安全是部署SD-WAN的組織最關(guān)心的問題之一。Fortinet的John Maddison解釋了什么是SD-WAN安全挑戰(zhàn)以及如何解決它們。

[[258364]]

SD-WAN產(chǎn)品已經(jīng)上市五年多了。該技術(shù)的早期采用者主要關(guān)注與傳輸相關(guān)的問題，如用寬帶替換或增加MPLS。隨著技術(shù)的成熟并超越早期采用者階段，購買標(biāo)準(zhǔn)也會(huì)發(fā)生變化——SD-WAN也不例外。

2018年，ZK Research的一項(xiàng)調(diào)查要求受訪者對(duì)SD-WAN的購買標(biāo)準(zhǔn)進(jìn)行排名，安全性排在首位，遠(yuǎn)遠(yuǎn)領(lǐng)先于技術(shù)創(chuàng)新和價(jià)格。(注:該問原作者為ZK Research的員工。)為了更好地理解這一趨勢(shì)以及這對(duì)網(wǎng)絡(luò)人士意味著什么，我采訪了Fortinet負(fù)責(zé)產(chǎn)品和解決方案的執(zhí)行副總裁約翰·麥迪森(John Maddison)，他制定了公司的產(chǎn)品戰(zhàn)略，使他精通SD-WAN和安全。

SD-WAN的現(xiàn)狀如何?

John Maddison:隨著數(shù)字技術(shù)的發(fā)展，很明顯，傳統(tǒng)的分支機(jī)構(gòu)之間的聯(lián)系已經(jīng)不能滿足當(dāng)今企業(yè)所需要的復(fù)雜連接。就像一條分開的隧道一樣簡(jiǎn)單，一個(gè)分支機(jī)構(gòu)與公司總部之間有專門的連接，而與互聯(lián)網(wǎng)的實(shí)時(shí)連接可能會(huì)破壞整個(gè)組織的安全。

SD-WAN提供類似支持先進(jìn)的業(yè)務(wù)應(yīng)用,移動(dòng)的能力對(duì)延遲敏感的數(shù)據(jù),如聲音或視頻到可靠,高速鏈接,并結(jié)合多個(gè)連接在一起,如核心網(wǎng)絡(luò)的鏈接,連接到多重云網(wǎng)絡(luò)和服務(wù),和生活連接到互聯(lián)網(wǎng)和移動(dòng)設(shè)備——成為一個(gè)完整的軟件包。

Fortinet執(zhí)行副總裁John Maddison

我們看到組織所面臨的挑戰(zhàn)是試圖將一致的安全框架應(yīng)用到這個(gè)新環(huán)境中。它不僅需要保護(hù)主要的SD-WAN連接，而且還需要集成到部署在其他地方的任何安全解決方案中，比如在云中或遠(yuǎn)程網(wǎng)絡(luò)中。這允許組織實(shí)現(xiàn)單一的安全策略，包括應(yīng)用程序保護(hù)、web過濾、沙箱、網(wǎng)絡(luò)訪問控制、SSL檢查，以及諸如NGFW、IPS等解決方案，從而保護(hù)應(yīng)用程序、工作流和動(dòng)態(tài)數(shù)據(jù)。

隨著從早期采用者到主流用戶的轉(zhuǎn)變，市場(chǎng)會(huì)發(fā)生怎樣的變化?

SD-WAN的初始浪潮主要以傳輸為中心。它的主要驅(qū)動(dòng)因素是從MPLS轉(zhuǎn)向MPLS和寬帶的組合，以便采用新的應(yīng)用程序和服務(wù)以支持?jǐn)?shù)字業(yè)務(wù)需求方面具有更大的靈活性。然而，由于企業(yè)在生產(chǎn)中使用了SD-WAN，因此更加關(guān)注安全性。分支機(jī)構(gòu)不可能成為當(dāng)今互聯(lián)分布式網(wǎng)絡(luò)模式下新的薄弱環(huán)節(jié)。將SD-WAN擴(kuò)展到LAN，并使用SD-Branch重新定義整個(gè)分支，從而提供一致的安全性、統(tǒng)一的策略和統(tǒng)一的管理，也引起了越來越多的興趣。

既然安全是SD-WAN的核心要求，那么又帶來了哪些新的挑戰(zhàn)呢?

巨大的挑戰(zhàn)是傳統(tǒng)的安全解決方案已經(jīng)不再適用。傳統(tǒng)安全解決方案不具備SD-WAN連接所需的性能、靈活性或互連性。更有挑戰(zhàn)性的是，他們經(jīng)?？床坏竭吘夁B接。這就是為什么我們一直在開發(fā)基于意圖的細(xì)分。這種策略可以基于許多參數(shù)隔離用戶、應(yīng)用程序、工作流或數(shù)據(jù)，從而在整個(gè)事務(wù)路徑上提供安全性。流量可以被強(qiáng)制遵循特定的行為，或者被隔離到特定的用戶或目的地，以確保始終一致的策略應(yīng)用程序和執(zhí)行。

能否詳細(xì)介紹一下基于用戶和意圖的細(xì)分:它是什么，以及它能夠提供哪些好處?

當(dāng)用戶啟動(dòng)或接收交易時(shí)，它需要通過公共網(wǎng)絡(luò)進(jìn)行傳輸。傳統(tǒng)的安全工具可以加強(qiáng)連接，檢查流量，識(shí)別惡意軟件以及防止流量劫持，但這通常是不夠的。考慮到流量的增長(zhǎng)和其他設(shè)備在這些相同連接上的密度，很容易失去對(duì)流量的跟蹤。

隔離用戶、應(yīng)用程序或工作流，允許組織查看和控制可與該連接交互的設(shè)備，使犯罪分子和內(nèi)部人員更難截獲，竊取或損壞該數(shù)據(jù)，并有助于確保管理數(shù)據(jù)和資源，當(dāng)他們跨越日益擴(kuò)大的互聯(lián)生態(tài)系統(tǒng)網(wǎng)絡(luò)時(shí)獲得保障?；谝鈭D的分段是基于業(yè)務(wù)目標(biāo)和所需安全流程的意圖智能地分割I(lǐng)T資產(chǎn)，具有細(xì)粒度訪問控制，以防止在網(wǎng)絡(luò)中傳播的橫向威脅的擴(kuò)散。

這可以防范哪些威脅?

基于意圖的分段可以防范各種各樣的安全問題，包括內(nèi)部威脅，甚至可能已經(jīng)感染網(wǎng)絡(luò)其他部分的惡意軟件溢出?；谝鈭D的分段可確?？焖贆z測(cè)到滲入網(wǎng)絡(luò)的網(wǎng)絡(luò)罪犯，以防止安全威脅的橫向傳播。

安全團(tuán)隊(duì)面臨的挑戰(zhàn)之一是：他們已經(jīng)被太多的安全工具所淹沒，這不會(huì)加劇這個(gè)問題嗎?

真正的問題是嘗試使用從未為此設(shè)計(jì)的工具來保護(hù)分布式網(wǎng)絡(luò)。往往會(huì)發(fā)生的是，安全性僅應(yīng)用于網(wǎng)關(guān)，這會(huì)降低對(duì)網(wǎng)絡(luò)的深入可見性，或者為網(wǎng)絡(luò)的不同部分選擇和部署不同的工具。IT團(tuán)隊(duì)很快就會(huì)被安全蔓延所淹沒，因此，工具不會(huì)得到更新或優(yōu)化，或者執(zhí)行不一致。

我們需要的是一個(gè)單一的安全平臺(tái)，無論在何處部署安全解決方案，都可以提供一致的策略實(shí)施，然后使用統(tǒng)一的管理和編排控制臺(tái)進(jìn)行管理。核心，云端和分支機(jī)構(gòu)的安全性需要像單個(gè)整體系統(tǒng)一樣進(jìn)行部署，實(shí)施，管理和優(yōu)化。當(dāng)然，這說起來容易做起來難。例如，不同云環(huán)境中的本機(jī)控件可能會(huì)有很大差異。安全解決方案需要根據(jù)其應(yīng)用和管理的能力進(jìn)行仔細(xì)選擇，無論其部署位置如何。

關(guān)于SD-WAN，您還有什么其他建議想告訴我們的讀者嗎?

考慮使用SD-WAN解決方案的組織所面臨的巨大挑戰(zhàn)之一是如何應(yīng)對(duì)所有的市場(chǎng)宣傳。新平臺(tái)往往沒有很好的定義，導(dǎo)致供應(yīng)商的解決方案可能彼此非常不同。安全性是一個(gè)特別具有挑戰(zhàn)性的問題，因?yàn)樗罱淮_定為部署SD-WAN策略的組織最關(guān)注的問題之一。

在目前提供SD-WAN解決方案的60多家供應(yīng)商中，很少有提供所有類型的集成安全策略。雖然大多數(shù)都提供一些簡(jiǎn)單的有狀態(tài)安全，但它們并不能解決當(dāng)今數(shù)字企業(yè)所面臨的大多數(shù)安全問題。相反，它們依賴其他供應(yīng)商提供諸如安全預(yù)防、下一代防火墻、web過濾、惡意軟件分析、SSL和IPSec檢查和沙箱等功能。

但考慮到目前的安全技能差距，這可能是一場(chǎng)等待發(fā)生的災(zāi)難。通過公共網(wǎng)絡(luò)將高級(jí)安全部署到下一代分支機(jī)構(gòu)并非易事。僅部署、配置和優(yōu)化就會(huì)產(chǎn)生許多組織沒有資源管理的人員和財(cái)務(wù)開銷。但是其中的任何漏洞都可能使SD-WAN連接容易受到。

相反，組織應(yīng)該通過將簡(jiǎn)單的、集成的安全性和SD-WAN解決方案綁定到單個(gè)平臺(tái)來尋找滿足資源約束的解決方案。