SD-WAN安全五项基本原则

时间 2020-08-28

原文原文链接

众所周知，安全性是兑现SD-WAN商业价值的首要前提和后盾。SD-WAN技术具备许多优点，例如更大的灵活性和更低的传输成本。可是，一旦将流量从结构化的专用MPLS 虚拟专用网转移到公共宽带链路上，安全性就成了第一位的考量因素，这也使得网络安全厂商的SD-WAN解决方案相比传统网络厂商更具竞争力，由于对于SD-WAN而言，安全性比链接性更加具备挑战性，大量安全厂商的涌入为SD-WAN市场带来了丰富的选择，但有时也会让用户“挑花了眼”。数组

为了确保网络韧性和安全性，企业选择SD-WAN解决方案时，须要参考如下五项基本原则：安全

1. 将SD-WAN安全性集成到企业的总体安全性体系结构中服务器

许多企业错误地将SD-WAN安全性视为孤立的问题，而不是将其做为总体企业安全策略的关键要素。网络安全技术提供商Perimeter 81的首席执行官Amit Bareket指出：“大多数组织都将SD-WAN视为提供必定程度数据加密的链接工具。但事实上SD-WAN解决方案一般并非用来提供数据安全服务的，对SD-WAN定位的错误认知会让企业面临安全风险。”微信

Bareket建议，对于SD-WAN流量的防御，组织及其安全团队应开发一种方法，该方法应将监视数据流量的基于策略的控制规则与总体SDN管理的检测响应模型集成起来。他说：“经过将安全放在首位，SD-WAN至关于为企业网络的漏洞增长了一个防御层。”网络

2. 不要将SD-WAN看做传统的网络技术架构

用传统物理网络的经验去理解SD-WAN安全性是错误的，传统的物理网络会自动对数据流施加某些限制，但这并不适用于SD-WAN。网络安全公司Menlo Security的首席技术官Kowsik Guruswamy 解释说：“例如，在传统网络中，您必须考虑流量模式和带宽要求。”“这将决定您在何处以及如何执行安全策略。”可是SD-WAN基于互联网，传统网络中的管控限制手段在这里并不适用。ide

3. 不要将安全性与单个供应商绑在一块儿工具

随着网络基础架构的扩展和新威胁的到来，企业的安全需求随着时间的推移而发展。在保留基本SD-WAN投资的同时，企业还须要网络具备灵活的功能，能够在出现新的***媒介时快速经济地迁移到其余安全解决方案，这是一项宝贵的安全能力。不幸的是，一些SD-WAN供应商将客户锁定在某个专有安全技术堆栈中。VMware的VeloCloud业务部门高级总监Karl Brown表示：“这种SD-WAN方案没有为未来提供灵活性，也没有提供与现有安全基础结构一块儿使用的灵活性。”性能

4. 不要过于传统防火墙加密

使用传统的WAN，分支机构的流量能够回传到企业数据中心，由传统防火墙处理或者在分支机构中部署与边缘路由器分开维护的传统防火墙。Brown认为：“这可能会致使一些问题，例如昂贵的带宽，沉重的性能损失，不可预测的应用程序性能以及没必要要的复杂分支IT管理。”“借助SD-WAN，企业能够经过便宜的互联网服务，更有效地将流量发送到云和SaaS工具或者云托管网关。”

可是，在分支机构位置部署SD-WAN访问时，企业必须采起额外的安全预防措施，由于链接到互联网会产生更普遍的***面。Brown建议：“减轻这种新安全风险的最佳方法是利用云的功能来检测和缓解威胁。”他还建议采用统一的管理方法，合并模板化的策略和审核，并在每一个分支机构集成网络和安全性。“总的来讲，企业能够有效地实现和维护一致的先进威胁管理战略”他指出。

5. 正确部署SD-WAN设备

许多SD-WAN用户在防火墙后部署SD-WAN设备或在故障排除和/或配置SD-WAN设备时意外绕过了防火墙。WatchGuard网络安全产品管理副总裁B rendan Patterson认为：“在这种状况下，企业根本没有安全性，这使他们处于感染恶意软件的高风险中。”

能够经过将SD-WAN设备安装在防火墙前面来避免SD-WAN设备放错位置形成的安全漏洞，处理WAN链接的同时防火墙也能继续保护内部网络。Patterson 指出，对SD-WAN进行任何更改后，记住要从新检查全部安全控制，这一点很重要。

Patterson还建议企业利用最新的网络安全技术。他解释说：“许多统一威胁管理设备(UTM)和下一代防火墙如今都提供SD-WAN功能，例如智能路径路由。”“使用这些内置功能还能够解决[放置]问题，而且能够减小管理和维护两个设备的成本。”这对于中小型企业来讲一般是一个不错的选择。

【本文是51CTO专栏做者“安全牛”的原创文章，转载请经过安全牛（微信公众号id:gooann-sectv）获取受权】

戳这里，看该做者更多好文

【编辑推荐】

【责任编辑：赵宁宁 TEL：（010）68476606】