Den vanligaste utmaningen med många SD-WAN-lösningar är att de hanterar WAN-anslutningar som separata enheter. Det är inte så konstigt eftersom en av de största utmaningarna för företag i en snabb digital omställning är att varje ny nätverksenhet ofta utformas och implementeras separat.
Även om sättet har många brister, så är de stora konsekvenserna för säkerheten det allvarligaste. En av de viktigaste funktionerna för tillräcklig säkerhet är att ha en genomgående insyn i nätverket. Om olika säkerhetslösningar implementeras i olika delar isoleras resurserna. Då blir det omöjligt att upptäcka, samordna insatser mot, och åtgärda, hot.
Även om traditionella WAN-modeller med stjärnnätstopologi har sina brister, inspekteras och säkras all trafik av den centralt placerade säkerhetsfunktionen. Om man ersätter statiska MPLS-anslutningar med flexibla anslutningar i publika nätverk och börjar använda lokala förbindelser till internet och SaaS-applikationer överförs säkerhetsfunktionen i stället till SD-WAN-enheten.
Begränsningarna med traditionella SD-WAN-lösningar
Problemet är att de flesta SD-WAN-enheter bara erbjuder
grundläggande säkerhetsfunktioner. Det betyder att kritisk data inte längre
skyddas av hela arsenalen av säkerhetsfunktioner och tjänster så som IPS,
innehållsfilter, antivirus- och malwareskydd eller sandboxing.
För
tillgång till de tjänsterna måste de läggas som ett tillägg ovanpå den
befintliga plattformen. Den komplicerade uppgiften att utforma och implementera
lösningen, det extra underhållet och användningen av separata
administrationsgränssnitt innebär ökat arbete för it-avdelningen. Om det inte
görs på rätt sätt kan det dessutom isolera WAN-säkerheten från den övriga
säkerhetsarkitekturen, både centralt och i olika molnmiljöer.
Men det är bara en del av utmaningen.
Säkerheten måste alltid omfatta hela nätverket
För att hantera en SD-WAN-anslutning på något så osäkert som internet, krävs det en känslig hantering av anslutningarna. Redundanta system måste finnas på plats för omedelbar felsäkerhet och länkar med försämrad tillförlitlighet måste bytas under drift, även för aktiva anslutningar. Verktygen för trafikhantering måste dessutom ständigt läsa av applikationens bandbreddskrav och prioriteringen mellan olika anslutningar för att kontinuerligt göra mikrojusteringar för att stödja fördröjningskänsliga applikationer som till exempel realtidskommunikation såsom röst och video.
SD-WAN-anslutningar kräver säkerhet hela vägen, mer än att enbart kryptera data. Kommunikationen mellan ett kontor och en molnbaserad applikation kräver kontroll i båda ändar av anslutningen. För att undvika luckor i implementationen och för att följa de regelverken måste säkerhetslösningar i molnet vara kompatibla och integrerade med de på kontoret eller i det egna datacentret.
För optimal prestanda måste applikationerna inte bara identifieras och hanteras utan säkerhetsfunktionen måste dessutom förstå dem för att kunna tillämpa lämpliga säkerhetsnivåer. Dessutom bör en CASB-lösning (Cloud Access Security Broker) placeras mellan användaren och molnet för att säkra åtkomsten till molnapplikationer och resurser samt ge kontinuerlig insyn och kontroll. Slutligen behöver molnsäkerhetslösningarna även placeras i själva plattformen för att ge skalbarhet i realtid för applikationerna.
SD-WAN behöver integrera nätverks- och säkerhetsfunktionalitet
Det kanske viktigaste som krävs är en integration mellan
SD-WAN-nätverkets funktionalitet och säkerhet. När säkerhetsfunktionen
implementeras som ett tillägg klarar den bara av att reagera på förändringar i
nätverksanslutningarna. Det kan vara bra nog för enkla anslutningar till det
centrala datacentret, men att säkra faktorer som SaaS-applikationer eller
åtkomst till känslig information är en helt annan sak.
Fördröjningen
mellan en nätverksförändring och justeringen av säkerhetsfunktionaliteten för
att matcha den nya konfigurationen kan skapa säkerhetsluckor – som kan förutses
och utnyttjas. Det här problemet förvärras avsevärt av att den här typen av förändringar
kan ske från en sekund till en annan.
I stället för att implementera säkerhetsarkitekturen som ett tillägg måste den integreras fullständigt i nätverksfunktionaliteten på själva SD-WAN-lösningen. Säkerhetslinjerna utformas och implementeras som en del i processen när nya anslutningar skapas och när nätverkets anslutningsförutsättningar förändras anpassas också säkerheten automatiskt. Om en ny anslutning eller förändring riskerar att påverka säkerheten kan den integrerade säkerhetsfunktionen förhindra det redan innan den genomförs.
Framtiden kräver säkerhetsdrivna nätverk
Den djupgående integrationen mellan säkerhets- och nätverksfunktionerna är kännetecknet för nästa generations säkerhetsdrivna nätverk. Genom att väva samman dessa, traditionellt sett separata system, till en enda lösning kan företag få den insyn och kontroll som krävs för att säkra infrastrukturen. Och i takt med att maskininlärning och artificiell intelligens blir en del av lösningen kommer vi kunna skapa den typ av självförsvarande och självläkande nätverk som vi har väntat på.
Nya säkra SD-WAN-lösningar är den perfekta starten på utvecklingen. Integrationen mellan anslutningsförutsättningar och säkerhet möjliggör smidig och enkel implementation av en komplett lösning, samtidigt som ett enda administrationsgränssnitt hanterar nätverks- och säkerhetsfunktionerna. Det minskar kostnaderna, ökar prestanda och skyddsnivå samt banar väg för nästa generation av säkerhet.
