Extender los servicios avanzados al WAN Edge de la red puede tener un serio impacto en una arquitectura y estrategia de seguridad. Los ciclos de noticias están llenos de historias sobre infracciones críticas de la red que comenzaron aprovechando algún elemento descuidado de la red, ya sea explotando un dispositivo IoT vulnerable o secuestrando algún punto de acceso inalámbrico en una ubicación minorista remota.
Esas historias son casi siempre el resultado de una organización que no tiene una estrategia de seguridad única y consistente que pueda iluminar todos los rincones de la red. Es exactamente por eso que las organizaciones no pueden esperar hasta que se complete el análisis y la selección de una solución SD-WAN antes de preguntarle al equipo de seguridad cómo deberían agregar protecciones a esta nueva solución.
Cuando los CISO se dedican a la selección de una solución SD-WAN segura, no solo permiten a su organización construir una sólida WAN edge, sino que también pueden garantizar que esas conexiones no se conviertan en el eslabón débil de la cadena de seguridad.
La seguridad debe ser parte de la estrategia SD-WAN
Lo que se necesita es una solución Secure SD-WAN que integre profundamente las funciones de conectividad de red con seguridad avanzada para que funcionen como un sistema único e integrado. El CISO y el equipo de seguridad están calificados de manera única no solo para proporcionar un análisis crítico de las capacidades de seguridad inherentes a las soluciones en consideración, sino que también influyen en la compatibilidad con la seguridad implementada en el resto de la red. Cuando se hace correctamente, una solución SD-WAN debería permitir a los equipos de seguridad extender las estrategias de seguridad existentes a WAN Edge a través de la solución SD-WAN, en lugar de tratar de encajar una nueva solución de seguridad en un marco de seguridad existente.
Por ejemplo, una solución SD-WAN segura, especialmente una que incluye acceso directo a Internet, debe garantizar que todas las conexiones estén aseguradas automáticamente. Esto requiere la implementación de un NGFW , no como un dispositivo separado, sino como una solución totalmente integrada para que las funciones de red y seguridad se integren perfectamente entre sí.
Del mismo modo, las aplicaciones web no solo deben identificarse y recibir el estado de conectividad adecuado, como QoS o colas ponderadas, sino que deben incluirse elementos como los corredores de seguridad de acceso a la nube (CASB) para proporcionar evaluaciones de aplicaciones en la nube y garantizar el acceso autorizado a Conexiones SaaS. Esto ayuda a mantener la integridad de las aplicaciones web y los datos relacionados, al mismo tiempo que evita la introducción de TI en la sombra.
Y en lugar de requerir que el equipo de seguridad se aferre a la seguridad después del hecho, una verdadera solución Secure SD-WAN debería incluir una gama completa de herramientas de seguridad listas para usar que pueden garantizar la máxima seguridad de WAN edge. Esto debería comenzar con un dispositivo basado en NGFW que incluya la funcionalidad SD-WAN completa junto con todas las funciones de seguridad necesarias, incluidos IPS, antivirus / antimalware y filtrado web, así como una integración perfecta con servicios basados en la nube como firewalls de aplicaciones web, sandboxing y CASB, como parte de una única solución totalmente integrada.
Además, y quizás lo más importante, todos estos elementos, tanto la funcionalidad de red avanzada como la seguridad de defensa en profundidad, deben poder administrarse a través de un único portal de administración. Esto permite a los administradores ver toda la WAN como un sistema único para ver y solucionar problemas, combinado con controles granulares que vinculan automáticamente la conectividad WAN con las funciones de seguridad.
Secure SD-WAN necesita ser parte de la estrategia de tejido de seguridad de extremo a extremo
Uno de los mayores desafíos a los que se enfrentan los equipos de seguridad en la infraestructura de TI en rápida expansión actual es realizar un seguimiento de todos los nuevos bordes creados por los equipos de TI. Puede ser imposible seguir el ritmo de las demandas de transformación digital si los equipos de seguridad se ven obligados constantemente a intentar aplicar soluciones de seguridad después del hecho. IoT, usuarios móviles, integración de TI / OT, multi-nube híbrida y el borde WAN se están introduciendo de una forma u otra en la mayoría de las organizaciones.
Cuando se crean nuevos elementos de red de manera ad hoc, como agregar SD-WAN, y el equipo de seguridad central no se incluye en las discusiones arquitectónicas desde el día cero, las organizaciones terminan con una mezcolanza de soluciones de seguridad a menudo incompatibles que vienen con solución elegida por defecto. Como resultado, es posible que este nuevo servicio o solución no pueda compartir y correlacionar la inteligencia de amenazas esencial, permitir la aplicación de políticas idénticas o incluso proporcionar una funcionalidad consistente con el resto de la infraestructura de seguridad. Con demasiada frecuencia, para cuando el equipo de seguridad se involucra, TI ya ha introducido brechas de seguridad críticas en la red que pueden ser costosas y lentas de superar.
Este desafío es precisamente para lo que se diseñó una estrategia arquitectónica basada en tejido . Con una estrategia maestra establecida, cada componente de seguridad se selecciona en función de su capacidad para proporcionar una funcionalidad y aplicación consistentes, independientemente del factor de forma (hardware, VM o nube), donde sea que se implemente. También deben ejecutarse en la gama más amplia de entornos de nube públicos y privados posibles para dar a la organización la máxima flexibilidad para construir e implementar cualquier combinación de entornos de red que se necesite. Esto también asegura que la interoperabilidad sea rápida y fácil de establecer, independientemente de cómo y dónde las organizaciones decidan expandir sus redes.
Para ayudar con este proceso, los conectores de tela deben asegurarse de que las políticas y protocolos se traduzcan sin problemas y con precisión a medida que se mueven entre plataformas. Esto permite que cada elemento interopere sin problemas para garantizar la recopilación y correlación de amenazas críticas. Una amenaza detectada en un lugar debe compartirse automáticamente en toda la red distribuida para activar una respuesta coordinada.
Igualmente importante, estas soluciones deben estar diseñadas para funcionar de forma nativa en cualquier lugar donde se implementen para maximizar el uso de API y controles locales. Y cada uno de estos componentes también debe haber sido optimizado para proporcionar el máximo rendimiento para que la seguridad nunca interfiera con las funciones comerciales. Esto solo puede suceder efectivamente si el CISO y el equipo de seguridad son parte de la discusión desde el principio.
Asegúrese de ser parte del proceso de selección de SD-WAN
Desde el punto de vista de la seguridad, extender los esfuerzos de transformación digital a la WAN no debería ser diferente a agregar nueva capacidad o recursos a cualquier otra parte de la red. Las conexiones SD-WAN deben ser una extensión natural e ininterrumpida de la estrategia de seguridad más amplia, y con la menor sobrecarga y costo posible. Y para que eso suceda, el CISO debe ser parte del proceso más amplio de planificación y estrategia de TI.
Para lograr esto, es posible que los equipos de TI deban ser educados, y reeducados, sobre la necesidad de seguir estrictamente la estrategia del tejido de seguridad corporativo. Esto incluye agregar el CISO a las primeras reuniones de estrategia donde se están considerando nuevos ecosistemas de redes, y comprometerse con el equipo de seguridad desde las primeras sesiones de planificación. Cuando se hace correctamente, la organización no solo ahorrará dinero y mano de obra por adelantado, sino que tal vez se salve de daños graves más adelante debido a fallas inherentes a una implementación de seguridad posterior.
La solución Secure SD-WAN de Fortinet incluye la mejor seguridad de firewall de última generación (NGFW), SD-WAN, enrutamiento avanzado y capacidades de optimización WAN, ofreciendo una transformación de red WAN de seguridad en una oferta unificada.
Sona Green Blog 