由于SD-WAN技術變得比多協議標簽交換(MPLS)更便宜、更靈活、更易于部署，它提供集中的可見性和管理，并提高了WAN鏈接的整體性能，提高了員工的生產力，從而變得越來越流行。但是，使分支機構中的最終用戶直接連接到公共互聯網和云計算服務引起了嚴重的安全問題，這給SD-WAN部署增加了另一層次的復雜性和風險。

 

根據Enterprise Management Associates(EMA)在2018年底對北美地區和歐洲250家企業進行的一項調查顯示，在分支機構中部署SD-WAN的組織遇到的實際數據泄漏的可能性是沒有分支機構組織的1.3倍。EMA公司分析師Shamus McGillicuddy說，這是因為許多企業最初僅依靠其SD-WAN設備中的本機安全功能，而不是通過附加的防御層來增強這些功能。

 

典型的SD-WAN產品提供狀態防火墻，以及其他功能，例如網絡分段和站點到站點隧道。但是它們沒有提供更復雜的安全措施，例如應用程序感知的下一代防火墻、入侵預防、數據丟失預防和統一的威脅管理。此外，它們不會自動與企業的其他安全基礎設施集成。

 

好消息是，企業客戶越來越意識到對基準產品以外的其他安全功能的需求。在IDG Research公司和SD-WAN托管提供商Masergy公司最近進行的一項調查中，有81%的受訪者表示，安全性是SD-WAN供應商選擇的最關鍵因素。

 

純粹的SD-WAN供應商已經聽到了清晰明確的消息，并與傳統的安全供應商(如CheckPoint或Palo Alto Networks)以及基于云計算的提供商(如Zscaler)合作，提供集成的軟件包。

 

對于想要確保其SD-WAN連接具有深入安全性的客戶，還有兩種選擇。企業可以與一家在安全方面有著悠久歷史的公司合作，而該公司最近已經開發了SD-WAN產品，例如Cisco或Fortinet。或者，它可以選擇由運營商或托管服務提供商來承擔端到端WAN流量的責任，并提供其他安全功能菜單，例如可按需購買的Web內容過濾和防病毒保護。

 

Westcon Comstor公司和GHD公司是兩家部署了SD-WAN但采取了完全不同的方法來確保其分支機構連接安全的公司。這兩家公司認識到他們應該做更多的事情來加強其組織的SD-WAN安全性，以及如何實現。

 

 

全球IT分銷商Westcon Comstor公司高級基礎設施經理Michael Soler說，他從多協議標簽交換(MPLS)轉向基于Silver Peak Unity EdgeConnect平臺的SD-WAN的驅動力是彈性、成本、可擴展性和可見性。

 

該公司的遠程網絡由兩個共同管理的數據中心以及在北美、歐洲和亞洲的27個辦事處組成。其彈性是原有協議標簽交換(MPLS)網絡的問題。Soler說，“IPSec故障轉移失敗了，它們在理論上看起來很棒，但在企業真正需要它們之前可能不盡人意。”

 

Soler表示，成本是另一個問題。由于缺乏對網絡使用情況的了解，他發現優化帶寬需求以及確定超額訂購或訂購不足的位置是一項挑戰。

 

眾所周知，在進行更改或使用協議標簽交換(MPLS)網絡啟動新服務時，存在缺乏靈活性和反應速度慢的缺點。協議標簽交換(MPLS)部署的復雜性增加了出錯的機會，這就意味著用戶體驗不佳。

 

在調查了多家SD-WAN供應商后，他于2017年底開始使用Silver Peak裝置進行概念驗證，并對產品推出的簡單性和產品的有效性，特別是前向糾錯和路徑調節等性能特征印象深刻。他為部署過程建立了一個模板，并開始在所有啟用協議標簽交換(MPLS)的站點上推出SD-WAN技術。

 

Soler說，“我們取得了巨大的成功，WAN成本降低，彈性和可見性得到了很大的改善，最終用戶對通過直接訪問全球互聯網和Azure云可以實現的性能和靈活性感到滿意。”

 

為了解決與分支機構的全球互聯網突破相關的安全問題，Soler已部署了下一代防火墻，以增強Silver Peak設備隨附的狀態防火墻。互聯網突圍是指分支機構的互聯網流量沒有回傳到應用安全控制的中央站點時。

 

Soler說，相信會不斷進步，正在尋找使自己的安全態勢更加有效的方法。他正在研究一種稱為服務鏈的技術，該技術能夠從區域衛星位置接收流量，并將其匯聚到將應用防火墻策略的區域中心站點。Soler表示，他從長遠來看，也有興趣研究基于云計算的SD-WAN安全服務。

 

 

GHD公司全球網絡經理Randy Taylor在推出Riverbed SD-WAN設備時采取了不同的方法。他沒有采用其他分支機構安全工具，而是選擇了Zscaler公司的基于云計算的安全服務。

 

提供工程、建筑、環境和其他專業服務的GHD公司一度擁有100%的多協議標簽交換(MPLS)廣域網，將流量從全球30個站點回傳到其托管數據中心。

 

2015年，該公司進行了一連串的并購活動，這使該公司在北美地區的WAN足跡擴展到了近130個站點。面對可能需要三到五個月才能部署每個新的多協議標簽交換(MPLS)鏈路的現實，Taylor開始尋找替代方案。

 

Taylor說，“我們需要一種更快的方法。”長期訂購多協議標簽交換(MPLS)將會受到影響。GHD公司是LAN端的Cisco商店，并且也是Riverbed廣域網優化的客戶，因此他開始調查Riverbed SD-WAN產品。

 

最初，Taylor表示，他對SD-WAN等顛覆性技術有些懷疑。但是他對使用互聯網作為交通工具的想法很感興趣。他決定在一些北美地區較小的站點進行試點。他發現Riverbed SteelConnect SD-WAN設備非常易于部署，在不到6周的時間內就可以連接50個站點。

 

通過Riverbed幾乎零接觸的流程，他能夠在將云計算設備交付給分支機構之前在云計算門戶中對其進行預配置。在那里，非IT人員可以遵循一些簡單的說明，插入設備，并在幾分鐘內運行。

 

Taylor說：“我們立即開始看到收益，首先是互聯網的突破。SD-WAN的推出恰逢其時，這與其公司對SaaS應用程序的越來越多的使用相吻合。這成為了我們訪問SaaS的解決方案。”

 

作為一家為政府機構服務并需要符合ISO標準的公司，GHD公司非常注重安全性。Taylor說，他需要在SteelConnect的集成防火墻中增加額外的安全性，以防止該公司遇到的惡意軟件數量增加。

 

該公司在其數據中心部署了企業級防火墻，發現購買和維護它們的成本很高。Taylor希望避免在所有分支機構中添加額外的安全硬件，因此GHD公司選擇了基于云計算的選項，并選擇與Zscaler公司合作。

 

GHD公司來自分支機構的所有流量都將到達Zscaler公司的數據中心，并在該數據中心執行安全策略。Zscaler公司在將數據發布到全球互聯網時會查看數據并同時查看返回流。該服務提供了一系列功能清單，其中包括反病毒、白名單、黑名單、UTM、附件沙箱和零日保護。

 

Taylor說，Zscaler公司節省了成本，并且比必須維護和更新自己的安全硬件更為方便。Taylor指出，需要注意的是：來自分支的流量需要連接到最近的Zscaler節點，因此，如果最近的節點距離請求者較遠，其性能可能會受到一定程度的影響。

 

從整體SD-WAN經驗來看，Taylor可以從維護原有拓撲的六名全職網絡工程師轉變為出于監督目的的一名工程師。其日常維護基本上由服務臺負責，這六名工程師現在專注于技術創新。

 

Taylor表示，這種方法管理了50個小型站點，并在全球范圍內推出了SD-WAN。他說，“成本節省和性能提升如此之大，以至于我們盡可能取消多協議標簽交換(MPLS)。”由于合規性原因，某些流量無法進入云平臺，并且某些語音和視頻應用程序將保留在多協議標簽交換(MPLS)上，但SD-WAN已成為該公司的主要WAN傳輸模式。

 

 

從集中式的WAN安全模型(其中分支流量通過安全的多協議標簽交換回傳到數據中心)到分布式的模型(每個分支機構都實施安全性)的轉變，也需要一種新型的組織方法。

 

SD-WAN不再依靠網絡和安全小組獨立工作，而是推動合作伙伴關系，因為安全小組希望部署集成工具，并使用通用數據集。McGillicuddy說，這種合作已經超越了諸如事件響應之類的戰術情況，并已擴展到基礎設施設計和實施。

 

實際上，許多組織正在采用混合方法來實現SD-WAN安全性。如果他們擁有仍然可以使用多年的安全設備，那么他們就不會翻新和更換，并正在將該功能集成到SD-WAN實施中，目的是將深度防御結合在一起。

 

其他組織則采用托管服務路線。由于許多純粹的SD-WAN供應商正在通過托管服務提供商出售其產品，并且還提供傳統運營商在其SD-WAN產品中使用的硬件，因此客戶可以選擇特定供應商的設備，并將實施、持續維護和安全功能移交給服務提供商。

 

Nemertes Research公司分析師John Burke說：“這有很多種方法，無論是在財務上還是在架構上，組織都在做最適合他們自己情況的事情。”他指出，服務鏈是一種有趣的方法，它使用多個衛星站點連接到容納安全堆棧的大型數據中心站點的概念。

 

雖然對許多組織來說，擺脫多協議標簽交換(MPLS)是轉向SD-WAN的動力，Burke指出，超過一半的組織將多協議標簽交換(MPLS)保留在特定的應用程序上。多協議標簽交換(MPLS)已經從最初的廣域網鏈路變成了多元化、優化、安全的廣域網業務流的一小部分。

 

版權聲明：本文為企業網D1Net編譯，轉載需注明出處為：企業網D1Net，如果不注明出處，企業網D1Net將保留追究其法律責任的權利。