数字化转型不仅仅是将工作流程迁移到云端并采用IoT,而是重构整个网络的工具,使整个网络更快,更高效,更灵活,更具成本效益。也就是说,数字化转型还意味着应用敏捷软件和应用程序开发、重新思考访问和登录,以及创建动态自适应网络环境。软件定义广域网(SD-WAN)可以将数字化转型的好处延伸到分支机构,因此是很多企业的首选。无论员工位于何处,无论是在数据中心、多云部署还是网络上的任何地方,他们都可以即时访问分布式资源,而无需严格的实施要求和传统多协议标签交换(MPLS)的昂贵开销连接。常见的SD-WAN安全错误然而,许多公司在没有仔细考虑安全问题的情况下采用SD-WAN。SD-WAN项目通常由网络运营团队实施,但太多公司过于专注于SD-WAN的好处,以至于他们完全忘记了安全性。部分问题源于供应商没有将适当的安全措施集成到他们的解决方案中。目前有超过60家SD-WAN解决方案提供商,几乎都只支持IPSecVPN和基本的状态安全,这不足以保护企业面对不断演变的网络攻击。因此,组织必须在部署SD-WAN后添加额外的有效安全层。供应商的疏忽不仅通过运行其不安全的解决方案使组织面临风险,而且在复杂的SD-WAN部署上强加传统安全工具会增加不必要的复杂性和开销,从而导致SD-WAN的维护WAN的总体成本上升。SD-WAN基本安全需求为了解决这些问题,SD-WAN解决方案至少应该包括以下四种基本安全策略:1.需要原生NGFW保护首先,企业必须选择内置下一代的SD-WAN防火墙(NGFW)安全。广域网解决方案。作为SD-WAN部署的一项集成功能,这种先进的安全技术可确保在整个SD-WAN中进行一致的检查、检测和保护,无论是在分支机构、云端还是数据中心。同时,NGFW可以为本地工作流、数据和应用程序提供保护,即使SD-WAN发生变化以适应网络需求;大多数传统安全解决方案都难以提供的功能。当然,并非所有的安全解决方案都是生而平等的,所以如果集成的NGFW安全解决方案能够由第三方验证其安全有效性就更好了。2.集成很重要没有人愿意部署单独的安全解决方案。保护当今的分布式数字网络已经足够复杂,分散的可见性和每台设备的策略编排只会使它进一步复杂化。因此,要确保的第二件事是为SD-WAN部署选择的安全策略无缝集成到现有的安全架构中。选择适合现有安全框架的解决方案可以通过提供网络安全可见性、集中管理控制以及威胁情报共享和关联,为公司带来更强大的安全态势。3.SD-WAN流量必须加密用宽带连接取代MPLS的问题在于公共互联网通常不可靠,这可能会给需要即时访问资源和数据的数字公司和用户带来严重问题。而且,近90%的企业都采用了多云策略,每个云都需要独立的连接。因此,大多数部署SD-WAN的公司使用多个宽带连接将分支机构连接到核心网络并访问每个云实例。然而,每一个这样的连接也扩大了公司的潜在攻击面。此外,为了提高员工协作效率,企业倾向于部署基于云的软件即服务(SaaS)应用程序,例如Office365和Salesforce。这些连接通常包含需要保护的关键信息。因此,任何SD-WAN解决方案都应该使用VPN为自身覆盖一层传输安全,并且这些VPN解决方案还提供非常高的性能和动态可扩展性。4.必须检查加密流量在以微秒衡量成功的数字商业环境中,安全连接显然是不够的。随着SSL(HTTPS)流量的增长,攻击者越来越多地将恶意软件隐藏在加密隧道中以逃避检测。不幸的是,大多数SD-WAN供应商提供的基本安全措施不包括SSL检查,或者即使包括SSL检查,功能性能也不尽如人意。这是企业在部署SD-WAN时最常犯的错误之一。困难之一是,即使安全团队确实将安全性嵌入到SD-WAN部署中,SSL检查也会降低市场上几乎所有传统NGFW解决方案的性能。事实上,绝大多数安全供应商甚至不公布他们的SSL检查性能指标。然而,在当今数字市场上竞争激烈的公司并不愿意为了安全而牺牲性能。因此,SSL检查要么随意实施,要么根本不实施。这就是为什么除了可扩展的VPN连接之外,关注第三方测试给出的SSL检查指标也很重要。我们必须选择同时满足性能要求和安全要求的解决方案。结论SD-WAN正迅速成为网络转型工作的基本组成部分,使组织能够在当今竞争激烈的数字市场中获得速度和效率优势。但随着威胁和恶意软件变得越来越复杂和普遍,我们必须增强传统MPLS连接的现有安全保护。为此,高级安全功能不仅应作为初始SD-WAN选择的考虑因素,还应尽可能彻底地集成到环境中,以更好地检测和预防当今日益高级的威胁。可选的高级安全功能包括原生NGFW、灵活且可扩展的VPN以及高性能SSL检查。要明智地选择这些解决方案,请转向在评估过程中包括安全性能和功能考虑因素的第三方测试。【本文为专栏作家“李少鹏”原创文章,转载请通过暗牛(微信♂id:gooann-sectv)获得授权】点此查看作者更多好文
