新广域网,新安全性
为了解决SD-WAN固有的安全性问题,您需要确定如何分割WAN上的流量并保护它的安全。MPLS 和DMVPN网络采取的安全措施 还不够。网络层分段是必须的。随着时间的流逝,供应商将在其SD-WAN解决方案中构建安全服务和防火墙,从而使他们的解决方案更具吸引力和安全性。
防火墙和分段的重要性
如今,许多WAN允许进行网络分段。这很重要,但是没有提供足够的粒度。为了解决此问题,某些提供程序将允许您细分到端点。本质上,这种粒度就是您在防火墙和VLAN上看到的粒度。SD-WAN供应商将安全元素和防火墙集成到他们的解决方案中,并声称可以创建单个安全性涵盖WAN和LAN的策略。通常,应用程序分类是五元组(源和目标地址,源和目标端口号,再加上三层协议类型)或六元组(五元组加上DSCP或ToS值)。这些都不提供在应用程序层识别服务和用户所必需的粒度。实际上,SD-WAN供应商通常很难提供完成该功能所必需的详细程度。
SD-WAN和WAN防火墙的供应商
- Cato Networks 在其Cato Cloud服务中提供了WAN防火墙。它的WAN防火墙检查跨服务的私有骨干网传输的所有流量,并允许为移动用户和办公室用户应用相同的安全策略。
- Versa Networks 提供了网络功能虚拟化(NFV)功能,允许在SD-WAN解决方案中部署符合NFV的防火墙。
- Nuage Networks是我所知道的唯一一家供应商,其中包括2-4层防火墙作为其虚拟安全服务(VSS)产品组合的一部分,并在WAN上扩展其软件定义网络(SDN)。
攻击者如何到达您的WAN?
对于许多 SD-WAN供应商而言,安全集成意味着检查传出和传入的互联网流量以确保安全。但是,检查绑定到Internet的HTTP流量(例如Zscaler提供的内容)不能解决危险的站点到站点流量的问题,这需要它自己的保护和检查。我的大多数客户已经在使用下一代防火墙(NGFW),安全Web网关(SWG),防火墙和其他从Internet分割网络的安全设备。在内部,ACL和VLAN将一个资源与另一个资源进行分段。但是我的大多数客户都不必担心对实际的WAN本身进行分段。
L3 WAN架构是细分的挑战。尽管IP路由几乎可以完成任何事情,但在MPLS环境中分段IP却异常复杂,并且需要VRF,MPLS / LDP和 MP BGP 方面的专业知识,而不仅仅是IP路由方面的专业知识。就是说,WAN分段很重要,因为它可以防止影响一个办公室的攻击在整个企业中传播。由于大多数安全威胁都来自企业内部,因此对于那些需要最佳安全性的组织而言,WAN分段已变得不可或缺。SD-WAN提供基于控制器的网络,并简化了WAN分段。
通常,SD-WAN解决方案允许用户为基础网络定义策略,然后在节点之间分发策略。在定义每个策略时,用户将包括寻址,网络配置,应用程序特征等。这种基于策略的系统通常通过IPsec创建多点隧道,该多点隧道链接每个策略中定义的办公室。在每个网段中,流量仅限于该网段内关联的目的地和来源。公司通常会根据用例将其WAN分为5-7个应用程序组。例如,这些应用程序可能包括访客Wi-Fi,关键任务应用程序,文件传输,实时应用程序以及其他所有内容。尽管某些SD-WAN供应商可能会声称每个应用程序都有单独的SD-WAN网段,
