SD-WAN安全防護模型及能力建設挑戰分析

近年來，軟體定義廣域網 （SD-WAN）技術被企業廣泛應用，SD-WAN繼承了SDN控制與轉發分離、集中控制的理念，將物理上的分佈網路抽象為統一管理的邏輯網路，以便更加靈活地使用和排程，實現了企業在總部和分支機構、資料中心和雲平臺之間的快速組網。

SD-WAN提升了廣域網的質量、可用性和可靠性，同時大大降低了企業廣域網的總體擁有成本，但是不經意間也創造了新的攻擊面，為勒索軟體、APT、病毒蠕蟲和其他惡意軟體提供了入侵機會。

1、SD-WAN的安全風險

安全風險可能來自以下幾個方面：

1)非法接入

非法的裝置或使用者接入網路，例如，如果控制器對CPE的驗證出現驗證漏洞，仿冒CPE就有可能透過網路控制器的註冊接入網路，帶來嚴重的安全風險。

2)滲透入侵

SD-WAN網路中的管理中心和資料中心等擔負著認證、授權、管理、資料收集、資料儲存的重要任務，最容易成為駭客攻擊的目標，而位於網路出口邊緣的CPE裝置，也同樣因為直接暴露到廣域網上直接承受大量網路掃描和攻擊。

3)資料洩露

SD-WAN網路中控制通道中的認證、授權資訊及資料通道傳輸的資料，透過因特網傳輸時存在資料被擷取或被篡改、仿冒的安全風險。

4)業務安全

網路中的資料中心、各分支節點或雲端業務資料，容易遭受病毒、木馬、勒索軟體帶來的威脅和攻擊，各分支節點業務系統也往往因為安全防護力量薄弱更容易遭受內部攻擊。

5)運維風險

當企業分支節點越來越多，眾多分支邊界裝置管理複雜，這給快速定位網路問題，溯源取證並及時做出響應帶來了很大管理挑戰，處置不及時會產生相應的運維風險。

6)法律合規

企業廣域網中資訊流動跨度變大，資訊服務或使用者資料分佈在不同地區甚至是不同國家，SD-WAN建設需要遵從當地的法律法規。比如我國政務網組網中的合規要求之一就是使用國密演算法或國密產品。

2、SD-WAN的安全模型構建

SD-WAN安全是一個系統工程，需要從整個系統的管理、控制、業務多個層次考慮安全能力建設。ITU-T 的X.805（2003）規範中規劃了一個關於資訊網路端到端安全服務體系的架構模型，該模型中各個層（或面）上的安全相互獨立，可以防止一個層（或面）的安全被攻破而波及到其他層（或面）的安全，這個模型從理論上建立了一個抽象的網路安全模型，可以作為SD-WAN安全體系架構的依據。

X.805模型具體內容包括了三層三面八個維度的安全能力，三個層次是應用層、業務層和傳送層，三個切面是：管理平面、控制平面和使用者平面，八個維度是：認證、可用性、接入控制、不可抵賴、機密性、資料完整性、私密性和通訊安全。見圖1。

圖1：X.805標準端到端安全服務體系的架構模型

裝置層和網路層安全能力是SD-WAN組網中保障系統安全、可靠運轉的必備的基礎安全能力，元件自身安全元件自身要具備健壯的系統架構和完善的安全加固策略，並透過元件互信、安全接入、資料加密、賬號管理、安全審計等多種措施保證自身的安全性。此外基礎的安全能力還包括防DDOS攻擊、畸形報文攻擊、頻寬異常佔用、網路拓撲或路由偽造攻擊等。

業務安全經常是需要單獨部署的安全功能，要根據企業使用者實際的業務安全需求，靈活選擇適合的安全防護措施。比如防火牆策略控制、防垃圾郵件、入侵防禦、URL過濾、防病毒，WEB應用防護、零信任等。

3、SD-WAN安全能力建設挑戰

透過近期的調研，我們認為企業SD-WAN安全能力建設時可能會面臨以下挑戰：

1)SD-WAN管理平臺與CPE裝置的安全能力挑戰

SD-WAN管理平臺除了具備基本的SD-WAN組網能力外，還要滿足安全性、功能性、易用性、視覺化等能力要求，具備海量資料處理的穩定性要求。CPE裝置要求具備全方面的安全防護能力，入侵防禦、防病毒、URL過濾、應用識別、威脅情報、VPN等必不可少。

2)安全建設成本挑戰

SD-WAN組網往往節點眾多，裝置呈規模化採購，需要基於業務安全防護需要綜合考慮安全元件採購成本、安全運維成本。網路安全需要更多維度的綜合防禦，現代網路中已離不了嚴格的身份控制、精細化資料防洩漏、基於雲查殺的病毒防護、防高階勒索病毒、及自動化攻擊防護等技術。選擇安全解決方案時需要充分考慮解決的先進性、可升級能力及智慧化的主動安全防禦能力。

3)安全運維挑戰

邊界裝置眾多，管理運維複雜。需要邊緣裝置支援零配置上線、一鍵vpn下發等極簡運維方式。如果缺乏足夠的運維人員，可以選擇託管，讓專業的廠家做專業的事情，自己集中精力做自己的業務。

關於SD-WAN應用的更多安全需求分析及安全SD-WAN應用案例，請關注安全牛即將釋出的《安全SD-WAN應用指南》報告。