SD-WAN设计的最初目的是取代多协议标签交换(MPLS)并将内部资源连接在一起。部署SD-WAN给项目带来了很多好处,但是同时也有一些限制。 SD-WAN厂商面临的真正挑战不仅仅是为了满足内部连接,广域网(WAN)必须支持一系列需要从多个位置进行网络访问的不同实体。
主要场景和挑战
SD-WAN主要用于内部资源,很多情况下我们不得不超出此要求来支持移动用户和合作伙伴的连接。然而目前的架构无法将远程访问连接到SD-WAN。只有两种选择,要么绕过企业安全策略直接连接到最近的分支机构,要么直接到总部(HQ)进行安全检查。
SD-WAN厂商通常没有移动客户端,部署额外的设备来支持远程访问有很多困难。将网络和安全功能集成在一起可以使配置和管理变得更容易。
当WAN必须提供对第三方的访问时,它会把局域网(LAN)内受保护的某些段暴露给外部使用。根据内部策略,第三方伙伴网络不如内部LAN安全,所以它必须得到相应的保护和管理。
有时候伙伴可能需要远程访问您的网络,原因有很多,例如访问内部服务以提供托管设施等。这基本上需要将两个独立的网络结合在一起,无法知道远程伙伴端配置的安全程度。
SD-WAN服务提供的并非完全相同,许多服务不包括用于威胁保护的防火墙/安全功能。这对分支站点直接访问公共Internet造成了严重的安全风险。在某些情况下,合作伙伴绑定的流量必须回传至总部(HQ)进行安全筛选。大多数SD-WAN厂商不提供管理第三方的完整安全堆栈和可见性。安全从来不是主要的考虑因素,因为在开发互联网协议(IP)时,安全性从来就不是讨论的主要话题。
解决方案考虑
为了有效保护第三方访问,将需要额外的安全设备以及复杂的体系架构融入现有的网络。一系列非集成的产品导致了设备过多,给运营商的访问、安全、性能和管理方面带来了许多麻烦。
访问
首先,应该有某种接口和策略配置。逻辑上,设计可能有多种形式,根据合作伙伴的内部策略,这些形式可能会超出“期望”的设计列表。
安全
一旦建立了逻辑和物理连接,如何执行安全策略就成为重中之重,必须实施连接两端的统一安全策略。提供防火墙是一回事,但威胁防护是另一回事。大多数厂商提供防火墙功能,但忽略了威胁保护的重要性。
性能
应用程序不统一。不同的应用程序会有不同的要求,某些通过互联网运行的应用程序会有延迟限制,而其他应用程序则需要灵活的网络容量。为了避免网络热点,还需要动态路径选择机制。
管理
如何管理和开发各种第三方连接和提供新用户也是一个挑战。第三方连接和用户不会只接入一次,所以需要简化创建额外的外部连接的流程。除了能够监控伙伴网络和远程工作人员之间的性能、可用性和安全性之外,还需要集中管理能力。
将SD-WAN结构扩展到外部网络的方法
添加虚拟或物理设备会增加网络的复杂性。网络已经非常复杂,许多人的目标是减少设备。每个伙伴位置的分布式设备都需要额外的任务,例如安装、持续管理、定期更新和刷新。
如果你决定安装虚拟设备或硬件设备,那么如何提供安全功能呢?或者你如何在定制的NAT配置下工作?在虚拟网络世界中,策略和管理变得更为复杂。虚拟化需要一种新类型的技能,团队可能不愿意接受。此外,WAN与公司站点相连,但要连接合作伙伴,我们必须依赖IPsec。如果没有采取必要的预防措施,IPsec在很多方面都会出现问题。
Cato Networks提供了另一种安装物理或虚拟设备的方法。移动用户可以配备移动客户端,在其设备上运行并连接到Cato Cloud。通过在现有设备上建立IPsec隧道来连接伙伴位置,无需额外的设备。 Cato安全服务为所有连接的用户和资源提供防火墙和威胁保护。
此外,还需要有一个应用程序策略来指定带宽,并根据应用程序类型分配某些安全策略。这应该都集中在一个控制台中,无论第三方实体或位置如何,都可以提供集成管理。
SD-WAN最初是为内部站点之间连接而创建的,当需要连接到与位置无关的外部伙伴时会非常麻烦。所以这不是一个全面的解决方案。
尽管该技术有望替代IPsec site-to-site V**,但它在连接外部实体和统一管理安全方面还存在许多不足。一种可行的方法是将所有安全和网络功能转移到云,然后创建一个精简的边缘架构,从而解决这些问题。
在选择SD-WAN厂商时,需要寻找一种可以在不影响可见性、安全性和性能的前提下集成外部伙伴的方法。同时,应该尽量减少网络的复杂性。