专门的链接回公司总部,与互联网的实时连接可能会破坏整个组织的安全。
SD-WAN提供诸如支持高级业务应用程序,将语音或视频等延迟敏感数据移动到可靠的高速链路以及将多个连接绑定在一起的能力 - 例如到核心网络的链接,连接到多云网络和服务,以及与互联网和移动设备的实时连接 - 成为一个集成的软件包。
约翰·麦迪逊将军Fortinet公司Fortinet执行副总裁John Maddison
我们看到组织面临的最大挑战是尝试将一致的安全框架应用于这种新环境。它不仅需要保护主SD-WAN连接,还需要集成到其他地方部署的任何安全解决方案中,例如云端或远程网络。这使组织能够实施单一安全策略,包括应用程序保护,Web过滤,沙盒,网络访问控制,SSL检查以及NGFW,IPS和VPN等解决方案,以保护应用程序,工作流程和运动中的数据。
随着从早期采用者到主流的转变,市场如何变化?
[ 准备通过PluralSight的综合在线课程成为认证信息安全系统专业人员。现在提供10天免费试用!]
SD-WAN的初始浪潮非常以传输为中心。它主要是由于希望从MPLS转向MPLS和宽带的组合,以便在采用新的应用和服务来支持数字业务需求方面具有更大的灵活性。然而,现在企业正在生产中使用SD-WAN,因此更加关注安全性。分支机构无法成为当今互联和分布式网络模型中的新薄弱环节。将SD-WAN扩展到LAN并通过SD-Branch重新定义整个分支机构的兴趣也越来越大,SD-Branch提供一致的安全性,统一策略和统一管理。
既然安全性是SD-WAN的核心要求,那么又创造了什么样的新挑战?
最大的挑战是传统的安全解决方案已不再适用。传统安全解决方案不具备SD-WAN连接所需的性能,灵活性或互连性。为了使其更具挑战性,他们经常看不到边缘连接。这就是我们开发基于意图的细分的原因。该策略可以基于许多参数隔离用户,应用程序,工作流或数据,以在其整个事务路径上提供安全性。可以强制流量符合特定行为,或者隔离到特定用户或目的地,以确保始终如一的策略应用和实施。
[SD-WANs]面临的最大挑战是传统的安全解决方案已经不够用了。“
您能否扩展基于用户和意图的细分:它是什么,它提供的好处是什么?
当用户发起或接收交易时,它需要穿越公共网络。传统的安全工具可以强化连接,检查流量,识别和防止恶意软件或流量劫持,但这通常是不够的。考虑到流量的增加以及通过这些相同连接的其他设备的密度,很容易失去对流量的跟踪。
隔离用户,应用程序或工作流允许组织查看和控制可与该连接交互的设备,使犯罪分子和内部人员更难截获,窃取或损坏该数据,并有助于确保管理数据和资源,当他们跨越日益扩大的互联生态系统网络时获得保障。基于意图的分段是基于业务目标和所需安全流程的意图智能地分割IT资产,具有细粒度访问控制,以防止在网络中传播的横向威胁的扩散。
这可以防范哪种威胁?
基于意图的分段可以防范各种各样的安全问题,包括内部威胁,甚至可能已经感染网络其他部分的恶意软件溢出。基于意图的分段可确保快速检测到渗入网络的网络罪犯,以防止安全威胁的横向传播。
安全团队面临的挑战之一是他们已经被太多的安全工具所淹没。这不会加剧这个问题吗?
真正的问题是尝试使用从未为此设计的工具来保护分布式网络。往往会发生的是,安全性仅应用于网关,这会降低对网络的深入可见性,或者为网络的不同部分选择和部署不同的工具。IT团队很快就会被安全蔓延所淹没,因此,工具不会得到更新或优化,或者执行不一致。
我们需要的是一个单一的安全平台,无论在何处部署安全解决方案,都可以提供一致的策略实施,然后使用统一的管理和编排控制台进行管理。核心,云端和分支机构的安全性需要像单个整体系统一样进行部署,实施,管理和优化。当然,这说起来容易做起来难。例如,不同云环境中的本机控件可能会有很大差异。安全解决方案需要根据其应用和管理的能力进行仔细选择,无论其部署位置如何。
您想向SD-WAN传达给读者的其他建议吗?
考虑SD-WAN解决方案的组织面临的最大挑战之一是涉及所有营销宣传。新平台往往没有很好地定义,导致供应商解决方案可能彼此非常不同。安全性是一个特别具有挑战性的问题,因为它最近被认为是部署SD-WAN战略的组织最关注的问题之一。
在目前提供SD-WAN解决方案的60多家供应商中,很少有供应商提供任何类型的集成安全策略。虽然大多数提供基本的VPN连接和一些简单的有状态安全性,但它们本身并不能解决当今数字业务所面临的大多数安全问题。相反,他们依赖其他供应商提供入侵防御,下一代防火墙,Web过滤,恶意软件分析,SSL和IPSec检查以及沙盒等功能。
但鉴于当前的安全技能差距,这可能是一场等待发生的灾难。将公共网络的高级安全性部署到下一代分支机构并非易事。仅部署,配置和优化就会产生人员和财务开销,许多组织只是没有资源来管理。但是这些中的任何差距都会使SD-WAN连接容易受到攻击。
相反,组织应该通过将简单,集成的安全性和SD-WAN解决方案捆绑在一个平台中来寻找满足其资源限制的解决方案。
标签: 部署SD-WAN的组织