软件定义的广域网络(SD-WAN)正在迅速取代传统的广域网远程办公室和分支机构部署。SD-WAN旨在提供一个广泛的利益,以支持数字创新。然而,太多的SD-WAN解决方案缺少关键的网络和安全功能,需要组织增加复杂和昂贵的覆盖解决方案来管理和保护他们的SD-WAN部署。
举例来说,一个关键的问题组织面临的 - 尤其是当大量的SD-WAN设备已经部署 - 是策划通信,工作流和分公司之间的其他业务。虽然传统的WAN模型是从带宽或应用程序管理的角度来看,它的轮毂一定低效和发言模型,用于连接远程环境是相对简单的部署和管理。由于SD-WAN使得互联网直接连接,但是,建立一个通信覆盖需要一个复杂的,全网状的VPN解决方案,它可以是一个噩梦来设计,实施和管理。
解决此类和类似挑战(如SD-WAN安全)的最佳方法是通过集成,自动化和简化。省去了分门别类的分支基础架构的复杂性不仅降低组织的攻击面,而且还简化网络操作。
分布式组织的集中管理
许多SD-WAN解决方案缺乏的一个关键功能是an综合管理系统设计为它的所有基本功能整合到一个单一的控制台。集中SD-WAN管理需要跨越所有分支机构可分配环境,使管理员能够提供和协调配置和策略,并快速识别并可能导致网络风险暴露和网络中断纠正错误。
与此同时,中央协调器允许组织简化集中部署并建立自动化,以节省时间并更快地响应业务需求。中央协调器可以提供的一种有效策略是在分支办公室之间分发应用程序、工作流和其他流量。大多数SD-WAN解决方案都提供VPN功能,但是网状VPN,特别是在较大的SD-WAN部署中,需要大量的处理开销和持续的管理。
通过使用协调器到基分支机构成区域,多数分支机构的可以被指定为连接到多个区域中心的一个边缘的环境。这些边缘办事处需要比本地连接和安全性等最小的管理。那么管理开销可以集中在区域中心,这是用来在区域内移动分公司之间的数据,以及协调区域间的交通屈指可数。
在这样复杂的环境中,一个中央编配工具可以更容易地管理流量负载。它还可以在需要的时候和地点自动指定额外的集线器,以防止瓶颈,同时将需要配置和管理的控制点的数量保持在最低限度。这进而消除了VPN开销。
SD-WAN分析和报告
由于增加集中分析的,网络工程和运营团队也可以更有效地发现并减少人为错误,提高功能性,减少安全隐患。对于广域网链路的可用性,性能的SLA和应用流量强化分析在运行时,历史统计数据让基础架构团队排查并快速解决网络问题。
要做到这一点,集中SD-WAN管理需求,包括对应用可视性和网络性能遥测,可实现SD-WAN的管理团队来实现的问题快速解决,减少数量的IT支持票。点播SD-WAN报告应提供进一步洞察威胁环境,信任水平,和资产的访问 - 所有这些都强制要求的最佳做法合规的目的。
法规遵循报告也是至关重要的,因为组织需要报告和工具来帮助审计人员验证法规遵循。挑战在于,对于团队来说,遵从性管理传统上是一个成本高昂、劳动密集型的过程——通常需要来自网络和InfoSec团队的多个全职人员跨多点安全产品聚合和规范化数据。这是因为遵从性是通过联网实现的,但却是由InfoSec实现的。而且大多数SD-WAN解决方案并没有使其变得更容易,因为它们缺乏对关键遵从性元素(如安全性)的洞察力。
简化安全基础设施,例如,不仅省去了许多手工工艺的需要,但也使得它更容易证明符合审计。然而,有效的合规管理体系需要包括定制的监管模板,以及为标准,如支付卡行业数据安全标准(PCI DSS),安全活动报告(SAR),互联网安全中心(CIS),和罐装报告美国国家标准与技术研究院(NIST)。
它还应该运行审计检查,以帮助安全和网络团队识别其设置中的关键漏洞和配置弱点,并实施最佳实践建议。理想情况下,它应该提供一个基准,以便网络领导者可以将他们组织的安全态势与他们所在行业或地区的同行进行比较。
集成和自动化
为了有效,安全性必须在分布式组织的每个部分无缝集成,包括每个分支机构和远程办公地点。网络工程和运营领导者需要从一个单一的位置对整个攻击表面有充分的可视性。然后,他们需要自动响应,以减少从检测到补救的时间窗口,并减轻员工的手工任务负担。
然而,绝大多数SD-WAN解决方案内建的安全性缺乏是SD-WAN开发中的另一个关键失误。它迫使组织在其SD-WAN技术中添加一层点安全产品,以解决威胁暴露和遵从性需求,这些问题过去由部署在核心的安全解决方案处理。这就产生了两个严重的问题。首先,这些点安全产品通常不会彼此互操作,这会降低可见性,同时导致严重的管理和后勤负担和开销。其次,点安全解决方案与SD-WAN功能的分离程度太大,无法在连接发生变化后做出更多反应,从而在网络边缘造成了严重的防御缺口。
一个集成的管理解决方案安全驱动网络方法并将SD-WAN和安全功能编织到一个控制台中,可以将威胁补救时间从数月减少到几分钟。它通过协调跨分布式安全体系结构的基于策略的自动化响应、解锁安全工作流以及威胁情报收集和实现来实现这一点。因此,任何从分支发送的带有上下文感知数据的检测到的事件警报都允许网络管理员快速确定行动方案,以保护整个企业免受潜在的协调攻击。
但是,由于网络事件的数字的速度发生,某些事件也应该触发到设备配置自动更改,收于攻击缓解环路在瞬间,降低风险,同时降低对人力资源的负担。当然,这种解决方案还应该与第三方工具,如整合安全信息和事件管理(SIEM)、IT服务管理(ITSM)和DevOps(例如,Ansible,Terraform。)这将使企业能够保留现有的工作流程,同时利用在其它的安全和网络工具的投资。
集中SD-WAN编排和管理带来真正的价值
将企业级的安全和分支网络功能融合到一个单一的、集中的管理和编配系统中可以带来重要的好处,其中最重要的是降低网络风险。但是通过整合所需的网络和安全工具的数量,它还可以显著降低总体拥有成本。可以有效地管理资本支出,同时通过简化管理和工作流自动化可以显著地降低运营费用。然而,其净收益是一个更快、更高效、更安全的组织,可以安全和快速地利用数字创新,在当今的数字市场中更有效地竞争。
采用安全驱动的方法进行联网,以改善用户体验并简化WAN边缘的操作Fortinet的安全SD-WAN解。