如今，越來(lái)越多的組織開(kāi)始接受混合或分立網(wǎng)絡(luò )提供的功能和成本節約的優(yōu)勢。但是，目前的SD-WAN服務(wù)模型包含基本的安全缺陷，這些缺陷可能會(huì )影響到用戶(hù)的采用。

最大的弱點(diǎn)之一是其作為附加組件依賴(lài)于供應商的安全性。在新的互聯(lián)數字世界中，組織保護數據而不需要考慮其網(wǎng)絡(luò )的狀態(tài)位置。覆蓋服務(wù)提供和傳輸數據保護的方法的一致性需要被考慮在網(wǎng)絡(luò )設計的最前沿。

服務(wù)提供商需要問(wèn)自己一些問(wèn)題：如何提供可靠的混合網(wǎng)絡(luò )?尤其是在公共互聯(lián)網(wǎng)和云服務(wù)之間，同時(shí)減少在每個(gè)網(wǎng)關(guān)或網(wǎng)絡(luò )入口點(diǎn)部署基礎設施的需要。他們如何避免與加密相關(guān)的根本安全風(fēng)險來(lái)調查可疑活動(dòng)?

只有回答這些基本問(wèn)題，組織才能夠接受所有基于SDN的解決方案的固有優(yōu)勢，而不會(huì )降低安全性。

敏捷性與安全性

實(shí)現業(yè)務(wù)敏捷性和確保數據安全之間的斗爭從未變得如此具有挑戰性。顯然，近年來(lái)，威脅形勢發(fā)生了根本性的變化。美國計算機應急準備小組(U.Curt)發(fā)布公告稱(chēng)，美國關(guān)鍵基礎設施遭到一些國家支持的網(wǎng)絡(luò )攻擊。毫不奇怪， IT的支出模式不僅揭示了企業(yè)面臨的安全問(wèn)題，還表明企業(yè)需要了解數據發(fā)生了什么，以及在威脅出現時(shí)識別和處理威脅的能力。

然而，業(yè)務(wù)驅動(dòng)從多協(xié)議標簽交換(MPLS)網(wǎng)絡(luò )技術(shù)轉向軟件定義網(wǎng)絡(luò )(SDN)，尤其是廣域網(wǎng)(WAN)，可能會(huì )造成安全風(fēng)險或對可部署的技術(shù)的限制。

如今，SD-WAN提供了傳統WAN的替代方案，提供了靈活性、簡(jiǎn)單性和降低成本的潛力。該模型不僅為開(kāi)拓混合通信基礎設施提供了契機，從銅纜到Wi-Fi，從光纖到衛星，為分布式業(yè)務(wù)提供高效和低成本的解決方案，但是中央管理模式轉換了過(guò)度管理開(kāi)銷(xiāo)ASCOC，并與復雜的傳統WAN基礎設施配套。

使用SD-WAN的結果是將網(wǎng)絡(luò )成本降低30%到50%，但前提是它是同一個(gè)供應商的端到端解決方案。對于復雜的網(wǎng)絡(luò )，規模較大的網(wǎng)絡(luò )或在高信息保障環(huán)境中運行的網(wǎng)絡(luò )，如果沒(méi)有采用創(chuàng )新的方法來(lái)部署第三方基礎設施解決方案，那么這些優(yōu)勢仍然值得懷疑，并且沒(méi)有消除容量限制的單獨安全覆蓋，以及供應商/網(wǎng)絡(luò )的選擇依賴(lài)。

目前的做法

許多SDN供應商通常提供第3層加密技術(shù)作為其SD-WAN服務(wù)產(chǎn)品的一部分：這種安全性對于替換基本網(wǎng)絡(luò )而沒(méi)有保護的網(wǎng)絡(luò )是有益的。雖然反駁意見(jiàn)認為加密對于許多企業(yè)而言成本太高或難以部署，但現實(shí)情況是部署傳統的第3層加密總比沒(méi)有好。

但是對于可能從共享編排實(shí)例提供解決方案的新的大型SD-WAN提供商來(lái)說(shuō)，必須提出的問(wèn)題是：企業(yè)如何能夠保護其他供應商運營(yíng)基礎設施的安全，甚至是在部署編排平臺的情況下解決安全問(wèn)題。此外，考慮到采用SD-WAN最引人注目的原因之一是新基礎設施可以靈活地連接起來(lái)以支持業(yè)務(wù)變更。在默認情況下，這種模式會(huì )導致基礎設施來(lái)自多個(gè)提供商，企業(yè)如何確保每個(gè)新的連接也是安全的?

隨著(zhù)組織越來(lái)越多地部署應用程序級別的加密，還有關(guān)于性能和吞吐量的問(wèn)題。多重加密是一個(gè)影響傳統網(wǎng)絡(luò )和SD-WAN的重大問(wèn)題，許多SD-WAN部署并沒(méi)有受到網(wǎng)絡(luò )帶寬的限制，而是加密開(kāi)銷(xiāo)。

更值得關(guān)注的是，如果IT團隊希望調查應用程序或數據源，那么通常需要關(guān)閉這些加密解決方案，這會(huì )使企業(yè)面臨黑客的攻擊。

網(wǎng)絡(luò )分解

正是認識到這些問(wèn)題，越來(lái)越多的首席信息官和首席安全官正在推動(dòng)分解議程，并得出結論，服務(wù)和安全應該與任何SD-WAN的管理和維護有所區別。這一趨勢反映了保護關(guān)鍵業(yè)務(wù)通信基礎設施成本效益，并消除對單一供應商依賴(lài)的不同方法。

最大限度地提高SD-WAN的商業(yè)效益，并實(shí)現反映新出現的威脅載體基本安全性的唯一方法是采用安全覆蓋模型。企業(yè)需要找到一種方法在基礎設施的每個(gè)部分都部署端到端的第4層加密，而不必考慮基礎網(wǎng)絡(luò )技術(shù)。

除了滿(mǎn)足許多組織的網(wǎng)絡(luò )分解目標之外，網(wǎng)絡(luò )不可知的加密解決方案還可以通過(guò)提供集中協(xié)調來(lái)加強SD-WAN的集中管理優(yōu)勢。這不僅證明了網(wǎng)絡(luò )的安全性，還提供了對網(wǎng)絡(luò )活動(dòng)及其安全性能的重要洞察。而且，如果需要對一個(gè)應用程序進(jìn)行調查，就不需要關(guān)閉所有安全協(xié)議，以確保公司始終處于安全狀態(tài)。

SD-WAN提供了令人矚目的好處，而在當今的財政現實(shí)中，越來(lái)越成為分布式組織的唯一可行的選擇，尤其是考慮到越來(lái)越多的基于全球互聯(lián)網(wǎng)的基礎設施和云計算的使用。但是，其結果是組織對正在使用的基礎設施知之甚少。數據在哪里?誰(shuí)擁有網(wǎng)絡(luò )?正在采取哪條路線(xiàn)?關(guān)鍵的是誰(shuí)在保護數據以及如何保護數據?

對基礎設施的知識和控制越少，組織所需的安全控制措施和知識就越多。只有朝著(zhù)網(wǎng)絡(luò )分解邁出這一步，才能擁有一種真正的網(wǎng)絡(luò )無(wú)關(guān)加密技術(shù)，可以保護任何IP網(wǎng)絡(luò )上的數據傳輸，并實(shí)現集中的安全協(xié)調和全面的數據可視性，企業(yè)可以放心地接納SD-WAN，并獲得需要的靈活性而不受到網(wǎng)絡(luò )攻擊。