從Facebook和谷歌“安全門”說起:SD-WAN的“乳酪”與“陷阱”
9月28日,黑客利用Facebook的安全漏洞竊取了與使用者個人資料相關的安全令牌,導致近5000萬用戶的賬戶遭到了破壞;10月9日,Google宣佈關閉旗下社交網站Google+的消費者版本,因為Google+在長達兩年多時間裡存在一個軟體漏洞,導致最多50萬名使用者的資料可能曝露給了外部開發者。從全球組織的大規模資料洩露到爆炸性勒索軟體攻擊,安全性對於企業的重要性不言而喻。
如今,軟體定義廣域網(SD-WAN)大火,SD-WAN也成了黑客利用的新的威脅載體。以往,集中訪問和資料中心處理的方式保證了網際網路訪問的安全性。然而,SD-WAN的出現以及向混合連線的轉變,使得部分分支機構無法避免遭受新一波複雜攻擊的影響。SD-WAN不經意間創造了新的攻擊面,利用直接網際網路接入,為勒索軟體、APT、病毒蠕蟲和其他惡意軟體提供了便利。
安全思維轉變
很多公司在採納SD-WAN時並未周密考慮安全問題。SD-WAN專案通常由網路運維團隊負責實施,但太多公司過於沉浸在SD-WAN帶來的好處中,以致完全忘記了安全。還有部分問題源於供應商沒有在其解決方案中整合進恰當的安全措施。目前市場上的大部分SD-WAN解決方案供應商,幾乎全部都僅支援IPSec VPN和基本的狀態性安全,而這完全不足以在不斷進化發展的網路攻擊面前保護好公司企業。因此,企業不得不在部署SD-WAN後再新增額外的安全保護。
一、困局之鬥:安全問題應該是首要考慮因素
缺乏安全意識的SD-WAN廠商不僅令企業因運行了他們不安全的解決方案而陷入風險,同時往復雜SD-WAN部署上硬加傳統安全工具的做法也增加了不必要的複雜性和開銷,導致維護SD-WAN的總成本上升。SD-WAN通常在這些方面容易遇到安全性問題:
- 裝置漏洞:SD-WAN和Internet增加了物理訪問裝置的風險,當我們從單一或有限的集中管理的、安全的網際網路閘道器遷移到一組分散式的網際網路閘道器時,攻擊面就會增大。特別是當分支機構直接連線到Internet時。SD-WAN裝置是完全網狀的,這意味著可能通過一個裝置就可以讓攻擊者看到整個公司的流量。通過直接訪問網際網路,攻擊者更有可能在未被發現的情況下竊取資料。
- 分支機構威脅:由於多雲基礎設施的擴充套件,SaaS應用程式的數量迅速增加,以及移動世界的日益分散,導致網路管理的複雜性不斷增加,這是分支機構管理網路安全的最大挑戰。傳統的分支機構連線體系依賴於昂貴的路由裝置和專用WAN電路,以便在訪問網際網路之前將流量回傳到位於公司總部或資料中心的集中式防火牆。通過網際網路直接訪問應用程式的方式雖然價格低廉,但卻無法提供企業級應用程式效能,並使網路容易受到攻擊。
二、破局之道:SD-WAN如何增強安全功能
不過,企業可以通過將檢查與執行點從資料中心內遷移至分支機構或者雲端的方式應對這一新的安全挑戰。安全管理員們需要評估其是否需要一套”不僅包含加密及一般狀態防火牆服務”的新型安全層。此後,安全管理員需要查證分支機構或雲環境中是否存在更多風險因素,從而幫助自己確定實際需要的安全層。
SD-WAN支援端到端加密以及按應用或組織層級進行劃分,可提供嵌入式安全機制。但相當一部分SD-WAN供應商並不提供全面的企業級安全解決方案。
企業可以選擇以下幾種方法:
- 整合至SD-WAN解決方案當中的高階安全方案。
- 第三方SaaS方案。
- 由現有或新供應商提供一套基於裝置的內部方案。
每種方法都有著自己的優勢與注意事項。一部分廠商也提供狀態防火牆,當前不少路由器都已經支援這種常見服務。市場上大多數SD-WAN仍然缺少對下一代及安全閘道器(UTM)功能的支援。
1. 將安全性融入SD-WAN
優勢: 分支機構的整合安全方案能夠將SD-WAN引入分支機構的下一連線發展階段,還可實現多種交付方式。這類方案能夠實現單一供應商、更簡單的管理、內部流量保護以及智慧流量管理與轉向。藉此企業將能夠獲得更為有力的安全保護表現,且不再需要處理額外的堆疊或裝置。SD-WAN與內建安全機制還能為全部事件關聯提供單一管理窗格,例如使用者、應用程式、裝置、位置與網路等等。
劣勢: 安全性水平可能不像傳統的“縱深防禦”方案那麼“縱深”,通常需要依靠多家供應商以覆蓋安全基礎設施中的各個層面,而不能簡單的“一刀切”。
2. 第三方軟體即服務(SaaS)方案
優勢: 第三方SaaS解決方案能夠有效減少管理層面的麻煩,其消費模式的特點在於輕量化,甚至完全無需任何現場部署。實施及管理方面較為敏捷、易用。SaaS安全方案可以插入新的檢查機制以實現資料保護,從而防止潛在隱匿及意外攻擊所導致的高昂代價。
劣勢:其多數服務只能識別基於HTTP的流量,這意味著企業無法確定如何對其它流量進行處理。此外,這些服務也可能缺少對通過備用協議傳入的威脅向量的檢測能力。而且從管理的角度來看,SaaS解決方案將管理介面與接觸點割裂開來,並會給管理員帶來額外的操作步驟,這意味著操作將進一步複雜化、所需投入的時間也相應增加。
3. 部署現有或新供應商
優勢: 不少企業依靠通過認證的現有供應商實現基於裝置的內部保護方案。這種方法的優勢在於企業對相關產品非常熟悉:這些解決方案長期駐留在內部環境下,安全管理員能夠親自打理並熟悉這些產品。由於這些產品的使用壽命較長,內部保護方案能夠長時間存在於分支機構的基礎設施當中,具備一定程度的有效性。
劣勢: 從採購及運營的角度來看,專用裝置類方案很可能帶來高昂的成本。因為複雜,需要耗費大量人力去實現,同時要求投入更多資源以管理其在企業整體環境下的運作。而各分支機構中的多臺資料密集型裝置會進一步增加這類問題的處理難度。這樣的複雜性有可能引發潛在的整合及/或互操作性問題,進而對生產力發展產生嚴重阻礙。另外,相當一部分裝置之間並不存在單一事件關聯點,這將導致部分威脅及其它異常活動可能通過裝置間的“縫隙”溜入企業內部。
三、“兵器譜”:SD-WAN安全產品大盤點
SD-WAN市場競爭激烈,目前已經有幾十家供應商。SD-WAN的一個關鍵賣點是它能夠使企業利用低成本的網際網路作為安全的企業級鏈路。網路安全是SD-WAN技術的關鍵區分因素,每個廠商都應該有自己獨特的方法來保護流量和識別“安全”站點。
幾乎所有SD-WAN廠商現在都把基本防火牆功能作為標準產品的一個特色。他們使用資料包識別來了解流量,例如,通過識別流量源頭或去向來服務判斷是否是可信任或是基於雲的服務。此外,SD-WAN廠商提供的產品還包括內容過濾、端點識別和管理以及策略執行等功能,他們的產品可以分為以下四種類型。
1. 具有基本防火牆功能的SD-WAN裝置
許多SD-WAN廠商都在其SD-WAN裝置中提供了基本的防火牆功能。這些防火牆大致相當於您在分支機構路由器中看到的狀態防火牆。功能包括基於策略的過濾和基於埠或IP地址的阻塞應用程式。關於具有基本防火牆功能的SD-WAN的產品,這裡列出Cisco(Viptela),Silver Peak,Velocloud。
今年8月Cisco(Viptela)宣佈已經能夠將Viptela SD-WAN軟體整合到IOS XE中。思科正試圖通過將防火牆,入侵防禦和URL過濾整合到Viptela來加強其SD-WAN安全性。安全可擴充套件網路(SEN)是Viptela的SD-WAN解決方案,它包含五個關鍵的架構元素實現傳輸獨立性、自動保護任何路由的端點、提供端到端網路分段、使用集中控制器實施策略、啟用網路服務廣告,SEN可提供安全的端到端網路虛擬化,並被企業用於構建大規模網路,並完全集成了路由,安全性,集中策略和編排。
今年6月Silver Peak的Unity EdgeConnect推出了分段和安全服務鏈SD-WAN解決方案。這些新功能使分散式企業能夠將使用者、應用程式和WAN服務集中劃分為安全區域,並根據預定義的安全策略、法規要求和業務意圖,自動化跨LAN和WAN的應用程式流量控制。對於擁有多廠商安全架構的企業,EdgeConnect現在可以提供無縫拖放服務連結到下一代安全基礎架構和服務。
VeloCloud的VMware NSX SD-WAN具有獨特靈活的架構,通過資料中心保護雲目標流量,可用於託管安全設施、VPN終端,也可以用於插入其他服務,包括防火牆和雲端 - 基於安全性(例如Zscaler)。NSX SD-WAN Edge支援的VNF功能還允許在分支中插入安全服務。
2. 具有高階防火牆的SD-WAN裝置
基本狀態防火牆可能足以作為第1階段連線,用於連線到特定的SaaS IP,但不適用於更廣泛的Internet訪問。為此,一些廠商在其SD-WAN裝置中添加了NGFW功能。
Open Systems在SD-WAN術語建立之前就開始提供與SD-WAN相關的服務,他們的解決方案提供安全即服務,他們的全託管服務在其邊緣裝置上提供了完整的安全棧和雲管理。Open Systems聲稱將其第三方服務重新打包,作為託管安全SD-WAN裝置的一部分。它的任務是控制網路安全服務,包括分散式企業級防火牆; CASB、端點檢測和響應、網路安全監控; 分散式網路入侵防禦和WiFi安全。
Versa Networks的SD-WAN增強了對分支機構的保護,其SD-WAN安全解決方案提供了基於軟體的安全功能,包括狀態和下一代防火牆、惡意軟體防護、URL和內容過濾、IPS和防病毒、DDoS和VPN/下一代VPN。Versa Networks聲稱其SD-Branch解決方案提供了一套完整的整合網路(路由、SD-WAN、乙太網、Wi-Fi)和安全(NG防火牆、安全Web閘道器、AV、IPS)功能。虛擬客戶端裝置(vCPE)也可以執行第三方VNF。
3. 具有SD-WAN功能的防火牆裝置
與此同時,一些安全廠商已經宣佈為其NGFW裝置提供SD-WAN功能。根據Gartner的報告,這些廠商包括Barracuda,Fortinet和Cisco Meraki。
Barracuda CloudGen防火牆為每個分支機構提供可擴充套件的集中管理,本地安全實施以及高階上行鏈路智慧和QoS的獨特組合。這樣可以通過直接的VPN隧道實現直接的網際網路突破,從而實現每個分支機構的雲部署和應用程式。Barracuda CloudGen防火牆包含WAN壓縮和重複資料刪除、故障轉移和連結平衡、動態頻寬和延遲檢測、跨VPN隧道的多個傳輸的自適應會話平衡、自適應頻寬預留等功能。
Fortinet是一家提供原生SD-WAN和整合高階威脅防護的NGFW廠商。Fortinet SD-WAN內建高階SD-WAN功能,並整合在FortiGate下一代防火牆中,通過使用URL過濾、IPS、防病毒和沙盒檢測惡意軟體攻擊,使分支機構能夠檢測惡意軟體的SSL流量。FortiGate SD-WAN採用單一的應用感知解決方案取代了單獨的WAN路由器、WAN優化和安全裝置,提供自動WAN路徑控制和多寬頻支援。它可以提高應用程式效能,降低WAN運營成本並最大限度地降低管理複雜性。
Cisco Meraki MX是一款企業安全和SD-WAN裝置,專為需要遠端管理的分散式部署而設計,該裝置配備了SD-WAN功能,使管理員能夠最大限度地提高網路彈性和頻寬效率。該裝置提供了內容過濾和威脅防護、防火牆和流量整形、NAT和埠轉發、使用站點到站點VPN在Cisco Meraki裝置和其他非Meraki端點之間建立安全加密隧道、組策略和黑名單等安全功能。
使用支援SD-WAN的防火牆裝置,安全性遠遠優於SD-WAN裝置中包含的基本防火牆。但是,組織仍受限於裝置的限制。更重要的是,雖然許多這些裝置在紙面上顯得很好,但它們缺乏經驗豐富的SD-WAN產品的成熟度。
4. 安全SD-WAN即服務
相反,一些供應商正在通過轉移SD-WAN和某些安全功能,來減少裝置數量。Cato Networks是此方法的最佳示例,提供完全整合的安全性和SD-WAN服務。Cato Cloud將網路與安全性融合在一起,通過基於策略的路由、SLA支援的全球骨幹網、企業級網路安全以及雲和移動支援擴充套件了WAN。Cato旨在將所有企業資源連線到WAN,包括物理位置,雲資源以及固定和移動使用者。藉助Cato,網路和安全功能可在任何地方和所有資源中使用,而無需引入點解決方案。
其他服務是安全SD-WAN作為服務方法的一部分。例如,Aryaka通過其SD-WAN服務提供基本的防火牆功能,但無法提供L4到L7控制,如NGFW、IPS、URL過濾和防病毒。Bigleaf Networks也是如此。Aryaka與Radware合作,通過基於行為的專利檢測提供DDoS保護。在網路邊緣提供邊界安全解決方案,並將其內置於SD-WAN裝置[ANAP]中。Aryaka的SD-WAN安全平臺PASSPORT提供多層次、縱深防禦的安全性,Aryaka提供虛擬狀態防火牆作為其SD-WAN的一部分,以及簡化的插入模型,以防止公共網際網路上常見的資料包丟失和延遲。
四、SD-WAN安全性:未來的期待
為了實現更高的安全效能標準,對於分支和WAN連線解決方案來說,某些功能是不可妥協的。例如,組織應該需要有狀態防火牆和應用程式防火牆,以及動態IPSec隧道和站點到站點的配對。安全特性還應該包括安全金鑰管理和動態金鑰更新,以及惡意軟體和x-ware內聯檢測和保護。當然,標準的安全功能如防病毒和DDoS保護和檢測自然也應該包括在內。
一個安全的SD-WAN帶來的好處是毋庸置疑的,為了在當今的安全環境中有效地發揮作用,SD-WAN安全不應該是事後才考慮的問題。相反,組織需要改變模式,使安全成為SD-WAN結構的固有部分,從而確保其成為企業綜合安全基礎設施當中強大、關鍵且必要的支柱性元素之一。