如何应对SD-WAN安全问题
2020-03-07NealWeinberg
Neal Weinberg
SD-WAN技术正变得越来越普及,因为它们比MPLS更便宜、更灵活、更易于部署,并且提供了集中的可见性和管理功能。得益于WAN链接整体性能的提高,员工的生产力也得到了大幅提升。但是让分支机构中的最终用户直接连接到公共互联网和云服务会引起严重的安全问题,这使得SD-WAN部署的复杂性和风险也随之提升。
据市场研究机构EMA(企业管理联盟)在2018年底对北美和欧洲的250家企业进行的一项调查显示,在分支机构中部署了SD-WAN的企业出现数据泄露的可能性是未部署SD-WAN的企业的1.3倍。EMA的分析师Shamus McGillicuddy表示,这是因为许多企业最初完全依赖其SD-WAN设备中的原生安全功能,而不是通过附加防御层来增强这些功能。
典型的SD-WAN产品会提供状态防火墙、网络分段和站点到站点隧道等功能,但是它们并不提供更复杂的安全措施。例如,可识别应用程序的下一代防火墙、入侵防护、数据丢失防护和统一威胁管理。此外,它们不会与企业的其他安全基础设施进行自动集成。
好消息是,企业客户越来越意识到除了产品的基本功能之外还需要其他的一些安全功能。IDG Research和托管SD-WAN服务提供商Masergy近期进行的一项调查显示,有81%的受访者表示,安全性是他们选择SD-WAN厂商的最关键因素。
纯粹的SD-WAN厂商已经得到了清晰且明确的信息,并开始与CheckPoint、Palo Alto Networks等传统安全供应商以及Zscaler等基于云的提供商合作提供集成软件包。
对于想要确保SD-WAN连接具有强大安全性的客户而言,他们还有另外两种选择。企业可以选择拥有良好的安全口碑且最近已开发出了SD-WAN产品的公司,例如思科或Fortinet,也可以选择由运营商或托管服务提供商来承担端到端WAN流量的责任,同时选择这些提供商提供的安全功能,例如可以按需购买的Web内容过滤和防病毒保护。
美国Network World网站采访了两家部署SD-WAN但采用完全不同方法来确保其分支机构连接的公司Westcon-Comstor和GHD。这两家公司均意识到他们应该做更多的事情来增强其SD-WAN安全性。
借助下一代防火墙技术提升Silver Peak SD-WAN的安全性
全球IT分销商Westcon-Comstor的高级基础架构经理Michael Soler表示,吸引他从基于Silver Peak Unity EdgeConnect平台的MPLS转向SD-WAN的因素是弹性、成本、可扩展性和可视性。
该公司的远程网络由两个共同管理的数据中心、两个Azure数据中心以及位于北美、欧洲和亚洲的23个办事处组成。弹性是老旧MPLS网络一直存在的问题。Soler说:“ IPSec故障转移非常麻烦。在你真正需要它们之前,它们在纸上总是看起来很棒。”
成本是另一个问题。Soler指出,由于缺乏对网络使用情况的了解,优化带宽需求以及确定超额预订或低额预订的数量十分具有挑战性。
长期以来,通过MPLS网络修改或启动新服务时,一直都存在灵活性不足且响应时间过慢的问题。Soler 说,MPLS部署的复杂性增加了出错机会,这导致用户体验不佳。
在调研了许多SD-WAN厂商之后,他于2017年底开始使用Silver Peak设备进行概念验证,并对其快捷部署和高效,尤其是诸如前向纠错和路径调节等功能印象深刻。Soler 为部署流程建立了模板,随后在所有站点开始部署SD-WAN技术。
Soler 称:“我们取得了巨大的成功。”WAN成本得到了降低,同时弹性和可视性也得到了极大改善,最终用户对通过直接访问互联网和Azure云所能实现的性能和灵活性感到满意。
为了解决分支机构中存在的与互联网突围(Internet breakout)相关的安全问题,Soler部署了下一代防火墙,以強化Silver Peak设备随附的状态防火墙。互联网突围是指分支机构的互联网流量没有回传到应用安全控制的中央站点。
Soler 相信通过不断的努力,最终会寻找到可更为高效地强化安全态势的方法。目前,Soler 正在研究一种称为服务链接的技术,该技术使他能够获取位于德国的4个分支机构的流量,并将其集中到位于德国境内应用了防火墙策略的中央枢纽。Soler 称,从长远来看,他也有兴趣研究基于云的SD-WAN安全服务。
基于云的安全服务增强了SD-WAN安全性
GHD全球网络经理Randy Taylor在部署Riverbed SD-WAN设备时采取了与Westcon-Comstor不同的方法。他没有购买分支机构安全工具,而是选择了Zscaler基于云的安全服务。
GHD提供一站式工程、建筑、环境等专业服务,其拥有一个纯粹的MPLS WAN,可将来自全球30个站点的流量回传到其托管数据中心。
该公司在2015年展开了一系列的并购活动,使得其在北美的WAN接近130个站点。面对每个新的MPLS链路可能需要3~5个月才能完成部署,Taylor 不得不开始寻找替代方案。
Taylor说:“我们需要一种更快的方法。订购MPLS线路的漫长周期让我们感到精疲力尽。”作为位于LAN端的思科商店以及从事WAN优化的Riverbed客户,GHD开始对Riverbed SD-WAN产品展开研究工作。
最初,Taylor对SD-WAN等颠覆性技术持怀疑态度,但是他对使用互联网作为传输工具的想法很感兴趣。因此他决定在一些较小的北美站点进行尝试性部署。Taylor说,他发现Riverbed SteelConnect SD-WAN设备非常易于部署,他可以在不到六周的时间内连接50个站点。
得益于Riverbed近乎零接触的流程,在将云设备交付到分支机构之前,他能够在云门户中对其进行预配置。非IT人员可以按照简单的说明,插入设备并在几分钟内运行它们。
Taylor说:“我们能够马上看到的好处首先是互联网突围。” SD-WAN的推出恰逢其时,这与公司开始越来越多地使用SaaS应用程序相匹配。他说:“它们几乎立即成为了我们访问SaaS的解决方案。”
作为一家为政府提供服务并需要遵守ISO标准的公司,GHD非常注重安全性。Taylor 表示,他需要强化带有附加安全层的SteelConnect集成防火墙,以抵御越来越多的恶意软件。
虽然GHD在其数据中心部署了企业级防火墙,但是他们发现购买和维护这些企业级防火墙的成本很高。由于不希望在所有分支机构中部署额外的安全硬件,GHD选择了云服务并最终选中了Zscaler。
来自分支机构的所有流量都会流经执行安全策略的Zscaler站点。Zscaler会查看数据并监视返回流,因为它们会进入互联网。该服务提供了诸多功能,包括防病毒、白名单、黑名单、UTM、附件沙盒和零日防护。
Taylor說,Zscaler为他们节约了不少资金,并且与维护和更新自有安全硬件相比要更加方便。与此同时Taylor也警告称,由于分支机构的流量需要连接到最近的Zscaler节点,如果最近的节点与请求者之间有一段距离,那么性能可能会受到一定程度的影响。
从整个的SD-WAN经验来看,原来的拓扑需要六名全职网络工程师维护,现在只需要一名工程师进行巡查即可。日常维护基本上交由服务台进行,原来的六名工程师现在可以专注于创新。
如今,Taylor的部署范围已经不再是最初用来尝试的那50个小型站点,他开始在全球范围内全面部署SD-WAN。“成本节省和性能提升是如此巨大,以至于我们开始尽可能地取消MPLS。”虽然合规性原因导致某些流量无法进入云端,某些语音和视频应用程序也要保留在MPLS上,但是SD-WAN已成为了GHD的主要WAN传输模式。
通过混合方法提升SD-WAN的安全性
WAN安全性模式正在由原来的集中式转为分布式,即由原来的分支机构的流量通过安全的MPLS回传至数据中心的模式变成每个分支机构都提升安全性,这种转变需要一种新的组织方法。
SD-WAN不再由网络和安全小组独立负责,而是采取合作的方式,因为团队希望部署集成工具和使用通用数据集。McGillicuddy认为,这种合作已经超越了诸如事件响应之类的单一情况,并已扩展到基础设施的设计和部署领域。
实际上,许多公司也正在采用混合方法来实现SD-WAN安全性。如果公司的安全设备还可以继续使用数年时间,那么他们就不需要对设备进行翻新和更换。为此,这些公司正在想办法将安全功能集成到SD-WAN部署中,目的是与深度防御整合在一起。
部分公司采用的方式是托管服务。由于许多纯粹的SD-WAN厂商不仅通过托管服务提供商出售其产品,还提供传统运营商在其SD-WAN产品中使用的硬件,因此客户可以选择特定供应商的设备,并将部署、维护和安全功能交给服务提供商负责。
市场研究机构Nemertes Research的分析师John Burke说:“解决问题的方法有许多种。企业要针对自己的情况,在财务和架构上做出最佳选择。”他指出,服务链是一种比较有吸引力的方法,其理念是将多个分散站点连接到一个具有强大安全性的大型中心站点上。
最后,对于许多企业而言,摆脱MPLS是他们选择转向SD-WAN的推动力。对此,Burke指出,超过一半的企业会继续把MPLS用于特定应用,但是MPLS已经不再是主力的WAN链接,它们主要用于一小部分多样化的且被优化过的安全WAN流量。
本文作者Neal Weinberg为专注于技术领域的自由作家兼编辑。
原文网址
https://www.networkworld.com/article/3447618/how-to-augment-sd-wan-security-with-intrusion-prevention-anti-virus-utm-and-more.html