企業軟件定義廣域網SD-WAN安全保護發展趨勢分析
對于SD-WAN(Software-defined WAN,軟件定義廣域網)與面向混合型連接的轉變,大多數企業仍然沒有做好準備,即無法切實保護各分支部門免受新一輪復雜攻擊的侵擾。
SD-WAN的最終目的是用各種廉價鏈路代替昂貴的私有專線,比如MPLS。但是目前階段,很多企業不愿意完全放棄有業務質量保證的專線,所以更傾向于部署混合網絡,即在保留原有私有專線的傳送關鍵數據的基礎上,根據業務優先級,將部分相對不重要的流量動態遷移到公共寬帶網絡,甚至是無線LTE網絡上。
SD-WAN:
軟件定義廣域網:主要利用軟件優勢提升網絡性能,降低成本,同時保證安全穩定性,而且部署簡便。軟件有智能路由、數據優化,TCP/IP優化等功能。SD-WAN主要是為企業廣域網服務,傳輸企業關鍵業務數據,可以限制訪問不良網站。突出特點是:
? 綜合利用多條共有或私有鏈路,讓普通鏈路能夠達到專線的網絡質量,降低了流量成本,提高了帶寬。
? 根據現網情況及配置的策略,自動選擇最佳路徑,實現負載均衡,保證了網絡質量。
企業運營團隊面臨的困境
? 面對各類全球性組織遭遇的大規模數據泄露以及爆炸性勒索軟件攻擊,數天之內即有成千上萬用戶受到感染,這意味著如今的企業正面臨著遠超以往的安全威脅狀況——此類威脅在數量、頻率以及復雜度方面還在不斷提升。
? 威脅環境的快速演變在很大程度上亦歸咎于威脅向量的涌現及擴展。此類威脅向量能夠為外部惡意活動打開通往關鍵性業務資產的大門,具體途徑包括經由消費級設備、安全性糟糕的合作伙伴網絡或者分支辦公環境。
? 物聯網(簡稱IoT)與訪客租戶服務迫使我們必須在對流量服務/工作負載進行細分時找到獨特的處理方法,而這必然會帶來一定程度的運營復雜性。
目前受到利用的一種新型威脅向量在于軟件定義廣域網(簡稱SD-WAN),其會在不經意間利用直接互聯網連接建立新的攻擊面(具體取決于當前安全模式),從而為勒索軟件、APT、病毒蠕蟲以及其它惡意軟件提供溫床。從歷史角度看,企業通過集中方式管理互聯網訪問與數據中心安全工作; 但分支機構直接訪問互聯網會引發大量入站攻擊,而SD-WAN與混合連接的出現更是超出多數企業的預期,意味著其無力保護各個分支機構免受新一輪復雜攻擊的侵擾。
安全思維的轉變
企業可以通過將檢查與執行點從數據中心內遷移至分支機構或者云端的方式應對這一新的安全挑戰。安全管理員們需要評估其是否需要一套"不僅包含加密及一般狀態防火墻服務”的新型安全層。此后,安全管理員需要查證分支機構或云環境中是否存在更多風險因素,從而幫助自己確定實際需要的安全層。
SD-WAN支持端到端加密以及按應用或組織層級進行劃分,可提供嵌入式安全機制。但相當一部分SD-WAN供應商并不提供全面的企業級安全解決方案。
避免惡意軟件等威脅的三種方式分析
企業可以選擇以下幾種方法:
? 整合至SD-WAN解決方案當中的高級安全方案。
? 第三方SaaS方案。
? 由現有或新供應商提供一套基于設備的內部方案。
每種方法都有著自己的優勢與注意事項。一部分廠商也提供狀態防火墻,當前不少路由器都已經支持這種常見服務。市場上大多數SD-WAN仍然缺少對下一代及安全網關(UTM)功能的支持。
將安全性融入SD-WAN
優勢: 分支機構的集成安全方案能夠將SD-WAN引入分支機構的下一連接發展階段,還可實現多種交付方式。這類方案能夠實現單一供應商、更簡單的管理、內部流量保護以及智能流量管理與轉向。借此企業將能夠獲得更為有力的安全保護表現,且不再需要處理額外的堆棧或設備。SD-WAN與內置安全機制還能為全部事件關聯提供單一管理窗格,例如用戶、應用程序、設備、位置與網絡等等。
劣勢: 安全性水平可能不像傳統的“縱深防御”方案那么“縱深”,通常需要依靠多家供應商以覆蓋安全基礎設施中的各個層面,而不能簡單的“一刀切”。
第三方軟件即服務(SaaS)方案
優勢: 第三方SaaS解決方案能夠有效減少管理層面的麻煩,其消費模式的特點在于輕量化,甚至完全無需任何現場部署。實施及管理方面較為敏捷、易用。SaaS安全方案可以插入新的檢查機制以實現數據保護,從而防止潛在隱匿及意外攻擊所導致的高昂代價。
劣勢:其多數服務只能識別基于HTTP的流量,這意味著企業無法確定如何對其它流量進行處理。此外,這些服務也可能缺少對通過備用協議傳入的威脅向量的檢測能力。而且從管理的角度來看,SaaS解決方案將管理界面與接觸點割裂開來,并會給管理員帶來額外的操作步驟,這意味著操作將進一步復雜化、所需投入的時間也相應增加。
部署現有或新供應商
優勢: 不少企業依靠通過認證的現有供應商實現基于設備的內部保護方案。這種方法的優勢在于企業對相關產品非常熟悉:這些解決方案長期駐留在內部環境下,安全管理員能夠親自打理并熟悉這些產品。由于這些產品的使用壽命較長,內部保護方案能夠長時間存在于分支機構的基礎設施當中,具備一定程度的有效性。
劣勢: 從采購及運營的角度來看,專用設備類方案很可能帶來高昂的成本。因為復雜,需要耗費大量人力去實現,同時要求投入更多資源以管理其在企業整體環境下的運作。而各分支機構中的多臺數據密集型設備會進一步增加這類問題的處理難度。這樣的復雜性有可能引發潛在的整合及/或互操作性問題,進而對生產力發展產生嚴重阻礙。另外,相當一部分設備之間并不存在單一事件關聯點,這將導致部分威脅及其它異常活動可能通過設備間的“縫隙”溜入企業內部。
SD-WAN應用前景
將安全機制整合至SD-WAN當中的企業將有望受益于由此帶來的高成效、易管理及易使用等優勢。
為了實現理想的安全成效標準,企業必須確保分支及WAN連接解決方案中具備一系列特定功能。例如,企業應要求使用狀態防火墻及/或應用程序防火墻,同時實現動態IPSec隧道以及站到站配對。其它安全功能還應包括安全密鑰管理與動態密鑰更新,外加惡意軟件與x-ware內聯檢測與保護機制。
除此之外,原有標準安全功能(反病毒、DDoS防護及檢測)自然也應包含在內。為了實現預期的安全功能,SD-WAN集成安全機制需要提供完整的端到端事件關聯機制,將所有應用程序、用戶、設備、位置、網絡與安全事件合并起來,根據具體事件作出適當反應。安全SD-WAN所帶來的助益將非常廣泛,包括幫助企業滿足合規性要求、降低基礎設施與電路成本,改善并簡化割裂狀況以及減少分支機構內惡意軟件蔓延等狀況。
目前企業所面臨的威脅態勢仍在不斷變化,以適應現有保護模式以觸及企業資產。為了在當前的安全環境中實現有效運行,應讓安全機制成為SD-WAN當中的一大固有組成部分,從而確保其成為企業綜合安全基礎設施當中強大、關鍵且必要的支柱性元素之一。
