企业软件定义广域网SD-WAN安全保护发展趋势分析

对于SD-WAN（Software-defined WAN，软件定义广域网）与面向混合型连接的转变，大多数企业仍然没有做好准备，即无法切实保护各分支部门免受新一轮复杂攻击的侵扰。

SD-WAN的最终目的是用各种廉价链路代替昂贵的私有专线，比如MPLS。但是目前阶段，很多企业不愿意完全放弃有业务质量保证的专线，所以更倾向于部署混合网络，即在保留原有私有专线的传送关键数据的基础上，根据业务优先级，将部分相对不重要的流量动态迁移到公共宽带网络，甚至是无线LTE网络上。

SD-WAN：

软件定义广域网：主要利用软件优势提升网络性能，降低成本，同时保证安全稳定性，而且部署简便。软件有智能路由、数据优化，TCP/IP优化等功能。SD-WAN主要是为企业广域网服务，传输企业关键业务数据，可以限制访问不良网站。突出特点是：

• 综合利用多条共有或私有链路，让普通链路能够达到专线的网络质量，降低了流量成本，提高了带宽。

• 根据现网情况及配置的策略，自动选择最佳路径，实现负载均衡，保证了网络质量。

企业运营团队面临的困境

• 面对各类全球性组织遭遇的大规模数据泄露以及爆炸性勒索软件攻击，数天之内即有成千上万用户受到感染，这意味着如今的企业正面临着远超以往的安全威胁状况——此类威胁在数量、频率以及复杂度方面还在不断提升。

• 威胁环境的快速演变在很大程度上亦归咎于威胁向量的涌现及扩展。此类威胁向量能够为外部恶意活动打开通往关键性业务资产的大门，具体途径包括经由消费级设备、安全性糟糕的合作伙伴网络或者分支办公环境。

• 物联网（简称IoT）与访客租户服务迫使我们必须在对流量服务/工作负载进行细分时找到独特的处理方法，而这必然会带来一定程度的运营复杂性。

    目前受到利用的一种新型威胁向量在于软件定义广域网（简称SD-WAN），其会在不经意间利用直接互联网连接建立新的攻击面（具体取决于当前安全模式），从而为勒索软件、APT、病毒蠕虫以及其它恶意软件提供温床。从历史角度看，企业通过集中方式管理互联网访问与数据中心安全工作; 但分支机构直接访问互联网会引发大量入站攻击，而SD-WAN与混合连接的出现更是超出多数企业的预期，意味着其无力保护各个分支机构免受新一轮复杂攻击的侵扰。

安全思维的转变

企业可以通过将检查与执行点从数据中心内迁移至分支机构或者云端的方式应对这一新的安全挑战。安全管理员们需要评估其是否需要一套"不仅包含加密及一般状态防火墙服务”的新型安全层。此后，安全管理员需要查证分支机构或云环境中是否存在更多风险因素，从而帮助自己确定实际需要的安全层。

SD-WAN支持端到端加密以及按应用或组织层级进行划分，可提供嵌入式安全机制。但相当一部分SD-WAN供应商并不提供全面的企业级安全解决方案。

避免恶意软件等威胁的三种方式分析

企业可以选择以下几种方法：

• 整合至SD-WAN解决方案当中的高级安全方案。

• 第三方SaaS方案。

• 由现有或新供应商提供一套基于设备的内部方案。

每种方法都有着自己的优势与注意事项。一部分厂商也提供状态防火墙，当前不少路由器都已经支持这种常见服务。市场上大多数SD-WAN仍然缺少对下一代及安全网关（UTM）功能的支持。

将安全性融入SD-WAN

优势: 分支机构的集成安全方案能够将SD-WAN引入分支机构的下一连接发展阶段，还可实现多种交付方式。这类方案能够实现单一供应商、更简单的管理、内部流量保护以及智能流量管理与转向。借此企业将能够获得更为有力的安全保护表现，且不再需要处理额外的堆栈或设备。SD-WAN与内置安全机制还能为全部事件关联提供单一管理窗格，例如用户、应用程序、设备、位置与网络等等。

劣势: 安全性水平可能不像传统的“纵深防御”方案那么“纵深”，通常需要依靠多家供应商以覆盖安全基础设施中的各个层面，而不能简单的“一刀切”。

第三方软件即服务（SaaS）方案

优势: 第三方SaaS解决方案能够有效减少管理层面的麻烦，其消费模式的特点在于轻量化，甚至完全无需任何现场部署。实施及管理方面较为敏捷、易用。SaaS安全方案可以插入新的检查机制以实现数据保护，从而防止潜在隐匿及意外攻击所导致的高昂代价。

劣势:其多数服务只能识别基于HTTP的流量，这意味着企业无法确定如何对其它流量进行处理。此外，这些服务也可能缺少对通过备用协议传入的威胁向量的检测能力。而且从管理的角度来看，SaaS解决方案将管理界面与接触点割裂开来，并会给管理员带来额外的操作步骤，这意味着操作将进一步复杂化、所需投入的时间也相应增加。

部署现有或新供应商

优势: 不少企业依靠通过认证的现有供应商实现基于设备的内部保护方案。这种方法的优势在于企业对相关产品非常熟悉：这些解决方案长期驻留在内部环境下，安全管理员能够亲自打理并熟悉这些产品。由于这些产品的使用寿命较长，内部保护方案能够长时间存在于分支机构的基础设施当中，具备一定程度的有效性。

劣势: 从采购及运营的角度来看，专用设备类方案很可能带来高昂的成本。因为复杂，需要耗费大量人力去实现，同时要求投入更多资源以管理其在企业整体环境下的运作。而各分支机构中的多台数据密集型设备会进一步增加这类问题的处理难度。这样的复杂性有可能引发潜在的整合及/或互操作性问题，进而对生产力发展产生严重阻碍。另外，相当一部分设备之间并不存在单一事件关联点，这将导致部分威胁及其它异常活动可能通过设备间的“缝隙”溜入企业内部。

SD-WAN应用前景

将安全机制整合至SD-WAN当中的企业将有望受益于由此带来的高成效、易管理及易使用等优势。

为了实现理想的安全成效标准，企业必须确保分支及WAN连接解决方案中具备一系列特定功能。例如，企业应要求使用状态防火墙及/或应用程序防火墙，同时实现动态IPSec隧道以及站到站配对。其它安全功能还应包括安全密钥管理与动态密钥更新，外加恶意软件与x-ware内联检测与保护机制。

除此之外，原有标准安全功能（反病毒、DDoS防护及检测）自然也应包含在内。为了实现预期的安全功能，SD-WAN集成安全机制需要提供完整的端到端事件关联机制，将所有应用程序、用户、设备、位置、网络与安全事件合并起来，根据具体事件作出适当反应。安全SD-WAN所带来的助益将非常广泛，包括帮助企业满足合规性要求、降低基础设施与电路成本，改善并简化割裂状况以及减少分支机构内恶意软件蔓延等状况。

目前企业所面临的威胁态势仍在不断变化，以适应现有保护模式以触及企业资产。为了在当前的安全环境中实现有效运行，应让安全机制成为SD-WAN当中的一大固有组成部分，从而确保其成为企业综合安全基础设施当中强大、关键且必要的支柱性元素之一。