對于SD-WAN(Software-defined WAN,軟件定義廣域網(wǎng))與面向混合型連接的轉(zhuǎn)變,大多數(shù)企業(yè)仍然沒有做好準(zhǔn)備,即無法切實保護各分支部門免受新一輪復(fù)雜攻擊的侵擾。
SD-WAN的最終目的是用各種廉價鏈路代替昂貴的私有專線,比如MPLS.但是目前階段,很多企業(yè)不愿意完全放棄有業(yè)務(wù)質(zhì)量保證的專線,所以更傾向于部署混合網(wǎng)絡(luò),即在保留原有私有專線的傳送關(guān)鍵數(shù)據(jù)的基礎(chǔ)上,根據(jù)業(yè)務(wù)優(yōu)先級,將部分相對不重要的流量動態(tài)遷移到公共寬帶網(wǎng)絡(luò),甚至是無線LTE網(wǎng)絡(luò)上。
軟件定義廣域網(wǎng):主要利用軟件優(yōu)勢提升網(wǎng)絡(luò)性能,降低成本,同時保證安全穩(wěn)定性,而且部署簡便。軟件有智能路由、數(shù)據(jù)優(yōu)化,VPS租用 國內(nèi)服務(wù)器,TCP/IP優(yōu)化等功能。SD-WAN主要是為企業(yè)廣域網(wǎng)服務(wù),傳輸企業(yè)關(guān)鍵業(yè)務(wù)數(shù)據(jù),可以限制訪問不良網(wǎng)站。突出特點是:
綜合利用多條共有或私有鏈路,讓普通鏈路能夠達到專線的網(wǎng)絡(luò)質(zhì)量,降低了流量成本,提高了帶寬。
根據(jù)現(xiàn)網(wǎng)情況及配置的策略,自動選擇最佳路徑,實現(xiàn)負載均衡,保證了網(wǎng)絡(luò)質(zhì)量。
企業(yè)運營團隊面臨的困境
面對各類全球性組織遭遇的大規(guī)模數(shù)據(jù)泄露以及爆炸性勒索軟件攻擊,數(shù)天之內(nèi)即有成千上萬用戶受到感染,這意味著如今的企業(yè)正面臨著遠超以往的安全威脅狀況——此類威脅在數(shù)量、頻率以及復(fù)雜度方面還在不斷提升。
威脅環(huán)境的快速演變在很大程度上亦歸咎于威脅向量的涌現(xiàn)及擴展。此類威脅向量能夠為外部惡意活動打開通往關(guān)鍵性業(yè)務(wù)資產(chǎn)的大門,具體途徑包括經(jīng)由消費級設(shè)備、安全性糟糕的合作伙伴網(wǎng)絡(luò)或者分支辦公環(huán)境。
物聯(lián)網(wǎng)(簡稱IoT)與訪客租戶服務(wù)迫使我們必須在對流量服務(wù)/工作負載進行細分時找到獨特的處理方法,而這必然會帶來一定程度的運營復(fù)雜性。
目前受到利用的一種新型威脅向量在于軟件定義廣域網(wǎng)(簡稱SD-WAN),其會在不經(jīng)意間利用直接互聯(lián)網(wǎng)連接建立新的攻擊面(具體取決于當(dāng)前安全模式),從而為勒索軟件、APT、病毒蠕蟲以及其它惡意軟件提供溫床。從歷史角度看,企業(yè)通過集中方式管理互聯(lián)網(wǎng)訪問與數(shù)據(jù)中心安全工作; 但分支機構(gòu)直接訪問互聯(lián)網(wǎng)會引發(fā)大量入站攻擊,而SD-WAN與混合連接的出現(xiàn)更是超出多數(shù)企業(yè)的預(yù)期,意味著其無力保護各個分支機構(gòu)免受新一輪復(fù)雜攻擊的侵擾。
安全思維的轉(zhuǎn)變
企業(yè)可以通過將檢查與執(zhí)行點從數(shù)據(jù)中心內(nèi)遷移至分支機構(gòu)或者云端的方式應(yīng)對這一新的安全挑戰(zhàn)。安全管理員們需要評估其是否需要一套"不僅包含加密及一般狀態(tài)防火墻服務(wù)“的新型安全層。此后,安全管理員需要查證分支機構(gòu)或云環(huán)境中是否存在更多風(fēng)險因素,從而幫助自己確定實際需要的安全層。
SD-WAN支持端到端加密以及按應(yīng)用或組織層級進行劃分,可提供嵌入式安全機制。但相當(dāng)一部分SD-WAN供應(yīng)商并不提供全面的企業(yè)級安全解決方案。
避免惡意軟件等威脅的三種方式分析
企業(yè)可以選擇以下幾種方法:
1.整合至SD-WAN解決方案當(dāng)中的高級安全方案。
2.第三方SaaS方案。
3.由現(xiàn)有或新供應(yīng)商提供一套基于設(shè)備的內(nèi)部方案。
每種方法都有著自己的優(yōu)勢與注意事項。一部分廠商也提供狀態(tài)防火墻,當(dāng)前不少路由器都已經(jīng)支持這種常見服務(wù)。市場上大多數(shù)SD-WAN仍然缺少對下一代及安全網(wǎng)關(guān)(UTM)功能的支持。
將安全性融入SD-WAN
優(yōu)勢: 分支機構(gòu)的集成安全方案能夠?qū)?a href="http://m.qzkangyuan.com/cnidc/idcnews/osnews/20171124/18892.html">SD-WAN引入分支機構(gòu)的下一連接發(fā)展階段,還可實現(xiàn)多種交付方式。這類方案能夠?qū)崿F(xiàn)單一供應(yīng)商、更簡單的管理、內(nèi)部流量保護以及智能流量管理與轉(zhuǎn)向。借此企業(yè)將能夠獲得更為有力的安全保護表現(xiàn),且不再需要處理額外的堆棧或設(shè)備。SD-WAN與內(nèi)置安全機制還能為全部事件關(guān)聯(lián)提供單一管理窗格,例如用戶、應(yīng)用程序、設(shè)備、位置與網(wǎng)絡(luò)等等。
劣勢: 安全性水平可能不像傳統(tǒng)的“縱深防御”方案那么“縱深”,通常需要依靠多家供應(yīng)商以覆蓋安全基礎(chǔ)設(shè)施中的各個層面,而不能簡單的“一刀切”。
第三方軟件即服務(wù)(SaaS)方案
優(yōu)勢: 第三方SaaS解決方案能夠有效減少管理層面的麻煩,其消費模式的特點在于輕量化,甚至完全無需任何現(xiàn)場部署。實施及管理方面較為敏捷、易用。SaaS安全方案可以插入新的檢查機制以實現(xiàn)數(shù)據(jù)保護,從而防止?jié)撛陔[匿及意外攻擊所導(dǎo)致的高昂代價。
