跨越園區、分支機構、雲和邊緣的連接是構建數字化企業的基本要求,但是隨著網絡結構的擴展,端到端集成安全性的需求變得愈加重要。加上在園區,分支機構和邊緣位置持續監視和維護應用程序性能的必要性,造成了NetOps和SecOps團隊巨大的工作負擔。結果往往是兩個團隊之間的拉鋸戰:一個努力保持網絡的性能和可用性優化,另一個努力保持數據、應用程序和設備的安全。
衝突還是合作
平衡NetOps和SecOps的關鍵在於如何管理網絡以及所有連接的設備。傳統上,在NetOps中,有單獨的控制檯來配置、監視和分析網絡域。同樣,為了使SecOps捕獲、記錄和分析所有不同域中的流量,在流量進入和離開域的地方都安裝了特殊的tap。SecOps還有一個額外的工作,即在出現漏洞或惡意軟件攻擊成功時存儲所有流量日誌,以便查明原因並證明已採取適當措施來補救漏洞並防止以後的攻擊。
NetOps和SecOps究竟能否達成合作而不是互相沖突?
數字化轉型項目受益於統一運營和安全保障
部署新的多雲應用程序需要確保網絡具有響應能力,始終可用且安全。NetOps需要與開發團隊合作,以瞭解新應用程序的網絡SLA和雲使用要求。SecOps需要確保在應用程序啟動時將正確的網絡權限、分段和策略應用於網絡。NetSecOps協作對於及時部署具有安全性和所需性能級別的下一代應用程序至關重要。
通過將軟件定義的網絡架構與單控制檯雲管理相結合,SD-WAN可以在NetSecOps的統一中發揮重要作用。
用於NetSecOps的SD-WAN統一網絡雲管理
SD-WAN用於統一NetSecOps的主要好處是能夠提供單個基於角色的管理門戶,用於配置和監視網絡性能、分段和安全策略。通過SD-WAN雲控制器,NetSecOps可以:
使用零接觸配置(ZTP)遠程安裝和配置分支SD-WAN路由器。
使用動態路徑選擇,自動通過最高效,最經濟的路徑(MPLS,寬帶,直接互聯網,LTE)路由流量。
管理對SaaS和IaaS託管的應用程序的雲平臺的性能,安全性和訪問策略。
設置雲和SaaS應用程序的體驗質量(QoE)服務級別。
·在分支機構級別遠程配置和管理應用程序感知防火牆、URL篩選、入侵檢測/防禦,DNS層安全性和高級惡意軟件保護(AMP),以保護使用直接互聯網連接到雲應用程序的分支機構通信的安全。
協同配置跨分佈式位置統一應用的分段規則,以保持流量(例如員工無線訪問與支付系統流量)分離,從而提高性能和安全性。
管理和保護東西向流量和分支機構的安全
由於SD-WAN提供了大量的集成安全層,因此可以徹底檢查進入和離開分支的流量是否存在應用程序滲透、惡意軟件入侵和已知的錯誤URL。但分支網絡中的設備何時引入惡意軟件仍然是個棘手的問題。
在分支廣域網和集線器WAN時代,來自分支機構中每個設備的流量將回傳到企業數據中心以進行檢查和驗證,然後再返回到分支機構。對於NetOps而言,這一直是一個麻煩的情況,因為僅用於回傳和檢查的流量負載會干擾正常情況下必須到數據中心進行額外處理的流量。
藉助SD-WAN,防火牆和入侵檢測被集成到分支路由器中,因此當分支通過本地網絡時,分支內部的流量也會被檢查,此外,還會檢查出入分支機構的流量。結果是SecOps可以保持對本地流量安全性的控制,而NetOps可以釋放帶寬以用於數據中心的優先流量、雲中的SaaS應用程序以及到其他分支的流量,所有這些流量都是通過兩個團隊共享的SD-WAN控制器進行管理的。
通過直接Internet連接保護對SaaS應用程序的訪問
員工現在越來越依賴託管在SaaS雲平臺(例如Office 365)中的應用程序,這些應用程序需要通過直接Internet訪問進行路由。藉助SD-WAN,NetSecOps不僅可以專注於微調應用程序性能,還可以專注於防禦措施,以保護通過Internet連接往返分支站點的寶貴的企業數據。通過使用SD-WAN onramps到SaaS和IaaS雲,網絡選擇最有效的路徑來處理Azure、AWS或Google Cloud工作負載,而內置的安全層通過DNS URL過濾、高級惡意軟件保護和應用程序感知防火牆提供保護。NetSecOps通過SD-WAN雲控制器門戶對應用程序的性能和安全性進行管理。
促進NetOps和SecOps之間的協作是網絡敏捷性的關鍵
藉助SD-WAN通過同一個雲門戶管理操作和安全性的能力,創建一個NetSecOps團隊來促進協作並最大程度地提高設備和應用程序的QoE和安全性是切實可行的。將這兩個關鍵功能結合起來,有助於創建一個敏捷的網絡,使數字化轉型項目成為可能。
閱讀更多 實戰雲 的文章
