Технологія SD-WAN кидає нові виклики безпеки

Пристрої що підтримують SD-WAN доступні на ринку вже більше п'яти років. Вендори які перші почали використовувати цю технологію в основному займалися питаннями транспорту, такими як заміна або розширення MPLS широкосмуговим зв'язком. У міру того, як будь-яка технологія дозріває і виходить зі стадії раннього впровадження, критерії покупки змінюються - і SD-WAN нічим не відрізняється.

У 2018 році компанія ZK Research провела опитування з метою визначити ключові критерії покупки і впровадження SD-WAN. Безпека стала головним критерієм, набагато випередивши інноваційні технології та ціну.

Тепер, коли безпека є основною вимогою для SD-WAN, з якими новими викликами зіткнулися інженери?

Найбільша проблема полягає в тому, що традиційних рішень безпеки вже недостатньо. Застарілі моделі безпеки і їх рішення просто не володіють достатнім рівнем потужності, гнучкості або взаємозв'язку, які потрібні для з'єднань SD-WAN. До того ж, вони дуже часто не можуть бачити за кордоном мережі. Ось чому ми застосовуємо сегментацію мережі на основі намірів та / або користувача. Ця стратегія може ізолювати користувача, додаток, робочий процес або дані на основі ряду параметрів, щоб забезпечити безпеку на всьому шляху виконання завдання. Трафік можна примусово налаштувати для конкретного поведінки, або ізолювати для певних користувачів або місць призначення, щоб гарантувати послідовне застосування політик і засобів безпеки від джерела до одержувача.

Які переваги надає сегментація мережі на основі намірів і / або користувачів?

Коли користувач ініціює з'єднання або взаємодіє з ним, дані найчастіше переміщаються по загальнодоступній мережі. Традиційні засоби безпеки можуть убезпечити з'єднання, перевірити трафік, а також виявити і виключити шкідливі програми і не допустити перехоплення трафіку, але цього часто недостатньо. З огляду на зростаючий обсяг трафіку і кількість підключень інших пристроїв, що проходять через ті ж самі сполуки, стає все важче відстежувати безпеку трафіку.

Ізоляція користувача, додатки або робочого процесу дозволяє організаціям бачити і контролювати пристрою, які можуть взаємодіяти з цим з'єднанням, що ускладнює для зловмисників і інсайдерів перехоплення, крадіжку або зміну цих даних, а також допомагає забезпечити управління даними і ресурсами, оскільки вони переміщаються через все більш розширюється мережа пов'язаних екосистем. Сегментація на основі намірів - це інтелектуальне сегментування IT-активів відповідно до цілей бізнес-завдань і бажаними процесами безпеки з детальним контролем доступу, щоб запобігти поширенню загроз, що поширюються в мережі.

Поради щодо вибору рішення на основі технології SD-WAN

Однією з найбільших проблем, що стоять перед організаціями, що розглядають рішення SD-WAN, є подолання всього рекламного галасу навколо цієї технології, додатково, рішення різних вендорів можуть сильно відрізнятися один від одного.

З більш ніж 60 постачальників, які в даний час надають рішення SD-WAN, лише деякі з них пропонують будь-яку стратегію інтегрованої безпеки. Хоча більшість з них надають базові послуги VPN-підключень і звичайний stateful захист, вони з самого початку не вирішують більшість проблем безпеки, з якими стикаються сучасні цифрові компанії. Замість цього вони залежать від інших постачальників, які надають такі функції, як запобігання вторгнень (IPS), брандмауер наступного покоління (NGFW), веб-фільтрація, аналіз шкідливих програм (AV), перевірка SSL і IPSec VPN і програмні пісочниці.

Розгортання засобів розширеної захисту наступного покоління в локальних мережах філій не є тривіальним. Розгортання, настройка і оптимізація самі по собі створюють накладні витрати на персонал і фінансові ресурси, з якими деякі організації можуть не впорається. Але навіть найменші помилки в налаштуванні SD-WAN з'єднання можуть зробити їх уразливими для атак.