网络厂商根本无法涉足SD-WAN领域。一些SD-WAN解决方案只增加了状态数据包过滤功能,这被称为“安全”。SD-WAN诞生之初,市场上只有SD-WAN厂商“开荒”,但很快就暴露出短板——“安全”不到位。相比之下,安全厂商从一开始就强调安全的重要性。如今,安全供应商似乎倾向于提供具有普遍安全功能的SD-WAN功能。Gartner的WANEdgeInfrastructure魔力象限报告做出了重大预测,指出:“到2024年,随着云服务的日益普及,SD-WAN功能将用于分布式企业50%的新防火墙采购,而今天,这一比例是不到20%。”目前市场上Forcepoint、SonicWall、Barracuda等安全厂商都采用了Fortinet模型,为广域网边缘架构提供内置的安全能力,以支持分布式企业的大量使用。场景。引入安全集成SD-WAN解决方案显然,安全集成SD-WAN解决方案包括领先的下一代防火墙安全、SD-WAN、高级路由和WAN优化功能,以提供安全驱动的WAN边缘。它结合了SD-WAN的功能和安全特性。具有集成安全性的SD-WAN解决方案可以完全部署在分支机构和云端或混合环境中。对于不想完全采用云的企业,混合实施可能是更可行的选择。值得注意的是,据Gartner估计,Fortinet拥有超过21,000个SD-WAN客户。这个庞大的用户群证明了Fortinet的产品,特别是当强大的内置安全功能成为关键要求时。为网络增加安全性虽然安全公司很容易添加新的网络功能,但SD-WAN公司要添加高级安全功能(弥补20年的安全漏洞)要困难得多。我们可以大胆假设没有任何SD-WAN供应商会成为安全供应商。随着市场的发展,一些功能必须在适当的时候重新命名,例如与应用程序身份、加密、路径监控、路由协议和WAN链路负载平衡相关的功能。从根本上说,这些高级路由功能都不是SD-WAN的新功能或独有功能。它们不是一夜之间冒出来的,而是在SD-WAN市场形成之前就已经存在了。但是,在某些场景下,您可能必须在WAN上实现专有路由协议,这当然需要新设备。但在大多数情况下,网络边缘的综合防火墙就足够了。部署在WAN边缘的防火墙正在演变成能够提供SD-WAN功能的网络安全平台。网络防火墙魔力象限报告指出:“SMB多功能防火墙市场在2018年增长了10.1%,SD-WAN的采用是一个强大的推动力。”是时候了。防火墙基本上可以提供私有广域网、互联网和内部路由所需的所有路由协议,通常通过专用于路由的基础设施设备来实现。然而,这些功能正在被带有防火墙的边缘设备所取代。防火墙在网络中存在了几十年,除了安全职责外,还参与路由选择,常被用作广域网边缘设备,提供路由选择。传统安全设计的问题如何将安全与SD-WAN集成?常见的设计方法主要涉及多点安全解决方案的集成。让我们首先了解这样做的后果。1.复杂性点解决方案只能解决一个问题,必须广泛集成,因此它们通常以服务链的形式存在,必须环环相扣,紧密集成。由于必须不断添加解决方案,管理开销和复杂性可能会飙升,更不用说集成NOC和SOC团队的挑战了。而SD-WAN最初的卖点就是降低复杂性。如果我们看一下SD-WAN领域的安全性,它实际上增加了当今使用方式的复杂性。这就像一砖一瓦地盖房子,而不是简单地买房子。分析表明,很多SD-WAN只是简单地从其他厂商那里借用安全技术,然后“堆叠”起来卖给客户。2.相关成本使用分散在网络中的不同供应商的多点解决方案不仅成本高昂,而且价格从来都不是固定的。无论您使用多少,一些安全供应商可能会根据使用情况收费。那么,如何有效地规划使用多点解决方案呢?随着成本不断增加,安全专业人员可能被迫牺牲某些单点解决方案。我们知道这不是有效的风险管理策略。理想情况下,安全工作应该做好准备以防患于未然。这意味着威胁情报是关键,而许多SD-WAN供应商经常忽视这一点。从技术和成本角度来看,集成所有安全解决方案功能的能力都非常重要。这样,只有经验丰富的安全专家才能管理它。这就是将SD-WAN功能和高级安全性结合到一个集成综合平台中的原因。具有集成安全性的SD-WAN解决方案完美地做到了这一点,避免了更复杂的管理、许可问题以及更高的成本或不必要的服务链。SD-WAN的关键不是功能SD-WAN市场上有很多“功能痴迷症”。但现实是,“该功能并没有创造多少价值来支持市场细分。”事实上,SD-WAN的价值主张与功能无关。毕竟各个厂商在应用分类和路径选择上都做得很好。让我们来看看SD-WAN的真正价值主张。1.性能和可扩展性谈到SD-WAN,应用流量导向通常是最关心的问题,但如果没有可靠的TLS1.3深度检测,例如,如何准确识别并确保分支机构安全?不过,并没有多少人关注这一点。为此,我们需要定制的SD-WAN专用专用集成电路(ASIC),它可以为高度资源密集型的加密/解密和覆盖可扩展性提供强大的优势。使用IPSec时,系统需要进行大量的加密操作,会占用大量的CPU和RAM资源。相反,此任务可以由专用的SD-WANASIC接管,以减少每个通道的CPU和RAM消耗。通常,可扩展性上限为1,000或1,500。使用合适的ASIC,这个数字可以增加到100,000以上,一些大型中心站点可能会有用。此外,您可以在同一台设备上运行网络堆栈和安全堆栈,从而获得具有成本效益的解决方案。2.威胁情报的重要性下一代防火墙是许多SD-WAN供应商数据表中的标准配置,但威胁检测和威胁防御服务又如何呢?威胁情报(结合威胁研究)仍然处于许多SD-WAN解决方案缺席状态的最前沿。威胁形势在不断演变,安全解决方案也应与时俱进。核心威胁防护功能涵盖第4-7层,例如IPS、内容过滤、深度SSL检查和恶意软件防护。此外,我们还有一个威胁检测工具。今天,我们不能仅仅知道我们正在检测已知威胁就高枕无忧,我们还必须检测未知威胁。因此,拥有一套完整的预防和检测能力非常重要。有了这两个能力,我们就相当于拥有了一支由经验丰富的安全研究人员和分析师组成的团队。了解SD-WAN供应商是否拥有自己的威胁情报非常重要。为此,您不妨选择一家拥有安全公司血统的供应商。任何安全厂商的核心价值都在于他们的情报研究水平。这就是支持市场细分的原因,而不是SD-WAN功能。但是,您还应该确认这些供应商提出的功能已经过NSSLabs等第三方的验证。NSSLabs评估了安全供应商领先的SD-WAN产品的体验质量(QoE)、性能(WAN损伤和高可用性)、总拥有成本(TCO)以及VoIP和视频的安全结果。此外,我们还必须查看“提供防火墙的SD-WAN设备”更新最新威胁信息的频率,是一天几次还是一周几次?一些SD-WAN解决方案声称是具有集成安全性的SD-WAN供应商,但构建有效的安全防御需要强大的威胁情报团队。初创企业是否有足够的人力来做这件事?网络厂商根本无法涉足这一领域。一些SD-WAN只添加有状态数据包。这种过滤能力被称为“安全”。坦率地说,任何人都可以使用下一代防火墙。然而,功能的广度、它们提供的情报以及市场接受度可能会有所不同。只有做到这几点,下一代防火墙才能赢得分支机构的信任,才能确保企业的安全防线固若金汤。当您在寻找安全集成SD-WAN供应商合作伙伴时,请牢记这些问题,检查他们的安全业务历史,并评估他们是否拥有经验丰富的威胁情报团队。集成安全的SD-WAN解决方案正在成为市场的主要发展方向。行业分析和客户群体的觉醒对此产生了重大影响。人们不再将安全供应商与SD-WAN供应商混淆。最终,市场需要的是将安全集成到集成综合平台中的SD-WAN解决方案。原作者:MattConran,网络世界顾问、贡献者原标题:SecureSD-WAN:安全供应商及其SD-WAN产品原文链接:https://www.networkworld.com/article/3489480/secure-sd-wan-the-security-vendors-and-their-sd-wan-offerings.html
