任何创新技术面临着怀疑的战斗。当亚马逊首次推出AWS,很少有人能够想象在云中运行的服务器。Salesforce的之前,很多人都认为CRM是太关键,以SaaS的运行。我觉得SD-广域网将面临类似的战斗。这是不可思议的许多的SD-WAN可以取代MPLS。这是出于安全团队尤其如此。
在最近的一个客户,一家化学公司,车队一直在寻找从MPLS到SD-WAN的过渡。安全组,但是,不能接受SD-满足广域网引导化工行业规定由CFATS(化学设施反恐标准)的要求这一事实。
这是专业人士越来越挂到实施,未能考虑以其他方式解决同样需要一个典型的例子。CFATS专业人员承担MPLS和防火墙由标准来规定的。MPLS作为事实上的运输。至于防火墙,“企业理解和感受与防火墙的安全,” Nirvik南迪,我的合作伙伴,总裁兼首席执行官说:大红灯笼高高挂,安全及合规顾问。
但是,事实上,无论是由规范所规定的。CFATS公司建议采用基于风险的性能标准,以保护使用相关化学品(COI)的设施。该规范旨在阻止盗窃、转移或网络破坏,包括防止未经授权的现场或远程访问关键过程控制,如监控和数据采集(SCADA)系统。
它谈到了保护“控制系统”的必要性,要做到这一点,你必须采取一种分层的防御策略,包括两种技术控制,如定义控制系统的边界、限制和监控外部连接、从业务网络分段并加密数据、限制和监控远程访问,Nirvik说,部署“最小特权”来包含访问等,以及程序控制。
MPLS和防火墙都没有明确规定CFATS。实际上,防火墙不检查是否有有效的控制系统协议内容的数据包,因此都不是最有效的解决方案来细分业务和控制系统的环境。与下一代防火墙(NGFW)功能加密的SD-WAN流量叠加可以提供4-7层网络服务更好的保护。
但是,证明SD-广域网能够满足CFATS或任何标准特别具有挑战性。在某种程度上这是因为SD-广域网利用互联网使人联想到网络威胁和黑客-的CFATS遵守非常相反的。还有各地的究竟是什么没有达成共识是一个SD-WAN。每个供应商的工具SD-WAN不同。家电,托管服务,云服务,这些都是不同的事情,安全专业人员。该技术需要稳定和教育需要改善前安全专业人士会舒服SD-广域网。
与此同时,安全和网络正在融合,模糊了传统防火墙的定义。已经卡托网络与提供在云中的SD-WAN服务内置NGFW,SGW和恶意软件保护。其他厂商,如开放系统,正在提供预包装到他们的设备最好的品种安全服务。
因此,可以SD-广域网是符合规定?我们这样认为,至少在CFATS的情况下,如果用技术和管理控制部署正确。“唯一的例外是,如果一个组织已经解释的指导意见“RBPS第8条 - 网络”讨论SCADA,DCS和其他控制系统的分割为完全空气带气隙从企业网络与整个单独的一组,包括监控,事件响应等的管理控制的,” Nirvik说。“如果是这样的话,那么该解决方案将是确实非常昂贵。”
(你可以阅读更多的与Nirvik采访在我们的博客。)