【51CTO.com快譯】又是新的一年，又到了對(duì)未來(lái)十二個(gè)月做出大膽預(yù)測(cè)的時(shí)候。正如尤達(dá)大師的預(yù)言一樣，雖然有時(shí)候這類預(yù)測(cè)聽(tīng)起來(lái)有些模糊或者夸張，但卻往往確實(shí)能夠指導(dǎo)未來(lái)的重要趨勢(shì)。在今天的文章中，我們只重點(diǎn)講一個(gè)方向：

[[182205]]

網(wǎng)絡(luò)應(yīng)與安全同化

這到底是什么意思?是說(shuō)網(wǎng)絡(luò)與安全可能在2017年內(nèi)相互替代?CIO與CISO們是否應(yīng)當(dāng)準(zhǔn)備迎接這種不可避免的趨勢(shì)?安全與網(wǎng)絡(luò)技術(shù)人員又該如何為這波沖擊做好準(zhǔn)備?

當(dāng)然，我們對(duì)此有著自己的想法。通過(guò)對(duì)多家SD-WAN廠商的關(guān)注以及傳統(tǒng)技術(shù)發(fā)展帶來(lái)的啟示，

SD-WAN中的“SD”是否會(huì)引發(fā)安全災(zāi)難?

毫無(wú)疑問(wèn)，任何由SD-WAN實(shí)現(xiàn)的互聯(lián)網(wǎng)直連作法都代表著新的攻擊面。大多數(shù)企業(yè)都擁有一套甚至多套區(qū)域性互聯(lián)網(wǎng)接入中心。而暴露在互聯(lián)網(wǎng)下的直接后果就是，大家將遭遇更多勒索軟件、釣魚(yú)網(wǎng)絡(luò)、惡意下載乃至其它隱患的威脅。

更可怕的是，大家分支機(jī)構(gòu)中的安全性水平可能更差。用戶們往往依賴于MPLS或者基于互聯(lián)網(wǎng)的IPSec VPN，而且我見(jiàn)到的大多數(shù)企業(yè)仍在將回程流量路由至中央或者區(qū)域樞紐處的安全互聯(lián)網(wǎng)訪問(wèn)門戶。這里可能不具備防火墻、惡意軟件檢測(cè)或者其它安全保護(hù)措施。

事實(shí)上，最近Dimension Data發(fā)布的一份調(diào)查恰好提到了這方面議題。該調(diào)查發(fā)現(xiàn)，40%的企業(yè)分支機(jī)構(gòu)并不具備基礎(chǔ)的有狀態(tài)防火墻。半數(shù)分支機(jī)構(gòu)沒(méi)有采用下一代防火墻(簡(jiǎn)稱NGFW)。SD-WAN與互聯(lián)網(wǎng)直連對(duì)于分支機(jī)構(gòu)代表著雙重風(fēng)險(xiǎn)。企業(yè)不僅面臨更大的攻擊面，其甚至未能利用現(xiàn)有工具及規(guī)程對(duì)其加以保護(hù)。

其它網(wǎng)絡(luò)與安全實(shí)現(xiàn)方案

SD-WAN供應(yīng)商也意識(shí)到了安全挑戰(zhàn)的存在。各廠商紛紛開(kāi)始探討網(wǎng)絡(luò)層問(wèn)題——包括加密、IPSec及驗(yàn)證等等。WAN上的網(wǎng)絡(luò)分區(qū)以自己的方式進(jìn)行流量隔離，從而保護(hù)其中的應(yīng)用免受外部WAN活動(dòng)的威脅。其基本思路與主機(jī)上的虛擬機(jī)應(yīng)用隔離手段相當(dāng)接近，而且已經(jīng)有眾多廠商開(kāi)始在其分支設(shè)備中內(nèi)置有狀態(tài)防火墻。

不過(guò)更大的問(wèn)題在于，我們要如何為分支機(jī)構(gòu)提供NGFW、惡意軟件檢測(cè)、IDS/IPS、URL過(guò)濾及其它應(yīng)用級(jí)安全機(jī)制。關(guān)于這一點(diǎn)，我們發(fā)現(xiàn)各廠商普遍采取以下四種方案中的一種或者幾種。

服務(wù)鏈與云安全

從基礎(chǔ)層面，已經(jīng)有一部分 SD-WAN供應(yīng)商開(kāi)始合作以將自身安全水平提升至“業(yè)界領(lǐng)先”。這種服務(wù)鏈的出現(xiàn)使得各類安全功能得以串聯(lián)起來(lái)。深度數(shù)據(jù)包檢測(cè)(簡(jiǎn)稱DPI)能夠立足邊緣網(wǎng)絡(luò)發(fā)現(xiàn)并引導(dǎo)相關(guān)流量至對(duì)應(yīng)的安全設(shè)備處，而不再需要全部流經(jīng)中央數(shù)據(jù)中心。

不過(guò)服務(wù)鏈安全設(shè)備仍然會(huì)將部分回程分支流量引導(dǎo)至某些檢查位置。為了在無(wú)需于分支機(jī)構(gòu)內(nèi)部署完整安全設(shè)備堆棧的前提下實(shí)現(xiàn)互聯(lián)網(wǎng)直連，多數(shù)SD-WAN廠商聯(lián)合建立起云安全服務(wù)。作為其中一例，Zscaler會(huì)將全部入站與出站TCP、UDP及ICMP流量發(fā)送至Zscaler云進(jìn)行檢查，而后才轉(zhuǎn)發(fā)至目的地。

服務(wù)鏈提供一套框架以解決基本安全問(wèn)題，但企業(yè)所創(chuàng)建的涉及多種應(yīng)用、用戶類型及站點(diǎn)的服務(wù)實(shí)例依然面臨風(fēng)險(xiǎn)。很明顯，只有采取高度集成化與自動(dòng)化策略方可實(shí)現(xiàn)企業(yè)廣域網(wǎng)管理。SD-WAN與安全參數(shù)應(yīng)通過(guò)單一接口進(jìn)行定義與交付。在此之后，必要工具應(yīng)能夠?qū)⑦@些策略推送至基礎(chǔ)設(shè)施中的各個(gè)角落。

眾多領(lǐng)先SD-WAN供應(yīng)商已經(jīng)開(kāi)始提供這些功能，但其中網(wǎng)絡(luò)與安全分析機(jī)制仍然彼此分離。例如，我們無(wú)法通過(guò)整合安全與網(wǎng)絡(luò)信息的方式最大程度降低安全操作人員收到的警報(bào)信息。同樣的，安全設(shè)備也無(wú)法借此檢測(cè)DDoS攻擊或者屏蔽當(dāng)前網(wǎng)絡(luò)分區(qū)的對(duì)應(yīng)入口。雖然網(wǎng)絡(luò)與安全日志可被導(dǎo)出至第三方工具，但這些嚴(yán)格的分析與控制協(xié)作能力仍然超出了大多數(shù)SD-WAN廠商間的合作范疇。

原生SD-WAN與安全整合

在內(nèi)部設(shè)施層面，企業(yè)仍然需要承擔(dān)全部管理與運(yùn)營(yíng)復(fù)雜性，并負(fù)責(zé)維護(hù)安全基礎(chǔ)設(shè)施的日常運(yùn)行。防火墻、更新、補(bǔ)丁等事務(wù)仍然相當(dāng)繁瑣但又必要。而在云安全服務(wù)層面，企業(yè)亦需要負(fù)責(zé)保護(hù)一切非HTTP流量。在這兩種情況下，策略整合能力通常非常有限，且難以甚至根本無(wú)法實(shí)現(xiàn)分析能力整合。

有鑒于此，部分SD-WAN廠商開(kāi)始進(jìn)一步將安全與SD-WAN功能進(jìn)行耦合。Versa Networks就在利用NFV方案在接入SD-WAN的站點(diǎn)上運(yùn)行安全功能。Cato Networks亦嘗試立足其云環(huán)境中提供路由功能。

通過(guò)將安全與網(wǎng)絡(luò)加以緊密耦合，企業(yè)能夠獲得良好的收益。例如，Versa公司能夠借此對(duì)安全及網(wǎng)絡(luò)日志進(jìn)行更深層次的分析，從而減少安全運(yùn)營(yíng)工作中的事件負(fù)載。而通過(guò)將此類功能遷移至云端，Cato公司則確保IT團(tuán)隊(duì)無(wú)需承擔(dān)基礎(chǔ)設(shè)施內(nèi)各獨(dú)立部分的運(yùn)營(yíng)成本。

那么這種作法是否存在弊端?最大的問(wèn)題在于，這迫使企業(yè)客戶由“行業(yè)最佳”巨頭轉(zhuǎn)向那些歷史相對(duì)較短的方案供應(yīng)商。另外，盡管Versa已經(jīng)同不少第三方安全設(shè)備建立起協(xié)作，但這種作法將使得安全與網(wǎng)絡(luò)分析整合能力化為烏有。

網(wǎng)絡(luò)應(yīng)與安全同化

網(wǎng)絡(luò)與安全間的界線將在未來(lái)幾年內(nèi)變得更加模糊——至少在技術(shù)層面上是如此。不過(guò)就短期來(lái)看，網(wǎng)絡(luò)與安全團(tuán)隊(duì)間仍存在明顯區(qū)別。SD-WAN還將提供這兩類團(tuán)隊(duì)間的更佳協(xié)作方案，而這或許將成為SD-WAN廠商為IT安全作出的最大貢獻(xiàn)。

原文標(biāo)題：Will networks and security converge in 2017? ，作者：Steve Garson與Dave Greenfield

【51CTO譯稿，合作站點(diǎn)轉(zhuǎn)載請(qǐng)注明原文譯者和出處為51CTO.com】