9月28日，黑客利用Facebook的安全漏洞竊取了與用戶個人資料相關的安全令牌，導致近5000萬用戶的賬戶遭到了破壞;10月9日，Google宣布關閉旗下社交網(wǎng)站Google+的消費者版本，因為Google+在長達兩年多時間里存在一個軟件漏洞，導致最多50萬名用戶的數(shù)據(jù)可能曝露給了外部開發(fā)者。從全球組織的大規(guī)模數(shù)據(jù)泄露到爆炸性勒索軟件攻擊，安全性對于企業(yè)的重要性不言而喻。

[[251398]]

如今，軟件定義廣域網(wǎng)(SD-WAN)大火，SD-WAN也成了黑客利用的新的威脅載體。以往，集中訪問和數(shù)據(jù)中心處理的方式保證了互聯(lián)網(wǎng)訪問的安全性。然而，SD-WAN的出現(xiàn)以及向混合連接的轉(zhuǎn)變，使得部分分支機構(gòu)無法避免遭受新一波復雜攻擊的影響。SD-WAN不經(jīng)意間創(chuàng)造了新的攻擊面，利用直接互聯(lián)網(wǎng)接入，為勒索軟件、APT、病毒蠕蟲和其他惡意軟件提供了便利。

安全思維轉(zhuǎn)變

很多公司在采納SD-WAN時并未周密考慮安全問題。SD-WAN項目通常由網(wǎng)絡運維團隊負責實施，但太多公司過于沉浸在SD-WAN帶來的好處中，以致完全忘記了安全。還有部分問題源于供應商沒有在其解決方案中集成進恰當?shù)陌踩胧Ｄ壳笆袌錾系拇蟛糠諷D-WAN解決方案供應商，幾乎全部都僅支持IPSec VPN和基本的狀態(tài)性安全，而這完全不足以在不斷進化發(fā)展的網(wǎng)絡攻擊面前保護好公司企業(yè)。因此，企業(yè)不得不在部署SD-WAN后再添加額外的安全保護。

一、困局之斗：安全問題應該是首要考慮因素

缺乏安全意識的SD-WAN廠商不僅令企業(yè)因運行了他們不安全的解決方案而陷入風險，同時往復雜SD-WAN部署上硬加傳統(tǒng)安全工具的做法也增加了不必要的復雜性和開銷，導致維護SD-WAN的總成本上升。SD-WAN通常在這些方面容易遇到安全性問題：

• 設備漏洞：SD-WAN和Internet增加了物理訪問設備的風險，當我們從單一或有限的集中管理的、安全的互聯(lián)網(wǎng)網(wǎng)關遷移到一組分布式的互聯(lián)網(wǎng)網(wǎng)關時，攻擊面就會增大。特別是當分支機構(gòu)直接連接到Internet時。SD-WAN設備是完全網(wǎng)狀的，這意味著可能通過一個設備就可以讓攻擊者看到整個公司的流量。通過直接訪問互聯(lián)網(wǎng)，攻擊者更有可能在未被發(fā)現(xiàn)的情況下竊取數(shù)據(jù)。
• 分支機構(gòu)威脅：由于多云基礎設施的擴展，SaaS應用程序的數(shù)量迅速增加，以及移動世界的日益分散，導致網(wǎng)絡管理的復雜性不斷增加，這是分支機構(gòu)管理網(wǎng)絡安全的最大挑戰(zhàn)。傳統(tǒng)的分支機構(gòu)連接體系依賴于昂貴的路由設備和專用WAN電路，以便在訪問互聯(lián)網(wǎng)之前將流量回傳到位于公司總部或數(shù)據(jù)中心的集中式防火墻。通過互聯(lián)網(wǎng)直接訪問應用程序的方式雖然價格低廉，但卻無法提供企業(yè)級應用程序性能，并使網(wǎng)絡容易受到攻擊。

二、破局之道：SD-WAN如何增強安全功能

不過，企業(yè)可以通過將檢查與執(zhí)行點從數(shù)據(jù)中心內(nèi)遷移至分支機構(gòu)或者云端的方式應對這一新的安全挑戰(zhàn)。安全管理員們需要評估其是否需要一套”不僅包含加密及一般狀態(tài)防火墻服務”的新型安全層。此后，安全管理員需要查證分支機構(gòu)或云環(huán)境中是否存在更多風險因素，從而幫助自己確定實際需要的安全層。

SD-WAN支持端到端加密以及按應用或組織層級進行劃分，可提供嵌入式安全機制。但相當一部分SD-WAN供應商并不提供全面的企業(yè)級安全解決方案。

企業(yè)可以選擇以下幾種方法：

• 整合至SD-WAN解決方案當中的高級安全方案。
• 第三方SaaS方案。
• 由現(xiàn)有或新供應商提供一套基于設備的內(nèi)部方案。

每種方法都有著自己的優(yōu)勢與注意事項。一部分廠商也提供狀態(tài)防火墻，當前不少路由器都已經(jīng)支持這種常見服務。市場上大多數(shù)SD-WAN仍然缺少對下一代及安全網(wǎng)關(UTM)功能的支持。

1. 將安全性融入SD-WAN

優(yōu)勢: 分支機構(gòu)的集成安全方案能夠?qū)D-WAN引入分支機構(gòu)的下一連接發(fā)展階段，還可實現(xiàn)多種交付方式。這類方案能夠?qū)崿F(xiàn)單一供應商、更簡單的管理、內(nèi)部流量保護以及智能流量管理與轉(zhuǎn)向。借此企業(yè)將能夠獲得更為有力的安全保護表現(xiàn)，且不再需要處理額外的堆棧或設備。SD-WAN與內(nèi)置安全機制還能為全部事件關聯(lián)提供單一管理窗格，例如用戶、應用程序、設備、位置與網(wǎng)絡等等。

劣勢: 安全性水平可能不像傳統(tǒng)的“縱深防御”方案那么“縱深”，通常需要依靠多家供應商以覆蓋安全基礎設施中的各個層面，而不能簡單的“一刀切”。

2. 第三方軟件即服務(SaaS)方案

優(yōu)勢: 第三方SaaS解決方案能夠有效減少管理層面的麻煩，其消費模式的特點在于輕量化，甚至完全無需任何現(xiàn)場部署。實施及管理方面較為敏捷、易用。SaaS安全方案可以插入新的檢查機制以實現(xiàn)數(shù)據(jù)保護，從而防止?jié)撛陔[匿及意外攻擊所導致的高昂代價。

劣勢:其多數(shù)服務只能識別基于HTTP的流量，這意味著企業(yè)無法確定如何對其它流量進行處理。此外，這些服務也可能缺少對通過備用協(xié)議傳入的威脅向量的檢測能力。而且從管理的角度來看，SaaS解決方案將管理界面與接觸點割裂開來，并會給管理員帶來額外的操作步驟，這意味著操作將進一步復雜化、所需投入的時間也相應增加。

3. 部署現(xiàn)有或新供應商

優(yōu)勢: 不少企業(yè)依靠通過認證的現(xiàn)有供應商實現(xiàn)基于設備的內(nèi)部保護方案。這種方法的優(yōu)勢在于企業(yè)對相關產(chǎn)品非常熟悉：這些解決方案長期駐留在內(nèi)部環(huán)境下，安全管理員能夠親自打理并熟悉這些產(chǎn)品。由于這些產(chǎn)品的使用壽命較長，內(nèi)部保護方案能夠長時間存在于分支機構(gòu)的基礎設施當中，具備一定程度的有效性。

劣勢: 從采購及運營的角度來看，專用設備類方案很可能帶來高昂的成本。因為復雜，需要耗費大量人力去實現(xiàn)，同時要求投入更多資源以管理其在企業(yè)整體環(huán)境下的運作。而各分支機構(gòu)中的多臺數(shù)據(jù)密集型設備會進一步增加這類問題的處理難度。這樣的復雜性有可能引發(fā)潛在的整合及/或互操作性問題，進而對生產(chǎn)力發(fā)展產(chǎn)生嚴重阻礙。另外，相當一部分設備之間并不存在單一事件關聯(lián)點，這將導致部分威脅及其它異常活動可能通過設備間的“縫隙”溜入企業(yè)內(nèi)部。

三、“兵器譜”：SD-WAN安全產(chǎn)品大盤點

SD-WAN市場競爭激烈，目前已經(jīng)有幾十家供應商。SD-WAN的一個關鍵賣點是它能夠使企業(yè)利用低成本的互聯(lián)網(wǎng)作為安全的企業(yè)級鏈路。網(wǎng)絡安全是SD-WAN技術的關鍵區(qū)分因素，每個廠商都應該有自己獨特的方法來保護流量和識別“安全”站點。

幾乎所有SD-WAN廠商現(xiàn)在都把基本防火墻功能作為標準產(chǎn)品的一個特色。他們使用數(shù)據(jù)包識別來了解流量，例如，通過識別流量源頭或去向來服務判斷是否是可信任或是基于云的服務。此外，SD-WAN廠商提供的產(chǎn)品還包括內(nèi)容過濾、端點識別和管理以及策略執(zhí)行等功能，他們的產(chǎn)品可以分為以下四種類型。

1. 具有基本防火墻功能的SD-WAN設備

許多SD-WAN廠商都在其SD-WAN設備中提供了基本的防火墻功能。這些防火墻大致相當于您在分支機構(gòu)路由器中看到的狀態(tài)防火墻。功能包括基于策略的過濾和基于端口或IP地址的阻塞應用程序。關于具有基本防火墻功能的SD-WAN的產(chǎn)品，這里列出Cisco(Viptela)，Silver Peak，Velocloud。

今年8月Cisco(Viptela)宣布已經(jīng)能夠?qū)iptela SD-WAN軟件集成到IOS XE中。思科正試圖通過將防火墻，入侵防御和URL過濾集成到Viptela來加強其SD-WAN安全性。安全可擴展網(wǎng)絡(SEN)是Viptela的SD-WAN解決方案，它包含五個關鍵的架構(gòu)元素實現(xiàn)傳輸獨立性、自動保護任何路由的端點、提供端到端網(wǎng)絡分段、使用集中控制器實施策略、啟用網(wǎng)絡服務廣告，SEN可提供安全的端到端網(wǎng)絡虛擬化，并被企業(yè)用于構(gòu)建大規(guī)模網(wǎng)絡，并完全集成了路由，安全性，集中策略和編排。

今年6月Silver Peak的Unity EdgeConnect推出了分段和安全服務鏈SD-WAN解決方案。這些新功能使分布式企業(yè)能夠?qū)⒂脩簟贸绦蚝蚖AN服務集中劃分為安全區(qū)域，并根據(jù)預定義的安全策略、法規(guī)要求和業(yè)務意圖，自動化跨LAN和WAN的應用程序流量控制。對于擁有多廠商安全架構(gòu)的企業(yè)，EdgeConnect現(xiàn)在可以提供無縫拖放服務鏈接到下一代安全基礎架構(gòu)和服務。

VeloCloud的VMware NSX SD-WAN具有獨特靈活的架構(gòu)，通過數(shù)據(jù)中心保護云目標流量，可用于托管安全設施、VPN終端，也可以用于插入其他服務，包括防火墻和云端 - 基于安全性(例如Zscaler)。NSX SD-WAN Edge支持的VNF功能還允許在分支中插入安全服務。

2. 具有高級防火墻的SD-WAN設備

基本狀態(tài)防火墻可能足以作為第1階段連接，用于連接到特定的SaaS IP，但不適用于更廣泛的Internet訪問。為此，一些廠商在其SD-WAN設備中添加了NGFW功能。

Open Systems在SD-WAN術語創(chuàng)建之前就開始提供與SD-WAN相關的服務，他們的解決方案提供安全即服務，他們的全托管服務在其邊緣設備上提供了完整的安全棧和云管理。Open Systems聲稱將其第三方服務重新打包，作為托管安全SD-WAN設備的一部分。它的任務是控制網(wǎng)絡安全服務，包括分布式企業(yè)級防火墻; CASB、端點檢測和響應、網(wǎng)絡安全監(jiān)控; 分布式網(wǎng)絡入侵防御和WiFi安全。

Versa Networks的SD-WAN增強了對分支機構(gòu)的保護，其SD-WAN安全解決方案提供了基于軟件的安全功能，包括狀態(tài)和下一代防火墻、惡意軟件防護、URL和內(nèi)容過濾、IPS和防病毒、DDoS和VPN/下一代VPN。Versa Networks聲稱其SD-Branch解決方案提供了一套完整的集成網(wǎng)絡(路由、SD-WAN、以太網(wǎng)、Wi-Fi)和安全(NG防火墻、安全Web網(wǎng)關、AV、IPS)功能。虛擬客戶端設備(vCPE)也可以運行第三方VNF。

3. 具有SD-WAN功能的防火墻設備

與此同時，一些安全廠商已經(jīng)宣布為其NGFW設備提供SD-WAN功能。根據(jù)Gartner的報告，這些廠商包括Barracuda，F(xiàn)ortinet和Cisco Meraki。

Barracuda CloudGen防火墻為每個分支機構(gòu)提供可擴展的集中管理，本地安全實施以及高級上行鏈路智能和QoS的獨特組合。這樣可以通過直接的VPN隧道實現(xiàn)直接的互聯(lián)網(wǎng)突破，從而實現(xiàn)每個分支機構(gòu)的云部署和應用程序。Barracuda CloudGen防火墻包含WAN壓縮和重復數(shù)據(jù)刪除、故障轉(zhuǎn)移和鏈接平衡、動態(tài)帶寬和延遲檢測、跨VPN隧道的多個傳輸?shù)淖赃m應會話平衡、自適應帶寬預留等功能。

Fortinet是一家提供原生SD-WAN和集成高級威脅防護的NGFW廠商。Fortinet SD-WAN內(nèi)置高級SD-WAN功能，并集成在FortiGate下一代防火墻中，通過使用URL過濾、IPS、防病毒和沙盒檢測惡意軟件攻擊，使分支機構(gòu)能夠檢測惡意軟件的SSL流量。FortiGate SD-WAN采用單一的應用感知解決方案取代了單獨的WAN路由器、WAN優(yōu)化和安全設備，提供自動WAN路徑控制和多寬帶支持。它可以提高應用程序性能，降低WAN運營成本并最大限度地降低管理復雜性。

Cisco Meraki MX是一款企業(yè)安全和SD-WAN設備，專為需要遠程管理的分布式部署而設計，該設備配備了SD-WAN功能，使管理員能夠最大限度地提高網(wǎng)絡彈性和帶寬效率。該設備提供了內(nèi)容過濾和威脅防護、防火墻和流量整形、NAT和端口轉(zhuǎn)發(fā)、使用站點到站點VPN在Cisco Meraki設備和其他非Meraki端點之間創(chuàng)建安全加密隧道、組策略和黑名單等安全功能。

使用支持SD-WAN的防火墻設備，安全性遠遠優(yōu)于SD-WAN設備中包含的基本防火墻。但是，組織仍受限于設備的限制。更重要的是，雖然許多這些設備在紙面上顯得很好，但它們?nèi)狈?jīng)驗豐富的SD-WAN產(chǎn)品的成熟度。

4. 安全SD-WAN即服務

相反，一些供應商正在通過轉(zhuǎn)移SD-WAN和某些安全功能，來減少設備數(shù)量。Cato Networks是此方法的最佳示例，提供完全集成的安全性和SD-WAN服務。Cato Cloud將網(wǎng)絡與安全性融合在一起，通過基于策略的路由、SLA支持的全球骨干網(wǎng)、企業(yè)級網(wǎng)絡安全以及云和移動支持擴展了WAN。Cato旨在將所有企業(yè)資源連接到WAN，包括物理位置，云資源以及固定和移動用戶。借助Cato，網(wǎng)絡和安全功能可在任何地方和所有資源中使用，而無需引入點解決方案。

其他服務是安全SD-WAN作為服務方法的一部分。例如，Aryaka通過其SD-WAN服務提供基本的防火墻功能，但無法提供L4到L7控制，如NGFW、IPS、URL過濾和防病毒。Bigleaf Networks也是如此。Aryaka與Radware合作，通過基于行為的專利檢測提供DDoS保護。在網(wǎng)絡邊緣提供邊界安全解決方案，并將其內(nèi)置于SD-WAN設備[ANAP]中。Aryaka的SD-WAN安全平臺PASSPORT提供多層次、縱深防御的安全性，Aryaka提供虛擬狀態(tài)防火墻作為其SD-WAN的一部分，以及簡化的插入模型，以防止公共互聯(lián)網(wǎng)上常見的數(shù)據(jù)包丟失和延遲。

四、SD-WAN安全性：未來的期待

為了實現(xiàn)更高的安全性能標準，對于分支和WAN連接解決方案來說，某些功能是不可妥協(xié)的。例如，組織應該需要有狀態(tài)防火墻和應用程序防火墻，以及動態(tài)IPSec隧道和站點到站點的配對。安全特性還應該包括安全密鑰管理和動態(tài)密鑰更新，以及惡意軟件和x-ware內(nèi)聯(lián)檢測和保護。當然，標準的安全功能如防病毒和DDoS保護和檢測自然也應該包括在內(nèi)。

一個安全的SD-WAN帶來的好處是毋庸置疑的，為了在當今的安全環(huán)境中有效地發(fā)揮作用，SD-WAN安全不應該是事后才考慮的問題。相反，組織需要改變模式，使安全成為SD-WAN結(jié)構(gòu)的固有部分，從而確保其成為企業(yè)綜合安全基礎設施當中強大、關鍵且必要的支柱性元素之一。