SD-WAN网络和MPLS网络一样安全吗?

小编发布于:2021-12-02阅读:0

SD-WAN是否像MPLS网络一样安全。答案是看情况。

MPLS网络是专用网络。开启和关闭它的唯一方法是通过服务提供商分配的端口。通常通过您的数据中心之一来访问互联网,以及从互联网进行访问,那里的外围安全通常很集中,并且流量配置和限制。由于传递的实际消息只能由您的专用网络域内的人员和应用程序看到,因此MPLS流量通常不加密。

在MPLS网络顶部部署SD-WAN同样安全,可以为网络中的所有流量添加加密,但需要SD-WAN设备来处理集线器和云网关上的所有流量。然而,使用MPLS内置功能实现SD-WAN应用程序可见性和性能优化功能的简单方法有很多。

大多数SD-WAN部署与底层网络的变化(包括基于互联网的传输)或架构的变化(从集线器的集中互联网分支(重防火墙和战略控制)转移到各分支位置的本地互联网分支)有关。

SD-WAN网络和MPLS网络一样安全吗?

基于互联网的运输

转移到互联网传输并在隧道中加密您的信息实际上是确保其安全的好方法。但是你的流量的时间和性质是暴露的。当大量信息流聚集在集线器中时,信息完全隐藏在MPLS世界中。假设这些流量对贵公司的运营或法律法规非常重要,集线器可以成为DDoS勒索攻击的潜在目标。

与MPLS网络不同,SD-WAN网络在互联网上有一个中央控制器。除非控制得很好,否则这些漏洞可能会暴露出来。最近的一项研究发现,分布在2000个主机上的近5000个IP地址似乎是SD-WAN中央控制器接口,其中大多数是已知漏洞的软件过时版本。

这些中央控制器不仅有获取IPSec安全密钥的潜力,还有切断访问SD-WAN管理服务器的能力。这可能会导致你失去可见性,无法改变路由。一段时间后,站点将无法与管理器交换更新的密钥,因此将停止一起路由。

当地互联网爆炸

因此,向互联网传输和SD-WAN转移会带来安全风险,但最大的影响来自使用网站的互联网连接来突破本地互联网。这将严格控制和可控制的面向互联网的范围从几个主要数据中心位置转移到一个扩展到每个远程网站的位置。

本地互联网的突破带来了SD-WAN的真正前景——从源头上减轻互联网绑定流量的负担,避免与漫游相关的性能下降,并在本地提供本地访问云服务。

可采用两种方法。首先,它试图保持这种不可渗透的扩展边界。第二个重点是更多的内部安全方法,如身份控制和微分段。

大多数SD-WAN供应商都包含一个访问控制列表(ACL),这个访问控制列表应该防止通过WAN端口和管理渠道进行入站通信。然后,许多客户将此与使用基于云的代理进行出站通信相结合,并使用许多SD-WAN解决方案中的功能来创建和保护ZEN节点的GRE或IPSec链接。然而,在为出站流量提供合理安全性的同时,该解决方案在入站流量方面相对较弱。对于有经验的黑客来说,通过ACL欺骗流量并不难,这也是为什么保持安全边界取决于整个资产范围内良好一致的ACL策略应用的原因。

由于我们对SD-WAN设备之间流量的安全性充满信心,我们可以通过在IaaS解决方案中添加虚拟SD-WAN设备来实现当地的互联网突破,从而保护云中的服务(如客户的Azure托管环境)。此外,这可以通过使用服务提供商到AWS、Azure等传统MPLS链接来完成,而不需要依靠互联网连接。但此时需要根据特定网站或位置或从特定网站或位置访问哪些资产和数据,以及谁访问,考虑云安全控制、网络访问控制和身份管理控制的使用。

SD-WAN如何部署和维护安全?

虽然SD-WAN网络不如传统的MPLS网络安全,但是如果说如何部署SD-WAN并保持安全?这取决于你将如何使用SD-WAN、安全策略以及远程网站上已经拥有的设备、公司策略以及根据其操作规程以及一如既往地依赖CIO的冒险意愿。你必须权衡网络连接中断或丢失的影响和承受能力之间的关系,作为SD-WAN转换业务案例的一部分,并决定在网络上部署额外的安全性。

微云网络&网络综合解决方案提供商帮助企业信息化建设、数字化转型和全球互联网。SD-WAN方案可以加速全球访问、SaaS访问、海外视频和海外分支网络,有效提高国际沟通效率,帮助中国企业开拓国际市场…热线:400-028-9798,欢迎来电咨询。

声明:本网站发布的内容(图片、视频和文字)以用户投稿、用户转载内容为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:shawn.lee@vecloud.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。

本站原创内容未经允许不得转载,或转载时需注明出处:https://news.kd010.com/yzx/4511.html

TAG标签:SD-WANWAN网络MPLS

上一篇:SD-WAN始终是正确的答案吗?
下一篇:什么是MPLS?什么是多协议标签交换?

相关文章

返回顶部