RSA旧金山展(如果不是今年最大的安全展的话,也是其中之一)落后于我们,现在是重新审视安全和sd - wan的好时机。我知道,我们已经经历过尤达大师了关于网络的未来预言和安全性。在该博客文章中,我们谈到了供应商接近取得由SD-WAN创建新的互联网连接。还有另外一个层面,不过,SD-WAN的安全,我们没有讨论和交流有关广域网是的。
WAN:今天攻击者的风险和回报
很多时候SD-WAN供应商,安全集成是指检查传入和传出的互联网流量。不过,虽然服务,如Zscaler中,可检查开往互联网HTTP流量,他们什么也不做绑定到其他地点的交通。这是一个问题,因为越来越多的站点到站点流量需要有自己的检测和保护。
如果你像我的许多客户,你可能有防火墙,安全网关网络(SWG),下一代防火墙(NGFW)和安全堆栈从互联网细分您的网络的其余部分。在场地,你可能已经从彼此使用VLAN和ACL来段资源。但是,同样的逻辑,你可能没有细分广域网;一旦流量进入WAN,有可能是地区之间没有逻辑分离。
这是可以理解的。不幸的是,或者幸运的是,如果你是一名顾问,L3 WAN架构的分割一直是,我们可以说,具有挑战性的。这并不是说您不能使用IP路由分段WAN,毕竟,IP可以做几乎任何东西。但是,与网络中的许多事情一样,跨IP-MPLS环境的细分对于许多公司来说太复杂了。除了对IP路由有深刻的理解之外,您还需要在以下方面具有专业知识MP-BGP,MPLS / LDP和VRF的。就像我说的,这是很好的顾问有时。
但随着越来越多的安全威胁来自企业内部发起,WAN分割日益正成为一个必须拥有的许多组织。从细分的WAN办公室有助于防止来自全国各地的企业传播在一个小办公室攻击。
基于控制器的网络,如sd -WAN,使广域网段从根本上变得更简单。具体细节因供应商的不同而不同,但一般来说,您要定义一个策略来描述对应用程序来说底层的“网络”——应用程序特征、某些情况下的网络配置、寻址等等。然后,该策略分布在SD-WAN中的各个节点上,从而创建了连接策略中定义的办公室的多点隧道(通常使用IPsec)。一个线段中的流量被限制到该线段内关联的源和目的地。
一些供应商可能声称每个应用程序都有一个单独的SD-WAN段,但是我还没有遇到任何部署SD-WAN的人认真考虑过这么做。这太复杂了,难以管理。通常,公司会根据case-guest Wi-Fi、实时应用程序、关键任务应用程序、文件传输、一般互联网浏览和其他所有的应用程序,将广域网划分为五到七组应用程序。
防火墙或路由器,有人知道吗?
对于许多广域网来说,单独的网络分割是一个很大的进步,但是为了实现更大的粒度,一些提供程序允许您细分到端点。这是您在VLAN与防火墙中可能看到的粒度。实际上,他们将防火墙(和安全栈的其他元素)集成到他们的SD-WAN中,声称要为LAN和WAN创建一个安全策略。通常情况下,SD-WAN供应商很难处理这种级别的细节,因为应用程序分类是通过五元组完成的——源和目标地址、源和目标端口号,以及第三层协议类型——或六元组,这增加了DSCP或ToS值。它们都没有提供在应用层识别用户和服务的粒度。
谁是厂商看的SD-WAN和WAN防火墙?Nuage网络是唯一的供应商,我知道,以扩展在广域网上的软件定义网络(SDN);一个2-4层防火墙是作为其虚拟安全服务(VSS)产品组合的一部分。反之亦然网络生成一个网络功能虚拟化(NFV)平台,该平台允许您部署一个符合NFV的防火墙作为SD-WAN的一部分。
卡托网络在其Cato云服务中提供一个广域网防火墙。通过卡托私有运行的骨干网服务到其他办公室的流量首先由WAN防火墙检查。管理办公室内用户的相同安全策略也可以应用于办公室外的移动用户。(说到RSA,你可以点击在这段视频中,我们可以看到卡托网络的创始人Shlomo Kramar为创新沙箱奖颁奖典礼解释卡托技术。)
新的广域网新的安全
本地上网只有一个SD-WAN安全问题的一部分。您还需要考虑一下你要如何通过WAN安全和段流量。网络层分割是超出了被今天做MPLS和DMVPN是一个非常重要的一步。随着企业寻求更加细化的安全,厂商建立防火墙和其他安全服务到SD-WAN将提供一个有吸引力的方法。