眾所周知，安全性是兌現(xiàn)SD-WAN商業(yè)價(jià)值的首要前提和后盾。SD-WAN技術(shù)具有許多優(yōu)勢，例如更大的靈活性和更低的傳輸成本。但是，一旦將流量從結(jié)構(gòu)化的專用MPLS 虛擬專用網(wǎng)轉(zhuǎn)移到公共寬帶鏈路上，安全性就成了第一位的考量因素，這也使得網(wǎng)絡(luò)安全廠商的SD-WAN解決方案相比傳統(tǒng)網(wǎng)絡(luò)廠商更具競爭力，因?yàn)閷τ赟D-WAN而言，安全性比連接性更加具有挑戰(zhàn)性，大量安全廠商的涌入為SD-WAN市場帶來了豐富的選擇，但有時(shí)也會(huì)讓用戶“挑花了眼”。

為了確保網(wǎng)絡(luò)韌性和安全性，企業(yè)選擇SD-WAN解決方案時(shí)，需要參考以下五項(xiàng)基本原則：

1. 將SD-WAN安全性集成到企業(yè)的整體安全性體系結(jié)構(gòu)中

許多企業(yè)錯(cuò)誤地將SD-WAN安全性視為孤立的問題，而不是將其作為整體企業(yè)安全策略的關(guān)鍵要素。網(wǎng)絡(luò)安全技術(shù)提供商Perimeter 81的首席執(zhí)行官Amit Bareket指出：“大多數(shù)組織都將SD-WAN視為提供一定程度數(shù)據(jù)加密的連接工具。但事實(shí)上SD-WAN解決方案通常并不是用來提供數(shù)據(jù)安全服務(wù)的，對SD-WAN定位的錯(cuò)誤認(rèn)知會(huì)讓企業(yè)面臨安全風(fēng)險(xiǎn)。”

Bareket建議，對于SD-WAN流量的防護(hù)，組織及其安全團(tuán)隊(duì)?wèi)?yīng)開發(fā)一種方法，該方法應(yīng)將監(jiān)視數(shù)據(jù)流量的基于策略的控制規(guī)則與整體SDN管理的檢測響應(yīng)模型集成起來。他說：“通過將安全放在首位，SD-WAN相當(dāng)于為企業(yè)網(wǎng)絡(luò)的漏洞增加了一個(gè)防護(hù)層。”

2. 不要將SD-WAN看作傳統(tǒng)的網(wǎng)絡(luò)技術(shù)

用傳統(tǒng)物理網(wǎng)絡(luò)的經(jīng)驗(yàn)去理解SD-WAN安全性是錯(cuò)誤的，傳統(tǒng)的物理網(wǎng)絡(luò)會(huì)自動(dòng)對數(shù)據(jù)流施加某些限制，但這并不適用于SD-WAN。網(wǎng)絡(luò)安全公司Menlo Security的首席技術(shù)官Kowsik Guruswamy 解釋說：“例如，在傳統(tǒng)網(wǎng)絡(luò)中，您必須考慮流量模式和帶寬要求。”“這將決定您在何處以及如何執(zhí)行安全策略。”但是SD-WAN基于互聯(lián)網(wǎng)，傳統(tǒng)網(wǎng)絡(luò)中的管控限制手段在這里并不適用。

3. 不要將安全性與單個(gè)供應(yīng)商綁在一起

隨著網(wǎng)絡(luò)基礎(chǔ)架構(gòu)的擴(kuò)展和新威脅的到來，企業(yè)的安全需求隨著時(shí)間的推移而發(fā)展。在保留基本SD-WAN投資的同時(shí)，企業(yè)還需要網(wǎng)絡(luò)具有靈活的功能，可以在出現(xiàn)新的攻擊媒介時(shí)快速經(jīng)濟(jì)地遷移到其他安全解決方案，這是一項(xiàng)寶貴的安全能力。不幸的是，一些SD-WAN供應(yīng)商將客戶鎖定在某個(gè)專有安全技術(shù)堆棧中。VMware的VeloCloud業(yè)務(wù)部門高級(jí)總監(jiān)Karl Brown表示：“這種SD-WAN方案沒有為將來提供靈活性，也沒有提供與現(xiàn)有安全基礎(chǔ)結(jié)構(gòu)一起使用的靈活性。”

4. 不要過于傳統(tǒng)防火墻

使用傳統(tǒng)的WAN，分支機(jī)構(gòu)的流量可以回傳到企業(yè)數(shù)據(jù)中心，由傳統(tǒng)防火墻處理或者在分支機(jī)構(gòu)中部署與邊緣路由器分開維護(hù)的傳統(tǒng)防火墻。Brown認(rèn)為：“這可能會(huì)導(dǎo)致一些問題，例如昂貴的帶寬，沉重的性能損失，不可預(yù)測的應(yīng)用程序性能以及不必要的復(fù)雜分支IT管理。”“借助SD-WAN，企業(yè)可以通過便宜的互聯(lián)網(wǎng)服務(wù)，更有效地將流量發(fā)送到云和SaaS工具或者云托管網(wǎng)關(guān)。”

但是，在分支機(jī)構(gòu)位置部署SD-WAN訪問時(shí)，企業(yè)必須采取額外的安全預(yù)防措施，因?yàn)檫B接到互聯(lián)網(wǎng)會(huì)產(chǎn)生更廣泛的攻擊面。Brown建議：“減輕這種新安全風(fēng)險(xiǎn)的最佳方法是利用云的功能來檢測和緩解威脅。”他還建議采用統(tǒng)一的管理方法，合并模板化的策略和審核，并在每個(gè)分支機(jī)構(gòu)集成網(wǎng)絡(luò)和安全性。“總的來說，企業(yè)可以有效地實(shí)現(xiàn)和維護(hù)一致的先進(jìn)威脅管理戰(zhàn)略”他指出。

5. 正確部署SD-WAN設(shè)備

許多SD-WAN用戶在防火墻后部署SD-WAN設(shè)備或在故障排除和/或配置SD-WAN設(shè)備時(shí)意外繞過了防火墻。WatchGuard網(wǎng)絡(luò)安全產(chǎn)品管理副總裁B rendan Patterson認(rèn)為：“在這種情況下，企業(yè)根本沒有安全性，這使他們處于感染惡意軟件的高風(fēng)險(xiǎn)中。”

可以通過將SD-WAN設(shè)備安裝在防火墻前面來避免SD-WAN設(shè)備放錯(cuò)位置造成的安全漏洞，處理WAN連接的同時(shí)防火墻也能繼續(xù)保護(hù)內(nèi)部網(wǎng)絡(luò)。Patterson 指出，對SD-WAN進(jìn)行任何更改后，記住要重新檢查所有安全控制，這一點(diǎn)很重要。

Patterson還建議企業(yè)利用最新的網(wǎng)絡(luò)安全技術(shù)。他解釋說：“許多統(tǒng)一威脅管理設(shè)備(UTM)和下一代防火墻現(xiàn)在都提供SD-WAN功能，例如智能路徑路由。”“使用這些內(nèi)置功能還可以解決[放置]問題，并且可以減少管理和維護(hù)兩個(gè)設(shè)備的成本。”這對于中小型企業(yè)來說通常是一個(gè)不錯(cuò)的選擇。

【本文是51CTO專欄作者“安全牛”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號(hào)id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文