伴隨著經濟全球化與數字化變革的后浪，企業(yè)規(guī)模逐漸從垂直增加變?yōu)楸馄綌U展,。在此背景下，SD-WAN（軟件定義廣域網）技術既滿足了企業(yè)遠程辦公連接,、業(yè)務上云和集中化管理的應用訴求,，又具有快速部署、管理邊界 ,、建設投入小等優(yōu)勢,，因此得到了迅速的發(fā)展。不過隨著SD-WAN技術的廣泛應用,，企業(yè)的網絡邊界也從本地終端,、局域網絡擴展到廣域網范圍的遠程設備和云平臺中,，這給企業(yè)創(chuàng)造了新的攻擊面,，為勒索軟件、APT,、病毒蠕蟲和其他惡意軟件提供了更多可乘之機,。

　　企業(yè)建設網絡的最終目的，是為了保障其數字化業(yè)務的開展,，而互聯只是達成這一目標的基礎,。基于企業(yè)對新一代網絡體系更深層次的安全需求,，催生出安全與SD-WAN全面覆蓋和深度融合的“安全SD-WAN”創(chuàng)新方案,。相比大多數傳統(tǒng)SD-WAN產品僅能通過VPN連接和加密技術來保障2-3層數據傳輸安全，安全SD-WAN實現了體系化,、原生化的安全能力構建,，可以對4-7層網絡進行安全檢測和分析，從而基于應用層數據對網絡系統(tǒng)進行優(yōu)化,，及時發(fā)現深層隱藏的病毒,、木馬、惡意腳本等安全威脅,，有效保障企業(yè)數字化業(yè)務系統(tǒng)的安全穩(wěn)定運行,。

　　為了幫助我國企業(yè)更好地了解安全SD-WAN技術創(chuàng)新價值，研究推廣安全SD-WAN方案應用經驗,，安全牛通過訪談調研十余家甲方企業(yè)的網絡系統(tǒng)建設者,，并從技術先進性,、產品創(chuàng)新力和應用成熟度等維度，征集邀請到天融信,、新華三,、山石網科、締安科技4家國內安全SD-WAN技術創(chuàng)新代表性廠商,，聯合發(fā)起《安全SD-WAN應用指南》報告（以下簡稱“《報告》”）研究項目,。2022年8月18日，《報告》正式發(fā)布,。

　　報告關鍵發(fā)現

　　企業(yè)在開展廣域網建設時,，需要結合企業(yè)IT戰(zhàn)略、安全策略,、合規(guī)要求進行綜合規(guī)劃,，網絡性能、建設成本,、安全性,、方案成熟度、合規(guī)性,、運維難度等是企業(yè)在SD-WAN選型時的主要考量因素,；

　　簡單地將安全產品疊加到SD-WAN網絡中，不僅會增加更多運維成本,，還可能因為難以實施統(tǒng)一的安全策略而產生安全漏洞,，如何將安全能力與SD-WAN深度融合，并能夠實現一體化管理,，將會影響SD-WAN未來的市場發(fā)展,；

　　安全SD-WAN采用原生化安全賦能設計理念，可以實現網絡與安全一體化建設和管理,，目前已經得到了70%以上受訪企業(yè)用戶的關注,；

　　可托管的安全SD-WAN服務在實現廣域網快速連接、彈性擴展,、簡易運維,、降低企業(yè)建設成本等方面存在一定優(yōu)勢，服務化產品模式可以更好地推動安全SD-WAN技術的落地應用,。

　　目前主流安全廠商推出的安全SD-WAN產品均可以有效融入到新一代SASE安全架構中,，能夠為SASE安全體系建設提供廣泛的網絡聯接及安全服務。

　　安全SD-WAN產品架構

　　安全SD-WAN產品架構主要包括網絡層,、控制層以及業(yè)務層三個部分：

　　網絡層主要指“安全SD-WAN”的基礎架構設施,，包括用于連接每個節(jié)點的CPE（即上圖中的“安全CPE”或者連接云的“安全vCPE”，以下簡稱“CPE”）,，CPE通過一條或多條WAN鏈路與總部,、數據中心或者云連接,，CPE之間通過Overlay隧道技術互聯；

　　控制層是整個“安全SD-WAN”解決方案的指揮中心,，其核心是由網絡控制器構成,。控制器具有編排,、管理,、控制的功能，可以對企業(yè)WAN進行了網絡模型抽象和定義,，并通過建模對用戶屏蔽了WAN部署和實現的技術細節(jié),。最終，用戶可以通過網絡控制器的北向業(yè)務編排界面,，用接近企業(yè)應用或業(yè)務的接口語言,，驅動網絡控制器實現簡易而又靈活的網絡配置和業(yè)務發(fā)放；

　　業(yè)務層主要通過業(yè)務配置界面實現安全SD-WAN的業(yè)務呈現和發(fā)放,。在業(yè)務層,，可以實現網絡拓撲定義、VPN策略定義,、ACL控制定義,、多業(yè)務安全相關的策略定義，以及基于應用的流量調度策略定義等操作,。

　　安全SD-WAN能力體系

　　安全防護能力建設是一項系統(tǒng)性工程,，既要考慮不同安全維度又要顧及多個層面的安全能力,，對“安全SD-WAN”來講,，其安全能力既繼承了傳統(tǒng)SD-WAN組網的基本認證、加密,、VPN等安全技術,，保證網絡層的傳輸安全和基本的數據保密，又增加了對4-7層數據的可見性,。同時為了實現安全數據需要集中分析的需求,，還需要結合安全服務，形成系統(tǒng)安全,、基礎安全,、應用安全和安全服務4四個層面的安全體系模型。

　　安全SD-WAN能力體系

　　系統(tǒng)安全能力是指保障系統(tǒng)可靠運轉的安全能力,，包括控制器,、邊緣接入設備、管理系統(tǒng)等自身組件安全,、身份認證及流量傳輸安全等,，組件自身要具備健全的系統(tǒng)架構和完善的安全加固策略,，并通過組件互信、數據加密,、身份管理,、安全審計等多種措施保證自身的安全性。

　　基礎安全能力是指保證安全SD-WAN穩(wěn)定運行的安全能力,，包括身份認證,、安全傳輸、安全策略管理,、安全日志收集,、安全事件告警等。

　　業(yè)務安全能力是指基于應用的深度識別以滿足更深層的業(yè)務安全需求,，比如對數據的檢測不僅限于報文的五元組,，還可以基于更多的維度，包括身份信息,、應用程序指紋或者行為分析等,。

　　安全服務能力將各種安全功能服務化，以減輕企業(yè)安全建設和運營的成本和復雜度,，這也是安全SD-WAN解決方案中重要的能力演進方向,。

　　安全SD-WAN應用價值

　　針對企業(yè)廣域網建設，用戶關心的問題主要集中在性能,、成本,、安全性、建設周期,、運維難度這幾個方面,。相比MPLS、專線接入,、傳統(tǒng)SD-WAN等廣域網建設方案,，安全SD-WAN方案的應用價值可體現在以下方面：

　　優(yōu)化現有網絡構架，對現有WAN快速組網模式進行快速整合,，并降低企業(yè)的建設成本,；

　　動態(tài)路徑選擇，基于不同鏈路質量對流量進行靈活調度,，并可根據不同的應用對時延,、丟包、實時性的依賴程度優(yōu)化廣域網訪問質量,；

　　實現體系化的安全防護策略協同,，大大減少安全漏洞和風險，同時降低安全運維成本,，減輕網絡運營管理團隊的工作負擔,；

　　實現網絡運行數據和安全防護數據的一體化收集和分析,，實現基于全局的事件發(fā)現、響應,、溯源,，滿足用戶基于應用更深層的協議識別和安全防護需要。

　　產業(yè)專家觀點

　　天融信產品經理 何明卓：

　　天融信基于企業(yè)數字化轉型應用需求,，推出“安全SD-WAN”產品,，具備完整的下一代防火墻能力，在大量的實踐與探索當中,，打造“SD-WAN+”的網絡和安全融合架構,，并形成行業(yè)化、場景化的安全廣域網互聯解決方案,。天融信“SD-WAN+”安全廣域網互聯架構分兩部分：一部分是網絡服務,，包括具備全場景接入能力的SD-WAN網關設備、智能選路模塊,、業(yè)務優(yōu)化加速模塊等,，另一部分是協同安全服務，包括零信任網絡,、行為管控,、數據防泄漏、高級安全檢測,、日志審計,、態(tài)勢感知、應急響應服務等,。通過結合SASE理念并融入零信任,、云計算等多領域網絡安全能力，可以幫助客戶實現云,、網,、安IT能力的原生共建,，為客戶業(yè)務安全訪問提供靈活,、便捷、可靠,、易用的安全接入和安全服務保障,。

　　新華三高級產品經理 缐崴：

　　SD-WAN技術讓企業(yè)組織扁平化變得簡單的同時，也使得企業(yè)網絡邊界得以延伸,，從最初的總部邊界,，拓展到廣域網范圍內的局域網、終端和云平臺,，這種變化為SD-WAN的安全應用提出了新的要求,。在新華三“安全SD-WAN”體系中,，通過一體化安全設備，結合自研的統(tǒng)一平臺Comware操作系統(tǒng),，來提供整個架構的底層支撐,。在此基礎上，可根據SD-WAN網絡業(yè)務特性要求,，新華三推出不同性能梯度的CPE設備,，來滿足企業(yè)安全SD-WAN應用的不同要求。在管理感知層,，新華三“安全SD-WAN”管理平臺秉承軟件定義的精髓,，將控制面與轉發(fā)面解耦，實現精細化網絡資源的靈活調度,，并可以提供精細化的應用識別粒度,。同時支持服務化安全能力對接和云化安全防護對接，能夠滿足不同的場景業(yè)務拓展和運營需求,。

　　山石網科產品行銷經理 王亞軍：

　　將SD-WAN與安全能力集成到一體化的解決方案中,，能夠實現安全能力的原生賦能，進而為客戶提供更智能,、更便捷,、更安全的網絡應用。山石網科為應對企業(yè)廣域網絡所面臨的各種挑戰(zhàn),，推出了山石安全SD-WAN解決方案,，由山石網科安全管理平臺HSM作為SD-WAN控制器，以山石網科全系列防火墻,、SDW系列安全網關,、山石網科虛擬化防火墻（山石云·界）作為 CPE/vCPE，覆蓋總部數據中心,、企業(yè)分支,、中型網點、小型門店,、云網互聯等多種分支場景,。方案具備？部署簡單,、運維高效,、業(yè)務保障、安全合規(guī)這四方面的核心價值,，可以為用戶提供全生命周期式的安全SD-WAN應用服務,。

　　締安科技高級產品經理 袁初成：

　　締安科技近年來一直將安全能力和SD-WAN技術應用整合作為重要的目標。因為SD-WAN的主要應用場景是在廣域網上，而廣域網又是面臨安全威脅最多的應用場景之一,。締安科技在SD-WAN產品整合與開發(fā)的過程中,，融入了多種創(chuàng)新安全理念和技術，把SD-WAN分成基礎設施層,、傳輸層,、應用層3層技術來看待，并分別進行安全能力的迭代優(yōu)化,。其中,，傳輸層的設備和網絡管理系統(tǒng)是SD-WAN的核心內容，在這一層,，我們通過自建或者跟運營商共建overlay方案,，融合創(chuàng)新安全能力和技術，比如人工智能算法,、強化安全學習算法等,，將實現整體化的安全SD-WAN技術服務，相比之前傳統(tǒng)VPN組網模式,，在應用穩(wěn)定性和可靠性方面會有明顯的提高,。

　　報告主筆分析師 陳發(fā)明：

　　未來，安全SD-WAN將在與AI,、5G,、物聯網、云計算等新技術的融合應用中不斷創(chuàng)新演進發(fā)展,，并呈現以下發(fā)展趨勢：

　　向高性能方向發(fā)展,。在數據傳輸、高速加解密,、應用識別及深度安全策略的開啟等都需要方案具備更高的性能,；

　　需要更靈活和智能的安全編排能力，包括接入組網,、安全運維等方面,；

　　安全SD-WAN托管服務興起。托管服務在廣域網快速連接,、彈性擴展,、簡易運維、降低企業(yè)建設成本等方面存在顯著優(yōu)勢,；

　　安全SD-WAN“將會與SASE架構融合,，當安全需求越來越多的向多業(yè)務安全、零信任安全,、SaaS化安全方向發(fā)展后，安全SD-WAN組網能力和多業(yè)務安全能力將與SASE架構深度融合,，成為未來SASE整體服務中的一部分,。

更多信息可以來這里獲取==>>電子技術應用-AET<<