SD-WAN 安全性
根據 AV-TEST──獨立 IT 安全研究機構的統計,2019 年 8 月新發現的惡意程式數量大幅增加。僅在 8 月,該機構就登記了 1,444 萬個新惡意程式,使總數突破 9.38 億個。如此龐大的數量,讓人深刻意識到企業網路所面臨的威脅。
由於 WAN 是企業網路的進出通道,確保其安全對於降低風險與提升安全態勢至關重要。然而,雲端服務與行動用戶的興起,使得網路比十年前更加動態,也更難以防護。
這些商業運作模式的根本變化,迫切需要全新的 WAN 安全策略。設備型 SD-WAN 與 MPLS(多協定標籤交換)根本無法應對這些使用情境。所幸, 雲端型 SD-WAN 為企業提供了一套完整的 WAN 解決方案,透過雲端原生軟體與安全即服務,能夠大規模應對現代安全挑戰。
那麼,雲端型 SD-WAN 的安全性與安全即服務模型有何不同?讓我們一起來了解。
Table of Contents
WAN 安全性與企業面臨的挑戰
要說明為什麼雲端原生 SD-WAN 在安全性方面如此具吸引力,首先可以從兩種舊有 WAN 解決方案的缺陷談起:MPLS 與設備型 SD-WAN。
MPLS 的設計目的是在雲端與行動化普及之前,為兩個端點之間提供專屬、可靠且高效能的連線。然而,MPLS 線路上並未內建加密,任何安全功能如流量檢查、IPS(入侵防禦系統)或防惡意軟體,皆需額外加裝。設備型 SD-WAN 通常具備加密功能,解決了 MPLS 所面臨的其中一個問題,但除此之外,情況大致相同。SD-WAN 設備本身並非安全設備。例如,若要具備次世代防火牆(NGFW)的功能,必須在網路邊緣額外部署獨立設備。
對於 MPLS 與設備型 SD-WAN 而言,「增加設備以增加安全性」這種做法存在多項缺陷,包括:
- 複雜且難以擴展:增加的設備越多,網路變得越複雜。每新增一台設備都需投入更多時間,且更容易出現疏漏,導致代價高昂的安全漏洞。只要有一台設備配置錯誤,就可能帶來重大的安全風險,手動設定也容易產生疏漏與錯誤。
- 成本高昂:每一台獨立設備都需採購、取得授權、佈建及維護,成本迅速累積。
- 在雲端與行動支援方面有限:設備型架構本質上以據點為中心。無論從安全或連接性角度,大多數設備都無法輕鬆支援雲端環境。
為什麼採用雲端原生軟體與安全即服務的 SD-WAN 安全性是顛覆性變革
支撐 Cato Cloud 的雲端原生網路基礎架構,透過將安全功能整合進 WAN 結構中,將 SD-WAN 安全性提升至全新層次。Cato 的雲端原生基礎架構從零開始設計,以現代企業網路為核心,內建安全功能,省去大部分專屬硬體整合的需求,透過單一管理介面降低複雜性,並減少 WAN 管理所需的技術專業與時間投入。
此外,Cato 全球私有骨幹網路上的 PoP(服務節點)會檢查 TLS 流量,協助高效保護進出雲端的流量安全。再者,透過 Cato 的軟體定義邊界,行動用戶的支援變得簡單且具可擴展性。
簡而言之,透過將安全功能移至雲端,Cato 提供安全即服務模型,將雲端的可擴展性、規模經濟與靈活性引入 SD-WAN 安全性。
企業級雲端型 SD-WAN 安全功能
現在我們已瞭解雲端型 SD-WAN 安全架構的優勢,接下來來看看 Cato Cloud 獨具的幾項安全功能。
- NGFW:Cato 的 NGFW 可檢查 WAN 及網際網路流向的流量,並根據網路實體、時間與流量類型,實施細緻的安全政策。NGFW 的深度封包檢測引擎可在不解密封包內容的情況下,分類特定流量的應用程式或服務。這使 NGFW 能夠具備完整的應用程式識別能力,並針對流量進行情境化分析,實施更細緻的政策管控。
- 安全網關(SWG):來自網際網路的惡意軟體、釣魚攻擊及類似威脅,對企業 WAN 構成了實際風險。SWG 專注於網頁存取控制,防止下載可疑或惡意軟體。SWG 針對多種類別的網站預設了政策,企業也可以自訂規則,進一步提升 WAN 內部的網頁安全性。
- 防惡意軟體:為提供企業級防惡意軟體功能,Cato Cloud 採取雙重策略。首先,透過基於特徵碼與啟發式分析的引擎,並結合全球威脅資料庫的最新資訊,掃描流量中的惡意軟體。其次,Cato 與資安業界領導者 SentinelOne 合作,結合人工智慧與機器學習,偵測可能規避特徵碼檢查的未知惡意軟體。
- IPS:Cato 的入侵防禦系統提供具情境感知的 SD-WAN 安全性。客戶能從 Cato 網路的規模效益中受益,獲得更強大的 IPS 防護。Cato 研究實驗室運用大數據來最佳化 IPS 效能,降低誤判與漏判率。
- 託管式威脅偵測及回應服務(MDR):透過 MDR,企業可以將受感染端點的偵測交由 Cato 的安全運營中心(SOC)處理。透過 MDR,企業不僅能減輕內部人員的支援負擔,還能降低惡意軟體造成損害的關鍵因素之一:潛伏時間。透過 MDR,Cato 的 SOC 可迅速識別與隔離威脅,並提供補救建議。SOC 團隊還會提供每月報告,協助量化網路安全事件(這裡有一份範例報告供參考(PDF))。
Cato 提供現代化且可擴展的 SD-WAN 安全性
如同我們所見,安全即服務消除了採購、佈建、修補及維護大量設備的複雜性與成本。雲端型 SD-WAN 提供了設備型 SD-WAN 與 MPLS 無法實現的多項內建優勢。這是因為雲端原生軟體與安全即服務模型,使 Cato 能夠採用融合式的網路與安全策略。因此,用戶可從資訊安全、營運及業務層面受益。
這一點由 Cato 的客戶,Kyocera Senco 的資深網路與系統架構師 Jeroen Keet 強調:「企業在邁向雲端時,應該更深入了解 Cato。其整合的連接性、安全性與智慧功能,為所有企業帶來革命性躍進。若您願意充分利用 Cato Networks 所提供的所有功能,將可獲得顯著的財務、功能與 IT 管理效益。」
如果您想進一步了解 Cato 如何革新 SD-WAN 安全性,或需要協助選擇符合您需求的 WAN 連線解決方案,歡迎聯繫我們。如果您仍不確定,並希望親自體驗 Cato Cloud 的運作,歡迎 預約展示影片 ,親眼見證。
