伴隨著經濟全球化與數字化變革的后浪，企業(yè)規(guī)模逐漸從垂直增加變?yōu)楸馄綌U展。在此背景下，SD-WAN（軟件定義廣域網）技術既滿足了企業(yè)遠程辦公連接、業(yè)務上云和集中化管理的應用訴求，又具有快速部署、管理邊界 、建設投入小等優(yōu)勢，因此得到了迅速的發(fā)展。不過隨著SD-WAN技術的廣泛應用，企業(yè)的網絡邊界也從本地終端、局域網絡擴展到廣域網范圍的遠程設備和云平臺中，這給企業(yè)創(chuàng)造了新的攻擊面，為勒索軟件、APT、病毒蠕蟲和其他惡意軟件提供了更多可乘之機。

　　企業(yè)建設網絡的最終目的，是為了保障其數字化業(yè)務的開展，而互聯(lián)只是達成這一目標的基礎。基于企業(yè)對新一代網絡體系更深層次的安全需求，催生出安全與SD-WAN全面覆蓋和深度融合的“安全SD-WAN”創(chuàng)新方案。相比大多數傳統(tǒng)SD-WAN產品僅能通過VPN連接和加密技術來保障2-3層數據傳輸安全，安全SD-WAN實現(xiàn)了體系化、原生化的安全能力構建，可以對4-7層網絡進行安全檢測和分析，從而基于應用層數據對網絡系統(tǒng)進行優(yōu)化，及時發(fā)現(xiàn)深層隱藏的病毒、木馬、惡意腳本等安全威脅，有效保障企業(yè)數字化業(yè)務系統(tǒng)的安全穩(wěn)定運行。

　　為了幫助我國企業(yè)更好地了解安全SD-WAN技術創(chuàng)新價值，研究推廣安全SD-WAN方案應用經驗，安全牛通過訪談調研十余家甲方企業(yè)的網絡系統(tǒng)建設者，并從技術先進性、產品創(chuàng)新力和應用成熟度等維度，征集邀請到天融信、新華三、山石網科、締安科技4家國內安全SD-WAN技術創(chuàng)新代表性廠商，聯(lián)合發(fā)起《安全SD-WAN應用指南》報告（以下簡稱“《報告》”）研究項目。2022年8月18日，《報告》正式發(fā)布。

　　報告關鍵發(fā)現(xiàn)

　　企業(yè)在開展廣域網建設時，需要結合企業(yè)IT戰(zhàn)略、安全策略、合規(guī)要求進行綜合規(guī)劃，網絡性能、建設成本、安全性、方案成熟度、合規(guī)性、運維難度等是企業(yè)在SD-WAN選型時的主要考量因素；

　　簡單地將安全產品疊加到SD-WAN網絡中，不僅會增加更多運維成本，還可能因為難以實施統(tǒng)一的安全策略而產生安全漏洞，如何將安全能力與SD-WAN深度融合，并能夠實現(xiàn)一體化管理，將會影響SD-WAN未來的市場發(fā)展；

　　安全SD-WAN采用原生化安全賦能設計理念，可以實現(xiàn)網絡與安全一體化建設和管理，目前已經得到了70%以上受訪企業(yè)用戶的關注；

　　可托管的安全SD-WAN服務在實現(xiàn)廣域網快速連接、彈性擴展、簡易運維、降低企業(yè)建設成本等方面存在一定優(yōu)勢，服務化產品模式可以更好地推動安全SD-WAN技術的落地應用。

　　目前主流安全廠商推出的安全SD-WAN產品均可以有效融入到新一代SASE安全架構中，能夠為SASE安全體系建設提供廣泛的網絡聯(lián)接及安全服務。

　　安全SD-WAN產品架構

　　安全SD-WAN產品架構主要包括網絡層、控制層以及業(yè)務層三個部分：

　　網絡層主要指“安全SD-WAN”的基礎架構設施，包括用于連接每個節(jié)點的CPE（即上圖中的“安全CPE”或者連接云的“安全vCPE”，以下簡稱“CPE”），CPE通過一條或多條WAN鏈路與總部、數據中心或者云連接，CPE之間通過Overlay隧道技術互聯(lián)；

　　控制層是整個“安全SD-WAN”解決方案的指揮中心，其核心是由網絡控制器構成。控制器具有編排、管理、控制的功能，可以對企業(yè)WAN進行了網絡模型抽象和定義，并通過建模對用戶屏蔽了WAN部署和實現(xiàn)的技術細節(jié)。最終，用戶可以通過網絡控制器的北向業(yè)務編排界面，用接近企業(yè)應用或業(yè)務的接口語言，驅動網絡控制器實現(xiàn)簡易而又靈活的網絡配置和業(yè)務發(fā)放；

　　業(yè)務層主要通過業(yè)務配置界面實現(xiàn)安全SD-WAN的業(yè)務呈現(xiàn)和發(fā)放。在業(yè)務層，可以實現(xiàn)網絡拓撲定義、VPN策略定義、ACL控制定義、多業(yè)務安全相關的策略定義，以及基于應用的流量調度策略定義等操作。

　　安全SD-WAN能力體系

　　安全防護能力建設是一項系統(tǒng)性工程，既要考慮不同安全維度又要顧及多個層面的安全能力，對“安全SD-WAN”來講，其安全能力既繼承了傳統(tǒng)SD-WAN組網的基本認證、加密、VPN等安全技術，保證網絡層的傳輸安全和基本的數據保密，又增加了對4-7層數據的可見性。同時為了實現(xiàn)安全數據需要集中分析的需求，還需要結合安全服務，形成系統(tǒng)安全、基礎安全、應用安全和安全服務4四個層面的安全體系模型。

　　安全SD-WAN能力體系

　　系統(tǒng)安全能力是指保障系統(tǒng)可靠運轉的安全能力，包括控制器、邊緣接入設備、管理系統(tǒng)等自身組件安全、身份認證及流量傳輸安全等，組件自身要具備健全的系統(tǒng)架構和完善的安全加固策略，并通過組件互信、數據加密、身份管理、安全審計等多種措施保證自身的安全性。

　　基礎安全能力是指保證安全SD-WAN穩(wěn)定運行的安全能力，包括身份認證、安全傳輸、安全策略管理、安全日志收集、安全事件告警等。

　　業(yè)務安全能力是指基于應用的深度識別以滿足更深層的業(yè)務安全需求，比如對數據的檢測不僅限于報文的五元組，還可以基于更多的維度，包括身份信息、應用程序指紋或者行為分析等。

　　安全服務能力將各種安全功能服務化，以減輕企業(yè)安全建設和運營的成本和復雜度，這也是安全SD-WAN解決方案中重要的能力演進方向。

　　安全SD-WAN應用價值

　　針對企業(yè)廣域網建設，用戶關心的問題主要集中在性能、成本、安全性、建設周期、運維難度這幾個方面。相比MPLS、專線接入、傳統(tǒng)SD-WAN等廣域網建設方案，安全SD-WAN方案的應用價值可體現(xiàn)在以下方面：

　　優(yōu)化現(xiàn)有網絡構架，對現(xiàn)有WAN快速組網模式進行快速整合，并降低企業(yè)的建設成本；

　　動態(tài)路徑選擇，基于不同鏈路質量對流量進行靈活調度，并可根據不同的應用對時延、丟包、實時性的依賴程度優(yōu)化廣域網訪問質量；

　　實現(xiàn)體系化的安全防護策略協(xié)同，大大減少安全漏洞和風險，同時降低安全運維成本，減輕網絡運營管理團隊的工作負擔；

　　實現(xiàn)網絡運行數據和安全防護數據的一體化收集和分析，實現(xiàn)基于全局的事件發(fā)現(xiàn)、響應、溯源，滿足用戶基于應用更深層的協(xié)議識別和安全防護需要。

　　產業(yè)專家觀點

　　天融信產品經理 何明卓：

　　天融信基于企業(yè)數字化轉型應用需求，推出“安全SD-WAN”產品，具備完整的下一代防火墻能力，在大量的實踐與探索當中，打造“SD-WAN+”的網絡和安全融合架構，并形成行業(yè)化、場景化的安全廣域網互聯(lián)解決方案。天融信“SD-WAN+”安全廣域網互聯(lián)架構分兩部分：一部分是網絡服務，包括具備全場景接入能力的SD-WAN網關設備、智能選路模塊、業(yè)務優(yōu)化加速模塊等，另一部分是協(xié)同安全服務，包括零信任網絡、行為管控、數據防泄漏、高級安全檢測、日志審計、態(tài)勢感知、應急響應服務等。通過結合SASE理念并融入零信任、云計算等多領域網絡安全能力，可以幫助客戶實現(xiàn)云、網、安IT能力的原生共建，為客戶業(yè)務安全訪問提供靈活、便捷、可靠、易用的安全接入和安全服務保障。

　　新華三高級產品經理 缐崴：

　　SD-WAN技術讓企業(yè)組織扁平化變得簡單的同時，也使得企業(yè)網絡邊界得以延伸，從最初的總部邊界，拓展到廣域網范圍內的局域網、終端和云平臺，這種變化為SD-WAN的安全應用提出了新的要求。在新華三“安全SD-WAN”體系中，通過一體化安全設備，結合自研的統(tǒng)一平臺Comware操作系統(tǒng)，來提供整個架構的底層支撐。在此基礎上，可根據SD-WAN網絡業(yè)務特性要求，新華三推出不同性能梯度的CPE設備，來滿足企業(yè)安全SD-WAN應用的不同要求。在管理感知層，新華三“安全SD-WAN”管理平臺秉承軟件定義的精髓，將控制面與轉發(fā)面解耦，實現(xiàn)精細化網絡資源的靈活調度，并可以提供精細化的應用識別粒度。同時支持服務化安全能力對接和云化安全防護對接，能夠滿足不同的場景業(yè)務拓展和運營需求。

　　山石網科產品行銷經理 王亞軍：

　　將SD-WAN與安全能力集成到一體化的解決方案中，能夠實現(xiàn)安全能力的原生賦能，進而為客戶提供更智能、更便捷、更安全的網絡應用。山石網科為應對企業(yè)廣域網絡所面臨的各種挑戰(zhàn)，推出了山石安全SD-WAN解決方案，由山石網科安全管理平臺HSM作為SD-WAN控制器，以山石網科全系列防火墻、SDW系列安全網關、山石網科虛擬化防火墻（山石云·界）作為 CPE/vCPE，覆蓋總部數據中心、企業(yè)分支、中型網點、小型門店、云網互聯(lián)等多種分支場景。方案具備？部署簡單、運維高效、業(yè)務保障、安全合規(guī)這四方面的核心價值，可以為用戶提供全生命周期式的安全SD-WAN應用服務。

　　締安科技高級產品經理 袁初成：

　　締安科技近年來一直將安全能力和SD-WAN技術應用整合作為重要的目標。因為SD-WAN的主要應用場景是在廣域網上，而廣域網又是面臨安全威脅最多的應用場景之一。締安科技在SD-WAN產品整合與開發(fā)的過程中，融入了多種創(chuàng)新安全理念和技術，把SD-WAN分成基礎設施層、傳輸層、應用層3層技術來看待，并分別進行安全能力的迭代優(yōu)化。其中，傳輸層的設備和網絡管理系統(tǒng)是SD-WAN的核心內容，在這一層，我們通過自建或者跟運營商共建overlay方案，融合創(chuàng)新安全能力和技術，比如人工智能算法、強化安全學習算法等，將實現(xiàn)整體化的安全SD-WAN技術服務，相比之前傳統(tǒng)VPN組網模式，在應用穩(wěn)定性和可靠性方面會有明顯的提高。

　　報告主筆分析師 陳發(fā)明：

　　未來，安全SD-WAN將在與AI、5G、物聯(lián)網、云計算等新技術的融合應用中不斷創(chuàng)新演進發(fā)展，并呈現(xiàn)以下發(fā)展趨勢：

　　向高性能方向發(fā)展。在數據傳輸、高速加解密、應用識別及深度安全策略的開啟等都需要方案具備更高的性能；

　　需要更靈活和智能的安全編排能力，包括接入組網、安全運維等方面；

　　安全SD-WAN托管服務興起。托管服務在廣域網快速連接、彈性擴展、簡易運維、降低企業(yè)建設成本等方面存在顯著優(yōu)勢；

　　安全SD-WAN“將會與SASE架構融合，當安全需求越來越多的向多業(yè)務安全、零信任安全、SaaS化安全方向發(fā)展后，安全SD-WAN組網能力和多業(yè)務安全能力將與SASE架構深度融合，成為未來SASE整體服務中的一部分。

更多信息可以來這里獲取==>>電子技術應用-AET<<