在每年的这个时候,大胆的预测是理所当然的。Zeus kerravala在他的水晶碗里寻找社交空间,然后泰勒armeriding安全的安全性。我们通过我们的幸福饼干焕浆,并在2017年出现了这个像yoda的一个:
安全性应网络成为。
这到底是什么意思?我们的yoda翻译毫无帮助。网络能否在2017年取代安全(或者相反)?首席信息官和首席信息官是否应该为不可避免的同化做好准备(向你的老化跋涉点头)?那么,安全和网络人员应该如何为不可避免的冲击做好准备?
当然,我们有自己的想法,但我们希望看到别人的想法。因此,我们在Galaxy结束时追逐了一些SD-WAN供应商的投入(杀手延迟,但没有黑洞,包丢失和令人敬畏,优化的路由缩短了这次旅行)。我们还从80年代(需要遇到yoda)的80年代(需要一个人)的几个Cio僵尸来帮助弄清楚这一不祥的预兆。
以下是我们所学到的。
SD-WAN的“SD”是否意味着安全灾害?
应该清楚的是,任何在完全化身中提供由SD-WAN的直接互联网接入(直接)的办公室的任何办公室都代表了公司攻击面的巨大扩张。我们聘用的大多数企业都有一个或多或常,几个区域安全互联网接入中心。将Dia放在分支机构上打开网络到我们在互联网上找到的全部威胁:赎金软件,网络钓鱼,逐行下载网站等。
更糟糕的是,如果您喜欢我们的许多客户,那么您的分支机构中的现有安全性是非常有限的现有安全性。无论他们是否依赖于基于MPLS或基于互联网的IPSec VPN,我们大多数我们都会在中央或区域集线器中仍然会见到安全的Internet访问门户网站。可能没有防火墙,恶意软件检测或分支机构的其他安全设施。
事实上,最近的一项调查维度数据(由SD-WAN供应商Versa Networks赞助)谈到了这一点。调查发现,40%的企业分支甚至没有基本的状态防火墙。一半的分支机构没有下一代防火墙(NGFW)。分行的sd - wan和DIA代表了一种双重危险。公司不仅有更多的攻击面需要保护,而且他们甚至不能利用现有的工具和程序来保护这些点。
不同的网络和安全方法
SD-WAN供应商非常了解安全挑战。您将看到大量有关网络层问题的讨论 - 加密,IPSec,身份验证等。WAN上的网络分割在自己的叠加层中隔离流量,保护在覆盖范围之外的WAN上的威胁中的覆盖中的应用程序。它在主机上在其自己的VM中隔离应用程序大致相同。许多人现在在他们的分支设备中构建一个有状态防火墙。
但更大的安全问题是如何在分支中提供NGFW,恶意软件检测,IDS / IPS,URL过滤和其他应用程序级安全机制。在这一点上,我们看到供应商采取四种方法之一,通常是一种方法。
服务链和云安全
在最基本的水平,SD-WAN提供商如银峰那Viptela和Velocloud与“最佳”的安全提供商合作。(在我们错过的SD-WAN中不要读得太多;时间不允许我们联系每个公司。)服务链接允许安全功能“缝合”在一起。需要在边缘进行深度包检测(DPI),以识别和引导相关流量进出相关的安全设备,这些设备通常(尽管不一定)仍然集中在数据中心。雷竞技电脑网站
但是,服务链安全设备仍然会让机构将分支流量回收到某个地点进行检查。为了提供DIA而不必在分支部署完整的安全设备堆栈,许多SD-WAN供应商正在与云安全提供商合作Zscaler.等等。使用Zscaler,所有入站和出站TCP,UDP和ICMP流量都将发送到Zscaler云,以便在转发到目的地之前检查。
服务链接提供了解决基本安全问题的框架,但企业仍然面临跨数百个应用程序、用户类型和站点创建该服务实例的挑战。为了使企业广域网管理可行,需要高度的策略集成和自动化。理想情况下,SD-WAN和安全参数应该通过一个接口定义和交付。必要的工具应该能够在整个基础设施中推行这些政策。
许多领先的SD-WAN提供商提供了这些功能,但即便如此,网络和安全分析仍然是分开的。例如,通过将安全和网络信息相关联,无法将安全操作人员的安全警报风暴降至最低。同样的道理也适用于检测DDoS攻击的安全设备,例如,阻止从相关位置进入的网段。网络和安全日志总是可以导出到第三方工具,但是这些严密的分析和控制功能仍然超出了大多数SD-WAN安全伙伴关系的范围。
原生SD-WAN和安全集成
使用内部部署方法,组织仍然需要维护安全基础设施的所有管理和操作复杂性。防火墙的大小,更新和补丁仍然是必要的。使用云安全服务,组织仍然必须保护非http流量。在这两种情况下,策略集成可能是有限的,而分析集成通常是不存在的。
由于这些原因以及更多的原因,一些SD-WAN提供程序更进一步,将安全性与SD-WAN功能紧密耦合。Versa网络使用NFV在站点的周边连接到SD-WAN的周边运行安全功能。CATO网络运行安全性以及云中的路由功能。
通过紧密耦合安全和网络,企业可以获得一些令人印象深刻的收益。例如,VERSA将用于更深的分析的安全性和网络日志相关,可能会降低安全操作的事件负载。通过将所有功能迁移到其云端,Cato从单独的基础设施的运营成本中裁员队伍。
缺点?最大的是从依靠“最佳”的安全球员来仍然是相对年轻的组织的转变。虽然Versa将与第三方安全设备一起使用,但它意味着放弃集成安全和网络分析。
网络安全
网络和安全线将在未来几年内模糊,至少在技术水平上,但离散网络和安全团队将持续可预见的未来。SD-WAN还为安全和网络团队提供了一种方式,以更好地合作,这可能只是对IT安全的最大贡献。