SD-WAN -toteutuksien tyypillinen haaste on se, että ne ovat pisteratkaisuja, eivätkä ota
huomioon verkon kokonaiskuvaa. Digitalisaation ripeää toteutusta hidastaakin tyypillisesti
se, että uudet verkkoelementit suunnitellaan ja toteutetaan irrallaan muista verkon osista.
Lue lisää Fortinetin turvallisista SD-WAN-ratkaisuista
Tässä toteutustavassa on monia puutteita, mutta vakavimmat uhkakuvat nousevat esiin
verkon turvallisuudessa. Tietoturvan kannalta on elintärkeää, että yrityksellä on tarkka
tilannekuva verkkokokonaisuudesta. Jos erilaiset tietoturvaratkaisut kuitenkin sovelletaan
yksitellen eri palasiin, yrityksen on mahdotonta havaita tietoturvapoikkeamat sekä reagoida
niihin nopeasti ja tehokkaasti.
Vaikka perinteiseen tähtirakenteeseen perustuvissa WAN-verkoissa on puutteensa, kaikki
verkkoliikenne tarkistetaan ja suojataan usein keskitetyllä ratkaisulla. Jos staattiset MPLS-
yhteydet kuitenkin korvataan joustavammilla julkisilla verkkoyhteyksillä ja paikallisia
yhteyksiä aletaan hyödyntää verkko- ja SaaS-sovelluksiin, suojaus siirtyy SD-WAN –
teknologian vastuulle.
Perinteisten SD-WAN-ratkaisujen puutteet
Suurin osa SD-WAN -ratkaisuista tarjoaa vain perustason tietoturvaominaisuuksia. Yleisesti
vakiintuneet suojauskäytännöt ovat puutteellisia tai puuttuvat jopa kokonaan. Näihin
lukeutuu esimerkiksi tunkeutumisen esto ja havainnointi, haittaohjelmin tunnistus ja
sisältösuodatus.
Jotta nykyaikaiset suojauspalvelut saataisiin käyttöön, ne täytyy lisätä toteutukseen erillisinä
komponentteina. Ratkaisun monimutkaisuus, ylimääräinen ylläpitotarve ja usean eri
hallintarajapinnan käyttäminen aiheuttaa kuitenkin lisäkustannuksia yritykselle. Jos toteutusta
ei voida yksinkertaistaa, ratkaisu voi pahimmillaan eristää WAN-tietoturvan muusta
tietoturva-arkkitehtuurista niin keskitetyissä verkoissa kuin pilviympäristöissäkin. Tämä on kuitenkin vain yksi SD-WAN -ratkaisujen haasteista.
Tietoturvaratkaisujen täytyy kattaa koko verkko
SD-WAN -toteutuksissa keskiössä on sovellusten ja palveluiden toimintavarmuus.
Saatavuuden takaamiseksi ratkaisulta vaaditaan älykkyyttä. Palvelulaadun heikentyessä tulee
sovellusta voida käyttää seuraavan saatavilla olevan yhteyden avulla. Lisäksi
liikenteenhallintaan tarkoitettujen työkalujen täytyy jatkuvasti mitata sovellusten vaatimia
kaistanleveyksiä ja tehdä yhteysoptimointia tukeakseen viiveelle herkkiä sovelluksia, kuten
reaaliaikaiseen viestintään tarkoitettuja ääni- ja videosovelluksia.
Sovellusyhteydet ovat riippuvaisia koko verkon palvelulaadusta, joten pelkkä datan
salaaminen ei takaa riittävää tietoturvaa. Toimipisteen ja pilvipohjaisen sovelluksen välinen
liikenne vaatii puolestaan datan tarkistamista yhteyden molemmissa päissä. Jotta
tietoturvakäytäntöjä pystytään seurata aukottomasti, pilvipalveluiden tietoturvaratkaisujen täytyy olla yhteensopivia yrityksen oman toimipisteen tai datakeskuksen käyttämien
turvallisuusominaisuuksien ja -palveluiden kanssa.
Optimaalisen suorituskyvyn takaamiseksi sovelluksia ei täydy ainoastaan tunnistaa ja
käsitellä, vaan turvallisuustoimintojen täytyy lisäksi ymmärtää millaisia tietoturvakäytäntöjä
ne vaativat. Käyttäjän ja pilven väliin täytyy myös voida asettaa CASB-ratkaisu (Cloud
Access Security Broker), joka varmistaa pääsyn pilvisovelluksiin ja -resursseihin sekä takaa
kokonaisvaltaisen tilannekuvan. Lopuksi verkkoalusta tarvitsee vielä omat pilvipohjaiset
turvallisuusratkaisunsa, jotta se voi skaalautua reaaliajassa sovellusten tarpeisiin.
Verkko- ja tietoturvatoiminnot täytyy integroida SD-
WAN -ratkaisuun
Ehkäpä kaikkein tärkein vaatimus on se, että SD-WAN -toiminnallisuus ja tietoturva on
integroitu saumattomaksi kokonaisuudeksi. Jos tietoturvatoiminnot liimataan päälle erillisinä
laitteina, SD-WAN -ratkaisut kykenevät reagoimaan vain verkkoyhteyksien muutoksiin.
Tämä toiminnallisuus saattaa riittää vielä yksittäisiin, datakeskuksen kautta ohjattuihin
yhteyksiin, mutta SaaS-palveluiden tai arkaluontoisten tietojen käsittely vaatii täysin muita
toimenpiteitä.
Sovelluksen näkökulmasta muutokset tietoverkossa ovat jatkuvia. Mikäli muutoksiin ei kyetä
reagoimaan riittävän nopeasti ja automatisoidusti, saattaa se altistaa ympäristön
tietoturvauhille. SD-WAN -ratkaisuissa, joissa huolehditaan palveluiden saatavuudesta ja
tietoturvasta samassa laitteistossa, on tilanne toinen.
Tietoturva-arkkitehtuuria ei siis kannata soveltaa irrallaan muusta, vaan integroida se
kokonaisvaltaisesti SD-WAN -teknologiaan. Tällöin tarvittavat tietoturvatoiminnot
muodostetaan ja toteutetaan kiinteänä osana uuden yhteyden luomista. Jos verkossa tapahtuu
muutoksia, myös tietoturvatoimet sopeutuvat automaattisesti uuteen tilanteeseen. Integroidut
suojaustoiminnot osaavat myös estää uusien yhteyksien tai yhteysmuutosten aiheuttamat
turvallisuusriskit jo ennen kuin ne toteutuvat.
Turvallisuus edellä kohti tulevaisuuden verkkoja
Turvallisuus- ja verkko-ominaisuuksien kokonaisvaltainen integrointi on avainasemassa
seuraavan sukupolven verkoissa. Kun kaksi perinteisesti erillistä toimintoa solmitaan yhteen,
yhtiöt pystyvät hallitsemaan infrastruktuuriaan turvallisemmin. Kun ratkaisuun saadaan
yhdistettyä mukaan vielä koneoppiminen ja keinoäly, pystytään luomaan itseään puolustava
ja itseoppiva verkko, josta on aiemmin vain haaveiltu.
Uudet turvalliset SD-WAN -ratkaisut ovat täydellinen lähtölaukaus modernille kehitykselle.
Tietoturvaratkaisujen integroiminen mahdollistaa sulavan ja yksinkertaisen
kokonaisratkaisun, jossa verkko- ja turvallisuustoimintojen hallintaan tarvitaan vain yksi
hallintarajapinta. Lopputuloksena yritykset pääsevät nauttimaan pienemmistä kustannuksista,
parantuneesta tehokkuudesta ja nostamaan tietoturvansa seuraavan sukupolven tasolle.
