部署SDWAN即服务的好处
随着软件定义的广域网(SDWAN)逐步成为企业主流,这项技术愈来愈为人所熟知,虽然依然存在大量使人眼花缭乱的网络设置。
但在这方面,当企业通过量协议标签交换(组网)电路从传统的分支机构数据中心连接过渡到直接互联网接入和SDWAN技术时,可能出现的基本问题是如何应对安全风险。特别是需要能够了解所有遍及互联网的服务相互关系。
AlexanderAnoufriev是网络智能云平台ThousandEyes的首席信息安全官。他表示,SDWAN部署常常被视为一种简单的方法,可消除互联网传输固有的不可预测性,由于它使用指标(如整体延迟性)来履行定义的策略。
Anoufriev称:“虽然这些指标给予SDWAN一定程度的’互联网感知’并使其能够根据路径性能做出决策,但重要的是要提示我们自己,SDWAN并没有在控制互联网,如果出现问题,SDWAN或没法告知你问题是甚么或由谁负责。
“它没法告知你上游ISP是否是正在丢数据包,还是边界网关协议(BGP)劫持是否是会使您的用户面临风险。它乃至不能告知你的表现是否是符合地区规范。”
除此以外,还要记住所有需要连接到利用程序和服务的外部依赖项,这些包括BGP路由、各种互联网服务提供商(ISP)、DNS服务、云安全代理、内容交付网络(CDN)、DDoS保护器等。因此,你需要查看网络路径中的每跳,和详细的丢失、延迟和抖动指标。
Anoufriev说:“依托SDWAN作为唯一的互联网可视性来源,就像依托太阳镜作为您唯一的防晒工具。你只有有限的覆盖范围,而且这无疑会影响你的视觉。如果你不在数据中心的庇佑下或分支办公室不受保护,那末你便可能遭受严重‘晒伤’。“
SDWAN即服务
我们可能会认为,在网络安全云平台工作的Anoufriev会强调延续监控SDWAN的需要,但很明显他说的正确的是,很多版本的SDWAN仿佛都有一定数量的SDWAN安全条款。
JanHeinBakkers是IDC分析公司的网络研究经理,他表示不应忽视分散市场的不成熟性。
他指出:“这个市场有很多产品、主张和参与者来自不同电信公司、SDWAN初创公司、进军该领域的网络公司的DIY托管服务,他们的服务完全不一样,现在还没有SDWAN标准。
”事实上,我乃至会说这个领域根本不存在互操作性和标准化。企业需要了解这一点,并想清楚当他们做出选择时他们寻求的目标是甚么。由于这些产品都采取不同的方式解决网络可靠性、性能和带宽这些熟习的问题。”
因此,企业需要在SDWAN市场中作出自己的选择,固然,这将会或应当关联企业CISO或CIO采取的安全方法。
安全主张
我们也应当认识到,SDWAN市场的某些部份正在关注安全主张,并且正在有效地销售安全的SDWAN即服务。而这类安全推动力是基于,云服务增长给网络带来复杂性,从而需要安全相干的响应来保护互联网流量。
CatoNetworks、Zscaler、VMware的VeloCloud和思科等提供商的SDWAN都提供了某种情势的安全主张版本产品,对网络卖家来讲,这类产品可很好地提供直代替代方案,以解决辣手的问题。
例如,Zscaler的主张依然需要SDWAN合作火伴,但该公司是通过为分支机构实现安全本地互联网突围,使得企业可轻松从辐射式架构迁移到云架构。
Zscaler公司表示:“简单地将互联网流量路由到Zscaler,便会立即开始检查所有流量所有端口和协议,包括SSL。你可从单个控制台为所有区域定义并立即部署访问和安全策略。”
另外一方面,CatoNetworks公司认为SDWAN将互联网传输引入组网广域网可在分支机构扩大容量并减少互联网流量,但不能满足访问互联网和云资源的网络安全要求。
该公司更安全的主张是“构建一个完全融会的全国SDWAN作为云服务提供,其中内置网络安全性”。“
SDWAN边沿装备支持网络基础设施和核心功能,例如基于策略的路由和传输无关覆盖,这可解决传统SDWAN的问题。”
有些复杂
但是,大多数CISO都应当这样提示自己:这些端到真个嵌入式安全云端SDWAN产品只是整体方案的一部份。
4G网络业务Cradlepoint公司产品营销副总裁DonnaJohnson表示:“SDWAN不好的地方在于提供商过度吹嘘SDWAN的简单性。
“对某些人来讲可能确切很简单,但这里还有很多值得思考的问题,并且,很多公司乃至不是很理解其中的利用程序。对更传统的SDWAN部署,这是重要的事情。”
在安全性方面,Johnson指出SDWAN项目应始终由网络和安全职能共同调和完成。
“例如,你可能会发现防火墙规则阻碍着SDWAN,但很多公司乃至不了解他们的路由器设置,而且这可能会在未来几年的网络变化中变得非常复杂。”
保护网络安全
对斟酌部署SDWAN的企业而言,还需要斟酌哪些其他方面的SDWAN安全问题呢?
PaulDawes是Mode公司的首席履行官,该公司在SDWAN市场提供特定产品为像MicrosoftAzure这样的运营商级网络提供“全国覆盖”,以确保高性能的云专用网络。他表示,首先一定要决定SDWAN主张是甚么类型。
“你是否是会选择更传统的网络部署,包括防火墙和网关,而又有软件能够提供更高级别的控制和战略可见性,或选择Zscaler等提供商提供的外包模式?这是众多选择中的两个选项,但重点是它们在架构方面完全不同,在新WAN的交付和安全所需的关注度也不同。”
Mode本身专注于网络的中间位置,Dawes表示其产品在该领域的安全性方面非常重要,由于它提供了第三种方式:专有核心骨干网络,这可以替换组网和互联网,提供加密和服务质量。“
对安全和网络架构,重要问题是,你是否是可以提供端到真个流量加密?您的密钥是否是暴露在其他地方?在加密方面,你一定要能够信任运营商。”
对安全的态度也会因环境而有很大差异。在真正大型的企业(还是是在高度监管领域的公司),通常会有CISO进行安全审计并以系统的方式询问漏洞,包括解密流量,而在很多企业都不会有这类详细的审查。
前面我们已谈论了足够多的理论,下面让我们看看在实践中部署SDWAN的几家公司。
SDWAN和全国律师事务所
Mode一直在协助一家跨区域大型律师事务所进行SDWAN部署。该公司具有先进的文档管理系统、高计费人员和要求刻薄的客户,该公司需要一个可靠的安全的网络来匹配其范围,并且需要具有15Gbps主干网和端到端加密。
Dawes称:“对部署SDWAN,他们的质量标准不会改变。在这类情况下,该公司排除基于云的SDWAN安全选项,由于在这些环境中的加密方式不太合适他们的需求,由于数据会在另外一个基础设施中被解密。”
终究该公司选择Mode的专有骨干网与SDWAN相结合。
“他们的CISO了解我们的专有核心服务可加快速度。我们一定要展现我们如何处理DDoS或受影响的POP[存在点],但SDWAN和专有核心结合意味着,对公司而言,即便在最坏的情况下,流量也只是通过互联网路由。”
与大多数SDWAN部署一样,分阶段部署也是确保安全的重要部份,即在广泛部署前先试点运行。
Dawes称:“SDWAN的好处之一是它的编排方式意味着你可以选择性地部署变更,这对大型企业来讲相当重要,并且,随着时间的推移,还可以动态管理带宽增加。”
EverydayLoans如何部署SDWAN
另外一位正在展开SDWAN和安全之旅的是TonySheehan,他是英国不良信贷贷款提供商EverydayLoans的技术和基础设施经理。
Sheehan说:“该公司已有12年历史,并且是Citrix用户,除总部外,还设有40个分支机构。该公司部署SDWAN的动力是可靠性和对更多带宽的需求,即便我们在分支机构中的需求不是那末高,由于每一个分支机构只有少数用户。”
在过去,该公司使用的是组网而不是EFM铜线,其中利用程序从中央数据中心提供。在大约18个月前,当该公司斟酌升级时,而CatoNetworks公司基于云的SDWAN是不错的选择。
“我们的业务非常简单,我们想要简单的部署。我们也没有其他安全问题。我们是Citrix用户,并且,易于部署而不需要大笔投资的解决方案对我们非常有吸引力。IT网络集成商LAN3在部署中为我们提供了支持,使其变得简单。
Sheehan称:“EverydayLoans的位置在城镇中心,理论上最可靠的选择是光纤,但并没有普遍可用性。
