2017年預測:網絡與安全是否終將合并?
譯文【51CTO.com快譯】又是新的一年,又到了對未來十二個月做出大膽預測的時候。正如尤達大師的預言一樣,雖然有時候這類預測聽起來有些模糊或者夸張,但卻往往確實能夠指導未來的重要趨勢。在今天的文章中,我們只重點講一個方向:
網絡應與安全同化
這到底是什么意思?是說網絡與安全可能在2017年內相互替代?CIO與CISO們是否應當準備迎接這種不可避免的趨勢?安全與網絡技術人員又該如何為這波沖擊做好準備?
當然,我們對此有著自己的想法。通過對多家SD-WAN廠商的關注以及傳統技術發展帶來的啟示,
SD-WAN中的“SD”是否會引發安全災難?
毫無疑問,任何由SD-WAN實現的互聯網直連作法都代表著新的攻擊面。大多數企業都擁有一套甚至多套區域性互聯網接入中心。而暴露在互聯網下的直接后果就是,大家將遭遇更多勒索軟件、釣魚網絡、惡意下載乃至其它隱患的威脅。
更可怕的是,大家分支機構中的安全性水平可能更差。用戶們往往依賴于MPLS或者基于互聯網的IPSec VPN,而且我見到的大多數企業仍在將回程流量路由至中央或者區域樞紐處的安全互聯網訪問門戶。這里可能不具備防火墻、惡意軟件檢測或者其它安全保護措施。
事實上,最近Dimension Data發布的一份調查恰好提到了這方面議題。該調查發現,40%的企業分支機構并不具備基礎的有狀態防火墻。半數分支機構沒有采用下一代防火墻(簡稱NGFW)。SD-WAN與互聯網直連對于分支機構代表著雙重風險。企業不僅面臨更大的攻擊面,其甚至未能利用現有工具及規程對其加以保護。
其它網絡與安全實現方案
SD-WAN供應商也意識到了安全挑戰的存在。各廠商紛紛開始探討網絡層問題——包括加密、IPSec及驗證等等。WAN上的網絡分區以自己的方式進行流量隔離,從而保護其中的應用免受外部WAN活動的威脅。其基本思路與主機上的虛擬機應用隔離手段相當接近,而且已經有眾多廠商開始在其分支設備中內置有狀態防火墻。
不過更大的問題在于,我們要如何為分支機構提供NGFW、惡意軟件檢測、IDS/IPS、URL過濾及其它應用級安全機制。關于這一點,我們發現各廠商普遍采取以下四種方案中的一種或者幾種。
服務鏈與云安全
從基礎層面,已經有一部分 SD-WAN供應商開始合作以將自身安全水平提升至“業界領先”。這種服務鏈的出現使得各類安全功能得以串聯起來。深度數據包檢測(簡稱DPI)能夠立足邊緣網絡發現并引導相關流量至對應的安全設備處,而不再需要全部流經中央數據中心。
不過服務鏈安全設備仍然會將部分回程分支流量引導至某些檢查位置。為了在無需于分支機構內部署完整安全設備堆棧的前提下實現互聯網直連,多數SD-WAN廠商聯合建立起云安全服務。作為其中一例,Zscaler會將全部入站與出站TCP、UDP及ICMP流量發送至Zscaler云進行檢查,而后才轉發至目的地。
服務鏈提供一套框架以解決基本安全問題,但企業所創建的涉及多種應用、用戶類型及站點的服務實例依然面臨風險。很明顯,只有采取高度集成化與自動化策略方可實現企業廣域網管理。SD-WAN與安全參數應通過單一接口進行定義與交付。在此之后,必要工具應能夠將這些策略推送至基礎設施中的各個角落。
眾多領先SD-WAN供應商已經開始提供這些功能,但其中網絡與安全分析機制仍然彼此分離。例如,我們無法通過整合安全與網絡信息的方式最大程度降低安全操作人員收到的警報信息。同樣的,安全設備也無法借此檢測DDoS攻擊或者屏蔽當前網絡分區的對應入口。雖然網絡與安全日志可被導出至第三方工具,但這些嚴格的分析與控制協作能力仍然超出了大多數SD-WAN廠商間的合作范疇。
原生SD-WAN與安全整合
在內部設施層面,企業仍然需要承擔全部管理與運營復雜性,并負責維護安全基礎設施的日常運行。防火墻、更新、補丁等事務仍然相當繁瑣但又必要。而在云安全服務層面,企業亦需要負責保護一切非HTTP流量。在這兩種情況下,策略整合能力通常非常有限,且難以甚至根本無法實現分析能力整合。
有鑒于此,部分SD-WAN廠商開始進一步將安全與SD-WAN功能進行耦合。Versa Networks就在利用NFV方案在接入SD-WAN的站點上運行安全功能。Cato Networks亦嘗試立足其云環境中提供路由功能。
通過將安全與網絡加以緊密耦合,企業能夠獲得良好的收益。例如,Versa公司能夠借此對安全及網絡日志進行更深層次的分析,從而減少安全運營工作中的事件負載。而通過將此類功能遷移至云端,Cato公司則確保IT團隊無需承擔基礎設施內各獨立部分的運營成本。
那么這種作法是否存在弊端?最大的問題在于,這迫使企業客戶由“行業最佳”巨頭轉向那些歷史相對較短的方案供應商。另外,盡管Versa已經同不少第三方安全設備建立起協作,但這種作法將使得安全與網絡分析整合能力化為烏有。
網絡應與安全同化
網絡與安全間的界線將在未來幾年內變得更加模糊——至少在技術層面上是如此。不過就短期來看,網絡與安全團隊間仍存在明顯區別。SD-WAN還將提供這兩類團隊間的更佳協作方案,而這或許將成為SD-WAN廠商為IT安全作出的最大貢獻。
原文標題:Will networks and security converge in 2017? ,作者:Steve Garson與Dave Greenfield
【51CTO譯稿,合作站點轉載請注明原文譯者和出處為51CTO.com】
