在成立之初,我们有早期采用者和纯SD-WAN的球员。不久,很明显,缺了点什么,那缺少的组成部分是“安全”。然而,安全厂商已经从一开始就强调了安全的重要性。
今天,市场似乎在安全厂商的重点是提供SD-WAN的方向发展提供围绕着无处不在的安全性。魔力象限WAN边缘基础设施投入了大量的预测。它指出,“到2024年,在分布式企业新的防火墙的采购50%将采用SD-WAN与越来越多地采用基于云的服务,而目前的不到20%的功能。”
今天我们的安全厂商,如Forcepoint,SonicWall公司和Barracuda遵循Fortinet公司的格局。该供应商提供内置的安全堆栈到WAN边缘架构的分布式企业应用案例。
引入安全SD-WAN
Pronouncedly,安全SD-WAN包括最佳的繁殖下一代防火墙的安全性,SD-WAN,高级路由和广域网优化提供一个安全驱动的广域网边缘。它结合了SD-WAN功能和安全功能一起。
安全SD-WAN溶液能够充分在分支被放置和云或混合方式可以采用。对于那些不希望把在云中的一切谁,混合方法可能更可行。
对我来说,这是很有趣的参观了解查询进入了分析师和客户如何给予关注这一领域。显效,Gartner估计,Fortinet公司拥有超过21,000 WAN边缘客户。这是一个相当大的用户群,使一个令人信服的理由,尤其是当强和内置的安全功能是关键要求。
添加安全联网
这是保安公司增加新的网络肯定更容易的功能比为SD-WAN公司增加20多年的高级安全功能。我们可以安全地假设没有SD-WAN厂商将成为一个安全厂商。
随着市场的发展,在适当的时候,一些功能不得不重新命名:当我们谈到应用程序识别、加密、路径监视、路由协议和WAN链路负载平衡时。从根本上说,所有这些高级路由特性都不是新特性,也不是特定于SD-WAN的。这些都不是一蹴而就的,甚至在市场形成之前就已经存在了。
然而,在某些情况下,也许你必须实现跨广域网的专用路由协议。在这种情况下,是的,当然,你需要一个新的设备。但对于大多数的部分,在边缘进行全面的防火墙就足够了。
广域网路边缘的防火墙
防火墙正在演变成网络安全平台,从而提供了SD-WAN功能。网络防火墙的魔力象限表示“SMB多功能防火墙市场在2018年增长了10.1%,而采用SD-WAN是一个强大的驱动因素。”
当你想想看,你会发现,防火墙一直充当了很长时间的路由器。从本质上讲,防火墙可以提供所有的路由协议,以促进私营广域网,互联网和内部路由。这个功能通常是由少了点路由一个基本的设备提供。然而,现在我们看到通过防火墙的边缘设备更换这些。
防火墙已经在网络中居住了几十年。他们的作用已经不仅仅只局限于做防火墙,但也参与了路由网络。一次又一次,他们已经提供路由的WAN边缘设备。
遗留安全性设计的问题
如何将安全性与SD-WAN集成?通常的设计主要涉及多个安全点解决方案的集成。现在,让我们学习这些点解的后果。
复杂
点解决方案只解决了一个问题,需要大量的与他人的整合。正因为如此,他们往往服务链接在一起。每个部分都必须与其它进行精心整合。
您必须解决方案堆栈,这很可能导致管理费用和增加的复杂性不断增加。且不说与NOC和SOC团队整合的挑战。相反,原来的卖点SD-WAN是降低复杂性并不会激化它。
如果我们检查的世界安全SD-WAN;它目前已经准备就绪,该方法是在零件实际增加的复杂性提供。这就像建设有单件房子的时候,你其实只是想买房。
如果你分析,你会发现,很多SD-广域网仅仅是引进其他厂商的安全技术,结合在一起,出售给客户。
相关费用
从分散各地的网络不同的供应商往往拥有多点解决方案是昂贵的。从未有一个固定的价格。一些安全厂商可以在其上可能没有足够的数量为尚未使用模式进行充电。那么,你如何有效地规划这个,当你有数倍?
随着成本的不断增加,安全专业人员可能会由于相关的成本而决定权衡某些点解决方案。我们现在知道,这不是一个有效的风险管理策略。理想情况下,就安全性而言,您不会在需要时执行某些操作;你在需要之前就去做。这意味着威胁情报是关键,而许多SD-WAN供应商常常忽略了这一点。
这是远从技术和成本角度考虑更关键的,使每一个安全点解决方案功能的一起下一个头罩。而要做到这一点,有人说,从一开始就专注于安全将适合该法案。这就是为什么出现了一招,提供SD-WAN随着先进的安全功能为一体的综合集成平台。
安全SD-WAN就是网络和安全为一体的综合平台结合。这导致没有更复杂的管理,许可问题,成本高或不必要的服务链。
SD-WAN是不是功能
有一个在SD-WAN市场有关其功能很大的噪音。让我们面对现实“的特点真的不画多大价值创造市场分离”。实际上,对于SD-WAN的价值主张是不是该功能。每个人都在分类应用,并在最佳路径发送他们做得很好。让我们来了解SD-WAN的真正价值主张。
性能和可伸缩性
当涉及到SD-WAN时,铃响通常是应用程序的导向,但如果你没有,例如,深入的TLS1.3检查和可靠的性能,你如何得到准确的识别和确保你的分支是安全的?没有足够的人谈论这个。
为此,我们需要定制特定于特定应用程序的集成电路(asic)。这为高资源密集型加密/解密和覆盖可伸缩性提供了不可思议的优势。
有了IPSec,就可以进行密集的加密操作,这将消耗大量的CPU和RAM。因此,特制的SD-WAN专用集成电路就是为了达到这一目的而设计的,这样每个通道消耗的CPU和RAM就更少。
一般情况下,可扩展性停在1000或1500。有了适当的ASIC,这个数量可以超过100,000被缩放到,这可能是一些集线器场地的设计是有用的。通过使用ASIC,可以运行在同一个设备中的网络协议栈和安全堆栈,使一个非常有效和具有成本效益的解决方案。
威胁情报的重要性
下一代防火墙在许多SD-WAN供应商的数据表中。但是,如何进行威胁检测和预防呢?许多SD-WAN供应商缺少的一个重要部分是与威胁研究相结合的威胁情报。威胁格局正在演变,安全解决方案也应与今天和明天的威胁保持一致。
威胁预防具有从层4芯功能,层7如IPS,内容过滤,深SSL检查,和反恶意软件。此外,我们也有威胁的检测片。如今,你可以不再依赖于检测已知的威胁,你必须检测未知威胁了。因此,具有预防和检测功能堆栈是非常重要的。随着两个特征粘在一起,我们可以有经验的安全研究和分析团队。这是显著观察SD-WAN供应商是否拥有自己的威胁情报。
为此,我们真的需要安全公司的血统。任何安全厂商的核心价值都来自于他们的情报研究水平。这是造成市场分离的原因,而不是SD-WAN的特性。
然而,还有另一个步骤,即确认所提议的特性是否已经过第三方(如NSS实验室)的验证。NSS实验室对其中一些安全供应商的SD-WAN领先产品进行了评估,包括VoIP和视频的体验质量(QoE)、性能(WAN缺陷和HA)、总拥有成本(TCO)和安全有效性。
此外,我们必须质疑多久会“SD-WAN设备提供防火墙”得到了最新的威胁信息更新。正在这个过程中进行每天或每周几次?有些SD-WAN解决方案市场将它们作为安全SD-WAN的供应商,但如果我们回到建立有效安全的角度来看,我们需要一个坚实的威胁情报团队。做创业公司有足够的人手来做到这一点?网络供应商根本无法进入这个领域。一些sd - wan添加了有状态包过滤器,并称之为安全。
老实说,下一代防火墙可以被任何人使用。然而,这些特征的广度、它们提供的情报以及市场的认可都起到了巨大的作用。这是在分支的下一代防火墙中建立信任并确保最佳安全状态保持最佳的原因。
当你正在寻找安全的SD-WAN厂商,凸显这些问题,审视自己的安全堆栈有多老。此外,评估他们是否有一支经验丰富的威胁情报团队。
市场正在转向一个安全的SD-WAN解决方案。行业分析和客户基础的兴起在当今时代产生了巨大的影响。人们并没有意识到安全厂商是强大的SD-WAN玩家。
然而,认识到市场于一体的综合全面的平台要求的安全SD-WAN。