在SD-WAN誕生之初,在市場中“開荒”的只是單純的SD-WAN廠商,但很快就暴露出了缺點——“安全性”不到位。相比之下,安全廠商從一開始就強調安全的重要性。
如今,安全廠商似乎傾向于提供具有普遍安全特性的SD-WAN功能。Gartner廣域網邊緣基礎設施魔力象限報告對此進行了重大預測,報告指出:“到2024年,隨著云服務的不斷普及,分布式企業購買的新防火墻中將有50%使用SD-WAN功能,而今天這一比例還不到20%。”
目前,市場上已經有Forcepoint、SonicWall和Barracuda等安全廠商采用了Fortinet模式,為廣域網邊緣架構提供了內置安全能力,以支持分布式企業這一龐大的使用場景。
集成安全的SD-WAN解決方案簡介
顯然,集成安全的SD-WAN解決方案包括領先的下一代防火墻安全性、SD-WAN、高級路由和WAN優化功能,能夠提供由安全驅動的廣域網邊緣。它融合了SD-WAN的功能和安全特性。
集成安全的SD-WAN解決方案可以完全部署在分支機構和云中或者混合環境中。對于不想完全云化的企業來說,混合實現可能是一種更可行的選擇。
值得注意的是,據Gartner估計,Fortinet擁有超過21,000個SD-WAN客戶。這一龐大的用戶群是對Fortinet產品的充分肯定,尤其是當強大而內置的安全功能成為關鍵要求時。
為網絡增加安全性
安全公司添加新網絡功能可謂是信手拈來,SD-WAN公司添加高級安全功能(補齊20年以來的安全缺口)卻是難上加難。我們可以大膽地假設任何SD-WAN廠商都不會成為安全廠商。
隨著市場的發展,一些功能必須適時地進行重命名,比如有關應用身份、加密、路徑監控、路由協議和廣域網鏈路負載均衡的特性。從根本上講,所有這些高級路由功能都不是新功能,也不是SD-WAN專有功能。它們并不是一夜之間突然冒出來的,而是在SD-WAN市場形成之前就已經存在了。
但是,在某些場景中,您可能必須在廣域網上實施專有路由協議,當然這需要一個新設備。但是對于大部分而言,只需在網絡邊緣部署一個綜合性防火墻便足矣。
部署在廣域網邊緣的防火墻
防火墻正在演變成能夠提供SD-WAN功能的網絡安全平臺。網絡防火墻魔力象限報告指出:“中小型企業多功能防火墻市場在2018年增長了10.1%,其中SD-WAN的采用是一個強勁的推動力。”
仔細想想,您會發現防火墻已經充當路由器很長時間了。防火墻基本上可以提供專用WAN、互聯網和內部路由所需的所有路由協議,并且通常通過專門負責路由的基礎設備來實現。但是,這些功能正在被帶有防火墻的邊緣設備所替代。
防火墻已經進駐網絡數十年了,除了做分內的安全工作外,它們還參與路由工作,常常被用作提供路由的WAN邊緣設備。
傳統安全設計的問題
如何集成安全性與SD-WAN?普通的設計方法主要涉及多個單點安全解決方案的集成。我們先來了解一下這樣做的后果。
•復雜性
單點解決方案只能解決一個問題,必須進行大量集成,因此它們通常以服務鏈的形式存在,并且必須環環相扣、緊密融合。
由于必須要不斷地添加解決方案,管理開銷和復雜性可能會隨之飆增,更不用說NOC和SOC團隊整合所面臨的挑戰了。而SD-WAN的最初賣點就是降低復雜性。
如果我們研究一下SD-WAN領域的安全性,就會發現:目前它的使用方式實際上增加了復雜性。這就像您本來只想簡單地買房,卻變成了一磚一瓦地砌房。
分析表明,許多SD-WAN只是借用其他廠商的安全技術,“堆砌”起來出售給客戶。
•相關成本
在網絡中分散使用來自不同廠商的多點解決方案不僅成本高昂,價格也永遠不固定。一些安全廠商可能會無論您使用多少,都按使用模式收費。那么,如何有效規劃多點解決方案的使用?
隨著成本的不斷累加,安全專員可能會出于壓力犧牲掉一定的單點解決方案。我們知道,這不是一種有效的風險管理策略。理想情況下,安全工作應該做到有備無患,防范未然。這意味著威脅情報是關鍵,許多SD-WAN廠商常常忽略了這一點。
無論是從技術層面還是成本角度來看,整合所有安全解決方案的功能都無比重要。這樣只需一個經驗豐富的安全專員來管理便可。這也是將SD-WAN功能和高級安全性同時整合到一個集成式綜合平臺中的原因。
集成安全的SD-WAN解決方案完美地做到了這一點,從而避免了更復雜的管理、許可問題,以及較高的成本或不必要的服務鏈。
SD-WAN的關鍵不在于功能
SD-WAN市場上有很多“功能至上論”。但現實卻是,“功能并沒有創造太大的價值去支持市場細分”。實際上,SD-WAN的價值主張與功能無關,畢竟各家廠商在應用分類和路徑擇優發送上都做得很好。我們來了解一下SD-WAN的真正價值主張。
n性能與可擴展性
就SD-WAN而言,通常最應關注的是應用流量導向,但舉例來說,如果您沒有性能可靠的TLS1.3深度檢查,如何獲得準確的身份證明并確保您的分支機構安全?但是,關注這一點的人并不多。
為此,我們需要定制的SD-WAN特定應用專用集成電路(ASIC),這可以為高資源密集型加密/解密和覆寫可擴展性提供強大的優勢。
使用IPSec時,系統需要進行大量加密運算,會占用大量CPU和RAM資源。而這項任務可以由專用SD-WANASIC來代勞,以便減少每個通道消耗的CPU和RAM。
通常,可擴展性的上限為1,000或1,500。而借助適當的ASIC,這一數字可以增加到100,000以上,一些大型中心站點可能會很受用。此外,您還可以在同一設備中運行網絡堆棧和安全堆棧,從而打造一款經濟高效的解決方案。
•威脅情報的重要性
下一代防火墻是許多SD-WAN廠商數據表中的標配,那么威脅檢測和威脅防護服務呢?在許多SD-WAN解決方案中,威脅情報(結合威脅研究)仍然處于缺席狀態。威脅形勢不斷演變,安全解決方案也應該與時俱進。
威脅防護的核心功能覆蓋4-7層,比如IPS、內容過濾、深度SSL檢查和惡意軟件防護。此外,我們還有一個威脅檢測工具。如今,我們不能僅靠檢測已知威脅就高枕無憂,還必須檢測未知威脅。因此,擁有一整套預防和檢測功能非常重要。有了這兩種能力,我們就相當于擁有了經驗豐富的安全研究和分析人員團隊。了解SD-WAN廠商是否具有自己的威脅情報非常重要。
為此,您不妨選擇具有安全公司血統的廠商。任何安全廠商的核心價值都在于他們的情報研究水平。這才是支持市場細分的原因,而不是SD-WAN功能。
但是,您還應該確認這些廠商提出的功能是否已得到第三方(如NSS實驗室)的驗證。NSS實驗室已對一些安全廠商的領先SD-WAN產品進行了評估,評估內容涉及VoIP和視頻的體驗質量(QoE)、性能(WAN損害和高可用性)、總體擁有成本(TCO)以及安全成效。
另外,我們還必須考察“提供防火墻的SD-WAN設備”根據最新威脅信息進行更新的頻率,是每天幾次還是每周幾次?一些SD-WAN解決方案宣稱自己是集成安全的SD-WAN廠商,但是構建有效的安全防護需要一支強大的威脅情報團隊,初創企業是否有足夠的人力來做到這一點?網絡廠商更是根本無力涉足這一領域,一些SD-WAN僅添加有狀態數據包過濾能力,便稱之為“安全性”了。
坦白地講,任何人都可以使用下一代防火墻。但是,功能的覆蓋廣度、它們提供的情報以及市場的認可卻不可一概而論。只有做到了這幾點,下一代防火墻才能贏得分支機構的信任,確保企業安全防線固若金湯。
您在尋找集成安全的SD-WAN廠商合作伙伴時,請著重考慮這些問題,并考察其安全業務的歷史,同時評估他們是否具有經驗豐富的威脅情報團隊。
集成安全的SD-WAN解決方案正成為市場主要發展方向。行業分析和客戶群體的覺醒在其中產生了重大影響。人們不再將安全廠商與SD-WAN廠商混為一談。
最終,市場需要的是整合于集成式綜合平臺之中的集成安全的SD-WAN解決方案。
原文作者:MattConran,Advisor,Contributor,NetworkWorld
原文標題:SecureSD-WAN:ThesecurityvendorsandtheirSD-WANofferings
原文鏈接:https://www.networkworld.com/article/3489480/secure-sd-wan-the-security-vendors-and-their-sd-wan-offerings.html
