從全球性組織的大規模數據泄露到爆炸性增長的勒索軟件攻擊，在數天內感染了成千上萬的用戶，當今的企業已經比以往任何時候都面臨更多的威脅，而這些威脅的數量、頻率以及復雜性都在不斷增加。

除此之外，這種快速演變的威脅環境可能歸因于新的和擴展的威脅向量，這些威脅通過非公司實體、消費者設備，以及安全性差的合作伙伴網絡或分支機構向外部威脅敞開了大門。例如，物聯網（IoT）和租戶服務迫使企業以一種獨特的方法來進行流量服務/工作負載的分割，并引入一定的操作復雜度。

目前正在被利用的一個新的威脅載體的根源在于軟件定義的廣域網（SD-WAN），其無意中利用直接互聯網接入創造了新的攻擊面，這取決于當前的安全模式，并為勒索軟件、APT、病毒蠕蟲和其他惡意軟件帶來了機會。從歷史上看，企業通過集中訪問和數據中心處理的安全措施來保證互聯網訪問。但是，在分支機構直接訪問互聯網會導致大量入站攻擊，許多企業對SD-WAN（軟件定義廣域網）與向混合連接的轉變沒有做好準備，因此無法保護共每個分支機構免受新一波復雜攻擊。

安全思維的轉變

企業可以通過將其檢查和執行點從數據中心轉移到分支機構或云端，從而解決這一系列新的安全挑戰。具體而言，安全管理員需要評估他們是否需要不僅僅包含加密和一般狀態防火墻服務的安全層。然后他們需要詢問分支機構或云計算中是否存在更多的風險，這將有助于確定他們需要的安全層。

就本質而言，SD-WAN提供了嵌入式安全性，因為它本身支持端到端的加密和按應用程序或組織級別的分割。但是，提供全面的企業級安全解決方案對于許多SD-WAN提供商并非完全支持。那么，企業將如何確保分支機構的安全，同時避免卷入惡意軟件和其他威脅的漩渦呢？

組織可以選擇以下幾種方法：

·融入SD-WAN解決方案的集成高級安全產品

·第三方SaaS產品

·部署現有的或新的供應商以實現基于設備的本地方法。

每種方法都有自己的好處和注意事項（一些廠商也提供了狀態防火墻，這是許多路由器現在支持的一種常見的服務，提供類似的功能，也就是說，它缺少來自SD-WAN市場的大多數廠商對下一代和安全網關(UTM)功能的支持）。

將安全性融入了SD-WAN

優點：分支機構的集成安全性將SD-WAN帶到下一級的分支機構連接，并以多種方式交付。這種方法提供了單一供應商，更簡單的管理和內部流量保護，以及智能交通管理和轉向。企業就可以獲得強大的性能，不需要額外的跳躍或設備來處理。此外，SD-WAN具有安全功能，可為所有事件關聯提供單一窗格，其中包括用戶，應用程序，設備，位置和網絡。

缺點：其安全水平可能不像傳統的“縱深防御”那樣深入，通常依靠多個供應商來覆蓋安全基礎設施的各個方面，而不采取“把所有雞蛋放在一個籃子里”的方法來保障安全。

第三方軟件即服務（SaaS）產品

優點：這種方法可以減輕一些管理上的麻煩，消費的特點是輕量級模式，從實現和管理的角度來看，它提供了相對較高的靈活性和易用性。SaaS安全可以注入新的檢查來保護數據，防止潛在的高昂代價和隱蔽和意外的攻擊。

缺點：第三方SaaS解決方案具有一些局限性。許多人只能識別基于HTTP的流量，這使得組織無法確定如何處理剩余的流量，以及可能缺少通過備用協議進入的威脅。而且，從管理角度來看，SaaS解決方案將管理界面和接觸點分開，為管理員創造額外的步驟，從而使操作復雜化，并且拖延了時間。

部署現有或新的供應商

優點：許多組織依靠經過驗證的現有供應商來實現基于設備的內部方法。毫不奇怪，這種方法最顯著的好處之一是組織通常非常熟悉這些產品。由于這些解決方案駐留在本地部署數據中心，安全管理人員可以自動地熟悉這些產品。而且由于這些產品的使用壽命長，它們傾向于長時間保持在分支機構的基礎設施中，并且常常被證明具有一定程度的有效性。

缺點：雖然很熟悉，但從收購和運營的角度來看，專用設備方法可能代價高昂。因為它們通常很復雜，所以需要耗費大量人力的實施周期，并需要更多的資源來管理整個組織。另外，每個分支機構的多個數據密集型設備會成倍地增加這個問題。同樣的復雜性可能是潛在的整合和/或互操作性問題的根源，這些問題肯定會阻礙生產力的發展。而且有許多設備，沒有單一的事件關聯點，所有這一切都為威脅和其他異常提供了機會。

保護SD-WAN：期待什么

安全集成到SD-WAN中的組織可能會受益于高性能，易于管理和使用。為了實現高標準的安全性能，某些功能對于分支和廣域網連接解決方案是不可協商的。例如，組織應該要求有狀態的防火墻和/或應用程序防火墻，以及動態的IPSec隧道和站點到站點的配對。安全功能還應包括安全密鑰管理和動態更新密鑰，以及惡意軟件和x-ware內聯檢測和保護。標準安全功能（如防病毒和DDoS防護和檢測）應該自然包含在內。為了實現預期的安全功能，集成的SD-WAN安全需要提供完整的端到端事件關聯，將所有應用程序、用戶、設備、位置、網絡，以及安全事件合并到一起，并對這些事件做出適當的反應。

安全SD-WAN的好處無可否認是廣泛的，使組織能夠滿足合規性要求，降低基礎設施和電路成本，改善和簡化分割，并減少分支的蔓延。

如今，針對企業的威脅一直處于不斷變化的狀態，不斷地調整以克服目標企業資產的障礙。為了在當今的安全環境中有效運行，企業實施SD-WAN安全不應該是事后考慮的事情，或者是在事后添加或者根據需要添加。相反，為了使安全成為SD-WAN結構的一個固有部分，需要進行模式轉換，從而成為組織綜合安全基礎設施的強大、關鍵、必要的組成部分。