如今,SD-WAN 作为一款适用性极强的数据通讯服务,已然走进千行百业。SD-WAN 为企业跨区域组建广域网带来极大的灵活性,可以随企业 IT 应用的需求快速地增减业务节点甚至带宽;同时,通过 NFV(Network Function Virtualization)技术,可以在 SD-WAN 网络中方便植入网络加速、网络监控等一系列增值功能。
然而,如果您是一名网络架构师或企业的 IT 信息化负责人,您是否想过,您使用的 SD-WAN 是安全的吗?现实的情况是,网络越复杂,其中的潜在的安全漏洞就越多,这也是为什么近年来越来越多的企业加大了对网络安全的投入。
既然网络安全如此重要,本期就和大家一起探讨 SD-WAN 的网络安全问题。将从用户、运营商和安全服务商三个维度进行阐述。
用户
许多中小企业,出于运营成本考虑,企业本身的 IT 力量通常比较薄弱,因此很容易“自然地”将网络安全部分外包出去,由网络服务供应商或安全服务供应商来完成。笔者在与这类中小企业交流的 SD-WAN 业务的过程中,是常会被问到类似问题:“如果我使用了 SD-WAN,SD-WAN 如何保障我们企业的网络安全?”这个问题反映了当下不少中小企业对于引入 SD-WAN 的担心,同时也折射出这些企业对网络安全认知方面的偏差。
事实上,企业对于自身的网络安全,负有直接责任。
1、权限管理
网络权限的分配是否合理?是否满足“最小权限原则”?
2、密码管理
对于机密数据,是否引入辅助安全套件(如 USB Key、数字证证书)?密码是否设计了强制定期更新的机制?
3、行为规范
企业内部是否制订了切实可行的网络安全规章制度?内部宣贯是否到位?
运营商
谈谈运营商在 SD-WAN 网络安全方面的责任界面和技术手段。在 SD-WAN 的服务架构中,运营商主要承担的是数据在广域网传输的环节,包括私网和公网。通常来讲,SD-WAN 运营商会通过以下几个方面来规避数据在 SD-WAN 传输中的信息安全风险。
1、传输通道
传输通道好比是网络通信的公路,如果公路的设计本身有安全缺陷,交通安全将无法得到保障。因此,传输通道的安全性是网络安全的重要前提。运营商通常会通过以下手段,来提升 SD-WAN 网络的安全性。
私网专线:在 SD-WAN 骨干引入传输专线,实现与公网间的物理隔离,以提升传输通道的安全性。
公网加密:对于 SD-WAN 骨干中的公网部分,使用加密技术(如较常用的 IPSec)对其作加密处理,以规避数据汇露。
2、数据隔离
网络通信的公路上同时跑着不同客户的数据,如何保证两个客户之间的数据无法互通,常用的做法有如下两种。
VRF(Virtual Routing Forwarding):如果 SD-WAN 的骨干采用的是运营商的 MPLS VPN 网络,那么运营商会通过不同的虚拟路由表(VRF)来隔离不同客户的路由信息。打个比喻,让 A 客户的信使只知道 A 客户各个办公地点的地址,同理让 B 客户的信使只知道 B 客户各个办公地点的地址,两位信使送信时,就不会将信息外泄了。
隧道技术:隧道技术常常与加密技术结合使用,其目的是在底层基础网络(Underlay)之上建立一个逻辑网络(Overlay),通过对逻辑网络的精确设计,使得信息只能在预设的逻辑网络内流通。
3、互查机制
在 SD-WAN 业务开通或变更的过程中,或多或少地需要运营商的技术人员参与。以业务变更为例,运营商技术人员在配置操作过程中的一个疏忽,将有可能导致的客户信息的泄露。因此,操作互查机制可以在很大程度规避这类风险。
变更计划:运营商技术人员提前制订变更计划,并与部门内的同事/主管交叉审核。
配置验证:变更配置完成后,由部门内的同事/主管对配置结果进行验证。
安全服务商
长期以来,安全服务商提供的更多是网络安全相关的技术。近年来,NFV 技术的兴起,使得许多传统网络安全厂商的功能可以像安装软件一样被集成到 SD-WAN 中,例如以下几个方面。
1、入侵检测
对网络入侵事件进行记录,并向 IT 人员发出警告信息。
2、漏洞扫描
侦测网络中存在的风险和潜在漏洞,供 IT 人员作为查漏的依据。
3、防火墙
作为网络防御的一道屏障,保护企业内部网络。
4、安全策略
根据用户的需求,划分网络区域(例如 DMZ 区域、内网区域),并制定流量放行机制。
网络安全体系建设不仅仅是供应商的事,它是一项系统性的工程,需要用户、运营商和安全服务商等多方共同努力才有可能达成。