如今，越來越多的組織開始接受混合或分立網(wǎng)絡提供的功能和成本節(jié)約的優(yōu)勢。但是，目前的SD-WAN服務模型包含基本的安全缺陷，這些缺陷可能會影響到用戶的采用。

最大的弱點之一是其作為附加組件依賴于供應商的安全性。在新的互聯(lián)數(shù)字世界中，組織保護數(shù)據(jù)而不需要考慮其網(wǎng)絡的狀態(tài)位置。覆蓋服務提供和傳輸數(shù)據(jù)保護的方法的一致性需要被考慮在網(wǎng)絡設計的最前沿。

[[227905]]

服務提供商需要問自己一些問題：如何提供可靠的混合網(wǎng)絡?尤其是在公共互聯(lián)網(wǎng)和云服務之間，同時減少在每個網(wǎng)關或網(wǎng)絡入口點部署基礎設施的需要。他們如何避免與加密相關的根本安全風險來調查可疑活動?

只有回答這些基本問題，組織才能夠接受所有基于SDN的解決方案的固有優(yōu)勢，而不會降低安全性。

敏捷性與安全性

實現(xiàn)業(yè)務敏捷性和確保數(shù)據(jù)安全之間的斗爭從未變得如此具有挑戰(zhàn)性。顯然，近年來，威脅形勢發(fā)生了根本性的變化。美國計算機應急準備小組(U.Curt)發(fā)布公告稱，美國關鍵基礎設施遭到一些國家支持的網(wǎng)絡攻擊。毫不奇怪， IT的支出模式不僅揭示了企業(yè)面臨的安全問題，還表明企業(yè)需要了解數(shù)據(jù)發(fā)生了什么，以及在威脅出現(xiàn)時識別和處理威脅的能力。

然而，業(yè)務驅動從多協(xié)議標簽交換(MPLS)網(wǎng)絡技術轉向軟件定義網(wǎng)絡(SDN)，尤其是廣域網(wǎng)(WAN)，可能會造成安全風險或對可部署的技術的限制。

如今，SD-WAN提供了傳統(tǒng)WAN的替代方案，提供了靈活性、簡單性和降低成本的潛力。該模型不僅為開拓混合通信基礎設施提供了契機，從銅纜到Wi-Fi，從光纖到衛(wèi)星，為分布式業(yè)務提供高效和低成本的解決方案，但是中央管理模式轉換了過度管理開銷ASCOC，并與復雜的傳統(tǒng)WAN基礎設施配套。

使用SD-WAN的結果是將網(wǎng)絡成本降低30%到50%，但前提是它是同一個供應商的端到端解決方案。對于復雜的網(wǎng)絡，規(guī)模較大的網(wǎng)絡或在高信息保障環(huán)境中運行的網(wǎng)絡，如果沒有采用創(chuàng)新的方法來部署第三方基礎設施解決方案，那么這些優(yōu)勢仍然值得懷疑，并且沒有消除容量限制的單獨安全覆蓋，以及供應商/網(wǎng)絡的選擇依賴。

目前的做法

許多SDN供應商通常提供第3層加密技術作為其SD-WAN服務產(chǎn)品的一部分：這種安全性對于替換基本網(wǎng)絡而沒有保護的網(wǎng)絡是有益的。雖然反駁意見認為加密對于許多企業(yè)而言成本太高或難以部署，但現(xiàn)實情況是部署傳統(tǒng)的第3層加密總比沒有好。

但是對于可能從共享編排實例提供解決方案的新的大型SD-WAN提供商來說，必須提出的問題是：企業(yè)如何能夠保護其他供應商運營基礎設施的安全，甚至是在部署編排平臺的情況下解決安全問題。此外，考慮到采用SD-WAN最引人注目的原因之一是新基礎設施可以靈活地連接起來以支持業(yè)務變更。在默認情況下，這種模式會導致基礎設施來自多個提供商，企業(yè)如何確保每個新的連接也是安全的?

隨著組織越來越多地部署應用程序級別的加密，還有關于性能和吞吐量的問題。多重加密是一個影響傳統(tǒng)網(wǎng)絡和SD-WAN的重大問題，許多SD-WAN部署并沒有受到網(wǎng)絡帶寬的限制，而是加密開銷。

更值得關注的是，如果IT團隊希望調查應用程序或數(shù)據(jù)源，那么通常需要關閉這些加密解決方案，這會使企業(yè)面臨黑客的攻擊。

網(wǎng)絡分解

正是認識到這些問題，越來越多的首席信息官和首席安全官正在推動分解議程，并得出結論，服務和安全應該與任何SD-WAN的管理和維護有所區(qū)別。這一趨勢反映了保護關鍵業(yè)務通信基礎設施成本效益，并消除對單一供應商依賴的不同方法。

最大限度地提高SD-WAN的商業(yè)效益，并實現(xiàn)反映新出現(xiàn)的威脅載體基本安全性的唯一方法是采用安全覆蓋模型。企業(yè)需要找到一種方法在基礎設施的每個部分都部署端到端的第4層加密，而不必考慮基礎網(wǎng)絡技術。

除了滿足許多組織的網(wǎng)絡分解目標之外，網(wǎng)絡不可知的加密解決方案還可以通過提供集中協(xié)調來加強SD-WAN的集中管理優(yōu)勢。這不僅證明了網(wǎng)絡的安全性，還提供了對網(wǎng)絡活動及其安全性能的重要洞察。而且，如果需要對一個應用程序進行調查，就不需要關閉所有安全協(xié)議，以確保公司始終處于安全狀態(tài)。

SD-WAN提供了令人矚目的好處，而在當今的財政現(xiàn)實中，越來越成為分布式組織的唯一可行的選擇，尤其是考慮到越來越多的基于全球互聯(lián)網(wǎng)的基礎設施和云計算的使用。但是，其結果是組織對正在使用的基礎設施知之甚少。數(shù)據(jù)在哪里?誰擁有網(wǎng)絡?正在采取哪條路線?關鍵的是誰在保護數(shù)據(jù)以及如何保護數(shù)據(jù)?

對基礎設施的知識和控制越少，組織所需的安全控制措施和知識就越多。只有朝著網(wǎng)絡分解邁出這一步，才能擁有一種真正的網(wǎng)絡無關加密技術，可以保護任何IP網(wǎng)絡上的數(shù)據(jù)傳輸，并實現(xiàn)集中的安全協(xié)調和全面的數(shù)據(jù)可視性，企業(yè)可以放心地接納SD-WAN，并獲得需要的靈活性而不受到網(wǎng)絡攻擊。