軟件定義網(wǎng)絡(luò)如何去克服安全問題

如今，越來越多的組織開始接受混合或分立網(wǎng)絡(luò)提供的功能和成本節(jié)約的優(yōu)勢(shì)。但是，目前的SD-WAN服務(wù)模型包含基本的安全缺陷，這些缺陷可能會(huì)影響到用戶的采用。

最大的弱點(diǎn)之一是其作為附加組件依賴于供應(yīng)商的安全性。在新的互聯(lián)數(shù)字世界中，組織保護(hù)數(shù)據(jù)而不需要考慮其網(wǎng)絡(luò)的狀態(tài)位置。覆蓋服務(wù)提供和傳輸數(shù)據(jù)保護(hù)的方法的一致性需要被考慮在網(wǎng)絡(luò)設(shè)計(jì)的最前沿。

服務(wù)提供商需要問自己一些問題：如何提供可靠的混合網(wǎng)絡(luò)？尤其是在公共互聯(lián)網(wǎng)和云服務(wù)之間，同時(shí)減少在每個(gè)網(wǎng)關(guān)或網(wǎng)絡(luò)入口點(diǎn)部署基礎(chǔ)設(shè)施的需要。他們?nèi)绾伪苊馀c加密相關(guān)的根本安全風(fēng)險(xiǎn)來調(diào)查可疑活動(dòng)？

只有回答這些基本問題，組織才能夠接受所有基于SDN的解決方案的固有優(yōu)勢(shì)，而不會(huì)降低安全性。

敏捷性與安全性

實(shí)現(xiàn)業(yè)務(wù)敏捷性和確保數(shù)據(jù)安全之間的斗爭(zhēng)從未變得如此具有挑戰(zhàn)性。顯然，近年來，威脅形勢(shì)發(fā)生了根本性的變化。美國計(jì)算機(jī)應(yīng)急準(zhǔn)備小組（U.Curt）發(fā)布公告稱，美國關(guān)鍵基礎(chǔ)設(shè)施遭到一些國家支持的網(wǎng)絡(luò)攻擊。毫不奇怪， IT的支出模式不僅揭示了企業(yè)面臨的安全問題，還表明企業(yè)需要了解數(shù)據(jù)發(fā)生了什么，以及在威脅出現(xiàn)時(shí)識(shí)別和處理威脅的能力。

然而，業(yè)務(wù)驅(qū)動(dòng)從多協(xié)議標(biāo)簽交換（MPLS）網(wǎng)絡(luò)技術(shù)轉(zhuǎn)向軟件定義網(wǎng)絡(luò)（SDN），尤其是廣域網(wǎng)（WAN），可能會(huì)造成安全風(fēng)險(xiǎn)或?qū)刹渴鸬募夹g(shù)的限制。

如今，SD-WAN提供了傳統(tǒng)WAN的替代方案，提供了靈活性、簡(jiǎn)單性和降低成本的潛力。該模型不僅為開拓混合通信基礎(chǔ)設(shè)施提供了契機(jī)，從銅纜到Wi-Fi，從光纖到衛(wèi)星，為分布式業(yè)務(wù)提供高效和低成本的解決方案，但是中央管理模式轉(zhuǎn)換了過度管理開銷ASCOC，并與復(fù)雜的傳統(tǒng)WAN基礎(chǔ)設(shè)施配套。

使用SD-WAN的結(jié)果是將網(wǎng)絡(luò)成本降低30%到50%，但前提是它是同一個(gè)供應(yīng)商的端到端解決方案。對(duì)于復(fù)雜的網(wǎng)絡(luò)，規(guī)模較大的網(wǎng)絡(luò)或在高信息保障環(huán)境中運(yùn)行的網(wǎng)絡(luò)，如果沒有采用創(chuàng)新的方法來部署第三方基礎(chǔ)設(shè)施解決方案，那么這些優(yōu)勢(shì)仍然值得懷疑，并且沒有消除容量限制的單獨(dú)安全覆蓋，以及供應(yīng)商/網(wǎng)絡(luò)的選擇依賴。

目前的做法

許多SDN供應(yīng)商通常提供第3層加密技術(shù)作為其SD-WAN服務(wù)產(chǎn)品的一部分：這種安全性對(duì)于替換基本網(wǎng)絡(luò)而沒有保護(hù)的網(wǎng)絡(luò)是有益的。雖然反駁意見認(rèn)為加密對(duì)于許多企業(yè)而言成本太高或難以部署，但現(xiàn)實(shí)情況是部署傳統(tǒng)的第3層加密總比沒有好。

但是對(duì)于可能從共享編排實(shí)例提供解決方案的新的大型SD-WAN提供商來說，必須提出的問題是：企業(yè)如何能夠保護(hù)其他供應(yīng)商運(yùn)營(yíng)基礎(chǔ)設(shè)施的安全，甚至是在部署編排平臺(tái)的情況下解決安全問題。此外，考慮到采用SD-WAN最引人注目的原因之一是新基礎(chǔ)設(shè)施可以靈活地連接起來以支持業(yè)務(wù)變更。在默認(rèn)情況下，這種模式會(huì)導(dǎo)致基礎(chǔ)設(shè)施來自多個(gè)提供商，企業(yè)如何確保每個(gè)新的連接也是安全的？

隨著組織越來越多地部署應(yīng)用程序級(jí)別的加密，還有關(guān)于性能和吞吐量的問題。多重加密是一個(gè)影響傳統(tǒng)網(wǎng)絡(luò)和SD-WAN的重大問題，許多SD-WAN部署并沒有受到網(wǎng)絡(luò)帶寬的限制，而是加密開銷。

更值得關(guān)注的是，如果IT團(tuán)隊(duì)希望調(diào)查應(yīng)用程序或數(shù)據(jù)源，那么通常需要關(guān)閉這些加密解決方案，這會(huì)使企業(yè)面臨黑客的攻擊。

網(wǎng)絡(luò)分解

正是認(rèn)識(shí)到這些問題，越來越多的首席信息官和首席安全官正在推動(dòng)分解議程，并得出結(jié)論，服務(wù)和安全應(yīng)該與任何SD-WAN的管理和維護(hù)有所區(qū)別。這一趨勢(shì)反映了保護(hù)關(guān)鍵業(yè)務(wù)通信基礎(chǔ)設(shè)施成本效益，并消除對(duì)單一供應(yīng)商依賴的不同方法。

最大限度地提高SD-WAN的商業(yè)效益，并實(shí)現(xiàn)反映新出現(xiàn)的威脅載體基本安全性的唯一方法是采用安全覆蓋模型。企業(yè)需要找到一種方法在基礎(chǔ)設(shè)施的每個(gè)部分都部署端到端的第4層加密，而不必考慮基礎(chǔ)網(wǎng)絡(luò)技術(shù)。

除了滿足許多組織的網(wǎng)絡(luò)分解目標(biāo)之外，網(wǎng)絡(luò)不可知的加密解決方案還可以通過提供集中協(xié)調(diào)來加強(qiáng)SD-WAN的集中管理優(yōu)勢(shì)。這不僅證明了網(wǎng)絡(luò)的安全性，還提供了對(duì)網(wǎng)絡(luò)活動(dòng)及其安全性能的重要洞察。而且，如果需要對(duì)一個(gè)應(yīng)用程序進(jìn)行調(diào)查，就不需要關(guān)閉所有安全協(xié)議，以確保公司始終處于安全狀態(tài)。

SD-WAN提供了令人矚目的好處，而在當(dāng)今的財(cái)政現(xiàn)實(shí)中，越來越成為分布式組織的唯一可行的選擇，尤其是考慮到越來越多的基于全球互聯(lián)網(wǎng)的基礎(chǔ)設(shè)施和云計(jì)算的使用。但是，其結(jié)果是組織對(duì)正在使用的基礎(chǔ)設(shè)施知之甚少。數(shù)據(jù)在哪里？誰擁有網(wǎng)絡(luò)？正在采取哪條路線？關(guān)鍵的是誰在保護(hù)數(shù)據(jù)以及如何保護(hù)數(shù)據(jù)？

對(duì)基礎(chǔ)設(shè)施的知識(shí)和控制越少，組織所需的安全控制措施和知識(shí)就越多。只有朝著網(wǎng)絡(luò)分解邁出這一步，才能擁有一種真正的網(wǎng)絡(luò)無關(guān)加密技術(shù)，可以保護(hù)任何IP網(wǎng)絡(luò)上的數(shù)據(jù)傳輸，并實(shí)現(xiàn)集中的安全協(xié)調(diào)和全面的數(shù)據(jù)可視性，企業(yè)可以放心地接納SD-WAN，并獲得需要的靈活性而不受到網(wǎng)絡(luò)攻擊。