如果不给分支机构提供本地互联网接入,您就无法充分利用SD-WAN提供的所有功能,而且如果不保护分支机构,您也无法为它们提供本地互联网接入。尽管SD-WAN具有各种优势,但它并没有提供健壮的边缘安全性。是的,数据在传输过程中是加密的。是的,一些SD-WAN设备具有基本的有状态防火墙功能。但是,由于攻击来自第7层,分支机构需要下一代防火墙(NGFW)和更新的IPS/IDS能力来保护位置——而不是基本的防火墙。为了所有的意图和目的,请使用SD-WAN分支需要第7层安全,这就是为什么你会看到如此多的SD-WAN供应商与安全供应商建立合作关系,或者一些在他们的设备中建立安全。
现在,一旦您在分支中讨论安全的SD-WAN,提供作为服务就非常有意义。公司花费过多的时间部署、评估和维护他们的安全基础设施。在成本竞争中,安全供应商必须调整其设备的大小。而另一方面,流量负载的增加或启用了计算密集型功能(如SSL拦截),通常会迫使公司进行设备升级。与IT团队不同的是,安全团队需要不断地与攻击者竞争。当安全供应商发布针对最新威胁的补丁时,部署时间至关重要。所有这些都给超负荷的IT团队增加了负担。将所有这些外包给供应商是明智之举。
这导致了三种类型的安全SD-WAN服务。
代没有。1:多种物理设备
在第一种情况下,服务提供者集成多个物理设备来交付服务。您已经减轻了管理、运行和调整不同盒子大小的负担。这和云服务不同,在云服务中,资本和运营成本可以很好地分摊给不同的客户。你仍然需要为这些机顶盒和必要的集成付费,只是现在是通过服务提供商签订为期三年的合同来完成的。这还意味着,要排除故障,您仍然需要在每个产品的不同控制台之间跳转。
代没有。2:多个虚拟设备
第二个选择吗?提供者进行一些集成,将多个应用程序作为VNFs或虚拟设备运行在一个公共硬件上。那些VNFs和设备仍然需要正确地调整大小和部署,但是这在软件方面变得更简单了。当然,该设备的容量仍然有限。一些服务提供商将在合同中包括设备升级——以一定的价格。根据实现的不同,提供者还可能执行一些集成工作,允许通过一个控制台进行更无缝的故障排除和管理。这里我想到了开放系统。其他提供商似乎只提供作为VNF的第三方防火墙,尽管Versa Networks已经在其核心产品中集成了一些NextGen防火墙功能,以及用于第三方应用的VNF。
代没有。3:云服务
最后也是最先进的方法是重新考虑网络和安全,并将它们整合到云服务中,就像亚马逊为AWS所做的那样。以卡托网络公司为例。
拆开基础设施设备的功能,你会发现它们的工作方式有很多重叠。它们当然共享较低的层——TCP/IP和down——但即使在这些层之上,许多都在进行深度数据包检查,许多都需要设置策略,等等。随着我们将网络和安全功能商品化,在每个设备中反复执行这些功能,将这些功能区分开来的意义越来越小,而在一个位置一次性执行这些功能则更有意义。我们可以节省资源,降低成本,提高网络的可见性。
将这些安全/网络栈转移到云端,就可以解决设备的成本问题。由于云是弹性的,因此无需进行硬件升级,因此没有更多的伸缩问题。补丁必须由提供商完成,但对所有功能和所有客户只能进行一次。资本和运营成本在所有服务客户中都是摊销的,这使得这项服务非常实惠。无需详细说明,我可以告诉您,在采用这种方法的情况下,其成本是由运营商提供的安全SD-WAN服务的一半以上。
全是玫瑰吗?嗯,没有。像任何事情一样,都有权衡。您将失去一些选择,只能依靠一家公司提供SD-WAN和安全功能。在边缘情况下,依赖于专有功能是一个问题。
但在大多数情况下,在网络和安全已经商品化的情况下,我们真正需要多少选择呢?例如,当今以太网交换机的价值不在于大多数情况下交换机本身的功能,而在于封装。在某些情况下,SD-WAN和安全功能也是如此。把商品化的安全和网络功能整合到一起,软件栈有它自己的价值,实际上是重要的价值。