软件定义广域网有坑 五大安全误区必知

为了节省开支，减少MPLS私有专线的使用，企业开始倾向于混合部署软件定义广域网（SD-WAN）技术。然而许多企业对于SD-WAN并不了解，甚至会被一些解决方案厂商所误导，这就会导致了SD-WAN滥用，甚至不断在安全性上踩坑。比如下面的五大SD-WAN安全误区就必须更要避免才行。

误区一：有了SD-WAN就安全

SD-WAN技术主要是利用软件优势提升网络性能，降低成本，同时保证安全稳定性的同时兼顾部署的便捷性。但仅仅是出于网络安全考虑，就将MPLS专线更换SD-WAN却是冒了安全风险的。

因为即便近期SD-WAN呈现出爆炸性增长态势，SD-WAN也支持端到端加密以及按应用或组织层级进行划分，提供嵌入式安全机制。但实际上，相当一部分SD-WAN供应商并不提供全面的企业级安全解决方案。

而许多企业对SD-WAN的方案架构可能并未吃透，就急于上马项目，也为安全威胁埋下了隐患。因此，选择具有符合企业特定需求的SD-WAN安全解决方案就变得相当关键了。

误区二：安全投入能省就省

对于抱着此种理念的企业来说，面对SD-WAN解决方案时，往往怎么省钱怎么花，然而削减投入带来的副作用就是无法达成SD-WAN在部署后应有的安全策略效果。

由于一些SD-WAN解决方案也集成有安全功能或策略，因此让部分企业就存了侥幸心理，认为SD-WAN技术也会使用VPN进行传输，并融合数据压缩与流量管理技术，自身安全性能已然提升。而且SD-WAN自带了安全功能，那么其他安全设备的投入是不是能省则省了？

这显然优势一个安全误区，面对当今网络安全威胁不断提升之际，仅仅依靠SD-WAN的基本安全产品，对于一个企业来说显然是不够的。因为想采用SD-WAN技术的企业，同样也需要网络安全设备以及相应的威胁管理策略，比如安全网关服务或下一代防火墙（NGFW）、包括入侵防御、SSL检查、Web过滤和反恶意软件保护等等，不然入坑自然是分分钟的事了。

误区三：以为分支路由器也安全

SD-WAN技术需要遵循与其他IT基础架构元素相同的严格安全标准。尤其要特别注意在采用SD-WAN过程中对于分支路由器的使用。虽然对于传统的分支路由器部署，一旦安装完成后有可能几个月都无需再检查该硬件设备，但此种情况则并不适用于SD-WAN路由器。

因为对于SD-WAN路由器来说，使用最新的安全补丁来确保设备固件更新是相当重要。即便是一些SD-WAN路由器具备了智能自动修复功能，也无法改变需要根据应用环境而随时变换安全配置的事实。

小心SD-WAN安全误区

误区四：有啥、少啥安全功能不知道

当企业评估多个SD-WAN解决方案时，一些特定SD-WAN解决方案所支持的安全功能常被忽视掉。但与技术中的大多数事情一样，如果你不完全理解这个解决方案，它可能会导致更多的问题出现，而不了解SD-WAN有哪些安全功能，则往往会导致企业面临风险。因为这可能导致无法检测到缺失的安全功能。

例如，经常能看到采用SD-WAN解决方案的公司，将UTM设备从所在数据中心的集中式互联网出口迁移到分布式互联网出口模型上。但大多数SD-WAN解决方案只提供一个简单的状态防火墙，实际上，它并不能提供与控制其集中模型访问的下一代UTM相同的保护。这种疏忽可能会使用户处于网络威胁之中，而不自知。

误区五：营销手册上说的都对

对于解决方案商营销手册上说的，显然要辩证的看。SD-WAN营销手册上常常提到其卖点是无需采用者预先配置路由或网络路径。然而，这种态度可能会造成主要的SD-WAN安全漏洞。如果没有预先确定的路径，公司将无法回答几个关键问题，例如数据从A点到B点的路径，是谁拥有它所经过的网络，更重要的是，在传输中的数据会发生什么。

数据通过企业无法掌控的运营宽带互联网节点传播，显然需要额外的安全控制和技术来加密通过IP网络传输的数据才行。但如果仅仅相信营销手册上说法，无疑又再为自己的安全挖坑了。

结语

由此看出，仅仅依靠SD-WAN自身的安全性是不够的，只有通过正确方式构建安全防御，避免上述五大认知误区，才能为企业打造出安全网络。