數(shù)字轉(zhuǎn)型不僅僅是將工作流遷移到云端和采納IoT，而是整個網(wǎng)絡(luò)的工具重構(gòu)，令整個網(wǎng)絡(luò)變得更快、更高效、更靈活、更具成本有效性。也就是說，數(shù)字轉(zhuǎn)型還意味著應(yīng)用敏捷軟件及應(yīng)用開發(fā)，重新思考訪問與登錄，以及創(chuàng)建動態(tài)自適應(yīng)網(wǎng)絡(luò)環(huán)境。

軟件定義廣域網(wǎng)(SD-WAN)可將數(shù)字轉(zhuǎn)型的好處延伸至分公司，因而是很多公司企業(yè)的首選。無論員工身處何方，是在數(shù)據(jù)中心還是多云部署還是網(wǎng)絡(luò)上任何一個位置都沒關(guān)系，都可以即時訪問分布式資源，而且無需嚴(yán)格的實現(xiàn)要求和昂貴的傳統(tǒng)多協(xié)議標(biāo)簽交換(MPLS)連接開銷。

常見SD-WAN安全錯誤

但是，很多公司在采納SD-WAN時并未周密考慮安全問題。SD-WAN項目通常由網(wǎng)絡(luò)運維團(tuán)隊負(fù)責(zé)實施，但太多公司過于沉浸在SD-WAN帶來的好處中，以致完全忘記了安全。

還有部分問題源于供應(yīng)商沒在其解決方案中集成進(jìn)恰當(dāng)?shù)陌踩胧Ｄ壳凹s有60多家SD-WAN解決方案供應(yīng)商，幾乎全部都僅支持 IPSec VPN 和基本的狀態(tài)性安全，而這完全不足以在不斷進(jìn)化發(fā)展的網(wǎng)絡(luò)攻擊面前保護(hù)好公司企業(yè)。因此，公司企業(yè)不得不在部署SD-WAN后再添加額外的有效安全層。供應(yīng)商的過失不僅令公司企業(yè)因運行了他們的不安全解決方案而陷入風(fēng)險，往復(fù)雜SD-WAN部署上硬加傳統(tǒng)安全工具的做法也增加了不必要的復(fù)雜性和開銷，導(dǎo)致維持SD-WAN的總成本上升。

SD-WAN基本安全要求

為解決這些問題，SD-WAN解決方案至少應(yīng)包含以下4個基本安全策略：

1. 要求原生NGFW防護(hù)

首先，公司企業(yè)須選擇內(nèi)置了下一代防火墻(NGFW)安全的SD-WAN解決方案。作為SD-WAN部署的一個集成功能，這一先進(jìn)的安全技術(shù)能確保整個SD-WAN保持一致的檢查、檢測和防護(hù)，無論是在分公司還是在云端還是在數(shù)據(jù)中心。同時，即便SD-WAN為適應(yīng)網(wǎng)絡(luò)需求而做出改動，NGFW也可對原生工作流、數(shù)據(jù)和應(yīng)用提供保護(hù);而這是大多數(shù)遺留安全解決方案難以提供的一個功能。當(dāng)然，不是所有安全解決方案都一樣，所以如果該集成NGFW安全解決方案能夠經(jīng)由第三方檢驗其安全有效性，情況會更加美好。

2. 集成很重要

誰都不想再多部署一道獨立的安全解決方案。今天的分布式數(shù)字網(wǎng)絡(luò)安全防護(hù)工作就已經(jīng)夠復(fù)雜的了，割裂的可見性和逐設(shè)備策略編排只會更加復(fù)雜化這項工作。所以需確保的第二件事，就是為SD-WAN部署選擇的安全策略要能無縫集成進(jìn)現(xiàn)有安全架構(gòu)中。選擇一個能融入現(xiàn)有安全框架的解決方案可以通過提供網(wǎng)絡(luò)安全可見性、集中式管理控制和威脅情報共享與關(guān)聯(lián)，給公司帶來更健壯的安全狀態(tài)。

3. 必須加密SD-WAN流量

用寬帶連接替代MPLS的問題在于公共互聯(lián)網(wǎng)通常是不可靠的，對于需即時訪問資源和數(shù)據(jù)的數(shù)字公司及用戶而言，這有可能引發(fā)嚴(yán)重問題。而且，近90%的公司企業(yè)都采用了多云策略，每個云都要求有獨立的連接。因此，大多數(shù)部署SD-WAN的公司采用多條寬帶連接各分公司到核心網(wǎng)絡(luò)及訪問各個云實例。然而，每條此類連接同時也擴(kuò)展了公司的潛在攻擊界面。

另外，為提升員工協(xié)作效率，公司企業(yè)傾向于部署 Office 365 和 Salesforce 之類基于云的軟件即服務(wù)(SaaS)應(yīng)用。這些連接常會包含需加以保護(hù)的關(guān)鍵信息。所以，任何SD-WAN解決方案都應(yīng)采用VPN為自己覆上一層傳輸安全保障，而且這些VPN解決方案還提供了非常高的性能和動態(tài)可擴(kuò)展性。

4. 必須檢查加密流量

以微秒為成功計量單位的數(shù)字商業(yè)環(huán)境中，僅有安全的連接顯然是不夠的。隨著SSL(HTTPS)流量的增長，攻擊者逐漸將惡意軟件隱藏進(jìn)加密隧道以逃避檢測。不幸的是，大多數(shù)SD-WAN供應(yīng)商提供的基本安全措施并不包含SSL檢查，或者，即便有SSL檢查，功能性能上也達(dá)不到要求。這是企業(yè)部署SD-WAN時最常見的一種失誤。

其中難點之一在于，就算安全團(tuán)隊確實在SD-WAN部署中嵌入了安全，SSL檢查也會拉低市場上幾乎每個遺留NGFW解決方案的性能。事實上，絕大多數(shù)安全供應(yīng)商甚至不會公布他們的SSL檢查性能指標(biāo)。然而，當(dāng)今數(shù)字市場中激烈競爭的公司企業(yè)也不愿意犧牲性能求安全。因此，SSL檢查要么隨意實現(xiàn)，要么根本就沒有。這也是為什么除了可擴(kuò)展的VPN連接，還得關(guān)注第三方測試給出的SSL檢查指標(biāo)的原因。我們必須選擇同時符合性能要求與安全要求的解決方案。

總結(jié)

SD-WAN迅速成為網(wǎng)絡(luò)轉(zhuǎn)型工作的基本構(gòu)件，令公司企業(yè)得以在當(dāng)今激烈的數(shù)字市場競爭中獲得速度與效率上的優(yōu)勢。但隨著威脅與惡意軟件愈趨復(fù)雜和普遍，我們必須補強傳統(tǒng)MPLS連接的既有安全防護(hù)。

為此，高級安全功能不僅應(yīng)成為最初SD-WAN選擇時的考量內(nèi)容，還應(yīng)盡可能徹底地集成到環(huán)境中，以便更好地檢測和防止如今越來越先進(jìn)的各種威脅。可供選擇的高級安全功能包括原生NGFW、靈活可擴(kuò)展的VPN和高性能SSL檢查。想要明智選擇這些解決方案，可以求助于評估過程中包含安全性能與功能考量的第三方測試。

【本文是51CTO專欄作者“”李少鵬“”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文