什么是安全 SD-WAN?
安全 SD-WAN 可以加快 SASE(安全访问服务边缘)之旅。它将隧道绑定、动态路径选择和零接触配置等高级 SD-WAN 功能与 IDS/IPS 和 DDoS 防范等下一代防火墙功能相结合;还可以无缝集成云交付安全服务(安全服务边缘,即 SSE),并在各分支机构实施一致的网络和安全策略。
安全 SD-WAN 的释义
多年来,分支机构和远程地点积累了大量的网络和安全设备,不仅难以维护,而且也无法用于云。而在以路由器为中心的传统广域网架构中,流量必须送到企业数据中心进行安全检查,这严重影响了应用性能。此外,各分支机构的安全策略也不一致,导致整个组织暴露于潜在的安全漏洞之下。
借助安全 SD-WAN,组织不仅可以淘汰传统路由器,还能替换原有的分支机构防火墙。
安全 SD-WAN 包括高级 SD-WAN 和安全功能,可以帮助组织减少设备占用空间,在各分支机构执行一致的策略。它还能选择最佳路径,自动将流量引导至云,从而提高应用性能;还可以为分支机构提供必要的安全功能,与支持 ZTNA、SWG 和 CASB 等其他安全功能的 SSE 相辅相成。
安全 SD-WAN 如何发挥作用?
安全 SD-WAN 解决方案可提供高级安全功能,实现对分支机构的保护。这些解决方案:
- 使用 AES 256 位加密技术构建 IPsec 隧道,确保整个 SD-WAN 结构的通信安全
- 具备下一代防火墙功能,如深度包检测、入侵防御和 DDoS 防范
- 根据角色和身份进行流量分段
- 针对广域网特定功能和安全策略执行策略
- 记录安全事件,帮助快速识别和应对事件
安全 SD-WAN 还可与 SSE 服务紧密集成,形成 SASE 架构,保护通过不受信任的链接访问云中敏感数据的远程用户。这种集成还增加了诸多功能,如零信任网络接入 (ZTNA)、安全 Web 网关 (SWG)、云访问安全代理 (CASB)、防火墙即服务 (FWaaS)、远程浏览器隔离 (RBI) 和沙盒。
除安全功能外,安全 SD-WAN 还能通过隧道绑定将 MPLS、互联网和 5G 等异构链路无缝组合,增加网络带宽,提供冗余。如果发生降压或停电,剩余链路将继续传输流量,确保依赖性和可靠性。
组织甚至可以用纯互联网链路取代昂贵的 MPLS 连接,因为该解决方案提供了前向纠错 (FEC) 等技术,可在目标地址重建丢失的数据包,减少互联网链路中经常出现的抖动和丢包。它还可以通过 TCP 加速和数据缩减技术进行广域网优化,克服地理距离造成的延迟影响。
安全 SD-WAN 还可根据业务意图而非 TCP/IP 地址来路由流量,通常还内置一个支持 OSPF 和 BGP 协议的路由器。随着工作负载迁移到云,安全 SD-WAN 可以帮助组织根据应用类型智能地将流量引导至云,而无需将流量回传到数据中心。例如,Microsoft 365 或 Workday 等可信云应用的流量可直接发送到云,而内部遗留应用的流量则发送到数据中心。高级 SD-WAN 采用零接触配置,可在几分钟内将配置更新自动分发到数百或数千个分支机构,同时最大限度地减少错误。
安全 SD-WAN 如何执行端到端安全策略
在传统环境中,分支机构的防火墙采取手动配置,需要在数十个、数百个乃至数千个站点之间进行大量的编程工作,导致整个广域网范围内的安全策略缺乏一致性。借助安全 SD-WAN,组织可以在几分钟内集中配置安全策略并将其推送到数千个站点,最大限度地减少错误,执行一致的策略。
安全 SD-WAN 提供端到端网络分段,涵盖局域网和广域网,甚至还可应用于云。安全策略按区域逐一定义,根据预定义的安全策略、监管要求和业务意图限制与其他区域的连接。例如,策略可以只允许流出流量,或只允许来自经批准应用和服务的流入流量,或屏蔽来自不安全区域的所有流量。安全 SD-WAN 可以大大简化运营,本质上可以充当整个结构的单一逻辑防火墙。
在整个结构范围内无缝执行安全策略,本质上可以充当单一逻辑防火墙
为何要考虑使用安全 SD-WAN?
- 淘汰传统的分支机构防火墙和路由器
高级安全 SD-WAN 解决方案包含下一代防火墙功能,具有基于角色的访问控制、精细化分段、IDS/IPS 和 DDoS 防范功能,可帮助组织无缝替换原有的分支机构防火墙。它们还能利用 IPsec 隧道保护不受信任的链路,并通过集中编排在分支机构和整个广域网范围内无缝执行策略。此外,安全 SD-WAN 还能帮助组织根据内置的业务驱动型路由功能替换原有的分支机构路由器。 - 简化分支机构架构
安全 SD-WAN 可通过集成 SD-WAN、路由、广域网优化和防火墙等多种功能,将分支机构网络和安全功能整合到一个解决方案中,从而帮助分支机构减少硬件占用空间,降低能耗。安全 SD-WAN 还可以作为虚拟设备安装,从而节省更多的设备占用空间和能耗。该解决方案可通过单个控制台实现零接触配置,轻松部署到数千个站点,从而提高 IT 效率并简化管理流程。 - 支持云优先架构
安全 SD-WAN 可智能地将流量引导至云,无需回传流量,从而提高应用性能。依托于首包识别技术,受信任的 SaaS 和网络流量可直接发送到互联网,而未知或不受信任的网络流量可通过服务链发送到 SSE 云服务。 - 保护物联网设备
安全 SD-WAN 通过实施零信任网络分段,保护无法运行安全代理的物联网设备,从而突破 SASE 的局限。它采用基于身份的访问控制安全框架,进行流量分段,使用户和物联网设备只能到达与其业务角色相符的网络目的地。
安全 SD-WAN 有哪些优势?
- 提高 IT 效率
安全 SD-WAN 支持所有必要的网络和安全功能,可帮助消除分支机构的设备无序扩张。组织可利用该解决方案,转向精简分支机构模式,简化网络和安全性管理。 - 提升灵活性
安全 SD-WAN 可确保分支机构在实施安全控制和网络功能时保持灵活性。该解决方案可实现轻松快速的部署。 - 降低业务风险
安全 SD-WAN 采用端到端的微分段功能,可为广域网和局域网在内的整个 SD-WAN 结构提供安全性。它还可帮助组织遵守 HIPAA、PCI DSS、SOX 或 NIST CSF 等监管框架。