最大的弱點之一是其作為附加組件依賴于供應商的安全性。在新的互聯數字世界中,組織保護數據而不需要考慮其網絡的狀態位置。覆蓋服務提供和傳輸數據保護的方法的一致性需要被考慮在網絡設計的最前沿。
服務提供商需要問自己一些問題:如何提供可靠的混合網絡?尤其是在公共互聯網和云服務之間,同時減少在每個網關或網絡入口點部署基礎設施的需要。他們如何避免與加密相關的根本安全風險來調查可疑活動?
只有回答這些基本問題,組織才能夠接受所有基于SDN的解決方案的固有優勢,而不會降低安全性。
敏捷性與安全性
實現業務敏捷性和確保數據安全之間的斗爭從未變得如此具有挑戰性。顯然,近年來,威脅形勢發生了根本性的變化。美國計算機應急準備小組(U.Curt)發布公告稱,美國關鍵基礎設施遭到一些國家支持的網絡攻擊。毫不奇怪, IT的支出模式不僅揭示了企業面臨的安全問題,還表明企業需要了解數據發生了什么,以及在威脅出現時識別和處理威脅的能力。
然而,業務驅動從多協議標簽交換(MPLS)網絡技術轉向軟件定義網絡(SDN),尤其是廣域網(WAN),可能會造成安全風險或對可部署的技術的限制。
如今,SD-WAN提供了傳統WAN的替代方案,提供了靈活性、簡單性和降低成本的潛力。該模型不僅為開拓混合通信基礎設施提供了契機,從銅纜到Wi-Fi,從光纖到衛星,為分布式業務提供高效和低成本的解決方案,但是中央管理模式轉換了過度管理開銷ASCOC,并與復雜的傳統WAN基礎設施配套。
使用SD-WAN的結果是將網絡成本降低30%到50%,但前提是它是同一個供應商的端到端解決方案。對于復雜的網絡,規模較大的網絡或在高信息保障環境中運行的網絡,如果沒有采用創新的方法來部署第三方基礎設施解決方案,那么這些優勢仍然值得懷疑,并且沒有消除容量限制的單獨安全覆蓋,以及供應商/網絡的選擇依賴。
目前的做法
許多SDN供應商通常提供第3層加密技術作為其SD-WAN服務產品的一部分:這種安全性對于替換基本網絡而沒有保護的網絡是有益的。雖然反駁意見認為加密對于許多企業而言成本太高或難以部署,但現實情況是部署傳統的第3層加密總比沒有好。
但是對于可能從共享編排實例提供解決方案的新的大型SD-WAN提供商來說,必須提出的問題是:企業如何能夠保護其他供應商運營基礎設施的安全,甚至是在部署編排平臺的情況下解決安全問題。此外,考慮到采用SD-WAN最引人注目的原因之一是新基礎設施可以靈活地連接起來以支持業務變更。在默認情況下,這種模式會導致基礎設施來自多個提供商,企業如何確保每個新的連接也是安全的?
隨著組織越來越多地部署應用程序級別的加密,還有關于性能和吞吐量的問題。多重加密是一個影響傳統網絡和SD-WAN的重大問題,許多SD-WAN部署并沒有受到網絡帶寬的限制,而是加密開銷。
更值得關注的是,如果IT團隊希望調查應用程序或數據源,那么通常需要關閉這些加密解決方案,這會使企業面臨黑客的攻擊。
網絡分解
正是認識到這些問題,越來越多的首席信息官和首席安全官正在推動分解議程,并得出結論,服務和安全應該與任何SD-WAN的管理和維護有所區別。這一趨勢反映了保護關鍵業務通信基礎設施成本效益,并消除對單一供應商依賴的不同方法。
最大限度地提高SD-WAN的商業效益,并實現反映新出現的威脅載體基本安全性的唯一方法是采用安全覆蓋模型。企業需要找到一種方法在基礎設施的每個部分都部署端到端的第4層加密,而不必考慮基礎網絡技術。
除了滿足許多組織的網絡分解目標之外,網絡不可知的加密解決方案還可以通過提供集中協調來加強SD-WAN的集中管理優勢。這不僅證明了網絡的安全性,還提供了對網絡活動及其安全性能的重要洞察。而且,如果需要對一個應用程序進行調查,就不需要關閉所有安全協議,以確保公司始終處于安全狀態。
SD-WAN提供了令人矚目的好處,而在當今的財政現實中,越來越成為分布式組織的唯一可行的選擇,尤其是考慮到越來越多的基于全球互聯網的基礎設施和云計算的使用。但是,其結果是組織對正在使用的基礎設施知之甚少。數據在哪里?誰擁有網絡?正在采取哪條路線?關鍵的是誰在保護數據以及如何保護數據?
對基礎設施的知識和控制越少,組織所需的安全控制措施和知識就越多。只有朝著網絡分解邁出這一步,才能擁有一種真正的網絡無關加密技術,可以保護任何IP網絡上的數據傳輸,并實現集中的安全協調和全面的數據可視性,企業可以放心地接納SD-WAN,并獲得需要的靈活性而不受到網絡攻擊。
版權聲明:本文為企業網D1Net編譯,轉載需注明出處為:企業網D1Net,如果不注明出處,企業網D1Net將保留追究其法律責任的權利。
京公網安備 11010502049343號