一、安全成SD-WAN重要考量因素

近几年来,相比MPLS(多协议标签交换)流量分配技术而言,由于价格、弹性和易于部署等优势,SD-WAN开始流行。中心化的可视性与可管理性,以及广域网链接整体性能的大幅度提升,均令企业员工更具生产力。但如果让分支机构的终端用户直接连接公网或者使用云服务,安全问题则凸现出来,从而造成了实施SD-WAN的风险性和复杂性。

2018年末,企业管理协会(www.enterprisemanagement.com/)主导的一份针对欧美250家企业调查显示,在分支机构部署了SD-WAN的机构,更容易遭受数据泄露的风险(约为没有部署SD-WAN的机构的1.3倍)。因为这些机构纯靠SD-WAN设备本身的安全功能来进行防御,而没有配合其他的安全机制。

典型的SD-WAN,一般会提供动态包过滤防火墙(Stateful Firewall)、网络分段,以及站到站通道(site-to-site tunneling)等安全功能。但不会提供进一步的安全功能,如下代墙、入侵检测、数据防泄漏和UTM等。还有一点需要注意的是,一般的SD-WAN都很难方便地与企业原来的安全基础设施整合在一起。

现在的企业用户已经开始意识到安全的重要性。最近,IDG和一家SD-WAN提供商Masergy的联合调查显示,81%的调查对象表示,安全是选购SD-WAN产品需要考量的最关键因素。

专业的SD-WAN提供商(指网络设备厂商)非常了解这一点,因此已经与专业的安全厂商,如防火墙或云安全厂商开展合作,以提供整合性质的安全功能。

二、两个典型案例

对于想要进一步提升SD-WAN连接安全性的用户来说,不外乎有两种选择。一种是在安全领域有着长期积累的厂商,最近开始做SD-WAN。另一种选择是电信运营商领域的公司,如数据中心或托管服务提供商。他们本身就负责端到端的广域网流量,并提供额外的安全功能,如网站内容过滤和防病毒。

下面分别介绍这两种选择方向(在安全机制的采用方面有着很大差异化)的典型案例:

1)全球IT分销商Westcon结合下代墙的SD-WAN

Westcon之前用的就是MPLS,后来转型到基于广域网加速提供商Silver Peak的UnityEdgeConnect平台的SD-WAN,其优点有韧性强、成本低、可扩展性和可见性等。

据Westcon的基础设施高级经理Michael Soler介绍,公司的网络由两个共管数据中心、两个Azure数据中心和分布在北美分、欧洲和亚洲的27个分支机构组成。之前使用老的MPLS网络时的一个问题就是缺乏韧性:“IPSec的失效切换功能只是在说明书上写的很棒,但当你真正需要它时就并非这样了。”

成本是另一个问题。由于缺乏网络使用情况的可见性,在优化带宽需求和定位哪里超载使用或哪里使用量不够的时候,非常困难。

MPLS最令人头疼的问题,就是当网络改变或启动新服务的时候,缺乏弹性和低效的响应时间。而且,MPLS部署的复杂性又增加了出错的机率,最终令用户体验非常糟糕。

在调查了几家SD-WAN提供商之后,Michael Soler在2017年底开始试用Silver Peak的组件,发现其产品的简易性和有效性令人印象深刻,尤其是它的前向纠错和路径调节的功效更是十分出色。于是,Soler建立了一个部署流程的模板,开始在所有使用MPLS的站点上实施SD-WAN。

最终SD-WAN的实施获得了巨大的成功,不仅广域网的成本下降,弹性、可见性也得到了很大的改善,而且,直接访问互联网和Azure的优良效果也令终端用户也非常满意。

安全方面,为了解决分支机构遇到的与互联网突破(Internet breakout,指通过本地ISP而非机构自身数据中心出入的互联网流量)相关的安全问题,Soler部署了下代墙以增强Silver Peak自带的动态包过滤防火墙的安全能力。因为,传统的做法是把安全控制部署在数据中心来统一管理,但互联网突破的场景下,这一安全机制就无能为力了。

Soler表示,安全需要不断的改善。除了目前的措施之外,他还在寻找一种更加有效的安全方法。如一种称之为服务链(service chaining)的技术,这种技术可以从区域卫星站接管流量,然后通过隧道进入区域的中心站,以应用中心站配置的防火墙策略。面向未来,Soler表示会考虑基于云的SD-WAN安全服务。

2)GHD集团用云来增强SD-WAN安全性

全球五大洲拥有200多家办事处的GHD集团,在实施SD-WAN的时候,选择的是云安全服务商ZScaler。

GHD之前的广域网曾全部使用MPLS,把全世界30个站点的流量全部回传给托管的数据中心。2015年,在经历了一场收并购事件后,公司在北美的网络扩展到近130个站点。GHD的全球网络负责人Randy Taylor发现,如果继续部署MPLS,把这些站点部完需要3至5个月的时间。于是,Taylor开始寻求替代方案。

GHD的网络,局域网用的是思科,广域网优化用的是Riverbed,因此Taylor决定考察一下后者的SD-WAN产品。起初他还对这种颠覆性的技术“有所怀疑”,但被“使用互联网传输的技术所吸引”,于是就在一些小的北美站点试用。这时,SD-WAN的易用性显现出来,不到6周的时间里,Taylor就部署连接了50个站点。而且,由于几乎是零接触的操作流程,从而Taylor可以在云上预先配置好一台设备,然后再交付给分支机构。对于分支机构来说,即使一个非IT专业的人员,也能够依据简单的指导,在几分钟内连接好设备而正常使用。

“我们很快就感受到了SD-WAN的好处,这是互联网突破的最佳方案”。而且,SD-WAN在公司的实施正好赶上GHD集团提升SaaS应用的时期,“几乎是立刻,它成为了我们公司SaaS访问的解决方案。”

由于经常与各国政府打交道,GHD集团格外注重基于ISO国际标准的安全合规。之前的模式是在数据中心部署企业级防火墙。但如果给每个分支机构都部署一台防火墙,不仅成本很高,维护工作也很麻烦。于是Taylor把目光转向了云,并最终选择了Zscaler。

所有的流量都经过Zscaler的云安全中心,用户可根据需求选择里面的各种安全服务。如防病毒、黑白名单、UTM、附件检测沙箱等,甚至还有针对零日漏洞的防护。

Taylor表示,Zscaler不仅节省了资金,还在维护与更新安全硬件方面带来了更大的便利。但Zscaler也特别提醒到,由于分支机构的流量首先要连接至Zscaler最近的节点,因此如果这个节点与分支机构离得较远的话,访问效能上会有一定的影响。

另一项非常明显的益处,是6名全日制网络工程师换成了一个普通值夜班的工程师,日常编护由前台服务人员解决,而6名网络工程师则专注创新方面的工作。

现在,Talyor已经在全球的分支机构部署了SD-WAN,除了某些区域由于合规的原因不能上云,以及一些音视频应用还继续使用MPLS。SD-WAN已经成为公司首选的广域网解决方案。

三、SD-WAN促进网络团队与安全团队的合作

传统的中心化的广域网安全模式,分支机构的流量通过MPLS回传到数据中心,全部通过数据中心的安全策略控制。而分布模式,安全则交给各个分支机构。

之前网络团队和安全团队各自独立工作,而SD-WAN则通过工具的整合部署和通用数据集的使用,促进了双方的合作。这种合作已经不仅仅局限于类似应急事件处理这种机动层面的情况,还扩展到了基础设施设计与实施的层面。

实际上,现在已经有很多企业开始采取各种方法来增强SD-WAN安全。对于已经购买并使用了安全设备的企业,会将原有的安全功能与SD-WAN整合,以达到纵深防御的目的。还有一些企业走的是托管服务的路线,由于许多SD-WAN厂商通过托管服务商销售产品,因此企业用户可以把实施、维护和安全等事情交给托管服务商,用户只决定购买哪家的产品即可。

最后,SD-WAN并不会完全取代MPLS,许多企业仍然还在特定的应用上继续使用MPLS。但不管怎样,MPLS之前的广域网链接访问首选方案的地位已经不在,而成为多样化、优化、安全的流量访问方案的选择之一。

声明:本文来自数世咨询,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。