组织经常依赖多个供应商来连接和保护其分支机构。通过自己动手(DIY)的方法,他们可能安装了许多不同的广域网边缘设备,包括路由器、防火墙和广域网优化设备。因此,网络安装通常是复杂和难以管理的。这些装置不再是为数字时代优化的。随着越来越多的应用程序和工作负载托管在云中,越来越多的员工从任何地方连接,网络安全边界正在消失。然而,组织有时不知道从哪里开始转换他们的网络和安全架构。它们还可能与多年合约捆绑在一起,阻止它们将当前架构迁移到云优先的SASE架构。
组织应该采取以下简单的步骤来转换其网络和安全架构,以实现安全访问服务边缘(SASE)按照自己的节奏。
步骤#1:在总部和分支机构之间实现SD-WAN
虽然SD-WAN的采用继续加速,一些组织仍然依赖传统的、严格的和昂贵的MPLS线路来连接他们的分支机构。但是MPLS不能提供直接访问云中的应用程序所需的灵活性和安全性。事实上,随着大多数企业应用程序迁移到云,企业数据中心不再是所有网络流量的中心。为了提供最高的云应用程序性能,企业现在应该直接通过internet引导流量,而不是将流量退回到企业数据中心。
SD-WAN通过虚拟化网络提供灵活性和降低复杂性。它可以灵活地将MPLS、宽带互联网、5G/LTE等多种广域网传输业务组合在一起。还可以根据业务需求配置连接。
利用先进的SD-WAN使用公共互联网服务,组织可以很容易地创建新的分支,并得益于与私有线路相同甚至更好的性能,因为转发错误校正可以重建在传输过程中丢失的数据包,并且包顺序校正可以重新排序在多个线路上无序发送的数据包。
此外,通过集中式编排,应用程序QoS配置和安全策略可以通过零接触配置自动推送到分支,不需要人工干预。这样就可以快速轻松地建立新的分支机构,并且策略更改可以在几分钟内自动分发到数百或数千个分支,同时最小化错误。防火墙、路由器和广域网优化设备现在可以被单个SD-WAN设备取代,简化了网络和操作。
步骤#2:通过本地集成的SD-WAN解决方案自动集成一流的云安全功能
SASE模型描述了许多安全组件,包括安全Web网关(Secure Web Gateway, SWG)、防火墙即服务、云访问安全代理(Cloud Access security Broker, CASB)、零信任网络访问(Zero-Trust Network Access, ZTNA)、反病毒、数据丢失预防(Data Loss Prevention, DLP)、沙箱等等。
在过渡到SASE体系结构时,企业必须考虑纳入能够更好地保护组织的最佳云安全功能,而不是一个可能无法对所有类型的威胁提供平等保护的一体化解决方案。
作为初始阶段,SD-WAN解决方案只需集成到您现有的网络中,而不需要任何主要的基础设施更改,并允许您保留现有的防火墙和路由器。然后,当您订阅新的云安全服务时,一个高级SD-WAN解决方案可以提供与这些服务的本地集成。这种集成是无缝的,因为SD-WAN解决方案通过配置到云安全实施点的安全隧道(连接)自动化了云安全的“加载”,并智能地控制应用程序流量。通过智能转向,组织可以构建安全策略,将数据中心托管的应用程序流量回程到总部,将可信的云应用程序流量(如Office 365或UCaaS流量)直接发送到互联网,或将所有其他与互联网绑定的流量发送到云交付的安全服务,为进一步的安全检查…
SD-WAN解决方案还必须包含防火墙功能,以保护分支免受即将到来的威胁。领先的SD-WAN解决方案包括基于状态区域的防火墙和入侵保护功能,为淘汰现有的遗留分支防火墙铺平了道路。
步骤3:超越SASE:保护物联网设备和流量
在后covid - 19时代,随着资源在数据中心之间的分散,以及物联网设备数量的增加,网络的复杂性显著增加,这使得安全地保护组织免受网络攻击变得更加困难。
事实上,IDC预测,到2025年,全球将有557亿台联网设备,由联网物联网设备产生的数据将达到73.1 ZB,是2019年18.3 ZB的3倍。
物联网使用案例多种多样,从汽车、视频监控、智能计量、暖通空调控制、医疗保健、销售点终端等。这些设备通常缺乏身份验证系统,而且通常不可能在其上安装安全代理。因此,它们不如其他计算设备安全。它们使组织面临越来越大的威胁,因为它们通常共享其他企业应用程序流量所经过的相同的网络路径。
使用零信任策略方法,组织假定在默认情况下没有设备是可信的。网络分割是必要的,以允许用户或设备只有访问与它们的角色一致的网络特定区域,以防止攻击在网络中蔓延并打击关键应用程序,并根据业务需求限制用户或设备对数字资源的访问。
在无线局域网、有线局域网和SD-WAN中提供一种实现零信任的统一方法是至关重要的。先进的统一网络解决方案提供基于角色的接入策略,为用户设备实现基于全802.1X和多因素认证的零信任策略。通过实现动态分段,自动为设备分配适当的访问控制策略,根据用户或设备类型以及上下文对网络流量进行分段。
通过零信任能力以及与云安全提供商的本地集成,Aruba帮助组织按照自己的节奏转移到SASE架构。
- Aruba EdgeConnect提供业界领先的SD-WAN功能,以优化和简化WAN边缘。
- 它通过自动建立IPsec隧道,并基于第一个包的识别智能引导流量,从而自动编制最佳的云安全解决方案。
- 它包括一个有状态的基于区域的防火墙,并集中管理安全策略的编排。
- 加上Aruba ClearPass用户/设备和基于角色的访问控制,EdgeConnect参与在有线或无线基础设施、分支或校园网络、广域网和数据中心和云上执行一致的零信任边缘云安全策略。这一切都归功于Aruba的动态分割功能,它可以保护用户和物联网设备。
HPE (Aruba和Silver Peak)在2021年连续4年提名高德纳万域边缘基础设施魔力象限的领导者得到这份报告.
相关资源
