隨著越來越多的用戶和事物在云中訪問應(yīng)用程序和數(shù)據(jù)，更多企業(yè)采用SD-WAN技術(shù)，使能企業(yè)高效地進(jìn)行數(shù)字化轉(zhuǎn)型。研究表明，在接下來的幾年里，到2022年，SD-WAN將增加五倍，占WAN流量的29%。IDC最新的SD-WAN基礎(chǔ)設(shè)施預(yù)測稱：“ 這個(gè)快速發(fā)展的網(wǎng)絡(luò)市場將從2017年到2022年以40.4%的復(fù)合年增長率增長到45億美元。”很明顯，這是2019年網(wǎng)絡(luò)行業(yè)里網(wǎng)絡(luò)安全最大的變化。

　　我們要清楚為什么SD-WAN在構(gòu)建廣域網(wǎng)的過程中推動(dòng)了這種范式的轉(zhuǎn)變?首先，我們知道傳統(tǒng)的WAN架構(gòu)并非針對云應(yīng)用程序進(jìn)行了優(yōu)化設(shè)計(jì)，而是借助SD-WAN，企業(yè)可以通過直接互聯(lián)網(wǎng)訪問(DIA)從遠(yuǎn)程分支機(jī)構(gòu)使用互聯(lián)網(wǎng)作為其虛擬網(wǎng)絡(luò)，該分支機(jī)構(gòu)易于大規(guī)模部署且易于管理，還為企業(yè)提供了傳統(tǒng)MPLS服務(wù)的高質(zhì)量，價(jià)格合理的骨干替代方案，以及大多數(shù)WAN流量的回傳方式。例如，企業(yè)可以直接訪問Office365，AWS，Salesforce和其他SaaS / IaaS產(chǎn)品，以及將其流量直接路由到云應(yīng)用提供商最近的Point of Presence(PoP)，從而提高用戶的網(wǎng)絡(luò)響應(yīng)能力和應(yīng)用體驗(yàn)，同時(shí)降低業(yè)務(wù)的帶寬成本。

　　一、SD-WAN新的安全挑戰(zhàn)

　　雖然，SD-WAN在企業(yè)網(wǎng)絡(luò)中彰顯了眾多優(yōu)勢，但也暴露了新的安全挑戰(zhàn)。由于SD-WAN支持直接互聯(lián)網(wǎng)訪問，能夠規(guī)避DMZ安全性，IT部門必須考慮解決幾種不同的安全組件，以最大化實(shí)現(xiàn)其SD-WAN拓?fù)洌?/p>

　　外部威脅：直接使用互聯(lián)網(wǎng)接入使WAN易受攻擊，可能會(huì)使分支暴露于更廣泛的攻擊媒介，這導(dǎo)致未經(jīng)授權(quán)的訪問其基礎(chǔ)設(shè)施，拒絕服務(wù)攻擊和勒索軟件。

　　由內(nèi)而外的威脅：當(dāng)發(fā)生違規(guī)時(shí)，數(shù)據(jù)通過互聯(lián)網(wǎng)發(fā)送到惡意基礎(chǔ)設(shè)施。以惡意軟件感染，命令和控制攻擊，網(wǎng)絡(luò)釣魚攻擊和內(nèi)部威脅的形式，如果沒有回流到企業(yè)防火墻的流量，云端必須有邊緣保護(hù)，以保護(hù)和保護(hù)關(guān)鍵數(shù)據(jù)免受攻擊。

　　內(nèi)部威脅：Corporations始終需要對其流量進(jìn)行身份驗(yàn)證，加密和分段，否則，他們會(huì)將攻擊面打開。內(nèi)部威脅有多種形式，例如，違規(guī)或內(nèi)部威脅，橫向移動(dòng)可能會(huì)感染關(guān)鍵基礎(chǔ)設(shè)施，80%的分支機(jī)構(gòu)違規(guī)發(fā)生在企業(yè)公司的范圍內(nèi)，因此，內(nèi)部威脅變得尤為重要。

　　信任：擴(kuò)展遠(yuǎn)程連接時(shí)IT的首要任務(wù)是確保用戶和遠(yuǎn)程設(shè)備(最終用戶和網(wǎng)絡(luò)設(shè)備)的安全性和完整性，這些設(shè)備不再受數(shù)據(jù)中心的鎖定和密鑰控制。隨著企業(yè)開始采用軟件定義的架構(gòu)，確認(rèn)用戶和設(shè)備身份，狀態(tài)評估，可見性以及隨后由策略(安全性，數(shù)據(jù)和應(yīng)用程序)驅(qū)動(dòng)的網(wǎng)絡(luò)訪問將是最大的挑戰(zhàn)之一。

　　二、如何實(shí)現(xiàn)有效的SD-WAN安全實(shí)施

　　在部署方面，企業(yè)可以實(shí)現(xiàn)一些有效的模型：

　?、賰?nèi)部部署解決方案：企業(yè)可以采用控制和嵌入功能，如下一代防火墻(NGFW)，入侵防御(IPS)和URL過濾功能，以實(shí)現(xiàn)在路由器本地運(yùn)行的全面分支邊緣安全性。

　?、诜侄问歉綦x和保護(hù)企業(yè)中關(guān)鍵資產(chǎn)的基本方法。SD-WAN通過基于IPsec等加密協(xié)議在所有企業(yè)鏈路上構(gòu)建單個(gè)覆蓋，提供差異化的分段解決方案，并將VLAN或IP地址范圍映射到每個(gè)位置的定義隧道。使用SD-WAN進(jìn)行分段可以實(shí)現(xiàn)對每個(gè)網(wǎng)段的完全可見性和控制。

　　③適用于IaaS的云安全功能：安全和網(wǎng)絡(luò)團(tuán)隊(duì)之間的有效協(xié)作可為應(yīng)用程序和/或工作負(fù)載帶來安全，可擴(kuò)展的云占用空間。SD-WAN有助于在虛擬網(wǎng)絡(luò)功能(VNF)之間實(shí)現(xiàn)更緊密的集成，編排和服務(wù)鏈，以實(shí)現(xiàn)路由和安全性。這使企業(yè)能夠圍繞云托管服務(wù)構(gòu)建適當(dāng)?shù)陌踩吔纭?/p>

　?、躍aaS和DIA訪問的安全性：通過DIA訪問SaaS應(yīng)用程序時(shí)的內(nèi)外和內(nèi)外威脅可以通過云中的安全互聯(lián)網(wǎng)網(wǎng)關(guān)(SIG)服務(wù)得到緩解，提供網(wǎng)絡(luò)內(nèi)外的可見性和執(zhí)行，保護(hù)所有端口和協(xié)議以及SaaS的發(fā)現(xiàn)和控制。云訪問安全代理(CASB)服務(wù)強(qiáng)制執(zhí)行資源的身份驗(yàn)證和授權(quán)，并有效地實(shí)現(xiàn)對公共域中的SaaS的安全訪問。

　　⑤設(shè)備(BYOD)和移動(dòng)性：BYOD需要適當(dāng)?shù)陌踩胧?，以便通過蜂窩或公共Wi-Fi連接所有員工，對內(nèi)部部署以及基于云的應(yīng)用程序和工作負(fù)載進(jìn)行安全，可擴(kuò)展的訪問。SD-WAN和身份服務(wù)集成可確保設(shè)備/用戶級身份驗(yàn)證，狀態(tài)評估以及對企業(yè)基礎(chǔ)架構(gòu)的安全分段訪問，多因素身份驗(yàn)證(MFA)已被證明是安全訪問資源的有效方法。

　　⑥加密流量分析：互聯(lián)網(wǎng)上的大多數(shù)應(yīng)用流量都是加密的，無論是SaaS還是P2P或https交易，使用加密的威脅分析技術(shù)是一種唯一可擴(kuò)展的模型，它使用機(jī)器學(xué)習(xí)通過威脅啟發(fā)式不斷更新自身。

　　最后，根據(jù)您的網(wǎng)絡(luò)環(huán)境，找出那些控件放置最有意義的地方，并查看使用基于云的管理和協(xié)調(diào)策略的機(jī)會(huì)，以便您可以獲得相同的策略。