近年來(lái)，軟件定義廣域網(wǎng) (SD-WAN)技術(shù)被企業(yè)廣泛應(yīng)用，SD-WAN繼承了SDN控制與轉(zhuǎn)發(fā)分離、集中控制的理念，將物理上的分布網(wǎng)絡(luò)抽象為統(tǒng)一管理的邏輯網(wǎng)絡(luò)，以便更加靈活地使用和調(diào)度，實(shí)現(xiàn)了企業(yè)在總部和分支機(jī)構(gòu)、數(shù)據(jù)中心和云平臺(tái)之間的快速組網(wǎng)。

SD-WAN提升了廣域網(wǎng)的質(zhì)量、可用性和可靠性，同時(shí)大大降低了企業(yè)廣域網(wǎng)的總體擁有成本，但是不經(jīng)意間也創(chuàng)造了新的攻擊面，為勒索軟件、APT、病毒蠕蟲(chóng)和其他惡意軟件提供了入侵機(jī)會(huì)。

SD-WAN的安全風(fēng)險(xiǎn)

安全風(fēng)險(xiǎn)可能來(lái)自以下幾個(gè)方面：

(1) 非法接入

非法的設(shè)備或用戶(hù)接入網(wǎng)絡(luò)，例如，如果控制器對(duì)CPE的驗(yàn)證出現(xiàn)驗(yàn)證漏洞，仿冒CPE就有可能通過(guò)網(wǎng)絡(luò)控制器的注冊(cè)接入網(wǎng)絡(luò)，帶來(lái)嚴(yán)重的安全風(fēng)險(xiǎn)。

(2) 滲透入侵

SD-WAN網(wǎng)絡(luò)中的管理中心和數(shù)據(jù)中心等擔(dān)負(fù)著認(rèn)證、授權(quán)、管理、數(shù)據(jù)收集、數(shù)據(jù)存儲(chǔ)的重要任務(wù)，最容易成為黑客攻擊的目標(biāo)，而位于網(wǎng)絡(luò)出口邊緣的CPE設(shè)備，也同樣因?yàn)橹苯颖┞兜綇V域網(wǎng)上直接承受大量網(wǎng)絡(luò)掃描和攻擊。

(3) 數(shù)據(jù)泄露

SD-WAN網(wǎng)絡(luò)中控制通道中的認(rèn)證、授權(quán)信息及數(shù)據(jù)通道傳輸?shù)臄?shù)據(jù)，通過(guò)因特網(wǎng)傳輸時(shí)存在數(shù)據(jù)被截取或被篡改、仿冒的安全風(fēng)險(xiǎn)。

(4) 業(yè)務(wù)安全

網(wǎng)絡(luò)中的數(shù)據(jù)中心、各分支節(jié)點(diǎn)或云端業(yè)務(wù)數(shù)據(jù)，容易遭受病毒、木馬、勒索軟件帶來(lái)的威脅和攻擊，各分支節(jié)點(diǎn)業(yè)務(wù)系統(tǒng)也往往因?yàn)榘踩雷o(hù)力量薄弱更容易遭受內(nèi)部攻擊。

(5) 運(yùn)維風(fēng)險(xiǎn)

當(dāng)企業(yè)分支節(jié)點(diǎn)越來(lái)越多，眾多分支邊界設(shè)備管理復(fù)雜，這給快速定位網(wǎng)絡(luò)問(wèn)題，溯源取證并及時(shí)做出響應(yīng)帶來(lái)了很大管理挑戰(zhàn)，處置不及時(shí)會(huì)產(chǎn)生相應(yīng)的運(yùn)維風(fēng)險(xiǎn)。

(6) 法律合規(guī)

企業(yè)廣域網(wǎng)中信息流動(dòng)跨度變大，信息服務(wù)或用戶(hù)數(shù)據(jù)分布在不同地區(qū)甚至是不同國(guó)家，SD-WAN建設(shè)需要遵從當(dāng)?shù)氐姆煞ㄒ?guī)。比如我國(guó)政務(wù)網(wǎng)組網(wǎng)中的合規(guī)要求之一就是使用國(guó)密算法或國(guó)密產(chǎn)品。

SD-WAN的安全模型構(gòu)建

SD-WAN安全是一個(gè)系統(tǒng)工程，需要從整個(gè)系統(tǒng)的管理、控制、業(yè)務(wù)多個(gè)層次考慮安全能力建設(shè)。ITU-T 的X.805(2003)規(guī)范中規(guī)劃了一個(gè)關(guān)于信息網(wǎng)絡(luò)端到端安全服務(wù)體系的架構(gòu)模型，該模型中各個(gè)層(或面)上的安全相互獨(dú)立，可以防止一個(gè)層(或面)的安全被攻破而波及到其他層(或面)的安全，這個(gè)模型從理論上建立了一個(gè)抽象的網(wǎng)絡(luò)安全模型，可以作為SD-WAN安全體系架構(gòu)的依據(jù)。

X.805模型具體內(nèi)容包括了三層三面八個(gè)維度的安全能力，三個(gè)層次是應(yīng)用層、業(yè)務(wù)層和傳送層，三個(gè)切面是：管理平面、控制平面和用戶(hù)平面，八個(gè)維度是：認(rèn)證、可用性、接入控制、不可抵賴(lài)、機(jī)密性、數(shù)據(jù)完整性、私密性和通信安全。見(jiàn)圖1。

圖1：X.805標(biāo)準(zhǔn)端到端安全服務(wù)體系的架構(gòu)模型

設(shè)備層和網(wǎng)絡(luò)層安全能力是SD-WAN組網(wǎng)中保障系統(tǒng)安全、可靠運(yùn)轉(zhuǎn)的必備的基礎(chǔ)安全能力，組件自身安全組件自身要具備健壯的系統(tǒng)架構(gòu)和完善的安全加固策略，并通過(guò)組件互信、安全接入、數(shù)據(jù)加密、賬號(hào)管理、安全審計(jì)等多種措施保證自身的安全性。此外基礎(chǔ)的安全能力還包括防DDOS攻擊、畸形報(bào)文攻擊、帶寬異常占用、網(wǎng)絡(luò)拓?fù)浠蚵酚蓚卧旃舻取?/p>

業(yè)務(wù)安全經(jīng)常是需要單獨(dú)部署的安全功能，要根據(jù)企業(yè)用戶(hù)實(shí)際的業(yè)務(wù)安全需求，靈活選擇適合的安全防護(hù)措施。比如防火墻策略控制、防垃圾郵件、入侵防御、URL過(guò)濾、防病毒，WEB應(yīng)用防護(hù)、零信任等。

SD-WAN安全能力建設(shè)挑戰(zhàn)

通過(guò)近期的調(diào)研，我們認(rèn)為企業(yè)SD-WAN安全能力建設(shè)時(shí)可能會(huì)面臨以下挑戰(zhàn)：

(1) SD-WAN管理平臺(tái)與CPE設(shè)備的安全能力挑戰(zhàn)

SD-WAN管理平臺(tái)除了具備基本的SD-WAN組網(wǎng)能力外，還要滿(mǎn)足安全性、功能性、易用性、可視化等能力要求，具備海量數(shù)據(jù)處理的穩(wěn)定性要求。CPE設(shè)備要求具備全方面的安全防護(hù)能力，入侵防御、防病毒、URL過(guò)濾、應(yīng)用識(shí)別、威脅情報(bào)、VPN等必不可少。

(2) 安全建設(shè)成本挑戰(zhàn)

SD-WAN組網(wǎng)往往節(jié)點(diǎn)眾多，設(shè)備呈規(guī)?；少?gòu)，需要基于業(yè)務(wù)安全防護(hù)需要綜合考慮安全組件采購(gòu)成本、安全運(yùn)維成本。網(wǎng)絡(luò)安全需要更多維度的綜合防御，現(xiàn)代網(wǎng)絡(luò)中已離不了嚴(yán)格的身份控制、精細(xì)化數(shù)據(jù)防泄漏、基于云查殺的病毒防護(hù)、防高級(jí)勒索病毒、及自動(dòng)化攻擊防護(hù)等技術(shù)。選擇安全解決方案時(shí)需要充分考慮解決的先進(jìn)性、可升級(jí)能力及智能化的主動(dòng)安全防御能力。

(3) 安全運(yùn)維挑戰(zhàn)

邊界設(shè)備眾多，管理運(yùn)維復(fù)雜。需要邊緣設(shè)備支持零配置上線(xiàn)、一鍵vpn下發(fā)等極簡(jiǎn)運(yùn)維方式。如果缺乏足夠的運(yùn)維人員，可以選擇托管，讓專(zhuān)業(yè)的廠家做專(zhuān)業(yè)的事情，自己集中精力做自己的業(yè)務(wù)。