SD-WAN安全問(wèn)題應(yīng)該如何來(lái)處理

當(dāng)SD-WAN安全性不夠時(shí)，組織會(huì)采取額外的措施，例如入侵預(yù)防、防病毒、統(tǒng)一威脅管理等。

由于SD-WAN技術(shù)變得比多協(xié)議標(biāo)簽交換（MPLS）更便宜、更靈活、更易于部署，它提供集中的可見性和管理，并提高了WAN鏈接的整體性能，提高了員工的生產(chǎn)力，從而變得越來(lái)越流行。但是，使分支機(jī)構(gòu)中的最終用戶直接連接到公共互聯(lián)網(wǎng)和云計(jì)算服務(wù)引起了嚴(yán)重的安全問(wèn)題，這給SD-WAN部署增加了另一層次的復(fù)雜性和風(fēng)險(xiǎn)。

根據(jù)Enterprise Management Associates（EMA）在2018年底對(duì)北美地區(qū)和歐洲250家企業(yè)進(jìn)行的一項(xiàng)調(diào)查顯示，在分支機(jī)構(gòu)中部署SD-WAN的組織遇到的實(shí)際數(shù)據(jù)泄漏的可能性是沒有分支機(jī)構(gòu)組織的1.3倍。EMA公司分析師Shamus McGillicuddy說(shuō)，這是因?yàn)樵S多企業(yè)最初僅依靠其SD-WAN設(shè)備中的本機(jī)安全功能，而不是通過(guò)附加的防御層來(lái)增強(qiáng)這些功能。

典型的SD-WAN產(chǎn)品提供狀態(tài)防火墻，以及其他功能，例如網(wǎng)絡(luò)分段和站點(diǎn)到站點(diǎn)隧道。但是它們沒有提供更復(fù)雜的安全措施，例如應(yīng)用程序感知的下一代防火墻、入侵預(yù)防、數(shù)據(jù)丟失預(yù)防和統(tǒng)一的威脅管理。此外，它們不會(huì)自動(dòng)與企業(yè)的其他安全基礎(chǔ)設(shè)施集成。

好消息是，企業(yè)客戶越來(lái)越意識(shí)到對(duì)基準(zhǔn)產(chǎn)品以外的其他安全功能的需求。在IDG Research公司和SD-WAN托管提供商Masergy公司最近進(jìn)行的一項(xiàng)調(diào)查中，有81%的受訪者表示，安全性是SD-WAN供應(yīng)商選擇的最關(guān)鍵因素。

純粹的SD-WAN供應(yīng)商已經(jīng)聽到了清晰明確的消息，并與傳統(tǒng)的安全供應(yīng)商（如CheckPoint或Palo Alto Networks）以及基于云計(jì)算的提供商（如Zscaler）合作，提供集成的軟件包。

對(duì)于想要確保其SD-WAN連接具有深入安全性的客戶，還有兩種選擇。企業(yè)可以與一家在安全方面有著悠久歷史的公司合作，而該公司最近已經(jīng)開發(fā)了SD-WAN產(chǎn)品，例如Cisco或Fortinet?；蛘?，它可以選擇由運(yùn)營(yíng)商或托管服務(wù)提供商來(lái)承擔(dān)端到端WAN流量的責(zé)任，并提供其他安全功能菜單，例如可按需購(gòu)買的Web內(nèi)容過(guò)濾和防病毒保護(hù)。

Westcon Comstor公司和GHD公司是兩家部署了SD-WAN但采取了完全不同的方法來(lái)確保其分支機(jī)構(gòu)連接安全的公司。這兩家公司認(rèn)識(shí)到他們應(yīng)該做更多的事情來(lái)加強(qiáng)其組織的SD-WAN安全性，以及如何實(shí)現(xiàn)。

Westcon借助下一代防火墻增強(qiáng)了Silver Peak SD-WAN

全球IT分銷商Westcon Comstor公司高級(jí)基礎(chǔ)設(shè)施經(jīng)理Michael Soler說(shuō)，他從多協(xié)議標(biāo)簽交換（MPLS）轉(zhuǎn)向基于Silver Peak Unity EdgeConnect平臺(tái)的SD-WAN的驅(qū)動(dòng)力是彈性、成本、可擴(kuò)展性和可見性。

該公司的遠(yuǎn)程網(wǎng)絡(luò)由兩個(gè)共同管理的數(shù)據(jù)中心以及在北美、歐洲和亞洲的27個(gè)辦事處組成。其彈性是原有協(xié)議標(biāo)簽交換（MPLS）網(wǎng)絡(luò)的問(wèn)題。Soler說(shuō)，“IPSec故障轉(zhuǎn)移失敗了，它們?cè)诶碚撋峡雌饋?lái)很棒，但在企業(yè)真正需要它們之前可能不盡人意?！?/p>

Soler表示，成本是另一個(gè)問(wèn)題。由于缺乏對(duì)網(wǎng)絡(luò)使用情況的了解，他發(fā)現(xiàn)優(yōu)化帶寬需求以及確定超額訂購(gòu)或訂購(gòu)不足的位置是一項(xiàng)挑戰(zhàn)。

眾所周知，在進(jìn)行更改或使用協(xié)議標(biāo)簽交換（MPLS）網(wǎng)絡(luò)啟動(dòng)新服務(wù)時(shí)，存在缺乏靈活性和反應(yīng)速度慢的缺點(diǎn)。協(xié)議標(biāo)簽交換（MPLS）部署的復(fù)雜性增加了出錯(cuò)的機(jī)會(huì)，這就意味著用戶體驗(yàn)不佳。

在調(diào)查了多家SD-WAN供應(yīng)商后，他于2017年底開始使用Silver Peak裝置進(jìn)行概念驗(yàn)證，并對(duì)產(chǎn)品推出的簡(jiǎn)單性和產(chǎn)品的有效性，特別是前向糾錯(cuò)和路徑調(diào)節(jié)等性能特征印象深刻。他為部署過(guò)程建立了一個(gè)模板，并開始在所有啟用協(xié)議標(biāo)簽交換（MPLS）的站點(diǎn)上推出SD-WAN技術(shù)。

Soler說(shuō)，“我們?nèi)〉昧司薮蟮某晒?，WAN成本降低，彈性和可見性得到了很大的改善，最終用戶對(duì)通過(guò)直接訪問(wèn)全球互聯(lián)網(wǎng)和Azure云可以實(shí)現(xiàn)的性能和靈活性感到滿意?！?/p>

為了解決與分支機(jī)構(gòu)的全球互聯(lián)網(wǎng)突破相關(guān)的安全問(wèn)題，Soler已部署了下一代防火墻，以增強(qiáng)Silver Peak設(shè)備隨附的狀態(tài)防火墻。互聯(lián)網(wǎng)突圍是指分支機(jī)構(gòu)的互聯(lián)網(wǎng)流量沒有回傳到應(yīng)用安全控制的中央站點(diǎn)時(shí)。

Soler說(shuō)，相信會(huì)不斷進(jìn)步，正在尋找使自己的安全態(tài)勢(shì)更加有效的方法。他正在研究一種稱為服務(wù)鏈的技術(shù)，該技術(shù)能夠從區(qū)域衛(wèi)星位置接收流量，并將其匯聚到將應(yīng)用防火墻策略的區(qū)域中心站點(diǎn)。Soler表示，他從長(zhǎng)遠(yuǎn)來(lái)看，也有興趣研究基于云計(jì)算的SD-WAN安全服務(wù)。

基于云計(jì)算的安全服務(wù)增強(qiáng)了SD-WAN安全性

GHD公司全球網(wǎng)絡(luò)經(jīng)理Randy Taylor在推出Riverbed SD-WAN設(shè)備時(shí)采取了不同的方法。他沒有采用其他分支機(jī)構(gòu)安全工具，而是選擇了Zscaler公司的基于云計(jì)算的安全服務(wù)。

提供工程、建筑、環(huán)境和其他專業(yè)服務(wù)的GHD公司一度擁有100%的多協(xié)議標(biāo)簽交換（MPLS）廣域網(wǎng)，將流量從全球30個(gè)站點(diǎn)回傳到其托管數(shù)據(jù)中心。

2015年，該公司進(jìn)行了一連串的并購(gòu)活動(dòng)，這使該公司在北美地區(qū)的WAN足跡擴(kuò)展到了近130個(gè)站點(diǎn)。面對(duì)可能需要三到五個(gè)月才能部署每個(gè)新的多協(xié)議標(biāo)簽交換（MPLS）鏈路的現(xiàn)實(shí)，Taylor開始尋找替代方案。

Taylor說(shuō)，“我們需要一種更快的方法?！遍L(zhǎng)期訂購(gòu)多協(xié)議標(biāo)簽交換（MPLS）將會(huì)受到影響。GHD公司是LAN端的Cisco商店，并且也是Riverbed廣域網(wǎng)優(yōu)化的客戶，因此他開始調(diào)查Riverbed SD-WAN產(chǎn)品。

最初，Taylor表示，他對(duì)SD-WAN等顛覆性技術(shù)有些懷疑。但是他對(duì)使用互聯(lián)網(wǎng)作為交通工具的想法很感興趣。他決定在一些北美地區(qū)較小的站點(diǎn)進(jìn)行試點(diǎn)。他發(fā)現(xiàn)Riverbed SteelConnect SD-WAN設(shè)備非常易于部署，在不到6周的時(shí)間內(nèi)就可以連接50個(gè)站點(diǎn)。

通過(guò)Riverbed幾乎零接觸的流程，他能夠在將云計(jì)算設(shè)備交付給分支機(jī)構(gòu)之前在云計(jì)算門戶中對(duì)其進(jìn)行預(yù)配置。在那里，非IT人員可以遵循一些簡(jiǎn)單的說(shuō)明，插入設(shè)備，并在幾分鐘內(nèi)運(yùn)行。

Taylor說(shuō)：“我們立即開始看到收益，首先是互聯(lián)網(wǎng)的突破。SD-WAN的推出恰逢其時(shí)，這與其公司對(duì)SaaS應(yīng)用程序的越來(lái)越多的使用相吻合。這成為了我們?cè)L問(wèn)SaaS的解決方案?！?/p>

作為一家為政府機(jī)構(gòu)服務(wù)并需要符合ISO標(biāo)準(zhǔn)的公司，GHD公司非常注重安全性。Taylor說(shuō)，他需要在SteelConnect的集成防火墻中增加額外的安全性，以防止該公司遇到的惡意軟件數(shù)量增加。

該公司在其數(shù)據(jù)中心部署了企業(yè)級(jí)防火墻，發(fā)現(xiàn)購(gòu)買和維護(hù)它們的成本很高。Taylor希望避免在所有分支機(jī)構(gòu)中添加額外的安全硬件，因此GHD公司選擇了基于云計(jì)算的選項(xiàng)，并選擇與Zscaler公司合作。

GHD公司來(lái)自分支機(jī)構(gòu)的所有流量都將到達(dá)Zscaler公司的數(shù)據(jù)中心，并在該數(shù)據(jù)中心執(zhí)行安全策略。Zscaler公司在將數(shù)據(jù)發(fā)布到全球互聯(lián)網(wǎng)時(shí)會(huì)查看數(shù)據(jù)并同時(shí)查看返回流。該服務(wù)提供了一系列功能清單，其中包括反病毒、白名單、黑名單、UTM、附件沙箱和零日保護(hù)。

Taylor說(shuō)，Zscaler公司節(jié)省了成本，并且比必須維護(hù)和更新自己的安全硬件更為方便。Taylor指出，需要注意的是：來(lái)自分支的流量需要連接到最近的Zscaler節(jié)點(diǎn)，因此，如果最近的節(jié)點(diǎn)距離請(qǐng)求者較遠(yuǎn)，其性能可能會(huì)受到一定程度的影響。

從整體SD-WAN經(jīng)驗(yàn)來(lái)看，Taylor可以從維護(hù)原有拓?fù)涞牧?a target="_blank">網(wǎng)絡(luò)工程師轉(zhuǎn)變?yōu)槌鲇诒O(jiān)督目的的一名工程師。其日常維護(hù)基本上由服務(wù)臺(tái)負(fù)責(zé)，這六名工程師現(xiàn)在專注于技術(shù)創(chuàng)新。

Taylor表示，這種方法管理了50個(gè)小型站點(diǎn)，并在全球范圍內(nèi)推出了SD-WAN。他說(shuō)，“成本節(jié)省和性能提升如此之大，以至于我們盡可能取消多協(xié)議標(biāo)簽交換（MPLS）?！庇捎诤弦?guī)性原因，某些流量無(wú)法進(jìn)入云平臺(tái)，并且某些語(yǔ)音和視頻應(yīng)用程序?qū)⒈Ａ粼诙鄥f(xié)議標(biāo)簽交換（MPLS）上，但SD-WAN已成為該公司的主要WAN傳輸模式。

SD-WAN安全的混合方法

從集中式的WAN安全模型（其中分支流量通過(guò)安全的多協(xié)議標(biāo)簽交換回傳到數(shù)據(jù)中心）到分布式的模型（每個(gè)分支機(jī)構(gòu)都實(shí)施安全性）的轉(zhuǎn)變，也需要一種新型的組織方法。

SD-WAN不再依靠網(wǎng)絡(luò)和安全小組獨(dú)立工作，而是推動(dòng)合作伙伴關(guān)系，因?yàn)榘踩〗M希望部署集成工具，并使用通用數(shù)據(jù)集。McGillicuddy說(shuō)，這種合作已經(jīng)超越了諸如事件響應(yīng)之類的戰(zhàn)術(shù)情況，并已擴(kuò)展到基礎(chǔ)設(shè)施設(shè)計(jì)和實(shí)施。

實(shí)際上，許多組織正在采用混合方法來(lái)實(shí)現(xiàn)SD-WAN安全性。如果他們擁有仍然可以使用多年的安全設(shè)備，那么他們就不會(huì)翻新和更換，并正在將該功能集成到SD-WAN實(shí)施中，目的是將深度防御結(jié)合在一起。

其他組織則采用托管服務(wù)路線。由于許多純粹的SD-WAN供應(yīng)商正在通過(guò)托管服務(wù)提供商出售其產(chǎn)品，并且還提供傳統(tǒng)運(yùn)營(yíng)商在其SD-WAN產(chǎn)品中使用的硬件，因此客戶可以選擇特定供應(yīng)商的設(shè)備，并將實(shí)施、持續(xù)維護(hù)和安全功能移交給服務(wù)提供商。

Nemertes Research公司分析師John Burke說(shuō)：“這有很多種方法，無(wú)論是在財(cái)務(wù)上還是在架構(gòu)上，組織都在做最適合他們自己情況的事情?！彼赋?，服務(wù)鏈?zhǔn)且环N有趣的方法，它使用多個(gè)衛(wèi)星站點(diǎn)連接到容納安全堆棧的大型數(shù)據(jù)中心站點(diǎn)的概念。

雖然對(duì)許多組織來(lái)說(shuō)，擺脫多協(xié)議標(biāo)簽交換（MPLS）是轉(zhuǎn)向SD-WAN的動(dòng)力，Burke指出，超過(guò)一半的組織將多協(xié)議標(biāo)簽交換（MPLS）保留在特定的應(yīng)用程序上。多協(xié)議標(biāo)簽交換（MPLS）已經(jīng)從最初的廣域網(wǎng)鏈路變成了多元化、優(yōu)化、安全的廣域網(wǎng)業(yè)務(wù)流的一小部分。

責(zé)任編輯：ct