A única desvantagem comum para a maioria das soluções SD-WAN é que elas atendem às suas necessidades de conectividade WAN como se existissem isoladamente. Isso não é único. Um dos maiores desafios enfrentados pelas organizações em rápida transformação digital é que cada novo elemento de rede tende a ser projetado e implementado isoladamente. Embora essa abordagem tenha várias falhas significativas, nenhuma é mais séria do que o impacto que causa na segurança.
Uma das funções mais críticas exigidas pela segurança é a visibilidade abrangente em toda a rede distribuída. A implantação de soluções de segurança separadas em diferentes partes da rede isola os recursos e torna impossível ver, correlacionar e responder a ameaças sistêmicas.
Embora os modelos de conexão WAN hub e spoke tradicionais certamente tenham suas falhas, eles permitem que todo o tráfego seja verificado e protegido pela segurança implantada centralmente. Depois de substituir as conexões MPLS estáticas por conectividade flexível que utiliza uma rede pública e começar a oferecer suporte a links diretos para a Internet e aplicativos SaaS, você transfere o ônus da segurança para o dispositivo SD-WAN.
Os limites das soluções SD-WAN tradicionais
O problema é que a maioria dos dispositivos SD-WAN oferece pouco mais que a funcionalidade extremamente básica do firewall. O que significa que seus dados críticos não estão mais sendo protegidos por toda a sua pilha de serviços de segurança, como IPS, filtragem da web, antivírus e anti-malware e sandbox. Se você deseja esses serviços, é necessário adicioná-los como uma sobreposição. Isso pode adicionar uma sobrecarga significativa à sua equipe de TI devido ao trabalho pesado de projetar e implantar uma solução, manutenção adicional e o uso de consoles de gerenciamento separados. E, se não for feito corretamente, também pode isolar a segurança da WAN do restante da arquitetura de segurança, tanto no seu núcleo quanto na sua presença em várias nuvens.
Mas isso é apenas parte do desafio.
A segurança precisa abranger consistentemente toda a rede
O gerenciamento de uma conexão SD-WAN em uma plataforma não confiável como a Internet pública requer uma quantidade significativa de gerenciamento delicado de conexões. Sistemas redundantes precisam estar em vigor para failover imediato. Os links com a deterioração da confiabilidade precisam ser trocados a quente, mesmo durante as conexões ao vivo. E as ferramentas de gerenciamento de tráfego precisam estar constantemente cientes dos requisitos de largura de banda dos aplicativos e priorizar as diferentes conexões para fazer continuamente micro-ajustes para dar suporte a aplicativos sensíveis à latência, como comunicações unificadas.
As conexões SD-WAN requerem segurança de ponta a ponta que vai além da simples criptografia de dados. As comunicações entre uma filial e um aplicativo baseado em nuvem requerem inspeção de dados nas duas extremidades da conexão. Para evitar lacunas na implementação e aplicação de políticas, as soluções de segurança na nuvem precisam ser totalmente compatíveis com as que estão em execução na filial. Os aplicativos não precisam apenas ser identificados e gerenciados para otimizar seu desempenho, mas a segurança também precisa ver e entender esses aplicativos para que níveis adequados de segurança possam ser aplicados. Além disso, uma solução de agente de segurança baseada em nuvem (CASB) deve ser posicionada entre o usuário e a nuvem para garantir o acesso a aplicativos e recursos em nuvem e fornecer visibilidade e controle onipresentes. Por fim, as soluções de segurança na nuvem também precisam ser posicionadas na própria Internet para fornecer escalabilidade em tempo real para os aplicativos.
SD-WAN precisa integrar a funcionalidade de rede e segurança
Mas talvez o elemento mais essencial necessário seja a profunda integração entre a funcionalidade e a segurança da rede SD-WAN. Infelizmente, quando a segurança é implantada como uma sobreposição, o melhor que pode fazer é reagir às alterações nas conexões de rede. Isso pode ser bom o suficiente para conexões básicas com o datacenter principal, mas proteger coisas como aplicativos SaaS ou acessar dados confidenciais é outra questão. O tempo de atraso entre uma alteração de rede e o remapeamento da segurança para corresponder a essa nova configuração pode criar falhas de segurança - que podem ser previstas e exploradas. Esse problema é agravado significativamente quando essas alterações podem ocorrer segundo a segundo.
Em vez de implantar a segurança como uma sobreposição, ela precisa ser totalmente integrada à funcionalidade de rede da própria solução SD-WAN. Quando novas conexões são criadas, as políticas de segurança são criadas e implantadas como parte do processo. Quando a conectividade da rede muda, a segurança se adapta automaticamente como parte do protocolo. E, se uma nova conexão ou ajuste comprometer potencialmente a política de segurança, o elemento de segurança integrado poderá impedir essa alteração antes mesmo de ser feita.
O futuro requer rede baseada em segurança
Essa profunda interoperabilidade entre as funções de segurança e rede é a marca registrada da próxima geração de segurança, conhecida como Rede Orientada a Segurança. Ao tecer esses sistemas tradicionalmente separados em uma única solução, as organizações podem obter a visibilidade e o controle necessários para realmente proteger toda a sua infraestrutura. E à medida que o aprendizado de máquina e a IA se tornarem parte da solução, finalmente perceberemos o tipo de rede de autodefesa e auto-recuperação pela qual estávamos esperando.
As novas soluções SD-WAN seguras são o local perfeito para isso começar. A profunda integração entre conectividade e segurança permite a implantação direta de uma solução completa, enquanto as funções de rede e segurança podem ser gerenciadas simultaneamente usando um único painel de sistema de gerenciamento de vidro, reduzindo a sobrecarga, aumentando o desempenho e a proteção e abrindo o caminho para o próxima geração de segurança.