Технология SD-WAN бросает новые вызовы безопасности

Устройства поддерживающие SD-WAN доступны на рынке уже более пяти лет. Вендоры которые первые начали внедрять эту технологию в основном занимались вопросами транспорта, такими как замена или расширение MPLS широкополосной связью. По мере того, как любая технология созревает и выходит из стадии раннего внедрения, критерии покупки меняются - и SD-WAN ничем не отличается.

В 2018 году компания ZK Research провела опрос с целью определить ключевые критерии покупки и внедрения SD-WAN. Безопасность стала главным критерием, намного опередив инновационные технологии и цену.

Теперь, когда безопасность является основным требованием для SD-WAN, с какими новыми вызовами столкнулись инженеры?

Самая большая проблема заключается в том, что традиционных решений безопасности уже недостаточно. Устаревшие устройства безопасности и их решения просто не обладают достаточным уровнем производительности, гибкости или взаимосвязанности, которые требуются для соединений SD-WAN. К тому же, они очень часто не могут видеть за границей сети. Вот почему мы применяем сегментацию сети на основе намерений и/или пользователя. Эта стратегия может изолировать пользователя, приложение, рабочий процесс или данные на основе ряда параметров, чтобы обеспечить безопасность на всем пути выполнения задачи. Трафик можно принудительно настроить для конкретного поведения, или изолировать для определенных пользователей или мест назначения, чтобы гарантировать последовательное применение политик и средств безопасности от источника до получателя.

Какие преимущества предоставляет сегментация сети на основе намерений и/или пользователей?

Когда пользователь инициирует соединение или взаимодействует с ним, данные чаще всего перемещаются по общедоступной сети. Традиционные средства безопасности могут обезопасить соединение, проверить трафик, а также выявить и исключить вредоносные программы и не допустить перехват трафика, но этого часто недостаточно. Учитывая растущий объем трафика и количество подключений других устройств, проходящих через те же самые соединения, становится всё труднее отслеживать безопасность трафика.

Изоляция пользователя, приложения или рабочего процесса позволяет организациям видеть и контролировать устройства, которые могут взаимодействовать с этим соединением, что усложняет для злоумышленников и инсайдеров перехват, кражу или изменение этих данных, а также помогает обеспечить управление данными и ресурсами, поскольку они перемещаются через все более расширяющуюся сеть связанных экосистем. Сегментация на основе намерений - это интеллектуальное сегментирование IT-активов в соответствии с целями бизнес-задач и желаемыми процессами безопасности с детальным контролем доступа, чтобы предотвратить распространение угроз, распространяющихся в сети.

Советы по выбору решения на основе технологии SD-WAN

Одной из самых больших проблем, стоящих перед организациями, рассматривающими решение SD-WAN, является преодоление всей рекламной шумихи вокруг этой технологии, в добавок, решения разных вендоров могут сильно отличаться друг от друга.

Из более чем 60 поставщиков, которые в настоящее время предоставляют решения SD-WAN, лишь немногие из них предлагают какую-либо стратегию интегрированной безопасности. Хотя большинство из них предоставляют базовые настройки VPN-подключений и простую stateful защиту, они изначально не решают большинство проблем безопасности, с которыми сталкиваются современные цифровые компании. Вместо этого они зависят от других поставщиков, которые предоставляют такие функции, как предотвращение вторжений (IPS), брандмауэр следующего поколения (NGFW), веб-фильтрация, анализ вредоносных программ (AV), проверка SSL и IPSec VPN и программные песочницы.

Развертывание средств расширенной защиты следующего поколения в локальных сетях филиалов не является тривиальным. Развертывание, настройка и оптимизация сами по себе создают накладные расходы на персонал и финансовые ресурсы, с которыми некоторые организации могут не справится. Но даже малейшие ошибки в настройке SD-WAN соединения могут сделать их уязвимыми для атак.