SDWAN解决方案安全吗?
SDWAN解决方案提供商,几近全部都仅支持IPSecVPN和基本的状态性安全,而这完全不足以在不断进化发展的网络攻击眼前保护好公司企业。
因此,公司企业不能不在部署SDWAN后再添加额外的有效安全层。提供商的过失不但令公司企业因运行了他们的不安全解决方案而堕入风险,往复杂SDWAN部署上硬加传统安全工具的做法也增加了没必要要的复杂性和开消,致使保持SDWAN的总本钱上升。
为解决这些问题,SDWAN解决方案最少应包括以下4个基本安全策略:
1.要求原生NGFW防护
首先,公司企业须选择内置了下一代防火墙(NGFW)安全的SDWAN解决方案。作为SDWAN部署的一个集成功能,这一先进的安全技术能确保全部SDWAN保持一致的检查、检测和防护,不管是在分公司或在云端或在数据中心。同时,即使SDWAN为适应网络需求而做出改动,NGFW也可对原生工作流、数据和利用提供保护;而这是大多数遗留安全解决方案难以提供的一个功能。固然,不是所有安全解决方案都一样,所以如果该集成NGFW安全解决方案能够经过第三方检验其安全有效性,情况会更加美好。
2.集成很重要
谁都不想再多部署一道独立的安全解决方案。今天的散布式数字网络安全防护工作就已够复杂的了,割裂的可见性和逐装备策略编排只会更加复杂化这项工作。所以需确保的第二件事,就是为SDWAN部署选择的安全策略要能无缝集成进现有安全架构中。选择一个能融入现有安全框架的解决方案可以通过提供网络安全可见性、集中式管理控制和要挟情报同享与关联,给公司带来更硬朗的安全状态。
3.一定要加密SDWAN流量
用宽带连代替代MPLS的问题在于公共互联网通常是不可靠的,对需即时访问资源和数据的数字公司及用户而言,这有可能引发严重问题。而且,近90%的公司企业都采取了多云策略,每一个云都要求有独立的连接。因此,大多数部署SDWAN的公司采取多条宽带连接各分公司到核心网络及访问各个云实例。但是,每条此类连接同时也扩大了公司的潜伏攻击界面。
另外,为提升员工协作效力,公司企业偏向于部署Office365和Salesforce之类基于云的软件即服务(SaaS)利用。这些连接常会包括需加以保护的关键信息。所以,任何SDWAN解决方案都应采取VPN为自己覆上一层传输安全保障,而且这些VPN解决方案还提供了非常高的性能和动态可扩大性。
4.一定要检查加密流量
以微秒为成功计量单位的数字商业环境中,唯一安全的连接明显是不够的。随着SSL(HTTPS)流量的增长,攻击者逐步将歹意软件隐藏进加密隧道以回避检测。不幸的是,大多数SDWAN提供商提供的基本安全措施其实不包括SSL检查,还是,即使有SSL检查,功能性能上也达不到要求。这是企业部署SDWAN时最多见的一种失误。
其中难点之一在于,就算安全团队确切在SDWAN部署中嵌入了安全,SSL检查也会拉低市场上几近每一个遗留NGFW解决方案的性能。事实上,绝大多数安全提供商乃至不会公布他们的SSL检查性能指标。但是,现今数字市场中剧烈竞争的公司企业也不愿意牺牲性能求安全。因此,SSL检查要末随便实现,要末根本就没有。这也是为啥除可扩大的VPN连接,还得关注第三方测试给出的SSL检查指标的缘由。我们一定要选择同时符合性能要求与安全要求的解决方案。
SDWAN迅速成为网络转型工作的基本构件,令公司企业得以在现今剧烈的数字市场竞争中取得速度与效力上的优势。但随着要挟与歹意软件愈趋复杂和普遍,我们一定要补强传统MPLS连接的既有安全防护。
为此,高级安全功能不但应成为最初SDWAN选择时的考量内容,还应尽量完全地集成到环境中,以便更好地检测和避免如今愈来愈先进的各种要挟。可供选择的高级安全功能包括原生NGFW、灵活可扩大的VPN和高性能SSL检查。想要明智选择这些解决方案,可以求助于评估进程中包括安全性能与功能考量的第三方测试。
