网络厂商根本无力涉足 SD-WAN 领域,一些 SD-WAN方案 仅添加有状态数据包过滤能力,就称之拥有“安全性”。
在 SD-WAN 诞生之初,在市场中“开荒”的只是单纯的 SD-WAN 厂商,但很快就暴露出了缺点 —— “安全性”不到位。相比之下,安全厂商从一开始就强调安全的重要性。
如今,安全厂商似乎倾向于提供具有普遍安全特性的 SD-WAN 功能。Gartner 广域网边缘基础设施魔力象限报告对此进行了重大预测,报告指出:“到 2024 年,随着云服务的不断普及,分布式企业购买的新防火墙中将有 50% 使用 SD-WAN 功能,而今天这一比例还不到 20%。”
目前,市场上已经有 Forcepoint、SonicWall 和 Barracuda 等安全厂商采用了 Fortinet 模式,为 广域网边缘架构提供了内置安全能力,以支持分布式企业这一庞大的使用场景。
集成安全的SD-WAN解决方案简介
显然,集成安全的SD-WAN解决方案包括领先的下一代防火墙安全性、SD-WAN、高级路由和 WAN 优化功能,能够提供由安全驱动的 广域网边缘。它融合了 SD-WAN 的功能和安全特性。
集成安全的SD-WAN解决方案可以完全部署在分支机构和云中或者混合环境中。对于不想完全云化的企业来说,混合实现可能是一种更可行的选择。
值得注意的是,据 Gartner 估计,Fortinet 拥有超过 21,000 个SD-WAN客户。这一庞大的用户群是对 Fortinet 产品的充分肯定,尤其是当强大而内置的安全功能成为关键要求时。
为网络增加安全性
安全公司添加新网络功能可谓是信手拈来,SD-WAN 公司添加高级安全功能(补齐 20 年以来的安全缺口)却是难上加难。我们可以大胆地假设任何 SD-WAN 厂商都不会成为安全厂商。
随着市场的发展,一些功能必须适时地进行重命名,比如有关应用身份、加密、路径监控、路由协议和 广域网链路负载均衡的特性。从根本上讲,所有这些高级路由功能都不是新功能,也不是 SD-WAN 专有功能。它们并不是一夜之间突然冒出来的,而是在 SD-WAN 市场形成之前就已经存在了。
但是,在某些场景中,您可能必须在 广域网上实施专有路由协议,当然这需要一个新设备。但是对于大部分而言,只需在网络边缘部署一个综合性防火墙便足矣。
部署在广域网边缘的防火墙
防火墙正在演变成能够提供 SD-WAN 功能的网络安全平台。网络防火墙魔力象限报告指出:“中小型企业多功能防火墙市场在 2018 年增长了 10.1%,其中 SD-WAN 的采用是一个强劲的推动力。”
仔细想想,您会发现防火墙已经充当路由器很长时间了。防火墙基本上可以提供专用 WAN、互联网和内部路由所需的所有路由协议,并且通常通过专门负责路由的基础设备来实现。但是,这些功能正在被带有防火墙的边缘设备所替代。
防火墙已经进驻网络数十年了,除了做分内的安全工作外,它们还参与路由工作,常常被用作提供路由的 WAN 边缘设备。
传统安全设计的问题
如何集成安全性与 SD-WAN?普通的设计方法主要涉及多个单点安全解决方案的集成。我们先来了解一下这样做的后果。
复杂性
单点解决方案只能解决一个问题,必须进行大量集成,因此它们通常以服务链的形式存在,并且必须环环相扣、紧密融合。
由于必须要不断地添加解决方案,管理开销和复杂性可能会随之飙增,更不用说 NOC 和 SOC 团队整合所面临的挑战了。而 SD-WAN 的最初卖点就是降低复杂性。
如果我们研究一下 SD-WAN 领域的安全性,就会发现:目前它的使用方式实际上增加了复杂性。这就像您本来只想简单地买房,却变成了一砖一瓦地砌房。
分析表明,许多 SD-WAN 只是借用其他厂商的安全技术,“堆砌”起来出售给客户。
相关成本
在网络中分散使用来自不同厂商的多点解决方案不仅成本高昂,价格也永远不固定。一些安全厂商可能会无论您使用多少,都按使用模式收费。那么,如何有效规划多点解决方案的使用?
随着成本的不断累加,安全专员可能会出于压力牺牲掉一定的单点解决方案。我们知道,这不是一种有效的风险管理策略。理想情况下,安全工作应该做到有备无患,防范未然。这意味着威胁情报是关键,许多 SD-WAN 厂商常常忽略了这一点。
无论是从技术层面还是成本角度来看,整合所有安全解决方案的功能都无比重要。这样只需一个经验丰富的安全专员来管理便可。这也是将 SD-WAN 功能和高级安全性同时整合到一个集成式综合平台中的原因。
集成安全的SD-WAN解决方案完美地做到了这一点,从而避免了更复杂的管理、许可问题,以及较高的成本或不必要的服务链。
SD-WAN 的关键不在于功能
SD-WAN 市场上有很多“功能至上论”。但现实却是,“功能并没有创造太大的价值去支持市场细分”。实际上,SD-WAN 的价值主张与功能无关,毕竟各家厂商在应用分类和路径择优发送上都做得很好。我们来了解一下 SD-WAN 的真正价值主张。
性能与可扩展性
就 SD-WAN 而言,通常最应关注的是应用流量导向,但举例来说,如果您没有性能可靠的 TLS1.3 深度检查,如何获得准确的身份证明并确保您的分支机构安全?但是,关注这一点的人并不多。
为此,我们需要定制的 SD-WAN 特定应用专用集成电路 (ASIC),这可以为高资源密集型加密/解密和覆写可扩展性提供强大的优势。
使用 IPSec 时,系统需要进行大量加密运算,会占用大量 CPU 和 RAM 资源。而这项任务可以由专用 SD-WAN ASIC 来代劳,以便减少每个通道消耗的 CPU 和 RAM。
通常,可扩展性的上限为 1,000 或 1,500。而借助适当的 ASIC,这一数字可以增加到 100,000 以上,一些大型中心站点可能会很受用。此外,您还可以在同一设备中运行网络堆栈和安全堆栈,从而打造一款经济高效的解决方案。
威胁情报的重要性
下一代防火墙是许多 SD-WAN 厂商数据表中的标配,那么威胁检测和威胁防护服务呢?在许多 SD-WAN 解决方案中,威胁情报(结合威胁研究)仍然处于缺席状态。威胁形势不断演变,安全解决方案也应该与时俱进。
威胁防护的核心功能覆盖 4-7 层,比如 IPS、内容过滤、深度 SSL 检查和恶意软件防护。此外,我们还有一个威胁检测工具。如今,我们不能仅靠检测已知威胁就高枕无忧,还必须检测未知威胁。因此,拥有一整套预防和检测功能非常重要。有了这两种能力,我们就相当于拥有了经验丰富的安全研究和分析人员团队。了解 SD-WAN 厂商是否具有自己的威胁情报非常重要。
为此,您不妨选择具有安全公司血统的厂商。任何安全厂商的核心价值都在于他们的情报研究水平。这才是支持市场细分的原因,而不是 SD-WAN 功能。
但是,您还应该确认这些厂商提出的功能是否已得到第三方(如 NSS 实验室)的验证。NSS 实验室已对一些安全厂商的领先 SD-WAN 产品进行了评估,评估内容涉及 VoIP 和视频的体验质量 (QoE)、性能(WAN 损害和高可用性)、总体拥有成本 (TCO) 以及安全成效。
另外,我们还必须考察“提供防火墙的 SD-WAN 设备”根据最新威胁信息进行更新的频率,是每天几次还是每周几次?一些 SD-WAN 解决方案宣称自己是集成安全的SD-WAN厂商,但是构建有效的安全防护需要一支强大的威胁情报团队,初创企业是否有足够的人力来做到这一点?网络厂商更是根本无力涉足这一领域,一些 SD-WAN 仅添加有状态数据包过滤能力,便称之为“安全性”了。
坦白地讲,任何人都可以使用下一代防火墙。但是,功能的覆盖广度、它们提供的情报以及市场的认可却不可一概而论。只有做到了这几点,下一代防火墙才能赢得分支机构的信任,确保企业安全防线固若金汤。
您在寻找集成安全的SD-WAN厂商合作伙伴时,请着重考虑这些问题,并考察其安全业务的历史,同时评估他们是否具有经验丰富的威胁情报团队。
集成安全的SD-WAN解决方案正成为市场主要发展方向。行业分析和客户群体的觉醒在其中产生了重大影响。人们不再将安全厂商与 SD-WAN 厂商混为一谈。
最终,市场需要的是整合于集成式综合平台之中的集成安全的SD-WAN解决方案。