SD-WAN實(shí)施中最常見的5個(gè)安全錯(cuò)誤

陸英

無(wú)論新型冠狀病毒的陰影是否籠罩全球企業(yè)，傳統(tǒng)的集中式辦公理念正在迅速消失。更多的組織正在重新考慮將公司網(wǎng)絡(luò)維護(hù)在中心位置，并重新考慮網(wǎng)絡(luò)體系結(jié)構(gòu)設(shè)計(jì)的邏輯。因此，曾經(jīng)傳統(tǒng)但靜態(tài)的MPLS連接不再是支持用戶和分支機(jī)構(gòu)的最佳網(wǎng)絡(luò)架構(gòu)。各種規(guī)模的公司越來(lái)越多地采用SD-WAN解決方案，以實(shí)現(xiàn)更快、更靈活、更有效和更實(shí)惠的網(wǎng)絡(luò)連接。

盡管SD-WAN有許多好處，并且被越來(lái)越多地采用，但是大多數(shù)組織在實(shí)現(xiàn)它時(shí)都忽略了關(guān)鍵的安全考慮。根據(jù)Gartner過(guò)去的一項(xiàng)調(diào)查，72 %的高管認(rèn)為安全是SD-WAN最大的擔(dān)憂。因此，在實(shí)現(xiàn)新的網(wǎng)絡(luò)基礎(chǔ)設(shè)施時(shí)，評(píng)估和準(zhǔn)備應(yīng)對(duì)不同的安全風(fēng)險(xiǎn)非常重要。更加復(fù)雜的問(wèn)題是，SD-WAN的實(shí)施大多數(shù)屬于網(wǎng)絡(luò)團(tuán)隊(duì)的責(zé)任，這導(dǎo)致安全性的優(yōu)先級(jí)被忽略。

以下是在SD-WAN實(shí)施中常見的5個(gè)安全錯(cuò)誤以及解決方法：

1.從整體安全策略中排除SD-WAN安全

最大錯(cuò)誤之一是SD-WAN安全性與組織的安全策略之間缺乏一致性。SD-WAN不應(yīng)被視為獨(dú)立的解決方案，并且應(yīng)該鼓勵(lì)采用其他網(wǎng)絡(luò)基礎(chǔ)設(shè)施能夠采用的安全策略。

為了避免安全風(fēng)險(xiǎn)，最佳實(shí)踐要求采用一種超越了廣域網(wǎng)功能的更高級(jí)安全方法，并將基于策略的訪問(wèn)規(guī)則集成到公司的整體策略中，從而使安全團(tuán)隊(duì)可以使用更全面的檢測(cè)響應(yīng)模型來(lái)監(jiān)視數(shù)據(jù)。這種額外的防御層有助于抵御惡意參與者的攻擊。

2.以“設(shè)置后忘了”的心態(tài)對(duì)待SD-WAN

企業(yè)經(jīng)常犯的第2個(gè)錯(cuò)誤是實(shí)施SD-WAN后不進(jìn)行更新。為了避免這種陷阱，應(yīng)該堅(jiān)持持續(xù)的監(jiān)視和更新策略，以確保在整個(gè)組織中實(shí)現(xiàn)最佳的使用和采用。

對(duì)SD-WAN的持續(xù)監(jiān)視使組織能夠擴(kuò)展網(wǎng)絡(luò)可見性，并每天適當(dāng)?shù)毓芾砥渚W(wǎng)絡(luò)。隨著安全狀況的不斷變化，SD-WAN也在不斷變化，因此必須持續(xù)更新網(wǎng)絡(luò)，而不是“配置后就忘了”。

3.忽略SD-WAN加密

當(dāng)組織從MPLS連接切換到公共寬帶連接時(shí)，會(huì)出現(xiàn)一個(gè)重大的網(wǎng)絡(luò)挑戰(zhàn)。不幸的是，這對(duì)他們的云環(huán)境和服務(wù)來(lái)說(shuō)并不是個(gè)好兆頭。添加更多的連接會(huì)導(dǎo)致多米諾效應(yīng)，從而導(dǎo)致更多的網(wǎng)絡(luò)漏洞。因此，在SD-WAN實(shí)施過(guò)程中，創(chuàng)建私有寬帶連接將云資源連接到主要企業(yè)網(wǎng)絡(luò)變得越來(lái)越普遍。

強(qiáng)烈建議對(duì)SD-WAN通信進(jìn)行加密，以保護(hù)跨組織訪問(wèn)的關(guān)鍵信息。在許多環(huán)境中，安全訪問(wèn)服務(wù)邊緣平臺(tái)是加密所有網(wǎng)絡(luò)流量的理想選擇，在SD-WAN解決方案中創(chuàng)建一個(gè)基本安全層，額外層為終端用戶提供高性能的網(wǎng)絡(luò)連接。

4.實(shí)施錯(cuò)誤的解決方案

在為特定環(huán)境尋找最優(yōu)廣域網(wǎng)解決方案時(shí)，必須首先考慮它是否適合組織當(dāng)前和未來(lái)的聯(lián)網(wǎng)需求。企業(yè)通常會(huì)犯一個(gè)錯(cuò)誤，就是部署一個(gè)獨(dú)立的解決方案，或者僅為他們的需求配置錯(cuò)誤的SD-WAN解決方案。

評(píng)估SD-WAN解決方案的第一步是確定它是否可以輕松集成到現(xiàn)有的公司網(wǎng)絡(luò)和安全策略中。一個(gè)合適的SD-WAN解決方案將在提升企業(yè)安全性方面發(fā)揮重要作用。

5.完全忽略安全性

忽略安全性可能是采用SD-WAN期間最容易犯的錯(cuò)誤。實(shí)施節(jié)省成本解決方案的想法通常會(huì)忽略安全的重要性。對(duì)于采用者而言，在管理SD-WAN時(shí)必須包括其安全團(tuán)隊(duì)，以確保解決方案的使用壽命，而不是將SD-WAN視為另一種聯(lián)網(wǎng)工具。實(shí)施不安全的廣域網(wǎng)可能會(huì)為黑客打開大門，從而使組織的網(wǎng)絡(luò)和關(guān)鍵資源面臨風(fēng)險(xiǎn)。

盡管SD-WAN不斷進(jìn)步，但大多數(shù)解決方案并不能完全防止當(dāng)今網(wǎng)絡(luò)環(huán)境中更為復(fù)雜的攻擊。隨著SD-WAN實(shí)施的不斷增加，重新考慮高級(jí)安全功能至關(guān)重要，這些功能應(yīng)主動(dòng)集成而不是嘗試對(duì)其進(jìn)行改進(jìn)。該模型提供了更快更準(zhǔn)確檢測(cè)威脅的能力，同時(shí)將業(yè)務(wù)關(guān)鍵型應(yīng)用程序推向邊緣，確保更快的網(wǎng)絡(luò)性能并監(jiān)控整個(gè)基礎(chǔ)設(shè)施，防止內(nèi)部威脅。