為了節(jié)省開支����,減少MPLS私有專線的使用�,企業(yè)開始傾向于混合部署軟件定義廣域網(wǎng)(SD-WAN)技術(shù)�。然而許多企業(yè)對于SD-WAN并不了解�����,甚至?xí)灰恍┙鉀Q方案廠商所誤導(dǎo)���,這就會導(dǎo)致了SD-WAN濫用�����,甚至不斷在安全性上踩坑���。比如下面的五大SD-WAN安全誤區(qū)就必須更要避免才行。
誤區(qū)一:有了SD-WAN就安全
SD-WAN技術(shù)主要是利用軟件優(yōu)勢提升網(wǎng)絡(luò)性能���,降低成本���,同時保證安全穩(wěn)定性的同時兼顧部署的便捷性。但僅僅是出于網(wǎng)絡(luò)安全考慮��,就將MPLS專線更換SD-WAN卻是冒了安全風(fēng)險的�����。
因為即便近期SD-WAN呈現(xiàn)出爆炸性增長態(tài)勢�,SD-WAN也支持端到端加密以及按應(yīng)用或組織層級進(jìn)行劃分,提供嵌入式安全機(jī)制�。但實際上,相當(dāng)一部分SD-WAN供應(yīng)商并不提供全面的企業(yè)級安全解決方案�����。
而許多企業(yè)對SD-WAN的方案架構(gòu)可能并未吃透,就急于上馬項目�,也為安全威脅埋下了隱患。因此�����,選擇具有符合企業(yè)特定需求的SD-WAN安全解決方案就變得相當(dāng)關(guān)鍵了�����。
誤區(qū)二:安全投入能省就省
對于抱著此種理念的企業(yè)來說���,面對SD-WAN解決方案時�,往往怎么省錢怎么花�,然而削減投入帶來的副作用就是無法達(dá)成SD-WAN在部署后應(yīng)有的安全策略效果。
由于一些SD-WAN解決方案也集成有安全功能或策略���,因此讓部分企業(yè)就存了僥幸心理���,認(rèn)為SD-WAN技術(shù)也會使用VPN進(jìn)行傳輸,并融合數(shù)據(jù)壓縮與流量管理技術(shù)�,自身安全性能已然提升�。而且SD-WAN自帶了安全功能�,那么其他安全設(shè)備的投入是不是能省則省了?
這顯然優(yōu)勢一個安全誤區(qū)����,面對當(dāng)今網(wǎng)絡(luò)安全威脅不斷提升之際,僅僅依靠SD-WAN的基本安全產(chǎn)品�����,對于一個企業(yè)來說顯然是不夠的��。因為想采用SD-WAN技術(shù)的企業(yè)�,同樣也需要網(wǎng)絡(luò)安全設(shè)備以及相應(yīng)的威脅管理策略���,比如安全網(wǎng)關(guān)服務(wù)或下一代防火墻(NGFW)����、包括入侵防御�、SSL檢查、Web過濾和反惡意軟件保護(hù)等等����,不然入坑自然是分分鐘的事了�。
誤區(qū)三:以為分支路由器也安全
SD-WAN技術(shù)需要遵循與其他IT基礎(chǔ)架構(gòu)元素相同的嚴(yán)格安全標(biāo)準(zhǔn)���。尤其要特別注意在采用SD-WAN過程中對于分支路由器的使用�。雖然對于傳統(tǒng)的分支路由器部署��,一旦安裝完成后有可能幾個月都無需再檢查該硬件設(shè)備�����,但此種情況則并不適用于SD-WAN路由器����。
因為對于SD-WAN路由器來說,使用最新的安全補(bǔ)丁來確保設(shè)備固件更新是相當(dāng)重要��。即便是一些SD-WAN路由器具備了智能自動修復(fù)功能�,也無法改變需要根據(jù)應(yīng)用環(huán)境而隨時變換安全配置的事實。
小心SD-WAN安全誤區(qū)
誤區(qū)四:有啥�、少啥安全功能不知道
當(dāng)企業(yè)評估多個SD-WAN解決方案時,一些特定SD-WAN解決方案所支持的安全功能常被忽視掉�����。但與技術(shù)中的大多數(shù)事情一樣���,如果你不完全理解這個解決方案�����,它可能會導(dǎo)致更多的問題出現(xiàn)�,而不了解SD-WAN有哪些安全功能,則往往會導(dǎo)致企業(yè)面臨風(fēng)險�����。因為這可能導(dǎo)致無法檢測到缺失的安全功能�����。
例如�����,經(jīng)常能看到采用SD-WAN解決方案的公司�����,將UTM設(shè)備從所在數(shù)據(jù)中心的集中式互聯(lián)網(wǎng)出口遷移到分布式互聯(lián)網(wǎng)出口模型上�����。但大多數(shù)SD-WAN解決方案只提供一個簡單的狀態(tài)防火墻�,實際上,它并不能提供與控制其集中模型訪問的下一代UTM相同的保護(hù)����。這種疏忽可能會使用戶處于網(wǎng)絡(luò)威脅之中,而不自知�。
誤區(qū)五:營銷手冊上說的都對
對于解決方案商營銷手冊上說的,顯然要辯證的看�����。SD-WAN營銷手冊上常常提到其賣點是無需采用者預(yù)先配置路由或網(wǎng)絡(luò)路徑�����。然而�����,這種態(tài)度可能會造成主要的SD-WAN安全漏洞���。如果沒有預(yù)先確定的路徑��,公司將無法回答幾個關(guān)鍵問題�����,例如數(shù)據(jù)從A點到B點的路徑���,是誰擁有它所經(jīng)過的網(wǎng)絡(luò)���,更重要的是,在傳輸中的數(shù)據(jù)會發(fā)生什么���。
數(shù)據(jù)通過企業(yè)無法掌控的運(yùn)營寬帶互聯(lián)網(wǎng)節(jié)點傳播�,顯然需要額外的安全控制和技術(shù)來加密通過IP網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)才行��。但如果僅僅相信營銷手冊上說法�,無疑又再為自己的安全挖坑了。
結(jié)語
由此看出����,僅僅依靠SD-WAN自身的安全性是不夠的�����,只有通過正確方式構(gòu)建安全防御����,避免上述五大認(rèn)知誤區(qū)�,才能為企業(yè)打造出安全網(wǎng)絡(luò)����。
軟件定義廣域網(wǎng)有坑 五大安全誤區(qū)必知
