网路千万条,安全第一条
1.云边界问题使企业饱受困扰
云边界,即网络、云和安全系统的交叉点。企业分支机构通常需要大量对云应用或者云服务上的资源进行访问,如果所有流量都要发送到企业数据中心进行安全检查、分析和过滤,则需要使用大量的MPLS带宽,不仅价格昂贵,而且会增加数据中心安全架构的规模和复杂性,致使传输效率低下,安全成本增加。但是,如果不通过数据中心的安全设备,组织要面临员工访问恶意站点,恶意回传流量所带来的数据泄漏、恶意软件感染等安全隐患。
2.分支机构的网络接入管控
企业为了提升客户体验往往会倾向于向客户开放其分支机构WiFi,以便访客访问企业公开的业务、数据和服务。同时,由于企业组织架构在地域分布上的的复杂性,分支机构的员工及其设备在访问企业内部资源时也需要进行身份认证,并通过不同的网络分段策略划分权限。这种试图以多种形式通过分支结构接入企业广域网内部的行为,将会导致企业面临不可预估的风险。
分支机构网络的复杂性以及对于云端应用的青睐,让传统企业广域网的***面不断放大,SD-WAN作为新一代广域网技术,其安全性也备受关注,SD-WAN的安全连接可以帮助抵御网络安全***,企业还可以使用SD-WAN配置安全策略,针对特定于云的流量对流量进行加密和分段。SD-WAN的安全性又可以分为两个方面:
数据平面安全
在考虑SD-WAN安全性时,首先会想到就是数据面。数据平面承载用户流量,需要对其进行加密。加密方法可以包括安全套接字层、传输层安全、IPsec ***隧道和基于量子的加密通讯等等。供应商往往会提供不同的加密和密钥交换方法。密钥轮换时间间隔越短意味着越安全,因为它们减少了***可以使用密钥的时间。
控制平面安全
控制平面的安全经常会被忽略。这是网络控制元素(位于组成SD-WAN的路由器和交换设备中)之间的消息传递路径。针对这些流量进行加密同样重要,这样***者就无法拦截、***或损害您的SD-WAN的管理和配置功能。大多数(但不是全部)供应商会对控制平面进行加密。
目前市场上的大部分SD-WAN解决方案供应商,几乎全部都仅支持IPSec ***和基本的状态性安全,而这完全不足以在不断进化发展的网络***面前保护好企业。因此,企业不得不在部署SD-WAN后再添加额外的安全保护。SD-WAN支持端到端加密以及按应用或组织层级进行划分,可提供嵌入式安全机制。但相当一部分SD-WAN供应商并不提供全面的企业级安全解决方案。企业可以选择(1)整合至SD-WAN解决方案当中的高级安全方案(2)第三方SaaS方案(3)由现有或新供应商提供一套基于设备的内部方案来加强SD-WAN的安全性。
查看更多内容