對(duì)于SD-WAN(Software-defined WAN,軟件定義廣域網(wǎng))與面向混合型連接的轉(zhuǎn)變,大多數(shù)企業(yè)仍然沒(méi)有做好準(zhǔn)備,即無(wú)法切實(shí)保護(hù)各分支部門(mén)免受新一輪復(fù)雜攻擊的侵?jǐn)_。
SD-WAN的最終目的是用各種廉價(jià)鏈路代替昂貴的私有專(zhuān)線,比如MPLS.但是目前階段,很多企業(yè)不愿意完全放棄有業(yè)務(wù)質(zhì)量保證的專(zhuān)線,所以更傾向于部署混合網(wǎng)絡(luò),即在保留原有私有專(zhuān)線的傳送關(guān)鍵數(shù)據(jù)的基礎(chǔ)上,根據(jù)業(yè)務(wù)優(yōu)先級(jí),將部分相對(duì)不重要的流量動(dòng)態(tài)遷移到公共寬帶網(wǎng)絡(luò),甚至是無(wú)線LTE網(wǎng)絡(luò)上。
軟件定義廣域網(wǎng):主要利用軟件優(yōu)勢(shì)提升網(wǎng)絡(luò)性能,降低成本,同時(shí)保證安全穩(wěn)定性,而且部署簡(jiǎn)便。軟件有智能路由、數(shù)據(jù)優(yōu)化,VPS租用 國(guó)內(nèi)服務(wù)器,TCP/IP優(yōu)化等功能。SD-WAN主要是為企業(yè)廣域網(wǎng)服務(wù),傳輸企業(yè)關(guān)鍵業(yè)務(wù)數(shù)據(jù),可以限制訪問(wèn)不良網(wǎng)站。突出特點(diǎn)是:
綜合利用多條共有或私有鏈路,讓普通鏈路能夠達(dá)到專(zhuān)線的網(wǎng)絡(luò)質(zhì)量,降低了流量成本,提高了帶寬。
根據(jù)現(xiàn)網(wǎng)情況及配置的策略,自動(dòng)選擇最佳路徑,實(shí)現(xiàn)負(fù)載均衡,保證了網(wǎng)絡(luò)質(zhì)量。
企業(yè)運(yùn)營(yíng)團(tuán)隊(duì)面臨的困境
面對(duì)各類(lèi)全球性組織遭遇的大規(guī)模數(shù)據(jù)泄露以及爆炸性勒索軟件攻擊,數(shù)天之內(nèi)即有成千上萬(wàn)用戶(hù)受到感染,這意味著如今的企業(yè)正面臨著遠(yuǎn)超以往的安全威脅狀況——此類(lèi)威脅在數(shù)量、頻率以及復(fù)雜度方面還在不斷提升。
威脅環(huán)境的快速演變?cè)诤艽蟪潭壬弦鄽w咎于威脅向量的涌現(xiàn)及擴(kuò)展。此類(lèi)威脅向量能夠?yàn)橥獠繍阂饣顒?dòng)打開(kāi)通往關(guān)鍵性業(yè)務(wù)資產(chǎn)的大門(mén),具體途徑包括經(jīng)由消費(fèi)級(jí)設(shè)備、安全性糟糕的合作伙伴網(wǎng)絡(luò)或者分支辦公環(huán)境。
物聯(lián)網(wǎng)(簡(jiǎn)稱(chēng)IoT)與訪客租戶(hù)服務(wù)迫使我們必須在對(duì)流量服務(wù)/工作負(fù)載進(jìn)行細(xì)分時(shí)找到獨(dú)特的處理方法,而這必然會(huì)帶來(lái)一定程度的運(yùn)營(yíng)復(fù)雜性。
目前受到利用的一種新型威脅向量在于軟件定義廣域網(wǎng)(簡(jiǎn)稱(chēng)SD-WAN),其會(huì)在不經(jīng)意間利用直接互聯(lián)網(wǎng)連接建立新的攻擊面(具體取決于當(dāng)前安全模式),從而為勒索軟件、APT、病毒蠕蟲(chóng)以及其它惡意軟件提供溫床。從歷史角度看,企業(yè)通過(guò)集中方式管理互聯(lián)網(wǎng)訪問(wèn)與數(shù)據(jù)中心安全工作; 但分支機(jī)構(gòu)直接訪問(wèn)互聯(lián)網(wǎng)會(huì)引發(fā)大量入站攻擊,而SD-WAN與混合連接的出現(xiàn)更是超出多數(shù)企業(yè)的預(yù)期,意味著其無(wú)力保護(hù)各個(gè)分支機(jī)構(gòu)免受新一輪復(fù)雜攻擊的侵?jǐn)_。
安全思維的轉(zhuǎn)變
企業(yè)可以通過(guò)將檢查與執(zhí)行點(diǎn)從數(shù)據(jù)中心內(nèi)遷移至分支機(jī)構(gòu)或者云端的方式應(yīng)對(duì)這一新的安全挑戰(zhàn)。安全管理員們需要評(píng)估其是否需要一套"不僅包含加密及一般狀態(tài)防火墻服務(wù)“的新型安全層。此后,安全管理員需要查證分支機(jī)構(gòu)或云環(huán)境中是否存在更多風(fēng)險(xiǎn)因素,從而幫助自己確定實(shí)際需要的安全層。
SD-WAN支持端到端加密以及按應(yīng)用或組織層級(jí)進(jìn)行劃分,可提供嵌入式安全機(jī)制。但相當(dāng)一部分SD-WAN供應(yīng)商并不提供全面的企業(yè)級(jí)安全解決方案。
避免惡意軟件等威脅的三種方式分析
企業(yè)可以選擇以下幾種方法:
1.整合至SD-WAN解決方案當(dāng)中的高級(jí)安全方案。
2.第三方SaaS方案。
3.由現(xiàn)有或新供應(yīng)商提供一套基于設(shè)備的內(nèi)部方案。
每種方法都有著自己的優(yōu)勢(shì)與注意事項(xiàng)。一部分廠商也提供狀態(tài)防火墻,當(dāng)前不少路由器都已經(jīng)支持這種常見(jiàn)服務(wù)。市場(chǎng)上大多數(shù)SD-WAN仍然缺少對(duì)下一代及安全網(wǎng)關(guān)(UTM)功能的支持。
將安全性融入SD-WAN
優(yōu)勢(shì): 分支機(jī)構(gòu)的集成安全方案能夠?qū)?a href="http://www.qzkangyuan.com/cnidc/idcnews/osnews/20171124/18892.html">SD-WAN引入分支機(jī)構(gòu)的下一連接發(fā)展階段,還可實(shí)現(xiàn)多種交付方式。這類(lèi)方案能夠?qū)崿F(xiàn)單一供應(yīng)商、更簡(jiǎn)單的管理、內(nèi)部流量保護(hù)以及智能流量管理與轉(zhuǎn)向。借此企業(yè)將能夠獲得更為有力的安全保護(hù)表現(xiàn),且不再需要處理額外的堆棧或設(shè)備。SD-WAN與內(nèi)置安全機(jī)制還能為全部事件關(guān)聯(lián)提供單一管理窗格,例如用戶(hù)、應(yīng)用程序、設(shè)備、位置與網(wǎng)絡(luò)等等。
劣勢(shì): 安全性水平可能不像傳統(tǒng)的“縱深防御”方案那么“縱深”,通常需要依靠多家供應(yīng)商以覆蓋安全基礎(chǔ)設(shè)施中的各個(gè)層面,而不能簡(jiǎn)單的“一刀切”。
第三方軟件即服務(wù)(SaaS)方案
優(yōu)勢(shì): 第三方SaaS解決方案能夠有效減少管理層面的麻煩,其消費(fèi)模式的特點(diǎn)在于輕量化,甚至完全無(wú)需任何現(xiàn)場(chǎng)部署。實(shí)施及管理方面較為敏捷、易用。SaaS安全方案可以插入新的檢查機(jī)制以實(shí)現(xiàn)數(shù)據(jù)保護(hù),從而防止?jié)撛陔[匿及意外攻擊所導(dǎo)致的高昂代價(jià)。
