跨越园区、分支机构、云和边缘的连接是构建数字化企业的基本要求,但是随着网络结构的扩展,端到端集成安全性的需求变得愈加重要。加上在园区,分支机构和边缘位置持续监视和维护应用程序性能的必要性,造成了NetOps和SecOps团队巨大的工作负担。结果往往是两个团队之间的拉锯战:一个努力保持网络的性能和可用性优化,另一个努力保持数据、应用程序和设备的安全。
冲突还是合作?
平衡NetOps和SecOps的关键在于如何管理网络以及所有连接的设备。传统上,在NetOps中,有单独的控制台来配置、监视和分析网络域。同样,为了使SecOps捕获、记录和分析所有不同域中的流量,在流量进入和离开域的地方都安装了特殊的tap。SecOps还有一个额外的工作,即在出现漏洞或恶意软件攻击成功时存储所有流量日志,以便查明原因并证明已采取适当措施来补救漏洞并防止以后的攻击。
NetOps和SecOps究竟能否达成合作而不是互相冲突?
数字化转型项目受益于统一运营和安全保障
部署新的多云应用程序需要确保网络具有响应能力,始终可用且安全。NetOps需要与开发团队合作,以了解新应用程序的网络SLA和云使用要求。SecOps需要确保在应用程序启动时将正确的网络权限、分段和策略应用于网络。NetSecOps协作对于及时部署具有安全性和所需性能级别的下一代应用程序至关重要。
通过将软件定义的网络架构与单控制台云管理相结合,SD-WAN可以在NetSecOps的统一中发挥重要作用。
用于NetSecOps的SD-WAN统一网络云管理
SD-WAN用于统一NetSecOps的主要好处是能够提供单个基于角色的管理门户,用于配置和监视网络性能、分段和安全策略。通过SD-WAN云控制器,NetSecOps可以:
- 使用零接触配置(ZTP)远程安装和配置分支SD-WAN路由器。
- 使用动态路径选择,自动通过最高效,最经济的路径(MPLS,宽带,直接互联网,LTE)路由流量。
- 管理对SaaS和IaaS托管的应用程序的云平台的性能,安全性和访问策略。
- 设置云和SaaS应用程序的体验质量(QoE)服务级别。
- 在分支机构级别远程配置和管理应用程序感知防火墙、URL筛选、入侵检测/防御,DNS层安全性和高级恶意软件保护(AMP),以保护使用直接互联网连接到云应用程序的分支机构通信的安全。
- 协同配置跨分布式位置统一应用的分段规则,以保持流量(例如员工无线访问与支付系统流量)分离,从而提高性能和安全性。
管理和保护东西向流量和分支机构的安全
由于SD-WAN提供了大量的集成安全层,因此可以彻底检查进入和离开分支的流量是否存在应用程序渗透、恶意软件入侵和已知的错误URL。但分支网络中的设备何时引入恶意软件仍然是个棘手的问题。
在分支广域网和集线器WAN时代,来自分支机构中每个设备的流量将回传到企业数据中心以进行检查和验证,然后再返回到分支机构。对于NetOps而言,这一直是一个麻烦的情况,因为仅用于回传和检查的流量负载会干扰正常情况下必须到数据中心进行额外处理的流量。
借助SD-WAN,防火墙和入侵检测被集成到分支路由器中,因此当分支通过本地网络时,分支内部的流量也会被检查,此外,还会检查出入分支机构的流量。结果是SecOps可以保持对本地流量安全性的控制,而NetOps可以释放带宽以用于数据中心的优先流量、云中的SaaS应用程序以及到其他分支的流量,所有这些流量都是通过两个团队共享的SD-WAN控制器进行管理的。
通过直接Internet连接保护对SaaS应用程序的访问
员工现在越来越依赖托管在SaaS云平台(例如Office 365)中的应用程序,这些应用程序需要通过直接Internet访问进行路由。借助SD-WAN,NetSecOps不仅可以专注于微调应用程序性能,还可以专注于防御措施,以保护通过Internet连接往返分支站点的宝贵的企业数据。通过使用SD-WAN onramps到SaaS和IaaS云,网络选择最有效的路径来处理Azure、AWS或Google Cloud工作负载,而内置的安全层通过DNS URL过滤、高级恶意软件保护和应用程序感知防火墙提供保护。NetSecOps通过SD-WAN云控制器门户对应用程序的性能和安全性进行管理。
促进NetOps和SecOps之间的协作是网络敏捷性的关键
借助SD-WAN通过同一个云门户管理操作和安全性的能力,创建一个NetSecOps团队来促进协作并最大程度地提高设备和应用程序的QoE和安全性是切实可行的。将这两个关键功能结合起来,有助于创建一个敏捷的网络,使数字化转型项目成为可能。