为什么SD-WAN需要新的安全控制点

  随着越来越多的用户和事物在云中访问应用程序和数据,更多企业采用SD-WAN技术,使能企业高效地进行数字化转型。研究表明,在接下来的几年里,到2022年,SD-WAN将增加五倍,占WAN流量的29%。IDC最新的SD-WAN基础设施预测称:“

这个快速发展的网络市场将从2017年到2022年以40.4%的复合年增长率增长到45亿美元。”很明显,这是2019年网络行业里网络安全最大的变化。

  我们要清楚为什么SD-WAN在构建广域网的过程中推动了这种范式的转变?首先,我们知道传统的WAN架构并非针对云应用程序进行了优化设计,而是借助SD-WAN,企业可以通过直接互联网访问(DIA)从远程分支机构使用互联网作为其虚拟网络,该分支机构易于大规模部署且易于管理,还为企业提供了传统MPLS服务的高质量,价格合理的骨干替代方案,以及大多数WAN流量的回传方式。例如,企业可以直接访问Office365,AWS,Salesforce和其他SaaS

/ IaaS产品,以及将其流量直接路由到云应用提供商最近的Point of

Presence(PoP),从而提高用户的网络响应能力和应用体验,同时降低业务的带宽成本。

  一、SD-WAN新的安全挑战

  虽然,SD-WAN在企业网络中彰显了众多优势,但也暴露了新的安全挑战。由于SD-WAN支持直接互联网访问,能够规避DMZ安全性,IT部门必须考虑解决几种不同的安全组件,以最大化实现其SD-WAN拓扑:

  外部威胁:直接使用互联网接入使WAN易受攻击,可能会使分支暴露于更广泛的攻击媒介,这导致未经授权的访问其基础设施,拒绝服务攻击和勒索软件。

  由内而外的威胁:当发生违规时,数据通过互联网发送到恶意基础设施。以恶意软件感染,命令和控制攻击,网络钓鱼攻击和内部威胁的形式,如果没有回流到企业防火墙的流量,云端必须有边缘保护,以保护和保护关键数据免受攻击。

  内部威胁:Corporations始终需要对其流量进行身份验证,加密和分段,否则,他们会将攻击面打开。内部威胁有多种形式,例如,违规或内部威胁,横向移动可能会感染关键基础设施,80%的分支机构违规发生在企业公司的范围内,因此,内部威胁变得尤为重要。

  信任:扩展远程连接时IT的首要任务是确保用户和远程设备(最终用户和网络设备)的安全性和完整性,这些设备不再受数据中心的锁定和密钥控制。随着企业开始采用软件定义的架构,确认用户和设备身份,状态评估,可见性以及随后由策略(安全性,数据和应用程序)驱动的网络访问将是最大的挑战之一。

  二、如何实现有效的SD-WAN安全实施

  在部署方面,企业可以实现一些有效的模型:

  ①内部部署解决方案:企业可以采用控制和嵌入功能,如下一代防火墙(NGFW),入侵防御(IPS)和URL过滤功能,以实现在路由器本地运行的全面分支边缘安全性。

  ②分段是隔离和保护企业中关键资产的基本方法。SD-WAN通过基于IPsec等加密协议在所有企业链路上构建单个覆盖,提供差异化​​的分段解决方案,并将VLAN或IP地址范围映射到每个位置的定义隧道。使用SD-WAN进行分段可以实现对每个网段的完全可见性和控制。

  ③适用于IaaS的云安全功能:安全和网络团队之间的有效协作可为应用程序和/或工作负载带来安全,可扩展的云占用空间。SD-WAN有助于在虚拟网络功能(VNF)之间实现更紧密的集成,编排和服务链,以实现路由和安全性。这使企业能够围绕云托管服务构建适当的安全边界。

  ④SaaS和DIA访问的安全性:通过DIA访问SaaS应用程序时的内外和内外威胁可以通过云中的安全互联网网关(SIG)服务得到缓解,提供网络内外的可见性和执行,保护所有端口和协议以及SaaS的发现和控制。云访问安全代理(CASB)服务强制执行资源的身份验证和授权,并有效地实现对公共域中的SaaS的安全访问。

  ⑤设备(BYOD)和移动性:BYOD需要适当的安全措施,以便通过蜂窝或公共Wi-Fi连接所有员工,对内部部署以及基于云的应用程序和工作负载进行安全,可扩展的访问。SD-WAN和身份服务集成可确保设备/用户级身份验证,状态评估以及对企业基础架构的安全分段访问,多因素身份验证(MFA)已被证明是安全访问资源的有效方法。

  ⑥加密流量分析:互联网上的大多数应用流量都是加密的,无论是SaaS还是P2P或https交易,使用加密的威胁分析技术是一种唯一可扩展的模型,它使用机器学习通过威胁启发式不断更新自身。

  最后,根据您的网络环境,找出那些控件放置最有意义的地方,并查看使用基于云的管理和协调策略的机会,以便您可以获得相同的策略。

你可能感兴趣的:(为什么SD-WAN需要新的安全控制点)