网络通信 频道

面向未来的SD-Branch

  【IT168编译】数字化转型正在推动企业分支机构的变革。因此,当今的企业正在寻求扩展其WAN边缘运营,降低开销并实现更快的云应用。SD-WAN通过使用公共网络链路和网状VPN覆盖替换通常昂贵且严格静态的MPLS连接来解决部分挑战,以支持丰富的业务关键和协作应用程序。安全SD-WAN进一步增加了完全集成的企业级安全性,旨在直接映射到复杂的网络和流量管理协议。

  然而,分支机构本身正在经历SD-WAN解决方案无法解决的变化。例如,物联网设备的加速采用和连接的终端用户设备的增长,已经使本地分支网络不堪重负。 此外,这种转变还扩大了潜在的攻击面,使安全成为一个关键问题。企业无法承担分支机构作为其安全战略中的薄弱环节。

  挑战在于,许多企业尝试使用其核心网络使用的相同方法来解决分支机构安全问题。分支机构很快就被点安全产品,复杂的集成服务路由器和隔离管理系统所困扰,而且几乎没有本地IT员工。因此,分支网络安全性通常会受到缺乏可见性,复杂的管理挑战以及太多用于保护WAN和SD-WAN连接之外的边缘的解决方案的影响。

  通过集成解决方案为分支机构提供未来保障

  越来越多的企业正在寻找将SD-WAN提供的安全性和服务扩展到分支网络的方法,目的是在简化操作的同时提高安全性。这种方法通过为底层安全框架引入弹性和可伸缩性来帮助未来对分支进行防护。未来安全分支网络的标志需要具备以下两个关键要素:

  灵活的体系架构:这种面向未来的流程需要从灵活的网络和安全架构开始,这些架构旨在作为单个集成系统协同工作。这实现了满足分支需求所需的可扩展性和弹性,而不会影响流程任何步骤的安全性。在这种环境下,接入点和网络交换需要作为NGFW的扩展,为连接到网络的每个设备提供安全性和可视性。这确保了与互联网和云服务等直接连接获得与通过SD-WAN连接流向分支的其他数据和应用程序相同的检查和保护。

  同样,需要实施网络访问控制以识别连接的设备,确保它们符合策略,然后根据他们需要访问的资源的敏感性,动态地为分段设备分配适当的网络访问。此外,网络传感器需要连续监视设备流量,以便可以检测到异常行为并且可以立即隔离恶意设备。

  简化管理:理想情况下,这应该作为单个集成系统运行,其中网络和安全功能和策略自动协调,并且可以通过单个控制台查看,管理和编排配置和策略。

  同样重要的是,这需要使用零接触部署模型来实现。大多数分支机构没有现场IT人员来部署、配置和管理SD-Branch解决方案。当然,供应商多年来一直承诺零接触部署,但现实往往与营销相去甚远。例如,集成服务路由器通常需要为它们提供的每项服务提供单独的管理控制台,并且依赖于现场分支机构人员无法协商的复杂CLI接口。

  真正的零接触部署意味着一旦SD-Branch安全设备连接到电源,它就可以通过SD-WAN自动连接到中央或基于云的管理解决方案,立即更新组件,自动发现分支网络和连接设备,启动设备入门,建立和保护接入点,以及实施分段等安全策略 - 所有这些都无需人工干预。从那时起,自动化和远程管理的组合允许更新和协调策略和配置,以实现本地放手生命周期管理和威胁响应。

  面向未来的SD-Branch

  提供面向未来的SD-Branch解决方案的最重要元素之一是,不能将安全性添加为覆盖解决方案。动态网络面临的最大障碍之一是,每当网络在规模或配置方面进行调整时,都需要更新安全协议和策略。

  这可能会显着延迟甚至阻止分支机构转型,因为安全性需要通过手动更新或改进每一步,这可能会减慢关键解决方案的交付速度,降低生产力,并消除数字转换设计的竞争优势交付。

  相反,分支网络需要在其基础上设计具有网络感知安全框架。然后,随着网络,最终用户和物联网设备的添加,安全框架可以识别并将它们安全地合并到网络中。此集成还使安全性能够检测网络更改(包括扩展,资源配置更改以及新资源,应用程序和工作流的引入),并自动进行安全协议和配置调整,以便在不延迟必要的网络转换的情况下保持安全完整性。

  结论

  企业分支正在经历一场戏剧性的数字化转型,使最终用户能够以速度和规模利用丰富的应用程序和高级云服务的强大功能。但是,传统上部署在分支机构的安全解决方案无法支持或保护当今的新数字分支要求。

  新的SD-Branch策略和解决方案使企业能够将其安全SD-WAN连接的安全性和功能扩展到分支网络深处,使其能够快速适应网络变化并支持新设备和服务,而不会影响性能或灵活性。开发此类解决方案需要重新考虑分支机构安全性。

  这意味着查找和部署旨在无缝集成到分支机构基础架构中的安全解决方案,以动态适应转型工作,并且可以使用零接触模型实现此目标,从而实现快速部署,使分支机构能够在几分钟或几小时内上线。

1
相关文章