從全球性組織的大規(guī)模數(shù)據(jù)泄露到爆炸性增長的勒索軟件攻擊，在數(shù)天內(nèi)感染了成千上萬的用戶，當(dāng)今的企業(yè)已經(jīng)比以往任何時候都面臨更多的威脅，而這些威脅的數(shù)量、頻率以及復(fù)雜性都在不斷增加。

除此之外，這種快速演變的威脅環(huán)境可能歸因于新的和擴(kuò)展的威脅向量，這些威脅通過非公司實(shí)體、消費(fèi)者設(shè)備，以及安全性差的合作伙伴網(wǎng)絡(luò)或分支機(jī)構(gòu)向外部威脅敞開了大門。例如，物聯(lián)網(wǎng)（IoT）和租戶服務(wù)迫使企業(yè)以一種獨(dú)特的方法來進(jìn)行流量服務(wù)/工作負(fù)載的分割，并引入一定的操作復(fù)雜度。

目前正在被利用的一個新的威脅載體的根源在于軟件定義的廣域網(wǎng)（SD-WAN），其無意中利用直接互聯(lián)網(wǎng)接入創(chuàng)造了新的攻擊面，這取決于當(dāng)前的安全模式，并為勒索軟件、APT、病毒蠕蟲和其他惡意軟件帶來了機(jī)會。從歷史上看，企業(yè)通過集中訪問和數(shù)據(jù)中心處理的安全措施來保證互聯(lián)網(wǎng)訪問。但是，在分支機(jī)構(gòu)直接訪問互聯(lián)網(wǎng)會導(dǎo)致大量入站攻擊，許多企業(yè)對SD-WAN（軟件定義廣域網(wǎng)）與向混合連接的轉(zhuǎn)變沒有做好準(zhǔn)備，因此無法保護(hù)共每個分支機(jī)構(gòu)免受新一波復(fù)雜攻擊。

安全思維的轉(zhuǎn)變

企業(yè)可以通過將其檢查和執(zhí)行點(diǎn)從數(shù)據(jù)中心轉(zhuǎn)移到分支機(jī)構(gòu)或云端，從而解決這一系列新的安全挑戰(zhàn)。具體而言，安全管理員需要評估他們是否需要不僅僅包含加密和一般狀態(tài)防火墻服務(wù)的安全層。然后他們需要詢問分支機(jī)構(gòu)或云計(jì)算中是否存在更多的風(fēng)險(xiǎn)，這將有助于確定他們需要的安全層。

就本質(zhì)而言，SD-WAN提供了嵌入式安全性，因?yàn)樗旧碇С侄说蕉说募用芎桶磻?yīng)用程序或組織級別的分割。但是，提供全面的企業(yè)級安全解決方案對于許多SD-WAN提供商并非完全支持。那么，企業(yè)將如何確保分支機(jī)構(gòu)的安全，同時避免卷入惡意軟件和其他威脅的漩渦呢？

組織可以選擇以下幾種方法：

·融入SD-WAN解決方案的集成高級安全產(chǎn)品

·第三方SaaS產(chǎn)品

·部署現(xiàn)有的或新的供應(yīng)商以實(shí)現(xiàn)基于設(shè)備的本地方法。

每種方法都有自己的好處和注意事項(xiàng)（一些廠商也提供了狀態(tài)防火墻，這是許多路由器現(xiàn)在支持的一種常見的服務(wù)，提供類似的功能，也就是說，它缺少來自SD-WAN市場的大多數(shù)廠商對下一代和安全網(wǎng)關(guān)(UTM)功能的支持）。

將安全性融入了SD-WAN

優(yōu)點(diǎn)：分支機(jī)構(gòu)的集成安全性將SD-WAN帶到下一級的分支機(jī)構(gòu)連接，并以多種方式交付。這種方法提供了單一供應(yīng)商，更簡單的管理和內(nèi)部流量保護(hù)，以及智能交通管理和轉(zhuǎn)向。企業(yè)就可以獲得強(qiáng)大的性能，不需要額外的跳躍或設(shè)備來處理。此外，SD-WAN具有安全功能，可為所有事件關(guān)聯(lián)提供單一窗格，其中包括用戶，應(yīng)用程序，設(shè)備，位置和網(wǎng)絡(luò)。

缺點(diǎn)：其安全水平可能不像傳統(tǒng)的“縱深防御”那樣深入，通常依靠多個供應(yīng)商來覆蓋安全基礎(chǔ)設(shè)施的各個方面，而不采取“把所有雞蛋放在一個籃子里”的方法來保障安全。

第三方軟件即服務(wù)（SaaS）產(chǎn)品

優(yōu)點(diǎn)：這種方法可以減輕一些管理上的麻煩，消費(fèi)的特點(diǎn)是輕量級模式，從實(shí)現(xiàn)和管理的角度來看，它提供了相對較高的靈活性和易用性。SaaS安全可以注入新的檢查來保護(hù)數(shù)據(jù)，防止?jié)撛诘母甙捍鷥r(jià)和隱蔽和意外的攻擊。

缺點(diǎn)：第三方SaaS解決方案具有一些局限性。許多人只能識別基于HTTP的流量，這使得組織無法確定如何處理剩余的流量，以及可能缺少通過備用協(xié)議進(jìn)入的威脅。而且，從管理角度來看，SaaS解決方案將管理界面和接觸點(diǎn)分開，為管理員創(chuàng)造額外的步驟，從而使操作復(fù)雜化，并且拖延了時間。

部署現(xiàn)有或新的供應(yīng)商

優(yōu)點(diǎn)：許多組織依靠經(jīng)過驗(yàn)證的現(xiàn)有供應(yīng)商來實(shí)現(xiàn)基于設(shè)備的內(nèi)部方法。毫不奇怪，這種方法最顯著的好處之一是組織通常非常熟悉這些產(chǎn)品。由于這些解決方案駐留在本地部署數(shù)據(jù)中心，安全管理人員可以自動地熟悉這些產(chǎn)品。而且由于這些產(chǎn)品的使用壽命長，它們傾向于長時間保持在分支機(jī)構(gòu)的基礎(chǔ)設(shè)施中，并且常常被證明具有一定程度的有效性。

缺點(diǎn)：雖然很熟悉，但從收購和運(yùn)營的角度來看，專用設(shè)備方法可能代價(jià)高昂。因?yàn)樗鼈兺ǔ：軓?fù)雜，所以需要耗費(fèi)大量人力的實(shí)施周期，并需要更多的資源來管理整個組織。另外，每個分支機(jī)構(gòu)的多個數(shù)據(jù)密集型設(shè)備會成倍地增加這個問題。同樣的復(fù)雜性可能是潛在的整合和/或互操作性問題的根源，這些問題肯定會阻礙生產(chǎn)力的發(fā)展。而且有許多設(shè)備，沒有單一的事件關(guān)聯(lián)點(diǎn)，所有這一切都為威脅和其他異常提供了機(jī)會。

保護(hù)SD-WAN：期待什么

安全集成到SD-WAN中的組織可能會受益于高性能，易于管理和使用。為了實(shí)現(xiàn)高標(biāo)準(zhǔn)的安全性能，某些功能對于分支和廣域網(wǎng)連接解決方案是不可協(xié)商的。例如，組織應(yīng)該要求有狀態(tài)的防火墻和/或應(yīng)用程序防火墻，以及動態(tài)的IPSec隧道和站點(diǎn)到站點(diǎn)的配對。安全功能還應(yīng)包括安全密鑰管理和動態(tài)更新密鑰，以及惡意軟件和x-ware內(nèi)聯(lián)檢測和保護(hù)。標(biāo)準(zhǔn)安全功能（如防病毒和DDoS防護(hù)和檢測）應(yīng)該自然包含在內(nèi)。為了實(shí)現(xiàn)預(yù)期的安全功能，集成的SD-WAN安全需要提供完整的端到端事件關(guān)聯(lián)，將所有應(yīng)用程序、用戶、設(shè)備、位置、網(wǎng)絡(luò)，以及安全事件合并到一起，并對這些事件做出適當(dāng)?shù)姆磻?yīng)。

安全SD-WAN的好處無可否認(rèn)是廣泛的，使組織能夠滿足合規(guī)性要求，降低基礎(chǔ)設(shè)施和電路成本，改善和簡化分割，并減少分支的蔓延。

如今，針對企業(yè)的威脅一直處于不斷變化的狀態(tài)，不斷地調(diào)整以克服目標(biāo)企業(yè)資產(chǎn)的障礙。為了在當(dāng)今的安全環(huán)境中有效運(yùn)行，企業(yè)實(shí)施SD-WAN安全不應(yīng)該是事后考慮的事情，或者是在事后添加或者根據(jù)需要添加。相反，為了使安全成為SD-WAN結(jié)構(gòu)的一個固有部分，需要進(jìn)行模式轉(zhuǎn)換，從而成為組織綜合安全基礎(chǔ)設(shè)施的強(qiáng)大、關(guān)鍵、必要的組成部分。