伴隨著經(jīng)濟全球化與數(shù)字化變革的后浪,企業(yè)規(guī)模逐漸從垂直增加變?yōu)楸馄綌U展,。在此背景下,,SD-WAN(軟件定義廣域網(wǎng))技術既滿足了企業(yè)遠程辦公連接、業(yè)務上云和集中化管理的應用訴求,,又具有快速部署,、管理邊界 、建設投入小等優(yōu)勢,,因此得到了迅速的發(fā)展,。不過隨著SD-WAN技術的廣泛應用,企業(yè)的網(wǎng)絡邊界也從本地終端,、局域網(wǎng)絡擴展到廣域網(wǎng)范圍的遠程設備和云平臺中,,這給企業(yè)創(chuàng)造了新的攻擊面,為勒索軟件,、APT,、病毒蠕蟲和其他惡意軟件提供了更多可乘之機。
企業(yè)建設網(wǎng)絡的最終目的,,是為了保障其數(shù)字化業(yè)務的開展,,而互聯(lián)只是達成這一目標的基礎,。基于企業(yè)對新一代網(wǎng)絡體系更深層次的安全需求,,催生出安全與SD-WAN全面覆蓋和深度融合的“安全SD-WAN”創(chuàng)新方案,。相比大多數(shù)傳統(tǒng)SD-WAN產(chǎn)品僅能通過VPN連接和加密技術來保障2-3層數(shù)據(jù)傳輸安全,安全SD-WAN實現(xiàn)了體系化,、原生化的安全能力構(gòu)建,,可以對4-7層網(wǎng)絡進行安全檢測和分析,從而基于應用層數(shù)據(jù)對網(wǎng)絡系統(tǒng)進行優(yōu)化,,及時發(fā)現(xiàn)深層隱藏的病毒,、木馬、惡意腳本等安全威脅,,有效保障企業(yè)數(shù)字化業(yè)務系統(tǒng)的安全穩(wěn)定運行,。
為了幫助我國企業(yè)更好地了解安全SD-WAN技術創(chuàng)新價值,研究推廣安全SD-WAN方案應用經(jīng)驗,,安全牛通過訪談調(diào)研十余家甲方企業(yè)的網(wǎng)絡系統(tǒng)建設者,,并從技術先進性、產(chǎn)品創(chuàng)新力和應用成熟度等維度,,征集邀請到天融信,、新華三、山石網(wǎng)科,、締安科技4家國內(nèi)安全SD-WAN技術創(chuàng)新代表性廠商,,聯(lián)合發(fā)起《安全SD-WAN應用指南》報告(以下簡稱“《報告》”)研究項目。2022年8月18日,,《報告》正式發(fā)布,。
報告關鍵發(fā)現(xiàn)
企業(yè)在開展廣域網(wǎng)建設時,需要結(jié)合企業(yè)IT戰(zhàn)略,、安全策略,、合規(guī)要求進行綜合規(guī)劃,網(wǎng)絡性能,、建設成本,、安全性、方案成熟度,、合規(guī)性,、運維難度等是企業(yè)在SD-WAN選型時的主要考量因素;
簡單地將安全產(chǎn)品疊加到SD-WAN網(wǎng)絡中,,不僅會增加更多運維成本,,還可能因為難以實施統(tǒng)一的安全策略而產(chǎn)生安全漏洞,如何將安全能力與SD-WAN深度融合,并能夠?qū)崿F(xiàn)一體化管理,,將會影響SD-WAN未來的市場發(fā)展,;
安全SD-WAN采用原生化安全賦能設計理念,可以實現(xiàn)網(wǎng)絡與安全一體化建設和管理,,目前已經(jīng)得到了70%以上受訪企業(yè)用戶的關注,;
可托管的安全SD-WAN服務在實現(xiàn)廣域網(wǎng)快速連接、彈性擴展,、簡易運維,、降低企業(yè)建設成本等方面存在一定優(yōu)勢,服務化產(chǎn)品模式可以更好地推動安全SD-WAN技術的落地應用,。
目前主流安全廠商推出的安全SD-WAN產(chǎn)品均可以有效融入到新一代SASE安全架構(gòu)中,,能夠為SASE安全體系建設提供廣泛的網(wǎng)絡聯(lián)接及安全服務,。
安全SD-WAN產(chǎn)品架構(gòu)
安全SD-WAN產(chǎn)品架構(gòu)主要包括網(wǎng)絡層,、控制層以及業(yè)務層三個部分:
網(wǎng)絡層主要指“安全SD-WAN”的基礎架構(gòu)設施,包括用于連接每個節(jié)點的CPE(即上圖中的“安全CPE”或者連接云的“安全vCPE”,,以下簡稱“CPE”),,CPE通過一條或多條WAN鏈路與總部、數(shù)據(jù)中心或者云連接,,CPE之間通過Overlay隧道技術互聯(lián),;
控制層是整個“安全SD-WAN”解決方案的指揮中心,其核心是由網(wǎng)絡控制器構(gòu)成,??刂破骶哂芯幣拧⒐芾?、控制的功能,,可以對企業(yè)WAN進行了網(wǎng)絡模型抽象和定義,并通過建模對用戶屏蔽了WAN部署和實現(xiàn)的技術細節(jié),。最終,,用戶可以通過網(wǎng)絡控制器的北向業(yè)務編排界面,用接近企業(yè)應用或業(yè)務的接口語言,,驅(qū)動網(wǎng)絡控制器實現(xiàn)簡易而又靈活的網(wǎng)絡配置和業(yè)務發(fā)放,;
業(yè)務層主要通過業(yè)務配置界面實現(xiàn)安全SD-WAN的業(yè)務呈現(xiàn)和發(fā)放。在業(yè)務層,,可以實現(xiàn)網(wǎng)絡拓撲定義,、VPN策略定義、ACL控制定義,、多業(yè)務安全相關的策略定義,,以及基于應用的流量調(diào)度策略定義等操作。
安全SD-WAN能力體系
安全防護能力建設是一項系統(tǒng)性工程,既要考慮不同安全維度又要顧及多個層面的安全能力,,對“安全SD-WAN”來講,,其安全能力既繼承了傳統(tǒng)SD-WAN組網(wǎng)的基本認證、加密,、VPN等安全技術,,保證網(wǎng)絡層的傳輸安全和基本的數(shù)據(jù)保密,又增加了對4-7層數(shù)據(jù)的可見性,。同時為了實現(xiàn)安全數(shù)據(jù)需要集中分析的需求,,還需要結(jié)合安全服務,形成系統(tǒng)安全,、基礎安全,、應用安全和安全服務4四個層面的安全體系模型。
安全SD-WAN能力體系
系統(tǒng)安全能力是指保障系統(tǒng)可靠運轉(zhuǎn)的安全能力,,包括控制器,、邊緣接入設備、管理系統(tǒng)等自身組件安全,、身份認證及流量傳輸安全等,,組件自身要具備健全的系統(tǒng)架構(gòu)和完善的安全加固策略,并通過組件互信,、數(shù)據(jù)加密,、身份管理、安全審計等多種措施保證自身的安全性,。
基礎安全能力是指保證安全SD-WAN穩(wěn)定運行的安全能力,,包括身份認證、安全傳輸,、安全策略管理,、安全日志收集、安全事件告警等,。
業(yè)務安全能力是指基于應用的深度識別以滿足更深層的業(yè)務安全需求,,比如對數(shù)據(jù)的檢測不僅限于報文的五元組,還可以基于更多的維度,,包括身份信息,、應用程序指紋或者行為分析等。
安全服務能力將各種安全功能服務化,,以減輕企業(yè)安全建設和運營的成本和復雜度,,這也是安全SD-WAN解決方案中重要的能力演進方向。
安全SD-WAN應用價值
針對企業(yè)廣域網(wǎng)建設,,用戶關心的問題主要集中在性能,、成本,、安全性、建設周期,、運維難度這幾個方面,。相比MPLS、專線接入,、傳統(tǒng)SD-WAN等廣域網(wǎng)建設方案,,安全SD-WAN方案的應用價值可體現(xiàn)在以下方面:
優(yōu)化現(xiàn)有網(wǎng)絡構(gòu)架,對現(xiàn)有WAN快速組網(wǎng)模式進行快速整合,,并降低企業(yè)的建設成本,;
動態(tài)路徑選擇,基于不同鏈路質(zhì)量對流量進行靈活調(diào)度,,并可根據(jù)不同的應用對時延,、丟包、實時性的依賴程度優(yōu)化廣域網(wǎng)訪問質(zhì)量,;
實現(xiàn)體系化的安全防護策略協(xié)同,,大大減少安全漏洞和風險,同時降低安全運維成本,,減輕網(wǎng)絡運營管理團隊的工作負擔,;
實現(xiàn)網(wǎng)絡運行數(shù)據(jù)和安全防護數(shù)據(jù)的一體化收集和分析,,實現(xiàn)基于全局的事件發(fā)現(xiàn),、響應、溯源,,滿足用戶基于應用更深層的協(xié)議識別和安全防護需要,。
產(chǎn)業(yè)專家觀點
天融信產(chǎn)品經(jīng)理 何明卓:
天融信基于企業(yè)數(shù)字化轉(zhuǎn)型應用需求,推出“安全SD-WAN”產(chǎn)品,,具備完整的下一代防火墻能力,,在大量的實踐與探索當中,打造“SD-WAN+”的網(wǎng)絡和安全融合架構(gòu),,并形成行業(yè)化,、場景化的安全廣域網(wǎng)互聯(lián)解決方案。天融信“SD-WAN+”安全廣域網(wǎng)互聯(lián)架構(gòu)分兩部分:一部分是網(wǎng)絡服務,,包括具備全場景接入能力的SD-WAN網(wǎng)關設備,、智能選路模塊、業(yè)務優(yōu)化加速模塊等,,另一部分是協(xié)同安全服務,,包括零信任網(wǎng)絡、行為管控,、數(shù)據(jù)防泄漏,、高級安全檢測,、日志審計、態(tài)勢感知,、應急響應服務等,。通過結(jié)合SASE理念并融入零信任、云計算等多領域網(wǎng)絡安全能力,,可以幫助客戶實現(xiàn)云,、網(wǎng)、安IT能力的原生共建,,為客戶業(yè)務安全訪問提供靈活,、便捷、可靠,、易用的安全接入和安全服務保障,。
新華三高級產(chǎn)品經(jīng)理 缐崴:
SD-WAN技術讓企業(yè)組織扁平化變得簡單的同時,也使得企業(yè)網(wǎng)絡邊界得以延伸,,從最初的總部邊界,,拓展到廣域網(wǎng)范圍內(nèi)的局域網(wǎng)、終端和云平臺,,這種變化為SD-WAN的安全應用提出了新的要求,。在新華三“安全SD-WAN”體系中,通過一體化安全設備,,結(jié)合自研的統(tǒng)一平臺Comware操作系統(tǒng),,來提供整個架構(gòu)的底層支撐。在此基礎上,,可根據(jù)SD-WAN網(wǎng)絡業(yè)務特性要求,,新華三推出不同性能梯度的CPE設備,來滿足企業(yè)安全SD-WAN應用的不同要求,。在管理感知層,,新華三“安全SD-WAN”管理平臺秉承軟件定義的精髓,將控制面與轉(zhuǎn)發(fā)面解耦,,實現(xiàn)精細化網(wǎng)絡資源的靈活調(diào)度,,并可以提供精細化的應用識別粒度。同時支持服務化安全能力對接和云化安全防護對接,,能夠滿足不同的場景業(yè)務拓展和運營需求,。
山石網(wǎng)科產(chǎn)品行銷經(jīng)理 王亞軍:
將SD-WAN與安全能力集成到一體化的解決方案中,能夠?qū)崿F(xiàn)安全能力的原生賦能,,進而為客戶提供更智能,、更便捷、更安全的網(wǎng)絡應用,。山石網(wǎng)科為應對企業(yè)廣域網(wǎng)絡所面臨的各種挑戰(zhàn),,推出了山石安全SD-WAN解決方案,,由山石網(wǎng)科安全管理平臺HSM作為SD-WAN控制器,以山石網(wǎng)科全系列防火墻,、SDW系列安全網(wǎng)關,、山石網(wǎng)科虛擬化防火墻(山石云·界)作為 CPE/vCPE,覆蓋總部數(shù)據(jù)中心,、企業(yè)分支,、中型網(wǎng)點、小型門店,、云網(wǎng)互聯(lián)等多種分支場景,。方案具備?部署簡單,、運維高效,、業(yè)務保障、安全合規(guī)這四方面的核心價值,,可以為用戶提供全生命周期式的安全SD-WAN應用服務,。
締安科技高級產(chǎn)品經(jīng)理 袁初成:
締安科技近年來一直將安全能力和SD-WAN技術應用整合作為重要的目標。因為SD-WAN的主要應用場景是在廣域網(wǎng)上,,而廣域網(wǎng)又是面臨安全威脅最多的應用場景之一,。締安科技在SD-WAN產(chǎn)品整合與開發(fā)的過程中,融入了多種創(chuàng)新安全理念和技術,,把SD-WAN分成基礎設施層,、傳輸層、應用層3層技術來看待,,并分別進行安全能力的迭代優(yōu)化,。其中,,傳輸層的設備和網(wǎng)絡管理系統(tǒng)是SD-WAN的核心內(nèi)容,,在這一層,我們通過自建或者跟運營商共建overlay方案,,融合創(chuàng)新安全能力和技術,,比如人工智能算法、強化安全學習算法等,,將實現(xiàn)整體化的安全SD-WAN技術服務,,相比之前傳統(tǒng)VPN組網(wǎng)模式,在應用穩(wěn)定性和可靠性方面會有明顯的提高,。
報告主筆分析師 陳發(fā)明:
未來,,安全SD-WAN將在與AI、5G,、物聯(lián)網(wǎng),、云計算等新技術的融合應用中不斷創(chuàng)新演進發(fā)展,,并呈現(xiàn)以下發(fā)展趨勢:
向高性能方向發(fā)展。在數(shù)據(jù)傳輸,、高速加解密,、應用識別及深度安全策略的開啟等都需要方案具備更高的性能;
需要更靈活和智能的安全編排能力,,包括接入組網(wǎng),、安全運維等方面;
安全SD-WAN托管服務興起,。托管服務在廣域網(wǎng)快速連接,、彈性擴展、簡易運維,、降低企業(yè)建設成本等方面存在顯著優(yōu)勢,;
安全SD-WAN“將會與SASE架構(gòu)融合,當安全需求越來越多的向多業(yè)務安全,、零信任安全,、SaaS化安全方向發(fā)展后,安全SD-WAN組網(wǎng)能力和多業(yè)務安全能力將與SASE架構(gòu)深度融合,,成為未來SASE整體服務中的一部分,。
更多信息可以來這里獲取==>>電子技術應用-AET<<