網(wǎng)絡應與安全同化

這到底是什么意思?是說網(wǎng)絡與安全可能在2017年內(nèi)相互替代?CIO與CISO們是否應當準備迎接這種不可避免的趨勢?安全與網(wǎng)絡技術(shù)人員又該如何為這波沖擊做好準備?

當然，我們對此有著自己的想法。通過對多家SD-WAN廠商的關(guān)注以及傳統(tǒng)技術(shù)發(fā)展帶來的啟示，

SD-WAN中的“SD”是否會引發(fā)安全災難?

毫無疑問，任何由SD-WAN實現(xiàn)的互聯(lián)網(wǎng)直連作法都代表著新的攻擊面。大多數(shù)企業(yè)都擁有一套甚至多套區(qū)域性互聯(lián)網(wǎng)接入中心。而暴露在互聯(lián)網(wǎng)下的直接后果就是，大家將遭遇更多勒索軟件、釣魚網(wǎng)絡、惡意下載乃至其它隱患的威脅。

更可怕的是，大家分支機構(gòu)中的安全性水平可能更差。用戶們往往依賴于MPLS或者基于互聯(lián)網(wǎng)的IPSec VPN，而且我見到的大多數(shù)企業(yè)仍在將回程流量路由至中央或者區(qū)域樞紐處的安全互聯(lián)網(wǎng)訪問門戶。這里可能不具備防火墻、惡意軟件檢測或者其它安全保護措施。

事實上，最近Dimension Data發(fā)布的一份調(diào)查恰好提到了這方面議題。該調(diào)查發(fā)現(xiàn)，40%的企業(yè)分支機構(gòu)并不具備基礎的有狀態(tài)防火墻。半數(shù)分支機構(gòu)沒有采用下一代防火墻(簡稱NGFW)。SD-WAN與互聯(lián)網(wǎng)直連對于分支機構(gòu)代表著雙重風險。企業(yè)不僅面臨更大的攻擊面，其甚至未能利用現(xiàn)有工具及規(guī)程對其加以保護。

其它網(wǎng)絡與安全實現(xiàn)方案

SD-WAN供應商也意識到了安全挑戰(zhàn)的存在。各廠商紛紛開始探討網(wǎng)絡層問題——包括加密、IPSec及驗證等等。WAN上的網(wǎng)絡分區(qū)以自己的方式進行流量隔離，從而保護其中的應用免受外部WAN活動的威脅。其基本思路與主機上的虛擬機應用隔離手段相當接近，而且已經(jīng)有眾多廠商開始在其分支設備中內(nèi)置有狀態(tài)防火墻。

不過更大的問題在于，我們要如何為分支機構(gòu)提供NGFW、惡意軟件檢測、IDS/IPS、URL過濾及其它應用級安全機制。關(guān)于這一點，我們發(fā)現(xiàn)各廠商普遍采取以下四種方案中的一種或者幾種。

服務鏈與云安全

從基礎層面，已經(jīng)有一部分 SD-WAN供應商開始合作以將自身安全水平提升至“業(yè)界領先”。這種服務鏈的出現(xiàn)使得各類安全功能得以串聯(lián)起來。深度數(shù)據(jù)包檢測(簡稱DPI)能夠立足邊緣網(wǎng)絡發(fā)現(xiàn)并引導相關(guān)流量至對應的安全設備處，而不再需要全部流經(jīng)中央數(shù)據(jù)中心。

不過服務鏈安全設備仍然會將部分回程分支流量引導至某些檢查位置。為了在無需于分支機構(gòu)內(nèi)部署完整安全設備堆棧的前提下實現(xiàn)互聯(lián)網(wǎng)直連，多數(shù)SD-WAN廠商聯(lián)合建立起云安全服務。作為其中一例，Zscaler會將全部入站與出站TCP、UDP及ICMP流量發(fā)送至Zscaler云進行檢查，而后才轉(zhuǎn)發(fā)至目的地。

服務鏈提供一套框架以解決基本安全問題，但企業(yè)所創(chuàng)建的涉及多種應用、用戶類型及站點的服務實例依然面臨風險。很明顯，只有采取高度集成化與自動化策略方可實現(xiàn)企業(yè)廣域網(wǎng)管理。SD-WAN與安全參數(shù)應通過單一接口進行定義與交付。在此之后，必要工具應能夠?qū)⑦@些策略推送至基礎設施中的各個角落。

眾多領先SD-WAN供應商已經(jīng)開始提供這些功能，但其中網(wǎng)絡與安全分析機制仍然彼此分離。例如，我們無法通過整合安全與網(wǎng)絡信息的方式最大程度降低安全操作人員收到的警報信息。同樣的，安全設備也無法借此檢測DDoS攻擊或者屏蔽當前網(wǎng)絡分區(qū)的對應入口。雖然網(wǎng)絡與安全日志可被導出至第三方工具，但這些嚴格的分析與控制協(xié)作能力仍然超出了大多數(shù)SD-WAN廠商間的合作范疇。

原生SD-WAN與安全整合

在內(nèi)部設施層面，企業(yè)仍然需要承擔全部管理與運營復雜性，并負責維護安全基礎設施的日常運行。防火墻、更新、補丁等事務仍然相當繁瑣但又必要。而在云安全服務層面，企業(yè)亦需要負責保護一切非HTTP流量。在這兩種情況下，策略整合能力通常非常有限，且難以甚至根本無法實現(xiàn)分析能力整合。

有鑒于此，部分SD-WAN廠商開始進一步將安全與SD-WAN功能進行耦合。Versa Networks就在利用NFV方案在接入SD-WAN的站點上運行安全功能。Cato Networks亦嘗試立足其云環(huán)境中提供路由功能。

通過將安全與網(wǎng)絡加以緊密耦合，企業(yè)能夠獲得良好的收益。例如，Versa公司能夠借此對安全及網(wǎng)絡日志進行更深層次的分析，從而減少安全運營工作中的事件負載。而通過將此類功能遷移至云端，Cato公司則確保IT團隊無需承擔基礎設施內(nèi)各獨立部分的運營成本。

那么這種作法是否存在弊端?最大的問題在于，這迫使企業(yè)客戶由“行業(yè)最佳”巨頭轉(zhuǎn)向那些歷史相對較短的方案供應商。另外，盡管Versa已經(jīng)同不少第三方安全設備建立起協(xié)作，但這種作法將使得安全與網(wǎng)絡分析整合能力化為烏有。

網(wǎng)絡應與安全同化

網(wǎng)絡與安全間的界線將在未來幾年內(nèi)變得更加模糊——至少在技術(shù)層面上是如此。不過就短期來看，網(wǎng)絡與安全團隊間仍存在明顯區(qū)別。SD-WAN還將提供這兩類團隊間的更佳協(xié)作方案，而這或許將成為SD-WAN廠商為IT安全作出的最大貢獻。

本文轉(zhuǎn)自