SD-WANセキュリティのベストプラクティス

4 つの壁の中で IT リソースを保護することは十分に困難ですが、世界中にリンクが張り巡らされ、さまざまなサービス・プロバイダーが提供し、さまざまなエンドポイント・セキュリティ・アプライアンスをサポートする WAN を保護するとなると、それはまた別の次元の課題です。
老朽化したMPLS ネットワークを補強するためにSD-WAN を導入する場合、セキュリティの状況はさらに不透明になります。
ほとんどの場合ですが、すべてではありません。
そしてそれは様々な SD-WAN オプションのセキュリティの意味を評価する際に重要な考慮事項です。
パブリックインターネットをミドルマイル上のソフトウェア定義プライベートネットワークに置き換える場合、それはセキュリティのレイヤーを追加することに相当します。
実際、多層防御の綿密なアプローチは SD-WAN セキュリティにアプローチする最良の方法です。
単に脅威の種類と攻撃ベクトルが多すぎて、単一のセキュリティの「答え」では何の効果もありません。
一部の防御が常に機能しないことを想定し、追加の防御レイヤーを準備しておく必要があります。
以下は、SD-WAN セキュリティ導入のベストプラクティスです:

1.ネットワークの囲い込み

SD-WAN がミドルマイルのトランスポートに公衆インターネットのみを使用する場合、特に国際リンクでは不利な状況からスタートすることになります。
トラフィックがどのリンクを通過し、誰がどの設備にアクセスできるかを知る方法はありません(SD-WAN のトランスポートにベストエフォート型の公衆インターネットを使用した場合のパフォーマンスの低下は言うまでもありません)。
代替案としては、Aryaka の Global SD-WAN のようなセキュアで管理されたプライベートなグローバルネットワーク上で提供される SD-WAN サービスにサインアップすることです。
ミドルマイルにプライベートネットワークを使用することで、パブリックインターネットにさらされることがなくなり、攻撃ベクトルを大幅に最小化できます。

2.トラフィックの区分け

1つ目は公衆インターネットを避けること、2つ目はトラフィックが他社のトラフィックと混ざらないように専用トンネルを設け、真のマルチテナント方式でトラフィックを区分けすることです。

3.すべての卵を一つのカゴに入れないこと

多様性はマルチレイヤー、防御の綿密なセキュリティ戦略における核となる美徳ですが、一部の SD-WAN サプライヤーは独自のセキュリティスタックを構築し統合することのいわゆる「利点」を宣伝しています。
このアプローチは多くの企業にとって脆弱性のポイントになるかもしれません。
ベストプラクティスは、ビジネスで最も優れた複数のサプライヤーによって提供される複数のセキュリティレイヤーを持つことです。
このアプローチは、単一ベンダーのセキュリティ・スタックを利用することに関連する根本的な脆弱性を軽減します。
Aryakaは、エッジとクラウドベースのセキュリティのためにPalo Alto NetworksとZscalerと提携しています。
中小企業の自家製コードは比較になりません。
大規模または中規模のグローバル企業であれば、複数のベンダーが提供するベスト・オブ・ブリードの統合セキュリティは必須です。

4.オプションの主張

インバウンドとアウトバウンドの両方のトラフィックに対してネットワークエッジにセキュリティレイヤーが必要なことは言うまでもありませんが、多くの場合SD-WANプロバイダーは限られた選択肢しか持たず、お客様の好みに合わせるのではなく、特定の戦略を指示しようとします。
Aryakaでは、お客様からセキュリティの指示を受けます。
Aryaka CPEはファイアウォールを内蔵しており、その機能をデバイスに統合してブランチオフィスのアプライアンスの乱雑さを減らすことができます。
しかし、より強力なファイアウォールが必要な場合は、パロアルトの次世代ファイアウォールをオンプレミスに導入することができます。
また、Palo Alto NetworksまたはZscalerのクラウドベースのソリューションにトラフィックを誘導することもできます。
アプリケーションをクラウドに移行した場合は、AWSまたはAzure環境用のZcalerの仮想ファイアウォールを活用できます。

5.早期警戒システムの追加

SD-WAN プロバイダーが、単一のガラスペインからグローバルネットワークを監視できるポータルを提供できることを確認してください。
ネットワークや世界の予期せぬ場所からの奇妙なトラフィックの急増や複数の接続は、より詳細な検査が必要な悪意のある活動の指標かもしれません。
これにより、ユーザーを隔離し、攻撃の拡大を防ぐことができます。
明らかに、100%のセキュリティというものは存在せず、だからこそ深層防御モデルが重要なのです。
セキュアでプライベートな管理されたネットワーク上でサービスを提供し、グローバルネットワークとビジネスクリティカルなデータを保護するために必要な複数のセキュリティレイヤーそれぞれに最適なオプションを提供できるSD-WANプロバイダーをお探しください!