4つの壁の中でITリソースを保護することは十分に困難ですが、さまざまなサービス・プロバイダーから提供され、さまざまなエンドポイント・セキュリティ・アプライアンスをサポートする、世界中に広がるリンクを持つWANを保護することは、それとは異なる次元の課題です。
老朽化したMPLS ネットワークを補強するためにSD-WAN を導入する場合、セキュリティの状況はさらに不透明になります。
ほとんどですが、すべてではありません。 そしてそれは、様々な SD-WAN オプションのセキュリティ上の意味を評価する際に重要な考慮事項です。 パブリック・インターネットをミドルマイル上のソフトウェア定義のプライベート・ネットワークに置き換えることは、セキュリティのレイヤーを追加することと同じです。
実際、多層防御の綿密なアプローチは、SD-WANセキュリティにアプローチする最良の方法です。 脅威の種類や攻撃のベクトルが多すぎるため、単一のセキュリティの「答え」を提示しても意味がありません。 防御が常に機能するわけではないことを想定し、防御の追加レイヤーを準備しておくのです。
SD-WANセキュリティ導入のベストプラクティスを紹介します:
1.ネットワークの囲い込み
SD-WANがミドルマイルのトランスポートに公衆インターネットのみを使用する場合、特に国際的なリンクでは不利な状況からスタートすることになります。 トラフィックがどのリンクを通過し、誰がどの設備にアクセスできるかを知る方法はありません(SD-WANのトランスポートにベストエフォート型の公衆インターネットを使用した場合のパフォーマンスヒットは言うまでもありません)。
代替案としては、AryakaのGlobal SD-WANのような、セキュアで管理されたプライベートなグローバルネットワーク上で提供されるSD-WANサービスにサインアップすることです。 ミドル・マイルにプライベート・ネットワークを使用することで、公衆インターネットへの露出を排除し、攻撃ベクトルを大幅に最小限に抑えることができます。
2.トラフィックの区分け
1つ目は公衆インターネットを避けること、2つ目はトラフィックが他社のトラフィックと混ざらないように専用トンネルを設け、真のマルチテナント方式でトラフィックを区分けすることです。
3.すべての卵を一つのカゴに入れないこと
多様性は多層的で防衛に踏み込んだセキュリティ戦略における中核的な美徳ですが、一部の SD-WAN サプライヤーは独自のセキュリティスタックを構築し統合することのいわゆる「利点」を宣伝しています。 このアプローチは、多くの企業にとって脆弱な点かもしれません。
ベストプラクティスは、ビジネスで最高の複数のサプライヤーによって提供される複数のレイヤーのセキュリティを持つことです。 このアプローチは、単一ベンダーのセキュリティ・スタックを利用することに関連する基本的な脆弱性を軽減します。
Aryakaは、エッジおよびクラウドベースのセキュリティのためにPalo Alto NetworksおよびZscalerと提携しています。 中小企業の自家製コードでは比較になりません。
グローバルに展開する大企業や中堅企業であれば、複数のベンダーが提供するベスト・オブ・ブリードの統合セキュリティは必須です。
4.オプションの主張
インバウンドとアウトバウンドの両方のトラフィックに対してネットワークエッジのセキュリティレイヤーが必要なことは言うまでもありませんが、多くの場合、SD-WANプロバイダーはオプションを制限し、お客様の好みに対応するのではなく、特定の戦略を指示しようとします。
Aryakaでは、お客様からセキュリティの指示を受けます。 Aryaka CPEにはファイアウォールが内蔵されているため、ファイアウォール機能を機器に組み込むことができ、ブランチオフィスのアプライアンスの乱雑さを抑えることができます。 しかし、より強力なファイアウォールが必要な場合は、パロアルトの次世代ファイアウォールをオンプレミスで導入することができます。 または、Palo Alto NetworksまたはZscalerのクラウドベースのソリューションにトラフィックを誘導することもできます。 アプリケーションをクラウドに移行した場合、AWSまたはAzure環境用のZcalerの仮想ファイアウォールを活用できます。
5.早期警戒システムの追加
SD-WAN プロバイダーが、単一のガラスペインからグローバルネットワークを監視できるポータルを提供できることを確認してください。 奇妙なトラフィックの急増や、ネットワークや世界の予期しない場所からの複数の接続は、より詳細な検査が必要な悪意のある活動の指標かもしれません。 これにより、ユーザーを隔離し、攻撃の拡大を防ぐことができます。
もちろん、100%のセキュリティなどありえませんし、だからこそ深層防御モデルが重要なのです。 SD-WANプロバイダーは、セキュアでプライベートな管理されたネットワーク上でサービスを提供し、グローバルネットワークとビジネスクリティカルなデータを保護するために必要な複数のセキュリティレイヤーそれぞれに最適なオプションを提供しています!
