為了做好網(wǎng)絡(luò)安全工作，SD-WAN技術(shù)提供商除了繼續(xù)加強(qiáng)其產(chǎn)品固有的安全特性，還與網(wǎng)絡(luò)安全伙伴創(chuàng)建強(qiáng)大的安全生態(tài)系統(tǒng)，IT經(jīng)理也在積極考慮其分支網(wǎng)絡(luò)安全需求，并仔細(xì)評估SD-WAN提供商的安全能力，包括其自身的安全特性及其與網(wǎng)絡(luò)安全提供商的伙伴關(guān)系。

分支網(wǎng)絡(luò)安全威脅

網(wǎng)絡(luò)安全是IT專業(yè)人員不斷關(guān)注的問題，調(diào)查顯示網(wǎng)絡(luò)安全問題正逐步惡化。隨著附加到分支網(wǎng)絡(luò)的設(shè)備數(shù)量增加，包括PC，平板電腦，電話，銷售設(shè)備端和物聯(lián)網(wǎng)端點，分支機(jī)構(gòu)的安全性是一項挑戰(zhàn)。所有這些端點都為惡意軟件感染企業(yè)網(wǎng)絡(luò)和黑客訪問重要數(shù)據(jù)提供了新的機(jī)會。由于遠(yuǎn)程位置缺乏訓(xùn)練有素的IT /安全人員和管理多個安全設(shè)備(包括IP VPN，IDS / IPS和防火墻)的復(fù)雜性，這無疑是加劇了分支機(jī)構(gòu)的安全問題。

[[237248]]

分支機(jī)構(gòu)安全性的另一個挑戰(zhàn)是需要協(xié)調(diào)整個網(wǎng)絡(luò)的安全工作。分支機(jī)構(gòu)的安全系統(tǒng)需要與端點安全產(chǎn)品和園區(qū)/數(shù)據(jù)中心網(wǎng)絡(luò)安全系統(tǒng)進(jìn)行通信。應(yīng)該檢查分支機(jī)構(gòu)的流量，然后可以通過集中式或基于云的安全系統(tǒng)分析任何可疑流量并做上標(biāo)記。在理想情況下，分支機(jī)構(gòu)安全系統(tǒng)將完全自動化并采用基于云的智能。

SD-WAN安全功能

SD-WAN市場競爭激烈，目前已經(jīng)有幾十家供應(yīng)商。SD-WAN的一個關(guān)鍵賣點是它能夠使企業(yè)利用低成本的互聯(lián)網(wǎng)電路作為安全的企業(yè)級鏈路。網(wǎng)絡(luò)安全是SD-WAN技術(shù)的關(guān)鍵區(qū)分因素，每個供應(yīng)商都應(yīng)該有自己獨特的方法來保護(hù)流量和識別“安全”站點。

幾乎所有SD-WAN供應(yīng)商現(xiàn)在都把基本防火墻功能作為標(biāo)準(zhǔn)產(chǎn)品的一個特色。他們使用數(shù)據(jù)包識別來了解流量，例如，可以識別流量源頭或去向是否是可信任的位置或基于云的服務(wù)。此外SD-WAN供應(yīng)商提供的產(chǎn)品中還包括內(nèi)容過濾，端點識別和管理以及策略執(zhí)行等功能。

SD-WAN供應(yīng)商正積極尋求領(lǐng)先的網(wǎng)絡(luò)安全供應(yīng)商，Palo Alto、Z-Scaler、CheckPoint和Fortinet 這些公司正將SD-WAN技術(shù)與下一代防火墻和UTM功能集成。由于應(yīng)用程序之間的流量切換會影響延遲，因此需要簡化SD-WAN與同類最佳網(wǎng)絡(luò)安全供應(yīng)商之間的這種集成，以確保高性能和低延遲。目標(biāo)是提供精細(xì)的流量檢查和有效的白名單云站點，以安全地確定關(guān)鍵流量流和應(yīng)用程序的優(yōu)先級。

SD-WAN安全功能的示例

Aruba ClearPass Policy Manager提供用戶，設(shè)備，應(yīng)用程序和WAN內(nèi)容，以便在其SD-WAN解決方案中實施一致的策略。其基于角色的實施，設(shè)備分析和訪問控制的特點，使IT組織能夠在各個分支位置集中實施局域網(wǎng)和廣域網(wǎng)的安全政策。這簡化了在網(wǎng)絡(luò)的不同層應(yīng)用策略的方式，減少了手動配置的需要

Riverbed的SteelConnect支持本機(jī)外圍防火墻，網(wǎng)絡(luò)地址轉(zhuǎn)換和基于策略的網(wǎng)絡(luò)分區(qū)，這些功能有助于緩解網(wǎng)絡(luò)入侵并限制威脅的進(jìn)一步傳播。它自動形成安全的IPsec VPN隧道，在站點之間使用AES-256加密，并為加密的應(yīng)用程序(如SSL / HTTPS)提供深度數(shù)據(jù)包檢查。SteelConnect Manager提供集中管理和可見性，允許IT指定基于應(yīng)用程序的安全性和流量路徑。

Talari Networks的故障安全SD-WAN使用其集成防火墻卸載分支機(jī)構(gòu)的互聯(lián)網(wǎng)流量，可信的URL流量可自動重新連到互聯(lián)網(wǎng)。Talari支持RADIUS身份驗證，以便對邊緣設(shè)備的管理，并且默認(rèn)情況下會對數(shù)據(jù)包進(jìn)行加密。

SD-WAN安全生態(tài)系統(tǒng)的示例

SD-WAN安全性的一個關(guān)鍵方面是SD-WAN平臺是否與領(lǐng)先的網(wǎng)絡(luò)安全產(chǎn)品集成和互操作，這些網(wǎng)絡(luò)安全產(chǎn)品包括高級防火墻，UTM，安全Web網(wǎng)關(guān)和基于云的網(wǎng)絡(luò)安全。以下是由選定的SD-WAN供應(yīng)商創(chuàng)建的安全生態(tài)系統(tǒng)的一些示例。

• 思科SD-WAN(Viptela)：思科安全解決方案(各種)，Bluecoat，Palo Alto，Z-Scaler
• Cloud Genix：Palo Alto，Symantec，Z-Scaler
• Cradlepoint：思科，趨勢科技，Webroot，Z-Scaler
• Silver Peak：Check Point，F(xiàn)ortinet，Palo Alto，Z-Scaler
• VMware(VeloCloud)：Check Point，Palo Alto，Symantec，Z-Scaler

SD-branch全稱是軟件定位分支機(jī)構(gòu)，其通過將多個功能整合到單個基于軟件的IP服務(wù)平臺中，將WAN和分支結(jié)合到簡化的網(wǎng)絡(luò)、安全和WAN架構(gòu)中的架構(gòu)方式。SD-Branch的優(yōu)勢在于它將來自多個供應(yīng)商的多個軟件/設(shè)備模塊整合到一個平臺中，使它更加容易部署和使用。許多SD-WAN供應(yīng)商已經(jīng)或即將推出SD-Branch解決方案。

針對IT經(jīng)理的建議

SD-WAN是連接分布式結(jié)構(gòu)的強(qiáng)大技術(shù)，安全性應(yīng)該是供應(yīng)商的關(guān)注點。每個供應(yīng)商都應(yīng)該擁有本機(jī)安全功能的專有代碼。客戶應(yīng)根據(jù)分支機(jī)構(gòu)和云中的本機(jī)安全功能以及開發(fā)網(wǎng)絡(luò)安全生態(tài)系統(tǒng)的能力來評估SD-WAN技術(shù)。供應(yīng)商還需要通過合作伙伴生態(tài)系統(tǒng)進(jìn)一步拓寬和深化與各種流行網(wǎng)絡(luò)安全產(chǎn)品的集成。IT經(jīng)理應(yīng)該評估SD-WAN的安全性，看它是否能夠輕松地集成到他們特定的安全環(huán)境和現(xiàn)有的供應(yīng)商。