為什麼SD-WAN需要新的安全控制點

　　隨著越來越多的使用者和事物在雲中訪問應用程式和資料，更多企業採用SD-WAN技術，使能企業高效地進行數字化轉型。研究表明，在接下來的幾年裡，到2022年，SD-WAN將增加五倍，佔WAN流量的29%。IDC最新的SD-WAN基礎設施預測稱：“ 這個快速發展的網路市場將從2017年到2022年以40.4%的複合年增長率增長到45億美元。”很明顯，這是2019年網路行業裡網路安全最大的變化。

　　我們要清楚為什麼SD-WAN在構建廣域網的過程中推動了這種正規化的轉變?首先，我們知道傳統的WAN架構並非針對雲應用程式進行了最佳化設計，而是藉助SD-WAN，企業可以透過直接網際網路訪問(DIA)從遠端分支機構使用網際網路作為其虛擬網路，該分支機構易於大規模部署且易於管理，還為企業提供了傳統MPLS服務的高質量，價格合理的骨幹替代方案，以及大多數WAN流量的回傳方式。例如，企業可以直接訪問Office365，AWS，Salesforce和其他SaaS / IaaS產品，以及將其流量直接路由到雲應用提供商最近的Point of Presence(PoP)，從而提高使用者的網路響應能力和應用體驗，同時降低業務的頻寬成本。

　　一、SD-WAN新的安全挑戰

　　雖然，SD-WAN在企業網路中彰顯了眾多優勢，但也暴露了新的安全挑戰。由於SD-WAN支援直接網際網路訪問，能夠規避DMZ安全性，IT部門必須考慮解決幾種不同的安全元件，以最大化實現其SD-WAN拓撲：

　　外部威脅：直接使用網際網路接入使WAN易受攻擊，可能會使分支暴露於更廣泛的攻擊媒介，這導致未經授權的訪問其基礎設施，拒絕服務攻擊和勒索軟體。

　　由內而外的威脅：當發生違規時，資料透過網際網路傳送到惡意基礎設施。以惡意軟體感染，命令和控制攻擊，網路釣魚攻擊和內部威脅的形式，如果沒有迴流到企業防火牆的流量，雲端必須有邊緣保護，以保護和保護關鍵資料免受攻擊。

　　內部威脅：Corporations始終需要對其流量進行身份驗證，加密和分段，否則，他們會將攻擊面開啟。內部威脅有多種形式，例如，違規或內部威脅，橫向移動可能會感染關鍵基礎設施，80%的分支機構違規發生在企業公司的範圍內，因此，內部威脅變得尤為重要。

　　信任：擴充套件遠端連線時IT的首要任務是確保使用者和遠端裝置(終端使用者和網路裝置)的安全性和完整性，這些裝置不再受資料中心的鎖定和金鑰控制。隨著企業開始採用軟體定義的架構，確認使用者和裝置身份，狀態評估，可見性以及隨後由策略(安全性，資料和應用程式)驅動的網路訪問將是最大的挑戰之一。

　　二、如何實現有效的SD-WAN安全實施

　　在部署方面，企業可以實現一些有效的模型：

　　①內部部署解決方案：企業可以採用控制和嵌入功能，如下一代防火牆(NGFW)，入侵防禦(IPS)和URL過濾功能，以實現在路由器本地執行的全面分支邊緣安全性。

　　②分段是隔離和保護企業中關鍵資產的基本方法。SD-WAN透過基於IPsec等加密協議在所有企業鏈路上構建單個覆蓋，提供差異化的分段解決方案，並將VLAN或IP地址範圍對映到每個位置的定義隧道。使用SD-WAN進行分段可以實現對每個網段的完全可見性和控制。

　　③適用於IaaS的雲安全功能：安全和網路團隊之間的有效協作可為應用程式和/或工作負載帶來安全，可擴充套件的雲佔用空間。SD-WAN有助於在虛擬網路功能(VNF)之間實現更緊密的整合，編排和服務鏈，以實現路由和安全性。這使企業能夠圍繞雲託管服務構建適當的安全邊界。

　　④SaaS和DIA訪問的安全性：透過DIA訪問SaaS應用程式時的內外和內外威脅可以透過雲中的安全網際網路閘道器(SIG)服務得到緩解，提供網路內外的可見性和執行，保護所有埠和協議以及SaaS的發現和控制。雲訪問安全代理(CASB)服務強制執行資源的身份驗證和授權，並有效地實現對公共域中的SaaS的安全訪問。

　　⑤裝置(BYOD)和移動性：BYOD需要適當的安全措施，以便透過蜂窩或公共Wi-Fi連線所有員工，對內部部署以及基於雲的應用程式和工作負載進行安全，可擴充套件的訪問。SD-WAN和身份服務整合可確保裝置/使用者級身份驗證，狀態評估以及對企業基礎架構的安全分段訪問，多因素身份驗證(MFA)已被證明是安全訪問資源的有效方法。

　　⑥加密流量分析：網際網路上的大多數應用流量都是加密的，無論是SaaS還是P2P或https交易，使用是一種唯一可擴充套件的模型，它使用機器學習透過威脅啟發式不斷更新自身。

　　最後，根據您的網路環境，找出那些控制元件放置最有意義的地方，並檢視使用基於雲的管理和協調策略的機會，以便您可以獲得相同的策略。