Neal Weinberg

SD-WAN技術(shù)正變得越來越普及，因為它們比MPLS更便宜、更靈活、更易于部署，并且提供了集中的可見性和管理功能。得益于WAN鏈接整體性能的提高，員工的生產(chǎn)力也得到了大幅提升。但是讓分支機(jī)構(gòu)中的最終用戶直接連接到公共互聯(lián)網(wǎng)和云服務(wù)會引起嚴(yán)重的安全問題，這使得SD-WAN部署的復(fù)雜性和風(fēng)險也隨之提升。

據(jù)市場研究機(jī)構(gòu)EMA（企業(yè)管理聯(lián)盟）在2018年底對北美和歐洲的250家企業(yè)進(jìn)行的一項調(diào)查顯示，在分支機(jī)構(gòu)中部署了SD-WAN的企業(yè)出現(xiàn)數(shù)據(jù)泄露的可能性是未部署SD-WAN的企業(yè)的1.3倍。EMA的分析師Shamus McGillicuddy表示，這是因為許多企業(yè)最初完全依賴其SD-WAN設(shè)備中的原生安全功能，而不是通過附加防御層來增強(qiáng)這些功能。

典型的SD-WAN產(chǎn)品會提供狀態(tài)防火墻、網(wǎng)絡(luò)分段和站點到站點隧道等功能，但是它們并不提供更復(fù)雜的安全措施。例如，可識別應(yīng)用程序的下一代防火墻、入侵防護(hù)、數(shù)據(jù)丟失防護(hù)和統(tǒng)一威脅管理。此外，它們不會與企業(yè)的其他安全基礎(chǔ)設(shè)施進(jìn)行自動集成。

好消息是，企業(yè)客戶越來越意識到除了產(chǎn)品的基本功能之外還需要其他的一些安全功能。IDG Research和托管SD-WAN服務(wù)提供商Masergy近期進(jìn)行的一項調(diào)查顯示，有81%的受訪者表示，安全性是他們選擇SD-WAN廠商的最關(guān)鍵因素。

純粹的SD-WAN廠商已經(jīng)得到了清晰且明確的信息，并開始與CheckPoint、Palo Alto Networks等傳統(tǒng)安全供應(yīng)商以及Zscaler等基于云的提供商合作提供集成軟件包。

對于想要確保SD-WAN連接具有強(qiáng)大安全性的客戶而言，他們還有另外兩種選擇。企業(yè)可以選擇擁有良好的安全口碑且最近已開發(fā)出了SD-WAN產(chǎn)品的公司，例如思科或Fortinet，也可以選擇由運(yùn)營商或托管服務(wù)提供商來承擔(dān)端到端WAN流量的責(zé)任，同時選擇這些提供商提供的安全功能，例如可以按需購買的Web內(nèi)容過濾和防病毒保護(hù)。

美國Network World網(wǎng)站采訪了兩家部署SD-WAN但采用完全不同方法來確保其分支機(jī)構(gòu)連接的公司W(wǎng)estcon-Comstor和GHD。這兩家公司均意識到他們應(yīng)該做更多的事情來增強(qiáng)其SD-WAN安全性。

借助下一代防火墻技術(shù)提升Silver Peak SD-WAN的安全性

全球IT分銷商Westcon-Comstor的高級基礎(chǔ)架構(gòu)經(jīng)理Michael Soler表示，吸引他從基于Silver Peak Unity EdgeConnect平臺的MPLS轉(zhuǎn)向SD-WAN的因素是彈性、成本、可擴(kuò)展性和可視性。

該公司的遠(yuǎn)程網(wǎng)絡(luò)由兩個共同管理的數(shù)據(jù)中心、兩個Azure數(shù)據(jù)中心以及位于北美、歐洲和亞洲的23個辦事處組成。彈性是老舊MPLS網(wǎng)絡(luò)一直存在的問題。Soler說：“ IPSec故障轉(zhuǎn)移非常麻煩。在你真正需要它們之前，它們在紙上總是看起來很棒?！?/p>

成本是另一個問題。Soler指出，由于缺乏對網(wǎng)絡(luò)使用情況的了解，優(yōu)化帶寬需求以及確定超額預(yù)訂或低額預(yù)訂的數(shù)量十分具有挑戰(zhàn)性。

長期以來，通過MPLS網(wǎng)絡(luò)修改或啟動新服務(wù)時，一直都存在靈活性不足且響應(yīng)時間過慢的問題。Soler 說，MPLS部署的復(fù)雜性增加了出錯機(jī)會，這導(dǎo)致用戶體驗不佳。

在調(diào)研了許多SD-WAN廠商之后，他于2017年底開始使用Silver Peak設(shè)備進(jìn)行概念驗證，并對其快捷部署和高效，尤其是諸如前向糾錯和路徑調(diào)節(jié)等功能印象深刻。Soler 為部署流程建立了模板，隨后在所有站點開始部署SD-WAN技術(shù)。

Soler 稱：“我們?nèi)〉昧司薮蟮某晒??！盬AN成本得到了降低，同時彈性和可視性也得到了極大改善，最終用戶對通過直接訪問互聯(lián)網(wǎng)和Azure云所能實現(xiàn)的性能和靈活性感到滿意。

為了解決分支機(jī)構(gòu)中存在的與互聯(lián)網(wǎng)突圍（Internet breakout）相關(guān)的安全問題，Soler部署了下一代防火墻，以強(qiáng)化Silver Peak設(shè)備隨附的狀態(tài)防火墻。互聯(lián)網(wǎng)突圍是指分支機(jī)構(gòu)的互聯(lián)網(wǎng)流量沒有回傳到應(yīng)用安全控制的中央站點。

Soler 相信通過不斷的努力，最終會尋找到可更為高效地強(qiáng)化安全態(tài)勢的方法。目前，Soler 正在研究一種稱為服務(wù)鏈接的技術(shù)，該技術(shù)使他能夠獲取位于德國的4個分支機(jī)構(gòu)的流量，并將其集中到位于德國境內(nèi)應(yīng)用了防火墻策略的中央樞紐。Soler 稱，從長遠(yuǎn)來看，他也有興趣研究基于云的SD-WAN安全服務(wù)。

基于云的安全服務(wù)增強(qiáng)了SD-WAN安全性

GHD全球網(wǎng)絡(luò)經(jīng)理Randy Taylor在部署Riverbed SD-WAN設(shè)備時采取了與Westcon-Comstor不同的方法。他沒有購買分支機(jī)構(gòu)安全工具，而是選擇了Zscaler基于云的安全服務(wù)。

GHD提供一站式工程、建筑、環(huán)境等專業(yè)服務(wù)，其擁有一個純粹的MPLS WAN，可將來自全球30個站點的流量回傳到其托管數(shù)據(jù)中心。

該公司在2015年展開了一系列的并購活動，使得其在北美的WAN接近130個站點。面對每個新的MPLS鏈路可能需要3～5個月才能完成部署，Taylor 不得不開始尋找替代方案。

Taylor說：“我們需要一種更快的方法。訂購MPLS線路的漫長周期讓我們感到精疲力盡。”作為位于LAN端的思科商店以及從事WAN優(yōu)化的Riverbed客戶，GHD開始對Riverbed SD-WAN產(chǎn)品展開研究工作。

最初，Taylor對SD-WAN等顛覆性技術(shù)持懷疑態(tài)度，但是他對使用互聯(lián)網(wǎng)作為傳輸工具的想法很感興趣。因此他決定在一些較小的北美站點進(jìn)行嘗試性部署。Taylor說，他發(fā)現(xiàn)Riverbed SteelConnect SD-WAN設(shè)備非常易于部署，他可以在不到六周的時間內(nèi)連接50個站點。

得益于Riverbed近乎零接觸的流程，在將云設(shè)備交付到分支機(jī)構(gòu)之前，他能夠在云門戶中對其進(jìn)行預(yù)配置。非IT人員可以按照簡單的說明，插入設(shè)備并在幾分鐘內(nèi)運(yùn)行它們。

Taylor說：“我們能夠馬上看到的好處首先是互聯(lián)網(wǎng)突圍?！?SD-WAN的推出恰逢其時，這與公司開始越來越多地使用SaaS應(yīng)用程序相匹配。他說：“它們幾乎立即成為了我們訪問SaaS的解決方案?！?/p>

作為一家為政府提供服務(wù)并需要遵守ISO標(biāo)準(zhǔn)的公司，GHD非常注重安全性。Taylor 表示，他需要強(qiáng)化帶有附加安全層的SteelConnect集成防火墻，以抵御越來越多的惡意軟件。

雖然GHD在其數(shù)據(jù)中心部署了企業(yè)級防火墻，但是他們發(fā)現(xiàn)購買和維護(hù)這些企業(yè)級防火墻的成本很高。由于不希望在所有分支機(jī)構(gòu)中部署額外的安全硬件，GHD選擇了云服務(wù)并最終選中了Zscaler。

來自分支機(jī)構(gòu)的所有流量都會流經(jīng)執(zhí)行安全策略的Zscaler站點。Zscaler會查看數(shù)據(jù)并監(jiān)視返回流，因為它們會進(jìn)入互聯(lián)網(wǎng)。該服務(wù)提供了諸多功能，包括防病毒、白名單、黑名單、UTM、附件沙盒和零日防護(hù)。

Taylor說，Zscaler為他們節(jié)約了不少資金，并且與維護(hù)和更新自有安全硬件相比要更加方便。與此同時Taylor也警告稱，由于分支機(jī)構(gòu)的流量需要連接到最近的Zscaler節(jié)點，如果最近的節(jié)點與請求者之間有一段距離，那么性能可能會受到一定程度的影響。

從整個的SD-WAN經(jīng)驗來看，原來的拓?fù)湫枰毦W(wǎng)絡(luò)工程師維護(hù)，現(xiàn)在只需要一名工程師進(jìn)行巡查即可。日常維護(hù)基本上交由服務(wù)臺進(jìn)行，原來的六名工程師現(xiàn)在可以專注于創(chuàng)新。

如今，Taylor的部署范圍已經(jīng)不再是最初用來嘗試的那50個小型站點，他開始在全球范圍內(nèi)全面部署SD-WAN?！俺杀竟?jié)省和性能提升是如此巨大，以至于我們開始盡可能地取消MPLS?！彪m然合規(guī)性原因?qū)е履承┝髁繜o法進(jìn)入云端，某些語音和視頻應(yīng)用程序也要保留在MPLS上，但是SD-WAN已成為了GHD的主要WAN傳輸模式。

通過混合方法提升SD-WAN的安全性

WAN安全性模式正在由原來的集中式轉(zhuǎn)為分布式，即由原來的分支機(jī)構(gòu)的流量通過安全的MPLS回傳至數(shù)據(jù)中心的模式變成每個分支機(jī)構(gòu)都提升安全性，這種轉(zhuǎn)變需要一種新的組織方法。

SD-WAN不再由網(wǎng)絡(luò)和安全小組獨立負(fù)責(zé)，而是采取合作的方式，因為團(tuán)隊希望部署集成工具和使用通用數(shù)據(jù)集。McGillicuddy認(rèn)為，這種合作已經(jīng)超越了諸如事件響應(yīng)之類的單一情況，并已擴(kuò)展到基礎(chǔ)設(shè)施的設(shè)計和部署領(lǐng)域。

實際上，許多公司也正在采用混合方法來實現(xiàn)SD-WAN安全性。如果公司的安全設(shè)備還可以繼續(xù)使用數(shù)年時間，那么他們就不需要對設(shè)備進(jìn)行翻新和更換。為此，這些公司正在想辦法將安全功能集成到SD-WAN部署中，目的是與深度防御整合在一起。

部分公司采用的方式是托管服務(wù)。由于許多純粹的SD-WAN廠商不僅通過托管服務(wù)提供商出售其產(chǎn)品，還提供傳統(tǒng)運(yùn)營商在其SD-WAN產(chǎn)品中使用的硬件，因此客戶可以選擇特定供應(yīng)商的設(shè)備，并將部署、維護(hù)和安全功能交給服務(wù)提供商負(fù)責(zé)。

市場研究機(jī)構(gòu)Nemertes Research的分析師John Burke說：“解決問題的方法有許多種。企業(yè)要針對自己的情況，在財務(wù)和架構(gòu)上做出最佳選擇?！彼赋?，服務(wù)鏈?zhǔn)且环N比較有吸引力的方法，其理念是將多個分散站點連接到一個具有強(qiáng)大安全性的大型中心站點上。

最后，對于許多企業(yè)而言，擺脫MPLS是他們選擇轉(zhuǎn)向SD-WAN的推動力。對此，Burke指出，超過一半的企業(yè)會繼續(xù)把MPLS用于特定應(yīng)用，但是MPLS已經(jīng)不再是主力的WAN鏈接，它們主要用于一小部分多樣化的且被優(yōu)化過的安全WAN流量。

本文作者Neal Weinberg為專注于技術(shù)領(lǐng)域的自由作家兼編輯。

原文網(wǎng)址

https：//www.networkworld.com/article/3447618/how-to-augment-sd-wan-security-with-intrusion-prevention-anti-virus-utm-and-more.html