51CTO首页
AI.x社区
博客
学堂
精品班
直播训练营
企业培训
鸿蒙开发者社区
WOT技术大会
AIGC创新中国行
公众号矩阵
移动端
短视频免费课程课程排行直播课软考学堂
全部课程厂商认证IT技术2024年软考PMP项目管理软考资讯
在线学习
文章资源问答课堂专栏直播
51CTO
鸿蒙开发者社区
51CTO技术栈
51CTO官微
51CTO学堂
51CTO博客
CTO训练营
鸿蒙开发者社区订阅号
51CTO题库小程序
51CTO学堂APP
51CTO学堂企业版APP
鸿蒙开发者社区视频号
账号设置 退出

如何避免SD-WAN的常见安全错误

作者:nana
安全 应用安全
软件定义广域网(SD-WAN)可将数字转型的好处延伸至分公司,因而是很多公司企业的首选。但是,很多公司在采纳SD-WAN时并未周密考虑安全问题。

数字转型不仅仅是将工作流迁移到云端和采纳IoT,而是整个网络的工具重构,令整个网络变得更快、更高效、更灵活、更具成本有效性。也就是说,数字转型还意味着应用敏捷软件及应用开发,重新思考访问与登录,以及创建动态自适应网络环境。

软件定义广域网(SD-WAN)可将数字转型的好处延伸至分公司,因而是很多公司企业的首选。无论员工身处何方,是在数据中心还是多云部署还是网络上任何一个位置都没关系,都可以即时访问分布式资源,而且无需严格的实现要求和昂贵的传统多协议标签交换(MPLS)连接开销。

常见SD-WAN安全错误

但是,很多公司在采纳SD-WAN时并未周密考虑安全问题。SD-WAN项目通常由网络运维团队负责实施,但太多公司过于沉浸在SD-WAN带来的好处中,以致完全忘记了安全。

还有部分问题源于供应商没在其解决方案中集成进恰当的安全措施。目前约有60多家SD-WAN解决方案供应商,几乎全部都仅支持 IPSec VPN 和基本的状态性安全,而这完全不足以在不断进化发展的网络攻击面前保护好公司企业。因此,公司企业不得不在部署SD-WAN后再添加额外的有效安全层。供应商的过失不仅令公司企业因运行了他们的不安全解决方案而陷入风险,往复杂SD-WAN部署上硬加传统安全工具的做法也增加了不必要的复杂性和开销,导致维持SD-WAN的总成本上升。

SD-WAN基本安全要求

为解决这些问题,SD-WAN解决方案至少应包含以下4个基本安全策略:

1. 要求原生NGFW防护

首先,公司企业须选择内置了下一代防火墙(NGFW)安全的SD-WAN解决方案。作为SD-WAN部署的一个集成功能,这一先进的安全技术能确保整个SD-WAN保持一致的检查、检测和防护,无论是在分公司还是在云端还是在数据中心。同时,即便SD-WAN为适应网络需求而做出改动,NGFW也可对原生工作流、数据和应用提供保护;而这是大多数遗留安全解决方案难以提供的一个功能。当然,不是所有安全解决方案都一样,所以如果该集成NGFW安全解决方案能够经由第三方检验其安全有效性,情况会更加美好。

2. 集成很重要

谁都不想再多部署一道独立的安全解决方案。今天的分布式数字网络安全防护工作就已经够复杂的了,割裂的可见性和逐设备策略编排只会更加复杂化这项工作。所以需确保的第二件事,就是为SD-WAN部署选择的安全策略要能无缝集成进现有安全架构中。选择一个能融入现有安全框架的解决方案可以通过提供网络安全可见性、集中式管理控制和威胁情报共享与关联,给公司带来更健壮的安全状态。

3. 必须加密SD-WAN流量

用宽带连接替代MPLS的问题在于公共互联网通常是不可靠的,对于需即时访问资源和数据的数字公司及用户而言,这有可能引发严重问题。而且,近90%的公司企业都采用了多云策略,每个云都要求有独立的连接。因此,大多数部署SD-WAN的公司采用多条宽带连接各分公司到核心网络及访问各个云实例。然而,每条此类连接同时也扩展了公司的潜在攻击界面。

另外,为提升员工协作效率,公司企业倾向于部署 Office 365 和 Salesforce 之类基于云的软件即服务(SaaS)应用。这些连接常会包含需加以保护的关键信息。所以,任何SD-WAN解决方案都应采用VPN为自己覆上一层传输安全保障,而且这些VPN解决方案还提供了非常高的性能和动态可扩展性。

4. 必须检查加密流量

以微秒为成功计量单位的数字商业环境中,仅有安全的连接显然是不够的。随着SSL(HTTPS)流量的增长,攻击者逐渐将恶意软件隐藏进加密隧道以逃避检测。不幸的是,大多数SD-WAN供应商提供的基本安全措施并不包含SSL检查,或者,即便有SSL检查,功能性能上也达不到要求。这是企业部署SD-WAN时最常见的一种失误。

其中难点之一在于,就算安全团队确实在SD-WAN部署中嵌入了安全,SSL检查也会拉低市场上几乎每个遗留NGFW解决方案的性能。事实上,绝大多数安全供应商甚至不会公布他们的SSL检查性能指标。然而,当今数字市场中激烈竞争的公司企业也不愿意牺牲性能求安全。因此,SSL检查要么随意实现,要么根本就没有。这也是为什么除了可扩展的VPN连接,还得关注第三方测试给出的SSL检查指标的原因。我们必须选择同时符合性能要求与安全要求的解决方案。

总结

SD-WAN迅速成为网络转型工作的基本构件,令公司企业得以在当今激烈的数字市场竞争中获得速度与效率上的优势。但随着威胁与恶意软件愈趋复杂和普遍,我们必须补强传统MPLS连接的既有安全防护。

为此,高级安全功能不仅应成为最初SD-WAN选择时的考量内容,还应尽可能彻底地集成到环境中,以便更好地检测和防止如今越来越先进的各种威胁。可供选择的高级安全功能包括原生NGFW、灵活可扩展的VPN和高性能SSL检查。想要明智选择这些解决方案,可以求助于评估过程中包含安全性能与功能考量的第三方测试。

【本文是51CTO专栏作者“”李少鹏“”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】

戳这里,看该作者更多好文

责任编辑:赵宁宁 来源: 51CTO专栏
软件定义广域网SD-WAN安全
相关推荐
SD-WAN实施中常见五种安全错误
随着SDWAN实施的案例不断增加,考虑其高级安全功能的重要性至关重要,这些功能应该进行集成而不是尝试对其进行改进。

2020-07-09 11:35:05

SD-WAN网络架构网络技术
避免这五个常见SD-WAN部署错误
技术越来越多地用于将广泛分布的分支机构和企业网络,从而提高应用程序性能,提高业务生产力并降低IT成本。不幸地是,许多SDWAN的好处由于一些常见的部署错误而丧失了。

2019-11-04 05:37:52

SD-WAN软件定义的广域网网络
如何避免五大常见安全错误?
乍一看,文中给出的这些建议似乎实在太过简单,但过去一年中零售行业几乎每一起重大的数据泄密事件未能采纳至少其中一个建议。

2015-01-14 09:29:35

SD-WAN 部署陷阱:如何避免五大常见挑战
更改网络架构是一项至关重要的工作,整个过程可以分为规划、部署验证和运营洞察三个阶段。以下是在部署和运营过程中可能出错的五个常见挑战。

2021-10-22 06:05:29

SD-WAN网络架构网络
SD-WANWAN安全新开端
业界目前广泛关注的SDWAN技术,为传统的广域网(WAN)和多协议标签转换(MPLS)连接提供了新的安全选择。与很多基于MPLS的骨干网经常被没有授权的用户所访问,SDWAN使得IT能够通过隧道来对网络上的流量进行分段。

2017-08-23 18:36:21

5个常见SD-WAN挑战以及如何应对
本文探讨了IT团队在评估SDWAN供应商时面临的五个挑战:供应商选择、底层配置、云连接、成本降低和管理。

2021-05-09 15:28:34

SD-WAN网络IT
如何利用安全SD-WAN解决多云安全挑战
随着越来越多的企业采用多云,他们需要在统一的安全架构下保护和连接其复杂环境的解决方案。多云部署通常会遇到缺乏可见性、管理工具脱节以及安全性问题的困扰。有效的SDWAN解决方案可以提供跨多个云平台的可感知应用程序的网络基础设施。

2021-04-06 11:18:26

云计算SD-WAN云安全
6个需要避免常见容器安全错误
容器是部署应用程序和服务的一种安全方法,但前提是你需要正确的使用它们。

2020-05-19 10:14:01

容器容器安全
SD-WAN如何优化应用交付?
广域网应用性能一直由2层和3层服务的服务质量(QoS)策略所监视。但是,现有一个新技术正在改变应用交付格局:软件定义WAN。问题是,SDWAN能够给应用程序带来什么好处

2016-11-01 23:31:19

SD-WAN应用交付
SD-WAN与VPN如何比较?
企业在比较SDWAN与VPN服务时,在两种技术之间进行选择应该考虑成本、云计算使用和应用意识等因素。

2019-09-29 15:07:01

SD-WAN发展探讨:SD-WAN结合区块链技术
随着软件定义广域网(SDWAN)成为主流,它将有助于推动区块链的灵活性和适应性。将区块链与SDWAN相结合,通过加快处理时间,降低交易成本,并记录每个交易的每个节点验证的详细的分组数据流,从而降低审计和监管风险。

2017-11-16 05:10:16

SD-WAN区块链软件定义广域网
什么是SD-WAN
SDWAN(软件定义广域网)是一种基于软件定义网络的技术。它提供了一种虚拟服务,其中数据中心可以连接到分支机构和云。这使组织能够跨多个站点安全地连接用户、应用和数据,并提高性能、可靠性和可扩展性。

2024-03-15 15:21:28

如何开始构建SD-WAN RFP
企业网络团队需要拟定软件定义WAN需求建议书(RFP),以迫使提议供应商和服务提供商为SDWAN市场内提供的众多功能提供透明度。在本文中,我们将探讨你的企业在拟定SDWANRFP内容时应包括的元素。

2020-01-07 22:01:20

SD-WANIT网络
SD-WAN提供安全云服务接入
谈到云计算,首先想到的是安全问题。因此,对于接入云服务的网络给予了很大的关注。传统的方法是,IT组织依赖于MPLS链路的内在隔离,但是通信服务提供商(CSP)在一定情况下会配错他们的系统。随着业界转变为通过互联网连接和在现有MPLS架构上运行SDWAN,对安全、受保护的广域连接的需求越来越高。

2017-06-03 17:36:55

SD-WAN带来了新安全挑战
安全是部署SDWAN的组织最关心的问题之一。Fortinet的JohnMaddison解释了什么是SDWAN安全挑战以及如何解决它们。

2019-02-27 14:37:52

SD-WAN安全宽带
混合WANSD-WAN差别
混合WAN和SDWAN这两个概念经常被误用,总有人认为这两个概念是可以相互替换的。混合WAN是在多个连接路径路由流量的方式,软件定义广域网(SDWAN)通过集中管理并提供业务策略编排和安全性,简化了WAN的管理。

2018-01-29 05:51:15

SD-WAN安全三代之变
如果不向分支机构提供本地互联网访问,用户就无法充分利用SDWAN提供的所有优势,并且用户需要在提供安全服务的前提下访问本地互联网。

2018-05-10 23:30:02

SD-WAN优先还是安全优先?
物联网也需要采用SASE解决安全问题。将WAN和安全架构转变为SASE的整体业务驱动力可以为用户提供最佳的应用程序质量的体验。

2021-08-26 15:03:11

SASEWAN安全架构
混合WANSD-WAN之间区别
混合广域网(WAN)和软件定义的广域网(SDWAN)这两个术语经常被人们错误地视为可互换的概念。混合广域网是在多个连接路径上路由流量的实践,而软件定义广域网(SDWAN)通过集中管理和提供业务策略流程和安全性,简化了混合广域网的管理。

2018-02-28 11:34:20

如何避免五大常见安全错误? - 网络·安全技术周刊第190期
window.location.href'http:www.51cto.comedmnetworkedmedm190150113.html';

2015-01-14 17:06:41

网络·安全技术周刊
点赞
收藏

51CTO技术栈公众号

业务
速览
在线客服