SD-WAN產(chǎn)品已經(jīng)上市五年多了。該技術(shù)的早期采用者主要關(guān)注與傳輸相關(guān)的問題,如用寬帶替換或增加MPLS����。隨著技術(shù)的成熟并超越早期采用者階段�����,購買標準也會發(fā)生變化——SD-WAN也不例外�。
2018年,ZK Research的一項調(diào)查要求受訪者對SD-WAN的購買標準進行排名����,安全性排在首位,遠遠領(lǐng)先于技術(shù)創(chuàng)新和價格��。(注:該問原作者為ZK Research的員工�。)為了更好地理解這一趨勢以及這對網(wǎng)絡專業(yè)人士意味著什么,我采訪了Fortinet負責產(chǎn)品和解決方案的執(zhí)行副總裁約翰·麥迪森(John Maddison)����,他制定了公司的產(chǎn)品戰(zhàn)略,使他精通SD-WAN和安全����。
SD-WAN的現(xiàn)狀如何?
John Maddison:隨著數(shù)字技術(shù)的發(fā)展��,很明顯�,傳統(tǒng)的分支機構(gòu)之間的聯(lián)系已經(jīng)不能滿足當今企業(yè)所需要的復雜連接�����。就像一條分開的隧道一樣簡單����,一個分支機構(gòu)與公司總部之間有專門的連接,而與互聯(lián)網(wǎng)的實時連接可能會破壞整個組織的安全���。
SD-WAN提供類似支持先進的業(yè)務應用,移動的能力對延遲敏感的數(shù)據(jù),如聲音或視頻到可靠,高速鏈接,并結(jié)合多個連接在一起,如核心網(wǎng)絡的鏈接,連接到多重云網(wǎng)絡和服務,和生活連接到互聯(lián)網(wǎng)和移動設備——成為一個完整的軟件包�����。
Fortinet執(zhí)行副總裁John Maddison
我們看到組織所面臨的最大挑戰(zhàn)是試圖將一致的安全框架應用到這個新環(huán)境中。它不僅需要保護主要的SD-WAN連接��,而且還需要集成到部署在其他地方的任何安全解決方案中�,比如在云中或遠程網(wǎng)絡中。這允許組織實現(xiàn)單一的安全策略�,包括應用程序保護�、web過濾�、沙箱、網(wǎng)絡訪問控制���、SSL檢查���,以及諸如NGFW、IPS和VPN等解決方案���,從而保護應用程序�����、工作流和動態(tài)數(shù)據(jù)�����。
隨著從早期采用者到主流用戶的轉(zhuǎn)變����,市場會發(fā)生怎樣的變化?
SD-WAN的初始浪潮主要以傳輸為中心����。它的主要驅(qū)動因素是從MPLS轉(zhuǎn)向MPLS和寬帶的組合�,以便采用新的應用程序和服務以支持數(shù)字業(yè)務需求方面具有更大的靈活性�。然而,由于企業(yè)在生產(chǎn)中使用了SD-WAN�����,因此更加關(guān)注安全性��。分支機構(gòu)不可能成為當今互聯(lián)分布式網(wǎng)絡模式下新的薄弱環(huán)節(jié)��。將SD-WAN擴展到LAN��,并使用SD-Branch重新定義整個分支���,從而提供一致的安全性���、統(tǒng)一的策略和統(tǒng)一的管理,也引起了越來越多的興趣���。
既然安全是SD-WAN的核心要求,那么又帶來了哪些新的挑戰(zhàn)呢?
最大的挑戰(zhàn)是傳統(tǒng)的安全解決方案已經(jīng)不再適用��。傳統(tǒng)安全解決方案不具備SD-WAN連接所需的性能、靈活性或互連性���。更有挑戰(zhàn)性的是����,他們經(jīng)??床坏竭吘夁B接。這就是為什么我們一直在開發(fā)基于意圖的細分��。這種策略可以基于許多參數(shù)隔離用戶����、應用程序、工作流或數(shù)據(jù)�����,從而在整個事務路徑上提供安全性�。流量可以被強制遵循特定的行為,或者被隔離到特定的用戶或目的地�����,以確保始終一致的策略應用程序和執(zhí)行�����。
能否詳細介紹一下基于用戶和意圖的細分:它是什么,以及它能夠提供哪些好處?
當用戶啟動或接收交易時�,它需要通過公共網(wǎng)絡進行傳輸。傳統(tǒng)的安全工具可以加強連接����,檢查流量,識別惡意軟件以及防止流量劫持�,但這通常是不夠的?��?紤]到流量的增長和其他設備在這些相同連接上的密度�����,很容易失去對流量的跟蹤�。
隔離用戶����、應用程序或工作流,允許組織查看和控制可與該連接交互的設備���,使犯罪分子和內(nèi)部人員更難截獲�����,竊取或損壞該數(shù)據(jù)�����,并有助于確保管理數(shù)據(jù)和資源����,當他們跨越日益擴大的互聯(lián)生態(tài)系統(tǒng)網(wǎng)絡時獲得保障�。基于意圖的分段是基于業(yè)務目標和所需安全流程的意圖智能地分割I(lǐng)T資產(chǎn)����,具有細粒度訪問控制,以防止在網(wǎng)絡中傳播的橫向威脅的擴散�。
這可以防范哪些威脅?
基于意圖的分段可以防范各種各樣的安全問題,包括內(nèi)部威脅�����,甚至可能已經(jīng)感染網(wǎng)絡其他部分的惡意軟件溢出����?����;谝鈭D的分段可確?��?焖贆z測到滲入網(wǎng)絡的網(wǎng)絡罪犯,以防止安全威脅的橫向傳播��。
安全團隊面臨的挑戰(zhàn)之一是:他們已經(jīng)被太多的安全工具所淹沒����,這不會加劇這個問題嗎?
真正的問題是嘗試使用從未為此設計的工具來保護分布式網(wǎng)絡。往往會發(fā)生的是���,安全性僅應用于網(wǎng)關(guān)����,這會降低對網(wǎng)絡的深入可見性��,或者為網(wǎng)絡的不同部分選擇和部署不同的工具�。IT團隊很快就會被安全蔓延所淹沒,因此�����,工具不會得到更新或優(yōu)化,或者執(zhí)行不一致�����。
我們需要的是一個單一的安全平臺��,無論在何處部署安全解決方案���,都可以提供一致的策略實施,然后使用統(tǒng)一的管理和編排控制臺進行管理����。核心,云端和分支機構(gòu)的安全性需要像單個整體系統(tǒng)一樣進行部署�����,實施��,管理和優(yōu)化�����。當然�,這說起來容易做起來難��。例如�,不同云環(huán)境中的本機控件可能會有很大差異����。安全解決方案需要根據(jù)其應用和管理的能力進行仔細選擇,無論其部署位置如何�����。
關(guān)于SD-WAN���,您還有什么其他建議想告訴我們的讀者嗎?
考慮使用SD-WAN解決方案的組織所面臨的最大挑戰(zhàn)之一是如何應對所有的市場宣傳��。新平臺往往沒有很好的定義���,導致供應商的解決方案可能彼此非常不同。安全性是一個特別具有挑戰(zhàn)性的問題����,因為它最近被確定為部署SD-WAN策略的組織最關(guān)注的問題之一。
在目前提供SD-WAN解決方案的60多家供應商中�,很少有提供所有類型的集成安全策略。雖然大多數(shù)都提供基本的VPN連接和一些簡單的有狀態(tài)安全��,但它們并不能解決當今數(shù)字企業(yè)所面臨的大多數(shù)安全問題。相反����,它們依賴其他供應商提供諸如入侵預防、下一代防火墻�、web過濾、惡意軟件分析�����、SSL和IPSec檢查和沙箱等功能�����。
但考慮到目前的安全技能差距��,這可能是一場等待發(fā)生的災難�����。通過公共網(wǎng)絡將高級安全部署到下一代分支機構(gòu)并非易事����。僅部署�����、配置和優(yōu)化就會產(chǎn)生許多組織沒有資源管理的人員和財務開銷。但是其中的任何漏洞都可能使SD-WAN連接容易受到攻擊�。
相反,組織應該通過將簡單的���、集成的安全性和SD-WAN解決方案綁定到單個平臺來尋找滿足資源約束的解決方案����。
微信掃一掃
