国际完美世界下载,完美世界小说下载

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷(xiāo)解決方案

如何避免SD-WAN的常見(jiàn)安全錯(cuò)誤

數(shù)字轉(zhuǎn)型不僅僅是將工作流遷移到云端和采納IoT，而是整個(gè)網(wǎng)絡(luò)的工具重構(gòu)，令整個(gè)網(wǎng)絡(luò)變得更快、更高效、更靈活、更具成本有效性。也就是說(shuō)，數(shù)字轉(zhuǎn)型還意味著應(yīng)用敏捷軟件及應(yīng)用開(kāi)發(fā)，重新思考訪問(wèn)與登錄，以及創(chuàng)建動(dòng)態(tài)自適應(yīng)網(wǎng)絡(luò)環(huán)境。

軟件定義廣域網(wǎng)(SD-WAN)可將數(shù)字轉(zhuǎn)型的好處延伸至分公司，因而是很多公司企業(yè)的首選。無(wú)論員工身處何方，是在數(shù)據(jù)中心還是多云部署還是網(wǎng)絡(luò)上任何一個(gè)位置都沒(méi)關(guān)系，都可以即時(shí)訪問(wèn)分布式資源，而且無(wú)需嚴(yán)格的實(shí)現(xiàn)要求和昂貴的傳統(tǒng)多協(xié)議標(biāo)簽交換(MPLS)連接開(kāi)銷(xiāo)。

常見(jiàn)SD-WAN安全錯(cuò)誤

但是，很多公司在采納SD-WAN時(shí)并未周密考慮安全問(wèn)題。SD-WAN項(xiàng)目通常由網(wǎng)絡(luò)運(yùn)維團(tuán)隊(duì)負(fù)責(zé)實(shí)施，但太多公司過(guò)于沉浸在SD-WAN帶來(lái)的好處中，以致完全忘記了安全。

還有部分問(wèn)題源于供應(yīng)商沒(méi)在其解決方案中集成進(jìn)恰當(dāng)?shù)陌踩胧?。目前約有60多家SD-WAN解決方案供應(yīng)商，幾乎全部都僅支持 IPSec VPN 和基本的狀態(tài)性安全，而這完全不足以在不斷進(jìn)化發(fā)展的網(wǎng)絡(luò)攻擊面前保護(hù)好公司企業(yè)。因此，公司企業(yè)不得不在部署SD-WAN后再添加額外的有效安全層。供應(yīng)商的過(guò)失不僅令公司企業(yè)因運(yùn)行了他們的不安全解決方案而陷入風(fēng)險(xiǎn)，往復(fù)雜SD-WAN部署上硬加傳統(tǒng)安全工具的做法也增加了不必要的復(fù)雜性和開(kāi)銷(xiāo)，導(dǎo)致維持SD-WAN的總成本上升。

SD-WAN基本安全要求

為解決這些問(wèn)題，SD-WAN解決方案至少應(yīng)包含以下4個(gè)基本安全策略：

1. 要求原生NGFW防護(hù)

首先，公司企業(yè)須選擇內(nèi)置了下一代防火墻(NGFW)安全的SD-WAN解決方案。作為SD-WAN部署的一個(gè)集成功能，這一先進(jìn)的安全技術(shù)能確保整個(gè)SD-WAN保持一致的檢查、檢測(cè)和防護(hù)，無(wú)論是在分公司還是在云端還是在數(shù)據(jù)中心。同時(shí)，即便SD-WAN為適應(yīng)網(wǎng)絡(luò)需求而做出改動(dòng)，NGFW也可對(duì)原生工作流、數(shù)據(jù)和應(yīng)用提供保護(hù);而這是大多數(shù)遺留安全解決方案難以提供的一個(gè)功能。當(dāng)然，不是所有安全解決方案都一樣，所以如果該集成NGFW安全解決方案能夠經(jīng)由第三方檢驗(yàn)其安全有效性，情況會(huì)更加美好。

2. 集成很重要

誰(shuí)都不想再多部署一道獨(dú)立的安全解決方案。今天的分布式數(shù)字網(wǎng)絡(luò)安全防護(hù)工作就已經(jīng)夠復(fù)雜的了，割裂的可見(jiàn)性和逐設(shè)備策略編排只會(huì)更加復(fù)雜化這項(xiàng)工作。所以需確保的第二件事，就是為SD-WAN部署選擇的安全策略要能無(wú)縫集成進(jìn)現(xiàn)有安全架構(gòu)中。選擇一個(gè)能融入現(xiàn)有安全框架的解決方案可以通過(guò)提供網(wǎng)絡(luò)安全可見(jiàn)性、集中式管理控制和威脅情報(bào)共享與關(guān)聯(lián)，給公司帶來(lái)更健壯的安全狀態(tài)。

3. 必須加密SD-WAN流量

用寬帶連接替代MPLS的問(wèn)題在于公共互聯(lián)網(wǎng)通常是不可靠的，對(duì)于需即時(shí)訪問(wèn)資源和數(shù)據(jù)的數(shù)字公司及用戶而言，這有可能引發(fā)嚴(yán)重問(wèn)題。而且，近90%的公司企業(yè)都采用了多云策略，每個(gè)云都要求有獨(dú)立的連接。因此，大多數(shù)部署SD-WAN的公司采用多條寬帶連接各分公司到核心網(wǎng)絡(luò)及訪問(wèn)各個(gè)云實(shí)例。然而，每條此類(lèi)連接同時(shí)也擴(kuò)展了公司的潛在攻擊界面。

另外，為提升員工協(xié)作效率，公司企業(yè)傾向于部署 Office 365 和 Salesforce 之類(lèi)基于云的軟件即服務(wù)(SaaS)應(yīng)用。這些連接常會(huì)包含需加以保護(hù)的關(guān)鍵信息。所以，任何SD-WAN解決方案都應(yīng)采用VPN為自己覆上一層傳輸安全保障，而且這些VPN解決方案還提供了非常高的性能和動(dòng)態(tài)可擴(kuò)展性。

4. 必須檢查加密流量

以微秒為成功計(jì)量單位的數(shù)字商業(yè)環(huán)境中，僅有安全的連接顯然是不夠的。隨著SSL(HTTPS)流量的增長(zhǎng)，攻擊者逐漸將惡意軟件隱藏進(jìn)加密隧道以逃避檢測(cè)。不幸的是，大多數(shù)SD-WAN供應(yīng)商提供的基本安全措施并不包含SSL檢查，或者，即便有SSL檢查，功能性能上也達(dá)不到要求。這是企業(yè)部署SD-WAN時(shí)最常見(jiàn)的一種失誤。

其中難點(diǎn)之一在于，就算安全團(tuán)隊(duì)確實(shí)在SD-WAN部署中嵌入了安全，SSL檢查也會(huì)拉低市場(chǎng)上幾乎每個(gè)遺留NGFW解決方案的性能。事實(shí)上，絕大多數(shù)安全供應(yīng)商甚至不會(huì)公布他們的SSL檢查性能指標(biāo)。然而，當(dāng)今數(shù)字市場(chǎng)中激烈競(jìng)爭(zhēng)的公司企業(yè)也不愿意犧牲性能求安全。因此，SSL檢查要么隨意實(shí)現(xiàn)，要么根本就沒(méi)有。這也是為什么除了可擴(kuò)展的VPN連接，還得關(guān)注第三方測(cè)試給出的SSL檢查指標(biāo)的原因。我們必須選擇同時(shí)符合性能要求與安全要求的解決方案。

總結(jié)

SD-WAN迅速成為網(wǎng)絡(luò)轉(zhuǎn)型工作的基本構(gòu)件，令公司企業(yè)得以在當(dāng)今激烈的數(shù)字市場(chǎng)競(jìng)爭(zhēng)中獲得速度與效率上的優(yōu)勢(shì)。但隨著威脅與惡意軟件愈趨復(fù)雜和普遍，我們必須補(bǔ)強(qiáng)傳統(tǒng)MPLS連接的既有安全防護(hù)。

為此，高級(jí)安全功能不僅應(yīng)成為最初SD-WAN選擇時(shí)的考量?jī)?nèi)容，還應(yīng)盡可能徹底地集成到環(huán)境中，以便更好地檢測(cè)和防止如今越來(lái)越先進(jìn)的各種威脅?？晒┻x擇的高級(jí)安全功能包括原生NGFW、靈活可擴(kuò)展的VPN和高性能SSL檢查。想要明智選擇這些解決方案，可以求助于評(píng)估過(guò)程中包含安全性能與功能考量的第三方測(cè)試。

【本文是專(zhuān)欄作者“”李少鵬“”的原創(chuàng)文章，轉(zhuǎn)載請(qǐng)通過(guò)安全牛（微信公眾號(hào)id:gooann-sectv）獲取授權(quán)】

文章名稱：如何避免SD-WAN的常見(jiàn)安全錯(cuò)誤
文章來(lái)源：http://m.fisionsoft.com.cn/article/djcjhsd.html

新聞中心

其他資訊