登录 / 注册
IT168网络通信频道
IT168首页 > 网络通信 > 网络通信评论 > 正文

不看真的不知道 SD-WAN的安全性竟如此糟糕

2017-09-01 13:44    it168网站原创  作者: aiyuwin编译 编辑: 高博

  【IT168 评论】迅速发展的 SD-WAN 市场面临的早期挑战之一就是解决安全问题,不仅有技术现实,还包括客户对新产品安全性的认知。

  例如,服务提供商 MetTel 的副总裁 Ed Fox 告诉我们,有些客户并不相信现有的软件定义广域网(也就是 SD-WAN 服务是安全的,就在 SD-WAN 平台上运行自家的安全传输通道(IPsec tunnel),反而给他们自己制造了很多新的麻烦。

软件定义广域网 SD-WAN 的安全性让人头痛?

  “现在,有些没有 MPLS(多协议标记交换技术)的客户却在自己的分支网里,做 VPN、做 IPsec 通道,差不多就是在造自己的网络。为这些客户部署时就遇到挑战,他们仍想在 SD-WAN 解决方案上运行他们自己的 IPsec 通道,随之失去了很多 SD-WAN 可以提供的便利。”

  额外的加密过程会降低网络流量和应用程序的可见性,从而削弱了利用 SD-WAN 带来的好处。可是,安全运营团队总免不了担心,引入一个互联网连接来支持带宽密集型的应用,会让他们面临新的安全威胁。

  Fox 补充说:“当你把不同的通道叠加起来,有时候反到增加了数据包的大小,然后我们就得做点其他的弥补——尤其是你在用 LTE 的时候——这些网络对包的大小十分敏感,所以必须有预防措施。”

  Fox 指出,为了避免上述情况的发生,还有让客户来决定是保留他们对通道的控制权还是直接依靠 MetTel 来加密信息流时,沟通在启用 SD-WAN 服务期间就必不可少。目前 MetTel 通过 SD-WAN 支持着90多个客户、2000多个站点,同时和 VeloCloud 网络公司维持了两年多的合作。

  VeloCloud 营销副总裁 Mike Wood 在接受 Light Reading 采访时回应了 Fox 的看法,对于运营商来说,与部署 SD-WAN 的企业沟通并不仅仅是为了整体效益,也是为了其安全架构。 例如,在初始部署期间,只有从协调器下载凭据后,或者由协调器发送电子邮件链接、经由分支管理器通认证后,VeloCloud 的 SD-WAN 设备才可以激活。

  Wood 说,如果用户不知道 SD-WAN 服务是通过设备端的 IPsec 通道保证安全和数据加密、维持消息传递、控制和管理安全性,他们就会觉得需要添加自己的 IPSec 通道,这就导致了 Fox 所说的问题。

  为了实现当前和未来安全系统的互操作性,VeloCloud 创建了 SD-WAN 安全技术合作伙伴计划(SD-WAN Security Technology Partner Program),使得企业可以将 SD-WAN 服务与他们首选的安全技术集成。 该计划于 4 月推出后,VelcoCloud 能够与安全合作伙伴,包括 CheckPoint 软件技术,Zscaler,IBM Security,Palo Alto 网络公司,Fortinet等提供连锁的安全产品,MetTel 也在云防火墙产品中有所合作。 (更多见 SD-WAN 涌入经销商和合作伙伴空间 1。)

  多途径保证 SD-WAN 的安全性

  Wood 表示:“业务可以选择把所有的数据在分支加密、然后一直返回到数据中心或去到云端,同时保证处于运行状态的应用的完整性。在全网范围内的激活加密,让我们在许多方面比传统的网络模式更安全。”

  目前,VeloCloud 在全球 120 多个国家和地区拥有超过 700 个企业,服务提供商客户超过 5 万个站点。

  其竞争对手 Versa Networks 采用了不同的方法保证 SD-WAN 的安全,并通过 SD-WAN 服务中的软件定义安全(SD-Security)系统提供自身的集成安全性,并在同一设备中设置了防火墙和统一的威胁处理器。

  在与 Light Reading 的访谈中,Versa 公司首席运营官 Mark Weiner 表示:“如果你正在进行互联网连接,你肯定还要保障安全性。如果可以在一个产品、一个解决方案、一个架构中就可以拥有两者,那么这对客户的管理、安全维护、实现增长和运营来说是再方便不过了。”

  Roopa Honnachari 是 Stratecast / Frost&Sullivan 的商业通信服务及云计算服务的业务总监,他在接受采访时解释说,许多 SD-WAN 供应商已经与安全公司进行了服务链接和互操作,这样企业便能选择已在合作的公司来为他们做 SD-WAN 的安全解决方案了。

  “我现在从那些使用 SD-WAN 的企业所听到的是,安全性没有什么变化,我想这[安全性]并不是供应商之间的区别了。我认为现在评估 SD-WAN 服务更多应该是基于它所支持的应用程序,还有解决方案运行情况”,Honnachari 说,“当你谈到安全性时,我不认为这是一个多么关键的区别,现在大多数的 SD-WAN 供应商都能与领先的安全供应商拥有互操作与服务链接。”

  Honnachari 补充说,SD-WAN 产品所提供的如语音通话监控与性能指标,还有应用程序运行方式的可见性,这些都是 VeloCloud 已经取得的成功了,而这些性能才是客户在选择 SD-WAN 服务时会考虑的主要差别。

  Versa 的安全解决方案是针对软件定义网络(SDN) 和 网络功能虚拟化(NFV) 构建的,其最终目的是把提供 SD-Security作为 NFV的软件设备(统称VNF),而且他们实现安全的方法与 VeloCloud 相比更具长期性和渐进性。 此外,Versa 还在寻求把 SD-Security 作为独立的产品销售给那些不想使用 SD-WAN ,但又需要 WAN 网络上的安全解决方案的客户们。

  Weiner (Versa CEO)在给 Light Reading 的一封电子邮件中说:“我们通过全球服务提供商,如塔塔通信(服务已达 140 多个国家)提供的托管服务,Versa 现在也拥有了覆盖全球的 SD-WAN 。”

标签: 网络安全 , SD-WAN
  • IT168企业级IT168企业级
  • IT168文库IT168文库

扫码送文库金币

实时热点
编辑推荐
系统架构师大会
系统架构师大会
点击或扫描关注
IT168企业级微信关注送礼
IT168企业级微信关注送礼
扫描关注
首页 评论 返回顶部