扫一扫
关注微信公众号

为什么安全公司是最适合做SD-WAN的?
2019-12-25   网络安全和运维

  网络厂商根本无力涉足SD-WAN领域,一些SD-WAN方案仅添加有状态数据包过滤能力,就称之拥有“安全性”。
 
  在SD-WAN诞生之初,在市场中“开荒”的只是单纯的SD-WAN厂商,但很快就暴露出了缺点——“安全性”不到位。相比之下,安全厂商从一开始就强调安全的重要性。
 
  如今,安全厂商似乎倾向于提供具有普遍安全特性的SD-WAN功能。Gartner广域网边缘基础设施魔力象限报告对此进行了重大预测,报告指出:“到2024年,随着云服务的不断普及,分布式企业购买的新防火墙中将有50%使用SD-WAN功能,而今天这一比例还不到20%。”
 
  目前,市场上已经有Forcepoint、SonicWall和Barracuda等安全厂商采用了Fortinet模式,为广域网边缘架构提供了内置安全能力,以支持分布式企业这一庞大的使用场景。
 
  集成安全的SD-WAN解决方案简介
 
  显然,集成安全的SD-WAN解决方案包括领先的下一代防火墙安全性、SD-WAN、高级路由和WAN优化功能,能够提供由安全驱动的广域网边缘。它融合了SD-WAN的功能和安全特性。
 
  集成安全的SD-WAN解决方案可以完全部署在分支机构和云中或者混合环境中。对于不想完全云化的企业来说,混合实现可能是一种更可行的选择。
 
  值得注意的是,据Gartner估计,Fortinet拥有超过21,000个SD-WAN客户。这一庞大的用户群是对Fortinet产品的充分肯定,尤其是当强大而内置的安全功能成为关键要求时。
 
  为网络增加安全性
 
  安全公司添加新网络功能可谓是信手拈来,SD-WAN公司添加高级安全功能(补齐20年以来的安全缺口)却是难上加难。我们可以大胆地假设任何SD-WAN厂商都不会成为安全厂商。
 
  随着市场的发展,一些功能必须适时地进行重命名,比如有关应用身份、加密、路径监控、路由协议和广域网链路负载均衡的特性。从根本上讲,所有这些高级路由功能都不是新功能,也不是SD-WAN专有功能。它们并不是一夜之间突然冒出来的,而是在SD-WAN市场形成之前就已经存在了。
 
  但是,在某些场景中,您可能必须在广域网上实施专有路由协议,当然这需要一个新设备。但是对于大部分而言,只需在网络边缘部署一个综合性防火墙便足矣。
 
  部署在广域网边缘的防火墙
 
  防火墙正在演变成能够提供SD-WAN功能的网络安全平台。网络防火墙魔力象限报告指出:“中小型企业多功能防火墙市场在2018年增长了10.1%,其中SD-WAN的采用是一个强劲的推动力。”
 
  仔细想想,您会发现防火墙已经充当路由器很长时间了。防火墙基本上可以提供专用WAN、互联网和内部路由所需的所有路由协议,并且通常通过专门负责路由的基础设备来实现。但是,这些功能正在被带有防火墙的边缘设备所替代。
 
  防火墙已经进驻网络数十年了,除了做分内的安全工作外,它们还参与路由工作,常常被用作提供路由的WAN边缘设备。
 
  传统安全设计的问题
 
  如何集成安全性与SD-WAN?普通的设计方法主要涉及多个单点安全解决方案的集成。我们先来了解一下这样做的后果。
 
  •复杂性
 
  单点解决方案只能解决一个问题,必须进行大量集成,因此它们通常以服务链的形式存在,并且必须环环相扣、紧密融合。
 
  由于必须要不断地添加解决方案,管理开销和复杂性可能会随之飙增,更不用说NOC和SOC团队整合所面临的挑战了。而SD-WAN的最初卖点就是降低复杂性。
 
  如果我们研究一下SD-WAN领域的安全性,就会发现:目前它的使用方式实际上增加了复杂性。这就像您本来只想简单地买房,却变成了一砖一瓦地砌房。
 
  分析表明,许多SD-WAN只是借用其他厂商的安全技术,“堆砌”起来出售给客户。
 
  •相关成本
 
  在网络中分散使用来自不同厂商的多点解决方案不仅成本高昂,价格也永远不固定。一些安全厂商可能会无论您使用多少,都按使用模式收费。那么,如何有效规划多点解决方案的使用?
 
  随着成本的不断累加,安全专员可能会出于压力牺牲掉一定的单点解决方案。我们知道,这不是一种有效的风险管理策略。理想情况下,安全工作应该做到有备无患,防范未然。这意味着威胁情报是关键,许多SD-WAN厂商常常忽略了这一点。
 
  无论是从技术层面还是成本角度来看,整合所有安全解决方案的功能都无比重要。这样只需一个经验丰富的安全专员来管理便可。这也是将SD-WAN功能和高级安全性同时整合到一个集成式综合平台中的原因。
 
  集成安全的SD-WAN解决方案完美地做到了这一点,从而避免了更复杂的管理、许可问题,以及较高的成本或不必要的服务链。
 
  SD-WAN的关键不在于功能
 
  SD-WAN市场上有很多“功能至上论”。但现实却是,“功能并没有创造太大的价值去支持市场细分”。实际上,SD-WAN的价值主张与功能无关,毕竟各家厂商在应用分类和路径择优发送上都做得很好。我们来了解一下SD-WAN的真正价值主张。
 
  n性能与可扩展性
 
  就SD-WAN而言,通常最应关注的是应用流量导向,但举例来说,如果您没有性能可靠的TLS1.3深度检查,如何获得准确的身份证明并确保您的分支机构安全?但是,关注这一点的人并不多。
 
  为此,我们需要定制的SD-WAN特定应用专用集成电路(ASIC),这可以为高资源密集型加密/解密和覆写可扩展性提供强大的优势。
 
  使用IPSec时,系统需要进行大量加密运算,会占用大量CPU和RAM资源。而这项任务可以由专用SD-WANASIC来代劳,以便减少每个通道消耗的CPU和RAM。
 
  通常,可扩展性的上限为1,000或1,500。而借助适当的ASIC,这一数字可以增加到100,000以上,一些大型中心站点可能会很受用。此外,您还可以在同一设备中运行网络堆栈和安全堆栈,从而打造一款经济高效的解决方案。
 
  •威胁情报的重要性
 
  下一代防火墙是许多SD-WAN厂商数据表中的标配,那么威胁检测和威胁防护服务呢?在许多SD-WAN解决方案中,威胁情报(结合威胁研究)仍然处于缺席状态。威胁形势不断演变,安全解决方案也应该与时俱进。
 
  威胁防护的核心功能覆盖4-7层,比如IPS、内容过滤、深度SSL检查和恶意软件防护。此外,我们还有一个威胁检测工具。如今,我们不能仅靠检测已知威胁就高枕无忧,还必须检测未知威胁。因此,拥有一整套预防和检测功能非常重要。有了这两种能力,我们就相当于拥有了经验丰富的安全研究和分析人员团队。了解SD-WAN厂商是否具有自己的威胁情报非常重要。
 
  为此,您不妨选择具有安全公司血统的厂商。任何安全厂商的核心价值都在于他们的情报研究水平。这才是支持市场细分的原因,而不是SD-WAN功能。
 
  但是,您还应该确认这些厂商提出的功能是否已得到第三方(如NSS实验室)的验证。NSS实验室已对一些安全厂商的领先SD-WAN产品进行了评估,评估内容涉及VoIP和视频的体验质量(QoE)、性能(WAN损害和高可用性)、总体拥有成本(TCO)以及安全成效。
 
  另外,我们还必须考察“提供防火墙的SD-WAN设备”根据最新威胁信息进行更新的频率,是每天几次还是每周几次?一些SD-WAN解决方案宣称自己是集成安全的SD-WAN厂商,但是构建有效的安全防护需要一支强大的威胁情报团队,初创企业是否有足够的人力来做到这一点?网络厂商更是根本无力涉足这一领域,一些SD-WAN仅添加有状态数据包过滤能力,便称之为“安全性”了。
 
  坦白地讲,任何人都可以使用下一代防火墙。但是,功能的覆盖广度、它们提供的情报以及市场的认可却不可一概而论。只有做到了这几点,下一代防火墙才能赢得分支机构的信任,确保企业安全防线固若金汤。
 
  您在寻找集成安全的SD-WAN厂商合作伙伴时,请着重考虑这些问题,并考察其安全业务的历史,同时评估他们是否具有经验丰富的威胁情报团队。
 
  集成安全的SD-WAN解决方案正成为市场主要发展方向。行业分析和客户群体的觉醒在其中产生了重大影响。人们不再将安全厂商与SD-WAN厂商混为一谈。
 
  最终,市场需要的是整合于集成式综合平台之中的集成安全的SD-WAN解决方案。

 
  原文作者:MattConran,Advisor,Contributor,NetworkWorld
 
  原文标题:SecureSD-WAN:ThesecurityvendorsandtheirSD-WANofferings
 
  原文链接:https://www.networkworld.com/article/3489480/secure-sd-wan-the-security-vendors-and-their-sd-wan-offerings.html

热词搜索:SD-WAN

上一篇: Fortinet 收购SOAR方案商CyberSponse 进一步提升Security Fabric架构安全运营能力
下一篇:Fortinet收购CyberSponse 提升Security Fabric架构安全运营能力

分享到: 收藏