Sicherung des Software-Defined Branch mit Aryaka Zonen und Partnerlösungen

Letzte Woche habe ich darüber gebloggt Aryaka HybridWAN und sein innovativer Ansatz zur Bereitstellung von Internetkonnektivität mit enterpAufstiegsklasse SLAs zur Filiale. Sobald Sie Filialen mit Internetanschluss eröffnen, ist die Sicherheit natürlich ein großes Anliegen.

Wenn es um die Sicherheit in SD-WANEs ist leicht zu erkennen, dass es in unserer Branche zwei generische Ansätze gibt:

• Die Haltung der integrierten Lösung, die bedeutet: „Sie sollten meine bekommen SD-WAN weil es zufällig auch in meine integrierte Sicherheitslösung integriert ist, was Ihnen die Sicherheit von anderen erspart. Vertrauen Sie mir, es entspricht Ihren Bedürfnissen.“ Diese Haltung ist in der weit verbreitet SD-WAN Welt, aber es stellt ganz klar eine Lock-in-Strategie dar und kann sich durchaus nachteilig auf die Zukunft auswirkenerpauf die besonderen Sicherheitspräferenzen und -bedürfnisse des Unternehmens eingehen.
• Die Haltung der offenen Lösung, die bedeutet: „Wir als SD-WAN Unternehmen verstehen, dass die meisten EnterpRises müssen den mehrschichtigen Sicherheitsansatz so anpassen, dass er auf ihre speziellen Bedürfnisse zugeschnitten ist. Daher werden wir einige grundlegende Sicherheitsfunktionen bereitstellen – aber wir werden darauf achten, eine offene Haltung beizubehalten und auch mit einer Reihe führender Sicherheitsunternehmen zusammenzuarbeiten, damit unsere Kunden dies tun können ihre Sicherheitslösung wirklich maßgeschneidert gestalten.“

Aryaka ist eine SD-WAN Unternehmen, das sich fest der Haltung der Open Security Solution verschrieben hat. Die Gründe? In erster Linie sind wir ein kundenorientiertes Unternehmen. Unser Staat von WAN 2019 Der Bericht stellte klar fest, dass die Sicherheit natürlich bei jedem Enthusiasten oberste Priorität haterperhebt euch Bereitstellen SD-WAN, die Mehrheit der enterpAufstiege erfordern die Macht der Wahl. Aus verschiedenen Gründen, die von enterpDa Architekturprobleme bis hin zu regulatorischen Anforderungen zunehmen, wird eine einzige Sicherheitslösung selten alle Bereiche abdeckenerpRises Bedürfnisse. Auch mehrere Branchenanalysten haben wiederholt die Notwendigkeit eines mehrschichtigen Sicherheitsansatzes festgestellt.

AryakaDer Ansatz zum Thema Sicherheit ist offen und geradlinig:

Erstens gibt es den grundlegenden Aspekt der Sicherheit. In der Zweigstelle benötigen Sie eine einfache Stateful-Firewall und eine richtlinienbasierte Segmentierung. Wir integrieren beide Funktionen in unser Filialgerät, das ANAP (Aryaka Network Access Point). Wir nennen diese Funktion Aryaka Zonen, und wir nehmen es in unsere auf ANAP als kostenlose Grundfunktionalität. Zones bietet eine Stateful-Firewall für grundlegende Zugriffssicherheit und segmentiert die Zweigstelle von der Außenwelt. Darüber hinaus erstellen wir in Zonen eine strikte interne Segmentierung des Datenverkehrs auf der Grundlage von Richtlinien, was typischerweise eine strikte Trennung des öffentlichen Internets (Gast-WLAN, Verbraucher-Apps usw.) bedeutet. cloud Sicherheit, DMZ und Unternehmensverkehr. Unsere Richtlinien sind flexibel und ermöglichen die Unterbringung von bis zu 32 Zonen in einer Filiale. Sie können nutzen Aryaka Zonen dienen nicht nur der Ost-West-Segmentierung, sondern auch der Durchsetzung einer eingeschränkten und sicheren Kommunikation zwischen den Segmenten – innerhalb der Filiale oder filialübergreifend.

Zweitens Aryaka Partner mit cloud Sicherheitsführer mögen Zscaler, Palo Alto Networks, Symantec und andere, um Auswahl und einfache Integration zu ermöglichen.

Aber zurück zur architektonischen Aktivierung: VLAN-basierte Segmentierung ist großartig, aber es gibt viele Anwendungsfälle, die eine Segmentierung auf Ebene 3 erfordern, die als VRF (Virtual Routing and Forwarding) bezeichnet wird. Ein klassischer Anwendungsfall für die Layer-3-Segmentierung mit VRF ist die Mandantenfähigkeit. Sie werden sich jetzt nicht wundern, wenn ich Ihnen sage, dass wir diese Funktion auch anbieten: Sie ist auch in unserem enthalten ANAP.

Architektonisch gesehen unterstützen Sie eine Mikrosegmentierungsarchitektur, wenn Sie eine mehrschichtige Segmentierung implementieren und ein übergreifendes Richtlinien-Framework unterstützen. Aber hören Sie mir zu: Aryaka bietet nicht den gesamten Stack für eine Mikrosegmentierungslösung, die einen sogenannten Zero-Trust-Sicherheitsansatz unterstützt. Wir bieten die architektonische Unterstützung auf L2 und L3. Es gibt übergeordnete, branchenübliche De-facto-Standard-Identitäts- und Richtlinien-Frameworks, um die grundlegende L2/3-Mikrosegmentierungsfunktion mit einem übergreifenden Framework zu verknüpfen und so eine sogenannte Zero-Trust-Haltung zu erreichen.

Mikrosegmentierung und Zero Trust sind untrennbar miteinander verbunden. Sobald Sie über das eine sprechen, werden Sie von Branchenexperten nach dem anderen gefragt. Was ist also Zero Trust? Wie bei vielen Dingen heutzutage gibt es keinen Industriestandard, also werde ich es vereinfachen: Zero Trust Es ist eine Sicherheitslage, die nichts und niemanden in den Raum lässterpsteigen, sofern ihre Identität nicht bestätigt wird, und wenn ihnen Zugriff gewährt wird, werden sie über eine Richtlinie einigen ausgewählten Mikrosegmenten im Netzwerk zugeordnet.

Man könnte sagen, dass Zero Trust die Gegenbewegung zur universellen Konnektivitätsprämisse ist, die IP-Netzwerke ermöglicht haben. Der universelle Konnektivitäts-Stack von IP ermöglichte eine Branchenrevolution, aber diese universelle Konnektivität wurde zu einer Belastung. Infolgedessen begannen wir, die universelle Konnektivität zu besiegen. Zuerst kamen Firewalls. Es folgte die Einbrucherkennung. Die nächste Station war ein einheitliches Bedrohungsmanagement. Aber wenn man darüber nachdenkt, sind das alles passive Verteidigungshaltungen. Zero Trust stellt einen disruptiven, offensiven Schritt in der Ent-Welt darerpAufstieg der Sicherheitsarchitektur.

Noch etwas zu einer Zero-Trust-Architektur: Sie erfordert eindeutig einen sehr offenen Ansatz von allen am Stack beteiligten Technologieanbietern, kein einzelner Anbieter kann alle Entitäten abdeckenerpRise-Domäne und jede Technologie-Stack-Schicht. Deutlich, SD-WAN Anbieter, die eine einzige, interne Sicherheitslösung befürworten, wissen nicht, wohin wir mit ent wollenerpSicherheit erhöhen.

Um es zusammenzufassen: Aryaka's offener Ansatz für mehrschichtige Sicherheit bietet die Wahl, die enterpAnstiege bevorzugen und welche neuen Zero-Trust-Sicherheitsvorkehrungen als grundlegende Voraussetzung erforderlich sind.