如何避免SD-WAN的常见安全错误

安全 应用安全
软件定义广域网(SD-WAN)可将数字转型的好处延伸至分公司,因而是很多公司企业的首选。但是,很多公司在采纳SD-WAN时并未周密考虑安全问题。

数字转型不仅仅是将工作流迁移到云端和采纳IoT,而是整个网络的工具重构,令整个网络变得更快、更高效、更灵活、更具成本有效性。也就是说,数字转型还意味着应用敏捷软件及应用开发,重新思考访问与登录,以及创建动态自适应网络环境。

软件定义广域网(SD-WAN)可将数字转型的好处延伸至分公司,因而是很多公司企业的首选。无论员工身处何方,是在数据中心还是多云部署还是网络上任何一个位置都没关系,都可以即时访问分布式资源,而且无需严格的实现要求和昂贵的传统多协议标签交换(MPLS)连接开销。

常见SD-WAN安全错误

但是,很多公司在采纳SD-WAN时并未周密考虑安全问题。SD-WAN项目通常由网络运维团队负责实施,但太多公司过于沉浸在SD-WAN带来的好处中,以致完全忘记了安全。

还有部分问题源于供应商没在其解决方案中集成进恰当的安全措施。目前约有60多家SD-WAN解决方案供应商,几乎全部都仅支持 IPSec VPN 和基本的状态性安全,而这完全不足以在不断进化发展的网络攻击面前保护好公司企业。因此,公司企业不得不在部署SD-WAN后再添加额外的有效安全层。供应商的过失不仅令公司企业因运行了他们的不安全解决方案而陷入风险,往复杂SD-WAN部署上硬加传统安全工具的做法也增加了不必要的复杂性和开销,导致维持SD-WAN的总成本上升。

SD-WAN基本安全要求

为解决这些问题,SD-WAN解决方案至少应包含以下4个基本安全策略:

1. 要求原生NGFW防护

首先,公司企业须选择内置了下一代防火墙(NGFW)安全的SD-WAN解决方案。作为SD-WAN部署的一个集成功能,这一先进的安全技术能确保整个SD-WAN保持一致的检查、检测和防护,无论是在分公司还是在云端还是在数据中心。同时,即便SD-WAN为适应网络需求而做出改动,NGFW也可对原生工作流、数据和应用提供保护;而这是大多数遗留安全解决方案难以提供的一个功能。当然,不是所有安全解决方案都一样,所以如果该集成NGFW安全解决方案能够经由第三方检验其安全有效性,情况会更加美好。

2. 集成很重要

谁都不想再多部署一道独立的安全解决方案。今天的分布式数字网络安全防护工作就已经够复杂的了,割裂的可见性和逐设备策略编排只会更加复杂化这项工作。所以需确保的第二件事,就是为SD-WAN部署选择的安全策略要能无缝集成进现有安全架构中。选择一个能融入现有安全框架的解决方案可以通过提供网络安全可见性、集中式管理控制和威胁情报共享与关联,给公司带来更健壮的安全状态。

3. 必须加密SD-WAN流量

用宽带连接替代MPLS的问题在于公共互联网通常是不可靠的,对于需即时访问资源和数据的数字公司及用户而言,这有可能引发严重问题。而且,近90%的公司企业都采用了多云策略,每个云都要求有独立的连接。因此,大多数部署SD-WAN的公司采用多条宽带连接各分公司到核心网络及访问各个云实例。然而,每条此类连接同时也扩展了公司的潜在攻击界面。

另外,为提升员工协作效率,公司企业倾向于部署 Office 365 和 Salesforce 之类基于云的软件即服务(SaaS)应用。这些连接常会包含需加以保护的关键信息。所以,任何SD-WAN解决方案都应采用VPN为自己覆上一层传输安全保障,而且这些VPN解决方案还提供了非常高的性能和动态可扩展性。

4. 必须检查加密流量

以微秒为成功计量单位的数字商业环境中,仅有安全的连接显然是不够的。随着SSL(HTTPS)流量的增长,攻击者逐渐将恶意软件隐藏进加密隧道以逃避检测。不幸的是,大多数SD-WAN供应商提供的基本安全措施并不包含SSL检查,或者,即便有SSL检查,功能性能上也达不到要求。这是企业部署SD-WAN时最常见的一种失误。

其中难点之一在于,就算安全团队确实在SD-WAN部署中嵌入了安全,SSL检查也会拉低市场上几乎每个遗留NGFW解决方案的性能。事实上,绝大多数安全供应商甚至不会公布他们的SSL检查性能指标。然而,当今数字市场中激烈竞争的公司企业也不愿意牺牲性能求安全。因此,SSL检查要么随意实现,要么根本就没有。这也是为什么除了可扩展的VPN连接,还得关注第三方测试给出的SSL检查指标的原因。我们必须选择同时符合性能要求与安全要求的解决方案。

总结

SD-WAN迅速成为网络转型工作的基本构件,令公司企业得以在当今激烈的数字市场竞争中获得速度与效率上的优势。但随着威胁与恶意软件愈趋复杂和普遍,我们必须补强传统MPLS连接的既有安全防护。

为此,高级安全功能不仅应成为最初SD-WAN选择时的考量内容,还应尽可能彻底地集成到环境中,以便更好地检测和防止如今越来越先进的各种威胁。可供选择的高级安全功能包括原生NGFW、灵活可扩展的VPN和高性能SSL检查。想要明智选择这些解决方案,可以求助于评估过程中包含安全性能与功能考量的第三方测试。

【本文是51CTO专栏作者“”李少鹏“”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】

戳这里,看该作者更多好文

责任编辑:赵宁宁 来源: 51CTO专栏
相关推荐

2020-07-09 11:35:05

SD-WAN网络架构网络技术

2019-11-04 05:37:52

SD-WAN软件定义的广域网网络

2015-01-14 09:29:35

2021-10-22 06:05:29

SD-WAN网络架构网络

2017-08-23 18:36:21

2021-04-06 11:18:26

云计算SD-WAN云安全

2021-05-09 15:28:34

SD-WAN网络IT

2020-05-19 10:14:01

容器容器安全

2016-11-01 23:31:19

SD-WAN应用交付

2019-09-29 15:07:01

2024-03-15 15:21:28

2017-11-16 05:10:16

SD-WAN区块链软件定义广域网

2018-02-28 11:34:20

2020-01-07 22:01:20

SD-WANIT网络

2018-01-29 05:51:15

2017-06-03 17:36:55

2019-02-27 14:37:52

SD-WAN安全宽带

2021-08-26 15:03:11

SASEWAN安全架构

2018-05-10 23:30:02

2021-10-15 06:13:12

SD-WANMPLS网络
点赞
收藏

51CTO技术栈公众号