网络分段策略如何与SD-WAN配合使用

日期: 2020-10-11 作者:Teren Bryson翻译:邹铮 来源:TechTarget中国 英文

软件定义WAN(SD-WAN)引发人们重新开始关注网络分段和安全性。所有主要SD-WAN供应商都在其产品中提供某种形式的网络分段,并吹捧这项技术可解决安全性和路径隔离。

正确的网络分段策略需要企业非常了解他们的系统和目标。而SD-WAN供应商对网络分段有自己的定义,并没有哪个供应商具有全面的分段策略可完全解决你企业的分段需求。你可能需要考虑无数的分段考虑因素–从身份验证和授权到管理安全角色和策略,你必须深入研究。

传统分段技术很繁琐

传统上,网络团队在进行网络分段时,他们会使用各种工具在不同流程中创建路径隔离。你经常会看到各种标记路由方案或虚拟化路由实例,还有安全访问控制列表(ACL)。几乎所有方法都在2层网络到4层网络中的某处运行,并且大多数方法繁琐且需要大量劳动来部署和管理。

在过去,隔离并不依靠身份;而是基于IP地址的位置。这种方法在以前可行,当时一台机器运行一项服务或一名用户坐在一台端点设备前,但是这样的日子已经过去。现在,我们在一个端点具有多个服务,并且服务可以动态移动或扩展以应对各种情况。严格基于IP地址进行隔离已不再足够或不可扩展。

曾经,安全性也很简单–基于身份或位置,并由ACL进行管理,ACL很快会变得繁琐–即使在很小数量的情况。强制执行计算机和应用程序安全性并没有更好。跟踪谁应该有权访问什么内容变成徒劳无益的练习,并且,安全访问优先级的错误也很常见。在这种情况下,新的分段方法应运而生。

网络分段和SD-WAN

在其核心,网络分段旨在防止进程横向遍历网络。换句话说,用户的文字处理器实例没有理由访问另一个用户系统上的数据库。同样,访问单个数据库的前端系统也无需与网络中的其他系统通信。好的分段策略可以将流程仅隔离到其需要访问的组件和系统。

对于网络分段策略,企业面临的困难是,如何在SD-WAN供应商提供的各种分段工具中做出选择。有些供应商采取以网络为中心的方法,依靠第3层和第4层的路径隔离和分段。有些则采用以应用程序为中心的方法,依靠第7层网络;其他则在不同网络层使用多项技术进行分段。但是,所有做法都有着相同的目标,那就是在系统和用户进程之间建立安全屏障。

现在,安全泄漏事故屡见不鲜,并以惊人的频率发生。因此,在选择任何SD-WAN产品时,安全控制应该是最重要的问题。仅仅静态地分断网络是不够的,好的SD-WAN平台必须几乎实时地审核和响应安全事件,同时减轻由数据泄露引起的任何损害。

其他重要的企业分段功能包括:

  • 自动化部署;
  • 支持路径隔离;
  • 访问和授权策略—理想情况下,使用专用机密保管库。

如果你需要将传统的非分段网络迁移到高度分段的网络,你需要对业务需求有深入的了解和扎实的知识。为了尝试新事物而进行分段并不是部署分段策略的好理由。没有哪个供应商提供完整的网络分段策略,企业网络团队只有通过了解其当前网络以及为什么要对其进行分段,才能选择正确的产品来完成网络分段。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

翻译

邹铮
邹铮

相关推荐

  • 网络专业人员分享Cisco DevNet认证建议

    IT专业人员一直在努力获取认证,以此证明其在特定领域的专业技能。而在网络世界中,思科认证可以说是最受认可和垂涎 […]

  • SaaS优化:网络管理员需要了解什么

    SaaS和IaaS是相当新的交付范式,其中软件位于云端,用户可从任何位置在任何给定时间访问软件。软件使用者不再 […]

  • 服务网格如何实现微服务网络

    服务网格是最新热门网络技术,它彻底改变了应用程序网络服务。服务网格旨在为容器上运行的微服务应用程序提供可靠通信 […]

  • 了解零信任-SDP关系

    对于零信任,你需要了解的第一件事情是,对于一个强大的概念来说,这个名称并不是很好。这里的重点不是:没有什么可信 […]