Був час, коли рішення SD-WAN були орієнтовані лише на віртуалізацію WAN без особливих міркувань безпеки. Щоб заповнити цю прогалину в безпеці, з'явилися передові безпечні рішення SD-WAN, які включають найвищі можливості захисту від загроз. Фактично розширені функції безпеки, які тепер підтримуються на передових платформах SD-WAN, дозволяють клієнтам повністю відмовитися від виділених міжмережевих екранів філій і ще більше спростити інфраструктуру філій WAN.
З переходом мережевої архітектури у хмару філії тепер мають вирішувати нові проблеми безпеки, оскільки мережа стає дедалі складнішою і дедалі більше користувачів підключаються поза периметру безпеки. У той же час підприємства вимагають більшої гнучкості, щоб справлятися зі зростаючим числом хмарних додатків або проблемами, пов'язаними з відкриттям нових філій або швидшим запровадженням нових додатків. Традиційна мережева інфраструктура, заснована на MPLS, маршрутизаторах і брандмауерах, не може йти в ногу з цією тенденцією через їхню жорсткість, вартість, складність і те, що вони ніколи не розроблялися для хмари.
Ось чому передові рішення SD-WAN включають можливості брандмауера нового покоління, що дозволяють організаціям виконувати просте і швидке розгортання без шкоди для безпеки. Ці рішення використовують гнучкість, що забезпечується віртуальними накладаннями SD-WAN, у поєднанні з можливостями брандмауера, забезпечуючи безпеку в локальній та глобальній мережі, а також у хмарі. За допомогою цих передових рішень мережеві адміністратори можуть:
- Створювати зони та обмежувати доступ між зонами, щоб сегментувати мережу на основі ідентифікатора та ролі
- Виявляти та запобігати вторгненням та DDoS-атакам
- Виконувати глибоку перевірку пакетів та фільтрувати пакети на основі додатків
- Проволити моніторинг повного стану активних мережевих підключень
- Виконувати безпечні з'єднання завдяки шифруванню даних
- Робити тісну інтеграцію з функціями безпеки, які найкраще виконуються у хмарі, такими як SWG, CASB та ZTNA.
- Виконувати реєстрацію подій безпеки та багато іншого
Ми розглянемо чотири причини, через які вам слід замінити брандмауери вашої філії на вдосконалену SD-WAN, щоб повністю охопити хмарну еру та модернізувати мережеву архітектуру та архітектуру безпеки.
Причина № 1: Удосконалена SD-WAN може надавати комплексні послуги безпеки
Удосконалені рішення SD-WAN включають можливості наступного покоління, такі як глибока перевірка пакетів, запобігання вторгненням, захист від DDoS-атак, управління додатками і доступом за допомогою політик на основі ідентифікації і ведення журналу подій.
Запобігання вторгненням зазвичай відстежує мережевий трафік, щоб знайти шаблони, що відповідають конкретній сигнатурі атаки. При виявленні вторгнення система виконує такі дії, як перевірка, видалення та дозвіл трафіку. У разі DDoS-атаки розширене рішення SD-WAN обмежує кількість шкідливих запитів за допомогою таких дій, як швидке старіння, відкидання надлишків та блокування джерела. Журнал подій можна фільтрувати та переглядати по всій структурі SD-WAN для аналізу подій, що вимагають подальшого вивчення.
Щоб забезпечити гнучкість підключення віддалених філій, SD-WAN поєднує різноманітні канали, такі як MPLS, Інтернет та 5G. Однак, на відміну від MPLS, інтернет-канали та канали 5G не є безпечними. Для захисту цих каналів розширене рішення SD-WAN створює тунелі IPsec із використанням 256-бітного шифрування AES по всій структурі SD-WAN, захищаючи філії від потенційного витоку даних. Коли віртуальні пристрої SD-WAN розгортаються у загальнодоступних хмарах, також створюються тунелі IPsec, які розповсюджують корпоративні політики безпеки на хмару.
Нарешті, вдосконалена SD-WAN забезпечує дотримання безпекових політик у всій фабриці, автоматично поширюючи зміни політик у філіях за допомогою централізованої координації.
На відміну від брандмауерів філій, передове рішення SD-WAN забезпечує розширений захист від загроз, а також захищає ненадійні канали та безперешкодно забезпечує дотримання політик безпеки у філіях.
Причина №2: Удосконалена SD-WAN допомагає спростити локальні операції
У традиційних середовищах на основі маршрутизаторів локальні філії повинні мати справу з розростанням мережі та обладнання для безпеки, накопиченого за багато років. Крім того, у місцевих філіях часто не вистачає досвідченого ІТ-персоналу для встановлення та обслуговування цього обладнання.
Удосконалене рішення SD-WAN не тільки інтегрує брандмауер нового покоління, але також включає такі можливості глобальної мережі, як маршрутизація та оптимізація глобальної мережі, щоб організації могли консолідувати своє обладнання в одному пристрої. Він підвищує ефективність ІТ за рахунок консолідації керування мережею та безпекою в єдиній консолі замість підтримки кількох розрізнених інструментів керування.
Удосконалену SD-WAN легко розгорнути з автоматичною ініціалізацією. Локальний досвідчений ІТ-персонал не потрібен, політики конфігурації та безпеки автоматично передаються до філій. Нові філії налаштовуються швидко і легко, а зміни політики безпеки можуть автоматично поширюватися на сотні чи тисячі філій за лічені хвилини, кількість помилок зводиться до мінімуму.
На відміну від брандмауерів філій, розширене рішення SD-WAN базується на моделі тонких розгалужень, яка проста у розгортанні, гнучка та безпечна.
Причина № 3: Удосконалена SD-WAN повністю підтримує хмарні організації
Традиційно організації направляли трафік до центру обробки даних для перевірки безпеки. Оскільки організації перемістили більшість своїх додатків у хмару і все частіше використовують хмарні програми, такі як Microsoft 365, Salesforce або RingCentral, відправка трафіку назад до центру обробки даних негативно впливає на продуктивність додатків.
Удосконалена SD-WAN може розподіляти трафік хмарних програм локально, усуваючи неефективний зворотний зв'язок із центром обробки даних. Він автоматично спрямовує трафік в Інтернет на основі бізнес-політик, ідентифікуючи додатки в першому пакеті, що значно підвищує продуктивність і, отже, зручність для користувачів. Наприклад, довірені хмарні програми, як визначено політиками безпеки організації, можуть бути надіслані безпосередньо в хмару, а ненадійні програми можуть бути спершу направлені до хмарної служби безпеки, а потім перенаправлені постачальнику SaaS. Цей підхід дозволяє організаціям створювати найкращу у своєму класі архітектуру SASE, наближаючи перевірку безпеки користувача. Удосконалена SD-WAN тісно інтегрується з кількома постачальниками хмарної безпеки, пропонуючи свободу вибору кращої служби безпеки, виходячи із вимог безпеки організації. За наявності доступних на сьогоднішній день пропозицій вибір рішення одного постачальника SASE не може надати як найкращі в своєму класі технології, так і технології безпеки.
На відміну від міжмережевих екранів філій, розширене рішення SD-WAN забезпечує підтримку організацій, орієнтованих на хмарні технології, підвищення продуктивності та безпеки, а також найкращу у своєму класі архітектуру SASE.
Причина № 4: удосконалена SD-WAN допомагає захистити пристрої IoT за допомогою мікросегментації
В останні роки організації стали свідками різкого збільшення кількості пристроїв IoT, що різко збільшило площу атаки та створило серйозні проблеми кібербезпеки. Пристрої IoT, що базуються на простій архітектурі, не можуть запускати агенти безпеки. Тому організаціям потрібний інший підхід до безпеки для пристроїв IoT, щоб захистити свої мережі від потенційних вразливостей.
Удосконалене рішення SD-WAN може вийти за межі того, що визначено SASE, завдяки можливостям брандмауера нового покоління. Він може реалізувати сегментацію мережі з нульовою довірою на основі ідентифікації та управління доступом на основі ролей, гарантуючи, що користувачі та пристрої IoT можуть отримувати доступ до мережі лише відповідно до їхньої ролі у бізнесі.
SD-WAN використовує віртуальні накладання, які зіставляються із зонами брандмауера. Кожній зоні можна призначити безпекові політики, які обмежують можливість підключення до інших зон. Наприклад, політика може дозволяти лише вихідний трафік, дозволяти вхідний трафік лише від затверджених додатків та служб або блокувати весь трафік із менш безпечних зон.
На відміну від брандмауерів філій розширене рішення SD-WAN створює мікросегментацію, що поширюється від локальної мережі через глобальну мережу до центрів обробки даних та хмарних платформ.
Удосконалене рішення SD-WAN, таке як платформа Aruba EdgeConnect Enterprise SD-WAN забезпечує безпечну мережеву основу для платформ Zero Trust і SASE. Рішення включає міжмережевий екран наступного покоління з можливостями тонкої сегментації та керування доступом на основі ідентифікації, а також захист IDS/IPS та DDoS для захисту філій від зловмисних дій. Рішення тісно інтегрується з провідними постачальниками SSE (Security Service Edge), що дозволяє організаціям створювати найкращу у своєму класі архітектуру SASE.
Визнаний незалежною глобальною організацією, Aruba EdgeConnect Enterprise отримав сертифікат Secure SD-WAN від ICSA Labs завдяки розширеним функціям SD-WAN та безпеки.
Сертифікаційні вимоги ICSA Labs Secure SD-WAN включають:
- Розширені функції SD-WAN, такі як зв'язування тунелів, динамічний вибір колії та автоматична ініціалізація.
- Вбудована підтримка (або через ланцюжок сервісів) розширених функцій безпеки, таких як захист від шкідливих програм, запобігання вторгненням та захист від DoS-атак.
- Шифрування конфіденційних даних, а також адміністративний та операційний зв'язок
- Застосування політик як для функцій, специфічних для WAN, так політик безпеки
- Реєстрацію подій безпеки
Сертифікація гарантує безпечну заміну брандмауерів у філіях Aruba EdgeConnect Enterprise. Це дозволяє організаціям підвищити гнучкість та знизити ризик при впровадженні елементів управління безпекою у філії та у глобальній мережі. Це підвищує ефективність ІТ, полегшує управління за рахунок об'єднання мережево обладнання та обладнання безпеки в одну єдину платформу, а також допомагає застосовувати узгоджену безпекову політику.
Джерело: https://blogs.arubanetworks.com/solutions/four-reasons-to-replace-your-branch-firewall-with-a-secure-sd-wan/
Про компанію Телесфера Інтеграція.
Телесфера Інтеграція заснована в 2012 році та являється інтегратором новітніх технологічних рішень для бізнесу. Ми розробляємо рішення, що роблять Ваш бізнес успішним.
Основні напрямки роботи компанії:
- Побудова локальних обчислювальних мереж;
- Налаштування мережевого обладнання передових виробників (Cisco Systems, Aruba Networks та інших);
- Продаж телекомунікаційного обладнання;
- Аудит локальних обчислювальних мереж;
e-mail: office@telesphera.net
Телефон: (093) 198-11-82
КОММЕНТАРІ ДО СТАТТІ