【51CTO.com快译】又是新的一年,又到了对未来十二个月做出大胆预测的时候。正如尤达大师的预言一样,虽然有时候这类预测听起来有些模糊或者夸张,但却往往确实能够指导未来的重要趋势。在今天的文章中,我们只重点讲一个方向:
这到底是什么意思?是说网络与安全可能在2017年内相互替代?CIO与CISO们是否应当准备迎接这种不可避免的趋势?安全与网络技术人员又该如何为这波冲击做好准备?
当然,我们对此有着自己的想法。通过对多家SD-WAN厂商的关注以及传统技术发展带来的启示,
毫无疑问,任何由SD-WAN实现的互联网直连作法都代表着新的攻击面。大多数企业都拥有一套甚至多套区域性互联网接入中心。而暴露在互联网下的直接后果就是,大家将遭遇更多勒索软件、钓鱼网络、恶意下载乃至其它隐患的威胁。
更可怕的是,大家分支机构中的安全性水平可能更差。用户们往往依赖于MPLS或者基于互联网的IPSec VPN,而且我见到的大多数企业仍在将回程流量路由至中央或者区域枢纽处的安全互联网访问门户。这里可能不具备防火墙、恶意软件检测或者其它安全保护措施。
事实上,最近Dimension Data发布的一份调查恰好提到了这方面议题。该调查发现,40%的企业分支机构并不具备基础的有状态防火墙。半数分支机构没有采用下一代防火墙(简称NGFW)。SD-WAN与互联网直连对于分支机构代表着双重风险。企业不仅面临更大的攻击面,其甚至未能利用现有工具及规程对其加以保护。
SD-WAN供应商也意识到了安全挑战的存在。各厂商纷纷开始探讨网络层问题——包括加密、IPSec及验证等等。WAN上的网络分区以自己的方式进行流量隔离,从而保护其中的应用免受外部WAN活动的威胁。其基本思路与主机上的虚拟机应用隔离手段相当接近,而且已经有众多厂商开始在其分支设备中内置有状态防火墙。
不过更大的问题在于,我们要如何为分支机构提供NGFW、恶意软件检测、IDS/IPS、URL过滤及其它应用级安全机制。关于这一点,我们发现各厂商普遍采取以下四种方案中的一种或者几种。
从基础层面,已经有一部分 SD-WAN供应商开始合作以将自身安全水平提升至“业界领先”。这种服务链的出现使得各类安全功能得以串联起来。深度数据包检测(简称DPI)能够立足边缘网络发现并引导相关流量至对应的安全设备处,而不再需要全部流经中央数据中心。
不过服务链安全设备仍然会将部分回程分支流量引导至某些检查位置。为了在无需于分支机构内部署完整安全设备堆栈的前提下实现互联网直连,多数SD-WAN厂商联合建立起云安全服务。作为其中一例,Zscaler会将全部入站与出站TCP、UDP及ICMP流量发送至Zscaler云进行检查,而后才转发至目的地。
服务链提供一套框架以解决基本安全问题,但企业所创建的涉及多种应用、用户类型及站点的服务实例依然面临风险。很明显,只有采取高度集成化与自动化策略方可实现企业广域网管理。SD-WAN与安全参数应通过单一接口进行定义与交付。在此之后,必要工具应能够将这些策略推送至基础设施中的各个角落。
众多领先SD-WAN供应商已经开始提供这些功能,但其中网络与安全分析机制仍然彼此分离。例如,我们无法通过整合安全与网络信息的方式最大程度降低安全操作人员收到的警报信息。同样的,安全设备也无法借此检测DDoS攻击或者屏蔽当前网络分区的对应入口。虽然网络与安全日志可被导出至第三方工具,但这些严格的分析与控制协作能力仍然超出了大多数SD-WAN厂商间的合作范畴。
在内部设施层面,企业仍然需要承担全部管理与运营复杂性,并负责维护安全基础设施的日常运行。防火墙、更新、补丁等事务仍然相当繁琐但又必要。而在云安全服务层面,企业亦需要负责保护一切非HTTP流量。在这两种情况下,策略整合能力通常非常有限,且难以甚至根本无法实现分析能力整合。
有鉴于此,部分SD-WAN厂商开始进一步将安全与SD-WAN功能进行耦合。Versa Networks就在利用NFV方案在接入SD-WAN的站点上运行安全功能。Cato Networks亦尝试立足其云环境中提供路由功能。
通过将安全与网络加以紧密耦合,企业能够获得良好的收益。例如,Versa公司能够借此对安全及网络日志进行更深层次的分析,从而减少安全运营工作中的事件负载。而通过将此类功能迁移至云端,Cato公司则确保IT团队无需承担基础设施内各独立部分的运营成本。
那么这种作法是否存在弊端?最大的问题在于,这迫使企业客户由“行业最佳”巨头转向那些历史相对较短的方案供应商。另外,尽管Versa已经同不少第三方安全设备建立起协作,但这种作法将使得安全与网络分析整合能力化为乌有。
网络与安全间的界线将在未来几年内变得更加模糊——至少在技术层面上是如此。不过就短期来看,网络与安全团队间仍存在明显区别。SD-WAN还将提供这两类团队间的更佳协作方案,而这或许将成为SD-WAN厂商为IT安全作出的最大贡献。
原文标题:Will networks and security converge in 2017? ,作者:Steve Garson与Dave Greenfield
【51CTO译稿,合作站点转载请注明原文译者和出处为51CTO.com】