Proteger os recursos de TI dentro de quatro paredes já é bastante difícil, mas é um desafio de outra ordem quando se trata de proteger uma WAN com links que se estendem por todo o mundo, fornecidos por uma variedade de provedores de serviços e que suportam uma combinação de dispositivos de segurança de endpoint.
O cenário de segurança fica ainda mais obscuro quando o senhor traz a SD-WAN para aumentar as redes MPLS antigas, porque a maioria das SD-WANs usa exclusivamente a Internet pública para transporte.
A maioria, mas não todas.
E essa é uma consideração importante quando o senhor está avaliando as implicações de segurança de várias opções de SD-WAN.
Se o senhor substituir a Internet pública por uma rede privada definida por software na milha intermediária, isso equivale a acrescentar uma camada adicional de segurança.
Na verdade, uma abordagem profunda de defesa em várias camadas é a melhor maneira de abordar a segurança da SD-WAN.
Há simplesmente muitos tipos de ameaças e vetores de ataque para que uma única “resposta” de segurança seja útil.
O senhor assume que algumas defesas não funcionarão o tempo todo e tem camadas adicionais de defesa prontas.
Aqui estão as práticas recomendadas para implantações de segurança de SD-WAN:
1. Contenha sua rede
Se a sua SD-WAN usar apenas a Internet pública para o transporte de middle mile, o senhor começará com uma desvantagem, especialmente para links internacionais.
Não há como saber por quais links seu tráfego passará e quem tem acesso a quais instalações (sem falar no impacto no desempenho que o senhor terá ao usar a Internet pública de melhor esforço para o transporte da SD-WAN).
A alternativa é assinar um serviço de SD-WAN fornecido por uma rede global segura, gerenciada e privada, como a Global SD-WAN da Aryaka.
O uso de uma rede privada para a middle mile minimiza significativamente os vetores de ataque, eliminando a exposição à Internet pública.
2. Compartimentar seu tráfego
A primeira tarefa é evitar a Internet pública, e a segunda tarefa é garantir que seu tráfego seja compartimentado de forma verdadeiramente multilocatária, com túneis dedicados que impedem que seu tráfego se misture com o tráfego de outras empresas.
3. Não coloque todos os ovos em uma única cesta
A diversidade é uma virtude essencial em uma estratégia de segurança em profundidade de defesa em várias camadas, mas alguns fornecedores de SD-WAN estão divulgando as chamadas “vantagens” de criar e integrar sua própria pilha de segurança.
Essa abordagem pode ser um ponto de vulnerabilidade para muitas empresas.
A prática recomendada é ter várias camadas de segurança fornecidas por vários fornecedores que são os melhores do mercado.
Essa abordagem atenuaria a vulnerabilidade fundamental associada à utilização de uma pilha de segurança de um único fornecedor.
A Aryaka tem parceria com a Palo Alto Networks e a Zscaler para segurança baseada na borda e na nuvem, ambas com foco exclusivo na WAN corporativa global.
O código desenvolvido internamente por uma empresa menor simplesmente não se compara.
Se o senhor for uma empresa global de grande ou médio porte, a melhor segurança integrada de vários fornecedores é imprescindível.
4. Insista em opções
Não é preciso dizer que o senhor precisa de uma camada de segurança na borda da rede para o tráfego de entrada e de saída, mas muitas vezes os provedores de SD-WAN têm opções limitadas e tentam ditar uma estratégia específica em vez de acomodar suas preferências.
Na Aryaka, nós tomamos a direção da segurança do senhor.
O CPE da Aryaka tem um firewall incorporado, o que permite que o senhor integre essa função ao dispositivo e reduza a desordem de dispositivos na filial.
Mas se o senhor precisar de mais potência, um firewall de próxima geração da Palo Alto pode ser implantado no local.
Como alternativa, o senhor pode direcionar o tráfego para uma solução baseada em nuvem da Palo Alto Networks ou da Zscaler.
Se o senhor tiver migrado os aplicativos para a nuvem, poderá utilizar um firewall virtual da Zcaler para ambientes AWS ou Azure.
5. Adicionar sistemas de alerta precoce
Certifique-se de que seu provedor de SD-WAN possa fornecer um portal que permita que o senhor monitore sua rede global a partir de um único painel de vidro.
Picos de tráfego estranhos ou várias conexões de uma parte inesperada da rede ou do mundo podem ser indicadores de atividades nefastas que exigem uma inspeção mais detalhada.
Isso permitiria que o senhor colocasse os usuários em quarentena e evitasse a propagação de um ataque.
Obviamente, não existe 100% de segurança, e é por isso que um modelo de defesa em profundidade é fundamental.
Procure fornecedores de SD-WAN que possam fornecer serviços por meio de uma rede segura, privada e gerenciada e que ofereçam as melhores opções para cada uma das várias camadas de segurança necessárias para proteger sua rede global e seus dados essenciais aos negócios!
