随着软件定义的广域网（SD-WAN）逐渐成为企业主流，这项技术越来越为人所熟知，尽管仍然存在大量令人眼花缭乱的网络设置。

但在这方面，当企业通过多协议标签交换（MPLS）电路从传统的分支机构-数据中心连接过渡到直接互联网接入和SD-WAN技术时，可能出现的基本问题是如何应对安全风险。特别是需要能够了解所有遍布互联网的服务相互关系。

Alexander Anoufriev是网络智能云平台ThousandEyes的首席信息安全官。他表示，SD-WAN部署经常被视为一种简单的方法，可消除互联网传输固有的不可预测性，因为它使用指标（如整体延迟性）来执行定义的策略。

Anoufriev 称：“虽然这些指标给予SD-WAN一定程度的’互联网感知’并使其能够根据路径性能做出决策，但重要的是要提醒我们自己，SD-WAN并没有在控制互联网，如果出现问题，SD-WAN还是无法告诉你问题是什么或由谁负责。

“它无法告诉你上游ISP是否正在丢数据包，或者边界网关协议（BGP）劫持是否会使您的用户面临风险。它甚至不能告知你的表现是否符合地区规范。”

除此之外，还要记住所有需要连接到应用程序和服务的外部依赖项，这些包括BGP路由、各种互联网服务提供商（ISP）、DNS服务、云安全代理、内容交付网络（CDN）、DDoS保护器等。因此，你需要查看网络路径中的每一跳，以及详细的丢失、延迟和抖动指标。

Anoufriev说：“依靠SD-WAN作为唯一的互联网可视性来源，就像依靠太阳镜作为您唯一的防晒工具。你只有有限的覆盖范围，而且这无疑会影响你的视觉。如果你不在数据中心的庇佑下或分支办公室不受保护，那么你就可能遭受严重‘晒伤’。“

SD-WAN即服务

我们可能会认为，在网络安全云平台工作的Anoufriev会强调持续监控SD-WAN的需要，但很明显他说的正确的是，很多版本的SD-WAN似乎都有一定数量的SD-WAN安全条款。

Jan Hein Bakkers是IDC分析公司的网络研究经理，他表示不应忽视分散市场的不成熟性。

他指出：“这个市场有很多产品、主张和参与者-来自不同电信公司、SD-WAN初创公司、进军该领域的网络公司的DIY托管服务，他们的服务完全不一样，现在还没有SD-WAN标准。

“事实上，我甚至会说这个领域根本不存在互操作性和标准化。企业需要了解这一点，并想清楚当他们做出选择时他们追求的目标是什么。因为这些产品都采用不同的方式解决网络可靠性、性能和带宽这些熟悉的问题。”

因此，企业需要在SD-WAN市场中作出自己的选择，当然，这将会或应该关联企业CISO或CIO采取的安全方法。

安全主张

我们也应该认识到，SD-WAN市场的某些部分正在关注安全主张，并且正在有效地销售安全的SD-WAN即服务。而这种安全推动力是基于，云服务增长给网络带来复杂性，从而需要安全相关的响应来保护互联网流量。

Cato Networks、Zscaler、VMware的VeloCloud和思科等供应商的SD-WAN都提供了某种形式的安全主张版本产品，对于网络卖家来说，这种产品可很好地提供直接替代方案，以解决棘手的问题。

例如，Zscaler的主张仍然需要SD-WAN合作伙伴，但该公司是通过为分支机构实现安全本地互联网突围，使得企业可轻松从辐射式架构迁移到云架构。

Zscaler公司表示：“简单地将互联网流量路由到Zscaler，便会立即开始检查所有流量-所有端口和协议，包括SSL。你可从单个控制台为所有区域定义并立即部署访问和安全策略。”

另一方面，Cato Networks公司认为SD-WAN将互联网传输引入MPLS广域网可在分支机构扩展容量并减少互联网流量，但不能满足访问互联网和云资源的网络安全要求。

该公司更安全的主张是“构建一个完全融合的全球SD-WAN作为云服务提供，其中内置网络安全性”。

“SD-WAN边缘设备支持网络基础设施和核心功能，例如基于策略的路由和传输无关覆盖，这可解决传统SD-WAN的问题。”

有些复杂

然而，大多数CISO都应该这样提醒自己：这些端到端的嵌入式安全云端SD-WAN产品只是整体方案的一部分。

4G网络业务Cradlepoint公司产品营销副总裁Donna Johnson表示：“SD-WAN不好之处在于供应商过度吹嘘SD-WAN的简单性。

“对某些人来说可能确实很简单，但这里还有很多值得思考的问题，并且，很多公司甚至不是很理解其中的应用程序。对于更传统的SD-WAN部署，这是重要的事情。”

在安全性方面，Johnson指出SD-WAN项目应始终由网络和安全职能共同协调完成。

“例如，你可能会发现防火墙规则阻碍着SD-WAN，但很多公司甚至不了解他们的路由器设置，而且这可能会在未来几年的网络变化中变得非常复杂。”

保护网络安全

对于考虑部署SD-WAN的企业而言，还需要考虑哪些其他方面的SD-WAN安全问题呢？

Paul Dawes是Mode公司的首席执行官，该公司在SD-WAN市场提供特定产品-为像Microsoft Azure这样的运营商级网络提供“全球覆盖”，以确保高性能的云专用网络。他表示，首先必须决定SD-WAN主张是什么类型。

“你是否会选择更传统的网络部署，包含防火墙和网关，而又有软件能够提供更高级别的控制和战略可见性，还是选择Zscaler等供应商提供的外包模式？这是众多选择中的两个选项，但重点是它们在架构方面完全不同，在新WAN的交付和安全所需的关注度也不同。”

Mode本身专注于网络的中间位置，Dawes表示其产品在该领域的安全性方面非常重要，因为它提供了第三种方式：专有核心骨干网络，这可以替代MPLS和互联网，提供加密和服务质量。

“对于安全和网络架构，重要问题是，你是否可以提供端到端的流量加密？您的密钥是否暴露在其他地方？在加密方面，你必须能够信任运营商。”

对安全的态度也会因环境而有很大差异。在真正大型的企业（或者是在高度监管领域的公司），通常会有CISO进行安全审计并以系统的方式询问漏洞，包括解密流量，而在很多企业都不会有这种详细的审查。

前面我们已经谈论了足够多的理论，下面让我们看看在实践中部署SD-WAN的几家公司。

SD-WAN和全球律师事务所

Mode一直在协助一家跨国大型律师事务所进行SD-WAN部署。该公司拥有先进的文档管理系统、高计费人员和要求苛刻的客户，该公司需要一个可靠的安全的网络来匹配其规模，并且需要具有15Gbps主干网和端到端加密。

Dawes称：“对于部署SD-WAN，他们的质量标准不会改变。在这种情况下，该公司排除了基于云的SD-WAN安全选项，因为在这些环境中的加密方式不太适合他们的需求，因为数据会在另一个基础设施中被解密。”

最终该公司选择Mode的专有骨干网与SD-WAN相结合。

“他们的CISO了解我们的专有核心服务可加快速度。我们必须展示我们如何处理DDoS或受影响的POP [存在点]，但SD-WAN和专有核心结合意味着，对于公司而言，即使在最坏的情况下，流量也只是通过互联网路由。”

与大多数SD-WAN部署一样，分阶段部署也是确保安全的重要部分，即在广泛部署前先试点运行。

Dawes称：“SD-WAN的好处之一是它的编排方式意味着你可以选择性地部署变更，这对于大型企业来说至关重要，并且，随着时间的推移，还可以动态管理带宽增加。”

Everyday Loans如何部署SD-WAN

另一位正在展开SD-WAN和安全之旅的是Tony Sheehan，他是英国不良信贷贷款提供商Everyday Loans的技术和基础设施经理。

Sheehan说：“该公司已有12年历史，并且是Citrix用户，除总部外，还设有40个分支机构。该公司部署SD-WAN的动力是可靠性以及对更多带宽的需求，即使我们在分支机构中的需求不是那么高，因为每个分支机构只有少数用户。”

在过去，该公司使用的是MPLS而不是EFM铜线，其中应用程序从中央数据中心提供。在大约18个月前，当该公司考虑升级时，而Cato Networks公司基于云的SD-WAN是不错的选择。

“我们的业务非常简单，我们想要简单的部署。我们也没有其他安全问题。我们是Citrix用户，并且，易于部署而不需要大笔投资的解决方案对我们非常有吸引力。IT网络集成商LAN3在部署中为我们提供了支持，使其变得简单。

Sheehan称：“Everyday Loans的位置在城镇中心，理论上最可靠的选择是光纤，但并没有普遍可用性。

“我们的铜缆连接可满足我们的需求，由4G路由器支持，并由Cato通过其Cato Socket SD-WAN设备为Cato Cloud提供安全通道。云数据中心通过从Cato Cloud到VPN网关的通道集成，这是无代理的。”

当谈到安全性时，Sheehan表示，互联网可能会增加分支机构的安全风险，但Cato的服务（例如防火墙即服务和其他安全产品）为我们提供了所需的保护。

他指出：“我们以前的安全性非常传统，一切都回到数据中心，并在网络外围执行严密控制。但这样仍然面临风险，而SD-WAN部署引入了Cato服务可覆盖的不同参数。”

现在，分支机构正在使用Web界面、Office365和其他云应用程序，通过专有链接返回数据中心或使用受到保护的互联网突围。

Sheehan称：“我们已经从中心辐射架构转变为具有单一管理界面的多突围网络。尽管现在还处于相对早期阶段，但目前运作良好。我们已经开始进行安全审计，以建立新的基线以及了解我们需要完全理解的新风险–随着我们越来越多地拥抱云计算。我们也开始使用分析来跟踪我们的连接可靠性。

对于加密，他表示他信任Cato在端点间的加密，以及根据浏览器请求提供站点到站点标准通道和互联网突围。

“到目前为止，我真的很高兴。我们不是一家金融科技公司，而是一家相当传统的金融服务公司，所以对于我们来说，拥有一个易于管理的基础设施仍然是关键。

“我们不希望雇用一个管理团队来运行100点网络，简单的管理和部署就已足够。当然，基于此，更好地利用新的网络分析功能也在我的待办事项列表中。”