SD-WAN安全五项基本原则

众所周知，安全性是兑现SD-WAN商业价值的首要前提和后盾。SD-WAN技术具有许多优势，例如更大的灵活性和更低的传输成本。但是，一旦将流量从结构化的专用MPLS 虚拟专用网转移到公共宽带链路上，安全性就成了第一位的考量因素，这也使得网络安全厂商的SD-WAN解决方案相比传统网络厂商更具竞争力，因为对于SD-WAN而言，安全性比连接性更加具有挑战性，大量安全厂商的涌入为SD-WAN市场带来了丰富的选择，但有时也会让用户“挑花了眼”。

为了确保网络韧性和安全性，企业选择SD-WAN解决方案时，需要参考以下五项基本原则：

1. 将SD-WAN安全性集成到企业的整体安全性体系结构中

许多企业错误地将SD-WAN安全性视为孤立的问题，而不是将其作为整体企业安全策略的关键要素。网络安全技术提供商Perimeter 81的首席执行官Amit Bareket指出：“大多数组织都将SD-WAN视为提供一定程度数据加密的连接工具。但事实上SD-WAN解决方案通常并不是用来提供数据安全服务的，对SD-WAN定位的错误认知会让企业面临安全风险。”

Bareket建议，对于SD-WAN流量的防护，组织及其安全团队应开发一种方法，该方法应将监视数据流量的基于策略的控制规则与整体SDN管理的检测响应模型集成起来。他说：“通过将安全放在首位，SD-WAN相当于为企业网络的漏洞增加了一个防护层。”

2. 不要将SD-WAN看作传统的网络技术

用传统物理网络的经验去理解SD-WAN安全性是错误的，传统的物理网络会自动对数据流施加某些限制，但这并不适用于SD-WAN。网络安全公司Menlo Security的首席技术官Kowsik Guruswamy 解释说：“例如，在传统网络中，您必须考虑流量模式和带宽要求。”“这将决定您在何处以及如何执行安全策略。”但是SD-WAN基于互联网，传统网络中的管控限制手段在这里并不适用。

3. 不要将安全性与单个供应商绑在一起

随着网络基础架构的扩展和新威胁的到来，企业的安全需求随着时间的推移而发展。在保留基本SD-WAN投资的同时，企业还需要网络具有灵活的功能，可以在出现新的攻击媒介时快速经济地迁移到其他安全解决方案，这是一项宝贵的安全能力。不幸的是，一些SD-WAN供应商将客户锁定在某个专有安全技术堆栈中。VMware的VeloCloud业务部门高级总监Karl Brown表示：“这种SD-WAN方案没有为将来提供灵活性，也没有提供与现有安全基础结构一起使用的灵活性。”

4. 不要过于传统防火墙

使用传统的WAN，分支机构的流量可以回传到企业数据中心，由传统防火墙处理或者在分支机构中部署与边缘路由器分开维护的传统防火墙。Brown认为：“这可能会导致一些问题，例如昂贵的带宽，沉重的性能损失，不可预测的应用程序性能以及不必要的复杂分支IT管理。”“借助SD-WAN，企业可以通过便宜的互联网服务，更有效地将流量发送到云和SaaS工具或者云托管网关。”

但是，在分支机构位置部署SD-WAN访问时，企业必须采取额外的安全预防措施，因为连接到互联网会产生更广泛的攻击面。Brown建议：“减轻这种新安全风险的最佳方法是利用云的功能来检测和缓解威胁。”他还建议采用统一的管理方法，合并模板化的策略和审核，并在每个分支机构集成网络和安全性。“总的来说，企业可以有效地实现和维护一致的先进威胁管理战略”他指出。

5. 正确部署SD-WAN设备

许多SD-WAN用户在防火墙后部署SD-WAN设备或在故障排除和/或配置SD-WAN设备时意外绕过了防火墙。WatchGuard网络安全产品管理副总裁B rendan Patterson认为：“在这种情况下，企业根本没有安全性，这使他们处于感染恶意软件的高风险中。”

可以通过将SD-WAN设备安装在防火墙前面来避免SD-WAN设备放错位置造成的安全漏洞，处理WAN连接的同时防火墙也能继续保护内部网络。Patterson 指出，对SD-WAN进行任何更改后，记住要重新检查所有安全控制，这一点很重要。

Patterson还建议企业利用最新的网络安全技术。他解释说：“许多统一威胁管理设备(UTM)和下一代防火墙现在都提供SD-WAN功能，例如智能路径路由。”“使用这些内置功能还可以解决[放置]问题，并且可以减少管理和维护两个设备的成本。”这对于中小型企业来说通常是一个不错的选择。

【本文是51CTO专栏作者“安全牛”的原创文章，转载请通过安全牛（微信公众号id:gooann-sectv）获取授权】

戳这里，看该作者更多好文