克服軟件定義網(wǎng)絡(luò)的安全挑戰(zhàn)

責(zé)任編輯:cres

作者:Jim Kennedy

2018-05-02 14:46:04

來源:企業(yè)網(wǎng)D1Net

原創(chuàng)

如今,越來越多的組織開始接受混合或分立網(wǎng)絡(luò)提供的功能和成本節(jié)約的優(yōu)勢。但是,目前的SD-WAN服務(wù)模型包含基本的安全缺陷,這些缺陷可能會影響到用戶的采用。

如今,越來越多的組織開始接受混合或分立網(wǎng)絡(luò)提供的功能和成本節(jié)約的優(yōu)勢。但是,目前的SD-WAN服務(wù)模型包含基本的安全缺陷,這些缺陷可能會影響到用戶的采用。
 
最大的弱點之一是其作為附加組件依賴于供應(yīng)商的安全性。在新的互聯(lián)數(shù)字世界中,組織保護(hù)數(shù)據(jù)而不需要考慮其網(wǎng)絡(luò)的狀態(tài)位置。覆蓋服務(wù)提供和傳輸數(shù)據(jù)保護(hù)的方法的一致性需要被考慮在網(wǎng)絡(luò)設(shè)計的最前沿。
 
服務(wù)提供商需要問自己一些問題:如何提供可靠的混合網(wǎng)絡(luò)?尤其是在公共互聯(lián)網(wǎng)和云服務(wù)之間,同時減少在每個網(wǎng)關(guān)或網(wǎng)絡(luò)入口點部署基礎(chǔ)設(shè)施的需要。他們?nèi)绾伪苊馀c加密相關(guān)的根本安全風(fēng)險來調(diào)查可疑活動?
 
只有回答這些基本問題,組織才能夠接受所有基于SDN的解決方案的固有優(yōu)勢,而不會降低安全性。
 
敏捷性與安全性
 
實現(xiàn)業(yè)務(wù)敏捷性和確保數(shù)據(jù)安全之間的斗爭從未變得如此具有挑戰(zhàn)性。顯然,近年來,威脅形勢發(fā)生了根本性的變化。美國計算機應(yīng)急準(zhǔn)備小組(U.Curt)發(fā)布公告稱,美國關(guān)鍵基礎(chǔ)設(shè)施遭到一些國家支持的網(wǎng)絡(luò)攻擊。毫不奇怪, IT的支出模式不僅揭示了企業(yè)面臨的安全問題,還表明企業(yè)需要了解數(shù)據(jù)發(fā)生了什么,以及在威脅出現(xiàn)時識別和處理威脅的能力。
 
然而,業(yè)務(wù)驅(qū)動從多協(xié)議標(biāo)簽交換(MPLS)網(wǎng)絡(luò)技術(shù)轉(zhuǎn)向軟件定義網(wǎng)絡(luò)(SDN),尤其是廣域網(wǎng)(WAN),可能會造成安全風(fēng)險或?qū)刹渴鸬募夹g(shù)的限制。
 
如今,SD-WAN提供了傳統(tǒng)WAN的替代方案,提供了靈活性、簡單性和降低成本的潛力。該模型不僅為開拓混合通信基礎(chǔ)設(shè)施提供了契機,從銅纜到Wi-Fi,從光纖到衛(wèi)星,為分布式業(yè)務(wù)提供高效和低成本的解決方案,但是中央管理模式轉(zhuǎn)換了過度管理開銷ASCOC,并與復(fù)雜的傳統(tǒng)WAN基礎(chǔ)設(shè)施配套。
 
使用SD-WAN的結(jié)果是將網(wǎng)絡(luò)成本降低30%到50%,但前提是它是同一個供應(yīng)商的端到端解決方案。對于復(fù)雜的網(wǎng)絡(luò),規(guī)模較大的網(wǎng)絡(luò)或在高信息保障環(huán)境中運行的網(wǎng)絡(luò),如果沒有采用創(chuàng)新的方法來部署第三方基礎(chǔ)設(shè)施解決方案,那么這些優(yōu)勢仍然值得懷疑,并且沒有消除容量限制的單獨安全覆蓋,以及供應(yīng)商/網(wǎng)絡(luò)的選擇依賴。
 
目前的做法
 
許多SDN供應(yīng)商通常提供第3層加密技術(shù)作為其SD-WAN服務(wù)產(chǎn)品的一部分:這種安全性對于替換基本網(wǎng)絡(luò)而沒有保護(hù)的網(wǎng)絡(luò)是有益的。雖然反駁意見認(rèn)為加密對于許多企業(yè)而言成本太高或難以部署,但現(xiàn)實情況是部署傳統(tǒng)的第3層加密總比沒有好。
 
但是對于可能從共享編排實例提供解決方案的新的大型SD-WAN提供商來說,必須提出的問題是:企業(yè)如何能夠保護(hù)其他供應(yīng)商運營基礎(chǔ)設(shè)施的安全,甚至是在部署編排平臺的情況下解決安全問題。此外,考慮到采用SD-WAN最引人注目的原因之一是新基礎(chǔ)設(shè)施可以靈活地連接起來以支持業(yè)務(wù)變更。在默認(rèn)情況下,這種模式會導(dǎo)致基礎(chǔ)設(shè)施來自多個提供商,企業(yè)如何確保每個新的連接也是安全的?
 
隨著組織越來越多地部署應(yīng)用程序級別的加密,還有關(guān)于性能和吞吐量的問題。多重加密是一個影響傳統(tǒng)網(wǎng)絡(luò)和SD-WAN的重大問題,許多SD-WAN部署并沒有受到網(wǎng)絡(luò)帶寬的限制,而是加密開銷。
 
更值得關(guān)注的是,如果IT團(tuán)隊希望調(diào)查應(yīng)用程序或數(shù)據(jù)源,那么通常需要關(guān)閉這些加密解決方案,這會使企業(yè)面臨黑客的攻擊。
 
網(wǎng)絡(luò)分解
 
正是認(rèn)識到這些問題,越來越多的首席信息官和首席安全官正在推動分解議程,并得出結(jié)論,服務(wù)和安全應(yīng)該與任何SD-WAN的管理和維護(hù)有所區(qū)別。這一趨勢反映了保護(hù)關(guān)鍵業(yè)務(wù)通信基礎(chǔ)設(shè)施成本效益,并消除對單一供應(yīng)商依賴的不同方法。
 
最大限度地提高SD-WAN的商業(yè)效益,并實現(xiàn)反映新出現(xiàn)的威脅載體基本安全性的唯一方法是采用安全覆蓋模型。企業(yè)需要找到一種方法在基礎(chǔ)設(shè)施的每個部分都部署端到端的第4層加密,而不必考慮基礎(chǔ)網(wǎng)絡(luò)技術(shù)。
 
除了滿足許多組織的網(wǎng)絡(luò)分解目標(biāo)之外,網(wǎng)絡(luò)不可知的加密解決方案還可以通過提供集中協(xié)調(diào)來加強SD-WAN的集中管理優(yōu)勢。這不僅證明了網(wǎng)絡(luò)的安全性,還提供了對網(wǎng)絡(luò)活動及其安全性能的重要洞察。而且,如果需要對一個應(yīng)用程序進(jìn)行調(diào)查,就不需要關(guān)閉所有安全協(xié)議,以確保公司始終處于安全狀態(tài)。
 
SD-WAN提供了令人矚目的好處,而在當(dāng)今的財政現(xiàn)實中,越來越成為分布式組織的唯一可行的選擇,尤其是考慮到越來越多的基于全球互聯(lián)網(wǎng)的基礎(chǔ)設(shè)施和云計算的使用。但是,其結(jié)果是組織對正在使用的基礎(chǔ)設(shè)施知之甚少。數(shù)據(jù)在哪里?誰擁有網(wǎng)絡(luò)?正在采取哪條路線?關(guān)鍵的是誰在保護(hù)數(shù)據(jù)以及如何保護(hù)數(shù)據(jù)?
 
對基礎(chǔ)設(shè)施的知識和控制越少,組織所需的安全控制措施和知識就越多。只有朝著網(wǎng)絡(luò)分解邁出這一步,才能擁有一種真正的網(wǎng)絡(luò)無關(guān)加密技術(shù),可以保護(hù)任何IP網(wǎng)絡(luò)上的數(shù)據(jù)傳輸,并實現(xiàn)集中的安全協(xié)調(diào)和全面的數(shù)據(jù)可視性,企業(yè)可以放心地接納SD-WAN,并獲得需要的靈活性而不受到網(wǎng)絡(luò)攻擊。
 
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號