隨著越來越多的使用者和事物在雲中訪問應用程式和資料,更多企業採用sd-wan技術,使能企業高效地進行數位化轉型。研究表明,在接下來的幾年裡,到2023年,sd-wan將增加五倍,佔wan流量的29%。idc最新的sd-wan基礎設施**稱:「 這個快速發展的網路市場將從2023年到2023年以40.4%的復合年增長率增長到45億美元。」很明顯,這是2023年網路行業裡網路安全最大的變化。
我們要清楚為什麼sd-wan在構建廣域網的過程中推動了這種正規化的轉變?首先,我們知道傳統的wan架構並非針對雲應用程式進行了優化設計,而是借助sd-wan,企業可以通過直接網際網路訪問(dia)從遠端分支機構使用網際網路作為其虛擬網路,該分支機構易於大規模部署且易於管理,還為企業提供了傳統mpls服務的高質量,**合理的骨幹替代方案,以及大多數wan流量的回傳方式。例如,企業可以直接訪問office365,aws,salesforce和其他saas / iaas產品,以及將其流量直接路由到雲應用提供商最近的point of presence(pop),從而提高使用者的網路響應能力和應用體驗,同時降低業務的頻寬成本。
一、sd-wan新的安全挑戰
雖然,sd-wan在企業網路中彰顯了眾多優勢,但也暴露了新的安全挑戰。由於sd-wan支援直接網際網路訪問,能夠規避dmz安全性,it部門必須考慮解決幾種不同的安全元件,以最大化實現其sd-wan拓撲:
外部威脅:直接使用網際網路接入使wan易受攻擊,可能會使分支暴露於更廣泛的攻擊媒介,這導致未經授權的訪問其基礎設施,拒絕服務攻擊和勒索軟體。
由內而外的威脅:當發生違規時,資料通過網際網路傳送到惡意基礎設施。以惡意軟體感染,命令和控制攻擊,網路釣魚攻擊和內部威脅的形式,如果沒有回流到企業防火牆的流量,雲端必須有邊緣保護,以保護和保護關鍵資料免受攻擊。
內部威脅:corporations始終需要對其流量進行身份驗證,加密和分段,否則,他們會將攻擊面開啟。內部威脅有多種形式,例如,違規或內部威脅,橫向移動可能會感染關鍵基礎設施,80%的分支機構違規發生在企業公司的範圍內,因此,內部威脅變得尤為重要。
信任:擴充套件遠端連線時it的首要任務是確保使用者和遠端裝置(終端使用者和網路裝置)的安全性和完整性,這些裝置不再受資料中心的鎖定和金鑰控制。隨著企業開始採用軟體定義的架構,確認使用者和裝置身份,狀態評估,可見性以及隨後由策略(安全性,資料和應用程式)驅動的網路訪問將是最大的挑戰之一。
二、如何實現有效的sd-wan安全實施
在部署方面,企業可以實現一些有效的模型:
②分段是隔離和保護企業中關鍵資產的基本方法。sd-wan通過基於ipsec等加密協議在所有企業鏈路上構建單個覆蓋,提供差異化的分段解決方案,並將vlan或ip位址範圍對映到每個位置的定義隧道。使用sd-wan進行分段可以實現對每個網段的完全可見性和控制。
③適用於iaas的雲安全功能:安全和網路團隊之間的有效協作可為應用程式和/或工作負載帶來安全,可擴充套件的雲占用空間。sd-wan有助於在虛擬網路功能(vnf)之間實現更緊密的整合,編排和服務鏈,以實現路由和安全性。這使企業能夠圍繞雲託管服務構建適當的安全邊界。
④saas和dia訪問的安全性:通過dia訪問saas應用程式時的內外和內外威脅可以通過雲中的安全網際網路閘道器(sig)服務得到緩解,提供網路內外的可見性和執行,保護所有埠和協議以及saas的發現和控制。雲訪問安全**(casb)服務強制執行資源的身份驗證和授權,並有效地實現對公共域中的saas的安全訪問。
⑤裝置(byod)和移動性:byod需要適當的安全措施,以便通過蜂窩或公共wi-fi連線所有員工,對內部部署以及基於雲的應用程式和工作負載進行安全,可擴充套件的訪問。sd-wan和身份服務整合可確保裝置/使用者級身份驗證,狀態評估以及對企業基礎架構的安全分段訪問,多因素身份驗證(mfa)已被證明是安全訪問資源的有效方法。
⑥加密流量分析:網際網路上的大多數應用流量都是加密的,無論是saas還是p2p或https交易,使用加密的威脅分析技術是一種唯一可擴充套件的模型,它使用機器學習通過威脅啟發式不斷更新自身。
最後,根據您的網路環境,找出那些控制項放置最有意義的地方,並檢視使用基於雲的管理和協調策略的機會,以便您可以獲得相同的策略。
為什麼通訊服務提供商需要實現SD WAN
通訊服務提供商 csps 包括運營商 託管服務提供商和有線電視運營商,他們現在面臨的挑戰是怎樣在商品化寬頻 如高速 廉價的網際網路服務 中保證服務收入和利潤。軟體定義廣域網 sd wan 解決方案似乎成為了通訊服務提供商為使用者提高託管服務價值的一劑良藥。csps每年大約有400億美元的利潤來自wa...
為什麼現代系統需要新的程式設計模型Akka
akka中最重要的便是actor模型。幾十年前,carl hewitt提出了actor模型,以作為在高效能網路下並行處理的一種方式。但是在當時並沒有這樣的環境,如今硬體和基礎設施能力已經趕上並超越了carl hewitt當時的預料。所以,那些想構建高效能分布式系統的組織遇到的使用物件導向程式設計 o...
為什麼金融行業需要零信任安全的解決方案
近年來,隨著網際網路 雲計算和人工智慧等新技術的不斷發展,網際網路與金融行業的結合也愈發緊密。一方面為金融機構的競爭發展拓展了新的空間,使得資金和投資管理變得十分便利 另一方面也引發了更多的資料洩露的情況,使得金融行業面臨的網路安全的風險隨之增加。同時,新興技術的不斷興起,對整個金融行業的網路安全建...