在它开始的时候,我们有早期的采用者和纯粹的SD-WAN玩家。很快,事情变得很明显,缺少了一些东西,而缺少的部分就是“安全性”。然而,安全厂商从一开始就强调了安全的重要性。
今天,市场似乎正朝着安全厂商专注于围绕普遍安全交付SD-WAN特性的方向发展。WAN边缘基础设施的魔力象限已经做出了实质性的预测。它指出,“到2024年,在分布式企业中购买的新防火墙中,有50%将使用基于云计算服务的SD-WAN功能,而目前这一比例不到20%。”
现在,我们有像Forcepoint、SonicWall和Barracuda这样的安全供应商,它们都遵循Fortinet的模式。供应商为分布式企业用例提供了WAN edge体系结构的内置安全堆栈。
引入安全SD-WAN
可以肯定的是,secure SD-WAN包括下一代最佳防火墙安全性、SD-WAN、高级路由和WAN优化,以交付安全驱动的WAN边缘。它将SD-WAN特性和安全特性结合在一起。
安全的SD-WAN解决方案可以完全放在分支中,也可以采用云或混合方法。对于那些不想把所有东西都放到云中去的人来说,混合方法可能更可行。
对我来说,很有趣的是,可以看到分析师是如何处理查询的,而客户又是如何关注这个领域的。显然,Gartner估计Fortinet拥有超过21,000个WAN edge客户。这是一个相当大的用户群,这是一个令人信服的理由,特别是当强大和内置的安全功能是关键需求时。
为网络增加安全性
安全公司添加新的网络功能肯定比SD-WAN公司添加20年的高级安全功能更容易。我们可以有把握地假设,没有任何SD-WAN供应商将成为安全供应商。
随着市场的发展,在适当的时候,有些功能必须重命名:当我们谈论应用识别,加密,路径监控,路由协议和WAN链路负载均衡。从根本上说,所有这些先进的路由功能是不是新的,具体到SD-WAN。这些都不是一夜之间的成功,并已在市场上存在,甚至之前市场。
但是,在某些场景中,可能需要实现一个跨WAN的专用路由协议。在这种情况下,是的,当然,你需要一个新设备。但对于大多数情况,一个全面的防火墙就足够了。
在广域网边缘防火墙
防火墙正演变为网络安全平台,从而提供SD-WAN功能。魔力象限网络防火墙指出“SMB多功能防火墙市场在2018年增长了10.1%,与SD-WAN收养是一个强大的推动力。”
当你思考它时,你会意识到防火墙已经扮演路由器的角色很长一段时间了。本质上,防火墙可以提供所有的路由协议来促进私有广域网路、网际网路和内部路由。这个功能通常是由一个只做路由的基本设备提供的。然而,现在我们看到的是一个有防火墙的edge设备取代了这些。
防火墙已经在网络中存在了几十年。他们的角色不仅限于防火墙,还包括参与路由网络。一次又一次,他们已经提供了一个路由广域网边缘设备。
与传统的安全设计问题
你如何整合与SD-WAN的安全性?首先,常见的设计涉及的多个安全点解决方案的集成。现在,让我们了解这些单点解决方案的后果。
复杂性
point解决方案只解决一个问题,并且需要与其他解决方案进行大量的集成。因此,它们常常被链接在一起。每一部分都必须小心地与另一部分结合起来。
您必须不断地向堆栈添加解决方案,这可能会导致管理开销和复杂性的增加。更不用说与NOC和SOC团队集成的挑战。相反,SD-WAN最初的卖点是减少复杂性,而不是加强复杂性。
如果我们研究SD-WAN世界中的安全性;目前它被调整的方式实际上增加了复杂性。这就像当你真正想买房子的时候,你用独立的部件建造了一座房子。
如果进行分析,您会发现许多sd - wan仅仅是从其他供应商引入安全技术,并将它们组合在一起卖给客户。
相关的费用
通常来自不同供应商的多点解决方案分散在网络中是昂贵的。没有固定的价格。一些安全供应商可能会对使用模型收费,您可能还没有足够的数量。那么,当你有多个孩子的时候,你如何有效地计划呢?
由于成本不断增加了,安全专家可以决定权衡某一点的解决方案由于相关成本。我们现在知道,这不是一个有效的风险管理策略。理想情况下,在安全方面,在需要时,你不这样做的东西;你这样做是需要之前。这意味着威胁的情报是关键,这往往被忽视,许多SD-WAN供应商。
从技术和成本的角度来看,将每个安全点解决方案功能集合在一起是非常重要的。要做到这一点,从一开始就专门从事安全工作的人会符合要求。这就是为什么要将SD-WAN特性和高级安全性一起提供到一个综合集成平台的原因。
安全的SD-WAN是将网络和安全性结合到一个集成平台中的东西。这不会导致更复杂的管理、许可问题、高成本或不必要的服务链接。
SD-WAN与功能无关
在SD-WAN市场上,关于这些特性有很多争论。让我们面对现实吧,“功能真的没有多少价值来创造市场分离”。实际上,SD-WAN的价值主张与功能无关。在对应用程序进行分类并将它们发送到最佳路径方面,每个人都做得很好。让我们了解一下SD-WAN的真正价值主张。
性能和可伸缩性
When it comes to SD-WAN, the bell to ring is often application steering, but if you don’t have, for example, the deep TLS1.3 inspection with solid performance, how can you get accurate identification and make sure your branch is secure? Not enough people are talking about this.
对于这一点,我们需要定制的SD-WAN-特定特定应用集成电路(ASIC)。这为高资源密集型加密/解密和覆盖的可扩展性令人难以置信的优势。
使用IPSec,有消耗大量的CPU和RAM的密集加密操作。因此,一个专用的SD-WAN ASIC内置仅仅做到这一点,因此消耗更少的CPU和每个隧道RAM。
通常,可伸缩性在1,000或1,500处停止。通过适当的ASIC,这个数字可以扩展到100,000以上,这对于某些中心站点的设计可能是有用的。通过使用ASIC,您可以在同一设备中运行网络堆栈和安全堆栈,这是一个非常高效和经济的解决方案。
威胁情报的重要性
下一代防火墙是在数据表许多SD-WAN供应商。但是,怎么样的威胁检测和威胁防御?大一块从众多SD-WAN厂商缺少与威胁研究联盟威胁情报。威胁形势不断变化的,所以也应该安全解决方案,以符合跟上当今和未来的威胁。
威胁预防具有从第4层到第7层的核心特性,如ip、内容过滤、深度SSL检查和反恶意软件。此外,我们还有一个威胁侦测片。现在,你不能再依靠检测已知的威胁,你也必须检测未知的威胁。因此,拥有一堆预防和检测功能是非常重要的。有了这两个特性,我们就有了经验丰富的安全研究和分析团队。观察SD-WAN供应商是否拥有自己的威胁情报非常重要。
对于这一点,我们真的需要担保公司的血统。对于任何安全厂商的核心价值在于他们的智力研究的水平。这是造成市场分割,而不是SD-WAN功能。
然而,还有另外一个步骤,这是为了确认是否提出的功能已经由第三方如NSS实验室验证。NSS Labs已经评估了一些为他们的地区SD-WAN的主导产品,这些安全厂商如体验质量的VoIP(QoE)的视频,性能(WAN损伤和HA),所有权(TCO)的总成本随安全有效性。
此外,我们必须质疑“提供防火墙的SD-WAN设备”多久更新一次最新的威胁信息。这个过程是每天进行几次还是每周进行几次?一些SD-WAN解决方案将它们作为安全的SD-WAN供应商进行营销,但是如果我们回到构建有效安全的角度,我们需要一个可靠的威胁情报团队。创业公司有足够的人力来做这些吗?网络供应商根本无法进入这个领域。有些SD-广域网添加状态包过滤器和调用这个安全性。
坦率地说,下一代防火墙,任何人都可以使用。然而,功能的广度的重要性,他们提供的情报,并在市场上的认可起到了巨大的作用。这是建立在分公司,并确保下一代防火墙的信任,最好的安全状况仍然是最好的。
当您寻找安全的SD-WAN供应商时,请突出这些问题并检查它们的安全堆栈的历史。同时,评估他们是否有经验丰富的威胁情报团队。
市场正朝着安全SD-WAN解决方案。业内人士分析,客户群的崛起在今天的时间有很大的影响。这不是情况的人认识安全厂商强SD-WAN的球员。
然而,认识到市场对安全的SD-WAN集成在一个综合平台上的需求。