SDWAN网络和组网网络一样安全吗?
SDWAN是否是像其组网网络一样安全。回答是“取决于情况”。
组网网络是专用网络。开启和关闭它的唯一方法是通过服务提供商分配的端口。通常通过您的数据中心之一来访问Internet,和从Internet进行访问,那里的外围安全通常很集中,并且流量配置和限制。由于传递的实际消息只能由您的专用网络域内的人员和利用程序看到,因此组网流量通常不加密。
在组网网络的顶部部署SDWAN一样安全,并且可以为网络中的所有流量添加加密,但是将需要SDWAN装备处理集线器和云网关上的所有流量。但是,有很多简单的方法可使用组网内置的功能来实现SDWAN的利用程序可见性和性能优化功能。
大多数SDWAN部署都与底层网络的更改(包括基于Internet的传输)或架构的更改(从集线器的集中式Internet分支(受重防火墙和策略控制)转移到每一个分支位置的本地Internet分支)相干联。
基于互联网的运输
转移到Internet传输并在隧道中加密您的信息实际上是一种确保其安全的好方法。但是您的流量的时间和性质是暴露的。当大量信息流会聚到集线器中时,该信息完全隐藏在组网世界中。假定这些流量对贵公司的运营或法规遵从性很重要,则该集线器可以成为DDoS勒索攻击的潜伏目标。
与组网网络不同,SDWAN网络具有在Internet上的中央控制器。除非得到良好控制,否则这些漏洞可能会暴露这些漏洞。最近的一项研究发现,散布在2000个主机上的近5000个IP地址仿佛是SDWAN中央控制器接口,其中大多数运行的是已知漏洞的软件过时版本。
这些中央控制器不但具有取得IPSec安全性密钥的潜力,而且还具有切断对SDWAN管理服务器的访问的能力。这可能会致使您失去可见性并没有法更改路由。一段时间后,站点将没法与管理器交换更新的密钥,因此将停止一起路由。
本地互联网爆发
因此,向Internet传输和SDWAN转移会带来安全风险,但最大的影响来自使用站点的Internet连接进行本地Internet突围。这将严格控制和可控制的面向互联网的范围从少数几个主要数据中心位置移到了一个扩大到每一个远程站点的位置。
本地Internet的突破带来了SDWAN的真正前景从源头上减轻Internet绑定流量的负担,避免与漫游相干的性能降落,并在本地提供对云服务的本地访问。
可以采取两种方法。它首先尝试保持这类不可渗透的扩大边界。第二个重点是更多内部安全方法,例如身份控制和微分段。
大多数SDWAN提供商都包括一个访问控制列表(ACL),该访问控制列表应避免通过WAN端口和管理通道进行入站通讯。然后,许多客户将此与使用基于云的代理进行出站通讯相结合,利用许多SDWAN解决方案中的功能来创建和保护到ZEN节点的GRE或IPSec链接。但是,在为出站流量提供公道的安全性的同时,此解决方案在入站流量方面相对较弱。对有经验的黑客来讲,欺骗流量以通过ACL其实不难,这就是为啥保持安全边界依赖全部资产范围内良好且一致的ACL策略利用的缘由。
由于我们对SDWAN装备之间流量的安全性充满信心,因此可以通过在IaaS解决方案中添加虚拟SDWAN装备来实现本地互联网突破,以保护“云”中的服务(例如客户的Azure托管环境)。另外,这可以通过使用服务提供商到AWS,Azure等的传统组网链接来完成,而没必要依赖互联网连接。但是,此时,需要根据特定站点或位置上或从特定站点或位置访问哪些资产和数据,和由谁来访问,来斟酌云安全控制和网络访问控制和身份管理控制的使用。
如何部署SDWAN并保护安全性?
虽然SDWAN网络不如传统组网网络安全,但如果说“如何部署SDWAN并保持安全性?”,那末这取决于您将如何使用SDWAN,安全策略和远程站点上已具有的装备,公司的策略和根据其运行的法规和一如既往地取决于CIO的冒险意愿。您一定要权衡网络连接中断或丢失的影响与承受能力之间的关系,以作为SDWAN转换业务案例的一部份,并决定在网络上部署额外的安全性。
网友留言: