上周,我在博客上介绍了Aryaka HybridWAN及其为分支机构提供具有企业级 SLA 的互联网连接的创新方法。 当然,只要您将分支机构接入互联网,安全问题就会成为一个主要问题。
说到SD-WAN 中的安全问题,我们不难发现业内有两种通用方法:
- 集成解决方案的姿态,意思是 “你应该购买我的 SD-WAN,因为它正好与我的集成安全解决方案集成在一起,这样你就不用从其他人那里购买安全解决方案了。相信我,它符合你的需求”。
这种姿态在 SD-WAN 领域相当普遍,但很明显,它代表了一种锁定策略,很可能不利于企业的特定安全偏好和需求。 - 开放式解决方案态势,即 “作为一家 SD-WAN 公司,我们了解大多数企业需要定制适合其特定需求的多层次安全方法,因此我们将提供一些基础安全功能,但我们将确保保持开放态势,同时与一些领先的安全公司合作,使我们的客户能够真正定制他们的安全解决方案”。
Aryaka 是一家 SD-WAN 公司,坚决支持开放式安全解决方案。
原因何在?
首先,我们是一家客户至上的公司。
我们的《2019年广域网现状报告》坚定地认为,安全当然是每个部署SD- WAN的企业最关心的问题,但大多数企业都需要选择的权力。
由于从企业架构到监管需求等各种原因,单一的安全解决方案很少能满足所有企业的需求。
一些行业分析师也反复强调了多层次安全方法的必要性。
Aryaka 的安全方法是开放和直截了当的:首先是安全的基础层面。
在分支机构,你需要一个基本的状态防火墙,还需要基于策略的分段。
我们将这两项功能集成到我们的分支机构设备ANAP(Aryaka网络接入点)中。
我们称这项功能为Aryaka Zones,并将其作为免费的基本功能纳入ANAP。
Zones 为基本访问安全提供了状态防火墙,将分支机构与外部世界隔离开来。
此外,在 Zones 中,我们根据策略创建了严格的内部流量分段,这通常意味着严格分离公共互联网(访客 WiFi、消费者应用程序等)、云安全、DMZ 和企业流量。
我们的策略非常灵活,一个分支机构最多可容纳32个区域。
您不仅可以利用Aryaka分区进行东西分区,还可以在分支机构内部或跨分支机构的分区之间实施受限和安全的通信。 其次,Aryaka 与 Zscaler、Palo Alto Networks、赛门铁克等云安全领导者合作,以提供选择和轻松集成。
但回到架构启用问题:基于 VLAN 的分段非常好,但有许多应用案例需要在第 3 层进行分段,这就是所谓的 VRF(虚拟路由和转发)。
使用 VRF 进行第 3 层分段的一个典型用例是多租户。
如果我现在告诉你我们也提供这种功能,你一定不会感到惊讶:我们的 ANAP 中也包含了这种功能。
从架构上讲,当你实施多层分段并支持总体策略框架时,你就支持了微分段架构。
不过,请听我说完:Aryaka并不为支持所谓零信任安全方法的微分段解决方案提供整个堆栈。
我们提供的是二级和三级架构。
有更高层次的行业事实标准身份和策略框架,可将L2/3基础微分段能力与总体框架联系起来,以实现所谓的零信任态势。
微分段和零信任是密不可分的,只要你谈到其中一个,行业专家就会问你另一个。
那么,什么是零信任?
现在很多事情都没有行业标准,所以我简化一下:零信任是一种安全态势,它不允许任何事物或任何人进入企业,除非其身份得到确认。
可以说,零信任是对 IP 网络所带来的通用连接前提的反动。
IP 的通用连接堆栈促成了一场行业革命,但通用连接却成为了一种负担。
因此,我们开始挫败通用连接性。
防火墙先行。
随后是入侵检测。
统一威胁管理是下一站。
但仔细想想,这些都是被动的防御姿态。
零信任代表着企业安全架构的颠覆性进攻举措。
关于 “零信任 “架构还有一点:很明显,它要求堆栈中涉及的每个技术供应商都采取非常开放的方法,没有哪个供应商能覆盖每个企业领域和每个技术堆栈层。
显然,主张采用单一内部安全解决方案的 SD-WAN 供应商没有把握住企业安全的发展方向。
总而言之:Aryaka的开放式多层安全方法为企业提供了更多选择,这也是新兴的零信任安全态势所需要的基础。