【零信任】是一种网络安全模型,它源于Forrester Research在2010年提出的概念,旨在消除内部网络和外部网络的信任区分,强调不应信任任何网络内的数据流量,而应在每一步进行验证。零信任的核心原则包括:持续验证、最小权限访问、假设攻击来自任何位置并设置微边界。
【SD-WAN】(Software-Defined Wide Area Network,软件定义广域网)是一种新型网络架构,它利用软件控制来实现网络资源的智能分配和优化,旨在降低成本、提高网络性能和灵活性。SD-WAN允许企业构建无边界网络,并实现远程和分支办公室的高效连接。
【安全运维】在SD-WAN的背景下,意味着要在网络扩展和优化的同时确保安全。这涉及到身份验证、权限控制、威胁防护、日志审计等多个方面。安全策略应与SD-WAN的动态特性相匹配,例如,需要动态的、无感的身份验证机制,以适应快速变化的网络环境。
【身份传递】在SD-WAN中,建立安全信任链的关键是身份验证。在实践中,可以采用单点登录(SSO)方案,通过IEEE 802.1x (EAP-TLS)进行终端认证,并通过3A服务器与认证平台交互,获取用户的相关信息,如“域组”属性,以便边界CPE根据这些信息执行动态授权和访问控制。
【策略编排】SD-WAN控制器与基础网络运维平台的集成至关重要,这使得自动化策略编排成为可能。通过对接现有的运维体系,可以实现对用户边界网络和安全事件的集中提取与审计。自动化策略编排能根据运维需求和安全事件,主动或被动地调整网络策略,提升安全响应速度。
【安全信任链的建立】在SD-WAN场景中,安全信任链不仅涉及身份传递,还包括策略的编排。态势感知和审计是监控网络安全状况的关键,自动化策略编排则确保了安全措施能够及时适应网络变化,从而形成一个不断迭代和改进的安全运维流程。
从零信任的角度来看SD-WAN的落地和安全运维,意味着要构建一个动态、灵活且高度安全的网络环境。这要求企业在实施SD-WAN时,充分考虑身份验证、权限控制、策略编排和安全监控等环节,同时与供应商紧密合作,以实现安全和效率的双重目标。
