Die Sicherung von IT-Ressourcen innerhalb von vier Wänden ist schon schwierig genug, aber es ist eine Herausforderung ganz anderer Art, wenn es darum geht, ein WAN mit Verbindungen zu sichern, die um die ganze Welt reichen, von einer Reihe von Dienstanbietern bereitgestellt werden und einen Mix von Endpunkt-Sicherheitsanwendungen unterstützen.
Die Sicherheitslage wird noch undurchsichtiger, wenn Sie SD-WAN als Ergänzung zu alternden MPLS-Netzwerken einsetzen, da die meisten SD-WANs ausschließlich das öffentliche Internet für den Transport nutzen.
Die meisten, aber nicht alle. Und das ist eine wichtige Überlegung, wenn Sie die Sicherheitsauswirkungen der verschiedenen SD-WAN-Optionen bewerten. Wenn Sie das öffentliche Internet durch ein softwaredefiniertes privates Netzwerk auf der mittleren Meile ersetzen, bedeutet dies eine zusätzliche Sicherheitsebene.
In der Tat ist ein mehrschichtiger, tiefgreifender Verteidigungsansatz der beste Weg, um SD-WAN-Sicherheit anzugehen. Es gibt einfach zu viele Arten von Bedrohungen und Angriffsvektoren, als dass eine einzige „Sicherheitslösung“ etwas ausrichten könnte. Sie gehen davon aus, dass einige Verteidigungsmaßnahmen nicht immer funktionieren und halten zusätzliche Verteidigungsschichten bereit.
Hier finden Sie die besten Praktiken für SD-WAN-Sicherheitsimplementierungen:
1. Begrenzen Sie Ihr Netzwerk
Wenn Ihr SD-WAN ausschließlich das öffentliche Internet für den Transport auf der mittleren Meile nutzt, haben Sie zu Beginn einen Nachteil, insbesondere bei internationalen Verbindungen. Sie können nicht wissen, welche Verbindungen Ihr Datenverkehr durchläuft und wer Zugang zu welchen Einrichtungen hat (ganz zu schweigen von den Leistungseinbußen, die Sie bei der Verwendung des öffentlichen Internets für den SD-WAN-Transport erleiden werden).
Die Alternative ist ein SD-WAN-Service, der über ein sicheres, verwaltetes, privates globales Netzwerk wie das Global SD-WAN von Aryaka bereitgestellt wird. Die Verwendung eines privaten Netzwerks für die mittlere Meile minimiert die Angriffsvektoren erheblich, indem es die Exposition gegenüber dem öffentlichen Internet eliminiert.
2. Gliedern Sie Ihren Verkehr auf
Die erste Aufgabe besteht darin, das öffentliche Internet zu meiden, und die zweite Aufgabe besteht darin, dafür zu sorgen, dass Ihr Datenverkehr in einer echten mandantenfähigen Weise aufgeteilt wird, mit dedizierten Tunneln, die verhindern, dass sich Ihr Datenverkehr mit dem Datenverkehr anderer Unternehmen vermischt.
3. Setzen Sie nicht alle Eier in einen Korb
Vielfalt ist eine zentrale Tugend in einer mehrschichtigen, verteidigungsorientierten Sicherheitsstrategie, aber einige SD-WAN-Anbieter preisen die so genannten „Vorteile“ des Aufbaus und der Integration ihres eigenen Sicherheits-Stacks an. Dieser Ansatz kann für viele Unternehmen eine Schwachstelle darstellen.
Die beste Praxis ist es, mehrere Sicherheitsebenen von mehreren Anbietern bereitzustellen, die zu den Besten der Branche gehören. Dieser Ansatz würde die grundlegende Schwachstelle, die mit der Verwendung eines Sicherheitsstapels eines einzigen Anbieters verbunden ist, entschärfen.
Aryaka arbeitet mit Palo Alto Networks und Zscaler für Edge- und Cloud-basierte Sicherheit zusammen, die beide ausschließlich auf das globale Unternehmens-WAN ausgerichtet sind. Selbst entwickelter Code von einem kleineren Unternehmen ist einfach nicht vergleichbar.
Wenn Sie ein großes oder mittelgroßes globales Unternehmen sind, ist integrierte Best-of-Breed-Sicherheit von mehreren Anbietern ein Muss.
4. Bestehen Sie auf Optionen
Es versteht sich von selbst, dass Sie eine Sicherheitsebene am Netzwerkrand sowohl für den ein- als auch für den ausgehenden Datenverkehr benötigen, aber oft haben SD-WAN-Anbieter nur begrenzte Möglichkeiten und versuchen, eine bestimmte Strategie vorzuschreiben, anstatt auf Ihre Präferenzen einzugehen.
Bei Aryaka übernehmen wir die Sicherheitsanweisungen von Ihnen. Das Aryaka CPE verfügt über eine eingebaute Firewall, so dass Sie diese Funktion in das Gerät integrieren und das Durcheinander an Geräten in der Zweigstelle reduzieren können. Wenn Sie jedoch mehr Leistung benötigen, kann eine Palo Alto Firewall der nächsten Generation vor Ort eingesetzt werden. Alternativ können Sie den Datenverkehr an eine Cloud-basierte Lösung von Palo Alto Networks oder Zscaler weiterleiten. Wenn Sie Anwendungen in die Cloud migriert haben, können Sie eine virtuelle Firewall von Zcaler für AWS- oder Azure-Umgebungen nutzen.
5. Frühwarnsysteme hinzufügen
Vergewissern Sie sich, dass Ihr SD-WAN-Anbieter ein Portal bereitstellen kann, mit dem Sie Ihr globales Netzwerk von einem einzigen Fenster aus überwachen können. Ungewöhnliche Verkehrsspitzen oder mehrere Verbindungen aus einem unerwarteten Teil des Netzwerks oder der Welt können Anzeichen für schändliche Aktivitäten sein, die eine genauere Untersuchung erfordern. So können Sie Benutzer unter Quarantäne stellen und die Ausbreitung eines Angriffs verhindern.
Natürlich gibt es keine 100%ige Sicherheit, und deshalb ist ein Modell der Tiefenverteidigung so wichtig. Suchen Sie nach SD-WAN-Anbietern, die ihre Dienste über ein sicheres, privates, verwaltetes Netzwerk bereitstellen und die besten Optionen für jede der verschiedenen Sicherheitsebenen anbieten, die zum Schutz Ihres globalen Netzwerks und Ihrer geschäftskritischen Daten erforderlich sind!
