SD-WAN是数字创新重定义企业和网络如何运作的经典范例,它将远程办公、多云平台、企业关键应用、以及高级网络融合成了单一的集成系统。而一旦SD-WAN和完整的安全解决方案相结合,它就能在整个分布的网络上,极大地提升一个组织的安全态势并进行保护。

但是,如果在防火墙之后的网络缺乏适当的保护,那么用一些列高级技术对关键资源进行快速稳定的接入就会不那么高效。传统的安全解决方案倾向于基于边缘进行,意味着大部分安全资源会注重于在网络边界建立下一代防火墙,或者3A服务。然而,大部分时候,防火墙之后的区域缺乏有效的管控,用户轻而易举地就能在网络中平行移动,意味着威胁也通常能够在受限制的企业网络资源中穿梭。尤其在内部网络缺乏安全管控的时候,攻击者可以潜伏数月而不被发现。

另外,企业在架构扩张中造成的环境负载性,以及因业务对其他公司进行的并购,也会带来新的安全问题——尤其在没有提前从基础能力就做好准备的情况下。

建立一个更敏捷的商业模型是为了应用、工作流能够更快地在内部网络中无缝穿行。部署新的公有云与私有云、将WAN延伸到分部、支持新的物联网与个人终端设备、启用更激进的应用发展策略等行为,都会对保护网络扩展的安全性产生直接的冲突。

网络安全需要始于隔离

内部的隔离解决方案不只是单纯地使用VLAN,是确保诸如SD-WAN之类的敏捷连接策略可以安全整合入传统网络的重要手段。因此,隔离策略需要能够支持及商业应用和SD-WAN连接性的各种接入方式和动态变化要求。但是,传统的隔离方式在遇上SD-WAN应用的时候往往很难使用。

第一个问题,就是僵硬的隔离方式难以适应业务和合规要求。尤其对SD-WAN而言,架构总是随着业务要求而改变。另一个问题在于,由于静态或者间接的信任因素,隔离还可能造成更大的非必要风险。在数据和用户可以自由在不同隔离中移动,以及设备因需改动的时候经常会发生 。传统的隔离方案无法检测这些变化,并根据情况进行自我调整。最后,不同隔离之间的隔离会降低安全可视化能力,并且使安全策略难以统一。这会使得攻击面不稳定,带来更多的风险。

基于意图的隔离

为了确保网络内部的安全性能够匹配SD-WAN和传统边界外的其他数字创新要求,企业开始转向使用基于意图的隔离方式。这一解决方案能够帮助企业建立和维系一个安全驱动的网络策略,从而补充整个分布环境中数字创新的需求。

基于业务意图,而非网络结构,可以就终端用户、应用、和设备之间的逻辑决定如何隔离。它也能让安全策略可视化,并且通过实时变化做到可随着网络演化的可持续信任。这能够弥补高级应用等级的安全解决方案部署中的不足,使得这些方案可以惠及整个网络。基于意图的隔离还能提供完整的中心化意图检测能力,对所有流量提供完整的可视化,并且通过限制恶意内容在区域间的移动防范泄露的发生。另外,能够支持数千应用签名的解决方案能够进行更精确的检测,并进行针对用户和应用的隔离逻辑转变。

基于意图的隔离方案的优势在于它能够为全网提供可视化。它能够快递提供对接入控制的微调,使得隔离能够动态化建立,并且通过商业意图驱动网络隔离从而缓解高级威胁。

信任的重要性

组织面临的挑战之一,是大部分的网络都会基于一些隐含的信任。这个模型是静态网络运行多年的结果,但是在一个动态和演进的环境中,提前配置好的隔离标准产生的间接或者静态的信任关系最终都会给关键资源带来风险,尤其在发生网络攻击事件的时候。如果要安全地部署SD-WAN,就需要通过基于意图的隔离解决方案能够对不同的用户、设备和应用设置不同的接入权限等级。现在已经有数个针对这方面设计的信任数据库。

但这还远远不够。物联网设备和其他设备能很轻易地被修改,从而被受信任的员工和内部人员恶意利用,造成难以计数的损失。因此,信任关系需要通过一个完整的安全策略持续改变。这就需要引入行为分析、多因子验证等工具,通过严格的接入控制维持信任关系,并保持对设备数据和流量的监控,最终当行为出现不可信任的情况时动态修改接入规则。

为了有效建立并维系这个等级的信任关系,组织需要考虑将基于意图的网络隔离能力和零信任网络接入能力结合,从而确保严格限制平行移动的同时,所有接入都必须被认证,每个方面的流量都被监控,用户和设备都只能接入他们工作所需的资产和资源。

用一个简单的安全结构保障数字转型

随着组织持续追求快速的数字转型策略,他们的分布式网络需要单一、集成的安全解决方案将整个网络中所有的关键资源进行保护。通过合并可验证的信任关系、基于意图的隔离、以及安全集成,组织可以建立一个受信任的、安全驱动的网络策略。这可以让企业的网络能够动态适应环境演化中的安全需求,包括动态SD-WAN带来的挑战。

声明:本文来自数世咨询,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。