建筑物和企业网络没有什么不同——它们都需要一个基础来保持稳定和安全。如果底层连接太不安全或不稳定,那么网络就无法满足所需的可用性、安全性和性能标准。传统上,组织依赖多协议标签交换 (MPLS) 来实现可靠性、安全性和高速连接。然而近几年来,MPLS的采用率呈现平缓下滑趋势。
更重要的是,尽管 MPLS 一直被认为高度安全,因为它依赖于私有基础设施,但研究表明 MPLS 仍然容易受到 DDoS 攻击。此外,MPLS 网络是不加密的,因此任何能访问到该物理链路的人就有可能拦截通信。
01
现代组织面临MPLS的安全挑战
MPLS 于 20 世纪 90 年代引入,当时网络要简单得多,用户可以在固定位置进行操作。企业应用程序在内部托管,分支机构流量回传到中央数据中心进行安全检查。如今,用户位置并不固定,大多数应用程序都托管在云中。为了保护用户、应用程序和服务的安全,所有云和互联网流量都必须回传到中央或区域数据中心,这是一种低效的做法,因为这会消耗宝贵的 MPLS 容量,最终导致互联网和云性能下降(又称:“长号效应”)。
MPLS 价格不菲。从预算角度来看,为每个新区域办事处建立新的 MPLS 连接并不总是切实可行的。根据基础设施的复杂性或位置,MPLS 部署可能需要很长时间(从 30 天到6个月);可能还需要技能熟练的专业人员参与,这也是一项重大的成本开销。此外,只有有限数量的运营商可以提供 MPLS 服务。这些提供商没有动力进行谈判或降低成本。切换 MPLS 运营商通常是最后的选择,但这可能是一个昂贵且艰巨的过程。
尽管服务水平协议(SLAs)为各方提供了一定的保障和责任,但在实际操作中,对未达成SLA目标的惩罚执行始终充满挑战。有时会在SLAs中设置一些例外(例如:SLAs仅针对特定地理区域有限制),以限制惩罚的范围。即使设立了惩罚,它们也无法充分弥补因服务中断而造成的财务和声誉损失。此外,最后一公里冗余(链路双活容错机制)对小型分支机构来说,其经济性和可行性并不总是能令人接受。
02
互联网可以作为潜在的替代品,但也有其局限性
用户可以通过虚拟私有网络(VPN)使用移动设备访问公司网络和云应用。然而,这会增加延迟。另一种选择是,组织可以从服务提供商那里使用直接互联网接入(DIA)。但是,请注意,与MPLS相比,互联网在可靠性和安全方面并不完美,可能无法提供一致的用户体验,尤其是对于需要高可靠性的关键任务或损失敏感应用的用户。此外,互联网的设计也有问题:路由算法没有理解或意识到流量流向、数据包丢失、抖动、延迟或拥塞。此外,服务提供商被认为会滥用或操纵互联网路由以谋取自身利益。服务提供商也可能故意在长途传输数据包或快速删除未付费的数据包(“热土豆路由”)以节省费用。
03
SD-WAN 和安全的融合构成了 MPLS 的完美替代方案
软件定义广域网(SD-WAN)使得企业能够将overlay(MPLS或因特网)与underlay(流量智能路由)分离,这样企业无论在任何地点,可以选择最短路径以实现最快的数据包交付,从而在降低成本的同时实现更快的性能。此外,SD-WAN还允许企业实现自动故障切换的双活容错以及多种多样的路由方法,以满足甚至超过MPLS提供商承诺的SLA(服务级别协议)。
简而言之,SD-WAN 可以颠覆使用 MPLS 进行最后一英里连接的传统方法。但 SD-WAN 本身并非完美。SD-WAN 不支持移动用户。许多 IT 团队被迫在提供移动用户安全访问公共云应用和WAN资源的同时,额外堆叠额外的安全基础设施和控制机制。SD-WAN 有助于解决最后一英里的问题,但也要考虑中间一英里的问题。如何克服不可靠的“中英里”互联网服务提供商的挑战呢?
安全访问服务边缘 (SASE) 是一种网络架构,它将 SD-WAN 与多种安全控制(即防火墙、IPS、端点安全、安全 Web 网关、零信任网络访问)融合到单个云服务中。它利用 SD-WAN 架构主动监控连接状况、动态选择最佳路径、最大限度地减少数据包丢失并满足 SLA 目标。移动和固定用户通过一组安全协议进行保护,无需回退流量或安装额外的安全硬件。
一些 SD-WAN 提供全球专用骨干网,并具有跨接入点 (POP)、节点和服务器的冗余设施。SD-WAN 设备自动连接到最近的可用主干网,确保正常运行时间并消除复杂的高可用性和冗余措施的需要。2018年,Gartner预测SD-WAN技术最终将取代MPLS, Gartner 做出了新的预测,声称到 2026 年,60% 的 SD-WAN 采购将来自单一供应商 SASE 产品。如果组织深入了解它相对于 MPLS 和传统 SD-WAN 提供的优势,那么他们无疑会意识到 SASE 即将在适当的时候取代过时的 MPLS。
* 本文为陈发明编译,原文地址:https://www.securityweek.com/in-the-context-of-cloud-security-and-mobility-its-time-organizations-ditch-legacy-mpls/
图片均来源于网络,无法联系到版权持有者。如有侵权,请与后台联系,做删除处理。
更多推荐
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...