軟件定義WAN(SD-WAN)引發(fā)人們重新開始關注網(wǎng)絡分段和安全性。所有主要SD-WAN供應商都在其產(chǎn)品中提供某種形式的網(wǎng)絡分段，并吹捧這項技術可解決安全性和路徑隔離。

正確的網(wǎng)絡分段策略需要企業(yè)非常了解他們的系統(tǒng)和目標。而SD-WAN供應商對網(wǎng)絡分段有自己的定義，并沒有哪個供應商具有全面的分段策略可完全解決你企業(yè)的分段需求。你可能需要考慮無數(shù)的分段考慮因素–從身份驗證和授權到管理安全角色和策略，你必須深入研究。

傳統(tǒng)分段技術很繁瑣

傳統(tǒng)上，網(wǎng)絡團隊在進行網(wǎng)絡分段時，他們會使用各種工具在不同流程中創(chuàng)建路徑隔離。你經(jīng)常會看到各種標記路由方案或虛擬化路由實例，還有安全訪問控制列表(ACL)。幾乎所有方法都在2層網(wǎng)絡到4層網(wǎng)絡中的某處運行，并且大多數(shù)方法繁瑣且需要大量勞動來部署和管理。

在過去，隔離并不依靠身份;而是基于IP地址的位置。這種方法在以前可行，當時一臺機器運行一項服務或一名用戶坐在一臺端點設備前，但是這樣的日子已經(jīng)過去?，F(xiàn)在，我們在一個端點具有多個服務，并且服務可以動態(tài)移動或擴展以應對各種情況。嚴格基于IP地址進行隔離已不再足夠或不可擴展。

曾經(jīng)，安全性也很簡單–基于身份或位置，并由ACL進行管理，ACL很快會變得繁瑣–即使在很小數(shù)量的情況。強制執(zhí)行計算機和應用程序安全性并沒有更好。跟蹤誰應該有權訪問什么內(nèi)容變成徒勞無益的練習，并且，安全訪問優(yōu)先級的錯誤也很常見。在這種情況下，新的分段方法應運而生。

網(wǎng)絡分段和SD-WAN

在其核心，網(wǎng)絡分段旨在防止進程橫向遍歷網(wǎng)絡。換句話說，用戶的文字處理器實例沒有理由訪問另一個用戶系統(tǒng)上的數(shù)據(jù)庫。同樣，訪問單個數(shù)據(jù)庫的前端系統(tǒng)也無需與網(wǎng)絡中的其他系統(tǒng)通信。好的分段策略可以將流程僅隔離到其需要訪問的組件和系統(tǒng)。

對于網(wǎng)絡分段策略，企業(yè)面臨的困難是，如何在SD-WAN供應商提供的各種分段工具中做出選擇。有些供應商采取以網(wǎng)絡為中心的方法，依靠第3層和第4層的路徑隔離和分段。有些則采用以應用程序為中心的方法，依靠第7層網(wǎng)絡;其他則在不同網(wǎng)絡層使用多項技術進行分段。但是，所有做法都有著相同的目標，那就是在系統(tǒng)和用戶進程之間建立安全屏障。

現(xiàn)在，安全泄漏事故屢見不鮮，并以驚人的頻率發(fā)生。因此，在選擇任何SD-WAN產(chǎn)品時，安全控制應該是最重要的問題。僅僅靜態(tài)地分斷網(wǎng)絡是不夠的，好的SD-WAN平臺必須幾乎實時地審核和響應安全事件，同時減輕由數(shù)據(jù)泄露引起的任何損害。

其他重要的企業(yè)分段功能包括：

• 自動化部署;
• 支持路徑隔離;
• 訪問和授權策略—理想情況下，使用專用機密保管庫。

如果你需要將傳統(tǒng)的非分段網(wǎng)絡遷移到高度分段的網(wǎng)絡，你需要對業(yè)務需求有深入的了解和扎實的知識。為了嘗試新事物而進行分段并不是部署分段策略的好理由。沒有哪個供應商提供完整的網(wǎng)絡分段策略，企業(yè)網(wǎng)絡團隊只有通過了解其當前網(wǎng)絡以及為什么要對其進行分段，才能選擇正確的產(chǎn)品來完成網(wǎng)絡分段。