SD-WAN的“ SD”意味着安全灾难?
SD-WAN完全禁止向每个办公室提供直接Internet访问(DIA),这代表了公司攻击面的巨大扩展。大多数企业都有一个或最多几个区域安全的互联网访问中心。将DIA放到分支机构中可以使网络面临我们在Internet上发现的各种威胁:勒索软件,网络钓鱼,按下载下载站点等等。
如果企业都将DIA放到分支机构中,很可能您的分支机构中的现有安全性非常有限甚至已经面临着威胁。无论是依靠 MPLS 还是基于Internet的IPSec,我们遇到的大多数公司仍然将回程流量回送到中央或区域中心的安全Internet访问门户。分支机构可能没有防火墙,恶意软件检测或其他安全设施。
SD-WAN供应商非常了解安全挑战。WAN上的网络分段将其自己的覆盖中的流量隔离开,从而保护覆盖中的应用程序免受覆盖外部WAN上的威胁。在主机上自己的VM中隔离应用程序的价值大致相同。现在,许多公司在其分支设备中建立了状态防火墙。
但是,更大的安全性问题是如何在分支机构提供NGFW,恶意软件检测,IDS / IPS,URL过滤和其他应用程序级安全机制。