越來(lái)越多的組織使用互聯(lián)網(wǎng)作為新的企業(yè)WAN.Nemertes研究集團(tuán)發(fā)現(xiàn),各種行業(yè)和規(guī)模的企業(yè)都越來(lái)越關(guān)注這個(gè)領(lǐng)域。在一些情況中,這意味著互聯(lián)網(wǎng)連接和WAN連接同時(shí)存在——
甚至出現(xiàn)了一種“分割線路”,即將MPLS鏈接的一部分作為WAN訪問(wèn),另一部分則通過(guò)運(yùn)營(yíng)商的云(而非WAN和數(shù)據(jù)中心)連接互聯(lián)網(wǎng)。
在另一些情況中,互聯(lián)網(wǎng)訪問(wèn)可能是唯一的網(wǎng)絡(luò)鏈路。一些分公司只有互聯(lián)網(wǎng)鏈路,他們將互聯(lián)網(wǎng)鏈路作為連接VPN與WAN的唯一方式;另一些分則使用它實(shí)現(xiàn)VPN鏈路和互聯(lián)網(wǎng)訪問(wèn),從而不需要通過(guò)數(shù)據(jù)中心回送流量;還有一些則只將該鏈路用于寬帶互聯(lián)網(wǎng)訪問(wèn),他們的用戶通過(guò)互聯(lián)網(wǎng)訪問(wèn)公司資源,訪問(wèn)方式與其他互聯(lián)網(wǎng)用戶完全一樣。
假設(shè)互聯(lián)網(wǎng)鏈路不僅僅用于創(chuàng)建VPN連接,那么IT就必須規(guī)劃分公司的安全措施,避免它遭受來(lái)自互聯(lián)網(wǎng)的攻擊。有三種方法可以實(shí)現(xiàn)分公司的互聯(lián)網(wǎng)安全性:使用專用設(shè)備、使用云服務(wù)和使用混合方法。最基本的原則是,只有在安全解決方案通過(guò)測(cè)試和允許部署時(shí),IT才能夠使用這個(gè)連接訪問(wèn)互聯(lián)網(wǎng)VPN.
通過(guò)設(shè)備保證由互聯(lián)網(wǎng)連接的分支網(wǎng)絡(luò)安全性
設(shè)備模型的主要優(yōu)點(diǎn)是IT已經(jīng)掌握實(shí)施方法和所有技能,這是很大的優(yōu)勢(shì)。其重要性在于掌握了一種解決問(wèn)題的有效方法。但它的主要缺點(diǎn)是,IT可能不準(zhǔn)備使用路由器集成的安全特性,而是必須在每一個(gè)位置部署一臺(tái)設(shè)備。這樣既增加投入和運(yùn)營(yíng)成本,也增加了分公司基礎(chǔ)架構(gòu)的復(fù)雜性,從而增加了由于錯(cuò)誤配置和設(shè)備故障造成中斷的風(fēng)險(xiǎn)。
建議:如果沒(méi)有策略驅(qū)動(dòng)和高級(jí)自動(dòng)化的集中管理方法,那么IT不應(yīng)該部署基于設(shè)備的解決方案。如果必須逐一管理各個(gè)設(shè)備,那么基于設(shè)備的策略就很難擴(kuò)展到大規(guī)模站點(diǎn)上。要尋找一種能夠解決大范圍安全威脅的解決方案,確定您是否能夠?qū)踩耘c路由、管理或其他功能整合在一起。
通過(guò)云來(lái)保證由互聯(lián)網(wǎng)連接的分支網(wǎng)絡(luò)安全性
云方法將安全掃描操作轉(zhuǎn)移到其他人的網(wǎng)絡(luò)設(shè)備上,通常是你的連接提供商,但是也可能是第三方公司。例如,在分割線路中,它就是MPLS.
它的優(yōu)點(diǎn)是,由于分公司不需要部署設(shè)備,所以這種策略能夠保證分支網(wǎng)絡(luò)靈活簡(jiǎn)單。啟動(dòng)時(shí)間短(有時(shí)候這些服務(wù)可以按需啟動(dòng))、移植簡(jiǎn)單和不需要資金投入,都讓解決方案更靈活。
它的缺點(diǎn)是,大多數(shù)IT部門還不熟悉這種安全模型,他們需要掌握特定的專業(yè)知識(shí),才能真正符合組織的安全要求。此外,IT會(huì)對(duì)安全性的控制更少,實(shí)現(xiàn)的可見(jiàn)性也更少。最后,這種方法經(jīng)常不可實(shí)現(xiàn):只有一些運(yùn)營(yíng)商和少數(shù)第三方服務(wù)提供商提供了“云防火墻”和基于云的分支網(wǎng)絡(luò)保護(hù)服務(wù)。
建議:IT應(yīng)該考慮云安全性,如果組織的安全策略和風(fēng)險(xiǎn)管理政策允許,要尋找和測(cè)試符合需求的供應(yīng)商。它的優(yōu)勢(shì)之一是按使用付費(fèi);有時(shí)候甚至可以“購(gòu)買前先試用”。而且,它很容易啟用和關(guān)閉,所以可以試用多個(gè)提供商的服務(wù)。
使用混合解決方案保證由互聯(lián)網(wǎng)連接的分支網(wǎng)絡(luò)安全性
混合方法組合了設(shè)備和云解決方案的特點(diǎn)。它使用本地設(shè)備提供本地服務(wù),但是由云提供商負(fù)責(zé)管理和更新,甚至還增加額外一層功能。例如,設(shè)備可以通過(guò)云服務(wù)對(duì)第一次遇到的URL進(jìn)行安全評(píng)估。
它的優(yōu)點(diǎn)是,云管理能夠減少運(yùn)營(yíng)開(kāi)支,而本地設(shè)備能夠提升處理性能,而且也更容易滿足本地安全要求。
它的缺點(diǎn)是,這種模型依賴于云服務(wù),服務(wù)中斷可能會(huì)暫時(shí)嚴(yán)重影響或破壞他們的設(shè)備。它需要在每個(gè)站點(diǎn)配備設(shè)備,這增加了每個(gè)分支網(wǎng)絡(luò)的設(shè)備數(shù)量。有一些提供商會(huì)完全操作成本——把設(shè)備費(fèi)用包括在服務(wù)價(jià)格中(并非所有提供商都這樣),有時(shí)候IT必須購(gòu)買一些設(shè)備。
建議:如果您的組織允許使用云安全解決方案,那么IT應(yīng)該選擇混合解決方案,作為提高性能的方法(特別是大的分支網(wǎng)絡(luò))。
大多數(shù)擁有大量分公司的公司都會(huì)變成混合使用WAN與互聯(lián)網(wǎng)連接的分支網(wǎng)絡(luò)。IT需要評(píng)估直接訪問(wèn)互聯(lián)網(wǎng)的安全方法——設(shè)備、云和混合方法。
京公網(wǎng)安備 11010502049343號(hào)