3 thế hệ của dịch vụ SD-WAN an toàn

GIó
9:48 28/06/2018

Các dịch vụ SD-WAN an toàn đang ngày càng phổ biến, nhưng không phải tất cả các dịch vụ đều giống nhau.


Bạn không thể tận dụng tất cả những gì SD-WAN cung cấp mà không cho văn phòng chi nhánh truy cập Internet và bạn không thể cho họ quyền truy cập Internet cục bộ mà không cần bảo mật chúng. SD-WAN với tất cả những điểm mạnh của nó không cung cấp một chế độ bảo mật mạnh mẽ ở vùng biên. Dữ liệu được mã hóa khi di chuyển. Và một số thiết bị SD-WAN đi kèm với khả năng của một tường lửa cơ bản (stateful firewall). Nhưng với các cuộc tấn công trên lớp 7, các nhánh yêu cầu một tường lửa thế hệ tiếp theo (NGFW) và được cập nhật tính năng IPS/IDS để bảo vệ các vị trí đó - không phải là một tường lửa cơ bản. Với tất cả các ý định và mục đích, SD-WAN ở các chi nhánh cần bảo mật lớp 7, đó là lý do tại sao bạn thấy rất nhiều nhà cung cấp SD-WAN lớn luôn có quan hệ đối tác với các nhà cung cấp bảo mật hoặc một số tính năng bảo mật được đưa vào thiết bị của họ.

Các công ty dành nhiều thời gian để triển khai, định cỡ và duy trì cơ sở hạ tầng bảo mật của họ. Và trong cuộc đua để có giá cạnh tranh, các nhà cung cấp bảo mật phải ước lượng và sản xuất thiết bị của họ phù hợp với nhu cầu của người dùng. Mặt trái của nó là khi tăng lưu lượng truy cập hoặc bật các tính năng chuyên sâu chẳng hạn như chặn SSL, thường buộc các công ty nâng cấp thiết bị. Và không giống như các đội CNTT, các đội bảo mật luôn trong cuộc đua chống lại những kẻ tấn công. Khi một nhà cung cấp bảo mật phát hành một bản vá chống lại mối đe dọa mới nhất thì thời gian triển khai là rất quan trọng. Tất cả đều tăng gánh nặng cho đội CNTT.

Điều này dẫn đến ba loại dịch vụ SD-WAN an toàn.

Thế hệ  thứ 1: nhiều thiết bị vật lý

Trường hợp đầu tiên, các nhà cung cấp dịch vụ tích hợp nhiều thiết bị vật lý để cung cấp dịch vụ. Bạn đã giảm gánh nặng của việc quản lý, vận hành và định kích thước các thiết bị khác nhau. Điều này không giống như một dịch vụ đám mây nơi vốn và chi phí hoạt động có thể được phân bổ gọn gàng trên nhiều khách hàng khác nhau. Bạn vẫn đang trả tiền cho những thiết bị đó và sự tích hợp là cần thiết. Hiện tại nó đang được thực hiện thông qua nhà cung cấp dịch vụ trong một hợp đồng ba năm. Nó cũng có nghĩa là để khắc phục sự cố, bạn vẫn cần phải di chuyển giữa các bảng điều khiển khác nhau của từng sản phẩm.

Thế hệ thứ 2: nhiều thiết bị ảo

Đây là lựa chọn thứ hai. Nhà cung cấp thực hiện tích hợp chạy nhiều ứng dụng như VNF (Virtual network functions) hoặc các thiết bị ảo trên một phần cứng chung. VNF và thiết bị đó vẫn cần phải được định cỡ và triển khai đúng cách, nhưng điều đó được thực hiện đơn giản hơn trong phần mềm. Tất nhiên, thiết bị vẫn còn hạn chế về năng lực với tất cả những yêu cầu đã đề cập. Một số nhà cung cấp dịch vụ sẽ bao gồm nâng cấp thiết bị trong hợp đồng. Tùy thuộc vào việc triển khai, nhà cung cấp cũng có thể thực hiện một số công việc tích hợp, cho phép khắc phục sự cố và quản lý thông qua một bảng điều khiển. Hệ thống mở (Open Systems) xuất hiện ở đây. Các nhà cung cấp khác dường như chỉ cung cấp tường lửa của bên thứ ba như một VNF. Versa Networks đã tích hợp một số chức năng của tường lửa NextGen vào sản phẩm lõi của họ, cũng như VNF cho các ứng dụng của bên thứ ba.

Thế hệ thứ 3: dịch vụ đám mây

Cách tiếp cận cuối cùng và có lẽ cũng là tiến bộ nhất là để suy nghĩ lại về mạng và bảo mật, và đưa chúng lại với nhau thành một dịch vụ đám mây, giống như Amazon đã làm cho AWS.

Phân tích các chức năng của các thiết bị cơ sở hạ tầng và bạn thấy rằng có khá nhiều sự trùng lặp trong cách chúng hoạt động. Chúng chắc chắn chia sẻ các lớp bên dưới như TCP/IP và sâu hơn nữa - nhưng thậm chí thực hiện kiểm tra sâu vào gói tin (DPI), chúng có các chính sách cần được thiết lập và hơn thế nữa. Khi chúng tôi thương mại hoá các chức năng mạng và bảo mật của mình, làm cho các chức năng trở nên ít rõ ràng hơn, làm cho chúng lặp đi lặp lại trong mỗi công cụ và có ý nghĩa hơn khi thực hiện chúng một lần tại một vị trí. Chúng tôi sẽ tiết kiệm tài nguyên, giảm chi phí và cải thiện khả năng hiển thị (visibility) trong mạng.

Di chuyển ngăn xếp mạng / bảo mật này vào đám mây và bạn giải quyết các vấn đề chi phí xung quanh các thiết bị. Không có vấn đề mở rộng quy mô nào vì đám mây là đàn hồi nên loại bỏ việc nâng cấp phần cứng. Bản vá phải được thực hiện bởi nhà cung cấp nhưng chỉ một lần cho tất cả các chức năng và tất cả khách hàng. Vốn và chi phí hoạt động thực sự được khấu hao trên tất cả các dịch vụ khách hàng cho phép một dịch vụ rất phải chăng. Nếu không đi vào chi tiết, tôi có thể nói với bạn rằng các trường hợp mà một cách tiếp cận như vậy được thực hiện, hơn một nửa chi phí của một dịch vụ SD-WAN an toàn được cung cấp bởi nhà cung cấp.

Bất cứ điều gì cũng có sự đánh đổi. Bạn sẽ mất một số lựa chọn, dựa vào một công ty cung cấp SD-WAN và các chức năng bảo mật của bạn. Trong các trường hợp cạnh tranh, dựa vào các chức năng độc quyền, đó là một vấn đề.

Trong một số trường hợp, với SD-WAN và các chức năng bảo mật. Việc đưa các chức năng bảo mật và mạng được thương mại hoá vào một, ngăn xếp phần mềm có giá trị riêng của nó, giá trị thực sự đáng kể.

(Theo Network World)

TIN LIÊN QUAN
Trải qua một quá trình phấn đấu, các thành viên CLB An toàn Thông tin - UIT đang theo học ngành An toàn thông tin - Khoa Mạng máy tính và Truyền thông đã đạt được những thành tích xuất sắc tại cuộc thi Olympic Mật mã quốc tế NSUCRYPTO...
🎉 Chúc mừng đội W1.Shark gồm các bạn sinh viên ngành An toàn thông tin - Khoa Mạng máy tính và Truyền thông đã đạt giải ba trong cuộc thi Data For Life 2023! Với đề tài dự thi "Phương pháp phát hiện website lừa đảo dựa trên học sâu...
"𝐐𝐮𝐞𝐬𝐭 𝐟𝐨𝐫 𝐓𝐚𝐥𝐞𝐧𝐭: 𝐖𝐡𝐨 𝐖𝐢𝐥𝐥 𝐒𝐡𝐢𝐧𝐞?" là chương trình được tổ chức bởi Bộ môn An Toàn Thông Tin. Đoàn khoa Mạng máy tính và truyền thông cùng với sự hỗ trợ của Phòng thí nghiệm An toàn thông tin – UIT InSecLab. Chính thức khởi động vòng loại vào...