9月28日，黑客利用Facebook的安全漏洞竊取了與用戶個(gè)人資料相關(guān)的安全令牌，導(dǎo)致近5000萬(wàn)用戶的賬戶遭到了破壞;10月9日，Google宣布關(guān)閉旗下社交網(wǎng)站Google+的消費(fèi)者版本，因?yàn)镚oogle+在長(zhǎng)達(dá)兩年多時(shí)間里存在一個(gè)軟件漏洞，導(dǎo)致最多50萬(wàn)名用戶的數(shù)據(jù)可能曝露給了外部開(kāi)發(fā)者。從全球組織的大規(guī)模數(shù)據(jù)泄露到爆炸性勒索軟件攻擊，安全性對(duì)于企業(yè)的重要性不言而喻。

[[251398]]

如今，軟件定義廣域網(wǎng)(SD-WAN)大火，SD-WAN也成了黑客利用的新的威脅載體。以往，集中訪問(wèn)和數(shù)據(jù)中心處理的方式保證了互聯(lián)網(wǎng)訪問(wèn)的安全性。然而，SD-WAN的出現(xiàn)以及向混合連接的轉(zhuǎn)變，使得部分分支機(jī)構(gòu)無(wú)法避免遭受新一波復(fù)雜攻擊的影響。SD-WAN不經(jīng)意間創(chuàng)造了新的攻擊面，利用直接互聯(lián)網(wǎng)接入，為勒索軟件、APT、病毒蠕蟲(chóng)和其他惡意軟件提供了便利。

安全思維轉(zhuǎn)變

很多公司在采納SD-WAN時(shí)并未周密考慮安全問(wèn)題。SD-WAN項(xiàng)目通常由網(wǎng)絡(luò)運(yùn)維團(tuán)隊(duì)負(fù)責(zé)實(shí)施，但太多公司過(guò)于沉浸在SD-WAN帶來(lái)的好處中，以致完全忘記了安全。還有部分問(wèn)題源于供應(yīng)商沒(méi)有在其解決方案中集成進(jìn)恰當(dāng)?shù)陌踩胧?。目前市?chǎng)上的大部分SD-WAN解決方案供應(yīng)商，幾乎全部都僅支持IPSec VPN和基本的狀態(tài)性安全，而這完全不足以在不斷進(jìn)化發(fā)展的網(wǎng)絡(luò)攻擊面前保護(hù)好公司企業(yè)。因此，企業(yè)不得不在部署SD-WAN后再添加額外的安全保護(hù)。

一、困局之斗：安全問(wèn)題應(yīng)該是首要考慮因素

缺乏安全意識(shí)的SD-WAN廠商不僅令企業(yè)因運(yùn)行了他們不安全的解決方案而陷入風(fēng)險(xiǎn)，同時(shí)往復(fù)雜SD-WAN部署上硬加傳統(tǒng)安全工具的做法也增加了不必要的復(fù)雜性和開(kāi)銷，導(dǎo)致維護(hù)SD-WAN的總成本上升。SD-WAN通常在這些方面容易遇到安全性問(wèn)題：

• 設(shè)備漏洞：SD-WAN和Internet增加了物理訪問(wèn)設(shè)備的風(fēng)險(xiǎn)，當(dāng)我們從單一或有限的集中管理的、安全的互聯(lián)網(wǎng)網(wǎng)關(guān)遷移到一組分布式的互聯(lián)網(wǎng)網(wǎng)關(guān)時(shí)，攻擊面就會(huì)增大。特別是當(dāng)分支機(jī)構(gòu)直接連接到Internet時(shí)。SD-WAN設(shè)備是完全網(wǎng)狀的，這意味著可能通過(guò)一個(gè)設(shè)備就可以讓攻擊者看到整個(gè)公司的流量。通過(guò)直接訪問(wèn)互聯(lián)網(wǎng)，攻擊者更有可能在未被發(fā)現(xiàn)的情況下竊取數(shù)據(jù)。
• 分支機(jī)構(gòu)威脅：由于多云基礎(chǔ)設(shè)施的擴(kuò)展，SaaS應(yīng)用程序的數(shù)量迅速增加，以及移動(dòng)世界的日益分散，導(dǎo)致網(wǎng)絡(luò)管理的復(fù)雜性不斷增加，這是分支機(jī)構(gòu)管理網(wǎng)絡(luò)安全的最大挑戰(zhàn)。傳統(tǒng)的分支機(jī)構(gòu)連接體系依賴于昂貴的路由設(shè)備和專用WAN電路，以便在訪問(wèn)互聯(lián)網(wǎng)之前將流量回傳到位于公司總部或數(shù)據(jù)中心的集中式防火墻。通過(guò)互聯(lián)網(wǎng)直接訪問(wèn)應(yīng)用程序的方式雖然價(jià)格低廉，但卻無(wú)法提供企業(yè)級(jí)應(yīng)用程序性能，并使網(wǎng)絡(luò)容易受到攻擊。

二、破局之道：SD-WAN如何增強(qiáng)安全功能

不過(guò)，企業(yè)可以通過(guò)將檢查與執(zhí)行點(diǎn)從數(shù)據(jù)中心內(nèi)遷移至分支機(jī)構(gòu)或者云端的方式應(yīng)對(duì)這一新的安全挑戰(zhàn)。安全管理員們需要評(píng)估其是否需要一套”不僅包含加密及一般狀態(tài)防火墻服務(wù)”的新型安全層。此后，安全管理員需要查證分支機(jī)構(gòu)或云環(huán)境中是否存在更多風(fēng)險(xiǎn)因素，從而幫助自己確定實(shí)際需要的安全層。

SD-WAN支持端到端加密以及按應(yīng)用或組織層級(jí)進(jìn)行劃分，可提供嵌入式安全機(jī)制。但相當(dāng)一部分SD-WAN供應(yīng)商并不提供全面的企業(yè)級(jí)安全解決方案。

企業(yè)可以選擇以下幾種方法：

• 整合至SD-WAN解決方案當(dāng)中的高級(jí)安全方案。
• 第三方SaaS方案。
• 由現(xiàn)有或新供應(yīng)商提供一套基于設(shè)備的內(nèi)部方案。

每種方法都有著自己的優(yōu)勢(shì)與注意事項(xiàng)。一部分廠商也提供狀態(tài)防火墻，當(dāng)前不少路由器都已經(jīng)支持這種常見(jiàn)服務(wù)。市場(chǎng)上大多數(shù)SD-WAN仍然缺少對(duì)下一代及安全網(wǎng)關(guān)(UTM)功能的支持。

1. 將安全性融入SD-WAN

優(yōu)勢(shì): 分支機(jī)構(gòu)的集成安全方案能夠?qū)D-WAN引入分支機(jī)構(gòu)的下一連接發(fā)展階段，還可實(shí)現(xiàn)多種交付方式。這類方案能夠?qū)崿F(xiàn)單一供應(yīng)商、更簡(jiǎn)單的管理、內(nèi)部流量保護(hù)以及智能流量管理與轉(zhuǎn)向。借此企業(yè)將能夠獲得更為有力的安全保護(hù)表現(xiàn)，且不再需要處理額外的堆?；蛟O(shè)備。SD-WAN與內(nèi)置安全機(jī)制還能為全部事件關(guān)聯(lián)提供單一管理窗格，例如用戶、應(yīng)用程序、設(shè)備、位置與網(wǎng)絡(luò)等等。

劣勢(shì): 安全性水平可能不像傳統(tǒng)的“縱深防御”方案那么“縱深”，通常需要依靠多家供應(yīng)商以覆蓋安全基礎(chǔ)設(shè)施中的各個(gè)層面，而不能簡(jiǎn)單的“一刀切”。

2. 第三方軟件即服務(wù)(SaaS)方案

優(yōu)勢(shì): 第三方SaaS解決方案能夠有效減少管理層面的麻煩，其消費(fèi)模式的特點(diǎn)在于輕量化，甚至完全無(wú)需任何現(xiàn)場(chǎng)部署。實(shí)施及管理方面較為敏捷、易用。SaaS安全方案可以插入新的檢查機(jī)制以實(shí)現(xiàn)數(shù)據(jù)保護(hù)，從而防止?jié)撛陔[匿及意外攻擊所導(dǎo)致的高昂代價(jià)。

劣勢(shì):其多數(shù)服務(wù)只能識(shí)別基于HTTP的流量，這意味著企業(yè)無(wú)法確定如何對(duì)其它流量進(jìn)行處理。此外，這些服務(wù)也可能缺少對(duì)通過(guò)備用協(xié)議傳入的威脅向量的檢測(cè)能力。而且從管理的角度來(lái)看，SaaS解決方案將管理界面與接觸點(diǎn)割裂開(kāi)來(lái)，并會(huì)給管理員帶來(lái)額外的操作步驟，這意味著操作將進(jìn)一步復(fù)雜化、所需投入的時(shí)間也相應(yīng)增加。

3. 部署現(xiàn)有或新供應(yīng)商

優(yōu)勢(shì): 不少企業(yè)依靠通過(guò)認(rèn)證的現(xiàn)有供應(yīng)商實(shí)現(xiàn)基于設(shè)備的內(nèi)部保護(hù)方案。這種方法的優(yōu)勢(shì)在于企業(yè)對(duì)相關(guān)產(chǎn)品非常熟悉：這些解決方案長(zhǎng)期駐留在內(nèi)部環(huán)境下，安全管理員能夠親自打理并熟悉這些產(chǎn)品。由于這些產(chǎn)品的使用壽命較長(zhǎng)，內(nèi)部保護(hù)方案能夠長(zhǎng)時(shí)間存在于分支機(jī)構(gòu)的基礎(chǔ)設(shè)施當(dāng)中，具備一定程度的有效性。

劣勢(shì): 從采購(gòu)及運(yùn)營(yíng)的角度來(lái)看，專用設(shè)備類方案很可能帶來(lái)高昂的成本。因?yàn)閺?fù)雜，需要耗費(fèi)大量人力去實(shí)現(xiàn)，同時(shí)要求投入更多資源以管理其在企業(yè)整體環(huán)境下的運(yùn)作。而各分支機(jī)構(gòu)中的多臺(tái)數(shù)據(jù)密集型設(shè)備會(huì)進(jìn)一步增加這類問(wèn)題的處理難度。這樣的復(fù)雜性有可能引發(fā)潛在的整合及/或互操作性問(wèn)題，進(jìn)而對(duì)生產(chǎn)力發(fā)展產(chǎn)生嚴(yán)重阻礙。另外，相當(dāng)一部分設(shè)備之間并不存在單一事件關(guān)聯(lián)點(diǎn)，這將導(dǎo)致部分威脅及其它異?；顒?dòng)可能通過(guò)設(shè)備間的“縫隙”溜入企業(yè)內(nèi)部。

三、“兵器譜”：SD-WAN安全產(chǎn)品大盤(pán)點(diǎn)

SD-WAN市場(chǎng)競(jìng)爭(zhēng)激烈，目前已經(jīng)有幾十家供應(yīng)商。SD-WAN的一個(gè)關(guān)鍵賣(mài)點(diǎn)是它能夠使企業(yè)利用低成本的互聯(lián)網(wǎng)作為安全的企業(yè)級(jí)鏈路。網(wǎng)絡(luò)安全是SD-WAN技術(shù)的關(guān)鍵區(qū)分因素，每個(gè)廠商都應(yīng)該有自己獨(dú)特的方法來(lái)保護(hù)流量和識(shí)別“安全”站點(diǎn)。

幾乎所有SD-WAN廠商現(xiàn)在都把基本防火墻功能作為標(biāo)準(zhǔn)產(chǎn)品的一個(gè)特色。他們使用數(shù)據(jù)包識(shí)別來(lái)了解流量，例如，通過(guò)識(shí)別流量源頭或去向來(lái)服務(wù)判斷是否是可信任或是基于云的服務(wù)。此外，SD-WAN廠商提供的產(chǎn)品還包括內(nèi)容過(guò)濾、端點(diǎn)識(shí)別和管理以及策略執(zhí)行等功能，他們的產(chǎn)品可以分為以下四種類型。

1. 具有基本防火墻功能的SD-WAN設(shè)備

許多SD-WAN廠商都在其SD-WAN設(shè)備中提供了基本的防火墻功能。這些防火墻大致相當(dāng)于您在分支機(jī)構(gòu)路由器中看到的狀態(tài)防火墻。功能包括基于策略的過(guò)濾和基于端口或IP地址的阻塞應(yīng)用程序。關(guān)于具有基本防火墻功能的SD-WAN的產(chǎn)品，這里列出Cisco(Viptela)，Silver Peak，Velocloud。

今年8月Cisco(Viptela)宣布已經(jīng)能夠?qū)iptela SD-WAN軟件集成到IOS XE中。思科正試圖通過(guò)將防火墻，入侵防御和URL過(guò)濾集成到Viptela來(lái)加強(qiáng)其SD-WAN安全性。安全可擴(kuò)展網(wǎng)絡(luò)(SEN)是Viptela的SD-WAN解決方案，它包含五個(gè)關(guān)鍵的架構(gòu)元素實(shí)現(xiàn)傳輸獨(dú)立性、自動(dòng)保護(hù)任何路由的端點(diǎn)、提供端到端網(wǎng)絡(luò)分段、使用集中控制器實(shí)施策略、啟用網(wǎng)絡(luò)服務(wù)廣告，SEN可提供安全的端到端網(wǎng)絡(luò)虛擬化，并被企業(yè)用于構(gòu)建大規(guī)模網(wǎng)絡(luò)，并完全集成了路由，安全性，集中策略和編排。

今年6月Silver Peak的Unity EdgeConnect推出了分段和安全服務(wù)鏈SD-WAN解決方案。這些新功能使分布式企業(yè)能夠?qū)⒂脩簟?yīng)用程序和WAN服務(wù)集中劃分為安全區(qū)域，并根據(jù)預(yù)定義的安全策略、法規(guī)要求和業(yè)務(wù)意圖，自動(dòng)化跨LAN和WAN的應(yīng)用程序流量控制。對(duì)于擁有多廠商安全架構(gòu)的企業(yè)，EdgeConnect現(xiàn)在可以提供無(wú)縫拖放服務(wù)鏈接到下一代安全基礎(chǔ)架構(gòu)和服務(wù)。

VeloCloud的VMware NSX SD-WAN具有獨(dú)特靈活的架構(gòu)，通過(guò)數(shù)據(jù)中心保護(hù)云目標(biāo)流量，可用于托管安全設(shè)施、VPN終端，也可以用于插入其他服務(wù)，包括防火墻和云端 - 基于安全性(例如Zscaler)。NSX SD-WAN Edge支持的VNF功能還允許在分支中插入安全服務(wù)。

2. 具有高級(jí)防火墻的SD-WAN設(shè)備

基本狀態(tài)防火墻可能足以作為第1階段連接，用于連接到特定的SaaS IP，但不適用于更廣泛的Internet訪問(wèn)。為此，一些廠商在其SD-WAN設(shè)備中添加了NGFW功能。

Open Systems在SD-WAN術(shù)語(yǔ)創(chuàng)建之前就開(kāi)始提供與SD-WAN相關(guān)的服務(wù)，他們的解決方案提供安全即服務(wù)，他們的全托管服務(wù)在其邊緣設(shè)備上提供了完整的安全棧和云管理。Open Systems聲稱將其第三方服務(wù)重新打包，作為托管安全SD-WAN設(shè)備的一部分。它的任務(wù)是控制網(wǎng)絡(luò)安全服務(wù)，包括分布式企業(yè)級(jí)防火墻; CASB、端點(diǎn)檢測(cè)和響應(yīng)、網(wǎng)絡(luò)安全監(jiān)控; 分布式網(wǎng)絡(luò)入侵防御和WiFi安全。

Versa Networks的SD-WAN增強(qiáng)了對(duì)分支機(jī)構(gòu)的保護(hù)，其SD-WAN安全解決方案提供了基于軟件的安全功能，包括狀態(tài)和下一代防火墻、惡意軟件防護(hù)、URL和內(nèi)容過(guò)濾、IPS和防病毒、DDoS和VPN/下一代VPN。Versa Networks聲稱其SD-Branch解決方案提供了一套完整的集成網(wǎng)絡(luò)(路由、SD-WAN、以太網(wǎng)、Wi-Fi)和安全(NG防火墻、安全Web網(wǎng)關(guān)、AV、IPS)功能。虛擬客戶端設(shè)備(vCPE)也可以運(yùn)行第三方VNF。

3. 具有SD-WAN功能的防火墻設(shè)備

與此同時(shí)，一些安全廠商已經(jīng)宣布為其NGFW設(shè)備提供SD-WAN功能。根據(jù)Gartner的報(bào)告，這些廠商包括Barracuda，F(xiàn)ortinet和Cisco Meraki。

Barracuda CloudGen防火墻為每個(gè)分支機(jī)構(gòu)提供可擴(kuò)展的集中管理，本地安全實(shí)施以及高級(jí)上行鏈路智能和QoS的獨(dú)特組合。這樣可以通過(guò)直接的VPN隧道實(shí)現(xiàn)直接的互聯(lián)網(wǎng)突破，從而實(shí)現(xiàn)每個(gè)分支機(jī)構(gòu)的云部署和應(yīng)用程序。Barracuda CloudGen防火墻包含WAN壓縮和重復(fù)數(shù)據(jù)刪除、故障轉(zhuǎn)移和鏈接平衡、動(dòng)態(tài)帶寬和延遲檢測(cè)、跨VPN隧道的多個(gè)傳輸?shù)淖赃m應(yīng)會(huì)話平衡、自適應(yīng)帶寬預(yù)留等功能。

Fortinet是一家提供原生SD-WAN和集成高級(jí)威脅防護(hù)的NGFW廠商。Fortinet SD-WAN內(nèi)置高級(jí)SD-WAN功能，并集成在FortiGate下一代防火墻中，通過(guò)使用URL過(guò)濾、IPS、防病毒和沙盒檢測(cè)惡意軟件攻擊，使分支機(jī)構(gòu)能夠檢測(cè)惡意軟件的SSL流量。FortiGate SD-WAN采用單一的應(yīng)用感知解決方案取代了單獨(dú)的WAN路由器、WAN優(yōu)化和安全設(shè)備，提供自動(dòng)WAN路徑控制和多寬帶支持。它可以提高應(yīng)用程序性能，降低WAN運(yùn)營(yíng)成本并最大限度地降低管理復(fù)雜性。

Cisco Meraki MX是一款企業(yè)安全和SD-WAN設(shè)備，專為需要遠(yuǎn)程管理的分布式部署而設(shè)計(jì)，該設(shè)備配備了SD-WAN功能，使管理員能夠最大限度地提高網(wǎng)絡(luò)彈性和帶寬效率。該設(shè)備提供了內(nèi)容過(guò)濾和威脅防護(hù)、防火墻和流量整形、NAT和端口轉(zhuǎn)發(fā)、使用站點(diǎn)到站點(diǎn)VPN在Cisco Meraki設(shè)備和其他非Meraki端點(diǎn)之間創(chuàng)建安全加密隧道、組策略和黑名單等安全功能。

使用支持SD-WAN的防火墻設(shè)備，安全性遠(yuǎn)遠(yuǎn)優(yōu)于SD-WAN設(shè)備中包含的基本防火墻。但是，組織仍受限于設(shè)備的限制。更重要的是，雖然許多這些設(shè)備在紙面上顯得很好，但它們?nèi)狈?jīng)驗(yàn)豐富的SD-WAN產(chǎn)品的成熟度。

4. 安全SD-WAN即服務(wù)

相反，一些供應(yīng)商正在通過(guò)轉(zhuǎn)移SD-WAN和某些安全功能，來(lái)減少設(shè)備數(shù)量。Cato Networks是此方法的最佳示例，提供完全集成的安全性和SD-WAN服務(wù)。Cato Cloud將網(wǎng)絡(luò)與安全性融合在一起，通過(guò)基于策略的路由、SLA支持的全球骨干網(wǎng)、企業(yè)級(jí)網(wǎng)絡(luò)安全以及云和移動(dòng)支持?jǐn)U展了WAN。Cato旨在將所有企業(yè)資源連接到WAN，包括物理位置，云資源以及固定和移動(dòng)用戶。借助Cato，網(wǎng)絡(luò)和安全功能可在任何地方和所有資源中使用，而無(wú)需引入點(diǎn)解決方案。

其他服務(wù)是安全SD-WAN作為服務(wù)方法的一部分。例如，Aryaka通過(guò)其SD-WAN服務(wù)提供基本的防火墻功能，但無(wú)法提供L4到L7控制，如NGFW、IPS、URL過(guò)濾和防病毒。Bigleaf Networks也是如此。Aryaka與Radware合作，通過(guò)基于行為的專利檢測(cè)提供DDoS保護(hù)。在網(wǎng)絡(luò)邊緣提供邊界安全解決方案，并將其內(nèi)置于SD-WAN設(shè)備[ANAP]中。Aryaka的SD-WAN安全平臺(tái)PASSPORT提供多層次、縱深防御的安全性，Aryaka提供虛擬狀態(tài)防火墻作為其SD-WAN的一部分，以及簡(jiǎn)化的插入模型，以防止公共互聯(lián)網(wǎng)上常見(jiàn)的數(shù)據(jù)包丟失和延遲。

四、SD-WAN安全性：未來(lái)的期待

為了實(shí)現(xiàn)更高的安全性能標(biāo)準(zhǔn)，對(duì)于分支和WAN連接解決方案來(lái)說(shuō)，某些功能是不可妥協(xié)的。例如，組織應(yīng)該需要有狀態(tài)防火墻和應(yīng)用程序防火墻，以及動(dòng)態(tài)IPSec隧道和站點(diǎn)到站點(diǎn)的配對(duì)。安全特性還應(yīng)該包括安全密鑰管理和動(dòng)態(tài)密鑰更新，以及惡意軟件和x-ware內(nèi)聯(lián)檢測(cè)和保護(hù)。當(dāng)然，標(biāo)準(zhǔn)的安全功能如防病毒和DDoS保護(hù)和檢測(cè)自然也應(yīng)該包括在內(nèi)。

一個(gè)安全的SD-WAN帶來(lái)的好處是毋庸置疑的，為了在當(dāng)今的安全環(huán)境中有效地發(fā)揮作用，SD-WAN安全不應(yīng)該是事后才考慮的問(wèn)題。相反，組織需要改變模式，使安全成為SD-WAN結(jié)構(gòu)的固有部分，從而確保其成為企業(yè)綜合安全基礎(chǔ)設(shè)施當(dāng)中強(qiáng)大、關(guān)鍵且必要的支柱性元素之一。