sdwan怎么实现的?
通过SDWAN的Overlay网络能力,为用户构建一张专属网络,而这张虚拟网的默许属性就是“安全”!说到“安全”我们将安全中的两个重要元素抽离出来,一个是访问主体,也就是访问的发起方;另外一个是访问客体,也就是我们常说的业务资源。
传统的安全模型做法是在业务侧部署安全装备,如:IDPS、WAF、抗D等装备还是通过统一认证平台、堡垒机等安全系统来保证业务侧的安全和访问行动可记录并追溯,但对访问侧仿佛没有甚么更好的手段来做管控。
大部份的客户或在用比较传统的解决方案,在业务侧,通过“安全装备+统一认证+堡垒机”的组合来保障资源的安全访问。至于访问侧,如果是内网那末基本使用网络划分隔离,通过网络层的访问控制进行放行还是禁止;如果是网络则通过下降访问权限,还是将DMZ区域固定开放某些业务资源的访问。对暴露在公网上的资源控制能力貌似更弱,只能通过认证授权和IP进行访问控制。而对具有一定开发能力的公司,则会推出自己的“全家桶”利用,来保障操作人员的行动安全。
但是,随着业务资源的丰富,安全管控会变得日趋复杂,对企业的管理员来讲,这是一个“熵增”的进程。
对远程访问的需要,则是通过方案接入后,再通过现有的安全模型进行防护,这样管理员的概念中除要有内网管理之外还需要有网络的访问管理,针对不同的用户、不同的访问方式,乃至不同的地域来编排不同的访问控制策略。
企业只需要建立好基础的网络,并通过传统的安全装备进行基础网络的安全防护,在基础网络之上构建一张“隐藏”的虚拟网络,将企业内部的业务资源映照到这个网络当中,并且对互联网完全不可见。这样就将资源放在了一个相对安全的环境当中,避免了大部份的歹意流量到达资源处并进行歹意访问。而有访问的需求者,需要先通过认证才能进入网络。在认证进程中,需要进行身份、终端和环境等安全性检查,通过这些检查后方可进入网络,确保网络内部的纯洁性条件下,终究成为这个网络中的访问主体。
