SD-WAN以成本低廉、創(chuàng)建靈活等優(yōu)勢(shì)正在快速崛起，蠶食著MPLS部分市場(chǎng)份額。盡管SD-WAN在技術(shù)領(lǐng)域和資本市場(chǎng)備受追捧，然而很多企業(yè)依然對(duì)于SD-WAN的安全性心存顧慮。

2019年，SD-WAN已經(jīng)成為企業(yè)網(wǎng)絡(luò)運(yùn)營(yíng)商和云服務(wù)商最熱門(mén)的話(huà)題之一。據(jù)Gartner預(yù)測(cè)中，到2020年，SD-WAN設(shè)備銷(xiāo)售額將達(dá)到12.4億美元；此外，IDC也預(yù)測(cè)，到2021年復(fù)合年增長(zhǎng)率將增長(zhǎng)69%，達(dá)到80億美元以上。

從長(zhǎng)期來(lái)看，SD-WAN廣闊的市場(chǎng)前景不容置疑，但是新興技術(shù)的落地往往需要很長(zhǎng)一段時(shí)間，技術(shù)概念的熱捧與市場(chǎng)成熟度之間還要跨過(guò)很大的鴻溝。

對(duì)于新興的SD-WAN市場(chǎng)而言，面臨的早期挑戰(zhàn)之一就是解決安全問(wèn)題，其中包括客戶(hù)對(duì)這種新服務(wù)產(chǎn)品安全性的看法。

據(jù)Gartner調(diào)查，“72％的受訪(fǎng)者表示安全是他們使用廣域網(wǎng)時(shí)最關(guān)心的問(wèn)題，其次才是網(wǎng)絡(luò)性能和成本?！?/p>

SD-WAN安全問(wèn)題日益受到關(guān)注，很大程度上是由于網(wǎng)絡(luò)互聯(lián)下的跨業(yè)務(wù)應(yīng)用程序和工作流程越來(lái)越多，從云端連接到遠(yuǎn)程終端用戶(hù)和物聯(lián)網(wǎng)設(shè)備，再到SD-WAN連接的分支機(jī)構(gòu)，都可能成為薄弱環(huán)節(jié)，使整個(gè)企業(yè)面臨威脅。

然而，目前市場(chǎng)上近百家SD-WAN供應(yīng)商中，大多數(shù)僅支持狀態(tài)防火墻和VPN等基本功能。基于如今所面臨的網(wǎng)絡(luò)安全挑戰(zhàn)狀況，這些并不足以保護(hù)企業(yè)免受網(wǎng)絡(luò)攻擊。

SD-WAN的基本安全要求

企業(yè)到底要使用什么樣的安全策略，才能夠安心享受SD-WAN帶來(lái)的便利呢？為了應(yīng)對(duì)日益復(fù)雜的安全挑戰(zhàn)，以下是針對(duì)SD-WAN解決方案的四種安全策略：

1. 堅(jiān)持原生NGFW保護(hù)

首先，企業(yè)必須選擇具有內(nèi)置NGFW安全性的SD-WAN解決方案。這種原生的安全性，可以在整個(gè)SD-WAN（從分支到云到核心）之間實(shí)現(xiàn)一致的檢測(cè)和保護(hù)。

即使SD-WAN網(wǎng)絡(luò)發(fā)生變化并適應(yīng)不斷變化的網(wǎng)絡(luò)需求，這種SD-WAN解決方案中的原生安全功能，都可以像在本地一樣保護(hù)業(yè)務(wù)數(shù)據(jù)和應(yīng)用程序，動(dòng)態(tài)的適應(yīng)連接環(huán)境的變化。

2. 整合是基礎(chǔ)

部署獨(dú)立的安全解決方案，只會(huì)增加現(xiàn)有分布式網(wǎng)絡(luò)本身已經(jīng)很復(fù)雜的架構(gòu)。因此，企業(yè)為SD-WAN部署選擇的安全策略，應(yīng)該輕松無(wú)縫地集成到現(xiàn)有的安全架構(gòu)中。

通過(guò)提供透明的網(wǎng)絡(luò)安全可視圖，集中管理控制以及威脅情報(bào)共享和關(guān)聯(lián)，將SD-WAN解決方案作為安全結(jié)構(gòu)中一部分，能夠?yàn)槠髽I(yè)提供更強(qiáng)大的安全狀態(tài)。

3. 必須加密SD-WAN流量

用寬帶連接取代MPLS的挑戰(zhàn)是，公共互聯(lián)網(wǎng)通常不太可靠，這對(duì)于需要即時(shí)訪(fǎng)問(wèn)資源和數(shù)據(jù)的數(shù)字企業(yè)和用戶(hù)來(lái)說(shuō)，可能是一個(gè)嚴(yán)重的問(wèn)題。

此外，近90％的組織都實(shí)施了多云戰(zhàn)略，每個(gè)云都需要自己獨(dú)立的連接。因此，大多數(shù)部署SD-WAN的企業(yè)使用多個(gè)寬帶鏈路，將企業(yè)分支連接到核心網(wǎng)絡(luò)以及多云中。然而，每一次連接都會(huì)擴(kuò)展?jié)撛诘墓裘妗?/p>

此外，企業(yè)正在越來(lái)越多地部署基于云的SaaS應(yīng)用程序，以便員工能夠以最高效率進(jìn)行協(xié)作，這些連接通?？赡馨枰Ｗo(hù)的關(guān)鍵信息。

因此，使用VPN作為傳輸安全覆蓋，就成為SD-WAN解決方案的必要組成部分。當(dāng)然，通過(guò)VPN解決方案提供非常高的性能以及動(dòng)態(tài)可擴(kuò)展性，也是必不可少的。

4. 必須檢查加密流量

在數(shù)字化的環(huán)境中，僅有安全連接是不夠的。隨著SSL（HTTPS）流量的增加，攻擊者將惡意軟件隱藏在加密隧道內(nèi)以逃避檢測(cè)。

不幸的是，大多數(shù)SD-WAN供應(yīng)商只提供基本的安全性，并不提供SSL檢測(cè)，或者提供的SSL檢測(cè)不足以防御攻擊，這是企業(yè)部署SD-WAN時(shí)最常見(jiàn)的錯(cuò)誤。

其中有一個(gè)很大的挑戰(zhàn)是，即使安全團(tuán)隊(duì)設(shè)法將安全性用于其SD-WAN部署，SSL檢查也將削弱市場(chǎng)上幾乎所有傳統(tǒng)NGFW解決方案的性能，這在實(shí)際使用過(guò)程中將會(huì)抵消SD-WAN解決方案所帶來(lái)的優(yōu)勢(shì)。

在如今激烈的商業(yè)競(jìng)爭(zhēng)中，企業(yè)很少愿意犧牲性能，所以真正的SSL檢查要么是隨意應(yīng)用，要么根本不應(yīng)用。但是從企業(yè)安全角度來(lái)看，仔細(xì)檢查由第三方權(quán)威機(jī)構(gòu)授權(quán)的SSL證書(shū)，才能夠確保SD-WAN的安全性要求。

總體而言，為了應(yīng)對(duì)安全挑戰(zhàn)，SD-WAN需要在解決方案中直接嵌入一套復(fù)雜的安全工具，包括NGFW，IPS，Web過(guò)濾，防病毒/反惡意軟件，加密，沙箱以及加密數(shù)據(jù)的高速檢測(cè)。

此外，這些安全工具需要與分布式網(wǎng)絡(luò)中其他地方部署的安全工具無(wú)縫集成，無(wú)論是在主園區(qū)，還是遠(yuǎn)程和移動(dòng)設(shè)備，以及已采用的每個(gè)不同云解決方案中。

來(lái)自SD-WAN與安全領(lǐng)域的機(jī)會(huì)

SD-WAN的巨大市場(chǎng)潛力，正在吸引來(lái)自不同領(lǐng)域的玩家入場(chǎng)，包括云服務(wù)提供商、網(wǎng)絡(luò)安全和網(wǎng)絡(luò)設(shè)備供應(yīng)商等。

其中，網(wǎng)絡(luò)安全供應(yīng)商的進(jìn)度似乎更為激進(jìn)。451 Research的高級(jí)分析師Mike Fratto曾表示，“SD-WAN是一個(gè)巨大的市場(chǎng)機(jī)會(huì)，它將迫使路由器和防火墻供應(yīng)商不得不作出反應(yīng)，以免被替換掉?！?/p>

事實(shí)上，包括Fortinet，Watchguard和Barracuda在內(nèi)的許多網(wǎng)絡(luò)安全廠商，都在其硬件中增加了某種形式的SD-WAN功能。

Watchguard于2018年12月在其統(tǒng)一威脅管理（UTM）平臺(tái)上增加了SD-WAN功能，包括零接觸部署，安全VPN連接以及用于混合WAN環(huán)境的多個(gè)WAN連接。

去年7月，F(xiàn)ortinet將SD-WAN作為其下一代防火墻的一項(xiàng)功能，已經(jīng)在該分支機(jī)構(gòu)部署了硬件。Fortinet的網(wǎng)絡(luò)安全產(chǎn)品和解決方案高級(jí)主管Nirav Shah表示，擁有網(wǎng)絡(luò)堆棧是必需的。

Masergy（2016年），Barracuda（2018年）和Netsurion（2018年）也采取了類(lèi)似行動(dòng)。

值得注意的是，幾乎每個(gè)SD-WAN供應(yīng)商也都開(kāi)始關(guān)注安全性。這包括供應(yīng)商通過(guò)合作伙伴關(guān)系增加安全性，或者一些較大的供應(yīng)商與其自己的現(xiàn)有安全產(chǎn)品集成，例如：

Citrix 添加了新的自動(dòng)化安全功能，包括與zScaler云安全平臺(tái)的集成。思科去年將其SD-WAN與其安全硬件和軟件相結(jié)合。

JuniperNetworks在其Junos操作系統(tǒng)上運(yùn)行其SD-WAN，該系統(tǒng)提供路由，交換和安全性。

NEC最近在推出的開(kāi)源基礎(chǔ)平臺(tái)上結(jié)合了安全和SD-WAN功能。

VMware正在發(fā)展其基于Velocloud的SD-WAN，以實(shí)現(xiàn)服務(wù)即服務(wù)，其中包括安全層。

總之，無(wú)論是安全供應(yīng)商希望通過(guò)使用SD-WAN功能來(lái)應(yīng)對(duì)競(jìng)爭(zhēng)威脅，還是SD-WAN供應(yīng)商想通過(guò)增加安全性來(lái)提升競(jìng)爭(zhēng)力，顯然SD-WAN的安全性建設(shè)已經(jīng)被業(yè)界注意到了，這對(duì)于企業(yè)用戶(hù)而言是一件好事，畢竟安全性需要直接構(gòu)建到網(wǎng)絡(luò)中，而不是作為事后補(bǔ)充。

在SD-WAN運(yùn)動(dòng)進(jìn)行得如火如荼之際，如何提升網(wǎng)絡(luò)的安全性也將成為企業(yè)服務(wù)領(lǐng)域新的挑戰(zhàn)和機(jī)會(huì)。

微信公眾賬號(hào)：科技云報(bào)道

生成海報(bào)

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書(shū)面權(quán)利通知或不實(shí)情況說(shuō)明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開(kāi)相關(guān)鏈接。