别光看SD-WAN有多省钱,背后藏着很多安全问题

云视角

2019-09-09

科技云报道原创。

SD-WAN以成本低廉、创建灵活等优势正在快速崛起,蚕食着MPLS部分市场份额。尽管SD-WAN在技术领域和资本市场备受追捧,然而很多企业依然对于SD-WAN的安全性心存顾虑。

2019年,SD-WAN已经成为企业网络运营商和云服务商最热门的话题之一。据Gartner预测中,到2020年,SD-WAN设备销售额将达到12.4亿美元;此外,IDC也预测,到2021年复合年增长率将增长69%,达到80亿美元以上。

从长期来看,SD-WAN广阔的市场前景不容置疑,但是新兴技术的落地往往需要很长一段时间,技术概念的热捧与市场成熟度之间还要跨过很大的鸿沟。

对于新兴的SD-WAN市场而言,面临的早期挑战之一就是解决安全问题,其中包括客户对这种新服务产品安全性的看法。

据Gartner调查,“72%的受访者表示安全是他们使用广域网时最关心的问题,其次才是网络性能和成本。”

SD-WAN安全问题日益受到关注,很大程度上是由于网络互联下的跨业务应用程序和工作流程越来越多,从云端连接到远程终端用户和物联网设备,再到SD-WAN连接的分支机构,都可能成为薄弱环节,使整个企业面临威胁。

然而,目前市场上近百家SD-WAN供应商中,大多数仅支持状态防火墙和VPN等基本功能。基于如今所面临的网络安全挑战状况,这些并不足以保护企业免受网络攻击。

SD-WAN的基本安全要求

企业到底要使用什么样的安全策略,才能够安心享受SD-WAN带来的便利呢?为了应对日益复杂的安全挑战,以下是针对SD-WAN解决方案的四种安全策略:

1. 坚持原生NGFW保护

首先,企业必须选择具有内置NGFW安全性的SD-WAN解决方案。这种原生的安全性,可以在整个SD-WAN(从分支到云到核心)之间实现一致的检测和保护。

即使SD-WAN网络发生变化并适应不断变化的网络需求,这种SD-WAN解决方案中的原生安全功能,都可以像在本地一样保护业务数据和应用程序,动态的适应连接环境的变化。

2. 整合是基础

部署独立的安全解决方案,只会增加现有分布式网络本身已经很复杂的架构。因此,企业为SD-WAN部署选择的安全策略,应该轻松无缝地集成到现有的安全架构中。

通过提供透明的网络安全可视图,集中管理控制以及威胁情报共享和关联,将SD-WAN解决方案作为安全结构中一部分,能够为企业提供更强大的安全状态。

3. 必须加密SD-WAN流量

用宽带连接取代MPLS的挑战是,公共互联网通常不太可靠,这对于需要即时访问资源和数据的数字企业和用户来说,可能是一个严重的问题。

此外,近90%的组织都实施了多云战略,每个云都需要自己独立的连接。因此,大多数部署SD-WAN的企业使用多个宽带链路,将企业分支连接到核心网络以及多云中。然而,每一次连接都会扩展潜在的攻击面。

此外,企业正在越来越多地部署基于云的SaaS应用程序,以便员工能够以最高效率进行协作,这些连接通常可能包含需要保护的关键信息。

因此,使用VPN作为传输安全覆盖,就成为SD-WAN解决方案的必要组成部分。当然,通过VPN解决方案提供非常高的性能以及动态可扩展性,也是必不可少的。

4. 必须检查加密流量

在数字化的环境中,仅有安全连接是不够的。随着SSL(HTTPS)流量的增加,攻击者将恶意软件隐藏在加密隧道内以逃避检测。

不幸的是,大多数SD-WAN供应商只提供基本的安全性,并不提供SSL检测,或者提供的SSL检测不足以防御攻击,这是企业部署SD-WAN时最常见的错误。

其中有一个很大的挑战是,即使安全团队设法将安全性用于其SD-WAN部署,SSL检查也将削弱市场上几乎所有传统NGFW解决方案的性能,这在实际使用过程中将会抵消SD-WAN解决方案所带来的优势。

在如今激烈的商业竞争中,企业很少愿意牺牲性能,所以真正的SSL检查要么是随意应用,要么根本不应用。但是从企业安全角度来看,仔细检查由第三方权威机构授权的SSL证书,才能够确保SD-WAN的安全性要求。

总体而言,为了应对安全挑战,SD-WAN需要在解决方案中直接嵌入一套复杂的安全工具,包括NGFW,IPS,Web过滤,防病毒/反恶意软件,加密,沙箱以及加密数据的高速检测。

此外,这些安全工具需要与分布式网络中其他地方部署的安全工具无缝集成,无论是在主园区,还是远程和移动设备,以及已采用的每个不同云解决方案中。

来自SD-WAN与安全领域的机会

SD-WAN的巨大市场潜力,正在吸引来自不同领域的玩家入场,包括云服务提供商、网络安全和网络设备供应商等。

其中,网络安全供应商的进度似乎更为激进。451 Research的高级分析师Mike Fratto曾表示,“SD-WAN是一个巨大的市场机会,它将迫使路由器和防火墙供应商不得不作出反应,以免被替换掉。”

事实上,包括Fortinet,Watchguard和Barracuda在内的许多网络安全厂商,都在其硬件中增加了某种形式的SD-WAN功能。

Watchguard于2018年12月在其统一威胁管理(UTM)平台上增加了SD-WAN功能,包括零接触部署,安全VPN连接以及用于混合WAN环境的多个WAN连接。

去年7月,Fortinet将SD-WAN作为其下一代防火墙的一项功能,已经在该分支机构部署了硬件。Fortinet的网络安全产品和解决方案高级主管Nirav Shah表示,拥有网络堆栈是必需的。

Masergy(2016年),Barracuda(2018年)和Netsurion(2018年)也采取了类似行动。

值得注意的是,几乎每个SD-WAN供应商也都开始关注安全性。这包括供应商通过合作伙伴关系增加安全性,或者一些较大的供应商与其自己的现有安全产品集成,例如:

Citrix 添加了新的自动化安全功能,包括与zScaler云安全平台的集成。思科去年将其SD-WAN与其安全硬件和软件相结合。

JuniperNetworks在其Junos操作系统上运行其SD-WAN,该系统提供路由,交换和安全性。

NEC最近在推出的开源基础平台上结合了安全和SD-WAN功能。

VMware正在发展其基于Velocloud的SD-WAN,以实现服务即服务,其中包括安全层。

总之,无论是安全供应商希望通过使用SD-WAN功能来应对竞争威胁,还是SD-WAN供应商想通过增加安全性来提升竞争力,显然SD-WAN的安全性建设已经被业界注意到了,这对于企业用户而言是一件好事,毕竟安全性需要直接构建到网络中,而不是作为事后补充。

在SD-WAN运动进行得如火如荼之际,如何提升网络的安全性也将成为企业服务领域新的挑战和机会。

【科技云报道原创】

微信公众账号:科技云报道

推荐文章