软件定义WAN(SD-WAN)引发人们重新开始关注网络分段和安全性。所有主要SD-WAN供应商都在其产品中提供某种形式的网络分段,并吹捧这项技术可解决安全性和路径隔离。
正确的网络分段策略需要企业非常了解他们的系统和目标。而SD-WAN供应商对网络分段有自己的定义,并没有哪个供应商具有全面的分段策略可完全解决你企业的分段需求。你可能需要考虑无数的分段考虑因素–从身份验证和授权到管理安全角色和策略,你必须深入研究。
传统分段技术很繁琐
传统上,网络团队在进行网络分段时,他们会使用各种工具在不同流程中创建路径隔离。你经常会看到各种标记路由方案或虚拟化路由实例,还有安全访问控制列表(ACL)。几乎所有方法都在2层网络到4层网络中的某处运行,并且大多数方法繁琐且需要大量劳动来部署和管理。
在过去,隔离并不依靠身份;而是基于IP地址的位置。这种方法在以前可行,当时一台机器运行一项服务或一名用户坐在一台端点设备前,但是这样的日子已经过去。现在,我们在一个端点具有多个服务,并且服务可以动态移动或扩展以应对各种情况。严格基于IP地址进行隔离已不再足够或不可扩展。
曾经,安全性也很简单–基于身份或位置,并由ACL进行管理,ACL很快会变得繁琐–即使在很小数量的情况。强制执行计算机和应用程序安全性并没有更好。跟踪谁应该有权访问什么内容变成徒劳无益的练习,并且,安全访问优先级的错误也很常见。在这种情况下,新的分段方法应运而生。
网络分段和SD-WAN
在其核心,网络分段旨在防止进程横向遍历网络。换句话说,用户的文字处理器实例没有理由访问另一个用户系统上的数据库。同样,访问单个数据库的前端系统也无需与网络中的其他系统通信。好的分段策略可以将流程仅隔离到其需要访问的组件和系统。
对于网络分段策略,企业面临的困难是,如何在SD-WAN供应商提供的各种分段工具中做出选择。有些供应商采取以网络为中心的方法,依靠第3层和第4层的路径隔离和分段。有些则采用以应用程序为中心的方法,依靠第7层网络;其他则在不同网络层使用多项技术进行分段。但是,所有做法都有着相同的目标,那就是在系统和用户进程之间建立安全屏障。
现在,安全泄漏事故屡见不鲜,并以惊人的频率发生。因此,在选择任何SD-WAN产品时,安全控制应该是最重要的问题。仅仅静态地分断网络是不够的,好的SD-WAN平台必须几乎实时地审核和响应安全事件,同时减轻由数据泄露引起的任何损害。
其他重要的企业分段功能包括:
- 自动化部署;
- 支持路径隔离;
- 访问和授权策略—理想情况下,使用专用机密保管库。
如果你需要将传统的非分段网络迁移到高度分段的网络,你需要对业务需求有深入的了解和扎实的知识。为了尝试新事物而进行分段并不是部署分段策略的好理由。没有哪个供应商提供完整的网络分段策略,企业网络团队只有通过了解其当前网络以及为什么要对其进行分段,才能选择正确的产品来完成网络分段。