三个“必须有” 的SD-WAN安全功能

在数据中心，基于云的系统结构和网络虚拟化的应用越来越多（DC）以及在WAN公有云促进了高度的自动化和运营效率。这使得企业能够提供难以想象的服务敏捷性，从而解锁新一代的业务应用。

基于云的系统结构本质上是短期的，可以被认为是一个快速变化的动态虚拟层，用于交付跨网络资源的基本共享池。这本质上改变了安全游戏，使传统安全措施（如防火墙）的静态方法不够充分。这些防火墙通常放置在网络周围，以抵抗数据中心、公有云或扩展企业WAN新更阴险的方式感染网络外围的新型恶意软件等网络攻击效果不佳。

SD-WAN2.0

第一代SD-WAN部署主要集中在交付敏捷性上WAN连接提高了覆盖范围，降低了运营的复杂性。今天，企业期望更多。他们想用它SD-WAN在整个网络中提供一系列的基础设施IT端到端安全是服务的重中之重。

借助SD-WAN2.0，IT经理将受益于一个无缝、安全的端到端网络，由具有单一策略和网络治理模型的单一平台管理。有了这个基础设施，IT经理可以通过高度自动化的管理和控制系统管理跨越私人数据中心（DC），公有云及分支机构位置的应用程序。

实时应用程序流的可见性具有网络和安全策略自动化

许多IT组织根据信仰和历史用例构建安全规则。当业务应用程序和用户被信任并限制在单个位置时，这种方法可能是有效的，但在当今的云架构中，它是低效和有风险的。业务应用程序变得更加复杂、动态和分布式，用户变得更加移动和全球化。如今，数百个全球网站中有成千上万的用户，他们可以访问这些网站SaaS公共或私有云中的应用和应用大大增加了组织的攻击面，使网络安全成为一项艰巨的任务。

要应对这一新现实，SD-WAN2.0平台为企业IT经理为整个网络中的所有应用程序流量提供了全面、实时的可见性，包括收集和显示每流端到端流量模式的能力：来源和目的地，以及流量类型和费率。该平台应允许IT根据实时流量和当前业务目标，经理利用此信息自动创建安全规则。

基于应用程序的流量数据，IT经理可以视化服务层(例如，Web工作负荷和类型的服务器、数据库、视频流和优化)（TCP，UDP）适用于每个应用程序流和每个层之间的流量模式。这些知识不仅可以了解应用程序和资源的使用情况，还可以为每个应用程序划分网络，以确定应用程序的自动化安全策略。

了解该应用程序级别的流量信息对验证合规性要求非常重要。可能需要满足公司信息安全策略的网络和安全要求SD-WAN2.0平台将确保整个网络更加严格的安全，使合规验证更加准确和高度自动化。

对第三方安全生态系统的全面端到端细分和支持

现代攻击寻求进入网络的漏洞，然后从东到西横向移动，瞄准高价值目标DC扩展到云和WAN第二个必须有的网络SD-WAN2.0功能是软件定义的安全措施，以补充基于外围安全的传统水平攻击。

利用上述全面的流程可见性，IT经理可以更好地提前划分每个应用程序，分配服务层，支持每个应用程序的工作负荷。根据应用程序进行细分，IT经理可以创建将特定应用程序的流量和所有相关网络资源隔离在自己安全逻辑领域的策略。必须支持所有位置和工作负载。随着网络资源在应用程序整个生命周期中的变化，安全措施将动态遵循，从而消除对任何自定义或手动安全配置的要求。这种称为微分段的技术通常仅限于SD-WAN1.0部署中的WAN。

SD-WAN2.0真正需要的是SD-WAN2.0提供真正的端到端微分段，涵盖所有远程位置和公共位置DC和私有云。实际上，SD-WAN2.从远程位置进行0微分段LAN应用程序工作负载延伸到数据中心，确保无缝连接和完整保护。借助此功能，SD-WAN2.0可以防止远程位置的横向攻击永远无法到达DC内部关键资产，这是传统SD-WAN不能部署的。

包括传统网络或外围在内的解决方案必须创建和自动化FW与第三方下一代同时，综合整体方法的能力FW（NGFW）无缝集成东西向安全性，无缝集成。SD-WAN2.0的基础设施应提供完全的自由NGFW远程托管uCPE上，或从基于软件即服务（SaaS）安全服务连接到任何其他地方。IT选择内置特定安全功能的经理不应受到限制。

动态威胁响应

利用整个网络SD-WAN2.根据应用程序实时分析流量，IT经理可以动态理解DC，网络范围内的分支机构或公有云流量。SD-WAN2.0平台提供的第三个必须安全功能是定义和实施自动策略的能力。该策略可以在没有用户干预的情况下实时响应可疑流量。一些例子包括：

可通知实时报警IT在服务层的粒度水平之前，经理每个应用程序的可疑活动。例如，在虚拟数据库服务器上TCP当端口开始接收来自新源的意外流量时，发出警报。

可疑流量可以自动重定向或复制到IPS或NGFW，以进行更深入的分析。

可疑流量源可以隔离，系统在检测到流量后自动阻止所有流量。

借助真正的端到端治理，SD-WAN2.0为IT经理为整个网络中的所有应用程序使用所有安全工具提供了一个平台，无论它的来源是什么。

结论

对于基于云的系统结构和网络虚拟化，传统的基于边界的安全性不再足够。物联网，人工智能，5G的出现，对Wi-Fi随着员工流动性的提高，企业正在迅速转移到更独特的设备、端点和流量，不幸的是，安全问题越来越多。网络规模和攻击范围将继续快速增长。对于企业IT对用经理SD-WAN2.0端到端SDN战略驱动的可编程性和自动化(从WAN利用三个必要的安全性，扩展到公有云和私有云中至关重要。