安全系统应该是网络吗

最近在对一家规模虽小但发展迅速的企业进行研究采访时，我第一次遇到了一家拥有“无网络供应商”网络的组织。也就是说，该公司没有使用 Cisco 或 Dell 甚至是用于交换和路由的白盒解决方案，而是仅为其整个网络部署了 Fortinet 设备。也就是说，每个网络组件都是它们安全基础设施的一部分。

他们以这种方式构建网络不仅是为了将安全性融入其核心（这本身就是一个好主意），而且也是为了：

易于管理：他们有一个工具，它可以管理每个组件

易于部署：每个设备只有两个或三个版本，除了容量和端口数外都相同

易于扩展到新位置：每个站点都与任何其他类似大小的站点相同

他们在货架上有少量替换设备，可以为所有位置提供快速恢复。他们还可以轻松地使用安全运营中心即服务，并在几乎所有其余的网络运营中使用专业服务。从本质上讲，他们的安全解决方案也可以成为他们完整的网络解决方案。

他们使用 Fortinet，但本可以选择 Versa Networks 或 Watchguard 或其他。

随着安全供应商进一步进军网络领域，企业是否应该接受他们的愿景？

是和不是。

从好的方面来说，有一些明显的好处集中在操作简单性和易于管理上，因为只有一个供应商和最少数量的设备类型构成了融合网络/安全堆栈。更重要的是，将安全作为网络的核心应该可以大大降低安全策略与网络实践之间存在脱节的可能性（如果不是不可能的话），这在安全与连接分离的环境中太常见了。

不利的一面是，IT 中的任何一种单一文化都会使基础设施更容易受到所选平台的弱点和供应商问题的影响。如果核心设备的操作系统存在安全漏洞，整个网络和所有位置都可能同时以相同的方式易受攻击——一次攻击会危及所有人。如果安全具有单独的基础架构层，则安全层中的问题可以通过更改网络层上的配置来缓解，就像安全层降低网络中的风险一样。如果供应商被其他供应商收购或收购其他供应商，则在过渡期间对整个连接基础设施的支持将面临风险。

而当出现问题时只能扼住喉咙的另一面是，在价格谈判中的影响力较小，而且成本可能更高。您依赖一个供应商的东西越多，增加股份并转向新供应商就越难。

对于中小型公司来说，让安全系统成为整个网络的吸引力和真正的好处是最明显的。他们更有可能有统一且相对简单的需求，而且人员编制也较少。他们更有可能难以负担、吸引和留住他们在安全和网络方面所需的人才。因此，只有一个平台可以成为专家，一个平台可以培训新员工或外包管理，让他们充分利用现有的员工。

对于大公司来说，好处不太明显。这些往往具有更复杂的环境和要求，并且不太可能容忍单一栽培的风险，因为它们能够更好地为混合生态系统配备人员和支持。

那么，安全系统应该是网络吗？对于较小的组织，它看起来是可行的，上面列出的警告。对于大多数大型组织，我认为目前的答案是否定的。相反，他们应该专注于使他们的网络系统成为安全基础设施的更大组成部分。

在实施零信任架构（每个人都应该这样做）或 SD-LAN 或部署软件定义边界 (SDP) 时，网络交换机可以而且应该发挥核心作用。交换机应该是策略执行点，执行在某种安全策略引擎中定义和管理的策略。即使他们不都来自同一个供应商，他们也应该能够做到这一点，更不用说同一个安全供应商了。