SaaS和IaaS应用程序和基础设施的采用越来越多,这促进了SD-WAN架构的快速采用。使用更低成本的internet服务直接将用户从分支机构连接到SaaS/IaaS实例以增强(甚至替换)MPLS,可以提供最高的性能和用户体验。
但是,由于所有的网络流量并不是平等的,所以积极使用互联网连接需要一种新的安全方法。
同时,它根本就没有站得住脚的每一个分支部署昂贵,下一代防火墙。因此,更智能,应用驱动的安全模型是由更先进的SD-WAN解决方案,如银峰启用团结EdgeConnect。这些解决方案在分支中进行了适当数量的检查,并将简单、经济有效的服务链接到部署在云或企业数据中心的更高级、更昂贵的安全服务。雷竞技电脑网站
Silver Peak的CEO大卫·休斯,最近写了一篇怎样的先进的SD-WAN边缘支持改进的安全架构云企业。他讨论了数据平面和与传统的、手动编程的、以路由器为中心的WAN模型相比,SD-WAN提供的三个安全改进:
- 颗粒状,应用驱动的安全策略
- 微分割的流量通过广域网进入分支
- 跨广域网的安全策略的一致性
在这里,我将专注于确保SD-WAN基础架构本身和管理平面。史蒂夫加森提出题为最近的网络世界的文章中以下几点:有个足球雷竞技app警告:在SD-WAN设备中发现安全漏洞。史蒂夫提出了为企业寻找SD-WAN解决方案的一些重要的考虑因素。对于一些40多家厂商的营销SD-WAN解决方案,IT领导者真正拥有选择供应商,以确保一个全面的方法来WAN安全时做的功课。
在他的文章,史蒂夫指出,“这些都是新公司新兴技术,他们没有支付的注意程度是一个经验丰富的安全人员会支付安全的整个运作模式。”
然而,随着SD-WAN行业的成熟,一些供应商已经开始在交付应用程序性能、可见性和控制以及最明显的安全能力方面与软件包保持距离。
正如史蒂夫指出,多数SD-WAN架构依赖于加密通道提供数据平面的安全性。然后,他提高了设备本身声称的安全问题“没有这些架构到SD-WAN设备的安全性发言。”从文章,目前还不清楚研究的时间框架,以及史蒂夫提到,评估供应商的名单是保密的。
然而,更高级的SD-WAN解决方案,如EdgeConnect,已经集成了健壮的安全特性,以保护网络和网络基础设施免受威胁和弱点。让我们逐个来看一看。
解决SD-WAN设备的安全性:除了一般的密码管理的实现,银峰增加了许多功能,以免受攻击保护EdgeConnect设备。在最高级别,EdgeConnect包括一个集成的基于区域的防火墙,以最小化攻击面并阻止任何传入SSH流量。
然而,正如史蒂夫正确强调,防火墙单独是不够的。银峰进一步采取这样的步骤有安全,零接触配置实现它提供了两步认证处理,以防止从成为SD-WAN的一部分非法设备。被录取之前,新设备必须先通过银峰云门户网站进行身份验证。从在第二个步骤中,最终用户的IT管理员必须确认和设备添加到SD-WAN统一协调器。家电,协调和云门户网站之间的所有管理通信与TLS保护,弱加密算法和散列(例如的SSLv2,SSLv3的; DES,RC4,MD5),默认情况下禁用。而且,如果一个设备要成为妥协,这是一个简单的操作为IT管理员去验证设备,并从SD-WAN将其删除。
解决常见的漏洞和暴露(CVEs):Steve写道,测试结果显示,开源组件包括已知的CVEs(有些已有10年历史)在SD-WAN供应商解决方案中很常见;当然,这是不可接受的。
Silver Peak产品安全事件响应团队(PSIRT)不仅通过筛选第三方代码来识别和消除潜在的漏洞,还持续监控多个安全咨询服务,以识别可能出现的新威胁。此外,我们还会出版安全警告和工程与快速更新时必要的回应。
解决物理访问:Steve还指出了另一个安全漏洞:对分支机构设备的物理访问,因为“它们通常是在没有集中式防火墙那么无菌的环境中——由多个供应商访问的布线壁橱,或者,让我们诚实地说,一个管理员的办公桌。”文章接着说,“分支设备经常暴露在‘无害’的威胁之下,比如被第三方销售工程师无意中禁用。”
这些都不符合SD-WAN相关的新问题;传统的分支路由器坐在同一个工作区,并受到同样的风险。银峰增加了增量的硬件和软件硬化从无意升级或篡改保护用具。
SD-广域网都是关于用户连接到具有的性能和可用性的最高级别的应用程序。在广域网传输组合积极拥抱互联网连接,这一承诺尚未交付的同时,需要更新的方法WAN安全。
保护应用数据的完整性通过广域网是必要的,但需要一个完整的,安全的SD-WAN解决方案的整体方法。银峰与史蒂夫完全一致,“有一件事情是明确的:如果你打算依靠SD-WAN,以确保您的企业,要确保SD-WAN设备是安全的。”