伴隨著經濟全球化與數字化變革的后浪,企業規模逐漸從垂直增加變為扁平擴展。在此背景下,SD-WAN(軟件定義廣域網)技術既滿足了企業遠程辦公連接、業務上云和集中化管理的應用訴求,又具有快速部署、管理邊界 、建設投入小等優勢,因此得到了迅速的發展。不過隨著SD-WAN技術的廣泛應用,企業的網絡邊界也從本地終端、局域網絡擴展到廣域網范圍的遠程設備和云平臺中,這給企業創造了新的攻擊面,為勒索軟件、APT、病毒蠕蟲和其他惡意軟件提供了更多可乘之機。
企業建設網絡的最終目的,是為了保障其數字化業務的開展,而互聯只是達成這一目標的基礎。基于企業對新一代網絡體系更深層次的安全需求,催生出安全與SD-WAN全面覆蓋和深度融合的“安全SD-WAN”創新方案。相比大多數傳統SD-WAN產品僅能通過VPN連接和加密技術來保障2-3層數據傳輸安全,安全SD-WAN實現了體系化、原生化的安全能力構建,可以對4-7層網絡進行安全檢測和分析,從而基于應用層數據對網絡系統進行優化,及時發現深層隱藏的病毒、木馬、惡意腳本等安全威脅,有效保障企業數字化業務系統的安全穩定運行。
為了幫助我國企業更好地了解安全SD-WAN技術創新價值,研究推廣安全SD-WAN方案應用經驗,安全牛通過訪談調研十余家甲方企業的網絡系統建設者,并從技術先進性、產品創新力和應用成熟度等維度,征集邀請到天融信、新華三、山石網科、締安科技4家國內安全SD-WAN技術創新代表性廠商,聯合發起《安全SD-WAN應用指南》報告(以下簡稱“《報告》”)研究項目。2022年8月18日,《報告》正式發布。
報告關鍵發現
企業在開展廣域網建設時,需要結合企業IT戰略、安全策略、合規要求進行綜合規劃,網絡性能、建設成本、安全性、方案成熟度、合規性、運維難度等是企業在SD-WAN選型時的主要考量因素;
簡單地將安全產品疊加到SD-WAN網絡中,不僅會增加更多運維成本,還可能因為難以實施統一的安全策略而產生安全漏洞,如何將安全能力與SD-WAN深度融合,并能夠實現一體化管理,將會影響SD-WAN未來的市場發展;
安全SD-WAN采用原生化安全賦能設計理念,可以實現網絡與安全一體化建設和管理,目前已經得到了70%以上受訪企業用戶的關注;
可托管的安全SD-WAN服務在實現廣域網快速連接、彈性擴展、簡易運維、降低企業建設成本等方面存在一定優勢,服務化產品模式可以更好地推動安全SD-WAN技術的落地應用。
目前主流安全廠商推出的安全SD-WAN產品均可以有效融入到新一代SASE安全架構中,能夠為SASE安全體系建設提供廣泛的網絡聯接及安全服務。
安全SD-WAN產品架構
安全SD-WAN產品架構主要包括網絡層、控制層以及業務層三個部分:
網絡層主要指“安全SD-WAN”的基礎架構設施,包括用于連接每個節點的CPE(即上圖中的“安全CPE”或者連接云的“安全vCPE”,以下簡稱“CPE”),CPE通過一條或多條WAN鏈路與總部、數據中心或者云連接,CPE之間通過Overlay隧道技術互聯;
控制層是整個“安全SD-WAN”解決方案的指揮中心,其核心是由網絡控制器構成。控制器具有編排、管理、控制的功能,可以對企業WAN進行了網絡模型抽象和定義,并通過建模對用戶屏蔽了WAN部署和實現的技術細節。最終,用戶可以通過網絡控制器的北向業務編排界面,用接近企業應用或業務的接口語言,驅動網絡控制器實現簡易而又靈活的網絡配置和業務發放;
業務層主要通過業務配置界面實現安全SD-WAN的業務呈現和發放。在業務層,可以實現網絡拓撲定義、VPN策略定義、ACL控制定義、多業務安全相關的策略定義,以及基于應用的流量調度策略定義等操作。
安全SD-WAN能力體系
安全防護能力建設是一項系統性工程,既要考慮不同安全維度又要顧及多個層面的安全能力,對“安全SD-WAN”來講,其安全能力既繼承了傳統SD-WAN組網的基本認證、加密、VPN等安全技術,保證網絡層的傳輸安全和基本的數據保密,又增加了對4-7層數據的可見性。同時為了實現安全數據需要集中分析的需求,還需要結合安全服務,形成系統安全、基礎安全、應用安全和安全服務4四個層面的安全體系模型。
安全SD-WAN能力體系
系統安全能力是指保障系統可靠運轉的安全能力,包括控制器、邊緣接入設備、管理系統等自身組件安全、身份認證及流量傳輸安全等,組件自身要具備健全的系統架構和完善的安全加固策略,并通過組件互信、數據加密、身份管理、安全審計等多種措施保證自身的安全性。
基礎安全能力是指保證安全SD-WAN穩定運行的安全能力,包括身份認證、安全傳輸、安全策略管理、安全日志收集、安全事件告警等。
業務安全能力是指基于應用的深度識別以滿足更深層的業務安全需求,比如對數據的檢測不僅限于報文的五元組,還可以基于更多的維度,包括身份信息、應用程序指紋或者行為分析等。
安全服務能力將各種安全功能服務化,以減輕企業安全建設和運營的成本和復雜度,這也是安全SD-WAN解決方案中重要的能力演進方向。
安全SD-WAN應用價值
針對企業廣域網建設,用戶關心的問題主要集中在性能、成本、安全性、建設周期、運維難度這幾個方面。相比MPLS、專線接入、傳統SD-WAN等廣域網建設方案,安全SD-WAN方案的應用價值可體現在以下方面:
優化現有網絡構架,對現有WAN快速組網模式進行快速整合,并降低企業的建設成本;
動態路徑選擇,基于不同鏈路質量對流量進行靈活調度,并可根據不同的應用對時延、丟包、實時性的依賴程度優化廣域網訪問質量;
實現體系化的安全防護策略協同,大大減少安全漏洞和風險,同時降低安全運維成本,減輕網絡運營管理團隊的工作負擔;
實現網絡運行數據和安全防護數據的一體化收集和分析,實現基于全局的事件發現、響應、溯源,滿足用戶基于應用更深層的協議識別和安全防護需要。
產業專家觀點
天融信產品經理 何明卓:
天融信基于企業數字化轉型應用需求,推出“安全SD-WAN”產品,具備完整的下一代防火墻能力,在大量的實踐與探索當中,打造“SD-WAN+”的網絡和安全融合架構,并形成行業化、場景化的安全廣域網互聯解決方案。天融信“SD-WAN+”安全廣域網互聯架構分兩部分:一部分是網絡服務,包括具備全場景接入能力的SD-WAN網關設備、智能選路模塊、業務優化加速模塊等,另一部分是協同安全服務,包括零信任網絡、行為管控、數據防泄漏、高級安全檢測、日志審計、態勢感知、應急響應服務等。通過結合SASE理念并融入零信任、云計算等多領域網絡安全能力,可以幫助客戶實現云、網、安IT能力的原生共建,為客戶業務安全訪問提供靈活、便捷、可靠、易用的安全接入和安全服務保障。
新華三高級產品經理 缐崴:
SD-WAN技術讓企業組織扁平化變得簡單的同時,也使得企業網絡邊界得以延伸,從最初的總部邊界,拓展到廣域網范圍內的局域網、終端和云平臺,這種變化為SD-WAN的安全應用提出了新的要求。在新華三“安全SD-WAN”體系中,通過一體化安全設備,結合自研的統一平臺Comware操作系統,來提供整個架構的底層支撐。在此基礎上,可根據SD-WAN網絡業務特性要求,新華三推出不同性能梯度的CPE設備,來滿足企業安全SD-WAN應用的不同要求。在管理感知層,新華三“安全SD-WAN”管理平臺秉承軟件定義的精髓,將控制面與轉發面解耦,實現精細化網絡資源的靈活調度,并可以提供精細化的應用識別粒度。同時支持服務化安全能力對接和云化安全防護對接,能夠滿足不同的場景業務拓展和運營需求。
山石網科產品行銷經理 王亞軍:
將SD-WAN與安全能力集成到一體化的解決方案中,能夠實現安全能力的原生賦能,進而為客戶提供更智能、更便捷、更安全的網絡應用。山石網科為應對企業廣域網絡所面臨的各種挑戰,推出了山石安全SD-WAN解決方案,由山石網科安全管理平臺HSM作為SD-WAN控制器,以山石網科全系列防火墻、SDW系列安全網關、山石網科虛擬化防火墻(山石云·界)作為 CPE/vCPE,覆蓋總部數據中心、企業分支、中型網點、小型門店、云網互聯等多種分支場景。方案具備?部署簡單、運維高效、業務保障、安全合規這四方面的核心價值,可以為用戶提供全生命周期式的安全SD-WAN應用服務。
締安科技高級產品經理 袁初成:
締安科技近年來一直將安全能力和SD-WAN技術應用整合作為重要的目標。因為SD-WAN的主要應用場景是在廣域網上,而廣域網又是面臨安全威脅最多的應用場景之一。締安科技在SD-WAN產品整合與開發的過程中,融入了多種創新安全理念和技術,把SD-WAN分成基礎設施層、傳輸層、應用層3層技術來看待,并分別進行安全能力的迭代優化。其中,傳輸層的設備和網絡管理系統是SD-WAN的核心內容,在這一層,我們通過自建或者跟運營商共建overlay方案,融合創新安全能力和技術,比如人工智能算法、強化安全學習算法等,將實現整體化的安全SD-WAN技術服務,相比之前傳統VPN組網模式,在應用穩定性和可靠性方面會有明顯的提高。
報告主筆分析師 陳發明:
未來,安全SD-WAN將在與AI、5G、物聯網、云計算等新技術的融合應用中不斷創新演進發展,并呈現以下發展趨勢:
向高性能方向發展。在數據傳輸、高速加解密、應用識別及深度安全策略的開啟等都需要方案具備更高的性能;
需要更靈活和智能的安全編排能力,包括接入組網、安全運維等方面;
安全SD-WAN托管服務興起。托管服務在廣域網快速連接、彈性擴展、簡易運維、降低企業建設成本等方面存在顯著優勢;
安全SD-WAN“將會與SASE架構融合,當安全需求越來越多的向多業務安全、零信任安全、SaaS化安全方向發展后,安全SD-WAN組網能力和多業務安全能力將與SASE架構深度融合,成為未來SASE整體服務中的一部分。
更多信息可以來這里獲取==>>電子技術應用-AET<<
