SD-WAN安全問題應(yīng)該如何來處理

當(dāng)SD-WAN安全性不夠時，組織會采取額外的措施，例如入侵預(yù)防、防病毒、統(tǒng)一威脅管理等。

由于SD-WAN技術(shù)變得比多協(xié)議標(biāo)簽交換（MPLS）更便宜、更靈活、更易于部署，它提供集中的可見性和管理，并提高了WAN鏈接的整體性能，提高了員工的生產(chǎn)力，從而變得越來越流行。但是，使分支機構(gòu)中的最終用戶直接連接到公共互聯(lián)網(wǎng)和云計算服務(wù)引起了嚴(yán)重的安全問題，這給SD-WAN部署增加了另一層次的復(fù)雜性和風(fēng)險。

根據(jù)Enterprise Management Associates（EMA）在2018年底對北美地區(qū)和歐洲250家企業(yè)進(jìn)行的一項調(diào)查顯示，在分支機構(gòu)中部署SD-WAN的組織遇到的實際數(shù)據(jù)泄漏的可能性是沒有分支機構(gòu)組織的1.3倍。EMA公司分析師Shamus McGillicuddy說，這是因為許多企業(yè)最初僅依靠其SD-WAN設(shè)備中的本機安全功能，而不是通過附加的防御層來增強這些功能。

典型的SD-WAN產(chǎn)品提供狀態(tài)防火墻，以及其他功能，例如網(wǎng)絡(luò)分段和站點到站點隧道。但是它們沒有提供更復(fù)雜的安全措施，例如應(yīng)用程序感知的下一代防火墻、入侵預(yù)防、數(shù)據(jù)丟失預(yù)防和統(tǒng)一的威脅管理。此外，它們不會自動與企業(yè)的其他安全基礎(chǔ)設(shè)施集成。

好消息是，企業(yè)客戶越來越意識到對基準(zhǔn)產(chǎn)品以外的其他安全功能的需求。在IDG Research公司和SD-WAN托管提供商Masergy公司最近進(jìn)行的一項調(diào)查中，有81%的受訪者表示，安全性是SD-WAN供應(yīng)商選擇的最關(guān)鍵因素。

純粹的SD-WAN供應(yīng)商已經(jīng)聽到了清晰明確的消息，并與傳統(tǒng)的安全供應(yīng)商（如CheckPoint或Palo Alto Networks）以及基于云計算的提供商（如Zscaler）合作，提供集成的軟件包。

對于想要確保其SD-WAN連接具有深入安全性的客戶，還有兩種選擇。企業(yè)可以與一家在安全方面有著悠久歷史的公司合作，而該公司最近已經(jīng)開發(fā)了SD-WAN產(chǎn)品，例如Cisco或Fortinet。或者，它可以選擇由運營商或托管服務(wù)提供商來承擔(dān)端到端WAN流量的責(zé)任，并提供其他安全功能菜單，例如可按需購買的Web內(nèi)容過濾和防病毒保護。

Westcon Comstor公司和GHD公司是兩家部署了SD-WAN但采取了完全不同的方法來確保其分支機構(gòu)連接安全的公司。這兩家公司認(rèn)識到他們應(yīng)該做更多的事情來加強其組織的SD-WAN安全性，以及如何實現(xiàn)。

Westcon借助下一代防火墻增強了Silver Peak SD-WAN

全球IT分銷商Westcon Comstor公司高級基礎(chǔ)設(shè)施經(jīng)理Michael Soler說，他從多協(xié)議標(biāo)簽交換（MPLS）轉(zhuǎn)向基于Silver Peak Unity EdgeConnect平臺的SD-WAN的驅(qū)動力是彈性、成本、可擴展性和可見性。

該公司的遠(yuǎn)程網(wǎng)絡(luò)由兩個共同管理的數(shù)據(jù)中心以及在北美、歐洲和亞洲的27個辦事處組成。其彈性是原有協(xié)議標(biāo)簽交換（MPLS）網(wǎng)絡(luò)的問題。Soler說，“IPSec故障轉(zhuǎn)移失敗了，它們在理論上看起來很棒，但在企業(yè)真正需要它們之前可能不盡人意?！?/p>

Soler表示，成本是另一個問題。由于缺乏對網(wǎng)絡(luò)使用情況的了解，他發(fā)現(xiàn)優(yōu)化帶寬需求以及確定超額訂購或訂購不足的位置是一項挑戰(zhàn)。

眾所周知，在進(jìn)行更改或使用協(xié)議標(biāo)簽交換（MPLS）網(wǎng)絡(luò)啟動新服務(wù)時，存在缺乏靈活性和反應(yīng)速度慢的缺點。協(xié)議標(biāo)簽交換（MPLS）部署的復(fù)雜性增加了出錯的機會，這就意味著用戶體驗不佳。

在調(diào)查了多家SD-WAN供應(yīng)商后，他于2017年底開始使用Silver Peak裝置進(jìn)行概念驗證，并對產(chǎn)品推出的簡單性和產(chǎn)品的有效性，特別是前向糾錯和路徑調(diào)節(jié)等性能特征印象深刻。他為部署過程建立了一個模板，并開始在所有啟用協(xié)議標(biāo)簽交換（MPLS）的站點上推出SD-WAN技術(shù)。

Soler說，“我們?nèi)〉昧司薮蟮某晒?，WAN成本降低，彈性和可見性得到了很大的改善，最終用戶對通過直接訪問全球互聯(lián)網(wǎng)和Azure云可以實現(xiàn)的性能和靈活性感到滿意?！?/p>

為了解決與分支機構(gòu)的全球互聯(lián)網(wǎng)突破相關(guān)的安全問題，Soler已部署了下一代防火墻，以增強Silver Peak設(shè)備隨附的狀態(tài)防火墻。互聯(lián)網(wǎng)突圍是指分支機構(gòu)的互聯(lián)網(wǎng)流量沒有回傳到應(yīng)用安全控制的中央站點時。

Soler說，相信會不斷進(jìn)步，正在尋找使自己的安全態(tài)勢更加有效的方法。他正在研究一種稱為服務(wù)鏈的技術(shù)，該技術(shù)能夠從區(qū)域衛(wèi)星位置接收流量，并將其匯聚到將應(yīng)用防火墻策略的區(qū)域中心站點。Soler表示，他從長遠(yuǎn)來看，也有興趣研究基于云計算的SD-WAN安全服務(wù)。

基于云計算的安全服務(wù)增強了SD-WAN安全性

GHD公司全球網(wǎng)絡(luò)經(jīng)理Randy Taylor在推出Riverbed SD-WAN設(shè)備時采取了不同的方法。他沒有采用其他分支機構(gòu)安全工具，而是選擇了Zscaler公司的基于云計算的安全服務(wù)。

提供工程、建筑、環(huán)境和其他專業(yè)服務(wù)的GHD公司一度擁有100%的多協(xié)議標(biāo)簽交換（MPLS）廣域網(wǎng)，將流量從全球30個站點回傳到其托管數(shù)據(jù)中心。

2015年，該公司進(jìn)行了一連串的并購活動，這使該公司在北美地區(qū)的WAN足跡擴展到了近130個站點。面對可能需要三到五個月才能部署每個新的多協(xié)議標(biāo)簽交換（MPLS）鏈路的現(xiàn)實，Taylor開始尋找替代方案。

Taylor說，“我們需要一種更快的方法?！遍L期訂購多協(xié)議標(biāo)簽交換（MPLS）將會受到影響。GHD公司是LAN端的Cisco商店，并且也是Riverbed廣域網(wǎng)優(yōu)化的客戶，因此他開始調(diào)查Riverbed SD-WAN產(chǎn)品。

最初，Taylor表示，他對SD-WAN等顛覆性技術(shù)有些懷疑。但是他對使用互聯(lián)網(wǎng)作為交通工具的想法很感興趣。他決定在一些北美地區(qū)較小的站點進(jìn)行試點。他發(fā)現(xiàn)Riverbed SteelConnect SD-WAN設(shè)備非常易于部署，在不到6周的時間內(nèi)就可以連接50個站點。

通過Riverbed幾乎零接觸的流程，他能夠在將云計算設(shè)備交付給分支機構(gòu)之前在云計算門戶中對其進(jìn)行預(yù)配置。在那里，非IT人員可以遵循一些簡單的說明，插入設(shè)備，并在幾分鐘內(nèi)運行。

Taylor說：“我們立即開始看到收益，首先是互聯(lián)網(wǎng)的突破。SD-WAN的推出恰逢其時，這與其公司對SaaS應(yīng)用程序的越來越多的使用相吻合。這成為了我們訪問SaaS的解決方案。”

作為一家為政府機構(gòu)服務(wù)并需要符合ISO標(biāo)準(zhǔn)的公司，GHD公司非常注重安全性。Taylor說，他需要在SteelConnect的集成防火墻中增加額外的安全性，以防止該公司遇到的惡意軟件數(shù)量增加。

該公司在其數(shù)據(jù)中心部署了企業(yè)級防火墻，發(fā)現(xiàn)購買和維護它們的成本很高。Taylor希望避免在所有分支機構(gòu)中添加額外的安全硬件，因此GHD公司選擇了基于云計算的選項，并選擇與Zscaler公司合作。

GHD公司來自分支機構(gòu)的所有流量都將到達(dá)Zscaler公司的數(shù)據(jù)中心，并在該數(shù)據(jù)中心執(zhí)行安全策略。Zscaler公司在將數(shù)據(jù)發(fā)布到全球互聯(lián)網(wǎng)時會查看數(shù)據(jù)并同時查看返回流。該服務(wù)提供了一系列功能清單，其中包括反病毒、白名單、黑名單、UTM、附件沙箱和零日保護。

Taylor說，Zscaler公司節(jié)省了成本，并且比必須維護和更新自己的安全硬件更為方便。Taylor指出，需要注意的是：來自分支的流量需要連接到最近的Zscaler節(jié)點，因此，如果最近的節(jié)點距離請求者較遠(yuǎn)，其性能可能會受到一定程度的影響。

從整體SD-WAN經(jīng)驗來看，Taylor可以從維護原有拓?fù)涞牧毦W(wǎng)絡(luò)工程師轉(zhuǎn)變?yōu)槌鲇诒O(jiān)督目的的一名工程師。其日常維護基本上由服務(wù)臺負(fù)責(zé)，這六名工程師現(xiàn)在專注于技術(shù)創(chuàng)新。

Taylor表示，這種方法管理了50個小型站點，并在全球范圍內(nèi)推出了SD-WAN。他說，“成本節(jié)省和性能提升如此之大，以至于我們盡可能取消多協(xié)議標(biāo)簽交換（MPLS）?！庇捎诤弦?guī)性原因，某些流量無法進(jìn)入云平臺，并且某些語音和視頻應(yīng)用程序?qū)⒈Ａ粼诙鄥f(xié)議標(biāo)簽交換（MPLS）上，但SD-WAN已成為該公司的主要WAN傳輸模式。

SD-WAN安全的混合方法

從集中式的WAN安全模型（其中分支流量通過安全的多協(xié)議標(biāo)簽交換回傳到數(shù)據(jù)中心）到分布式的模型（每個分支機構(gòu)都實施安全性）的轉(zhuǎn)變，也需要一種新型的組織方法。

SD-WAN不再依靠網(wǎng)絡(luò)和安全小組獨立工作，而是推動合作伙伴關(guān)系，因為安全小組希望部署集成工具，并使用通用數(shù)據(jù)集。McGillicuddy說，這種合作已經(jīng)超越了諸如事件響應(yīng)之類的戰(zhàn)術(shù)情況，并已擴展到基礎(chǔ)設(shè)施設(shè)計和實施。

實際上，許多組織正在采用混合方法來實現(xiàn)SD-WAN安全性。如果他們擁有仍然可以使用多年的安全設(shè)備，那么他們就不會翻新和更換，并正在將該功能集成到SD-WAN實施中，目的是將深度防御結(jié)合在一起。

其他組織則采用托管服務(wù)路線。由于許多純粹的SD-WAN供應(yīng)商正在通過托管服務(wù)提供商出售其產(chǎn)品，并且還提供傳統(tǒng)運營商在其SD-WAN產(chǎn)品中使用的硬件，因此客戶可以選擇特定供應(yīng)商的設(shè)備，并將實施、持續(xù)維護和安全功能移交給服務(wù)提供商。

Nemertes Research公司分析師John Burke說：“這有很多種方法，無論是在財務(wù)上還是在架構(gòu)上，組織都在做最適合他們自己情況的事情?！彼赋?，服務(wù)鏈?zhǔn)且环N有趣的方法，它使用多個衛(wèi)星站點連接到容納安全堆棧的大型數(shù)據(jù)中心站點的概念。

雖然對許多組織來說，擺脫多協(xié)議標(biāo)簽交換（MPLS）是轉(zhuǎn)向SD-WAN的動力，Burke指出，超過一半的組織將多協(xié)議標(biāo)簽交換（MPLS）保留在特定的應(yīng)用程序上。多協(xié)議標(biāo)簽交換（MPLS）已經(jīng)從最初的廣域網(wǎng)鏈路變成了多元化、優(yōu)化、安全的廣域網(wǎng)業(yè)務(wù)流的一小部分。