Neal Weinberg

SD-WAN技術(shù)正變得越來(lái)越普及，因?yàn)樗鼈儽萂PLS更便宜、更靈活、更易于部署，并且提供了集中的可見性和管理功能。得益于WAN鏈接整體性能的提高，員工的生產(chǎn)力也得到了大幅提升。但是讓分支機(jī)構(gòu)中的最終用戶直接連接到公共互聯(lián)網(wǎng)和云服務(wù)會(huì)引起嚴(yán)重的安全問(wèn)題，這使得SD-WAN部署的復(fù)雜性和風(fēng)險(xiǎn)也隨之提升。

據(jù)市場(chǎng)研究機(jī)構(gòu)EMA（企業(yè)管理聯(lián)盟）在2018年底對(duì)北美和歐洲的250家企業(yè)進(jìn)行的一項(xiàng)調(diào)查顯示，在分支機(jī)構(gòu)中部署了SD-WAN的企業(yè)出現(xiàn)數(shù)據(jù)泄露的可能性是未部署SD-WAN的企業(yè)的1.3倍。EMA的分析師Shamus McGillicuddy表示，這是因?yàn)樵S多企業(yè)最初完全依賴其SD-WAN設(shè)備中的原生安全功能，而不是通過(guò)附加防御層來(lái)增強(qiáng)這些功能。

典型的SD-WAN產(chǎn)品會(huì)提供狀態(tài)防火墻、網(wǎng)絡(luò)分段和站點(diǎn)到站點(diǎn)隧道等功能，但是它們并不提供更復(fù)雜的安全措施。例如，可識(shí)別應(yīng)用程序的下一代防火墻、入侵防護(hù)、數(shù)據(jù)丟失防護(hù)和統(tǒng)一威脅管理。此外，它們不會(huì)與企業(yè)的其他安全基礎(chǔ)設(shè)施進(jìn)行自動(dòng)集成。

好消息是，企業(yè)客戶越來(lái)越意識(shí)到除了產(chǎn)品的基本功能之外還需要其他的一些安全功能。IDG Research和托管SD-WAN服務(wù)提供商Masergy近期進(jìn)行的一項(xiàng)調(diào)查顯示，有81%的受訪者表示，安全性是他們選擇SD-WAN廠商的最關(guān)鍵因素。

純粹的SD-WAN廠商已經(jīng)得到了清晰且明確的信息，并開始與CheckPoint、Palo Alto Networks等傳統(tǒng)安全供應(yīng)商以及Zscaler等基于云的提供商合作提供集成軟件包。

對(duì)于想要確保SD-WAN連接具有強(qiáng)大安全性的客戶而言，他們還有另外兩種選擇。企業(yè)可以選擇擁有良好的安全口碑且最近已開發(fā)出了SD-WAN產(chǎn)品的公司，例如思科或Fortinet，也可以選擇由運(yùn)營(yíng)商或托管服務(wù)提供商來(lái)承擔(dān)端到端WAN流量的責(zé)任，同時(shí)選擇這些提供商提供的安全功能，例如可以按需購(gòu)買的Web內(nèi)容過(guò)濾和防病毒保護(hù)。

美國(guó)Network World網(wǎng)站采訪了兩家部署SD-WAN但采用完全不同方法來(lái)確保其分支機(jī)構(gòu)連接的公司W(wǎng)estcon-Comstor和GHD。這兩家公司均意識(shí)到他們應(yīng)該做更多的事情來(lái)增強(qiáng)其SD-WAN安全性。

借助下一代防火墻技術(shù)提升Silver Peak SD-WAN的安全性

全球IT分銷商Westcon-Comstor的高級(jí)基礎(chǔ)架構(gòu)經(jīng)理Michael Soler表示，吸引他從基于Silver Peak Unity EdgeConnect平臺(tái)的MPLS轉(zhuǎn)向SD-WAN的因素是彈性、成本、可擴(kuò)展性和可視性。

該公司的遠(yuǎn)程網(wǎng)絡(luò)由兩個(gè)共同管理的數(shù)據(jù)中心、兩個(gè)Azure數(shù)據(jù)中心以及位于北美、歐洲和亞洲的23個(gè)辦事處組成。彈性是老舊MPLS網(wǎng)絡(luò)一直存在的問(wèn)題。Soler說(shuō)：“ IPSec故障轉(zhuǎn)移非常麻煩。在你真正需要它們之前，它們?cè)诩埳峡偸强雌饋?lái)很棒?！?/p>

成本是另一個(gè)問(wèn)題。Soler指出，由于缺乏對(duì)網(wǎng)絡(luò)使用情況的了解，優(yōu)化帶寬需求以及確定超額預(yù)訂或低額預(yù)訂的數(shù)量十分具有挑戰(zhàn)性。

長(zhǎng)期以來(lái)，通過(guò)MPLS網(wǎng)絡(luò)修改或啟動(dòng)新服務(wù)時(shí)，一直都存在靈活性不足且響應(yīng)時(shí)間過(guò)慢的問(wèn)題。Soler 說(shuō)，MPLS部署的復(fù)雜性增加了出錯(cuò)機(jī)會(huì)，這導(dǎo)致用戶體驗(yàn)不佳。

在調(diào)研了許多SD-WAN廠商之后，他于2017年底開始使用Silver Peak設(shè)備進(jìn)行概念驗(yàn)證，并對(duì)其快捷部署和高效，尤其是諸如前向糾錯(cuò)和路徑調(diào)節(jié)等功能印象深刻。Soler 為部署流程建立了模板，隨后在所有站點(diǎn)開始部署SD-WAN技術(shù)。

Soler 稱：“我們?nèi)〉昧司薮蟮某晒??！盬AN成本得到了降低，同時(shí)彈性和可視性也得到了極大改善，最終用戶對(duì)通過(guò)直接訪問(wèn)互聯(lián)網(wǎng)和Azure云所能實(shí)現(xiàn)的性能和靈活性感到滿意。

為了解決分支機(jī)構(gòu)中存在的與互聯(lián)網(wǎng)突圍（Internet breakout）相關(guān)的安全問(wèn)題，Soler部署了下一代防火墻，以強(qiáng)化Silver Peak設(shè)備隨附的狀態(tài)防火墻?；ヂ?lián)網(wǎng)突圍是指分支機(jī)構(gòu)的互聯(lián)網(wǎng)流量沒有回傳到應(yīng)用安全控制的中央站點(diǎn)。

Soler 相信通過(guò)不斷的努力，最終會(huì)尋找到可更為高效地強(qiáng)化安全態(tài)勢(shì)的方法。目前，Soler 正在研究一種稱為服務(wù)鏈接的技術(shù)，該技術(shù)使他能夠獲取位于德國(guó)的4個(gè)分支機(jī)構(gòu)的流量，并將其集中到位于德國(guó)境內(nèi)應(yīng)用了防火墻策略的中央樞紐。Soler 稱，從長(zhǎng)遠(yuǎn)來(lái)看，他也有興趣研究基于云的SD-WAN安全服務(wù)。

基于云的安全服務(wù)增強(qiáng)了SD-WAN安全性

GHD全球網(wǎng)絡(luò)經(jīng)理Randy Taylor在部署Riverbed SD-WAN設(shè)備時(shí)采取了與Westcon-Comstor不同的方法。他沒有購(gòu)買分支機(jī)構(gòu)安全工具，而是選擇了Zscaler基于云的安全服務(wù)。

GHD提供一站式工程、建筑、環(huán)境等專業(yè)服務(wù)，其擁有一個(gè)純粹的MPLS WAN，可將來(lái)自全球30個(gè)站點(diǎn)的流量回傳到其托管數(shù)據(jù)中心。

該公司在2015年展開了一系列的并購(gòu)活動(dòng)，使得其在北美的WAN接近130個(gè)站點(diǎn)。面對(duì)每個(gè)新的MPLS鏈路可能需要3～5個(gè)月才能完成部署，Taylor 不得不開始尋找替代方案。

Taylor說(shuō)：“我們需要一種更快的方法。訂購(gòu)MPLS線路的漫長(zhǎng)周期讓我們感到精疲力盡?！弊鳛槲挥贚AN端的思科商店以及從事WAN優(yōu)化的Riverbed客戶，GHD開始對(duì)Riverbed SD-WAN產(chǎn)品展開研究工作。

最初，Taylor對(duì)SD-WAN等顛覆性技術(shù)持懷疑態(tài)度，但是他對(duì)使用互聯(lián)網(wǎng)作為傳輸工具的想法很感興趣。因此他決定在一些較小的北美站點(diǎn)進(jìn)行嘗試性部署。Taylor說(shuō)，他發(fā)現(xiàn)Riverbed SteelConnect SD-WAN設(shè)備非常易于部署，他可以在不到六周的時(shí)間內(nèi)連接50個(gè)站點(diǎn)。

得益于Riverbed近乎零接觸的流程，在將云設(shè)備交付到分支機(jī)構(gòu)之前，他能夠在云門戶中對(duì)其進(jìn)行預(yù)配置。非IT人員可以按照簡(jiǎn)單的說(shuō)明，插入設(shè)備并在幾分鐘內(nèi)運(yùn)行它們。

Taylor說(shuō)：“我們能夠馬上看到的好處首先是互聯(lián)網(wǎng)突圍。” SD-WAN的推出恰逢其時(shí)，這與公司開始越來(lái)越多地使用SaaS應(yīng)用程序相匹配。他說(shuō)：“它們幾乎立即成為了我們?cè)L問(wèn)SaaS的解決方案?！?/p>

作為一家為政府提供服務(wù)并需要遵守ISO標(biāo)準(zhǔn)的公司，GHD非常注重安全性。Taylor 表示，他需要強(qiáng)化帶有附加安全層的SteelConnect集成防火墻，以抵御越來(lái)越多的惡意軟件。

雖然GHD在其數(shù)據(jù)中心部署了企業(yè)級(jí)防火墻，但是他們發(fā)現(xiàn)購(gòu)買和維護(hù)這些企業(yè)級(jí)防火墻的成本很高。由于不希望在所有分支機(jī)構(gòu)中部署額外的安全硬件，GHD選擇了云服務(wù)并最終選中了Zscaler。

來(lái)自分支機(jī)構(gòu)的所有流量都會(huì)流經(jīng)執(zhí)行安全策略的Zscaler站點(diǎn)。Zscaler會(huì)查看數(shù)據(jù)并監(jiān)視返回流，因?yàn)樗鼈儠?huì)進(jìn)入互聯(lián)網(wǎng)。該服務(wù)提供了諸多功能，包括防病毒、白名單、黑名單、UTM、附件沙盒和零日防護(hù)。

Taylor說(shuō)，Zscaler為他們節(jié)約了不少資金，并且與維護(hù)和更新自有安全硬件相比要更加方便。與此同時(shí)Taylor也警告稱，由于分支機(jī)構(gòu)的流量需要連接到最近的Zscaler節(jié)點(diǎn)，如果最近的節(jié)點(diǎn)與請(qǐng)求者之間有一段距離，那么性能可能會(huì)受到一定程度的影響。

從整個(gè)的SD-WAN經(jīng)驗(yàn)來(lái)看，原來(lái)的拓?fù)湫枰毦W(wǎng)絡(luò)工程師維護(hù)，現(xiàn)在只需要一名工程師進(jìn)行巡查即可。日常維護(hù)基本上交由服務(wù)臺(tái)進(jìn)行，原來(lái)的六名工程師現(xiàn)在可以專注于創(chuàng)新。

如今，Taylor的部署范圍已經(jīng)不再是最初用來(lái)嘗試的那50個(gè)小型站點(diǎn)，他開始在全球范圍內(nèi)全面部署SD-WAN?！俺杀竟?jié)省和性能提升是如此巨大，以至于我們開始盡可能地取消MPLS。”雖然合規(guī)性原因?qū)е履承┝髁繜o(wú)法進(jìn)入云端，某些語(yǔ)音和視頻應(yīng)用程序也要保留在MPLS上，但是SD-WAN已成為了GHD的主要WAN傳輸模式。

通過(guò)混合方法提升SD-WAN的安全性

WAN安全性模式正在由原來(lái)的集中式轉(zhuǎn)為分布式，即由原來(lái)的分支機(jī)構(gòu)的流量通過(guò)安全的MPLS回傳至數(shù)據(jù)中心的模式變成每個(gè)分支機(jī)構(gòu)都提升安全性，這種轉(zhuǎn)變需要一種新的組織方法。

SD-WAN不再由網(wǎng)絡(luò)和安全小組獨(dú)立負(fù)責(zé)，而是采取合作的方式，因?yàn)閳F(tuán)隊(duì)希望部署集成工具和使用通用數(shù)據(jù)集。McGillicuddy認(rèn)為，這種合作已經(jīng)超越了諸如事件響應(yīng)之類的單一情況，并已擴(kuò)展到基礎(chǔ)設(shè)施的設(shè)計(jì)和部署領(lǐng)域。

實(shí)際上，許多公司也正在采用混合方法來(lái)實(shí)現(xiàn)SD-WAN安全性。如果公司的安全設(shè)備還可以繼續(xù)使用數(shù)年時(shí)間，那么他們就不需要對(duì)設(shè)備進(jìn)行翻新和更換。為此，這些公司正在想辦法將安全功能集成到SD-WAN部署中，目的是與深度防御整合在一起。

部分公司采用的方式是托管服務(wù)。由于許多純粹的SD-WAN廠商不僅通過(guò)托管服務(wù)提供商出售其產(chǎn)品，還提供傳統(tǒng)運(yùn)營(yíng)商在其SD-WAN產(chǎn)品中使用的硬件，因此客戶可以選擇特定供應(yīng)商的設(shè)備，并將部署、維護(hù)和安全功能交給服務(wù)提供商負(fù)責(zé)。

市場(chǎng)研究機(jī)構(gòu)Nemertes Research的分析師John Burke說(shuō)：“解決問(wèn)題的方法有許多種。企業(yè)要針對(duì)自己的情況，在財(cái)務(wù)和架構(gòu)上做出最佳選擇?！彼赋?，服務(wù)鏈?zhǔn)且环N比較有吸引力的方法，其理念是將多個(gè)分散站點(diǎn)連接到一個(gè)具有強(qiáng)大安全性的大型中心站點(diǎn)上。

最后，對(duì)于許多企業(yè)而言，擺脫MPLS是他們選擇轉(zhuǎn)向SD-WAN的推動(dòng)力。對(duì)此，Burke指出，超過(guò)一半的企業(yè)會(huì)繼續(xù)把MPLS用于特定應(yīng)用，但是MPLS已經(jīng)不再是主力的WAN鏈接，它們主要用于一小部分多樣化的且被優(yōu)化過(guò)的安全WAN流量。

本文作者Neal Weinberg為專注于技術(shù)領(lǐng)域的自由作家兼編輯。

原文網(wǎng)址

https：//www.networkworld.com/article/3447618/how-to-augment-sd-wan-security-with-intrusion-prevention-anti-virus-utm-and-more.html