确保四面墙内 IT 资源的安全已经很不容易,但要确保广域网的安全则是另一项挑战,因为广域网的链路遍布全球,由各种服务提供商提供,并支持各种端点安全设备。
如果引入SD-WAN来增强老化的MPLS 网络,安全问题就会变得更加复杂,因为大多数 SD-WAN 只使用公共互联网进行传输。
是大多数,但不是全部。
在评估各种 SD-WAN 选项的安全影响时,这是一个重要的考虑因素。
如果用软件定义的中间层专用网络取代公共互联网,就相当于增加了一层额外的安全性。
事实上,多层次的深度防御是保证 SD-WAN 安全的最佳方法。
威胁类型和攻击载体实在太多,单一的安全 “答案 “根本无法奏效。
您需要假设某些防御措施不会一直有效,并准备好额外的防御层。
以下是 SD-WAN 安全部署的最佳实践:
1.控制网络
如果您的 SD-WAN 只使用公共互联网进行中途传输,那么您一开始就会处于不利地位,尤其是在国际链接方面。
您无法知道您的流量将穿过哪些链路,谁能访问哪些设施(更不用说使用尽最大努力的公共互联网进行 SD-WAN 传输会对性能造成的影响了)。
另一种方法是注册通过安全、可管理的全球专用网络(如Aryaka 的全球 SD-WAN)提供的SD-WAN 服务。
在中间一英里使用专用网络可以消除暴露在公共互联网上的机会,从而最大限度地减少攻击载体。
2.将流量分门别类
第一项工作是避免使用公共互联网,第二项工作是确保您的流量以真正的多租户方式进行分隔,并使用专用隧道,防止您的流量与其他公司的流量混合。
3.不要把鸡蛋放在一个篮子里
多样化是多层次深度防御安全战略的核心优势,但一些 SD-WAN 供应商却在吹嘘构建和集成自己的安全堆栈的所谓 “优势”。
这种做法可能会成为许多企业的弱点。
最佳做法是由多家业内最优秀的供应商提供多层安全服务。
这种方法可以从根本上减少与使用单一供应商安全堆栈相关的漏洞。
Aryaka 与 Palo Alto Networks 和 Zscaler 合作提供基于边缘和云的安全服务,这两家公司都专注于全球企业广域网。
小公司的自制代码根本无法与之相比。
如果您是一家大型或中型全球性企业,则必须从多个供应商处集成最佳安全解决方案。
4.坚持选择
不言而喻,您需要在网络边缘为入站和出站流量提供一层安全保护,但SD-WAN提供商的选择往往很有限,他们会试图规定特定的策略,而不是满足您的偏好。
在Aryaka,我们从您那里获得安全指导。
Aryaka CPE内置防火墙,使您能够将该功能集成到设备中,减少分支机构设备的杂乱。
但如果您需要更强大的功能,可以在内部部署Palo Alto下一代防火墙。
或者,您也可以将流量导向 Palo Alto Networks 或 Zscaler 基于云的解决方案。
如果您已将应用迁移到云,您可以利用 Zcaler 为 AWS 或 Azure 环境提供的虚拟防火墙。
5.增加预警系统
确保您的 SD-WAN 提供商能够提供一个门户网站,让您能够从一个窗口监控全球网络。
奇怪的流量峰值或来自网络或全球某个意外区域的多个连接可能是需要仔细检查的邪恶活动的指标。
这将进一步帮助您隔离用户,防止攻击扩散。
显然,没有 100% 的安全性,这就是深度防御模式至关重要的原因。
SD-WAN提供商可以通过安全、私有、可管理的网络提供服务,并为保护您的全球网络和关键业务数据所需的多个安全层提供最佳选择!
