Best Practices für SD-WAN-Sicherheit

Die Sicherung von IT-Ressourcen innerhalb von vier Wänden ist schon schwierig genug, aber es ist eine Herausforderung ganz anderer Art, wenn es um die Sicherung eines WAN geht, dessen Verbindungen um die ganze Welt reichen, von einer Reihe von Dienstanbietern bereitgestellt werden und einen Mix von Endpunkt-Sicherheitsanwendungen unterstützen.
Das Sicherheitsbild wird noch undurchsichtiger, wenn Sie SD-WAN als Ergänzung zu alternden MPLS-Netzwerken einsetzen, denn die meisten SD-WANs nutzen ausschließlich das öffentliche Internet für den Transport.
Die meisten, aber nicht alle.
Und das ist eine wichtige Überlegung, wenn Sie die Sicherheitsaspekte der verschiedenen SD-WAN-Optionen bewerten.
Wenn Sie das öffentliche Internet durch ein softwaredefiniertes privates Netzwerk auf der mittleren Meile ersetzen, bedeutet dies eine zusätzliche Sicherheitsebene.
In der Tat ist ein mehrschichtiger, in die Tiefe gehender Verteidigungsansatz der beste Weg, um SD-WAN-Sicherheit anzugehen.
Es gibt einfach zu viele Arten von Bedrohungen und Angriffsvektoren, als dass eine einzige „Sicherheitslösung“ etwas ausrichten könnte.
Gehen Sie davon aus, dass einige Schutzmaßnahmen nicht immer funktionieren und halten Sie zusätzliche Verteidigungsschichten bereit.
Hier sind die besten Praktiken für SD-WAN-Sicherheitsimplementierungen:

1. Begrenzen Sie Ihr Netzwerk

Wenn Ihr SD-WAN ausschließlich das öffentliche Internet für den Transport auf der mittleren Meile nutzt, sind Sie von Anfang an im Nachteil, insbesondere bei internationalen Verbindungen.
Sie können nicht wissen, welche Verbindungen Ihr Datenverkehr durchläuft und wer Zugang zu welchen Einrichtungen hat (ganz zu schweigen von den Leistungseinbußen, die Sie erleiden, wenn Sie das öffentliche Internet für den SD-WAN-Transport nutzen).
Die Alternative ist ein SD-WAN-Service, der über ein sicheres, verwaltetes, privates globales Netzwerk wie das Global SD-WAN von Aryaka bereitgestellt wird.
Die Verwendung eines privaten Netzwerks für die mittlere Meile minimiert die Angriffsvektoren erheblich, da die Exposition gegenüber dem öffentlichen Internet eliminiert wird.

2. Gliedern Sie Ihren Verkehr auf

Die erste Aufgabe besteht darin, das öffentliche Internet zu meiden, und die zweite Aufgabe besteht darin, dafür zu sorgen, dass Ihr Datenverkehr in einer echten mandantenfähigen Weise aufgeteilt wird, mit dedizierten Tunneln, die verhindern, dass sich Ihr Datenverkehr mit dem Datenverkehr anderer Unternehmen vermischt.

3. Setzen Sie nicht alle Eier in einen Korb

Vielfalt ist eine zentrale Tugend in einer mehrschichtigen, tiefgreifenden Sicherheitsstrategie, aber einige SD-WAN-Anbieter preisen die so genannten „Vorteile“ des Aufbaus und der Integration ihres eigenen Sicherheits-Stacks an.
Dieser Ansatz kann für viele Unternehmen eine Schwachstelle darstellen.
Am besten ist es, wenn mehrere Sicherheitsebenen von mehreren Anbietern bereitgestellt werden, die zu den Besten der Branche gehören.
Dieser Ansatz würde die grundlegende Schwachstelle, die mit der Verwendung eines Sicherheitsstacks eines einzigen Anbieters verbunden ist, abmildern.
Aryaka arbeitet mit Palo Alto Networks und Zscaler für Edge- und Cloud-basierte Sicherheit zusammen, die beide ausschließlich auf das globale Unternehmens-WAN ausgerichtet sind.
Selbst entwickelter Code von einem kleineren Unternehmen ist einfach nicht vergleichbar.
Wenn Sie ein großes oder mittelgroßes globales Unternehmen sind, ist integrierte Best-of-Breed-Sicherheit von mehreren Anbietern ein Muss.

4. Bestehen Sie auf Optionen

Es versteht sich von selbst, dass Sie eine Sicherheitsebene am Netzwerkrand für den ein- und ausgehenden Datenverkehr benötigen, aber oft haben SD-WAN-Anbieter nur begrenzte Möglichkeiten und versuchen, eine bestimmte Strategie vorzuschreiben, anstatt auf Ihre Präferenzen einzugehen.
Bei Aryaka übernehmen wir die Sicherheitsanweisungen von Ihnen.
Das Aryaka CPE verfügt über eine eingebaute Firewall, so dass Sie diese Funktion in das Gerät integrieren und das Durcheinander der Zweigstellen-Applikationen reduzieren können.
Wenn Sie jedoch mehr Leistung benötigen, kann eine Palo Alto Firewall der nächsten Generation vor Ort eingesetzt werden.
Alternativ können Sie den Datenverkehr zu einer Cloud-basierten Lösung von Palo Alto Networks oder Zscaler leiten.
Wenn Sie Anwendungen in die Cloud verlagert haben, können Sie eine virtuelle Firewall von Zcaler für AWS- oder Azure-Umgebungen nutzen.

5. Frühwarnsysteme hinzufügen

Vergewissern Sie sich, dass Ihr SD-WAN-Anbieter ein Portal bereitstellen kann, mit dem Sie Ihr globales Netzwerk von einem einzigen Fenster aus überwachen können.
Ungewöhnliche Spitzen im Datenverkehr oder mehrere Verbindungen aus einem unerwarteten Teil des Netzwerks oder der Welt können Anzeichen für schändliche Aktivitäten sein, die eine genauere Untersuchung erfordern.
So können Sie Benutzer unter Quarantäne stellen und die Ausbreitung eines Angriffs verhindern.
Natürlich gibt es keine 100-prozentige Sicherheit, und deshalb ist ein Defense-in-Depth-Modell so wichtig.
Suchen Sie nach SD-WAN-Anbietern, die ihre Dienste über ein sicheres, privates und verwaltetes Netzwerk bereitstellen und die besten Optionen für jede der verschiedenen Sicherheitsebenen bieten, die zum Schutz Ihres globalen Netzwerks und Ihrer geschäftskritischen Daten erforderlich sind!