Kirjainyhdistelmä SD-WAN on kantautunut
kaikkien yrityspäättäjien korviin parin viime vuoden aikana. Samalla
kun se tekee yritysverkosta joustavan, se voi kuitenkin vaarantaa
tietoturvan vakavasti. Oikein valitsemalla tietoturva sen sijaan terästyy.
Yritysverkko on kaikenkokoisille yrityksille liiketoiminnan
kriittinen edellytys, joten sen turvallisuuteen kannattaa uhrata hetki
aikaa. Suomalaisiin yrityksiin kohdistuu yhä mutkikkaampia
tietoturvauhkia, jotka vaativat valppautta myös johtajilta. Jokainen
uusi hyvää tarkoittava teknologia tuo aina tullessaan uusia
riskipesäkkeitä – SD-WAN ei ole tästä säännöstä mikään poikkeus.
“SD-WANilla haetaan montaa asiaa, mutta erityisesti joustavuutta.
Tärkeimpiä juttuja on se, että kahden rinnan toimivan nettiyhteyden
välillä liikennettä voidaan siirtää huomaamattomasti toiselle, jos
esimerkiksi toisen yhteyden viive kasvaa. Vaihdon kriteerit voi
parhaissa ratkaisuissa määritellä sovelluskohtaisesti”, kertoo DNA:n
tietoturvapalveluista vastaava Juho Saarinen.
“Valitettavasti tyypillisen SD-WAN-ratkaisun kompastuskivenä on aika
olematon tietoturva. Siihen ei missään tapauksessa kannata tyytyä”,
Saarinen jatkaa.
Perustasolla SD-WAN-tietoturva vuotaa
Jotta ymmärtää tietoturvan uuden uhkan, täytyy tietää hiukan
tekniikasta. Perusteesinä SD-WANissa on verkon ohjelmistopohjaisuus,
mistä kertovat englannin sanoista software defined juontuvat
alkukirjaimet. Sen ansiosta yritysverkkoa voi muokata joustavasti
ilman käyttökatkoksia liiketoiminnan tarpeiden perusteella.
Ohjelmistopohjaisuuden seurausta on myös se, että tietoliikenne voi
hyödyntää joustavasti eri yhteystapoja. Aiemmin yritysverkot on
toteutettu operaattorien myymällä MPLS-verkolla, mutta SD-WANissa
yritys voi käyttää toimipisteissään mitä tahansa yhteystapoja, kuten
halpoja kuluttajatason laajakaistaliittymiä. Tällöin sisäverkko
yrityksen toimipaikkojen välillä toteutetaan julkisen internetin varaan.
“Perusperiaate SD-WAN-ratkaisussa on se, että toimipisteisiin tuodaan
SD-WAN-päätelaitteet. Keskitetyllä hallinnalla luodaan sisäverkko
tunneloimalla laitteiden välille. Sisäverkon yhteyksien lisäksi
toimipisteillä on suorat internet-yhteydet ilman liikenteen
kierrättämistä keskitetyn palomuurin läpi. Perustasolla riskinä on
päätelaitteiden vaatimaton palomuuritoiminto, joka ei tuo riittävää
turvaa nettiyhteydelle”, Juho Saarinen kertoo.
Tavallisissa SD-WAN-päätelaitteissa on niin sanottu tilallinen
palomuuri ja osoitepohjainen suodatus. Tilallisen palomuurin suojaus
on aivan liian helposti ohitettavissa.
“Teoriassa yritys voisi itse rakentaa SD-WAN-tietoturvan siten, että
jokaisessa toimipisteessä olisi yhdistelmä verkkolaitteita, joista
yksi on palomuuri. Tämä ei ole taloudellisesti järkevää, etenkin jos
laitteita haluaa kahdentaa vikaantumisten varalta. Vaihtoehtoisesti
voisi ohjata kaiken tietoliikenteen päätoimipaikan kautta. Tämä
puolestaan aiheuttaisi viivettä ja heikentäisi käyttäjäkokemusta”,
Juho Saarinen toteaa.
Secure SD-WAN tuo helpotuksen
Onko mitenkään mahdollista saada SD-WAN-edut ilman, että tietoturva kärsii?
“Kyllä on, kun valitsee ratkaisun, joka on varta vasten suunniteltu
uudentyyppisen verkon ehdoilla”, Juho Saarinen sanoo.
Esimerkiksi DNA:n toteuttamassa Secure
SD-WAN-palvelussa sisäverkko on suojatussa VPN-tunnelissa ja
kaikissa päätelaitteissa on sisäänrakennettuna seuraavan sukupolven
palomuuri, joka suojaa kaiken liikenteen monipuolisesti. Se muun
muassa suodattaa liikenteestä pois haittaohjelmia ja vihamielisistä
bottiverkoista tulevaa liikennettä sekä auttaa suojautumaan tunkeutumisilta.
Lisäksi Secure SD-WAN-valttina on se, että sen avulla voi pilkkoa
sisäverkon osiin. Se estää haittaohjelmien ja hyökkäysten leviämistä
sisäverkossa. Yrityksen henkilöstölle verkon pilkonta tarkoittaa myös
sitä, että esimerkiksi toimistotyöntekijä ei pääse varaston verkkoon
ja päinvastoin.
Lopuksi Juho Saarinen muistuttaa, että ainakaan Suomessa SD-WANia ei
kannata nähdä MPLS-verkkojen syrjäyttäjänä, vaan täydentäjänä. Täällä
MPLS-verkot ovat ulkomaihin verrattuna edullisia ja nopeita hankkia.
“Secure SD-WANilla voi jakaa verkon kuormaa MPLS- ja internetyhteyden
kesken hyvin älykkäästi ja myös sovelluskohtaisesti. Tietoturva
puolestaan saadaan samaan aikaan hajautettua verkon reunalle, mutta
tietoturvan hallinta on edelleen keskitetty”, Juho Saarinen sanoo.
Lue lisää: Mitä
SD-WAN tarkoittaa ja kenelle se sopii?