如何应对SD-WAN 安全问题

如何应对SD-WAN 安全问题
作者：暂无
来源：《计算机世界》 2020年第6期
在SD-WAN 的基本安全性还不够强大时，企业应当采取入侵防御、防病毒、统一威胁管理
等额外措施。

作者 Neal Weinberg 编译陈琳华
SD-WAN 技术正变得越来越普及，因为它们比MPLS 更便宜、更灵活、更易于部署，并且
提供了集中的可见性和管理功能。

得益于WAN 链接整体性能的提高，员工的生产力也得到了大
幅提升。

但是让分支机构中的最终用户直接连接到公共互联网和云服务会引起严重的安全问题，这使得SDWAN部署的复杂性和风险也随之提升。

据市场研究机构EMA（企业管理联盟）在2018 年底对北美和欧洲的250 家企业进行的一
项调查显示，在分支机构中部署了SD-WAN的企业出现数据泄露的可能性是未部署SD-WAN 的企
业的1.3 倍。

EMA 的分析师Shamus McGillicuddy表示，这是因为许多企业最初完全依赖其
SD-WAN 设备中的原生安全功能，而不是通过附加防御层来增强这些功能。

典型的SD-WAN 产品会提供状态防火墙、网络分段和站点到站点隧道等功能，但是它们并
不提供更复杂的安全措施。

例如，可识别应用程序的下一代防火墙、入侵防护、数据丢失防护
和统一威胁管理。

此外，它们不会与企业的其他安全基础设施进行自动集成。

好消息是，企业客户越来越意识到除了产品的基本功能之外还需要其他的一些安全功能。

IDG Research 和托管SD-WAN 服务提供商Masergy 近期进行的一项调查显示，有81％的受访
者表示，安全性是他们选择SDWAN厂商的最关键因素。

纯粹的SD-WAN 厂商已经得到了清晰且明确的信息，并开始与CheckPoint、Palo Alto Networks 等传统安全供应商以及Zscaler 等基于云的提供商合作提供集成软件包。

对于想要确保SD-WAN连接具有强大安全性的客户而言，他们还有另外两种选择。

企业可以选择拥有良好的安全口碑且最近已开发出了SD-WAN 产品的公司，例如思科或Fortinet，也可
以选择由运营商或托管服务提供商来承担端到端WAN流量的责任，同时选择这些提供商提供的
安全功能，例如可以按需购买的Web 内容过滤和防病毒保护。

美国Network World网站采访了两家部署SDWAN但采用完全不同方法来确保其分支机构连
接的公司Westcon-Comstor 和GHD。

这两家公司均意识到他们应该做更多的事情来增强其SD-WAN 安全性。

借助下一代防火墙技术提升Silver PeakSD-WAN 的安全性
全球IT 分销商Westcon-Comstor 的高级基础架构经理Michael Soler表示，吸引他从基
于SilverPeak Unity EdgeConnect 平台的MPLS 转向SD-WAN的因素是弹性、成本、可扩展性
和可视性。

该公司的远程网络由两个共同管理的数据中心、两个Azure 数据中心以及位于北美、欧洲
和亚洲的23 个办事处组成。

弹性是老旧MPLS网络一直存在的问题。

Soler 说：“ IPSec 故
障转移非常麻烦。

在你真正需要它们之前，它们在纸上总是看起来很棒。

”
成本是另一个问题。

Soler 指出，由于缺乏对网络使用情况的了解，优化带宽需求以及确
定超额预订或低额预订的数量十分具有挑战性。

长期以来，通过MPLS网络修改或启动新服务时，一直都存在灵活性不足且响应时间过慢
的问题。

Soler 说，MPLS 部署的复杂性增加了出错机会，这导致用户体验不佳。

在调研了许多SD-WAN厂商之后，他于2017 年底开始使用Silver Peak 设备进行概念验证，并对其快捷部署和高效，尤其是诸如前向纠错和路径调节等功能印象深刻。

Soler 为部署流程
建立了模板，随后在所有站点开始部署SD-WAN 技术。

Soler 称：“我们取得了巨大的成功。

”WAN 成本得到了降低，同时弹性和可视性也得到
了极大改善，最终用户对通过直接访问互联网和Azure 云所能实现的性能和灵活性感到满意。

为了解决分支机构中存在的与互联网突围（Internetbreakout）相关的安全问题，Soler
部署了下一代防火墙，以强化Silver Peak 设备随附的状态防火墙。

互联网突围是指分支机构
的互联网流量没有回传到应用安全控制的中央站点。

Soler 相信通过不断的努力，最终会寻找到可更为高效地强化安全态势的方法。

目前，Soler 正在研究一种称为服务链接的技术，该技术使他能够获取位于德国的4 个分支机构的流量，并将其集中到位于德国境内应用了防火墙策略的中央枢纽。

Soler 称，从长远来看，他
也有兴趣研究基于云的SDWAN安全服务。

基于云的安全服务增强了SD-WAN 安全性
GHD 全球网络经理Randy Taylor 在部署Riverbed SD-WAN 设备时采取了与Westcon-Comstor 不同的方法。

他没有购买分支机构安全工具，而是选择了Zscaler 基于云的安全服务。

GHD 提供一站式工程、建筑、环境等专业服务，其拥有一个纯粹的MPLSWAN，可将来自全
球30 个站点的流量回传到其托管数据中心。

该公司在2015 年展开了一系列的并购活动，使得其在北美的WAN 接近130 个站点。

面对
每个新的MPLS链路可能需要3~5 个月才能完成部署，Taylor 不得不开始寻找替代方案。

Taylor 说：“我们需要一种更快的方法。

订购MPLS线路的漫长周期让我们感到精疲力尽。

”作为位于LAN端的思科商店以及从事WAN优化的Riverbed 客户，GHD开始对Riverbed SD-WAN产品展开研究工作。

最初，Taylor 对SDWAN等颠覆性技术持怀疑态度，但是他对使用互联网作为传输工具的想法很感兴趣。

因此他决定在一些较小的北美站点进行尝试性部署。

Taylor 说，他发现RiverbedSteelConnect SD-WAN 设备非常易于部署，他可以在不到六周的时间内连接50 个站点。

得益于Riverbed 近乎零接触的流程，在将云设备交付到分支机构之前，他能够在云门户
中对其进行预配置。

非IT 人员可以按照简单的说明，插入设备并在几分钟内运行它们。

Taylor 说：“我们能够马上看到的好处首先是互联网突围。

” SD-WAN 的推出恰逢其时，这与公司开始越来越多地使用SaaS 应用程序相匹配。

他说：“它们几乎立即成为了我们访问SaaS的解决方案。

”
作为一家为政府提供服务并需要遵守ISO 标准的公司，GHD 非常注重安全性。

Taylor 表示，他需要强化带有附加安全层的SteelConnect 集成防火墙，以抵御越来越多的恶意软件。

虽然GHD 在其数据中心部署了企业级防火墙，但是他们发现购买和维护这些企业级防火墙
的成本很高。

由于不希望在所有分支机构中部署额外的安全硬件，GHD 选择了云服务并最终选
中了Zscaler。

来自分支机构的所有流量都会流经执行安全策略的Zscaler 站点。

Zscaler 会查看数据并
监视返回流，因为它们会进入互联网。

该服务提供了诸多功能，包括防病毒、白名单、黑名单、UTM、附件沙盒和零日防护。

Taylor 说，Zscaler 为他们节约了不少资金，并且与维护和更新自有安全硬件相比要更加方便。

与此同时Taylor 也警告称，由于分支机构的流量需要连接到最近的Zscaler 节点，如果最近的节点与请求者之间有一段距离，那么性能可能会受到一定程度的影响。

从整个的SD-WAN 经验来看，原来的拓扑需要六名全职网络工程师维护，现在只需要一名
工程师进行巡查即可。

日常维护基本上交由服务台进行，原来的六名工程师现在可以专注于创新。

如今，Taylor 的部署范围已经不再是最初用来尝试的那50 个小型站点，他开始在全球范
围内全面部署SD-WAN。

“ 成本节省和性能提升是如此巨大，以至于我们开始尽可能地取消MPLS。

”虽然合规性原因导致某些流量无法进入云端，某些语音和视频应用程序也要保留在MPLS 上，但是SD-WAN 已成为了GHD 的主要WAN 传输模式。

通过混合方法提升SD-WAN 的安全性
WAN 安全性模式正在由原来的集中式转为分布式，即由原来的分支机构的流量通过安全的MPLS 回传至数据中心的模式变成每个分支机构都提升安全性，这种转变需要一种新的组织方法。

SD-WAN 不再由网络和安全小组独立负责，而是采取合作的方式，因为团队希望部署集成工具和使用通用数据集。

McGillicuddy 认为，这种合作已经超越了诸如事件响应之类的单一情况，并已扩展到基础设施的设计和部署领域。

实际上，许多公司也正在采用混合方法来实现SDWAN安全性。

如果公司的安全设备还可以
继续使用数年时间，那么他们就不需要对设备进行翻新和更换。

为此，这些公司正在想办法将
安全功能集成到SD-WAN部署中，目的是与深度防御整合在一起。

部分公司采用的方式是托管服务。

由于许多纯粹的SD-WAN 厂商不仅通过托管服务提供商
出售其产品，还提供传统运营商在其SDWAN产品中使用的硬件，因此客户可以选择特定供应商
的设备，并将部署、维护和安全功能交给服务提供商负责。

市场研究机构NemertesResearch 的分析师JohnBurke 说：“解决问题的方法有许多种。

企业要针对自己的情况，在财务和架构上做出最佳选择。

”他指出，服务链是一种比较有吸引
力的方法，其理念是将多个分散站点连接到一个具有强大安全性的大型中心站点上。

最后，对于许多企业而言，摆脱MPLS 是他们选择转向SD-WAN 的推动力。

对此，Burke 指出，超过一半的企业会继续把MPLS 用于特定应用，但是MPLS 已经不再是主力的WAN 链接，
它们主要用于一小部分多样化的且被优化过的安全WAN 流量。

本文作者Neal Weinberg为专注
于技术领域的自由作家兼编辑。

原文网址
h t t p s : / / w w w .n e t w o r k w o r l d . c o m /article/3447618/how-toaugment-sd-wan-securitywith-intrusion-preventionanti-virus-utm-and-more.html。