Kirjainyhdistelmä SD-WAN on kantautunut kaikkien yrityspäättäjien korviin parin viime vuoden aikana. Samalla kun se tekee yritysverkosta joustavan, se voi kuitenkin vaarantaa tietoturvan vakavasti. Oikein valitsemalla tietoturva sen sijaan terästyy.
Yritysverkko on kaikenkokoisille yrityksille liiketoiminnan kriittinen edellytys, joten sen turvallisuuteen kannattaa uhrata hetki aikaa. Suomalaisiin yrityksiin kohdistuu yhä mutkikkaampia tietoturvauhkia, jotka vaativat valppautta myös johtajilta. Jokainen uusi hyvää tarkoittava teknologia tuo aina tullessaan uusia riskipesäkkeitä – SD-WAN ei ole tästä säännöstä mikään poikkeus.
“SD-WANilla haetaan montaa asiaa, mutta erityisesti joustavuutta. Tärkeimpiä juttuja on se, että kahden rinnan toimivan nettiyhteyden välillä liikennettä voidaan siirtää huomaamattomasti toiselle, jos esimerkiksi toisen yhteyden viive kasvaa. Vaihdon kriteerit voi parhaissa ratkaisuissa määritellä sovelluskohtaisesti”, kertoo DNA:n tietoturvapalveluista vastaava Juho Saarinen.
“Valitettavasti tyypillisen SD-WAN-ratkaisun kompastuskivenä on aika olematon tietoturva. Siihen ei missään tapauksessa kannata tyytyä”, Saarinen jatkaa.
Perustasolla SD-WAN-tietoturva vuotaa
Jotta ymmärtää tietoturvan uuden uhkan, täytyy tietää hiukan tekniikasta. Perusteesinä SD-WANissa on verkon ohjelmistopohjaisuus, mistä kertovat englannin sanoista software defined juontuvat alkukirjaimet. Sen ansiosta yritysverkkoa voi muokata joustavasti ilman käyttökatkoksia liiketoiminnan tarpeiden perusteella.
Ohjelmistopohjaisuuden seurausta on myös se, että tietoliikenne voi hyödyntää joustavasti eri yhteystapoja. Aiemmin yritysverkot on toteutettu operaattorien myymällä MPLS-verkolla, mutta SD-WANissa yritys voi käyttää toimipisteissään mitä tahansa yhteystapoja, kuten halpoja kuluttajatason laajakaistaliittymiä. Tällöin sisäverkko yrityksen toimipaikkojen välillä toteutetaan julkisen internetin varaan.
“Perusperiaate SD-WAN-ratkaisussa on se, että toimipisteisiin tuodaan SD-WAN-päätelaitteet. Keskitetyllä hallinnalla luodaan sisäverkko tunneloimalla laitteiden välille. Sisäverkon yhteyksien lisäksi toimipisteillä on suorat internet-yhteydet ilman liikenteen kierrättämistä keskitetyn palomuurin läpi. Perustasolla riskinä on päätelaitteiden vaatimaton palomuuritoiminto, joka ei tuo riittävää turvaa nettiyhteydelle”, Juho Saarinen kertoo.
Tavallisissa SD-WAN-päätelaitteissa on niin sanottu tilallinen palomuuri ja osoitepohjainen suodatus. Tilallisen palomuurin suojaus on aivan liian helposti ohitettavissa.
“Teoriassa yritys voisi itse rakentaa SD-WAN-tietoturvan siten, että jokaisessa toimipisteessä olisi yhdistelmä verkkolaitteita, joista yksi on palomuuri. Tämä ei ole taloudellisesti järkevää, etenkin jos laitteita haluaa kahdentaa vikaantumisten varalta. Vaihtoehtoisesti voisi ohjata kaiken tietoliikenteen päätoimipaikan kautta. Tämä puolestaan aiheuttaisi viivettä ja heikentäisi käyttäjäkokemusta”, Juho Saarinen toteaa.
Secure SD-WAN tuo helpotuksen
Onko mitenkään mahdollista saada SD-WAN-edut ilman, että tietoturva kärsii?
“Kyllä on, kun valitsee ratkaisun, joka on varta vasten suunniteltu uudentyyppisen verkon ehdoilla”, Juho Saarinen sanoo.
Esimerkiksi DNA:n toteuttamassa Secure SD-WAN-palvelussa sisäverkko on suojatussa VPN-tunnelissa ja kaikissa päätelaitteissa on sisäänrakennettuna seuraavan sukupolven palomuuri, joka suojaa kaiken liikenteen monipuolisesti. Se muun muassa suodattaa liikenteestä pois haittaohjelmia ja vihamielisistä bottiverkoista tulevaa liikennettä sekä auttaa suojautumaan tunkeutumisilta.
Lisäksi Secure SD-WAN-valttina on se, että sen avulla voi pilkkoa sisäverkon osiin. Se estää haittaohjelmien ja hyökkäysten leviämistä sisäverkossa. Yrityksen henkilöstölle verkon pilkonta tarkoittaa myös sitä, että esimerkiksi toimistotyöntekijä ei pääse varaston verkkoon ja päinvastoin.
Lopuksi Juho Saarinen muistuttaa, että ainakaan Suomessa SD-WANia ei kannata nähdä MPLS-verkkojen syrjäyttäjänä, vaan täydentäjänä. Täällä MPLS-verkot ovat ulkomaihin verrattuna edullisia ja nopeita hankkia.
“Secure SD-WANilla voi jakaa verkon kuormaa MPLS- ja internetyhteyden kesken hyvin älykkäästi ja myös sovelluskohtaisesti. Tietoturva puolestaan saadaan samaan aikaan hajautettua verkon reunalle, mutta tietoturvan hallinta on edelleen keskitetty”, Juho Saarinen sanoo.
Lue lisää: Mitä SD-WAN tarkoittaa ja kenelle se sopii?