SD-WAN安全五項基本原則

時間 2020-08-28

原文原文鏈接

衆所周知，安全性是兌現SD-WAN商業價值的首要前提和後盾。SD-WAN技術具備許多優點，例如更大的靈活性和更低的傳輸成本。可是，一旦將流量從結構化的專用MPLS 虛擬專用網轉移到公共寬帶鏈路上，安全性就成了第一位的考量因素，這也使得網絡安全廠商的SD-WAN解決方案相比傳統網絡廠商更具競爭力，由於對於SD-WAN而言，安全性比鏈接性更加具備挑戰性，大量安全廠商的涌入爲SD-WAN市場帶來了豐富的選擇，但有時也會讓用戶「挑花了眼」。數組

爲了確保網絡韌性和安全性，企業選擇SD-WAN解決方案時，須要參考如下五項基本原則：安全

1. 將SD-WAN安全性集成到企業的總體安全性體系結構中服務器

許多企業錯誤地將SD-WAN安全性視爲孤立的問題，而不是將其做爲總體企業安全策略的關鍵要素。網絡安全技術提供商Perimeter 81的首席執行官Amit Bareket指出：「大多數組織都將SD-WAN視爲提供必定程度數據加密的鏈接工具。但事實上SD-WAN解決方案一般並非用來提供數據安全服務的，對SD-WAN定位的錯誤認知會讓企業面臨安全風險。」微信

Bareket建議，對於SD-WAN流量的防禦，組織及其安全團隊應開發一種方法，該方法應將監視數據流量的基於策略的控制規則與總體SDN管理的檢測響應模型集成起來。他說：「經過將安全放在首位，SD-WAN至關於爲企業網絡的漏洞增長了一個防禦層。」網絡

2. 不要將SD-WAN看做傳統的網絡技術架構

用傳統物理網絡的經驗去理解SD-WAN安全性是錯誤的，傳統的物理網絡會自動對數據流施加某些限制，但這並不適用於SD-WAN。網絡安全公司Menlo Security的首席技術官Kowsik Guruswamy 解釋說：「例如，在傳統網絡中，您必須考慮流量模式和帶寬要求。」「這將決定您在何處以及如何執行安全策略。」可是SD-WAN基於互聯網，傳統網絡中的管控限制手段在這裏並不適用。ide

3. 不要將安全性與單個供應商綁在一塊兒工具

隨着網絡基礎架構的擴展和新威脅的到來，企業的安全需求隨着時間的推移而發展。在保留基本SD-WAN投資的同時，企業還須要網絡具備靈活的功能，能夠在出現新的***媒介時快速經濟地遷移到其餘安全解決方案，這是一項寶貴的安全能力。不幸的是，一些SD-WAN供應商將客戶鎖定在某個專有安全技術堆棧中。VMware的VeloCloud業務部門高級總監Karl Brown表示：「這種SD-WAN方案沒有爲未來提供靈活性，也沒有提供與現有安全基礎結構一塊兒使用的靈活性。」性能

4. 不要過於傳統防火牆加密

使用傳統的WAN，分支機構的流量能夠回傳到企業數據中心，由傳統防火牆處理或者在分支機構中部署與邊緣路由器分開維護的傳統防火牆。Brown認爲：「這可能會致使一些問題，例如昂貴的帶寬，沉重的性能損失，不可預測的應用程序性能以及沒必要要的複雜分支IT管理。」「藉助SD-WAN，企業能夠經過便宜的互聯網服務，更有效地將流量發送到雲和SaaS工具或者雲託管網關。」

可是，在分支機構位置部署SD-WAN訪問時，企業必須採起額外的安全預防措施，由於鏈接到互聯網會產生更普遍的***面。Brown建議：「減輕這種新安全風險的最佳方法是利用雲的功能來檢測和緩解威脅。」他還建議採用統一的管理方法，合併模板化的策略和審覈，並在每一個分支機構集成網絡和安全性。「總的來講，企業能夠有效地實現和維護一致的先進威脅管理戰略」他指出。

5. 正確部署SD-WAN設備

許多SD-WAN用戶在防火牆後部署SD-WAN設備或在故障排除和/或配置SD-WAN設備時意外繞過了防火牆。WatchGuard網絡安全產品管理副總裁B rendan Patterson認爲：「在這種狀況下，企業根本沒有安全性，這使他們處於感染惡意軟件的高風險中。」

能夠經過將SD-WAN設備安裝在防火牆前面來避免SD-WAN設備放錯位置形成的安全漏洞，處理WAN鏈接的同時防火牆也能繼續保護內部網絡。Patterson 指出，對SD-WAN進行任何更改後，記住要從新檢查全部安全控制，這一點很重要。

Patterson還建議企業利用最新的網絡安全技術。他解釋說：「許多統一威脅管理設備(UTM)和下一代防火牆如今都提供SD-WAN功能，例如智能路徑路由。」「使用這些內置功能還能夠解決[放置]問題，而且能夠減小管理和維護兩個設備的成本。」這對於中小型企業來講一般是一個不錯的選擇。

【本文是51CTO專欄做者「安全牛」的原創文章，轉載請經過安全牛（微信公衆號id:gooann-sectv）獲取受權】

戳這裏，看該做者更多好文

【編輯推薦】

【責任編輯：趙寧寧 TEL：（010）68476606】