Den vanligste utfordringen med mange SD-WAN-løsninger er at de ser på WAN-tilkoblingen som en isolert løsning. Dette er ikke så unikt. En av de største utfordringene som virksomheter som gjennomgår en rask digital transformasjon, er at nye nettverksløsninger implementeres som siloløsninger. Selv om denne metoden har mange ulemper, er de største konsekvensene for sikkerheten de verste.
En av de kritiske funksjonene ved sikkerhet er å ha åpnehet over et distribuert nettverk. Hvis forskjellige sikkerhetsløsninger implementeres i forskjellige deler, isoleres ressursene. Dette gjør det umulig å oppdage, koordinere innsats mot og adressere trusler.
Selv om tradisjonelle WAN-modeller med stjernenettverkstopologi har sine mangler, blir all trafikk inspisert og sikret av den sentralt plasserte sikkerhetsfunksjonen. Dersom vi erstatter statiske MPLS-tilkoblinger med fleksible tilkoblinger i offentlige nettverk og begynner å bruke lokale forbindelser til internett og SaaS-applikasjoner, overføres sikkerhetsfunksjonaliteten isteden til SD-WAN-enheten i stedet.
Begrensningene med tradisjonelle SD-WAN-løsninger
Problemet er at de fleste SD-WAN-enheter bare tilbyr grunnleggende brannmurfunksjonalitet. Det betyr at kritiske data ikke lenger beskyttes med hele arsenalet av sikkerhetsfunksjoner og -tjenester, slik som IPS, innholdsfilter, beskyttelse mot virus og skadelig programvare og sandboxing. For å få tilgang til disse tjenestene må de legges som ett tillegg på brannmuren.
Den kompliserte oppgaven med å utforme og implementere løsningen, det ekstra vedlikeholdet og bruken av separate administrasjonsgrensesnitt innebærer mer jobb for IT-avdelingen. Og hvis det ikke gjøres på riktig måte, kan det dessuten isolere WAN-sikkerheten fra den øvrige sikkerhetsarkitekturen, både sentralt og i ulike skymiljøer.
Men det er bare en del av utfordringen.
Sikkerheten må alltid omfatte hele nettverket
For å administrere SD-WAN-tilkoblinger på noe så upålitelig som internett kreves det nøye håndtering avtilkoblingene. Redundante systemer må være på plass for umiddelbar feilbeskyttelse og koblinger med redusert pålitelighet må byttes under drift – noe som også gjelder for aktive tilkoblinger. I tillegg bør trafikkstyringsverktøy hele tiden lese av applikasjonens krav til båndbredde og prioriteringen mellom ulike tilkoblinger for kontinuerlig å gjøre mikrojusteringer for å støtte forsinkelsefølsomme applikasjoner, slik som for eksempel sanntidskommunikasjon som tale og video.
SD-WAN-tilkoblinger krever sikkerhet hele veien – ut over bare kryptering av data. Kommunikasjonen mellom et kontor og en skybasert applikasjon krever inspeksjon av data i begge ender av forbindelsen. For å unngå hull i implementeringen og for å følge gjeldende regler, må sikkerhetsløsningene i skyen være kompatible og integrert med de på kontoret eller i deres eget datasenteret.
For optimal ytelse må applikasjonene ikke bare identifiseres og håndteres, men sikkerhetsfunksjonaliteten må i tillegg forstå dem for å kunne sørge for tilstrekkelige sikkerhetsnivåer. I tilleg bør en CASB-løsning (Cloud Access Security Broker) plasseres mellom brukeren og skyen for å sikre tilgang til skyapplikasjoner og -ressurser samt legge til rette for kontinuerlig innsyn og kontroll. Sist, men ikke minst må skysikkerhetsløsningene også plasseres på selve plattformen for å sørge for skalerbarhet i sanntid for applikasjonene.
SD-WAN trenger integrert nettverks- og sikkerhetsfunksjonalitet
Det kanskje viktigste man trenger, er integrasjon mellom SD-WAN-nettverkets funksjonalitet og sikkerhet. Når sikkerhetsfunksjonen implementeres som et tillegg, klarer den bare å reagere på endringer i nettverkstilkoblingene. Det kan være godt nok for enkle tilkoblinger til det sentrale datasenteret, men å sikre faktorer som SaaS-applikasjoner eller tilgang til sensitiv informasjon er en helt annen sak.
Forsinkelsen mellom nettverksendringer og justeringer av sikkerhetsfunksjonali slik at de samsvarer med den nye konfigurasjonen kan skape sikkerhetshull – og disse kan forutses og utnyttes. Dette problemet blir betraktelig større når slike endringer kan skje fra det ene sekundet til det neste.
Istedenfor å implementere sikkerhetsarkitekturen som et tillegg må den være fullstendig integrert i nettverksfunksjonaliteten til selve SD-WAN-løsningen. Sikkerhetspolicyer blir utformet og implementert som en del av prosessen når nye tilkoblinger opprettes, og når nettverktilkoblingenes forutsetninger blir endret, tilpasses også sikkerheten automatisk. Og hvis en ny tilkobling eller endring kan utgjøre en sikkerhetsrisiko, kan den integrerte sikkerhetsfunksjonen hindre endringen allerede før den skjer.
Fremtiden krever sikkerhetsdrevne nettverk
Den dyptgående integrasjonen mellom sikkerhets- og nettverksfunksjonene er kjennetegnet for den neste generasjonen av sikkerhetsdrevne nettverk (Security-Driven-Networking). Ved å flette disse tradisjonelt sett separate systemene sammen til én løsning, kan virksomheter få det innsynet og den kontrollen de trenger for å sikre infrastrukturen. Og i takt med at maskinlæring og kunstig intelligens blir en del av løsningen, vil vi endelig kunne skape de selvforsvarende og selvreparerende nettverkene vi har ventet på.
Nye sikre SD-WAN-løsninger er en perfekt start på denne utviklingen. Integrasjonen mellom sikkerheten og tilkoblingene muliggjør smidig og enkel implementering av en komplett løsning, samtidig som at ett eneste administrasjonsgrensesnitt tar seg av nettverks- og sikkerhetsfunksjonene. Det holder kostnadene nede, øker ytelsen og beskyttelsesgraden samt baner vei for neste generasjon av sikkerhet.