SD-WAN:WAN安全的新開端

責(zé)任編輯:editor005

2017-08-22 14:53:46

摘自:SDNLAB

和多協(xié)議標(biāo)簽轉(zhuǎn)換(MPLS)連接提供了新的安全選擇。與很多基于MPLS的骨干網(wǎng)經(jīng)常被沒(méi)有授權(quán)的用戶所訪問(wèn),SD-WAN使得IT能夠通過(guò)隧道來(lái)對(duì)網(wǎng)絡(luò)上的流量進(jìn)行分段。

業(yè)界目前廣泛關(guān)注的SD-WAN技術(shù),為傳統(tǒng)的廣域網(wǎng)(WAN)和多協(xié)議標(biāo)簽轉(zhuǎn)換(MPLS)連接提供了新的安全選擇。與很多基于MPLS的骨干網(wǎng)經(jīng)常被沒(méi)有授權(quán)的用戶所訪問(wèn),SD-WAN使得IT能夠通過(guò)隧道來(lái)對(duì)網(wǎng)絡(luò)上的流量進(jìn)行分段。

正如安全專家所認(rèn)知的,三層中的分段幾乎不能稱之為安全網(wǎng)絡(luò)。SD-WAN仍然缺少7層網(wǎng)絡(luò)的可見性,以防止惡意用戶和惡意軟件對(duì)不同網(wǎng)絡(luò)網(wǎng)絡(luò)系統(tǒng)的訪問(wèn)。只有通過(guò)將安全融入SD-WAN中,企業(yè)才能獲得他們所尋求的安全性。

WAN需要分段

隨著網(wǎng)絡(luò)的不斷發(fā)展,工作的性質(zhì)在過(guò)去的十年間發(fā)生了巨大的改變,工作人員和數(shù)據(jù)現(xiàn)在分布在云端,工作人員可以在任何有網(wǎng)絡(luò)的地方訪問(wèn)數(shù)據(jù)。雖然從業(yè)務(wù)的角度出發(fā)帶來(lái)了巨大的收益,但也將傳統(tǒng)的網(wǎng)絡(luò)邊緣消弭于無(wú)形。

網(wǎng)絡(luò)曾經(jīng)以物理業(yè)務(wù)為中心而設(shè)置,以有效防止外部威脅,但是網(wǎng)絡(luò)目前已經(jīng)擴(kuò)展到任何接入其中的移動(dòng)設(shè)備中。這意味著對(duì)網(wǎng)絡(luò)的攻擊可以來(lái)自于任何地方,將給網(wǎng)絡(luò)帶來(lái)巨大的安全隱患。

如果沒(méi)有某種形式的網(wǎng)絡(luò)分段,網(wǎng)絡(luò)攻擊者可以很輕易地訪問(wèn)業(yè)務(wù)的核心組件,包括數(shù)據(jù)中心。這一安全風(fēng)險(xiǎn)的典型例子是發(fā)生在2013年的Target網(wǎng)絡(luò)安全事件。在這種情況下,安全專家發(fā)現(xiàn)網(wǎng)絡(luò)中的訪問(wèn)是沒(méi)有限制的,可以從初始入口處進(jìn)行橫向遷移,將廠商可訪問(wèn)系統(tǒng)供給POS寄存器。

SD-WAN幫助提高安全性

SD-WAN可以通過(guò)限制對(duì)關(guān)鍵資源的訪問(wèn)來(lái)提高安全性,例如通過(guò)將HR用戶放置在自己的Overlay或分段中,他們可以訪問(wèn)工資單服務(wù)器,但不能訪問(wèn)工程部門的文件服務(wù)器?;蛘哂脩鬢iFi網(wǎng)絡(luò)上的用戶可以使用通用互聯(lián)網(wǎng),但無(wú)法訪問(wèn)內(nèi)部資源。這些在已有的SD-WAN實(shí)例中都是相當(dāng)普遍的應(yīng)用案例。

SD-WAN通過(guò)使用三層加密隧道(通常是基于IPsec)分段WAN來(lái)實(shí)現(xiàn)這種網(wǎng)絡(luò)隔離,每個(gè)位置的SD-WAN節(jié)點(diǎn)根據(jù)用戶定義的策略將VLAN或IP地址范圍映射到隧道。

SD-WAN有助于最大程度地減少內(nèi)部攻擊面,并防止多種類型的基本攻擊。惡意用戶和腳本智能攻擊Overlay內(nèi)可訪問(wèn)的資源,并且限制不同Overlay上資源的橫向遷移。

常規(guī)的SD-WAN仍然容易受到影響

然而,SD-WAN分段僅限制基于設(shè)備的訪問(wèn)。不安全的設(shè)備將會(huì)帶來(lái)不安全的網(wǎng)絡(luò)訪問(wèn),一旦出現(xiàn)這種情況,SD-WAN分段無(wú)法阻止攻擊者跨分段攻擊,惡意軟件仍然可以快速地進(jìn)行攻擊。

解決這個(gè)問(wèn)題意味著應(yīng)用與企業(yè)網(wǎng)絡(luò)的各個(gè)部分之間使用相同的高級(jí)安全服務(wù),用于組織保護(hù)外圍防火墻、下一代防火墻、惡意軟件防護(hù)等等。安全決策需要基于真實(shí)的應(yīng)用層信息,而不是簡(jiǎn)單的設(shè)備地址。

將防火墻即服務(wù)集成到SD-WAN中,可以為所有的移動(dòng)用戶、云資源等輕松實(shí)現(xiàn)這種深層的WAN分段。當(dāng)傳統(tǒng)的安全堆棧與SD-WAN相結(jié)合時(shí),企業(yè)可以避免前期硬件的投資、維護(hù)成本或冗長(zhǎng)的配置過(guò)程。隨著越來(lái)越多的企業(yè)紛紛轉(zhuǎn)向云端的綜合安全和網(wǎng)絡(luò)服務(wù),高級(jí)網(wǎng)絡(luò)分段將成為常態(tài)。

原文鏈接:https://www.infosecurity-magazine.com/opinions/sd-wans-security/

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)