对于改进WAN安全架构,IT专业人士有持续的压力。他们需要支持并提高员工的工作效率,同时抵御不断增加的复杂的威胁,但还不能显著增加成本。
为什么需要改变你的WAN安全架构?
有一些趋势迫使企业必须及时对WAN安全架构进行全面调整。首先是员工位置和行为的转变。分公司办公地点的员工更少了,并且随着新的协作工具和移动应用的出现,员工可以更容易地进行远程办公。此外,约有70%的企业在不同程度上使用BYOD采购模式,迫使安全人员不得不从保护和管理企业数据的角度来考虑安全问题,而不是从设备的角度。
其次,越来越多的企业使用云计算解决方案,大约有四分之一到三分之一的企业在使用基础设施即服务(IaaS)或者平台即服务(PaaS)云解决方案。这使网络流量从内部循环(从用户到企业数据中心)转变为外部传输(从用户到云环境)。因此,很多企业正在使用直连网分支网络来取代其回程分支网络架构。
结果如何?IT专业人士需要考虑其他方式来提供普遍的基于政策的WAN安全。
选择一:结合WAN优化和现有安全
一个潜在的替代方法是结合WAN优化与分支机构的安全。这需要企业重新审视向分支站点提供互联网连接的传统方法。回程分支或者说传统方法需要结合MPLS服务(确保站点到站点连接的安全)与每个分支的WAN优化控制器。同时,安全在数据中心通过企业级网关来处理,该网关具备防火墙、网络入侵防御、防病毒/防垃圾邮件(AV/AS)、VPN、内容过滤和数据泄露防护(DLP)等功能。
这种方法的优点是,它向所有站点提供一致的安全性,并且IT仍然牢牢控制着政策变化执行。然而缺点是:成本。IT需要支付分支机构的所有设备和数据中心的安全设备(加上每年的软件维护成本),以及管理和维护这些设备的内部运作成本(劳动力)。最后,企业还需要支付两次互联网和云计算流量的传输和服务成本:一次是通过WAN的回程,还有通过互联网传输的流量。
解决办法?开始采用直连网的方法。在此架构下,企业将功能整合到一个分支设备中——结合WAN优化功能与传统安全功能(上述)及统一威胁管理(UTM)。它们通过最直接的方法来路由流量到其最终目的地:互联网流量到云计算,数据中心流量通过私有WAN返回。Blue Coat、思科、瞻博网络、Riverbed等供应商都提供这样的设备。
选择二:WAN优化安全即服务
但上述方法仍然需要IT专业人士管理企业内部的设备,以及所有相关的头痛问题。更长期的解决方案将是WAN优化和安全作为云服务。虽然很多运营商有单独的WAN优化作为服务和安全服务,但他们目前还未能提供一个综合的解决方案。并且,运营商仍然不愿意让客户在其网络内修改配置,这意味着当转移到这些服务时,IT专业人士失去了一定程度的响应速度和控制。
但是,集成的WAN安全云服务正在蓬勃发展中。Nemertes研究公司预测,这种云服务将在24个月到36个月内被广泛使用。与此同时,IT专业人士应该考虑使用分支机构的WAN优化和安全服务来确保其架构能够经得起时间的考验。