从Facebook和谷歌“安全门”说起：SD-WAN的“奶酪”与“陷阱”

9月28日，黑客利用Facebook的安全漏洞窃取了与用户个人资料相关的安全令牌，导致近5000万用户的账户遭到了破坏；10月9日，Google宣布关闭旗下社交网站Google+的消费者版本，因为Google+在长达两年多时间里存在一个软件漏洞，导致最多50万名用户的数据可能曝露给了外部开发者。从全球组织的大规模数据泄露到爆炸性勒索软件攻击，安全性对于企业的重要性不言而喻。

如今，软件定义广域网（SD-WAN）大火，SD-WAN也成了黑客利用的新的威胁载体。以往，集中访问和数据中心处理的方式保证了互联网访问的安全性。然而，SD-WAN的出现以及向混合连接的转变，使得部分分支机构无法避免遭受新一波复杂攻击的影响。SD-WAN不经意间创造了新的攻击面，利用直接互联网接入，为勒索软件、APT、病毒蠕虫和其他恶意软件提供了便利。

安全思维转变

很多公司在采纳SD-WAN时并未周密考虑安全问题。SD-WAN项目通常由网络运维团队负责实施，但太多公司过于沉浸在SD-WAN带来的好处中，以致完全忘记了安全。还有部分问题源于供应商没有在其解决方案中集成进恰当的安全措施。目前市场上的大部分SD-WAN解决方案供应商，几乎全部都仅支持IPSec VPN和基本的状态性安全，而这完全不足以在不断进化发展的网络攻击面前保护好公司企业。因此，企业不得不在部署SD-WAN后再添加额外的安全保护。

一、困局之斗：安全问题应该是首要考虑因素

缺乏安全意识的SD-WAN厂商不仅令企业因运行了他们不安全的解决方案而陷入风险，同时往复杂SD-WAN部署上硬加传统安全工具的做法也增加了不必要的复杂性和开销，导致维护SD-WAN的总成本上升。SD-WAN通常在这些方面容易遇到安全性问题：

设备漏洞：SD-WAN和Internet增加了物理访问设备的风险，当我们从单一或有限的集中管理的、安全的互联网网关迁移到一组分布式的互联网网关时，攻击面就会增大。特别是当分支机构直接连接到Internet时。SD-WAN设备是完全网状的，这意味着可能通过一个设备就可以让攻击者看到整个公司的流量。通过直接访问互联网，攻击者更有可能在未被发现的情况下窃取数据。

分支机构威胁：由于多云基础设施的扩展，SaaS应用程序的数量迅速增加，以及移动世界的日益分散，导致网络管理的复杂性不断增加，这是分支机构管理网络安全的最大挑战。传统的分支机构连接体系依赖于昂贵的路由设备和专用WAN电路，以便在访问互联网之前将流量回传到位于公司总部或数据中心的集中式防火墙。通过互联网直接访问应用程序的方式虽然价格低廉，但却无法提供企业级应用程序性能，并使网络容易受到攻击。

二、破局之道：SD-WAN如何增强安全功能

不过，企业可以通过将检查与执行点从数据中心内迁移至分支机构或者云端的方式应对这一新的安全挑战。安全管理员们需要评估其是否需要一套”不仅包含加密及一般状态防火墙服务”的新型安全层。此后，安全管理员需要查证分支机构或云环境中是否存在更多风险因素，从而帮助自己确定实际需要的安全层。

SD-WAN支持端到端加密以及按应用或组织层级进行划分，可提供嵌入式安全机制。但相当一部分SD-WAN供应商并不提供全面的企业级安全解决方案。
企业可以选择以下几种方法：
（1）整合至SD-WAN解决方案当中的高级安全方案。
（2）第三方SaaS方案。
（3）由现有或新供应商提供一套基于设备的内部方案。

每种方法都有着自己的优势与注意事项。一部分厂商也提供状态防火墙，当前不少路由器都已经支持这种常见服务。市场上大多数SD-WAN仍然缺少对下一代及安全网关（UTM）功能的支持。

将安全性融入SD-WAN

优势: 分支机构的集成安全方案能够将SD-WAN引入分支机构的下一连接发展阶段，还可实现多种交付方式。这类方案能够实现单一供应商、更简单的管理、内部流量保护以及智能流量管理与转向。借此企业将能够获得更为有力的安全保护表现，且不再需要处理额外的堆栈或设备。SD-WAN与内置安全机制还能为全部事件关联提供单一管理窗格，例如用户、应用程序、设备、位置与网络等等。

劣势: 安全性水平可能不像传统的“纵深防御”方案那么“纵深”，通常需要依靠多家供应商以覆盖安全基础设施中的各个层面，而不能简单的“一刀切”。

第三方软件即服务（SaaS）方案

优势: 第三方SaaS解决方案能够有效减少管理层面的麻烦，其消费模式的特点在于轻量化，甚至完全无需任何现场部署。实施及管理方面较为敏捷、易用。SaaS安全方案可以插入新的检查机制以实现数据保护，从而防止潜在隐匿及意外攻击所导致的高昂代价。

劣势:其多数服务只能识别基于HTTP的流量，这意味着企业无法确定如何对其它流量进行处理。此外，这些服务也可能缺少对通过备用协议传入的威胁向量的检测能力。而且从管理的角度来看，SaaS解决方案将管理界面与接触点割裂开来，并会给管理员带来额外的操作步骤，这意味着操作将进一步复杂化、所需投入的时间也相应增加。

部署现有或新供应商

优势: 不少企业依靠通过认证的现有供应商实现基于设备的内部保护方案。这种方法的优势在于企业对相关产品非常熟悉：这些解决方案长期驻留在内部环境下，安全管理员能够亲自打理并熟悉这些产品。由于这些产品的使用寿命较长，内部保护方案能够长时间存在于分支机构的基础设施当中，具备一定程度的有效性。

劣势: 从采购及运营的角度来看，专用设备类方案很可能带来高昂的成本。因为复杂，需要耗费大量人力去实现，同时要求投入更多资源以管理其在企业整体环境下的运作。而各分支机构中的多台数据密集型设备会进一步增加这类问题的处理难度。这样的复杂性有可能引发潜在的整合及/或互操作性问题，进而对生产力发展产生严重阻碍。另外，相当一部分设备之间并不存在单一事件关联点，这将导致部分威胁及其它异常活动可能通过设备间的“缝隙”溜入企业内部。

三、“兵器谱”：SD-WAN安全产品大盘点

SD-WAN市场竞争激烈，目前已经有几十家供应商。SD-WAN的一个关键卖点是它能够使企业利用低成本的互联网作为安全的企业级链路。网络安全是SD-WAN技术的关键区分因素，每个厂商都应该有自己独特的方法来保护流量和识别“安全”站点。

几乎所有SD-WAN厂商现在都把基本防火墙功能作为标准产品的一个特色。他们使用数据包识别来了解流量，例如，通过识别流量源头或去向来服务判断是否是可信任或是基于云的服务。此外，SD-WAN厂商提供的产品还包括内容过滤、端点识别和管理以及策略执行等功能，他们的产品可以分为以下四种类型。

具有基本防火墙功能的SD-WAN设备

许多SD-WAN厂商都在其SD-WAN设备中提供了基本的防火墙功能。这些防火墙大致相当于您在分支机构路由器中看到的状态防火墙。功能包括基于策略的过滤和基于端口或IP地址的阻塞应用程序。关于具有基本防火墙功能的SD-WAN的产品，这里列出Cisco（Viptela），Silver Peak，Velocloud。

今年8月Cisco（Viptela）宣布已经能够将Viptela SD-WAN软件集成到IOS XE中。思科正试图通过将防火墙，入侵防御和URL过滤集成到Viptela来加强其SD-WAN安全性。安全可扩展网络（SEN）是Viptela的SD-WAN解决方案，它包含五个关键的架构元素实现传输独立性、自动保护任何路由的端点、提供端到端网络分段、使用集中控制器实施策略、启用网络服务广告，SEN可提供安全的端到端网络虚拟化，并被企业用于构建大规模网络，并完全集成了路由，安全性，集中策略和编排。

今年6月Silver Peak的Unity EdgeConnect推出了分段和安全服务链SD-WAN解决方案。这些新功能使分布式企业能够将用户、应用程序和WAN服务集中划分为安全区域，并根据预定义的安全策略、法规要求和业务意图，自动化跨LAN和WAN的应用程序流量控制。对于拥有多厂商安全架构的企业，EdgeConnect现在可以提供无缝拖放服务链接到下一代安全基础架构和服务。

VeloCloud的VMware NSX SD-WAN具有独特灵活的架构，通过数据中心保护云目标流量，可用于托管安全设施、VPN终端，也可以用于插入其他服务，包括防火墙和云端 - 基于安全性（例如Zscaler）。NSX SD-WAN Edge支持的VNF功能还允许在分支中插入安全服务。

具有高级防火墙的SD-WAN设备

基本状态防火墙可能足以作为第1阶段连接，用于连接到特定的SaaS IP，但不适用于更广泛的Internet访问。为此，一些厂商在其SD-WAN设备中添加了NGFW功能。

Open Systems在SD-WAN术语创建之前就开始提供与SD-WAN相关的服务，他们的解决方案提供安全即服务，他们的全托管服务在其边缘设备上提供了完整的安全栈和云管理。Open Systems声称将其第三方服务重新打包，作为托管安全SD-WAN设备的一部分。它的任务是控制网络安全服务，包括分布式企业级防火墙; CASB、端点检测和响应、网络安全监控; 分布式网络入侵防御和WiFi安全。

Versa Networks的SD-WAN增强了对分支机构的保护，其SD-WAN安全解决方案提供了基于软件的安全功能，包括状态和下一代防火墙、恶意软件防护、URL和内容过滤、IPS和防病毒、DDoS和VPN/下一代VPN。Versa Networks声称其SD-Branch解决方案提供了一套完整的集成网络（路由、SD-WAN、以太网、Wi-Fi）和安全（NG防火墙、安全Web网关、AV、IPS）功能。虚拟客户端设备（vCPE）也可以运行第三方VNF。

具有SD-WAN功能的防火墙设备

与此同时，一些安全厂商已经宣布为其NGFW设备提供SD-WAN功能。根据Gartner的报告，这些厂商包括Barracuda，Fortinet和Cisco Meraki。

Barracuda CloudGen防火墙为每个分支机构提供可扩展的集中管理，本地安全实施以及高级上行链路智能和QoS的独特组合。这样可以通过直接的VPN隧道实现直接的互联网突破，从而实现每个分支机构的云部署和应用程序。Barracuda CloudGen防火墙包含WAN压缩和重复数据删除、故障转移和链接平衡、动态带宽和延迟检测、跨VPN隧道的多个传输的自适应会话平衡、自适应带宽预留等功能。

Fortinet是一家提供原生SD-WAN和集成高级威胁防护的NGFW厂商。Fortinet SD-WAN内置高级SD-WAN功能，并集成在FortiGate下一代防火墙中，通过使用URL过滤、IPS、防病毒和沙盒检测恶意软件攻击，使分支机构能够检测恶意软件的SSL流量。FortiGate SD-WAN采用单一的应用感知解决方案取代了单独的WAN路由器、WAN优化和安全设备，提供自动WAN路径控制和多宽带支持。它可以提高应用程序性能，降低WAN运营成本并最大限度地降低管理复杂性。

Cisco Meraki MX是一款企业安全和SD-WAN设备，专为需要远程管理的分布式部署而设计，该设备配备了SD-WAN功能，使管理员能够最大限度地提高网络弹性和带宽效率。该设备提供了内容过滤和威胁防护、防火墙和流量整形、NAT和端口转发、使用站点到站点VPN在Cisco Meraki设备和其他非Meraki端点之间创建安全加密隧道、组策略和黑名单等安全功能。

使用支持SD-WAN的防火墙设备，安全性远远优于SD-WAN设备中包含的基本防火墙。但是，组织仍受限于设备的限制。更重要的是，虽然许多这些设备在纸面上显得很好，但它们缺乏经验丰富的SD-WAN产品的成熟度。

安全SD-WAN即服务

相反，一些供应商正在通过转移SD-WAN和某些安全功能，来减少设备数量。Cato Networks是此方法的最佳示例，提供完全集成的安全性和SD-WAN服务。Cato Cloud将网络与安全性融合在一起，通过基于策略的路由、SLA支持的全球骨干网、企业级网络安全以及云和移动支持扩展了WAN。Cato旨在将所有企业资源连接到WAN，包括物理位置，云资源以及固定和移动用户。借助Cato，网络和安全功能可在任何地方和所有资源中使用，而无需引入点解决方案。

其他服务是安全SD-WAN作为服务方法的一部分。例如，Aryaka通过其SD-WAN服务提供基本的防火墙功能，但无法提供L4到L7控制，如NGFW、IPS、URL过滤和防病毒。Bigleaf Networks也是如此。Aryaka与Radware合作，通过基于行为的专利检测提供DDoS保护。在网络边缘提供边界安全解决方案，并将其内置于SD-WAN设备[ANAP]中。Aryaka的SD-WAN安全平台PASSPORT提供多层次、纵深防御的安全性，Aryaka提供虚拟状态防火墙作为其SD-WAN的一部分，以及简化的插入模型，以防止公共互联网上常见的数据包丢失和延迟。

四、SD-WAN安全性：未来的期待

为了实现更高的安全性能标准，对于分支和WAN连接解决方案来说，某些功能是不可妥协的。例如，组织应该需要有状态防火墙和应用程序防火墙，以及动态IPSec隧道和站点到站点的配对。安全特性还应该包括安全密钥管理和动态密钥更新，以及恶意软件和x-ware内联检测和保护。当然，标准的安全功能如防病毒和DDoS保护和检测自然也应该包括在内。

一个安全的SD-WAN带来的好处是毋庸置疑的，为了在当今的安全环境中有效地发挥作用，SD-WAN安全不应该是事后才考虑的问题。相反，组织需要改变模式，使安全成为SD-WAN结构的固有部分，从而确保其成为企业综合安全基础设施当中强大、关键且必要的支柱性元素之一。