-->

whaust

2020年3月1日 星期日

安全的SD-WAN:安全廠商及其SD-WAN產品



網絡供應商根本無法進入這個領域。一些SD-WAN添加有狀態的數據包篩選器,並將其稱為安全性。
在成立之初,我們擁有早期採用者和純SD-WAN 設備。很快,很明顯有些東西丟失了,而缺少的部分就是安全性。但是,安全供應商從一開始就強調安全性的重要性。
如今,市場似乎正在朝著安全廠商專注於圍繞普遍安全性提供SD-WAN功能的方向發展。WAN Edge基礎架構魔力像限做出了重大預測。報告指出:2024年,隨著基於雲服務的採用率不斷提高,分佈式企業購買的新防火牆中有50%將利用SD-WAN功能,而今天這一比例還不到20%。
如今,我們擁有遵循Fortinet專利模式的ForcepointSonicWallBarracuda等安全供應商。供應商為WAN邊際體系結構提供了內置的安全檢測技術,用於分佈式企業用例。

引入安全的SD-WAN

顯然,安全的SD-WAN包括同類最佳的下一代防火牆安全性,SD-WAN,高級路由和WAN優化,以提供安全驅動的WAN邊際。它將SD-WAN功能和安全功能結合在一起。  
安全的SD-WAN解決方案可以完全放置在分支機構中,並且可以採用雲或混合方法。對於那些不想將所有內容都放在雲中的人,混合方法可能更可行。
對我來說,看到查詢如何進入分析人員以及客戶如何關注該領域,這是非常有趣的。值得注意的是,Gartner估計,Fortinet有超過21,000WAN邊際客戶。這是一個相當大的用戶基礎,並具有令人信服的理由,尤其是當強大而內置的安全功能是關鍵要求時。

為網絡增加安全性

安全公司添加新的網絡功能絕對比SD-WAN公司添加20年的高級安全功能要容易得多。我們可以放心地假設沒有SD-WAN供應商將成為安全供應商。
隨著市場的發展,在某些時候必須重命名某些功能:當我們談論應用程序標識,加密,路徑監視,路由協議和WAN鏈路負載平衡時。從根本上講,所有這些高級路由功能都不是新功能,而是特定於SD-WAN的。這些並不是一朝一夕的成功,甚至在市場尚未出現之前就已經進入市場。
但是,在某些情況下,也許您必須在WAN上實施專有的路由協議。當然,在這種情況下,您需要一個新設備。但是對於大部分而言,邊際的綜合防火牆就足夠了。

WAN邊際的防火牆

防火牆正在演變成網絡安全平台,從而提供SD-WAN功能。網絡防火牆魔力像限指出:“ SMB多功能防火牆市場在2018年增長了10.1%,其中SD-WAN的採用是強勁的推動力。
當您考慮它時,您將意識到防火牆已經充當路由器很長時間了。本質上,防火牆可以提供所有路由協議,以促進專用WANInternet和內部路由。此功能通常由僅執行路由的基本設備提供。但是,現在我們正在見證用防火牆將它們替換為邊際設備。
防火牆已經存在於網絡中數十年了。它們的作用不僅限於做防火牆,而且還參與路由網絡。他們一次又一次地提供路由的WAN邊際設備。

舊版安全性設計的問題

您如何將安全性與SD-WAN集成?首先,通用設計涉及多個安全點解決方案的集成。現在,讓我們了解這些點解決方案的後果。

複雜

點解決方案僅解決一個問題,並且需要與其他問題進行大量集成。因此,它們通常是服務鏈在一起的。每個部分都必須仔細地整合在一起。
您必須不斷將解決方案添加到堆棧中,這可能會導致管理開銷和增加的複雜性。更不用說NOCSOC團隊整合所面臨的挑戰。相反,SD-WAN的最初賣點是降低複雜性而不是加強它。
如果我們研究一下SD-WAN的安全性;實際增加複雜性的部分提供了當前調整的方式。當您實際上只想購買房屋時,這就像用單個碎片建造房屋。
如果進行分析,您會發現許多SD-WAN只是從其他供應商處引入安全技術,這些安全技術聯合起來將它們出售給客戶。

相關費用

通常將來自不同供應商的多點解決方案分散在網絡中非常昂貴。沒有固定的價格。一些安全廠商可能會對您還沒有數量的使用模型收取費用。那麼,當您有多個倍數時,如何有效地計劃呢? 
隨著成本的不斷增加,由於相關的成本,安全專業人員可能會決定權衡某些點解決方案。我們知道現在這不是有效的風險管理策略。理想情況下,就安全性而言,您無需在需要時執行任何操作;您需要它之前就做。這意味著威脅情報是關鍵,許多SD-WAN供應商常常忽略了這一點。
從技術和成本的角度來看,將每個安全點解決方案功能整合到一起是至關重要的。為此,從第一天開始專門研究安全性的人就可以了。這就是為什麼要在一個綜合集成平台中提供SD-WAN功能以及高級安全性的原因。
安全SD-WAN是將網絡和安全性結合到一個集成平台中的功能。這樣就不會導致更複雜的管理,許可問題,高成本或不必要的服務鏈。

SD-WAN與功能無關

SD-WAN市場上有關這些功能的聲音很多。讓我們面對現實吧:功能確實並沒有創造太多的價值來形成市場分離。實際上,SD-WAN的價值主張與功能無關。每個人在對應用程序進行分類並將其發送到最佳路徑方面都做得很好。讓我們了解SD-WAN的真正價值主張。

性能和可擴展性

當涉及到SD-WAN時,通常是應用程序的指導,但是例如,如果您沒有具有可靠性能的深入TLS1.3檢查,那麼如何獲得準確的標識並確保分支機構正確運行。安全?沒有足夠的人在談論這個。
為此,我們需要定制的SD-WAN專用的專用集成電路(ASIC)。這為高資源密集型加密/解密和覆蓋可伸縮性提供了難以置信的優勢。
使用IPSec,需要進行大量的加密操作,這些操作會消耗大量的CPURAM。因此,專門為此目的而構建的專用SD-WAN ASIC使得每個通道消耗的CPURAM更少。
通常,可伸縮性停止在1,0001,500。使用適當的ASIC,此數字可以擴展到100,000以上,這對於某些集線器站點設計可能很有用。通過使用ASIC,您可以在同一設備中運行網絡堆棧和安全堆棧,從而形成一個非常有效且具有成本效益的解決方案。

威脅情報的重要性

下一代防火牆在許多SD-WAN供應商的數據表中。但是,威脅檢測和威脅預防又如何呢?許多SD-WAN供應商缺少的一大功能是將威脅情報與威脅研究結合在一起。威脅形勢在不斷發展,因此安全解決方案也應與當今和未來的威脅保持一致。
威脅防護具有從第4層到第7層的核心功能,例如IPS,內容過濾,深度SSL檢查和反惡意軟件。此外,我們還有一個威脅檢測工具。如今,您不再依賴檢測已知威脅,也必須檢測未知威脅。因此,擁有一整套預防和檢測功能非常重要。通過將這兩個功能粘合在一起,我們可以擁有經驗豐富的安全研究和分析師團隊。觀察SD-WAN供應商是否具有自己的威脅情報非常重要。
為此,我們確實需要安全公司的血統書。任何安全供應商的核心價值都在於他們的情報研究水平。這是造成市場分離的原因,而不是SD-WAN功能。
但是,還有另一個步驟,就是要確認所提議的功能是否已被第三方(例如NSS Labs)驗證。NSS Labs已對其中一些安全供應商的SD-WAN領先產品進行了評估,這些領域包括VoIP和視頻的體驗質量(QoE),性能(WAN損害和HA),總擁有成本(TCO)以及安全效果。
此外,我們必須質疑提供防火牆的SD-WAN設備多久更新一次最新的威脅信息。是每天還是每週進行幾次此過程?一些SD-WAN解決方案將它們作為安全的SD-WAN供應商進行銷售,但是如果我們回到建立有效安全性的角度出發,則需要一支強大的威脅情報團隊。初創公司是否有足夠的人力來做到這一點?網絡供應商根本無法進入這個領域。一些SD-WAN添加有狀態的數據包篩選器,並將其稱為安全性。
老實說,任何人都可以使用下一代防火牆。但是,功能廣度的重要性,它們提供的智能以及在市場中的認可發揮著巨大的作用。這就是在分支機構中建立對下一代防火牆的信任並確保最佳安全狀態保持最佳狀態的原因。
當您尋找安全的SD-WAN供應商時,請突出顯示這些問題並檢查其安全堆棧的年代。此外,評估他們是否有經驗豐富的威脅情報團隊。
市場正在朝著安全的SD-WAN解決方案發展。行業分析和客戶群的增長在當今時代具有重大影響。人們並非將安全供應商視為強大的SD-WAN參與者。
但是,認識到市場需要在一個集成的綜合平台中提供安全的SD-WAN


沒有留言:

張貼留言

Popular