安全是部署SD-WAN的組織最關心的問題之一。Fortinet的John Maddison解釋了什么是SD-WAN安全挑戰(zhàn)以及如何解決它們。

[[258364]]

SD-WAN產品已經上市五年多了。該技術的早期采用者主要關注與傳輸相關的問題，如用寬帶替換或增加MPLS。隨著技術的成熟并超越早期采用者階段，購買標準也會發(fā)生變化——SD-WAN也不例外。

2018年，ZK Research的一項調查要求受訪者對SD-WAN的購買標準進行排名，安全性排在首位，遠遠領先于技術創(chuàng)新和價格。(注:該問原作者為ZK Research的員工。)為了更好地理解這一趨勢以及這對網(wǎng)絡人士意味著什么，我采訪了Fortinet負責產品和解決方案的執(zhí)行副總裁約翰·麥迪森(John Maddison)，他制定了公司的產品戰(zhàn)略，使他精通SD-WAN和安全。

SD-WAN的現(xiàn)狀如何?

John Maddison:隨著數(shù)字技術的發(fā)展，很明顯，傳統(tǒng)的分支機構之間的聯(lián)系已經不能滿足當今企業(yè)所需要的復雜連接。就像一條分開的隧道一樣簡單，一個分支機構與公司總部之間有專門的連接，而與互聯(lián)網(wǎng)的實時連接可能會破壞整個組織的安全。

SD-WAN提供類似支持先進的業(yè)務應用,移動的能力對延遲敏感的數(shù)據(jù),如聲音或視頻到可靠,高速鏈接,并結合多個連接在一起,如核心網(wǎng)絡的鏈接,連接到多重云網(wǎng)絡和服務,和生活連接到互聯(lián)網(wǎng)和移動設備——成為一個完整的軟件包。

Fortinet執(zhí)行副總裁John Maddison

我們看到組織所面臨的挑戰(zhàn)是試圖將一致的安全框架應用到這個新環(huán)境中。它不僅需要保護主要的SD-WAN連接，而且還需要集成到部署在其他地方的任何安全解決方案中，比如在云中或遠程網(wǎng)絡中。這允許組織實現(xiàn)單一的安全策略，包括應用程序保護、web過濾、沙箱、網(wǎng)絡訪問控制、SSL檢查，以及諸如NGFW、IPS等解決方案，從而保護應用程序、工作流和動態(tài)數(shù)據(jù)。

隨著從早期采用者到主流用戶的轉變，市場會發(fā)生怎樣的變化?

SD-WAN的初始浪潮主要以傳輸為中心。它的主要驅動因素是從MPLS轉向MPLS和寬帶的組合，以便采用新的應用程序和服務以支持數(shù)字業(yè)務需求方面具有更大的靈活性。然而，由于企業(yè)在生產中使用了SD-WAN，因此更加關注安全性。分支機構不可能成為當今互聯(lián)分布式網(wǎng)絡模式下新的薄弱環(huán)節(jié)。將SD-WAN擴展到LAN，并使用SD-Branch重新定義整個分支，從而提供一致的安全性、統(tǒng)一的策略和統(tǒng)一的管理，也引起了越來越多的興趣。

既然安全是SD-WAN的核心要求，那么又帶來了哪些新的挑戰(zhàn)呢?

巨大的挑戰(zhàn)是傳統(tǒng)的安全解決方案已經不再適用。傳統(tǒng)安全解決方案不具備SD-WAN連接所需的性能、靈活性或互連性。更有挑戰(zhàn)性的是，他們經?？床坏竭吘夁B接。這就是為什么我們一直在開發(fā)基于意圖的細分。這種策略可以基于許多參數(shù)隔離用戶、應用程序、工作流或數(shù)據(jù)，從而在整個事務路徑上提供安全性。流量可以被強制遵循特定的行為，或者被隔離到特定的用戶或目的地，以確保始終一致的策略應用程序和執(zhí)行。

能否詳細介紹一下基于用戶和意圖的細分:它是什么，以及它能夠提供哪些好處?

當用戶啟動或接收交易時，它需要通過公共網(wǎng)絡進行傳輸。傳統(tǒng)的安全工具可以加強連接，檢查流量，識別惡意軟件以及防止流量劫持，但這通常是不夠的?？紤]到流量的增長和其他設備在這些相同連接上的密度，很容易失去對流量的跟蹤。

隔離用戶、應用程序或工作流，允許組織查看和控制可與該連接交互的設備，使犯罪分子和內部人員更難截獲，竊取或損壞該數(shù)據(jù)，并有助于確保管理數(shù)據(jù)和資源，當他們跨越日益擴大的互聯(lián)生態(tài)系統(tǒng)網(wǎng)絡時獲得保障?；谝鈭D的分段是基于業(yè)務目標和所需安全流程的意圖智能地分割IT資產，具有細粒度訪問控制，以防止在網(wǎng)絡中傳播的橫向威脅的擴散。

這可以防范哪些威脅?

基于意圖的分段可以防范各種各樣的安全問題，包括內部威脅，甚至可能已經感染網(wǎng)絡其他部分的惡意軟件溢出?；谝鈭D的分段可確?？焖贆z測到滲入網(wǎng)絡的網(wǎng)絡罪犯，以防止安全威脅的橫向傳播。

安全團隊面臨的挑戰(zhàn)之一是：他們已經被太多的安全工具所淹沒，這不會加劇這個問題嗎?

真正的問題是嘗試使用從未為此設計的工具來保護分布式網(wǎng)絡。往往會發(fā)生的是，安全性僅應用于網(wǎng)關，這會降低對網(wǎng)絡的深入可見性，或者為網(wǎng)絡的不同部分選擇和部署不同的工具。IT團隊很快就會被安全蔓延所淹沒，因此，工具不會得到更新或優(yōu)化，或者執(zhí)行不一致。

我們需要的是一個單一的安全平臺，無論在何處部署安全解決方案，都可以提供一致的策略實施，然后使用統(tǒng)一的管理和編排控制臺進行管理。核心，云端和分支機構的安全性需要像單個整體系統(tǒng)一樣進行部署，實施，管理和優(yōu)化。當然，這說起來容易做起來難。例如，不同云環(huán)境中的本機控件可能會有很大差異。安全解決方案需要根據(jù)其應用和管理的能力進行仔細選擇，無論其部署位置如何。

關于SD-WAN，您還有什么其他建議想告訴我們的讀者嗎?

考慮使用SD-WAN解決方案的組織所面臨的巨大挑戰(zhàn)之一是如何應對所有的市場宣傳。新平臺往往沒有很好的定義，導致供應商的解決方案可能彼此非常不同。安全性是一個特別具有挑戰(zhàn)性的問題，因為它最近被確定為部署SD-WAN策略的組織最關注的問題之一。

在目前提供SD-WAN解決方案的60多家供應商中，很少有提供所有類型的集成安全策略。雖然大多數(shù)都提供一些簡單的有狀態(tài)安全，但它們并不能解決當今數(shù)字企業(yè)所面臨的大多數(shù)安全問題。相反，它們依賴其他供應商提供諸如安全預防、下一代防火墻、web過濾、惡意軟件分析、SSL和IPSec檢查和沙箱等功能。

但考慮到目前的安全技能差距，這可能是一場等待發(fā)生的災難。通過公共網(wǎng)絡將高級安全部署到下一代分支機構并非易事。僅部署、配置和優(yōu)化就會產生許多組織沒有資源管理的人員和財務開銷。但是其中的任何漏洞都可能使SD-WAN連接容易受到。

相反，組織應該通過將簡單的、集成的安全性和SD-WAN解決方案綁定到單個平臺來尋找滿足資源約束的解決方案。