网络攻击手段诡秘难测,安全形势更为严峻。在网络安全事故频发的今天,传统的防火墙和加密已不足以确保企业数据的安全,企业急需建立一系列的防护措施,确保敏感数据仍然安全,确保可能遭到危及的网络边缘和业务合作伙伴数据可以随时加以隔离和擦清,因为,攻击者不但会直接袭击企业自身网络,还有可能通过攻击业务合作伙伴的手段窃取企业核心数据。
网络分段、流量隔离技术因可有效保护关键数据,出现问题时也可做到及时切断的特性,成为解决这一问题的关键。然而,广域网的分段隔离实施起来却并不容易。分段在一个站点里面并不困难(使用虚拟局域网),但是一旦流量离开了站点,进入到广域网,隔离就不复存在。也就是说,为了将分隔机制合理地扩展到整个网络中,必须将相关的识别信息传送到网络中的所有点,这一过程中,无法做到跨企业保持隔离,就有可能出现安全泄密事件。
遗留网络为解决这个问题提供了两种不同的办法,遗憾的是,这两种办法都效率低下。第一种方法是在单一设备上定义群组策略,并且在网络中的每个点执行该策略,虚拟路由和转发精简版(VRF Lite)和逐段VRF中反映了这一情况。除了缺少迫切需要的可扩展性外,网络中执行该策略的点数量太多;头端变得异常复杂、无法管理,变更控制也变得极其困难。另一种方法是在网络边缘定义策略,并在数据流量中传送分段信息,比如在MPLS第3层VPN中。遗憾的是,这种方法过于复杂、且成本高昂。
国内领先的混合广域网解决方案服务商凌锐蓝信科技(北京)有限公司(以下简称:凌锐蓝信)为广域网添加软件定义网络功能形成的SD-WAN,就可有效解决这一困局。SD-WAN将路由、安全、集中策略和编排整合起来,形成了保障网络安全、实现端到端分段所需固有功能的解决方案。它不仅能对信息进行分段,还能将信息传送到网络中的所有相关点,又不需要外部机制或额外协议,这就简化了网络设计。
使用凌锐蓝信SD-WAN实行网络分段后,企业能够根据基于用户、设备和位置的策略,为自带设备(BYOD)设置不同的权限。这可以极其简单地解决BYOD策略被粗心大意的员工滥用而引起的棘手问题和潜在的安全泄密。网络分段还可为业务开展、审计合规等方面提供多方位的支持,如:方便对所处任意位置的业务部分进行分段;让企业更容易合规和通过审计,比如《支付卡行业数据安全标准》(PCI-DSS)和《健康保险可携性及责任性法案》(HIPAA);为多租户和B2B合作伙伴提供支持;为客户和合作伙伴分隔访客的无线访问权;隔离横跨多个地方的按需而建的开发和测试实验室;数字标牌和数字录像机(DVR)服务。
凌锐蓝信创始人顾玮介绍,SD-WAN在现有的网络上创建端到端网络分段,在不改动路径中任何设备,避免了不必要麻烦的同时,还可根据位置来控制哪些分段获得访问权,进而有效防止有人攻击远程站点。除此之外,执行基于分段的策略(比如说,访客无线流量应该走成本最低的线路,同时保留高SLA线路用于创收的流量)、基于分段执行网络策略(比如说,来自未知BYOD设备的流量通过DMZ擦洗站点来发送,之后才可允许访问网络)、基于分段执行网络拓扑结构(比如说,使用交互式语音/视频的分段可能从一站点传送到另一站点,而另外某些分段是纯粹的集中星型)还能提升企业数据传输速度、提升企业经营、管理效率,从而为业务开展、企业壮大提供坚实的基础保障。
可帮助企业进行网络分段、流量隔离的SD-WAN必将成为企业安全战略中一个不可或缺的重要组成部分,而拥有领先解决方案的凌锐蓝信,是企业网络建设之中的最佳合作伙伴。 
