安全软件定义的广域网(SD-WAN)已经成为最热门的新技术之一,一些报告声称85%的公司正在积极考虑SD-WAN改进基于云的应用程序性能,替换昂贵和不灵活的固定WAN连接,并提高安全性。
但是现在行业正在转向软件定义的分支(SD-Branch),比SD-WAN更广泛,但为组织推出了几款新事物,包括新的数字技术的更好的安全性。要了解这个新解决方案集所需的内容,我最近坐在堡垒的产品和解决方案执行副总裁John Maddison。
首先,SD-Branch到底是什么?
John Maddison:为了回答这个问题,让我们回顾一下对安全SD-WAN解决方案的需求。组织需要将其数字转换工作扩展到远程地点,如分支机构、远程学校校园和零售地点。挑战在于今天的网络和应用程序是高度弹性和不断变化的,这意味着传统的固定和静态的广域网连接到他们的远程办公室,如MPLS.,无法支持这种新的数字商业模式。
这就是SD-WAN的用武之地。它用灵活、智能的连接取代了那些传统的、有时相当昂贵的连接,这些连接旨在优化带宽、最大化应用程序性能、保护直接互联网连接,并确保流量、应用程序、工作流和数据的安全。
然而,大多数分支机构和零售商店在连接背后都有一个正在经历快速转变的本地局域网。例如,物联网(IoT)设备正以前所未有的速度应用于偏远地区。零售商店现在包括了各种各样的联网设备,从收银机和扫描仪到制冷设备和恒温器,再到安全摄像头和库存控制设备。酒店监控房间进出、保安和安全设备、电梯、暖通空调系统,甚至购买迷你吧。同样的转变正在学校、分支机构和现场办公室以及远程生产设施中发生。
Fortinet.
John Maddison, Fortinet的执行副总裁
挑战在于,许多这样的环境,特别是这些新的物联网和移动终端用户设备,缺乏足够的保障。SD-Branch透过保护有线及无线接入点、监控及检查内部通讯及应用,将SD-WAN的保安及控制功能扩展至本地网络,并利用网络访问控制(NAC)来识别在分支中部署的设备,然后动态地将它们分配到更容易控制的网段。
偏远地区,如分支机构、学校和零售店,面临哪些独特的挑战?
在这些远程位置部署的许多设备都需要访问内部网络,以云服务或互联网资源进行操作。挑战是IoT设备,特别是令人惊叹的不安全,并且容易受到一系列威胁和剥削的影响。此外,最终用户正在将越来越多的未经授权设备连接到办公室。虽然这些通常是某种个人智能设备,但它们还可以包括从连接的咖啡机到无线接入点的任何内容。
其中任何一种,如果连接到网络并加以利用,不仅对该远程位置构成威胁,而且还可以用作进入更大的核心网络的门户。有许多例子表明,脆弱的销售点设备或暖通空调系统被用于隧道返回到组织的数据中心,以窃取帐户和财务信息。雷竞技电脑网站
当然,这些问题可以通过向分支添加许多额外的网络和安全技术来解决,但大多数IT团队不能将IT资源放在现场部署和管理这些解决方案,甚至暂时。需要什么是一种安全解决方案,它结合了流量扫描和安全实施,用于在单个低触摸/无触控设备中的有线和无线连接,设备识别,动态分段和集成管理的访问控制。那是SD分支进入的地方。
为什么传统的分支解决方案(如集成路由器)不能解决这些挑战?
大多数为分行和零售店设计的解决方案早于SD-WAN和数字转换。因此,大多数不提供当今远程位置所需要的灵活SD-WAN功能的支持。此外,虽然他们可能声称提供低接触的部署和管理,但大多数组织的经验告诉不同的故事。更复杂的是,这些解决方案提供的只是各种服务之间的表面集成。
例如,这些集成设备几乎没有一个能够管理或保护作为较大分支LAN一部分部署的有线和无线接入点,提供设备识别和网络访问控制,扫描网络流量,或提供当今网络所需的那种健壮的安全性。相反,许多这些解决方案只不过是封装在一块金属片中的独立有限的网络、连通性和安全元素的集合,这些元素都需要独立的管理系统,为那些扩展的局域网环境提供很少或完全没有控制的访问点和交换机——这增加了而不是减少了IT开销。
安全播放在SD分支中的角色是什么?
安全是任何分支机构或零售场所的关键因素,特别是随着物联网和终端用户设备的不断部署,潜在的攻击面不断扩大。正如我之前解释的,物联网设备是一个特别值得关注的问题,因为它们通常是相当不安全的,因此,它们需要被自动识别、分割和持续监控恶意软件和异常行为。
但这只是等式的一部分。安全工具需要集成到交换机和无线基础设施中,以便网络协议、安全策略和网络访问控制可以作为一个单一系统一起工作。这使得SD-Branch解决方案能够识别设备并将其与安全策略动态匹配,能够检测应用程序和工作流,并根据设备和流量的功能和角色动态分配到相应的网段。
挑战在于现场通常没有IT人员来设置、管理和调整这样的系统。SD-Branch以零接触模型提供这些高级安全、访问控制和网络管理服务,因此它们可以部署在多个位置,然后通过一个公共接口进行远程管理。
安全团队经常面临缺乏在分支机构的可见性和控制的挑战。SD-Branch如何解决这个问题?
SD分支解决方案无缝地将组织的核心安全性扩展到本地分支网络中。对于具有多个分支机构或零售地点的组织,这使得可以创建通过单个窗格的玻璃管理系统操作的集成安全结构,这些窗格管理系统可以看到所有设备并协调所有安全策略和配置。这种方法允许动态协调和更新的所有远程位置,支持从网络的每个角落的威胁情报的集合和相关 - 从核心到云的分支 - 并启用可以自动提升的网络事件协调响应在识别和消除攻击的所有线程时防御到处都是防御。
将安全性与交换机,接入点和网络访问控制系统相结合意味着每个连接的设备不仅可以识别和监控,而且也可以看到和跟踪每个应用程序和工作流程,即使它们在不同的分支和云之间或之间行驶环境。
SD-Branch如何与安全SD-WAN相关?
SD-Branch是安全SD-WAN的自然扩展。我们发现,一旦一个组织部署了安全的SD-WAN解决方案,他们很快就会发现,连接背后的基础设施往往还没有准备好支持他们的数字转换工作。每一个新的威胁载体都会给他们的组织增加额外的风险。
虽然安全的SD-WAN可以查看并保护运行在远程地点或远程地点之间的应用程序,但在这些分支机构、学校或零售商店内运行的应用程序和工作流没有被识别或正确检查。影子IT实例没有被识别。有线和无线接入点不安全。终端用户设备可以开放地访问网络资源。而物联网设备正在扩大潜在的攻击面,而没有相应的保护措施。这需要SD-Branch解决方案。
当然,这大概远远超过下一代分支的出现。这些新的远程网络环境只是延伸和替换传统网络周边的新边缘模型的另一个例子。云和多云,移动工作人员,5G网络以及下一代分支机构 - 包括办公室,零售地点和长期校园 - 都是同时出现的。这意味着他们都需要在IT和安全团队同时解决。然而,传统的构建每个边缘环境的单独安全策略模型是一个不堪重负的IT人员的配方。相反,每个边缘都需要被视为更大的集成安全策略的一部分,其中每个组件都有助于整个分布式网络的整体健康。
考虑到这一点,将SD-Branch解决方案添加到SD-WAN部署,不仅将安全性深入分支机构和其他远程位置,而且它们也是更广泛的策略的关键组件,可确保所有边缘环境中的一致安全性,同时提供通过中央管理,可见性和控制来控制整个分布式网络的操作费用的机制。