预测|2017年网络与安全是否终将合并？-控件新闻-慧都网

预测|2017年网络与安全是否终将合并？

转帖|行业资讯|编辑：蒋永|2017-01-22 14:21:34.000|阅读 126 次

概述：又是新的一年，又到了对未来十二个月做出大胆预测的时候。正如尤达大师的预言一样，虽然有时候这类预测听起来有些模糊或者夸张，但却往往确实能够指导未来的重要趋势。在今天的文章中，我们只重点讲一个方向——网络与安全

# 界面/图表报表/文档/IDE等千款热门软控件火热销售中 >>

网络安全

网络应与安全同化

这到底是什么意思?是说网络与安全可能在2017年内相互替代?CIO与CISO们是否应当准备迎接这种不可避免的趋势?安全与网络技术人员又该如何为这波冲击做好准备?

当然，我们对此有着自己的想法。通过对多家SD-WAN厂商的关注以及传统技术发展带来的启示，

SD-WAN中的“SD”是否会引发安全灾难?

毫无疑问，任何由SD-WAN实现的互联网直连作法都代表着新的攻击面。大多数企业都拥有一套甚至多套区域性互联网接入中心。而暴露在互联网下的直接后果就是，大家将遭遇更多勒索软件、钓鱼网络、恶意下载乃至其它隐患的威胁。

更可怕的是，大家分支机构中的安全性水平可能更差。用户们往往依赖于MPLS或者基于互联网的IPSec VPN，而且我见到的大多数企业仍在将回程流量路由至中央或者区域枢纽处的安全互联网访问门户。这里可能不具备防火墙、恶意软件检测或者其它安全保护措施。

事实上，最近Dimension Data发布的一份调查恰好提到了这方面议题。该调查发现，40%的企业分支机构并不具备基础的有状态防火墙。半数分支机构没有采用下一代防火墙(简称NGFW)。SD-WAN与互联网直连对于分支机构代表着双重风险。企业不仅面临更大的攻击面，其甚至未能利用现有工具及规程对其加以保护。

其它网络与安全实现方案

SD-WAN供应商也意识到了安全挑战的存在。各厂商纷纷开始探讨网络层问题——包括加密、IPSec及验证等等。WAN上的网络分区以自己的方式进行流量隔离，从而保护其中的应用免受外部WAN活动的威胁。其基本思路与主机上的虚拟机应用隔离手段相当接近，而且已经有众多厂商开始在其分支设备中内置有状态防火墙。

不过更大的问题在于，我们要如何为分支机构提供NGFW、恶意软件检测、IDS/IPS、URL过滤及其它应用级安全机制。关于这一点，我们发现各厂商普遍采取以下四种方案中的一种或者几种。

服务链与云安全

从基础层面，已经有一部分 SD-WAN供应商开始合作以将自身安全水平提升至“业界领先”。这种服务链的出现使得各类安全功能得以串联起来。深度数据包检测(简称DPI)能够立足边缘网络发现并引导相关流量至对应的安全设备处，而不再需要全部流经中央数据中心。

不过服务链安全设备仍然会将部分回程分支流量引导至某些检查位置。为了在无需于分支机构内部署完整安全设备堆栈的前提下实现互联网直连，多数SD-WAN厂商联合建立起云安全服务。作为其中一例，Zscaler会将全部入站与出站TCP、UDP及ICMP流量发送至Zscaler云进行检查，而后才转发至目的地。

服务链提供一套框架以解决基本安全问题，但企业所创建的涉及多种应用、用户类型及站点的服务实例依然面临风险。很明显，只有采取高度集成化与自动化策略方可实现企业广域网管理。SD-WAN与安全参数应通过单一接口进行定义与交付。在此之后，必要工具应能够将这些策略推送至基础设施中的各个角落。

众多领先SD-WAN供应商已经开始提供这些功能，但其中网络与安全分析机制仍然彼此分离。例如，我们无法通过整合安全与网络信息的方式最大程度降低安全操作人员收到的警报信息。同样的，安全设备也无法借此检测DDoS攻击或者屏蔽当前网络分区的对应入口。虽然网络与安全日志可被导出至第三方工具，但这些严格的分析与控制协作能力仍然超出了大多数SD-WAN厂商间的合作范畴。