对于业务发展需要逐步扩大的企业来说, 分支机构就是从总部延伸出的众多触角, 深入到各个区域内. 不过这些分支机构在安全防御却往往被忽略掉, 变身为网络犯罪分子趁机入侵企业的重要跳板.
企业分支安全挑战
当前大型企业尤其是在其分支机构中, 都在寻求采用 SaaS 应用 (如 Microsoft Office365) 或类似的多云服务, 同时期望化解由于员工增多所带来的成本提升. 有调查报告显示, 60% 的公司已经采用了或多或少的 SaaS 应用程序, 并且采用率还会进一步加速. 预计到 2023 年全球 SaaS 市场将以超 21% 的复合年增长率 (CAGR) 继续增长.
然而鉴于传统分支机构所采用的 MPLS 连接存在诸多局限性, 导致其安全性无法匹配当下的 Saas 应用, 甚至无法满足对新应用程序, 网络站点和其他最终用户的自动化配置. 而且大多数传统广域网基础设施无法有效地处理基于云服务带来的额外网络压力, 也无法解决衍生出的包括低带宽, 用于诸如 VoIP 和视频会议等高性能应用程序, 分支和分布式资源之间复杂隧道层的有限可见性和控制, 以及糟糕的用户体验等问题.
默认 SD-WAN 搞不定
虽然如今的 SD-WAN 向数字化转型中的企业承诺提供所需的敏捷性和灵活性, 也能够跨多个宽带连接执行智能负载共享, 从而提高网络效率, 动态操作和成本节约. 可以说是缓解上述问题的重要手段. 不过很多企业并没有意识到相关的安全问题, 导致分支机构成为了其安全战略中的薄弱环节.
此外, 一旦部署了广域网边缘设备, IT 人员通常需要通过两个不同的接口来管理广域网优化和安全功能, 通常会在他们发现和应对威胁的能力上造成差距. 解决这一挑战需要一个集成的单一界面的管理控制台, 以方便远程管理员能够管理物理和逻辑网络拓扑, 确保安全和网络策略支持共同目标, 并实现策略和协议的无缝集成和协调, 而不仅仅是扩展分支.
分支四大安全需求
集成安全: 根据 Gartner 去年 11 月发布的一项调查,"72% 的受访者表示, 当涉及到广域网连接时, 安全是他们最关心的问题." 在这点上, SD-WAN 仅在其连接安全的情况下, 才能向企业分支机构提供基于云的应用优势. 这就是为什么任何 SD-WAN 解决方案, 也需要提供一整套高级安全功能来保护直接的互联网访问. 这包括融合下一代防火墙, 入侵防御系统, 网页过滤, 反恶意软件和防病毒软件等等. 而且还需要包含威胁检测, 包括对 SSL 加密流量的高性能检查, 以及沙箱集成.
广泛应用意识: 需要识别应用程序, 并尽快实施适当控制; 理想情况下, SD-WAN 解决方案应该能够智能地识别第一个数据流量包上的应用程序, 并在本地识别和区分数千个应用程序, 并有一个到集成开发环境的过程. 确认并分类新应用程序, 包括加密应用程序.
高级可视性和控制: 可视性和控制是跨区域拓展分支人员, 并采用 SaaS 时的关键考虑因素. 单一员工可以轻松安装基于云的应用程序, 而无需 IT 管理层的参与或批准. 例如, Gartner 研究发现, 影子 IT 现在占大型企业 IT 支出的 30% 到 40%. 其中只有 8.1% 的应用程序满足数据安全和隐私要求, 从而导致恶意威胁, 安全漏洞, 合规性和法规违反.
合规性溯源与报告: 对 SD-WAN 的安全性溯源与报告有助于确保遵守隐私法, 安全标准和行业法规, 同时降低违规情况下罚款和法律成本的附带风险. 这些功能需要能够跟踪实时威胁活动, 促进风险评估, 检测潜在问题和缓解问题. 当 SD-WAN 和安全控制结合到一个单一的管理和协调接口中时, 它们还可以监视防火墙策略等内容, 并帮助自动化合规性审核.
结语
当企业实施 SD-WAN 部署却没有积极适当的安全策略, 无疑会让自身面临恶意攻击和数据泄露风险. 这也是为什么内置安全性并与高级广域网, 局域网功能相结合, 对于考察任何 SD-WAN 解决方案来说, 都是至关重要的一样.
来源: http://netsecurity.51cto.com/art/201904/595663.htm