网络厂商根柢无力涉足 SD-WAN 范围,一些 SD-WAN方案 仅添加有状态数据包过滤能力,就称之拥有“安适性”。
在 SD-WAN 诞生之初,在市场中“开荒”的只是纯挚的 SD-WAN 厂商,但很快就袒露出了错误谬误 —— “安适性”不到位。对比之下,安适厂商从一开始就强调安适的重要性。
如今,安适厂商似乎倾向于供给具有遍及安适特性的 SD-WAN 成果。Gartner 广域网边沿根本设施魔力象限呈报对此进行了重大预测,呈报指出:“到 2024 年,跟着云处事的不停普及,漫衍式企业采办的新防火墙中将有 50% 使用 SD-WAN 成果,现在天这一比例还不到 20%。”
目前,市场上已经有 Forcepoint、SonicWall 和 Barracuda 等安适厂商给与了 Fortinet 模式,为 广域网边沿架构供给了内置安适能力,以撑持漫衍式企业这一复杂的使用场景。
集成安适的SD-WAN解决方案简介
显然,集成安适的SD-WAN解决方案包孕领先的下一代防火墙安适性、SD-WAN、高级路由和 WAN 优化成果,能够供给由安适驱动的 广域网边沿。它融合了 SD-WAN 的成果和安适特性。
集成安适的SD-WAN解决方案可以完全部署在分支机谈判云中或者混合环境中。对付不想完全云化的企业来说,混合实现可能是一种更可行的选择。
值得注意的是,据 Gartner 预计,Fortinet 拥有赶过 21,000 个SD-WAN客户。这一复杂的用户群是对 Fortinet 产品的丰裕必定,尤其是当强大而内置的安适成果成为关键要求时。
为网络增加安适性
安适公司添加新网络成果可谓是信手拈来,SD-WAN 公司添加高级安适成果(补齐 20 年以来的安适缺口)倒是难上加难。我们可以斗胆地假设任何 SD-WAN 厂商都不会成为安适厂商。
跟着市场的成长,一些成果必需当令地进行重定名,好比有关应用身份、加密、路径监控、路由协议和 广域网链路负载均衡的特性。从根柢上讲,所有这些高级路由成果都不是新成果,也不是 SD-WAN 专有成果。它们并不是一夜之间俄然冒出来的,而是在 SD-WAN 市场形成之前就已经存在了。
但是,在某些场景中,您可能必需在 广域网上实施专有路由协议,固然这需要一个新设备。但是对付大部分而言,只需在网络边沿部署一个综合性防火墙便足矣。
部署在广域网边沿的防火墙
防火墙正在演酿成能够供给 SD-WAN 成果的网络安适平台。网络防火墙魔力象限呈报指出:“中小型企业多成果防火墙市场在 2018 年增长了 10.1%,此中 SD-WAN 的给与是一个强劲的敦促力。”
仔细想想,您会发明防火墙已经充当路由器很永劫间了。防火墙根基上可以供给专用 WAN、互联网和内部路由所需的所有路由协议,并且凡是通过专门卖力路由的根本设备来实现。但是,这些成果正在被带有防火墙的边沿设备所替代。
防火墙已经进驻网络数十年了,除了做分内的安适事情外,它们还参预路由事情,每每被用作供给路由的 WAN 边沿设备。
传统安适设计的问题
如何集成安适性与 SD-WAN?普通的设计要领主要涉及多个单点安适解决方案的集成。我们先来了解一下这样做的后果。
• 庞大性
单点解决方案只能解决一个问题,必需进行大量集成,因此它们凡是以处事链的形式存在,并且必需环环相扣、紧密融合。
由于必需要不停地添加解决方案,打点开销和庞大性可能会随之飙增,更不用说 NOC 和 SOC 团队整合所面临的挑战了。而 SD-WAN 的最初卖点就是降低庞大性。
如果我们研究一下 SD-WAN 范围的安适性,就会发明:目前它的使用方法实际上增加了庞大性。这就像您原来只想简单地买房,却酿成了一砖一瓦地砌房。
阐颁发白,许多 SD-WAN 只是借用其他厂商的安适技术,“堆砌”起来出售给客户。
• 相关本钱
在网络中分手使用来自差别厂商的多点解决方案不只本钱昂扬,价格也永远不固定。一些安适厂商可能会无论您使用几多,都按使用模式收费。那么,如何有效规划多点解决方案的使用?
跟着本钱的不停累加,安适专员可能会出于压力牺牲失必然的单点解决方案。我们知道,这不是一种有效的危害打点计谋。抱负情况下,安适事情应该做到有备无患,防止未然。这意味着威胁谍报是关键,许多 SD-WAN 厂商每每忽略了这一点。
无论是从技术层面还是本钱角度来看,整合所有安适解决方案的成果都无比重要。这样只需一个经验丰富的安适专员来打点便可。这也是将 SD-WAN 成果和高级安适性同时整合到一个集成式综合平台中的原因。
集成安适的SD-WAN解决方案完美地做到了这一点,从而制止了更庞大的打点、许可问题,以及较高的本钱或不须要的处事链。
SD-WAN 的关键不在于成果
SD-WAN 市场上有很多“成果至上论”。但现实倒是,“成果并没有缔造太大的价值去撑持市场细分”。实际上,SD-WAN 的价值主张与成果无关,终究各家厂商在应用分类和路径择优发奉上都做得很好。我们来了解一下 SD-WAN 的真正价值主张。
n 性能与可扩展性
就 SD-WAN 而言,凡是最应存眷的是应用流量导向,但举例来说,如果您没有性能可靠的 TLS1.3 深度查抄,如何获得准确的身份证明并确保您的分支机构安适?但是,存眷这一点的人并不久不多。
为此,我们需要定制的 SD-WAN 特定应用专用集成电路 (ASIC),这可以为高资源密集型加密/解密和覆写可扩展性供给强大的优势。
使用 IPSec 时,系统需要进行大量加密运算,会占用大量 CPU 和 RAM 资源。而这项任务可以由专用 SD-WAN ASIC 来代劳,以便减少每个通道消耗的 CPU 和 RAM。
凡是,可扩展性的上限为 1,000 或 1,500。而借助适当的 ASIC,这一数字可以增加到 100,000 以上,一些大型中心站点可能会很受用。别的,您还可以在同一设备中运行网络仓库和安适仓库,从而打造一款经济高效的解决方案。
• 威胁谍报的重要性
下一代防火墙是许多 SD-WAN 厂商数据表中的标配,那么威胁检测和威胁防护处事呢?在许多 SD-WAN 解决方案中,威胁谍报(结合威胁研究)仍然处于缺席状态。威胁形势不停演变,安适解决方案也应该与时俱进。
威胁防护的核心成果笼罩 4-7 层,好比 IPS、内容过滤、深度 SSL 查抄和恶意软件防护。别的,我们还有一个威胁检测工具。如今,我们不能仅靠检测已知威胁就高枕无忧,还必需检测未知威胁。因此,拥有一整套预防和检测成果非常重要。有了这两种能力,我们就相当于拥有了经验丰富的安适研究和分析人员团队。了解 SD-WAN 厂商是否具有本身的威胁谍报非常重要。
为此,您不妨事选择具有安适公司血统的厂商。任何安适厂商的核心价值都在于他们的谍报研究程度。这才是撑持市场细分的原因,而不是 SD-WAN 成果。
但是,您还应该确认这些厂商提出的成果是否已得到第三方(如 NSS 尝试室)的验证。NSS 尝试室已对一些安适厂商的领先 SD-WAN 产品进行了评估,评估内容涉及 VoIP 和视频的体验质量 (QoE)、性能(WAN 损害和高可用性)、总体拥有本钱 (TCO) 以及安适结果。
此外,我们还必需考察“供给防火墙的 SD-WAN 设备”按照最新威胁信息进行更新的频率,是每天几次还是每周几次?一些 SD-WAN 解决方案传布鼓吹本身是集成安适的SD-WAN厂商,但是构建有效的安适防护需要一支强大的威胁谍报团队,草创企业是否有足够的人力来做到这一点?网络厂商更是根柢无力涉足这一范围,一些 SD-WAN 仅添加有状态数据包过滤能力,便称之为“安适性”了。
坦白地讲,任何人都可以使用下一代防火墙。但是,成果的笼罩广度、它们供给的谍报以及市场的承认却不成一概而论。只有做到了这几点,下一代防火墙才华博得分支机构的信任,确保企业安适防线安如盘石。
您在寻找集成安适的SD-WAN厂商合作伙伴时,请着重考虑这些问题,并考察其安适业务的历史,同时评估他们是否具有经验丰富的威胁谍报团队。
集成安适的SD-WAN解决方案正成为市场主要成长标的目的。行业分析和客户群体的觉醒在此中孕育产生了重大影响。人们不再将安适厂商与 SD-WAN 厂商混为一谈。
最终,市场需要的是整合于集成式综合平台之中的集成安适的SD-WAN解决方案。
原文作者:Matt Conran, Advisor, Contributor, Network World
原文标题:Secure SD-WAN: The security vendors and their SD-WAN offerings
原文链接:https://www.networkworld.com/article/3489480/secure-sd-wan-the-security-vendors-and-their-sd-wan-offerings.html