3 thế hệ của dịch vụ SD-WAN an toàn

GIó
9:48 28/06/2018

Các dịch vụ SD-WAN an toàn đang ngày càng phổ biến, nhưng không phải tất cả các dịch vụ đều giống nhau.


Bạn không thể tận dụng tất cả những gì SD-WAN cung cấp mà không cho văn phòng chi nhánh truy cập Internet và bạn không thể cho họ quyền truy cập Internet cục bộ mà không cần bảo mật chúng. SD-WAN với tất cả những điểm mạnh của nó không cung cấp một chế độ bảo mật mạnh mẽ ở vùng biên. Dữ liệu được mã hóa khi di chuyển. Và một số thiết bị SD-WAN đi kèm với khả năng của một tường lửa cơ bản (stateful firewall). Nhưng với các cuộc tấn công trên lớp 7, các nhánh yêu cầu một tường lửa thế hệ tiếp theo (NGFW) và được cập nhật tính năng IPS/IDS để bảo vệ các vị trí đó - không phải là một tường lửa cơ bản. Với tất cả các ý định và mục đích, SD-WAN ở các chi nhánh cần bảo mật lớp 7, đó là lý do tại sao bạn thấy rất nhiều nhà cung cấp SD-WAN lớn luôn có quan hệ đối tác với các nhà cung cấp bảo mật hoặc một số tính năng bảo mật được đưa vào thiết bị của họ.

Các công ty dành nhiều thời gian để triển khai, định cỡ và duy trì cơ sở hạ tầng bảo mật của họ. Và trong cuộc đua để có giá cạnh tranh, các nhà cung cấp bảo mật phải ước lượng và sản xuất thiết bị của họ phù hợp với nhu cầu của người dùng. Mặt trái của nó là khi tăng lưu lượng truy cập hoặc bật các tính năng chuyên sâu chẳng hạn như chặn SSL, thường buộc các công ty nâng cấp thiết bị. Và không giống như các đội CNTT, các đội bảo mật luôn trong cuộc đua chống lại những kẻ tấn công. Khi một nhà cung cấp bảo mật phát hành một bản vá chống lại mối đe dọa mới nhất thì thời gian triển khai là rất quan trọng. Tất cả đều tăng gánh nặng cho đội CNTT.

Điều này dẫn đến ba loại dịch vụ SD-WAN an toàn.

Thế hệ  thứ 1: nhiều thiết bị vật lý

Trường hợp đầu tiên, các nhà cung cấp dịch vụ tích hợp nhiều thiết bị vật lý để cung cấp dịch vụ. Bạn đã giảm gánh nặng của việc quản lý, vận hành và định kích thước các thiết bị khác nhau. Điều này không giống như một dịch vụ đám mây nơi vốn và chi phí hoạt động có thể được phân bổ gọn gàng trên nhiều khách hàng khác nhau. Bạn vẫn đang trả tiền cho những thiết bị đó và sự tích hợp là cần thiết. Hiện tại nó đang được thực hiện thông qua nhà cung cấp dịch vụ trong một hợp đồng ba năm. Nó cũng có nghĩa là để khắc phục sự cố, bạn vẫn cần phải di chuyển giữa các bảng điều khiển khác nhau của từng sản phẩm.

Thế hệ thứ 2: nhiều thiết bị ảo

Đây là lựa chọn thứ hai. Nhà cung cấp thực hiện tích hợp chạy nhiều ứng dụng như VNF (Virtual network functions) hoặc các thiết bị ảo trên một phần cứng chung. VNF và thiết bị đó vẫn cần phải được định cỡ và triển khai đúng cách, nhưng điều đó được thực hiện đơn giản hơn trong phần mềm. Tất nhiên, thiết bị vẫn còn hạn chế về năng lực với tất cả những yêu cầu đã đề cập. Một số nhà cung cấp dịch vụ sẽ bao gồm nâng cấp thiết bị trong hợp đồng. Tùy thuộc vào việc triển khai, nhà cung cấp cũng có thể thực hiện một số công việc tích hợp, cho phép khắc phục sự cố và quản lý thông qua một bảng điều khiển. Hệ thống mở (Open Systems) xuất hiện ở đây. Các nhà cung cấp khác dường như chỉ cung cấp tường lửa của bên thứ ba như một VNF. Versa Networks đã tích hợp một số chức năng của tường lửa NextGen vào sản phẩm lõi của họ, cũng như VNF cho các ứng dụng của bên thứ ba.

Thế hệ thứ 3: dịch vụ đám mây

Cách tiếp cận cuối cùng và có lẽ cũng là tiến bộ nhất là để suy nghĩ lại về mạng và bảo mật, và đưa chúng lại với nhau thành một dịch vụ đám mây, giống như Amazon đã làm cho AWS.

Phân tích các chức năng của các thiết bị cơ sở hạ tầng và bạn thấy rằng có khá nhiều sự trùng lặp trong cách chúng hoạt động. Chúng chắc chắn chia sẻ các lớp bên dưới như TCP/IP và sâu hơn nữa - nhưng thậm chí thực hiện kiểm tra sâu vào gói tin (DPI), chúng có các chính sách cần được thiết lập và hơn thế nữa. Khi chúng tôi thương mại hoá các chức năng mạng và bảo mật của mình, làm cho các chức năng trở nên ít rõ ràng hơn, làm cho chúng lặp đi lặp lại trong mỗi công cụ và có ý nghĩa hơn khi thực hiện chúng một lần tại một vị trí. Chúng tôi sẽ tiết kiệm tài nguyên, giảm chi phí và cải thiện khả năng hiển thị (visibility) trong mạng.

Di chuyển ngăn xếp mạng / bảo mật này vào đám mây và bạn giải quyết các vấn đề chi phí xung quanh các thiết bị. Không có vấn đề mở rộng quy mô nào vì đám mây là đàn hồi nên loại bỏ việc nâng cấp phần cứng. Bản vá phải được thực hiện bởi nhà cung cấp nhưng chỉ một lần cho tất cả các chức năng và tất cả khách hàng. Vốn và chi phí hoạt động thực sự được khấu hao trên tất cả các dịch vụ khách hàng cho phép một dịch vụ rất phải chăng. Nếu không đi vào chi tiết, tôi có thể nói với bạn rằng các trường hợp mà một cách tiếp cận như vậy được thực hiện, hơn một nửa chi phí của một dịch vụ SD-WAN an toàn được cung cấp bởi nhà cung cấp.

Bất cứ điều gì cũng có sự đánh đổi. Bạn sẽ mất một số lựa chọn, dựa vào một công ty cung cấp SD-WAN và các chức năng bảo mật của bạn. Trong các trường hợp cạnh tranh, dựa vào các chức năng độc quyền, đó là một vấn đề.

Trong một số trường hợp, với SD-WAN và các chức năng bảo mật. Việc đưa các chức năng bảo mật và mạng được thương mại hoá vào một, ngăn xếp phần mềm có giá trị riêng của nó, giá trị thực sự đáng kể.

(Theo Network World)

TIN LIÊN QUAN
Chúc mừng sinh viên ngành An toàn Thông tin, 𝐋𝐞̂ 𝐂𝐨̂𝐧𝐠 𝐇𝐚̂̀𝐮 𝐯𝐚̀ 𝐍𝐡𝐨́𝐦 𝐧𝐠𝐡𝐢𝐞̂𝐧 𝐜𝐮̛́𝐮 𝐈𝐧𝐒𝐞𝐜𝐋𝐚𝐛 đã có công trình nghiên cứu về Cơ chế xác thực phi tập trung trong Metaverse được thông báo chấp nhận đăng tại Kỷ yếu Hội nghị khoa học quốc tế lần thứ...
Chúc mừng nhóm sinh viên ngành An toàn thông tin - Khoa Mạng máy tính & Truyền thông, 𝗛𝘂𝘆̀𝗻𝗵 𝗧𝗵𝗮́𝗶 𝗧𝗵𝗶 - 𝗡𝗴𝗼̂ Đ𝘂̛́𝗰 𝗛𝗼𝗮̀𝗻𝗴 𝗦𝗼̛𝗻 và 𝗻𝗵𝗼́𝗺 𝗻𝗴𝗵𝗶𝗲̂𝗻 𝗰𝘂̛́𝘂 𝐈𝐧𝐒𝐞𝐜𝐋𝐚𝐛 đã có công trình nghiên cứu được chấp nhận đăng tại Kỷ yếu Hội nghị khoa học quốc tế...
Nhóm nghiên cứu InSecLab có bài báo đăng tại Hội nghị khoa học quốc tế về An toàn thông tin - ISPEC 2022 Chúc mừng sinh viên ngành Khoa học máy tính, 𝗡𝗴𝘂𝘆𝗲̂̃𝗻 𝗛𝘂̛̃𝘂 𝗤𝘂𝘆𝗲̂̀𝗻 và 𝗻𝗵𝗼́𝗺 𝗻𝗴𝗵𝗶𝗲̂𝗻 𝗰𝘂̛́𝘂 𝐈𝐧𝐒𝐞𝐜𝐋𝐚𝐛 đã có công trình nghiên cứu được chấp nhận đăng...