安全软件定义的WAN(SD-WAN)已成为最热门的新技术之一,有一些报道声称,公司的85%正积极考虑SD-WAN以提高基于云的应用程序的性能,替代价格昂贵和不灵活的固定的广域网连接,并提高安全性。
但现在这个行业正在向软件定义的分支(SD-分公司),它比SD-WAN范围更广,但为组织引入了一些需要考虑的新事物,包括为新数字技术提供更好的安全性。为了了解这个新的解决方案集需要什么,我最近采访了Fortinet产品和解决方案执行副总裁约翰•麦迪森(John Maddison)。
分析师Zeus Kerravala:首先,究竟什么是SD-科?
约翰·麦迪森:要回答一个安全SD-WAN解决这个问题,让我们退后一步,看看需要。组织需要扩大其数字化转型的努力到他们的远程位置,如分支办公室,远程学校校园,和零售点。我们面临的挑战是,今天的网络和应用具有良好的弹性和不断变化的,这意味着传统的固定和静态的WAN连接到远程办公室,如MPLS,不能支持这种新的数字化商业模式。
That’s where SD-WAN comes in. It replaces those legacy, and sometimes quite expensive, connections with flexible and intelligent connectivity designed to optimize bandwidth, maximize application performance, secure direct internet connections, and ensure that traffic, applications, workflows, and data are secure.
然而,大多数分支机构和零售店有一个本地局域网正在经历快速转型这方面落后。物联网(IOT)的设备,例如,被在远程位置以空前的速度通过。零售店铺现在包括宽连接的设备的阵列,从收款机和扫描仪到制冷机组和恒温器,以安全摄像机和库存控制装置。酒店监控室的访问和安全设备,电梯,空调系统,甚至是迷你酒吧购买。同类型的变换中的学校,分公司和办事处,和远程的生产设施正在发生的事情。
Fortinet
约翰·麦迪森,执行副总裁,Fortinet公司
我们面临的挑战是,许多这样的环境,特别是这些新的物联网和移动终端用户设备,缺乏充分的保障。SD-分公司extends the benefits of the secure SD-WAN’s security and control functions into the local network by securing wired and wireless access points, monitoring and inspecting internal traffic and applications, and leveraging network access control (NAC) to identify the devices being deployed at the branch and then dynamically assigning them to network segments where they can be more easily controlled.
什么独特的挑战做远程位置,如分支办公室,学校和零售场所,脸吗?
部署在这些远程位置的许多设备需要访问内部网络、云服务或internet资源才能运行。目前的挑战是,物联网设备尤其不安全,容易受到大量威胁和利用。此外,终端用户正在将越来越多的未经授权的设备连接到办公室。虽然这些通常是某种个人智能设备,它们也可以包括任何东西,从连接的咖啡机到无线接入点。
任何这些,如果连接到网络,然后利用,不仅表示到远程位置的威胁,但是它们也可以被用作门进入较大的核心网。有被用于隧道回到组织的数据中心,以窃取账户信息和财务信息点销售易受攻击的设备或HVAC系统的例子不胜枚举。2020欧洲杯预赛
当然,这些问题可以通过向分支添加一些附加的网络和安全技术来解决,但是大多数IT团队负担不起在现场部署和管理这些解决方案的IT资源,即使是临时的。我们需要的是一种安全解决方案,它将流量扫描和安全执行、有线和无线连接的访问控制、设备识别、动态分段和单一低触控/非触控设备的综合管理结合在一起。这就是sd分支的作用。
为什么没有传统的分支解决方案,如集成路由器,解决这些挑战?
大多数专为分支机构和零售点解决方案的早SD-WAN和数字化改造。其结果是,最不提供的那种灵活的支持SD-WAN功能,今天的偏远地区需要。此外,虽然他们可以要求提供低接触部署和管理,大多数组织的经验告诉一个不同的故事。更为复杂的东西,这些解决方案提供多一点的各种服务之间的整合肤浅。
For example, few if any of these integrated devices can manage or secure the wired and wireless access points deployed as part of the larger branch LAN, provide device recognition and network access control, scan network traffic, or deliver the sort of robust security that today’s networks require. Instead, many of these solutions are little more than a collection of separate limited networking, connectivity, and security elements wrapped in a piece of sheet metal that all require separate management systems, providing little to no control for those extended LAN environments with their own access points and switches – which adds to IT overhead rather than reducing it.
安全性在sd分支中扮演什么角色?
安全性是任何分支机构或零售点的关键因素,尤其是物联网的持续部署和最终用户设备的不断扩大潜在的攻击面。正如我之前解释,物联网设备是一个特别值得关注,因为它们一般都相当不安全,并且其结果是,他们需要被自动识别,分割,并为恶意软件和异常行为持续监测。
但是,这是等式的一部分只。安全工具需要集成到交换机和无线基础设施,使网络协议,安全策略和网络访问控制可以作为一个单独的系统一起工作。这使得SD-Branch解决方案,以确定设备和动态地将它们匹配的安全策略,检查应用程序和工作流程,并动态分配设备和流量根据它们的功能和作用,其相应的网段。
我们面临的挑战是,有往往没有IT人员在现场设立,管理和微调的系统是这样的。SD-分公司提供这些先进的安全性,访问控制和网络管理服务的零接触模型,使他们能够在多个地点进行部署,然后通过一个通用的接口进行远程管理。
安全团队在其分支机构经常面临缺乏可见性和控制力的挑战。SD-Branch如何解决这个问题?
sd分支解决方案无缝地将组织的核心安全性扩展到本地分支网络中。对于拥有多个分支机构或零售地点的组织,这允许创建一个集成的安全结构,通过一个玻璃管理系统窗格操作,该窗格可以查看所有设备并编排所有安全策略和配置。这种方法允许所有偏远地区协调和动态更新,支持威胁情报的收集和相关网络的每一个角落,从核心分支到云,使协调应对网络事件,到处都可以自动提高防御,攻击的识别和消除所有线程。
将安全性与交换机、接入点和网络访问控制系统相结合,意味着不仅可以识别和监视每一个连接的设备,而且还可以查看和跟踪每一个应用程序和工作流,即使它们在不同分支和云环境之间或在不同分支之间传输。
SD-Branch如何与安全SD-WAN相关?
SD-分公司是安全的SD-WAN的自然延伸。我们发现,一旦企业部署了一个安全的SD-WAN解决方案,他们很快就发现,这背后的连接基础设施往往不准备支持他们的数字化转型的努力。每一个新的威胁向量增加了额外的风险,他们的组织。
虽然安全SD-WAN可以看到和运行或远程地点,应用程序和工作流程的分支办公室,学校或零售店内运行之间的安全应用不会承认或检查。影子IT实例不被识别。有线和无线接入点并不安全。终端用户设备具有开放访问网络资源。和物联网设备正在扩大潜在的攻击面没有发生相应的保护措施。这需要一个SD-Branch解决方案。
当然,这不仅仅是关于下一代分支的出现。这些新的远程网络环境只是新edge模型的另一个例子,该模型正在扩展并取代传统的网络周长。云和多云、移动工人、5G网络和下一代分支——包括办公室、零售店和扩展的校园——都在同时出现。这意味着它们都需要由IT和安全团队同时处理。然而,为每个边缘环境构建单独的安全策略的传统模型会使IT人员不堪重负。相反,每个边缘都需要被视为更大的、集成的安全策略的一部分,其中每个组件都有助于整个分布式网络的整体健康状况。
有鉴于此,添加SD-Branch SD-WAN部署解决方案不仅扩展了安全深入分公司和其他偏远地区,但他们也更广泛战略的一个关键组件,确保所有边缘一致的安全环境,同时提供一个机制来控制运营费用在整个分布式网络通过中央管理、可见性、和控制。