網(wǎng)絡(luò)廠商根本無力涉足 SD-WAN 領(lǐng)域，一些 SD-WAN方案 僅添加有狀態(tài)數(shù)據(jù)包過濾能力，就稱之擁有“安全性”。

在 SD-WAN 誕生之初，在市場中“開荒”的只是單純的 SD-WAN 廠商，但很快就暴露出了缺點(diǎn) —— “安全性”不到位。相比之下，安全廠商從一開始就強(qiáng)調(diào)安全的重要性。

如今，安全廠商似乎傾向于提供具有普遍安全特性的 SD-WAN 功能。Gartner 廣域網(wǎng)邊緣基礎(chǔ)設(shè)施魔力象限報告對此進(jìn)行了重大預(yù)測，報告指出：“到 2024 年，隨著云服務(wù)的不斷普及，分布式企業(yè)購買的新防火墻中將有 50% 使用 SD-WAN 功能，而今天這一比例還不到 20%。”

[[286769]]

目前，市場上已經(jīng)有 Forcepoint、SonicWall 和 Barracuda 等安全廠商采用了 Fortinet 模式，為 廣域網(wǎng)邊緣架構(gòu)提供了內(nèi)置安全能力，以支持分布式企業(yè)這一龐大的使用場景。

集成安全的SD-WAN解決方案簡介

顯然，集成安全的SD-WAN解決方案包括領(lǐng)先的下一代防火墻安全性、SD-WAN、高級路由和 WAN 優(yōu)化功能，能夠提供由安全驅(qū)動的 廣域網(wǎng)邊緣。它融合了 SD-WAN 的功能和安全特性。

集成安全的SD-WAN解決方案可以完全部署在分支機(jī)構(gòu)和云中或者混合環(huán)境中。對于不想完全云化的企業(yè)來說，混合實(shí)現(xiàn)可能是一種更可行的選擇。

值得注意的是，據(jù) Gartner 估計(jì)，F(xiàn)ortinet 擁有超過 21,000 個SD-WAN客戶。這一龐大的用戶群是對 Fortinet 產(chǎn)品的充分肯定，尤其是當(dāng)強(qiáng)大而內(nèi)置的安全功能成為關(guān)鍵要求時。

為網(wǎng)絡(luò)增加安全性

安全公司添加新網(wǎng)絡(luò)功能可謂是信手拈來，SD-WAN 公司添加高級安全功能(補(bǔ)齊 20 年以來的安全缺口)卻是難上加難。我們可以大膽地假設(shè)任何 SD-WAN 廠商都不會成為安全廠商。

隨著市場的發(fā)展，一些功能必須適時地進(jìn)行重命名，比如有關(guān)應(yīng)用身份、加密、路徑監(jiān)控、路由協(xié)議和 廣域網(wǎng)鏈路負(fù)載均衡的特性。從根本上講，所有這些高級路由功能都不是新功能，也不是 SD-WAN 專有功能。它們并不是一夜之間突然冒出來的，而是在 SD-WAN 市場形成之前就已經(jīng)存在了。

但是，在某些場景中，您可能必須在 廣域網(wǎng)上實(shí)施專有路由協(xié)議，當(dāng)然這需要一個新設(shè)備。但是對于大部分而言，只需在網(wǎng)絡(luò)邊緣部署一個綜合性防火墻便足矣。

部署在廣域網(wǎng)邊緣的防火墻

防火墻正在演變成能夠提供 SD-WAN 功能的網(wǎng)絡(luò)安全平臺。網(wǎng)絡(luò)防火墻魔力象限報告指出：“中小型企業(yè)多功能防火墻市場在 2018 年增長了 10.1%，其中 SD-WAN 的采用是一個強(qiáng)勁的推動力。”

仔細(xì)想想，您會發(fā)現(xiàn)防火墻已經(jīng)充當(dāng)路由器很長時間了。防火墻基本上可以提供專用 WAN、互聯(lián)網(wǎng)和內(nèi)部路由所需的所有路由協(xié)議，并且通常通過專門負(fù)責(zé)路由的基礎(chǔ)設(shè)備來實(shí)現(xiàn)。但是，這些功能正在被帶有防火墻的邊緣設(shè)備所替代。

防火墻已經(jīng)進(jìn)駐網(wǎng)絡(luò)數(shù)十年了，除了做分內(nèi)的安全工作外，它們還參與路由工作，常常被用作提供路由的 WAN 邊緣設(shè)備。

傳統(tǒng)安全設(shè)計(jì)的問題

如何集成安全性與 SD-WAN?普通的設(shè)計(jì)方法主要涉及多個單點(diǎn)安全解決方案的集成。我們先來了解一下這樣做的后果。

1. 復(fù)雜性

單點(diǎn)解決方案只能解決一個問題，必須進(jìn)行大量集成，因此它們通常以服務(wù)鏈的形式存在，并且必須環(huán)環(huán)相扣、緊密融合。

由于必須要不斷地添加解決方案，管理開銷和復(fù)雜性可能會隨之飆增，更不用說 NOC 和 SOC 團(tuán)隊(duì)整合所面臨的挑戰(zhàn)了。而 SD-WAN 的最初賣點(diǎn)就是降低復(fù)雜性。

如果我們研究一下 SD-WAN 領(lǐng)域的安全性，就會發(fā)現(xiàn)：目前它的使用方式實(shí)際上增加了復(fù)雜性。這就像您本來只想簡單地買房，卻變成了一磚一瓦地砌房。

分析表明，許多 SD-WAN 只是借用其他廠商的安全技術(shù)，“堆砌”起來出售給客戶。

2. 相關(guān)成本

在網(wǎng)絡(luò)中分散使用來自不同廠商的多點(diǎn)解決方案不僅成本高昂，價格也永遠(yuǎn)不固定。一些安全廠商可能會無論您使用多少，都按使用模式收費(fèi)。那么，如何有效規(guī)劃多點(diǎn)解決方案的使用?

隨著成本的不斷累加，安全專員可能會出于壓力犧牲掉一定的單點(diǎn)解決方案。我們知道，這不是一種有效的風(fēng)險管理策略。理想情況下，安全工作應(yīng)該做到有備無患，防范未然。這意味著威脅情報是關(guān)鍵，許多 SD-WAN 廠商常常忽略了這一點(diǎn)。

無論是從技術(shù)層面還是成本角度來看，整合所有安全解決方案的功能都無比重要。這樣只需一個經(jīng)驗(yàn)豐富的安全專員來管理便可。這也是將 SD-WAN 功能和高級安全性同時整合到一個集成式綜合平臺中的原因。

集成安全的SD-WAN解決方案完美地做到了這一點(diǎn)，從而避免了更復(fù)雜的管理、許可問題，以及較高的成本或不必要的服務(wù)鏈。

SD-WAN 的關(guān)鍵不在于功能

SD-WAN 市場上有很多“功能至上論”。但現(xiàn)實(shí)卻是，“功能并沒有創(chuàng)造太大的價值去支持市場細(xì)分”。實(shí)際上，SD-WAN 的價值主張與功能無關(guān)，畢竟各家廠商在應(yīng)用分類和路徑擇優(yōu)發(fā)送上都做得很好。我們來了解一下 SD-WAN 的真正價值主張。

1. 性能與可擴(kuò)展性

就 SD-WAN 而言，通常最應(yīng)關(guān)注的是應(yīng)用流量導(dǎo)向，但舉例來說，如果您沒有性能可靠的 TLS1.3 深度檢查，如何獲得準(zhǔn)確的身份證明并確保您的分支機(jī)構(gòu)安全?但是，關(guān)注這一點(diǎn)的人并不多。

為此，我們需要定制的 SD-WAN 特定應(yīng)用專用集成電路 (ASIC)，這可以為高資源密集型加密/解密和覆寫可擴(kuò)展性提供強(qiáng)大的優(yōu)勢。

使用 IPSec 時，系統(tǒng)需要進(jìn)行大量加密運(yùn)算，會占用大量 CPU 和 RAM 資源。而這項(xiàng)任務(wù)可以由專用 SD-WAN ASIC 來代勞，以便減少每個通道消耗的 CPU 和 RAM。

通常，可擴(kuò)展性的上限為 1,000 或 1,500。而借助適當(dāng)?shù)?ASIC，這一數(shù)字可以增加到 100,000 以上，一些大型中心站點(diǎn)可能會很受用。此外，您還可以在同一設(shè)備中運(yùn)行網(wǎng)絡(luò)堆棧和安全堆棧，從而打造一款經(jīng)濟(jì)高效的解決方案。

2. 威脅情報的重要性

下一代防火墻是許多 SD-WAN 廠商數(shù)據(jù)表中的標(biāo)配，那么威脅檢測和威脅防護(hù)服務(wù)呢?在許多 SD-WAN 解決方案中，威脅情報(結(jié)合威脅研究)仍然處于缺席狀態(tài)。威脅形勢不斷演變，安全解決方案也應(yīng)該與時俱進(jìn)。

威脅防護(hù)的核心功能覆蓋 4-7 層，比如 IPS、內(nèi)容過濾、深度 SSL 檢查和惡意軟件防護(hù)。此外，我們還有一個威脅檢測工具。如今，我們不能僅靠檢測已知威脅就高枕無憂，還必須檢測未知威脅。因此，擁有一整套預(yù)防和檢測功能非常重要。有了這兩種能力，我們就相當(dāng)于擁有了經(jīng)驗(yàn)豐富的安全研究和分析人員團(tuán)隊(duì)。了解 SD-WAN 廠商是否具有自己的威脅情報非常重要。

為此，您不妨選擇具有安全公司血統(tǒng)的廠商。任何安全廠商的核心價值都在于他們的情報研究水平。這才是支持市場細(xì)分的原因，而不是 SD-WAN 功能。

但是，您還應(yīng)該確認(rèn)這些廠商提出的功能是否已得到第三方(如 NSS 實(shí)驗(yàn)室)的驗(yàn)證。NSS 實(shí)驗(yàn)室已對一些安全廠商的領(lǐng)先 SD-WAN 產(chǎn)品進(jìn)行了評估，評估內(nèi)容涉及 VoIP 和視頻的體驗(yàn)質(zhì)量 (QoE)、性能(WAN 損害和高可用性)、總體擁有成本 (TCO) 以及安全成效。

另外，我們還必須考察“提供防火墻的 SD-WAN 設(shè)備”根據(jù)最新威脅信息進(jìn)行更新的頻率，是每天幾次還是每周幾次?一些 SD-WAN 解決方案宣稱自己是集成安全的SD-WAN廠商，但是構(gòu)建有效的安全防護(hù)需要一支強(qiáng)大的威脅情報團(tuán)隊(duì)，初創(chuàng)企業(yè)是否有足夠的人力來做到這一點(diǎn)?網(wǎng)絡(luò)廠商更是根本無力涉足這一領(lǐng)域，一些 SD-WAN 僅添加有狀態(tài)數(shù)據(jù)包過濾能力，便稱之為“安全性”了。

坦白地講，任何人都可以使用下一代防火墻。但是，功能的覆蓋廣度、它們提供的情報以及市場的認(rèn)可卻不可一概而論。只有做到了這幾點(diǎn)，下一代防火墻才能贏得分支機(jī)構(gòu)的信任，確保企業(yè)安全防線固若金湯。

您在尋找集成安全的SD-WAN廠商合作伙伴時，請著重考慮這些問題，并考察其安全業(yè)務(wù)的歷史，同時評估他們是否具有經(jīng)驗(yàn)豐富的威脅情報團(tuán)隊(duì)。

集成安全的SD-WAN解決方案正成為市場主要發(fā)展方向。行業(yè)分析和客戶群體的覺醒在其中產(chǎn)生了重大影響。人們不再將安全廠商與 SD-WAN 廠商混為一談。

最終，市場需要的是整合于集成式綜合平臺之中的集成安全的SD-WAN解決方案。

原文作者：Matt Conran, Advisor, Contributor, Network World

原文標(biāo)題：Secure SD-WAN: The security vendors and their SD-WAN offerings

原文鏈接：https://www.networkworld.com/article/3489480/secure-sd-wan-the-security-vendors-and-their-sd-wan-offerings.html