9月28日,黑客利用Facebook的安全漏洞窃取了与用户资料相关的安全令牌,导致近50亿用户账户被盗受到损害;10月9日,谷歌宣布关闭其社交网站Google+的消费者版,因为Google+两年多来一直存在软件漏洞,可能将多达50万用户的数据暴露给外部开发者。从全球组织的大规模数据泄露到爆炸性的勒索软件攻击,安全对企业的重要性怎么强调都不为过。如今,软件定义广域网(SD-WAN)大火,SD-WAN也成为黑客利用的新威胁向量。过去,集中访问和数据中心处理确保了互联网访问的安全性。然而,SD-WAN的出现和向混合连接的转变使一些分支机构容易受到新一波复杂攻击的攻击。SD-WAN无意中创建了新的攻击面,利用直接互联网访问并促进勒索软件、APT、病毒蠕虫和其他恶意软件。安全观念的转变许多公司在采用SD-WAN时并未过多考虑安全性。SD-WAN项目通常由网络运营团队实施,但太多公司过于专注于SD-WAN的好处,以至于他们完全忘记了安全性。部分问题源于供应商没有将适当的安全措施集成到他们的解决方案中。目前市场上的大多数SD-WAN解决方案提供商,几乎都只支持IPSecVPN和基本的状态安全,这不足以保护企业面对不断演变的网络攻击。因此,企业在部署SD-WAN后,必须增加额外的安全防护。1.困境:安全问题应该是首要考虑的。没有安全意识的SD-WAN供应商不仅会通过运行不安全的解决方案使企业面临风险,还会将传统安全措施强加于复杂的SD-WAN部署。工具方法还增加了不必要的复杂性和开销,推高了维护SD-WAN的总体成本。SD-WAN在这些领域通常容易出现安全问题:设备漏洞:当我们从单一或有限集中管理的安全互联网网关迁移到一组分布式网络时,SD-WAN和互联网增加了物理访问设备的风险。使用非标准Internet网关时,攻击面会增加。特别是当分支机构直接连接到Internet时。SD-WAN设备是全网状的,这意味着攻击者有可能通过单个设备查看整个公司的流量。通过直接访问互联网,攻击者更有可能在未被发现的情况下窃取数据。分支机构威胁:由于多云基础设施的扩展、SaaS应用数量的快速增加以及日益碎片化的移动世界,网络管理的复杂性不断增加,这是分支机构管理网络安全面临的最大挑战。传统的分支机构连接架构依赖昂贵的路由设备和专用WAN电路将流量回传到位于公司总部或数据中心的集中式防火墙,然后再到达Internet。通过Internet直接访问应用程序成本低廉,但不提供企业级应用程序性能,并且使网络容易受到攻击。2、破局之道:SD-WAN如何增强安全功能然而,企业可以通过将检查和执行点从数据中心迁移到分支机构或云端来应对这一新的安全挑战。安全管理员需要评估他们是否需要一个“不仅仅包括加密和一般状态防火墙服务”的新安全层。之后,安全管理员需要检查分支机构或云环境中的其他风险因素,以帮助他们确定他们实际需要的安全层。SD-WAN支持应用程序或组织级别的端到端加密和分段,提供嵌入式安全机制。但不少SD-WAN供应商不提供全面的企业级安全解决方案。企业可以从多种方法中进行选择:将高级安全性集成到SD-WAN解决方案中。第三方SaaS解决方案。来自现有或新供应商的基于设备的内部解决方案。每种方法都有其自身的优点和注意事项。一些供应商还提供状态防火墙,目前许多路由器都支持这种通用服务。市场上的大多数SD-WAN仍然缺乏对下一代和安全网关(UTM)功能的支持。1.将安全融入SD-WAN优势:分支机构的集成安全解决方案可以将SD-WAN带入分支机构连接演进的下一阶段,还可以启用多种交付方式。此类解决方案支持单一供应商、更简单的管理、内部流量保护以及智能流量管理和转向。借此,企业将能够获得更强的安全防护性能,而不再需要应对额外的堆栈或设备。SD-WAN和内置安全性还为所有事件关联提供单一管理平台,例如用户、应用程序、设备、位置和网络。缺点:安全级别可能不如传统的“纵深防御”解决方案那么“深入”,通常需要依赖多个供应商来覆盖安全基础设施的所有层,而不是简单地“一个规模”适合所有人”。2、第三方软件即服务(SaaS)解决方案的优势:第三方SaaS解决方案可以有效减少管理上的麻烦,其消费模式的特点是轻量级,甚至不需要任何现场部署根本。在实施和管理方面更加敏捷易用。SaaS安全解决方案可以插入新的数据保护检查,以防止代价高昂的隐秘和意外攻击。缺点:它的大部分服务只识别基于HTTP的流量,这意味着企业无法确定如何处理其他流量。此外,这些服务还可能缺乏通过替代协议检测传入威胁媒介的能力。而从管理的角度来看,SaaS解决方案将管理界面与接触点分离,给管理员带来了额外的步骤,这意味着操作会更加复杂,所需时间也会相应增加。3.部署现有或新的供应商优势:许多企业依靠经过认证的现有供应商提供基于内部设备的保护解决方案。这种方式的好处是企业对相关产品非常熟悉:这些解决方案长期驻留在内部环境中,安全管理员可以自己打理和熟悉这些产品。由于这些产品使用寿命长,内部保护方案可以长期存在于分支机构的基础设施中,具有一定的有效性。缺点:从采购和运营的角度来看,专用设备类型的解决方案很可能带来高昂的成本。由于其复杂性,需要大量的人力去实施,需要更多的资源来管理其在企业整体环境中的运行。每个分支中的多个数据密集型设备进一步使此类问题复杂化。这种复杂性会产生潜在的集成和/或互操作性问题,从而严重阻碍生产力。此外,相当多的设备之间没有单一的事件关联点,这会导致一些威胁和其他异常活动通过设备之间的“缝隙”潜入企业。3、“兵器谱”:SD-WAN安全产品盘点SD-WAN市场竞争激烈,目前已有数十家供应商。SD-WAN的一个关键卖点是它能够使企业利用低成本互联网作为安全的企业级链接。网络安全是SD-WAN技术的一个关键区别,每个供应商都应该有自己独特的方法来保护流量和识别“安全”站点。几乎所有SD-WAN供应商现在都将基本防火墙功能作为标准产品功能。他们使用数据包识别来了解流量,例如,通过识别流量的来源或去向以及它是可信服务还是基于云的服务。此外,SD-WAN厂商提供的产品还包括内容过滤、端点识别与管理、策略执行等功能。他们的产品可分为以下四种。1.具有基本防火墙功能的SD-WAN设备许多SD-WAN供应商在其SD-WAN设备中提供基本的防火墙功能。这些防火墙大致相当于您在分支机构路由器中看到的状态防火墙。功能包括基于策略的过滤和基于端口或IP地址的阻止应用程序。关于具有基本防火墙功能的SD-WAN产品,这里列出了Cisco(Viptela)、SilverPeak、Velocloud。思科(Viptela)今年8月宣布,它已经能够将ViptelaSD-WAN软件集成到IOSXE中。思科正试图通过将防火墙、入侵防御和URL过滤集成到Viptela中来加强其SD-WAN安全性。安全可扩展网络(SEN)是Viptela的SD-WAN解决方案,由五个关键架构元素组成,可实现传输独立性,自动保护任何路由端点,提供端到端网络分段,并使用集中控制器执行策略,启用网络服务广告,SEN可提供安全的端到端网络虚拟化,被企业用于构建大规模网络,全面集成路由、安全、集中策略和编排。今年6月,SilverPeak的UnityEdgeConnect推出了分段和安全服务链SD-WAN解决方案。这些新功能使分布式企业能够将用户、应用程序和WAN服务集中划分到安全区域,并根据预定义的安全策略、监管要求和业务意图自动控制跨LAN和WAN的应用程序流量。对于拥有多供应商安全架构的企业,EdgeConnect现在可以提供与下一代安全基础设施和服务的无缝拖放服务链接。VeloCloud的VMwareNSXSD-WAN具有独特的灵活架构,可保护通过数据中心的以云为目标的流量,并可用于托管安全设施、VPN端点,或插入其他服务,包括防火墙和基于云的安全(例如Z缩放器)。NSXSD-WANEdge支持的VNF功能还允许在分支机构中插入安全服务。2.带高级防火墙的SD-WAN设备一个基本的状态防火墙可能足以作为连接到特定SaaSIP的第1阶段连接,但不适用于更广泛的互联网访问。为此,一些供应商已将NGFW功能添加到他们的SD-WAN设备中。早在SD-WAN术语被创造之前,OpenSystems就开始提供SD-WAN相关服务,他们的解决方案提供安全即服务,他们的完全托管服务在其边缘设备上提供完整的安全堆栈和云管理。OpenSystems声称将其第三方服务重新打包为托管安全SD-WAN设备的一部分。其任务是控制网络安全服务,包括分布式企业级防火墙;CASB,端点检测和响应,网络安全监控;分布式网络入侵防御和WiFi安全。VersaNetworks的SD-WAN增强了分支机构保护,其SD-WAN安全解决方案提供基于软件的安全功能,包括有状态和下一代防火墙、恶意软件保护、URL和内容过滤、IPS和防病毒、DDoS和VPN/下一代VPN。VersaNetworks声称其SD-Branch解决方案提供了一套完整的集成网络(路由、SD-WAN、以太网、Wi-Fi)和安全(NG防火墙、安全Web网关、AV、IPS)功能。虚拟客户端设备(vCPE)也可以运行第三方VNF。3.具有SD-WAN功能的防火墙设备同时,一些安全厂商已经宣布他们的NGFW设备提供SD-WAN功能。根据Gartner的报告,这些供应商包括Barracuda、Fortinet和CiscoMeraki。BarracudaCloudGen防火墙为每个分支机构提供可扩展的集中管理、本地安全实施以及高级上行链路智能和QoS的独特组合。这可以通过直接VPN隧道实现直接互联网突破,从而在每个分支机构实现云部署和应用程序。BarracudaCloudGen防火墙包括WAN压缩和重复数据删除、故障转移和链路平衡、动态带宽和延迟检测、跨VPN隧道的多个传输的自适应会话平衡、自适应带宽预留等。Fortinet是一家提供原生SD-WAN和集成高级威胁防护的NGFW供应商。FortinetSD-WAN具有内置并集成到FortiGate下一代防火墙中的高级SD-WAN功能,使分支机构能够通过使用URL过滤、IPS、防病毒和沙箱检测恶意软件攻击来检查SSL流量中是否存在恶意软件。FortiGateSD-WAN将单独的WAN路由器、WAN优化和安全设备替换为单一应用程序感知解决方案,提供自动WAN路径控制和多频段支持。它提高了应用程序性能,降低了WAN运营成本并最大限度地降低了管理复杂性。CiscoMerakiMX是一种企业安全和SD-WAN设备,专为需要远程管理的分布式部署而设计。该设备配备了SD-WAN功能,使管理员能够最大限度地提高网络弹性和带宽效率。该设备提供内容过滤和威胁防护、防火墙和流量整形、NAT和端口转发等安全功能,使用站点到站点VPN、组策略和黑名单在CiscoMeraki设备和其他非Meraki端点之间创建安全加密隧道.使用支持SD-WAN的防火墙设备,安全性远远优于SD-WAN设备中包含的基本防火墙。但是,组织仍然受到设备限制的限制。更重要的是,虽然其中许多设备在纸面上看起来很棒,但它们缺乏经验丰富的SD-WAN产品的成熟度。4.安全的SD-WAN即服务相反,一些供应商正在通过转移SD-WAN和某些安全功能来减少设备数量。CatoNetworks是这种方法的最好例子,它提供完全集成的安全和SD-WAN服务。CatoCloud融合了网络和安全性,通过基于策略的路由、SLA支持的全球骨干网、企业级网络安全性以及云和移动支持扩展WAN。Cato旨在将所有企业资源连接到WAN,包括物理位置、云资源以及固定和移动用户。借助Cato,网络和安全功能可以在任何地方和所有资源中使用,而无需引入单点解决方案。其他服务是作为服务方法的一部分的安全SD-WAN。例如,Aryaka通过其SD-WAN服务提供基本的防火墙功能,但无法提供L4到L7控制,如NGFW、IPS、URL过滤和防病毒。BigleafNetworks也是如此。Aryaka与Radware合作,通过获得专利的基于行为的检测提供DDoS保护。在网络边缘提供边界安全解决方案,并将其构建到SD-WAN设备[ANAP]中。Aryaka的SD-WAN安全平台PASSPORT提供多层深度防御安全性,Aryaka提供虚拟状态防火墙作为其SD-WAN的一部分,并提供简化的插件模型以防止数据包丢失和延迟在公共互联网上很常见。4.SD-WAN安全:期待什么为了实现更高标准的安全性能,分支机构和WAN连接解决方??案的某些功能不能受到影响。例如,组织应该需要状态防火墙和应用程序防火墙,以及动态IPSec隧道和站点到站点配对。安全功能还应包括安全密钥管理和动态密钥更新,以及恶意软件和x-ware在线检测和保护。当然,自然也应该包括防病毒和DDoS保护和检测等标准安全功能。安全的SD-WAN的好处是毋庸置疑的,为了在当今的安全环境中有效运行,SD-WAN安全不应是事后的想法。相反,组织需要改变范式,使安全成为SD-WAN结构的固有部分,确保它成为企业综合安全基础设施的强大、关键和必要的支柱之一。
