通常,分支機(jī)構(gòu)連接是通過專用租用線路處理的。這種設(shè)置多年來運(yùn)行良好,因為MPLS通常與互聯(lián)網(wǎng)的狂野西部更加分割,是主要的傳輸方式。此外,VPN創(chuàng)建了更多連接。
但傳統(tǒng)的WAN也限制了對云應(yīng)用程序的訪問。企業(yè)會在訪問互聯(lián)網(wǎng)之前通過總部路由分支機(jī)構(gòu)流量,使用防火墻來保護(hù)數(shù)據(jù)和系統(tǒng)。雖然這種安排造成了數(shù)據(jù)瓶頸,但由于安全控制,多年來它一直是易于管理和首選的系統(tǒng)。
SD-WAN的出現(xiàn)改變了網(wǎng)絡(luò)安全模型,將更多的安全性和控制力推向了邊緣——企業(yè)需要適應(yīng)這一新現(xiàn)實。那么SD-WAN如何改變網(wǎng)絡(luò)安全邊界?
一、將安全推向邊緣
軟件定義的WAN (SD-WAN)改變了安全模式。隨著企業(yè)開始關(guān)注SD-WAN并將部分或全部分支機(jī)構(gòu)流量轉(zhuǎn)移到寬帶互聯(lián)網(wǎng)產(chǎn)品,安全性正變得更具挑戰(zhàn)性。
這種變化正在發(fā)生,因為許多SD-WAN產(chǎn)品使用寬帶連接并通過公共互聯(lián)網(wǎng)而不是專用租用線路發(fā)送數(shù)據(jù)和控制,將網(wǎng)絡(luò)安全邊界推向邊緣,并從不同的角度看待安全。
單個強(qiáng)大的防火墻不再是SD-WAN的主要保護(hù),企業(yè)現(xiàn)在需要考慮邊緣的安全性。隨著越來越多的企業(yè)依賴云服務(wù),在云中運(yùn)行的任何應(yīng)用程序都更容易通過SD-WAN連接從分支機(jī)構(gòu)位置直接通過互聯(lián)網(wǎng)訪問,而不是先將所有云流量路由回總部。
通過在分支機(jī)構(gòu)通過SD-WAN連接到互聯(lián)網(wǎng)的邊緣實施安全和控制,企業(yè)可以更好地管理流量。此外,組織還可以通過消除大量冗余流量來降低數(shù)據(jù)傳輸成本。然而,為了有效地做到這一點(diǎn),企業(yè)應(yīng)該關(guān)注 SD-WAN配置過程并將安全性直接集成到該配置中。
SD-WAN的自動化和編排可以使這成為可能,因為配置過程更加自動化和可控。過去,由于每個分支機(jī)構(gòu)都需要獨(dú)立配置,因此在分支機(jī)構(gòu)級別實現(xiàn)單獨(dú)的安全性是一項艱巨的挑戰(zhàn)。
二、軟件定義的邊界也可以提供幫助
SD-WAN可以幫助自動化邊緣安全,使IT能夠?qū)⒁恍炞C推送到分支機(jī)構(gòu)并支持更靈活的安全配置文件。
但另一種策略——軟件定義邊界(SDP)——也可以提高分支機(jī)構(gòu)的安全性。SDP實質(zhì)上創(chuàng)建了一個“黑云”,其中不同的端點(diǎn)對于傳統(tǒng)掃描是不可見的。圍繞SDP的最初努力部分由美國國防部完成,導(dǎo)致所有通信都依賴于需要知道的模型。
使用SDP,所有端點(diǎn)都需要授權(quán)和身份驗證;所有這些都在零信任環(huán)境中運(yùn)行,傳統(tǒng)的靜態(tài)地址和定義被動態(tài)環(huán)境所取代。
總結(jié):無論企業(yè)是依賴VPN還是SDP,SD-WAN的出現(xiàn)都從根本上改變了安全模型,將更多的安全和控制推向邊緣,企業(yè)需要適應(yīng)新的現(xiàn)實。
Copyright ? 2013-2020. All Rights Reserved. 恒訊科技 深圳市恒訊科技有限公司 粵ICP備20052954號 IDC證:B1-20230800.移動站