部署SD-WAN即服务的好处

广域网由软件定义(SD-WAN)这项技术逐渐成为企业的主流，尽管仍有大量令人眼花缭乱的网络设置。

但在这方面，当企业通过多协议标签交换(组网)电路从传统分支机构-数据中心连接过渡到直接互联网接入和SD-WAN技术时，可能出现的基本问题是如何应对安全风险。特别是需要能够了解所有遍布互联网的服务相互关系。

Alexander Anoufriev是网络智能云平台ThousandEyes首席信息安全官。SD-WAN部署通常被认为是一种消除互联网传输固有不可预测性的简单方法，因为它使用指标（如整体延迟）来实施定义策略。

Anoufriev 称： ；尽管给出了这些指标SD-WAN一定程度的’互联网感知’并使其能够根据路径性能做出决定，但重要的是要提醒自己，SD-WAN如果有问题，就没有控制互联网，SD-WAN还是不能告诉你问题是什么，谁负责。

   ；它不能告诉你上游ISP是否丢失数据包，或边界网关协议(BGP)劫持是否会给你的用户带来风险。它甚至不能告诉你的性能是否符合区域标准。

此外，记住所有需要连接到应用程序和服务的外部依赖项，包括BGP路由，各种互联网服务提供商(ISP)、DNS服务、云安全代理、内容交付网络(CDN)、DDoS保护器等。因此，您需要查看网络路径中的每一个跳跃，以及详细的丢失、延迟和抖动指标。

Anoufriev说: ；依赖SD-WAN作为互联网唯一的视觉来源，就像依靠太阳镜作为你唯一的防晒工具一样。你的覆盖面只有有限，这无疑会影响你的视觉。如果你不受数据中心或分支机构的保护，你可能会遭受严重的痛苦‘晒伤’。“;

SD-WAN即服务

在网络安全云平台工作全云平台工作Anoufriev强调持续监控SD-WAN但很明显，他说的是正确的，很多版本SD-WAN似乎都有一定数量的SD-WAN安全条款。

Jan Hein Bakkers是IDC分析公司的网络研究经理，他表示不应忽视分散市场的不成熟性。

他指出: ；这个市场有很多产品、主张和参与者-来自不同电信公司，SD-WAN进入该领域的初创公司和网络公司DIY托管服务，他们的服务完全不同，还没有SD-WAN标准。

事实上，我甚至说这个领域没有可操作性和标准化。企业需要了解这一点，并思考他们在做出选择时所追求的目标。因为这些产品以不同的方式解决熟悉的网络可靠性、性能和带宽问题。

因此，企业需要在那里SD-WAN在市场上做出自己的选择，当然，这将或应该与企业有关CISO或CIO安全方法。

安全主张

我们也应该意识到，SD-WAN市场的一些部分正在关注安全主张，并有效地销售安全主张SD-WAN即服务。这种安全驱动力是基于云服务的增长给网络带来了复杂性，因此需要安全相关的响应来保护互联网流量。

Cato Networks、Zscaler、VMware的VeloCloud和思科等供应商SD-WAN所有这些产品都提供了某种形式的安全主张版本。对于网络卖家来说，该产品可以提供直接的替代方案来解决难题。

例如，Zscaler主张还是需要的SD-WAN合作伙伴，但公司通过为分公司实现安全本地互联网突破，使企业能够轻松从辐射架构转移到云架构。

Zscaler公司表示： “;简单地将互联网流量路由到Zscaler，所有即开始检查所有流量-包括所有端口和协议SSL。您可以从单个控制台定义所有区域，并立即部署访问和安全策略。

另一方面，Cato Networks公司认为SD-WAN将互联网传输引入网络广域网可以扩大分支机构的容量，减少互联网流量，但不能满足访问互联网和云资源的网络安全要求。

公司更安全的主张是 ；建设一个完全融合的国家SD-WAN内置网络安全性作为云服务提供。

SD-WAN边缘设备支持基于战略的路由和传输等网络基础设施和核心功能，可以解决传统问题SD-WAN的问题。”

有些复杂

然而，大多数CISO所有这些端到端嵌入式安全云都应该提醒自己SD-WAN产品只是整体方案的一部分。

4G网络业务Cradlepoint产品营销副总裁Donna Johnson表示： ；SD-WAN缺点是供应商过度吹嘘SD-WAN的简单性。

   ；对某些人来说可能很简单，但有很多问题值得思考，许多公司甚至不太了解应用程序。更传统的SD-WAN部署，这很重要。

安全方面，Johnson指出SD-WAN项目应始终协调网络和安全功能。

   ；例如，你可能会发现防火墙规则受阻SD-WAN，但许多公司甚至不了解他们的路由器设置，这在未来几年的网络变化中可能会变得非常复杂。

保护网络安全

考虑部署SD-WAN对于企业来说，还需要考虑其他方面SD-WAN安全问题？

Paul Dawes是Mode公司首席执行官，公司在SD-WAN市场提供特定的产品-为像Microsoft Azure这样的运营商级网络提供 ；全国覆盖，以确保高性能云专用网络。他说，必须先决定SD-WAN什么类型的主张？

   ；您是否会选择更传统的网络部署，包括防火墙和网关，以及软件可以提供更高水平的控制和战略可见性，或选择Zscaler供应商提供的外包模式是众多选择中的两种选择，但重点是它们在结构上完全不同，在新的WAN交付和安全需要不同的关注。

Mode专注于网络的中间位置，Dawes这意味着其产品在该领域的安全性非常重要，因为它提供了第三种方法：独家核心骨干网络，可以取代网络和互联网，提供加密和服务质量。

对于安全和网络架构来说，重要的问题是你能否提供端到端的流量加密？您的密钥是否暴露在其他地方？在加密方面，您必须能够信任运营商。

对安全的态度因环境而异。通常在真正的大型企业(或高度监管的公司)CISO进行安全审计，以系统的方式询问漏洞，包括解密流量，但很多企业不会有这样详细的审查。

我们已经讨论了足够多的理论，让我们来看看在实践中的部署SD-WAN几家公司。

SD-WAN全国律师事务所

Mode一直在协助跨区域大型律师事务所SD-WAN部署。公司拥有先进的文档管理系统、高收费人员和苛刻的客户。公司需要一个可靠、安全的网络来匹配其规模和拥有它15Gbps主网和端到端加密。

Dawes称: ；部署SD-WAN，它们的质量标准不会改变。在这种情况下，该公司排除了基于云的SD-WAN由于这些环境中的加密方法不适合其需要，因此在另一个基础设施中解密数据。

公司最终选择Mode专有骨干网和SD-WAN相结合。

   ；他们的CISO了解我们的专有核心服务可以加快速度。我们必须展示如何处理它DDoS或受影响的POP [存在点]，但是SD-WAN与专有核心相结合意味着，即使在最坏的情况下，流量也只是通过互联网路由。

与大多数SD-WAN同样，分阶段部署也是确保安全的重要组成部分，即在广泛部署前进行试点。

Dawes称： “;SD-WAN其优点之一是，其安排意味着您可以有选择地部署变更，这对大型企业至关重要，随着时间的推移，动态管理带宽也可以增加。

Everyday Loans如何部署SD-WAN

另一个正在展开SD-WAN和安全一起旅行Tony Sheehan，他是英国不良信贷贷款提供商Everyday Loans的技术和基础设施经理。

Sheehan说: ；公司有12年的历史，是的Citrix除总部外，用户还有40个分支机构。公司部署SD-WAN即使我们对分支机构的需求不是那么高，因为每个分支机构只有少数用户。

在过去，该公司使用组网而不是组网EFM从中央数据中心提供的铜线应用。大约18个月前，当公司考虑升级时Cato Networks基于云的公司SD-WAN这是个不错的选择。

   ；我们的业务很简单，我们想要简单的部署。我们没有其他安全问题。我们是Citrix而且，易于部署而不需要大量投资的解决方案对我们很有吸引力。IT网络集成商LAN3为我们提供支持，让它变得简单。

Sheehan称： “;Everyday Loans在城市中心，理论上最可靠的选择是光纤，但没有普遍的可用性。