SD-WAN: 4 opties voor een goede beveiliging

SD-WAN: 4 opties voor een goede beveiliging

DearBytesBlogSD-WAN: 4 opties voor een goede beveiliging

dinsdag 20 februari 2018

SD-Wan, Software-Defined Wide Area Networks winnen snel aan populariteit. De grote vraag waar organisaties nu voor staan: hoe beveilig je een SD-WAN? We zetten een aantal opties op een rij.

Een groot deel van de applicaties draait al lang niet meer lokaal op een server, maar ergens in de cloud. Die ontwikkeling stelt hoge eisen aan de verbindingen tussen bedrijfslocaties en aan de verbindingen met de cloud. Het Wide Area Network (WAN) dat de verschillende netwerken aan elkaar knoopt, moet altijd beschikbaar zijn en voldoende bandbreedte bieden.

 

Wat is een SD-WAN?

In het verleden waren voor een WAN speciale hardware en dedicated lijnen met bijvoorbeeld Multiprotocol Label Switching (MPLS) nodig. Een SD-WAN maakt echter gebruik van de standaard internetverbindingen. Prijzige MPLS-verbindingen en speciale hardware zijn dus niet nodig. De performance is via de cloud softwarematig aan te sturen en eenvoudig op en af te schalen.

SD-WAN’s bieden dus voordelen als het gaat om kosten, performance en operationele flexibiliteit. Maar mede door het gebruik van standaard internetverbindingen zijn er ook nadelen op het gebied van security. Al die dataverbindingen creëren toegangspoorten voor bijvoorbeeld ransomware en met SSL versleutelde malware. Ook kunnen criminelen deze toegangspoorten misbruiken om waardevolle of gevoelige bedrijfsinformatie te stelen. Botnets kunnen een SD-WAN bovendien onderuithalen.

Beveiligingsmaatregelen


Binnen SD-WAN’s ontbreekt het vaak aan een adequate aanpak van de veiligheidsrisico’s. Bedrijven die met deze nieuwe technologie aan de slag gaan, hebben echter meerdere opties om de security op een hoger niveau te brengen:

1. oplossing met geïntegreerde beveiligingsopties

Steeds meer leveranciers van SD-WAN-oplossingen integreren beveiligingsopties in hun aanbod. Een goede ontwikkeling die helaas nog wel in de kinderschoenen staat. De meeste SD-WAN-leveranciers bieden slechts basale netwerkcontroles op Laag 3 en niet de robuuste beveiligingsfuncties die nodig zijn. De aanbieders van SD-WAN’s zijn bovendien doorgaans geen securityexperts. En beheerders krijgen vaak te maken met een vendorspecifieke oplossing en dus met een extra beheerconsole voor security.

2. beveiligen met een losse next-generation firewall

Waarom niet kiezen voor ‘the best of both worlds’: de beste oplossing beveiligen met de beste next-generation firewall op de markt? Je kunt dan ook gaan voor het merk firewall dat al wordt gebruikt in de rest van de onderneming. Toch kleven ook aan deze aanpak nadelen.

Door het gebruik van twee aparte oplossingen stijgen de kosten voor de SD-WAN-omgeving. Als de SD-WAN- en de securityoplossingen bovendien niet optimaal op elkaar aansluiten, vallen er gaten in de beveiliging waar cybercriminelen handig gebruik van kunnen maken. De inspectie van met SSL versleuteld netwerkverkeer vraagt ook het nodige van de firewall.

3. SD-WAN-security uit de cloud

Met name voor kleinere bijkantoren is het aantrekkelijk om het SD-WAN te beveiligen met ‘Security as a Service’ uit de cloud, bijvoorbeeld via de Azure Marketplace van Microsoft. Op grotere locaties – waar grote hoeveelheden netwerkverkeer worden afgehandeld – zal al snel behoefte zijn aan fysieke appliances met een hoge performance.

4. Next-generation firewall met SD-WAN geïntegreerd

De beste optie voor organisaties die hoge eisen stellen aan de beveiliging is een geavanceerde next-generation firewall met mogelijkheden voor het creëren van een SD-WAN. Een goed voorbeeld daarvan zijn de FortiGate-firewalls van Fortinet met geïntegreerde SD-WAN-opties. Een dergelijke oplossing biedt een complete en diepgaande beveiliging vanaf het netwerk tot aan de applicatie.

Uiteraard moeten de geïntegreerde mogelijkheden ook aan een aantal eisen voldoen. Zo mag de performance op het SD-WAN niet onderuit worden gehaald door de beveiligingsopties van de next-generation firewall. Voor het kunnen aantonen van compliance is het belangrijk dat netwerkpakketjes binnen het SD-WAN snel zijn te traceren.

Het beheer van zowel de beveiligings- als de netwerkfuncties moet tot slot via één scherm verlopen. Dit bespaart niet alleen tijd en kosten, maar voorkomt ook dat netwerk- en securitybeheerders bij problemen naar elkaar gaan wijzen.