2018年企业网络内部威胁报告:1.不断放大SD-WAN

阅读:54时间:8 月前

最佳回答

逍遙蒗孒

回答于:8 月前

根据该机构最新发布的《2018企业网络内幕威胁报告》,90%的企业认为自己容易受到内幕攻击,53%的企业确认2018年收到的内幕攻击少于5次, 27% 的企业更频繁地受到内部攻击。企业网络中存在漏洞的主要原因包括过多的用户访问过多 (37%)、访问敏感数据的设备过多 (36%) 以及网络和 IT 连接的复杂性增加 (35%)。但是,随着企业的数字化转型和许多重要业务线的管理需求,云的引入和软件定义广域网技术的应用不可避免地给网络带来了更多的风险。

1.云边界问题困扰着企业

云边界,网络、云和安全系统的交汇点。企业分支机构通常需要访问云应用或云服务上的大量资源。如果要将所有流量都送到企业数据中心进行安全检测、分析和过滤,需要使用大量的MPLS带宽,不仅成本高昂,而且增加了数据中心安全架构的规模和复杂度导致传输效率低下并增加安全成本。但是,如果不使用数据中心的安全设备,组织将面临员工访问恶意网站和恶意回程流量导致的数据泄露和恶意软件感染等安全风险。

2.分支机构网络访问控制

为了提升客户体验,企业往往倾向于向客户开放分支机构WiFi,让访客可以访问企业公开的业务、数据和服务。同时,由于企业组织结构地域分布的复杂性,分支机构的员工及其设备在访问企业内部资源时也需要进行认证,通过不同的网络分段策略划分权限。这种通过各种形式的分支结构访问企业广域网的尝试会给企业带来不可预测的风险。

分支机构网络的复杂性和对云应用的偏好使得传统企业广域网的攻击面不断扩大。 SD-WAN作为新一代广域网技术,其安全性也备受关注。 SD-WAN 的安全连接可以帮助防御网络安全攻击,企业还可以使用 SD-WAN 配置安全策略,对特定于云的流量进行加密和分段。 SD-WAN的安全可以分为两个方面:

数据平面安全

在考虑 SD-WAN 安全性时,首先想到的是数据平面。数据平面承载需要加密的用户流量。加密方法可以包括安全套接字层、传输层安全、IPsec VPN 隧道和基于量子的加密通信,仅举几例。供应商倾向于提供不同的加密和密钥交换方法。更短的密钥轮换间隔意味着更高的安全性,因为它们减少了黑客可以使用密钥的时间。

控制平面安全

控制平面的安全性经常被忽视。这是网络控制元素(位于构成 SD-WAN 的路由器和交换设备中)之间的消息传递路径。加密此流量也很重要,这样攻击者就无法拦截、破坏或破坏您的 SD-WAN 管理和配置功能。大多数(但不是全部)供应商都会对控制平面进行加密。

当今市场上的大多数 SD-WAN 解决方案提供商仅支持 IPSec VPN 和基本的状态安全,这完全不足以保护企业免受不断演变的网络攻击。因此,企业必须在部署 SD-WAN 后添加额外的安全保护。 SD-WAN 支持按应用程序或组织级别进行端到端加密和分段,提供嵌入式安全机制。但不少 SD-WAN 供应商并未提供全面的企业级安全解决方案。企业可以选择(1)将高级安全解决方案集成到 SD-WAN 解决方案中(2)第三方 SaaS 解决方案(3)一种基于设备的内部解决方案,以加强 SD-WAN 安全性。

高级安全解决方案集成到 SD-WAN 解决方案中

优势:分支机构的集成安全解决方案可以将 SD-WAN 带入分支机构的下一阶段连接,并提供多种交付选项。此类解决方案可实现简化管理、内部流量保护以及智能流量管理和转向。因此,企业将能够获得更强的安全保护,不再需要处理额外的堆栈或设备。 SD-WAN 和内置安全性还为所有相关事件(例如用户、应用程序、设备、位置、网络等)提供了单一管理平台。

缺点:安全级别可能不如传统的“纵深防御”方法那么“深”,通常依赖多个供应商来覆盖安全基础架构中的所有层安全套的功能,而不是简单地“一刀切” .

第三方软件即服务 (SaaS) 解决方案

优点:第三方SaaS解决方案可以有效减少管理层面的麻烦。其消费模式的特点是重量轻,甚至完全不需要任何现场部署。实施和管理相对灵活且易于使用。 SaaS 安全解决方案可以插入新的数据保护检查机制,防止潜在的隐藏且代价高昂的意外攻击。

缺点:它的大部分服务只能识别基于 HTTP 的流量,这意味着企业无法确定如何处理其他流量。此外,这些服务还可能缺乏通过替代协议检测传入威胁向量的能力。从管理的角度来看,SaaS 解决方案将管理界面与接触点分开,并为管理员创建了额外的步骤,这意味着进一步的复杂性和时间投资。

利用现有或新供应商提供的基于内部设备的解决方案增强 SD-WAN 安全性

优势:许多企业依靠现有的、经过认证的供应商提供基于设备的内部保护解决方案。这种方法的好处是企业熟悉相关产品:这些解决方案长期驻留在本地环境中,安全管理员可以自己照顾和熟悉这些产品。由于这些产品的使用寿命长,内部保护解决方案可以长期存在于分支机构基础设施中,并具有一定的有效性。

缺点:从采购和运营的角度来看,专用设备解决方案的成本可能很高。由于其复杂性,它需要大量的人力来实施,并且需要更多的资源来管理其在企业整体环境中的运行。而每个分支机构中的多个数据密集型设备将进一步增加处理此类问题的难度。这种复杂性有可能引发严重阻碍生产力发展的潜在集成和/或互操作性问题。此外,相当数量的设备之间不存在单点事件关联,这会导致一些威胁和其他异常活动可能通过设备之间的“缝隙”溜进企业。

SD-WAN 安全产品

目前,几乎所有的 SD-WAN 厂商都将基本的防火墙功能作为产品指标,使用数据包识别来控制流量,例如,通过识别流量的来源或目的地来确定服务是可信的还是云端的——基于服务。此外,SD-WAN厂商提供的产品还包括内容过滤、端点识别与管理、策略执行等功能。他们的产品可以分为以下四种。

具有基本防火墙功能的 SD-WAN 设备

许多 SD-WAN 供应商在其 SD-WAN 设备中提供基本的防火墙功能。这些防火墙大致相当于分支机构路由器中的状态防火墙。功能包括基于策略的过滤和基于端口或 IP 地址的阻止应用程序。关于具有基本防火墙功能的SD-WAN产品,这里列出了Cisco()、Peak。

2018 年 8 月 Cisco () 宣布已经能够将 SD-WAN 软件集成到 IOS XE 中。思科正试图通过集成防火墙、入侵防御和 URL 过滤来加强其 SD-WAN 安全性。安全可扩展网络 (SEN) 是一种 SD-WAN 解决方案,它包含五个关键架构元素,以实现传输独立性、自动保护任何路由的端点、提供端到端网络分段、使用集中控制器执行策略以及启用网络服务广告,SEN 提供安全的端到端网络虚拟化,并被企业用来构建具有完全集成的路由、安全性、集中策略和编排的大型网络。

Peak 的 Unity 引入了分段和安全服务链 SD-WAN 解决方案。这些新功能使分布式企业能够将用户、应用程序和 WAN 服务集中划分到安全区域,并根据预定义的安全策略、法规要求和业务意图跨 LAN 和 WAN 自动控制应用程序流量。对于拥有多供应商安全架构的企业,现在可以使用无缝拖放服务链接到下一代安全基础架构和服务。

的 NSX SD-WAN 具有独特的灵活架构,可保护通过数据中心的以云为目标的流量,可用于托管安全设施、VPN 终止,或可用于插入其他服务,包括防火墙和云基于安全性(例如)。 NSX SD-WAN Edge 支持的 VNF 功能还允许在分支机构插入安全服务。

具有高级防火墙的 SD-WAN 设备

基本状态防火墙可能足以作为连接到特定 SaaS IP 的第 1 阶段连接,但不适用于更广泛的访问。为此,一些供应商在其 SD-WAN 设备中添加了 NGFW 功能。

Open 在创建 SD-WAN 术语之前一直提供 SD-WAN 相关服务,他们的解决方案提供安全即服务,他们的完全托管服务在其边缘设备上提供完整的安全堆栈和云管理。 Open 声称将其第三方服务重新打包为托管安全 SD-WAN 设备的一部分。其任务是控制网络安全服务,包括分布式企业级防火墙; CASB、端点检测与响应、网络安全监控;分布式网络入侵防御和 WiFi 安全。

Versa 的 SD-WAN 通过其 SD-WAN 安全解决方案增强分支机构保护,提供基于软件的安全功能,包括状态和下一代防火墙、恶意软件防护、URL 和内容过滤、IPS 和防病毒病毒、DDoS 和 VPN/下一代 VPN。 Versa 声称其 SD 解决方案提供了一整套集成网络(路由、SD-WAN、以太网、Wi-Fi)和安全(NG 防火墙、安全 Web 网关、AV、IPS)功能。虚拟客户端设备 (vCPE) 也可以运行第三方 VNF。

具有 SD-WAN 功能的防火墙设备

一些安全供应商已宣布为其防火墙设备提供 SD-WAN 功能。根据报告,这些供应商包括 和思科。

防火墙为每个分支机构提供可扩展的集中管理、本地安全实施以及高级上行链路智能和 QoS 的独特组合。这可以通过直接 VPN 隧道实现直接互联网突破,从而在每个分支机构实现云部署和应用程序。该防火墙包含 WAN 压缩和重复数据删除、故障转移和链路平衡、动态带宽和延迟检测、跨 VPN 隧道的多个传输的自适应会话平衡、自适应带宽预留等功能。

是一家提供原生 SD-WAN 和集成高级威胁防护的 NGFW 供应商。 SD-WAN 内置了先进的 SD-WAN 功能,并集成到下一代防火墙中,使分支机构能够通过使用 URL 过滤、IPS、防病毒和沙盒检测恶意软件攻击来检测载有恶意软件的 SSL 流量。 SD-WAN 用提供自动 WAN 路径控制和多带宽支持的单一应用感知解决方案取代了单独的 WAN 路由器、WAN 优化和安全设备。它可以提高应用程序性能、降低 WAN 运营成本并最大限度地降低管理复杂性。

Cisco MX 是一款企业安全和 SD-WAN 设备,专为需要远程管理的分布式部署而设计。该设备配备了 SD-WAN 功能,允许管理员最大限度地提高网络弹性和带宽效率。该设备提供安全功能,例如内容过滤和威胁防护、防火墙和流量整形、NAT 和端口转发、使用站点到站点 VPN 在 Cisco 设备和其他非端点之间创建安全加密隧道、组策略和黑名单.

使用启用了 SD-WAN 的防火墙设备可提供比 SD-WAN 设备中包含的基本防火墙更好的安全性。但是,组织仍然受到设备的限制。此外,虽然其中许多设备在纸面上看起来不错,但它们缺乏成熟的 SD-WAN 产品的成熟度。

SD-WAN 安全即服务

此外,一些供应商正在通过移动 SD-WAN 和某些安全功能来减少设备数量。 Cato 是这种方法的一个典型例子,它提供完全集成的安全和 SD-WAN 服务。结合网络和安全,Cato Cloud 通过基于策略的路由、SLA 支持的全球骨干网、企业级网络安全以及云和移动支持扩展了 WAN。 Cato 旨在将所有企业资源连接到 WAN,包括物理位置、云资源以及固定和移动用户。借助 Cato,网络和安全功能可以在任何地方和所有来源中使用,而无需引入单点解决方案。

华智达SD-WAN平台采用具有自主知识产权的ANP自治网络操作系统,重新设计SD-WAN的控制核心,采用分层设计方案,基于多租户的底层架构,实现端到端的安全设计理念安全套的功能,系统可根据需求平滑扩展,支持百万用户接入。是真正基于用户自助服务的SD-WAN运营平台。华智达首个基于量子加密通信的SD-WAN,结合量子加密通信,实现了高安全性的量子通信SD-WAN解决方案。

千信安全SD-WAN解决方案以网络即服务(NaaS)和安全即服务( SaaS)。 . SD-WAN不仅解决了网络运维成本高、广域网组网复杂等网络问题,还为日益严峻的广域网和内网数据安全风险提供了“端-网-云”的内生安全防护能力。通过灵活、便捷、按需的网络连接,灵活的部署安全能力,以及数据驱动的网络和安全策略决策支持,让网络更安全,安全更智能。

其他服务是安全 SD-WAN 即服务方法的一部分。例如,它通过其 SD-WAN 服务提供基本的防火墙功能,但无法提供 NGFW、IPS、URL 过滤和防病毒等 L4 到 L7 控制。也是这样。与合作伙伴通过基于行为的专利检测提供 DDoS 保护。在网络边缘提供外围安全解决方案并内置于 SD-WAN 设备 [ANAP]。 SD-WAN 安全平台提供多层深度防御安全,提供虚拟状态防火墙作为其 SD-WAN 的一部分,并提供简化的插件模型以防止公共互联网上常见的数据包丢失和延迟。

为了让大家深入了解SD-WAN,举办了多场SD-WAN研讨会和培训活动,引起了业界的关注和认可。 2019中国SD-WAN将于2019年11月15-16日举行。


相关问答