別光看SD-WAN有多省錢，背后藏著很多安全問題

SD-WAN以成本低廉、創(chuàng)建靈活等優(yōu)勢正在快速崛起，蠶食著MPLS部分市場份額。盡管SD-WAN在技術領域和資本市場備受追捧，然而很多企業(yè)依然對于SD-WAN的安全性心存顧慮。

2019年，SD-WAN已經(jīng)成為企業(yè)網(wǎng)絡運營商和云服務商最熱門的話題之一。據(jù)Gartner預測中，到2020年，SD-WAN設備銷售額將達到12.4億美元；此外，IDC也預測，到2021年復合年增長率將增長69%，達到80億美元以上。

從長期來看，SD-WAN廣闊的市場前景不容置疑，但是新興技術的落地往往需要很長一段時間，技術概念的熱捧與市場成熟度之間還要跨過很大的鴻溝。

對于新興的SD-WAN市場而言，面臨的早期挑戰(zhàn)之一就是解決安全問題，其中包括客戶對這種新服務產(chǎn)品安全性的看法。

據(jù)Gartner調(diào)查，“72％的受訪者表示安全是他們使用廣域網(wǎng)時最關心的問題，其次才是網(wǎng)絡性能和成本?！?/p>

SD-WAN安全問題日益受到關注，很大程度上是由于網(wǎng)絡互聯(lián)下的跨業(yè)務應用程序和工作流程越來越多，從云端連接到遠程終端用戶和物聯(lián)網(wǎng)設備，再到SD-WAN連接的分支機構(gòu)，都可能成為薄弱環(huán)節(jié)，使整個企業(yè)面臨威脅。

然而，目前市場上近百家SD-WAN供應商中，大多數(shù)僅支持狀態(tài)防火墻和VPN等基本功能?；谌缃袼媾R的網(wǎng)絡安全挑戰(zhàn)狀況，這些并不足以保護企業(yè)免受網(wǎng)絡攻擊。

SD-WAN的基本安全要求

企業(yè)到底要使用什么樣的安全策略，才能夠安心享受SD-WAN帶來的便利呢？為了應對日益復雜的安全挑戰(zhàn)，以下是針對SD-WAN解決方案的四種安全策略：

1. 堅持原生NGFW保護

首先，企業(yè)必須選擇具有內(nèi)置NGFW安全性的SD-WAN解決方案。這種原生的安全性，可以在整個SD-WAN（從分支到云到核心）之間實現(xiàn)一致的檢測和保護。

即使SD-WAN網(wǎng)絡發(fā)生變化并適應不斷變化的網(wǎng)絡需求，這種SD-WAN解決方案中的原生安全功能，都可以像在本地一樣保護業(yè)務數(shù)據(jù)和應用程序，動態(tài)的適應連接環(huán)境的變化。

2. 整合是基礎

部署獨立的安全解決方案，只會增加現(xiàn)有分布式網(wǎng)絡本身已經(jīng)很復雜的架構(gòu)。因此，企業(yè)為SD-WAN部署選擇的安全策略，應該輕松無縫地集成到現(xiàn)有的安全架構(gòu)中。

通過提供透明的網(wǎng)絡安全可視圖，集中管理控制以及威脅情報共享和關聯(lián)，將SD-WAN解決方案作為安全結(jié)構(gòu)中一部分，能夠為企業(yè)提供更強大的安全狀態(tài)。

3. 必須加密SD-WAN流量

用寬帶連接取代MPLS的挑戰(zhàn)是，公共互聯(lián)網(wǎng)通常不太可靠，這對于需要即時訪問資源和數(shù)據(jù)的數(shù)字企業(yè)和用戶來說，可能是一個嚴重的問題。

此外，近90％的組織都實施了多云戰(zhàn)略，每個云都需要自己獨立的連接。因此，大多數(shù)部署SD-WAN的企業(yè)使用多個寬帶鏈路，將企業(yè)分支連接到核心網(wǎng)絡以及多云中。然而，每一次連接都會擴展?jié)撛诘墓裘妗?/p>

此外，企業(yè)正在越來越多地部署基于云的SaaS應用程序，以便員工能夠以最高效率進行協(xié)作，這些連接通?？赡馨枰Ｗo的關鍵信息。

因此，使用VPN作為傳輸安全覆蓋，就成為SD-WAN解決方案的必要組成部分。當然，通過VPN解決方案提供非常高的性能以及動態(tài)可擴展性，也是必不可少的。

4. 必須檢查加密流量

在數(shù)字化的環(huán)境中，僅有安全連接是不夠的。隨著SSL（HTTPS）流量的增加，攻擊者將惡意軟件隱藏在加密隧道內(nèi)以逃避檢測。

不幸的是，大多數(shù)SD-WAN供應商只提供基本的安全性，并不提供SSL檢測，或者提供的SSL檢測不足以防御攻擊，這是企業(yè)部署SD-WAN時最常見的錯誤。

其中有一個很大的挑戰(zhàn)是，即使安全團隊設法將安全性用于其SD-WAN部署，SSL檢查也將削弱市場上幾乎所有傳統(tǒng)NGFW解決方案的性能，這在實際使用過程中將會抵消SD-WAN解決方案所帶來的優(yōu)勢。

在如今激烈的商業(yè)競爭中，企業(yè)很少愿意犧牲性能，所以真正的SSL檢查要么是隨意應用，要么根本不應用。但是從企業(yè)安全角度來看，仔細檢查由第三方權威機構(gòu)授權的SSL證書，才能夠確保SD-WAN的安全性要求。

總體而言，為了應對安全挑戰(zhàn)，SD-WAN需要在解決方案中直接嵌入一套復雜的安全工具，包括NGFW，IPS，Web過濾，防病毒/反惡意軟件，加密，沙箱以及加密數(shù)據(jù)的高速檢測。

此外，這些安全工具需要與分布式網(wǎng)絡中其他地方部署的安全工具無縫集成，無論是在主園區(qū)，還是遠程和移動設備，以及已采用的每個不同云解決方案中。

來自SD-WAN與安全領域的機會

SD-WAN的巨大市場潛力，正在吸引來自不同領域的玩家入場，包括云服務提供商、網(wǎng)絡安全和網(wǎng)絡設備供應商等。

其中，網(wǎng)絡安全供應商的進度似乎更為激進。451 Research的高級分析師Mike Fratto曾表示，“SD-WAN是一個巨大的市場機會，它將迫使路由器和防火墻供應商不得不作出反應，以免被替換掉。”

事實上，包括Fortinet，Watchguard和Barracuda在內(nèi)的許多網(wǎng)絡安全廠商，都在其硬件中增加了某種形式的SD-WAN功能。

Watchguard于2018年12月在其統(tǒng)一威脅管理（UTM）平臺上增加了SD-WAN功能，包括零接觸部署，安全VPN連接以及用于混合WAN環(huán)境的多個WAN連接。

去年7月，F(xiàn)ortinet將SD-WAN作為其下一代防火墻的一項功能，已經(jīng)在該分支機構(gòu)部署了硬件。Fortinet的網(wǎng)絡安全產(chǎn)品和解決方案高級主管Nirav Shah表示，擁有網(wǎng)絡堆棧是必需的。

Masergy（2016年），Barracuda（2018年）和Netsurion（2018年）也采取了類似行動。

值得注意的是，幾乎每個SD-WAN供應商也都開始關注安全性。這包括供應商通過合作伙伴關系增加安全性，或者一些較大的供應商與其自己的現(xiàn)有安全產(chǎn)品集成，例如：

Citrix 添加了新的自動化安全功能，包括與zScaler云安全平臺的集成。思科去年將其SD-WAN與其安全硬件和軟件相結(jié)合。

JuniperNetworks在其Junos操作系統(tǒng)上運行其SD-WAN，該系統(tǒng)提供路由，交換和安全性。

NEC最近在推出的開源基礎平臺上結(jié)合了安全和SD-WAN功能。

VMware正在發(fā)展其基于Velocloud的SD-WAN，以實現(xiàn)服務即服務，其中包括安全層。

總之，無論是安全供應商希望通過使用SD-WAN功能來應對競爭威脅，還是SD-WAN供應商想通過增加安全性來提升競爭力，顯然SD-WAN的安全性建設已經(jīng)被業(yè)界注意到了，這對于企業(yè)用戶而言是一件好事，畢竟安全性需要直接構(gòu)建到網(wǎng)絡中，而不是作為事后補充。

在SD-WAN運動進行得如火如荼之際，如何提升網(wǎng)絡的安全性也將成為企業(yè)服務領域新的挑戰(zhàn)和機會。

微信公眾賬號：科技云報道

生成海報

免責聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性，但不保證有關資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網(wǎng)站對有關資料所引致的錯誤、不確或遺漏，概不負任何法律責任。任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權或存在不實內(nèi)容時，應及時向本網(wǎng)站提出書面權利通知或不實情況說明，并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關文章源頭核實，溝通刪除相關內(nèi)容或斷開相關鏈接。