软件定义的广域网(SD-WAN)正在迅速取代用于远程办公室和分支部署的传统广域网。SD-WAN旨在提供广泛的利益支持数字创新。然而,太多的SD-WAN解决方案缺乏关键的网络和安全特性,需要组织添加复杂而昂贵的覆盖解决方案来管理和保护他们的SD-WAN部署。
例如,组织面临的一个关键问题——特别是在部署了大量SD-WAN设备的情况下——是协调各分支机构之间的通信、工作流和其他通信。虽然从带宽或应用程序管理的角度来看,传统的WAN模型肯定是低效的,但它用于连接远程环境的轮辐模型部署和管理相对简单。但是,由于SD-WAN支持直接连接到internet,因此构建通信覆盖需要一个复杂的、完全网状的VPN解决方案,这对于设计、实现和管理来说可能是一场噩梦。
解决此类和类似挑战(如SD-WAN安全)的最佳方法是通过集成,自动化和简化。消除分散的分支基础设施的复杂性不仅减少了组织的攻击面,而且简化了网络操作。
分布式组织的集中管理
许多SD-WAN解决方案缺乏的一个关键功能是an综合管理系统旨在将其所有基本功能合并到一个控制台中。集中的SD-WAN管理需要跨越所有分布式分支环境,使管理员能够交付和编组配置和策略,并快速识别和纠正可能导致网络风险暴露和网络中断的错误。
与此同时,中央协调器允许组织简化集中部署并建立自动化,以节省时间并更快地响应业务需求。中央协调器可以提供的一种有效策略是在分支办公室之间分发应用程序、工作流和其他流量。大多数SD-WAN解决方案都提供VPN功能,但是网状VPN,特别是在较大的SD-WAN部署中,需要大量的处理开销和持续的管理。
通过使用协调器将分支机构分组到多个区域,可以将大多数分支机构指定为附加到多个区域中心之一的边缘环境。除了本地连接和安全性外,这些边缘办公室只需要极少的管理。管理开销可以集中在少数几个区域中心上,这些中心用于在区域内的分支机构之间移动数据,以及协调区域之间的通信。
在这样复杂的环境中,一个中央编配工具可以更容易地管理流量负载。它还可以在需要的时候和地点自动指定额外的集线器,以防止瓶颈,同时将需要配置和管理的控制点的数量保持在最低限度。这进而消除了VPN开销。
SD-WAN分析和报告
通过集中分析,网络工程和运营团队还可以更有效地发现和减轻人为错误,改进功能,并降低安全风险。对WAN链路可用性、运行时性能sla和应用程序流量以及历史统计数据的增强分析允许基础设施团队进行故障诊断并快速解决网络问题。
为了实现这一点,集中的SD-WAN管理需要包括应用程序可见性和网络性能的遥测,使SD-WAN管理团队能够更快地解决问题并减少IT支持单的数量。按需的SD-WAN报告应该提供对威胁状况、信任级别和资产访问的进一步了解——所有这些都是为了符合最佳实践的目的而要求的。
合规性报告也很关键,因为企业需要报告和工具,以帮助验证是否符合他们的审计师。我们面临的挑战是,合规管理历来是团队,往往需要来自网络和资讯安全团队在多个单点安全产品总量和规范数据的多个专职人员昂贵,劳动力密集的过程。这是因为合规性是由网络启用,但通过实施资讯安全。和大多数SD-WAN解决方案,不让它因为他们缺乏洞察关键的合规性元素,如安全性变得更容易。
例如,简化安全基础设施不仅消除了对许多手工流程的需求,而且更容易向审计人员演示遵从性。然而,一个有效的合规管理系统需要包括可定制的监管模板,以及用于诸如支付卡行业数据安全标准(PCI DSS)、安全活动报告(SAR)、互联网安全中心(CIS)和国家标准与技术协会(NIST)等标准的固定报告。
它还应该运行审计检查,以帮助安全和网络团队识别其设置中的关键漏洞和配置弱点,并实施最佳实践建议。理想情况下,它应该提供一个基准,以便网络领导者可以将他们组织的安全态势与他们所在行业或地区的同行进行比较。
集成和自动化
为了有效,安全必须成为无缝跨分布式组织的每一个部分,包括每一个分支机构和远程办公地点整合。网络工程和运营的领导者需要从单一位置在整个攻击面全面了解。然后,他们需要自动回复,从检测减少的时间窗口整治,并从他们的工作人员减轻人工作业的负担。
然而,绝大多数SD-WAN解决方案内建的安全性缺乏是SD-WAN开发中的另一个关键失误。它迫使组织在其SD-WAN技术中添加一层点安全产品,以解决威胁暴露和遵从性需求,这些问题过去由部署在核心的安全解决方案处理。这就产生了两个严重的问题。首先,这些点安全产品通常不会彼此互操作,这会降低可见性,同时导致严重的管理和后勤负担和开销。其次,点安全解决方案与SD-WAN功能的分离程度太大,无法在连接发生变化后做出更多反应,从而在网络边缘造成了严重的防御缺口。
一个集成的管理解决方案security-driven网络方法并将SD-WAN和安全功能编织到一个控制台中,可以将威胁补救时间从数月减少到几分钟。它通过协调跨分布式安全体系结构的基于策略的自动化响应、解锁安全工作流以及威胁情报收集和实现来实现这一点。因此,任何从分支发送的带有上下文感知数据的检测到的事件警报都允许网络管理员快速确定行动方案,以保护整个企业免受潜在的协调攻击。
但是,由于网络事件以数字速度发生,某些事件也应该触发设备配置的自动更改,以立即关闭攻击缓解回路,减少风险,同时减少人员资源负担。当然,该解决方案还应该与第三方工具集成,例如安全信息和事件管理(SIEM)、IT服务管理(ITSM)和DevOps(例如,Ansible起程拓殖。)这将使组织能够保留现有的工作流程,同时利用对其他安全和网络工具的投资。
集中的SD-WAN编配和管理提供了真正的价值
将企业级的安全和分支网络功能融合到一个单一的、集中的管理和编配系统中可以带来重要的好处,其中最重要的是降低网络风险。但是通过整合所需的网络和安全工具的数量,它还可以显著降低总体拥有成本。可以有效地管理资本支出,同时通过简化管理和工作流自动化可以显著地降低运营费用。然而,其净收益是一个更快、更高效、更安全的组织,可以安全和快速地利用数字创新,在当今的数字市场中更有效地竞争。
采用安全驱动的方法进行联网,以改善用户体验并简化WAN边缘的操作Fortinet的安全SD-WAN解决方案。