sdwan安全策略

　　大多數SD-WAN解決方案的一個普遍缺陷是，它們似乎孤立地解決了您的WAN連接需求。正在進行快速數字化轉型的組織面臨的最大挑戰之一是，每個新的網絡元素都傾向于獨立設計和實施。盡管此方法有幾個重大缺陷，但最嚴重的缺陷莫過于對安全性的影響。

　　安全性所需的最關鍵功能之一是在整個分布式網絡中擴展可見性。在網絡的不同部分中部署單獨的安全解決方案會隔離資源，并使其無法查看，關聯和響應系統性威脅。

　　盡管傳統的中心輻射型WAN連接模型當然有其缺點，但它們的確使所有流量都可以由集中部署的安全性進行掃描和保護。一旦將靜態MPLS連接替換為利用公共網絡的靈活連接并開始支持直接鏈接到Internet和SaaS應用程序，您就將安全負擔轉移到了SD-WAN設備上。

　　問題是，大多數SD-WAN設備僅提供了極其基本的防火墻功能。這意味著您的關鍵數據將不再受到一整套安全服務的保護，例如IPS，Web過濾，防病毒和防惡意軟件以及

　　沙盒。如果需要這些服務，則必須將它們添加為覆蓋。由于設計和部署解決方案的繁重工作，額外的維護以及使用單獨的管理控制臺，這可能會給您的IT團隊增加大量開銷。而且，如果操作不當，它還可以將WAN安全與其他安全架構隔離開來，無論是在核心還是在多云環境中。

　　在像公共互聯網這樣不可靠的平臺上管理SD-WAN連接需要大量的精細連接管理。需要建立冗余系統以立即進行故障轉移。即使在實時連接期間，也需要熱交換可靠性不斷下降的鏈路。而且流量管理工具需要不斷了解應用程序帶寬要求和不同連接的優先級，以不斷進行微調整，以支持對延遲敏感的應用程序(如統一通信)。

　　SD-WAN需要集成網絡和安全功能

　　但是，可能需要的最基本要素是SD-WAN網絡功能和安全性之間的深度集成。不幸的是，當安全性作為覆蓋部署時，它能做的最好的事情就是對網絡連接的變化做出反應。對于與核心數據中心的基本連接來說，這可能已經足夠了，但是保護SaaS應用程序或訪問敏感數據之類的東西是另一回事。在網絡更改和重新映射安全性以匹配新配置之間的時間間隔會造成安全漏洞，可以預測并加以利用。當這種變化每秒發生時，這個問題就變得更加復雜。

　　與其將安全性作為覆蓋層部署，不如將其完全集成到SD-WAN解決方案本身的網絡功能中。創建新連接后，將在此過程中構建和部署安全策略。當網絡連接更改時，安全性將自動作為協議的一部分進行調整。而且，如果新的連接或調整有可能危及安全策略，則集成的安全元素可以在進行更改之前就阻止該更改。

　　未來需要安全驅動的網絡

　　安全性和網絡功能之間的這種深層互操作性是下一代安全性的標志，稱為安全性驅動網絡。通過將這些傳統上獨立的系統編織到單個解決方案中，組織可以實現真正保護其整個基礎架構所需的可見性和控制力。隨著機器學習和AI成為解決方案的一部分，我們最終將實現我們一直在等待的那種自我防御，自我修復的網絡。

　　全新的安全SD-WAN解決方案是開始此工作的理想之地。連接性和安全性之間的深度集成允許無縫，直接地部署完整的解決方案，而網絡和安全功能可以使用單個玻璃管理系統窗格同時進行管理，從而減少了開銷，提高了性能和保護能力，并為下一代安全性。