安全是部署SD-WAN的组织最关心的问题之一。Fortinet的John Maddison解释了什么是SD-WAN安全挑战以及如何解决它们。
SD-WAN产品已经上市五年多了。该技术的早期采用者主要关注与传输相关的问题,如用宽带替换或增加MPLS。随着技术的成熟并超越早期采用者阶段,购买标准也会发生变化——SD-WAN也不例外。
2018年,ZK Research的一项调查要求受访者对SD-WAN的购买标准进行排名,安全性排在首位,远远领先于技术创新和价格。(注:该问原作者为ZK Research的员工。)为了更好地理解这一趋势以及这对网络专业人士意味着什么,我采访了Fortinet负责产品和解决方案的执行副总裁约翰·麦迪森(John Maddison),他制定了公司的产品战略,使他精通SD-WAN和安全。
SD-WAN的现状如何?
John Maddison:随着数字技术的发展,很明显,传统的分支机构之间的联系已经不能满足当今企业所需要的复杂连接。就像一条分开的隧道一样简单,一个分支机构与公司总部之间有专门的连接,而与互联网的实时连接可能会破坏整个组织的安全。
SD-WAN提供类似支持先进的业务应用,移动的能力对延迟敏感的数据,如声音或视频到可靠,高速链接,并结合多个连接在一起,如核心网络的链接,连接到多重云网络和服务,和生活连接到互联网和移动设备——成为一个完整的软件包。
Fortinet执行副总裁John Maddison
我们看到组织所面临的最大挑战是试图将一致的安全框架应用到这个新环境中。它不仅需要保护主要的SD-WAN连接,而且还需要集成到部署在其他地方的任何安全解决方案中,比如在云中或远程网络中。这允许组织实现单一的安全策略,包括应用程序保护、web过滤、沙箱、网络访问控制、SSL检查,以及诸如NGFW、IPS和VPN等解决方案,从而保护应用程序、工作流和动态数据。
随着从早期采用者到主流用户的转变,市场会发生怎样的变化?
SD-WAN的初始浪潮主要以传输为中心。它的主要驱动因素是从MPLS转向MPLS和宽带的组合,以便采用新的应用程序和服务以支持数字业务需求方面具有更大的灵活性。然而,由于企业在生产中使用了SD-WAN,因此更加关注安全性。分支机构不可能成为当今互联分布式网络模式下新的薄弱环节。将SD-WAN扩展到LAN,并使用SD-Branch重新定义整个分支,从而提供一致的安全性、统一的策略和统一的管理,也引起了越来越多的兴趣。
既然安全是SD-WAN的核心要求,那么又带来了哪些新的挑战呢?
最大的挑战是传统的安全解决方案已经不再适用。传统安全解决方案不具备SD-WAN连接所需的性能、灵活性或互连性。更有挑战性的是,他们经常看不到边缘连接。这就是为什么我们一直在开发基于意图的细分。这种策略可以基于许多参数隔离用户、应用程序、工作流或数据,从而在整个事务路径上提供安全性。流量可以被强制遵循特定的行为,或者被隔离到特定的用户或目的地,以确保始终一致的策略应用程序和执行。
能否详细介绍一下基于用户和意图的细分:它是什么,以及它能够提供哪些好处?
当用户启动或接收交易时,它需要通过公共网络进行传输。传统的安全工具可以加强连接,检查流量,识别恶意软件以及防止流量劫持,但这通常是不够的。考虑到流量的增长和其他设备在这些相同连接上的密度,很容易失去对流量的跟踪。
隔离用户、应用程序或工作流,允许组织查看和控制可与该连接交互的设备,使犯罪分子和内部人员更难截获,窃取或损坏该数据,并有助于确保管理数据和资源,当他们跨越日益扩大的互联生态系统网络时获得保障。基于意图的分段是基于业务目标和所需安全流程的意图智能地分割IT资产,具有细粒度访问控制,以防止在网络中传播的横向威胁的扩散。
这可以防范哪些威胁?
基于意图的分段可以防范各种各样的安全问题,包括内部威胁,甚至可能已经感染网络其他部分的恶意软件溢出。基于意图的分段可确保快速检测到渗入网络的网络罪犯,以防止安全威胁的横向传播。
安全团队面临的挑战之一是:他们已经被太多的安全工具所淹没,这不会加剧这个问题吗?
真正的问题是尝试使用从未为此设计的工具来保护分布式网络。往往会发生的是,安全性仅应用于网关,这会降低对网络的深入可见性,或者为网络的不同部分选择和部署不同的工具。IT团队很快就会被安全蔓延所淹没,因此,工具不会得到更新或优化,或者执行不一致。