金莎娱乐场官方网站-澳门sands金莎娱乐场

三个“必须有” 的SD-WAN安全功能

2020-02-04 15:38:02 金莎通信 118

越来越多的采用基于云的体系结构和网络虚拟化,在数据中心(DC)以及在WAN和公共云中推动了高度的自动化和运营效率。这使企业能够提供难以想象的服务敏捷性,从而解锁新一代的业务应用程序。

基于云的体系结构本质上是“短暂的”,可以被认为是具有快速变化的动态虚拟层,用于跨网络资源的基础共享池交付这些应用程序。这种本质改变了安全游戏,使得传统安全措施(如防火墙)的静态方法变得不够充分。这些防火墙通常放置在网络外围,对抵御数据中心,公共云或扩展的企业WAN网络外围以更阴险的方式感染的新型恶意软件和其他网络攻击的效果不佳。

三个“必须有” 的SD-WAN安全功能

SD-WAN 2.0

第一代SD-WAN部署主要集中于交付敏捷WAN连接,从而提高了覆盖范围并降低了运营复杂性。今天,企业期望更多。他们希望使用SD-WAN基础结构在整个网络中提供一系列IT服务,其中端到端安全性是重中之重。

借助SD-WAN 2.0,IT经理将受益于一个无缝,安全的端到端网络,该网络由具有单一策略和网络治理模型的单一平台管理。有了这个基础架构,IT经理可以通过一个高度自动化的管理和控制系统来管理跨越私有数据中心(DC),公共云和分支机构位置的应用程序。

具有网络和安全策略自动化的实时应用程序流量流可见性

许多IT组织都基于信念和历史用例来构建安全规则。当业务应用程序和用户受到信任并将其限制在单个位置时,这种方法可能行得通,但是在当今的云架构中,它效率低下且存在风险。业务应用程序变得更加复杂,动态和分布式,用户变得更加移动和全球化。如今,企业在数百个全球站点中都有成千上万的用户,这些站点可以访问基于SaaS的应用程序以及公共或私有云中的应用程序,从而极大地增加了组织的攻击面,使网络安全成为一项艰巨的任务。

为了应对这一新现实,SD-WAN 2.0平台为企业IT经理提供了对整个网络中所有应用程序流量的全面实时可见性,包括使用以下功能收集和显示每流端到端流量模式的能力:来源和目的地,以及流量类型和费率。该平台应允许IT经理使用此信息来根据实时流量和当前业务目标自动创建安全规则。

通过使用基于应用程序的流量数据,IT经理可以可视化服务层(例如,Web服务器,数据库,视频流和优化),工作负载和类型(TCP,UDP)适用于每个应用程序流以及每个层之间的流量模式。这些知识不仅可以洞悉使用了哪些应用程序和资源,而且还可以为每个应用程序专门划分网络以确定应应用哪些自动化安全策略。

了解此应用程序级别的流量信息对于验证合规性要求非常重要。可能需要满足公司信息安全策略的网络和安全要求。使用SD-WAN 2.0平台将确保整个网络更严格的安全性,从而使合规性验证更加精确和高度自动化。

全面的端到端微细分以及对第三方安全生态系统的支持

现代攻击寻求漏洞进入网络,然后在从东到西的范围内横向移动以瞄准高价值目标。通过从DC扩展到云和WAN的网络,第二个“必须具备”的SD-WAN 2.0功能是“软件定义的”安全措施,以补充传统的基于外围的安全性来抵御这些横向攻击。

利用前面提到的全面的流程可见性,IT经理可以更好地预先划分每个应用程序,分配服务层并支持每个应用程序使用的工作负载。通过按应用程序细分,IT经理可以创建策略以在其自己的安全逻辑域内隔离特定于应用程序的流量和所有相关的网络资源。所有位置和工作负载都必须支持此功能。随着网络资源在应用程序的整个生命周期中发生变化,安全措施将动态遵循,从而消除了对任何自定义或手动安全配置的要求。这种称为微分段的技术通常仅限于SD-WAN 1.0部署中的WAN。

SD-WAN 2.0真正需要的是SD-WAN 2.0提供的是真正的端到端微分段,它涵盖了所有远程位置,公共DC和私有云。实际上,SD-WAN 2.0微分段从远程位置的LAN一直延伸到数据中心内部的应用程序工作负载,从而确保了无缝连接和完整的保护。借助此功能,SD-WAN 2.0可以防止源自远程位置的横向攻击永远无法到达DC内部的关键资产,这是传统SD-WAN部署无法做到的。

该解决方案必须具有创建和自动化包括传统网络或外围FW在内的综合总体方法的能力,同时与第三方下一代FW(NGFW)无缝集成以增强东西向安全性。SD-WAN 2.0的基础结构应提供完全的自由,以便将这些NGFW托管在远程位置的uCPE上,或从基于软件即服务(SaaS)的安全服务连接到其他任何地方。IT经理选择内置特定安全功能的选择不应受到限制。

动态威胁响应

利用整个网络中SD-WAN 2.0的实时,按应用程序进行的流量分析,IT经理可以动态了解DC,分支机构或公共云在网络范围内的流量。SD-WAN 2.0平台提供的第三个“必须具备”安全功能是定义和实施自动策略的能力,该策略可以通过实时响应可疑流量而无需用户干预而提供动态威胁响应。一些示例包括:

实时警报可以通知IT经理每个应用程序的可疑活动,一直到服务层的粒度级别。例如,当虚拟数据库服务器上的某个TCP端口开始接收来自新源的意外流量时,发出警报。

可疑流量可以自动重定向或复制到IPS或NGFW,以进行更深入的分析。

可以隔离可疑的流量源,并在检测到该流量后由系统自动阻止所有流量。

借助真正的端到端治理,SD-WAN 2.0为IT经理提供了一个平台,该平台可以在单个控制点下为整个网络中的所有应用程序利用所有安全工具,而不论其来源是什么。

结论

对于基于云的体系结构和网络虚拟化,传统的基于边界的安全性已不再足够。随着物联网,人工智能,5G的出现,对Wi-Fi的更多使用以及员工移动性的提高,企业正在迅速向更独特的设备,端点和流量转移,并且不幸的是,安全问题越来越多。网络规模和攻击面将继续迅速增长。对于企业IT经理来说,利用SD-WAN 2.0端到端SDN的可编程性和策略驱动的自动化(从WAN扩展到公共云和私有云)以利用三个“必备”安全性至关重要。


XML 地图 | Sitemap 地图