RSA旧金山-如果不是全年最大的安全秀-在我们身后,是重温安全网和SD广域网的好时机我知道,我们已经生活 通过Yoda预测网络未来安全性博客文章中, 谈到供应商获取SD-WAN新连通方式SD-WAN安全还有一个维度, 我们没有讨论,那是广域网
WAN:风险和奖赏今日攻击者
大都SDWAN销售商安全集成指检验互联网进出境量服务如Zscaler可检验HTTP通向互联网的流量,但他们不做连接到其他地方的流量问题在于网站对网站流量增加需要自身检验保护
和许多客户一样,你可能拥有防火墙安全网关(SWG)、下一代防火墙(NGFW)和其余安全栈从互联网分割网络内院内,你可能已经使用VLANs和ACLs从彼此分段资源按同一逻辑,你可能不分割广域网交通一旦进入广域网,地点间可能没有逻辑分离
这是可以理解的不幸或幸运地 如果你是咨询师 L3广域网架构划分 一直具有挑战性归根结底 IP可编程近似任何东西象网络中的许多事物一样,IP-MPLS环境分割对许多公司来说太复杂除深入理解IP路由外,你还需要专门知识MPBGPMPLS/LDP和VRFs像我说的 做咨询师有段时间是件好事
但由于更多安全威胁来自企业内部,广域网分割正日益成为许多组织必备之所从广域网分割办事处有助于防止小办事处攻击遍历企业
控制器网络,如SD-WANs,使WA截分化大为简单化细节会因销售商而异,但总的来说,你定义策略描述底层的网状应用-应用特征、网络配置在某些情况下、定位或更多策略分布于SD-WAN节点上,创建多点通道(通常使用IPsec)连接保单定义的办公点段内流量仅限于段内相关源端
某些商家可能声称每个应用中都有一个单自定义广域网段, 但我还没有见到任何人部署自定义广域网认真思考去那远问题太复杂无法处理通常公司会拆分广域网五至七组应用-请客Wi-Fi实时应用、任务临界应用、文件传送、通用互联网浏览等
防火墙或路由器
单网络分割对许多广域网来说是向前跨出的一大步,但对于更大的粒度,有些提供商允许你向下分割端点那种粒状性 你可能会看到VLAN对防火墙事实上,他们把防火墙(安全栈的其他元素)整合到SD-WAN中,声称为局域网和WAN创建安全策略通常SD-WAN销售商与详细度抗争,因为应用分类完成五大题-源端地址、源端端口号以及层三协议类型或六大题-即加DSCP或ToS值两者都没有给他们粒子识别应用层用户和服务
SD-WAN防火墙和WAN防火墙的商家是谁积分网络唯一商家我所知道的扩展软件定义网络广广广广域网层2-4防火墙列作虚拟安全服务组合Versa网络生成网络函数虚拟化平台 允许你部署适合NFV防火墙
卡托网络提供广域网Cato云服务防火墙横跨卡托私人骨干服务到其他办公点的交通先由WAN防火墙检查相同的安全策略指导办公用户可应用到办公外移动用户RSA语言中可点击Cato网络创建者Shlomo Kramar在此视频解释Cato技术创新沙盒颁奖.)
新广域网新安全
本地互联网接入仅仅是SD-WAN安全性问题的一部分并思考如何安全分段横跨广域网网络层分割比今天对MPLS和DMVPN所做的重要一步公司寻找更多粒状安全时 商家建防火墙和其他安全服务