網路千萬條，安全第一條

據Cybersecurity Insider機構最新發布的「2018年企業網絡內部威脅報告」，90%的企業認爲本身容易受到內部***，53%的企業確認在2018年曾受到過5次之內的內部***，而27%的企業甚至更加頻繁地受到內部***。而企業網絡內部容易受到***的主要緣由包括，擁有過分訪問權的用戶太多（37%），訪問敏感數據的設備數量過多（36%），以及網絡和IT鏈接愈來愈複雜（35%）。然而，隨着企業數字化轉型和對衆多重要業務線管理需求的驅動，雲的引入，軟件定義廣域網技術的應用，沒法避免地給網絡帶來了更多的風險。
1.雲邊界問題使企業飽受困擾
雲邊界，即網絡、雲和安全系統的交叉點。企業分支機構一般須要大量對雲應用或者雲服務上的資源進行訪問，若是全部流量都要發送到企業數據中心進行安全檢查、分析和過濾，則須要使用大量的MPLS帶寬，不只價格昂貴，並且會增長數據中心安全架構的規模和複雜性，導致傳輸效率低下，安全成本增長。可是，若是不經過數據中心的安全設備，組織要面臨員工訪問惡意站點，惡意回傳流量所帶來的數據泄漏、惡意軟件感染等安全隱患。

2.分支機構的網絡接入管控
企業爲了提高客戶體驗每每會傾向於向客戶開放其分支機構WiFi，以便訪客訪問企業公開的業務、數據和服務。同時，因爲企業組織架構在地域分佈上的的複雜性，分支機構的員工及其設備在訪問企業內部資源時也須要進行身份認證，並經過不一樣的網絡分段策略劃分權限。這種試圖以多種形式經過分支結構接入企業廣域網內部的行爲，將會致使企業面臨不可預估的風險。

分支機構網絡的複雜性以及對於雲端應用的青睞，讓傳統企業廣域網的***面不斷放大，SD-WAN做爲新一代廣域網技術，其安全性也備受關注，SD-WAN的安全鏈接能夠幫助抵禦網絡安全***，企業還可使用SD-WAN配置安全策略，針對特定於雲的流量對流量進行加密和分段。SD-WAN的安全性又能夠分爲兩個方面：

數據平面安全
在考慮SD-WAN安全性時，首先會想到就是數據面。數據平面承載用戶流量，須要對其進行加密。加密方法能夠包括安全套接字層、傳輸層安全、IPsec ***隧道和基於量子的加密通信等等。供應商每每會提供不一樣的加密和密鑰交換方法。密鑰輪換時間間隔越短意味着越安全，由於它們減小了***可使用密鑰的時間。

控制平面安全
控制平面的安全常常會被忽略。這是網絡控制元素（位於組成SD-WAN的路由器和交換設備中）之間的消息傳遞路徑。針對這些流量進行加密一樣重要，這樣***者就沒法攔截、***或損害您的SD-WAN的管理和配置功能。大多數（但不是所有）供應商會對控制平面進行加密。

目前市場上的大部分SD-WAN解決方案供應商，幾乎所有都僅支持IPSec ***和基本的狀態性安全，而這徹底不足以在不斷進化發展的網絡***面前保護好企業。所以，企業不得不在部署SD-WAN後再添加額外的安全保護。SD-WAN支持端到端加密以及按應用或組織層級進行劃分，可提供嵌入式安全機制。但至關一部分SD-WAN供應商並不提供全面的企業級安全解決方案。企業能夠選擇（1）整合至SD-WAN解決方案當中的高級安全方案（2）第三方SaaS方案（3）由現有或新供應商提供一套基於設備的內部方案來增強SD-WAN的安全性。
查看更多內容