下一个网络挑战:保护SD-WAN

日期: 2018-11-27 作者:Christian Annesley翻译:邹铮 来源:TechTarget中国 英文

随着软件定义的广域网(SD-WAN)逐渐成为企业主流,这项技术越来越为人所熟知,尽管仍然存在大量令人眼花缭乱的网络设置。

但在这方面,当企业通过多协议标签交换(MPLS)电路从传统的分支机构-数据中心连接过渡到直接互联网接入和SD-WAN技术时,可能出现的基本问题是如何应对安全风险。特别是需要能够了解所有遍布互联网的服务相互关系。

Alexander Anoufriev是网络智能云平台ThousandEyes的首席信息安全官。他表示,SD-WAN部署经常被视为一种简单的方法,可消除互联网传输固有的不可预测性,因为它使用指标(如整体延迟性)来执行定义的策略。

Anoufriev 称:“虽然这些指标给予SD-WAN一定程度的’互联网感知’并使其能够根据路径性能做出决策,但重要的是要提醒我们自己,SD-WAN并没有在控制互联网,如果出现问题,SD-WAN还是无法告诉你问题是什么或由谁负责。

“它无法告诉你上游ISP是否正在丢数据包,或者边界网关协议(BGP)劫持是否会使您的用户面临风险。它甚至不能告知你的表现是否符合地区规范。”

除此之外,还要记住所有需要连接到应用程序和服务的外部依赖项,这些包括BGP路由、各种互联网服务提供商(ISP)、DNS服务、云安全代理、内容交付网络(CDN)、DDoS保护器等。因此,你需要查看网络路径中的每一跳,以及详细的丢失、延迟和抖动指标。

Anoufriev说:“依靠SD-WAN作为唯一的互联网可视性来源,就像依靠太阳镜作为您唯一的防晒工具。你只有有限的覆盖范围,而且这无疑会影响你的视觉。如果你不在数据中心的庇佑下或分支办公室不受保护,那么你就可能遭受严重‘晒伤’。“

SD-WAN即服务

我们可能会认为,在网络安全云平台工作的Anoufriev会强调持续监控SD-WAN的需要,但很明显他说的正确的是,很多版本的SD-WAN似乎都有一定数量的SD-WAN安全条款。

Jan Hein Bakkers是IDC分析公司的网络研究经理,他表示不应忽视分散市场的不成熟性。

他指出:“这个市场有很多产品、主张和参与者-来自不同电信公司、SD-WAN初创公司、进军该领域的网络公司的DIY托管服务,他们的服务完全不一样,现在还没有SD-WAN标准。

“事实上,我甚至会说这个领域根本不存在互操作性和标准化。企业需要了解这一点,并想清楚当他们做出选择时他们追求的目标是什么。因为这些产品都采用不同的方式解决网络可靠性、性能和带宽这些熟悉的问题。”

因此,企业需要在SD-WAN市场中作出自己的选择,当然,这将会或应该关联企业CISO或CIO采取的安全方法。

安全主张

我们也应该认识到,SD-WAN市场的某些部分正在关注安全主张,并且正在有效地销售安全的SD-WAN即服务。而这种安全推动力是基于,云服务增长给网络带来复杂性,从而需要安全相关的响应来保护互联网流量。

Cato Networks、Zscaler、VMware的VeloCloud和思科等供应商的SD-WAN都提供了某种形式的安全主张版本产品,对于网络卖家来说,这种产品可很好地提供直接替代方案,以解决棘手的问题。

例如,Zscaler的主张仍然需要SD-WAN合作伙伴,但该公司是通过为分支机构实现安全本地互联网突围,使得企业可轻松从辐射式架构迁移到云架构。

Zscaler公司表示:“简单地将互联网流量路由到Zscaler,便会立即开始检查所有流量-所有端口和协议,包括SSL。你可从单个控制台为所有区域定义并立即部署访问和安全策略。”

另一方面,Cato Networks公司认为SD-WAN将互联网传输引入MPLS广域网可在分支机构扩展容量并减少互联网流量,但不能满足访问互联网和云资源的网络安全要求。

该公司更安全的主张是“构建一个完全融合的全球SD-WAN作为云服务提供,其中内置网络安全性”。

“SD-WAN边缘设备支持网络基础设施和核心功能,例如基于策略的路由和传输无关覆盖,这可解决传统SD-WAN的问题。”

有些复杂

然而,大多数CISO都应该这样提醒自己:这些端到端的嵌入式安全云端SD-WAN产品只是整体方案的一部分。

4G网络业务Cradlepoint公司产品营销副总裁Donna Johnson表示:“SD-WAN不好之处在于供应商过度吹嘘SD-WAN的简单性。

“对某些人来说可能确实很简单,但这里还有很多值得思考的问题,并且,很多公司甚至不是很理解其中的应用程序。对于更传统的SD-WAN部署,这是重要的事情。”

在安全性方面,Johnson指出SD-WAN项目应始终由网络和安全职能共同协调完成。

“例如,你可能会发现防火墙规则阻碍着SD-WAN,但很多公司甚至不了解他们的路由器设置,而且这可能会在未来几年的网络变化中变得非常复杂。”

保护网络安全

对于考虑部署SD-WAN的企业而言,还需要考虑哪些其他方面的SD-WAN安全问题呢?

Paul Dawes是Mode公司的首席执行官,该公司在SD-WAN市场提供特定产品-为像Microsoft Azure这样的运营商级网络提供“全球覆盖”,以确保高性能的云专用网络。他表示,首先必须决定SD-WAN主张是什么类型。

“你是否会选择更传统的网络部署,包含防火墙和网关,而又有软件能够提供更高级别的控制和战略可见性,还是选择Zscaler等供应商提供的外包模式?这是众多选择中的两个选项,但重点是它们在架构方面完全不同,在新WAN的交付和安全所需的关注度也不同。”

Mode本身专注于网络的中间位置,Dawes表示其产品在该领域的安全性方面非常重要,因为它提供了第三种方式:专有核心骨干网络,这可以替代MPLS和互联网,提供加密和服务质量。

“对于安全和网络架构,重要问题是,你是否可以提供端到端的流量加密?您的密钥是否暴露在其他地方?在加密方面,你必须能够信任运营商。”

对安全的态度也会因环境而有很大差异。在真正大型的企业(或者是在高度监管领域的公司),通常会有CISO进行安全审计并以系统的方式询问漏洞,包括解密流量,而在很多企业都不会有这种详细的审查。

前面我们已经谈论了足够多的理论,下面让我们看看在实践中部署SD-WAN的几家公司。

SD-WAN和全球律师事务所

Mode一直在协助一家跨国大型律师事务所进行SD-WAN部署。该公司拥有先进的文档管理系统、高计费人员和要求苛刻的客户,该公司需要一个可靠的安全的网络来匹配其规模,并且需要具有15Gbps主干网和端到端加密。

Dawes称:“对于部署SD-WAN,他们的质量标准不会改变。在这种情况下,该公司排除了基于云的SD-WAN安全选项,因为在这些环境中的加密方式不太适合他们的需求,因为数据会在另一个基础设施中被解密。”

最终该公司选择Mode的专有骨干网与SD-WAN相结合。

“他们的CISO了解我们的专有核心服务可加快速度。我们必须展示我们如何处理DDoS或受影响的POP [存在点],但SD-WAN和专有核心结合意味着,对于公司而言,即使在最坏的情况下,流量也只是通过互联网路由。”

与大多数SD-WAN部署一样,分阶段部署也是确保安全的重要部分,即在广泛部署前先试点运行。

Dawes称:“SD-WAN的好处之一是它的编排方式意味着你可以选择性地部署变更,这对于大型企业来说至关重要,并且,随着时间的推移,还可以动态管理带宽增加。”

Everyday Loans如何部署SD-WAN

另一位正在展开SD-WAN和安全之旅的是Tony Sheehan,他是英国不良信贷贷款提供商Everyday Loans的技术和基础设施经理。

Sheehan说:“该公司已有12年历史,并且是Citrix用户,除总部外,还设有40个分支机构。该公司部署SD-WAN的动力是可靠性以及对更多带宽的需求,即使我们在分支机构中的需求不是那么高,因为每个分支机构只有少数用户。”

在过去,该公司使用的是MPLS而不是EFM铜线,其中应用程序从中央数据中心提供。在大约18个月前,当该公司考虑升级时,而Cato Networks公司基于云的SD-WAN是不错的选择。

“我们的业务非常简单,我们想要简单的部署。我们也没有其他安全问题。我们是Citrix用户,并且,易于部署而不需要大笔投资的解决方案对我们非常有吸引力。IT网络集成商LAN3在部署中为我们提供了支持,使其变得简单。

Sheehan称:“Everyday Loans的位置在城镇中心,理论上最可靠的选择是光纤,但并没有普遍可用性。

“我们的铜缆连接可满足我们的需求,由4G路由器支持,并由Cato通过其Cato Socket SD-WAN设备为Cato Cloud提供安全通道。云数据中心通过从Cato Cloud到VPN网关的通道集成,这是无代理的。”

当谈到安全性时,Sheehan表示,互联网可能会增加分支机构的安全风险,但Cato的服务(例如防火墙即服务和其他安全产品)为我们提供了所需的保护。

他指出:“我们以前的安全性非常传统,一切都回到数据中心,并在网络外围执行严密控制。但这样仍然面临风险,而SD-WAN部署引入了Cato服务可覆盖的不同参数。”

现在,分支机构正在使用Web界面、Office365和其他云应用程序,通过专有链接返回数据中心或使用受到保护的互联网突围。

Sheehan称:“我们已经从中心辐射架构转变为具有单一管理界面的多突围网络。尽管现在还处于相对早期阶段,但目前运作良好。我们已经开始进行安全审计,以建立新的基线以及了解我们需要完全理解的新风险–随着我们越来越多地拥抱云计算。我们也开始使用分析来跟踪我们的连接可靠性。

对于加密,他表示他信任Cato在端点间的加密,以及根据浏览器请求提供站点到站点标准通道和互联网突围。

“到目前为止,我真的很高兴。我们不是一家金融科技公司,而是一家相当传统的金融服务公司,所以对于我们来说,拥有一个易于管理的基础设施仍然是关键。

“我们不希望雇用一个管理团队来运行100点网络,简单的管理和部署就已足够。当然,基于此,更好地利用新的网络分析功能也在我的待办事项列表中。”

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

翻译

邹铮
邹铮

相关推荐