數字轉型不僅僅是將工作流遷移到云端和采納IoT，而是整個網絡的工具重構，令整個網絡變得更快、更高效、更靈活、更具成本有效性。也就是說，數字轉型還意味著應用敏捷軟件及應用開發(fā)，重新思考訪問與登錄，以及創(chuàng)建動態(tài)自適應網絡環(huán)境。

軟件定義廣域網(SD-WAN)可將數字轉型的好處延伸至分公司，因而是很多公司企業(yè)的首選。無論員工身處何方，是在數據中心還是多云部署還是網絡上任何一個位置都沒關系，都可以即時訪問分布式資源，而且無需嚴格的實現要求和昂貴的傳統(tǒng)多協(xié)議標簽交換(MPLS)連接開銷。

常見SD-WAN安全錯誤

但是，很多公司在采納SD-WAN時并未周密考慮安全問題。SD-WAN項目通常由網絡運維團隊負責實施，但太多公司過于沉浸在SD-WAN帶來的好處中，以致完全忘記了安全。

還有部分問題源于供應商沒在其解決方案中集成進恰當的安全措施。目前約有60多家SD-WAN解決方案供應商，幾乎全部都僅支持 IPSec VPN 和基本的狀態(tài)性安全，而這完全不足以在不斷進化發(fā)展的網絡攻擊面前保護好公司企業(yè)。因此，公司企業(yè)不得不在部署SD-WAN后再添加額外的有效安全層。供應商的過失不僅令公司企業(yè)因運行了他們的不安全解決方案而陷入風險，往復雜SD-WAN部署上硬加傳統(tǒng)安全工具的做法也增加了不必要的復雜性和開銷，導致維持SD-WAN的總成本上升。

SD-WAN基本安全要求

為解決這些問題，SD-WAN解決方案至少應包含以下4個基本安全策略：

1. 要求原生NGFW防護

首先，公司企業(yè)須選擇內置了下一代防火墻(NGFW)安全的SD-WAN解決方案。作為SD-WAN部署的一個集成功能，這一先進的安全技術能確保整個SD-WAN保持一致的檢查、檢測和防護，無論是在分公司還是在云端還是在數據中心。同時，即便SD-WAN為適應網絡需求而做出改動，NGFW也可對原生工作流、數據和應用提供保護;而這是大多數遺留安全解決方案難以提供的一個功能。當然，不是所有安全解決方案都一樣，所以如果該集成NGFW安全解決方案能夠經由第三方檢驗其安全有效性，情況會更加美好。

2. 集成很重要

誰都不想再多部署一道獨立的安全解決方案。今天的分布式數字網絡安全防護工作就已經夠復雜的了，割裂的可見性和逐設備策略編排只會更加復雜化這項工作。所以需確保的第二件事，就是為SD-WAN部署選擇的安全策略要能無縫集成進現有安全架構中。選擇一個能融入現有安全框架的解決方案可以通過提供網絡安全可見性、集中式管理控制和威脅情報共享與關聯，給公司帶來更健壯的安全狀態(tài)。

3. 必須加密SD-WAN流量

用寬帶連接替代MPLS的問題在于公共互聯網通常是不可靠的，對于需即時訪問資源和數據的數字公司及用戶而言，這有可能引發(fā)嚴重問題。而且，近90%的公司企業(yè)都采用了多云策略，每個云都要求有獨立的連接。因此，大多數部署SD-WAN的公司采用多條寬帶連接各分公司到核心網絡及訪問各個云實例。然而，每條此類連接同時也擴展了公司的潛在攻擊界面。

另外，為提升員工協(xié)作效率，公司企業(yè)傾向于部署 Office 365 和 Salesforce 之類基于云的軟件即服務(SaaS)應用。這些連接常會包含需加以保護的關鍵信息。所以，任何SD-WAN解決方案都應采用VPN為自己覆上一層傳輸安全保障，而且這些VPN解決方案還提供了非常高的性能和動態(tài)可擴展性。

4. 必須檢查加密流量

以微秒為成功計量單位的數字商業(yè)環(huán)境中，僅有安全的連接顯然是不夠的。隨著SSL(HTTPS)流量的增長，攻擊者逐漸將惡意軟件隱藏進加密隧道以逃避檢測。不幸的是，大多數SD-WAN供應商提供的基本安全措施并不包含SSL檢查，或者，即便有SSL檢查，功能性能上也達不到要求。這是企業(yè)部署SD-WAN時最常見的一種失誤。

其中難點之一在于，就算安全團隊確實在SD-WAN部署中嵌入了安全，SSL檢查也會拉低市場上幾乎每個遺留NGFW解決方案的性能。事實上，絕大多數安全供應商甚至不會公布他們的SSL檢查性能指標。然而，當今數字市場中激烈競爭的公司企業(yè)也不愿意犧牲性能求安全。因此，SSL檢查要么隨意實現，要么根本就沒有。這也是為什么除了可擴展的VPN連接，還得關注第三方測試給出的SSL檢查指標的原因。我們必須選擇同時符合性能要求與安全要求的解決方案。

總結

SD-WAN迅速成為網絡轉型工作的基本構件，令公司企業(yè)得以在當今激烈的數字市場競爭中獲得速度與效率上的優(yōu)勢。但隨著威脅與惡意軟件愈趨復雜和普遍，我們必須補強傳統(tǒng)MPLS連接的既有安全防護。

為此，高級安全功能不僅應成為最初SD-WAN選擇時的考量內容，還應盡可能徹底地集成到環(huán)境中，以便更好地檢測和防止如今越來越先進的各種威脅?？晒┻x擇的高級安全功能包括原生NGFW、靈活可擴展的VPN和高性能SSL檢查。想要明智選擇這些解決方案，可以求助于評估過程中包含安全性能與功能考量的第三方測試。

【本文是51CTO專欄作者“”李少鵬“”的原創(chuàng)文章，轉載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權】

戳這里，看該作者更多好文