sdwan安全策略

　　大多數(shù)SD-WAN解決方案的一個(gè)普遍缺陷是，它們似乎孤立地解決了您的WAN連接需求。正在進(jìn)行快速數(shù)字化轉(zhuǎn)型的組織面臨的最大挑戰(zhàn)之一是，每個(gè)新的網(wǎng)絡(luò)元素都傾向于獨(dú)立設(shè)計(jì)和實(shí)施。盡管此方法有幾個(gè)重大缺陷，但最嚴(yán)重的缺陷莫過于對(duì)安全性的影響。

　　安全性所需的最關(guān)鍵功能之一是在整個(gè)分布式網(wǎng)絡(luò)中擴(kuò)展可見性。在網(wǎng)絡(luò)的不同部分中部署單獨(dú)的安全解決方案會(huì)隔離資源，并使其無法查看，關(guān)聯(lián)和響應(yīng)系統(tǒng)性威脅。

　　盡管傳統(tǒng)的中心輻射型WAN連接模型當(dāng)然有其缺點(diǎn)，但它們的確使所有流量都可以由集中部署的安全性進(jìn)行掃描和保護(hù)。一旦將靜態(tài)MPLS連接替換為利用公共網(wǎng)絡(luò)的靈活連接并開始支持直接鏈接到Internet和SaaS應(yīng)用程序，您就將安全負(fù)擔(dān)轉(zhuǎn)移到了SD-WAN設(shè)備上。

　　問題是，大多數(shù)SD-WAN設(shè)備僅提供了極其基本的防火墻功能。這意味著您的關(guān)鍵數(shù)據(jù)將不再受到一整套安全服務(wù)的保護(hù)，例如IPS，Web過濾，防病毒和防惡意軟件以及

　　沙盒。如果需要這些服務(wù)，則必須將它們添加為覆蓋。由于設(shè)計(jì)和部署解決方案的繁重工作，額外的維護(hù)以及使用單獨(dú)的管理控制臺(tái)，這可能會(huì)給您的IT團(tuán)隊(duì)增加大量開銷。而且，如果操作不當(dāng)，它還可以將WAN安全與其他安全架構(gòu)隔離開來，無論是在核心還是在多云環(huán)境中。

　　在像公共互聯(lián)網(wǎng)這樣不可靠的平臺(tái)上管理SD-WAN連接需要大量的精細(xì)連接管理。需要建立冗余系統(tǒng)以立即進(jìn)行故障轉(zhuǎn)移。即使在實(shí)時(shí)連接期間，也需要熱交換可靠性不斷下降的鏈路。而且流量管理工具需要不斷了解應(yīng)用程序帶寬要求和不同連接的優(yōu)先級(jí)，以不斷進(jìn)行微調(diào)整，以支持對(duì)延遲敏感的應(yīng)用程序(如統(tǒng)一通信)。

　　SD-WAN需要集成網(wǎng)絡(luò)和安全功能

　　但是，可能需要的最基本要素是SD-WAN網(wǎng)絡(luò)功能和安全性之間的深度集成。不幸的是，當(dāng)安全性作為覆蓋部署時(shí)，它能做的最好的事情就是對(duì)網(wǎng)絡(luò)連接的變化做出反應(yīng)。對(duì)于與核心數(shù)據(jù)中心的基本連接來說，這可能已經(jīng)足夠了，但是保護(hù)SaaS應(yīng)用程序或訪問敏感數(shù)據(jù)之類的東西是另一回事。在網(wǎng)絡(luò)更改和重新映射安全性以匹配新配置之間的時(shí)間間隔會(huì)造成安全漏洞，可以預(yù)測(cè)并加以利用。當(dāng)這種變化每秒發(fā)生時(shí)，這個(gè)問題就變得更加復(fù)雜。

　　與其將安全性作為覆蓋層部署，不如將其完全集成到SD-WAN解決方案本身的網(wǎng)絡(luò)功能中。創(chuàng)建新連接后，將在此過程中構(gòu)建和部署安全策略。當(dāng)網(wǎng)絡(luò)連接更改時(shí)，安全性將自動(dòng)作為協(xié)議的一部分進(jìn)行調(diào)整。而且，如果新的連接或調(diào)整有可能危及安全策略，則集成的安全元素可以在進(jìn)行更改之前就阻止該更改。

　　未來需要安全驅(qū)動(dòng)的網(wǎng)絡(luò)

　　安全性和網(wǎng)絡(luò)功能之間的這種深層互操作性是下一代安全性的標(biāo)志，稱為安全性驅(qū)動(dòng)網(wǎng)絡(luò)。通過將這些傳統(tǒng)上獨(dú)立的系統(tǒng)編織到單個(gè)解決方案中，組織可以實(shí)現(xiàn)真正保護(hù)其整個(gè)基礎(chǔ)架構(gòu)所需的可見性和控制力。隨著機(jī)器學(xué)習(xí)和AI成為解決方案的一部分，我們最終將實(shí)現(xiàn)我們一直在等待的那種自我防御，自我修復(fù)的網(wǎng)絡(luò)。

　　全新的安全SD-WAN解決方案是開始此工作的理想之地。連接性和安全性之間的深度集成允許無縫，直接地部署完整的解決方案，而網(wǎng)絡(luò)和安全功能可以使用單個(gè)玻璃管理系統(tǒng)窗格同時(shí)進(jìn)行管理，從而減少了開銷，提高了性能和保護(hù)能力，并為下一代安全性。