SD-WAN安全问题应该如何来处理

当SD-WAN安全性不够时，组织会采取额外的措施，例如入侵预防、防病毒、统一威胁管理等。

由于SD-WAN技术变得比多协议标签交换（MPLS）更便宜、更灵活、更易于部署，它提供集中的可见性和管理，并提高了WAN链接的整体性能，提高了员工的生产力，从而变得越来越流行。但是，使分支机构中的最终用户直接连接到公共互联网和云计算服务引起了严重的安全问题，这给SD-WAN部署增加了另一层次的复杂性和风险。

根据Enterprise Management Associates（EMA）在2018年底对北美地区和欧洲250家企业进行的一项调查显示，在分支机构中部署SD-WAN的组织遇到的实际数据泄漏的可能性是没有分支机构组织的1.3倍。EMA公司分析师Shamus McGillicuddy说，这是因为许多企业最初仅依靠其SD-WAN设备中的本机安全功能，而不是通过附加的防御层来增强这些功能。

典型的SD-WAN产品提供状态防火墙，以及其他功能，例如网络分段和站点到站点隧道。但是它们没有提供更复杂的安全措施，例如应用程序感知的下一代防火墙、入侵预防、数据丢失预防和统一的威胁管理。此外，它们不会自动与企业的其他安全基础设施集成。

好消息是，企业客户越来越意识到对基准产品以外的其他安全功能的需求。在IDG Research公司和SD-WAN托管提供商Masergy公司最近进行的一项调查中，有81%的受访者表示，安全性是SD-WAN供应商选择的最关键因素。

纯粹的SD-WAN供应商已经听到了清晰明确的消息，并与传统的安全供应商（如CheckPoint或Palo Alto Networks）以及基于云计算的提供商（如Zscaler）合作，提供集成的软件包。

对于想要确保其SD-WAN连接具有深入安全性的客户，还有两种选择。企业可以与一家在安全方面有着悠久历史的公司合作，而该公司最近已经开发了SD-WAN产品，例如Cisco或Fortinet。或者，它可以选择由运营商或托管服务提供商来承担端到端WAN流量的责任，并提供其他安全功能菜单，例如可按需购买的Web内容过滤和防病毒保护。

Westcon Comstor公司和GHD公司是两家部署了SD-WAN但采取了完全不同的方法来确保其分支机构连接安全的公司。这两家公司认识到他们应该做更多的事情来加强其组织的SD-WAN安全性，以及如何实现。

Westcon借助下一代防火墙增强了Silver Peak SD-WAN

全球IT分销商Westcon Comstor公司高级基础设施经理Michael Soler说，他从多协议标签交换（MPLS）转向基于Silver Peak Unity EdgeConnect平台的SD-WAN的驱动力是弹性、成本、可扩展性和可见性。

该公司的远程网络由两个共同管理的数据中心以及在北美、欧洲和亚洲的27个办事处组成。其弹性是原有协议标签交换（MPLS）网络的问题。Soler说，“IPSec故障转移失败了，它们在理论上看起来很棒，但在企业真正需要它们之前可能不尽人意。”

Soler表示，成本是另一个问题。由于缺乏对网络使用情况的了解，他发现优化带宽需求以及确定超额订购或订购不足的位置是一项挑战。

众所周知，在进行更改或使用协议标签交换（MPLS）网络启动新服务时，存在缺乏灵活性和反应速度慢的缺点。协议标签交换（MPLS）部署的复杂性增加了出错的机会，这就意味着用户体验不佳。

在调查了多家SD-WAN供应商后，他于2017年底开始使用Silver Peak装置进行概念验证，并对产品推出的简单性和产品的有效性，特别是前向纠错和路径调节等性能特征印象深刻。他为部署过程建立了一个模板，并开始在所有启用协议标签交换（MPLS）的站点上推出SD-WAN技术。

Soler说，“我们取得了巨大的成功，WAN成本降低，弹性和可见性得到了很大的改善，最终用户对通过直接访问全球互联网和Azure云可以实现的性能和灵活性感到满意。”

为了解决与分支机构的全球互联网突破相关的安全问题，Soler已部署了下一代防火墙，以增强Silver Peak设备随附的状态防火墙。互联网突围是指分支机构的互联网流量没有回传到应用安全控制的中央站点时。

Soler说，相信会不断进步，正在寻找使自己的安全态势更加有效的方法。他正在研究一种称为服务链的技术，该技术能够从区域卫星位置接收流量，并将其汇聚到将应用防火墙策略的区域中心站点。Soler表示，他从长远来看，也有兴趣研究基于云计算的SD-WAN安全服务。

基于云计算的安全服务增强了SD-WAN安全性

GHD公司全球网络经理Randy Taylor在推出Riverbed SD-WAN设备时采取了不同的方法。他没有采用其他分支机构安全工具，而是选择了Zscaler公司的基于云计算的安全服务。

提供工程、建筑、环境和其他专业服务的GHD公司一度拥有100%的多协议标签交换（MPLS）广域网，将流量从全球30个站点回传到其托管数据中心。

2015年，该公司进行了一连串的并购活动，这使该公司在北美地区的WAN足迹扩展到了近130个站点。面对可能需要三到五个月才能部署每个新的多协议标签交换（MPLS）链路的现实，Taylor开始寻找替代方案。

Taylor说，“我们需要一种更快的方法。”长期订购多协议标签交换（MPLS）将会受到影响。GHD公司是LAN端的Cisco商店，并且也是Riverbed广域网优化的客户，因此他开始调查Riverbed SD-WAN产品。

最初，Taylor表示，他对SD-WAN等颠覆性技术有些怀疑。但是他对使用互联网作为交通工具的想法很感兴趣。他决定在一些北美地区较小的站点进行试点。他发现Riverbed SteelConnect SD-WAN设备非常易于部署，在不到6周的时间内就可以连接50个站点。

通过Riverbed几乎零接触的流程，他能够在将云计算设备交付给分支机构之前在云计算门户中对其进行预配置。在那里，非IT人员可以遵循一些简单的说明，插入设备，并在几分钟内运行。

Taylor说：“我们立即开始看到收益，首先是互联网的突破。SD-WAN的推出恰逢其时，这与其公司对SaaS应用程序的越来越多的使用相吻合。这成为了我们访问SaaS的解决方案。”

作为一家为政府机构服务并需要符合ISO标准的公司，GHD公司非常注重安全性。Taylor说，他需要在SteelConnect的集成防火墙中增加额外的安全性，以防止该公司遇到的恶意软件数量增加。

该公司在其数据中心部署了企业级防火墙，发现购买和维护它们的成本很高。Taylor希望避免在所有分支机构中添加额外的安全硬件，因此GHD公司选择了基于云计算的选项，并选择与Zscaler公司合作。

GHD公司来自分支机构的所有流量都将到达Zscaler公司的数据中心，并在该数据中心执行安全策略。Zscaler公司在将数据发布到全球互联网时会查看数据并同时查看返回流。该服务提供了一系列功能清单，其中包括反病毒、白名单、黑名单、UTM、附件沙箱和零日保护。

Taylor说，Zscaler公司节省了成本，并且比必须维护和更新自己的安全硬件更为方便。Taylor指出，需要注意的是：来自分支的流量需要连接到最近的Zscaler节点，因此，如果最近的节点距离请求者较远，其性能可能会受到一定程度的影响。

从整体SD-WAN经验来看，Taylor可以从维护原有拓扑的六名全职网络工程师转变为出于监督目的的一名工程师。其日常维护基本上由服务台负责，这六名工程师现在专注于技术创新。

Taylor表示，这种方法管理了50个小型站点，并在全球范围内推出了SD-WAN。他说，“成本节省和性能提升如此之大，以至于我们尽可能取消多协议标签交换（MPLS）。”由于合规性原因，某些流量无法进入云平台，并且某些语音和视频应用程序将保留在多协议标签交换（MPLS）上，但SD-WAN已成为该公司的主要WAN传输模式。

SD-WAN安全的混合方法

从集中式的WAN安全模型（其中分支流量通过安全的多协议标签交换回传到数据中心）到分布式的模型（每个分支机构都实施安全性）的转变，也需要一种新型的组织方法。

SD-WAN不再依靠网络和安全小组独立工作，而是推动合作伙伴关系，因为安全小组希望部署集成工具，并使用通用数据集。McGillicuddy说，这种合作已经超越了诸如事件响应之类的战术情况，并已扩展到基础设施设计和实施。

实际上，许多组织正在采用混合方法来实现SD-WAN安全性。如果他们拥有仍然可以使用多年的安全设备，那么他们就不会翻新和更换，并正在将该功能集成到SD-WAN实施中，目的是将深度防御结合在一起。

其他组织则采用托管服务路线。由于许多纯粹的SD-WAN供应商正在通过托管服务提供商出售其产品，并且还提供传统运营商在其SD-WAN产品中使用的硬件，因此客户可以选择特定供应商的设备，并将实施、持续维护和安全功能移交给服务提供商。

Nemertes Research公司分析师John Burke说：“这有很多种方法，无论是在财务上还是在架构上，组织都在做最适合他们自己情况的事情。”他指出，服务链是一种有趣的方法，它使用多个卫星站点连接到容纳安全堆栈的大型数据中心站点的概念。

虽然对许多组织来说，摆脱多协议标签交换（MPLS）是转向SD-WAN的动力，Burke指出，超过一半的组织将多协议标签交换（MPLS）保留在特定的应用程序上。多协议标签交换（MPLS）已经从最初的广域网链路变成了多元化、优化、安全的广域网业务流的一小部分。