实现更安全的广域网联接!《安全SD-WAN应用指南》报告发布
作者: 日期:2022年08月19日 阅:1,532

伴随着经济全球化与数字化变革的后浪,企业规模逐渐从垂直增加变为扁平扩展。在此背景下,SD-WAN(软件定义广域网)技术既满足了企业远程办公连接、业务上云和集中化管理的应用诉求,又具有快速部署、管理边界 、建设投入小等优势,因此得到了迅速的发展。不过随着SD-WAN技术的广泛应用,企业的网络边界也从本地终端、局域网络扩展到广域网范围的远程设备和云平台中,这给企业创造了新的攻击面,为勒索软件、APT、病毒蠕虫和其他恶意软件提供了更多可乘之机。

企业建设网络的最终目的,是为了保障其数字化业务的开展,而互联只是达成这一目标的基础。基于企业对新一代网络体系更深层次的安全需求,催生出安全与SD-WAN全面覆盖和深度融合的“安全SD-WAN”创新方案。相比大多数传统SD-WAN产品仅能通过VPN连接和加密技术来保障2-3层数据传输安全,安全SD-WAN实现了体系化、原生化的安全能力构建,可以对4-7层网络进行安全检测和分析,从而基于应用层数据对网络系统进行优化,及时发现深层隐藏的病毒、木马、恶意脚本等安全威胁,有效保障企业数字化业务系统的安全稳定运行。

为了帮助我国企业更好地了解安全SD-WAN技术创新价值,研究推广安全SD-WAN方案应用经验,安全牛通过访谈调研十余家甲方企业的网络系统建设者,并从技术先进性、产品创新力和应用成熟度等维度,征集邀请到天融信、新华三、山石网科、缔安科技4家国内安全SD-WAN技术创新代表性厂商,联合发起《安全SD-WAN应用指南》报告(以下简称“《报告》”)研究项目。2022年8月18日,《报告》正式发布。

报告关键发现

  •  企业在开展广域网建设时,需要结合企业IT战略、安全策略、合规要求进行综合规划,网络性能、建设成本、安全性、方案成熟度、合规性、运维难度等是企业在SD-WAN选型时的主要考量因素;
  • 简单地将安全产品叠加到SD-WAN网络中,不仅会增加更多运维成本,还可能因为难以实施统一的安全策略而产生安全漏洞,如何将安全能力与SD-WAN深度融合,并能够实现一体化管理,将会影响SD-WAN未来的市场发展;
  • 安全SD-WAN采用原生化安全赋能设计理念,可以实现网络与安全一体化建设和管理,目前已经得到了70%以上受访企业用户的关注;
  • 可托管的安全SD-WAN服务在实现广域网快速连接、弹性扩展、简易运维、降低企业建设成本等方面存在一定优势,服务化产品模式可以更好地推动安全SD-WAN技术的落地应用。
  • 目前主流安全厂商推出的安全SD-WAN产品均可以有效融入到新一代SASE安全架构中,能够为SASE安全体系建设提供广泛的网络联接及安全服务。

安全SD-WAN产品架构

安全SD-WAN产品架构主要包括网络层、控制层以及业务层三个部分:

  • 网络层主要指“安全SD-WAN”的基础架构设施,包括用于连接每个节点的CPE(即上图中的”安全CPE”或者连接云的“安全vCPE”,以下简称“CPE”),CPE通过一条或多条WAN链路与总部、数据中心或者云连接,CPE之间通过Overlay隧道技术互联;
  • 控制层是整个“安全SD-WAN”解决方案的指挥中心,其核心是由网络控制器构成。控制器具有编排、管理、控制的功能,可以对企业WAN进行了网络模型抽象和定义,并通过建模对用户屏蔽了WAN部署和实现的技术细节。最终,用户可以通过网络控制器的北向业务编排界面,用接近企业应用或业务的接口语言,驱动网络控制器实现简易而又灵活的网络配置和业务发放;
  • 业务层主要通过业务配置界面实现安全SD-WAN的业务呈现和发放。在业务层,可以实现网络拓扑定义、VPN策略定义、ACL控制定义、多业务安全相关的策略定义,以及基于应用的流量调度策略定义等操作。

安全SD-WAN能力体系

安全防护能力建设是一项系统性工程,既要考虑不同安全维度又要顾及多个层面的安全能力,对“安全SD-WAN”来讲,其安全能力既继承了传统SD-WAN组网的基本认证、加密、VPN等安全技术,保证网络层的传输安全和基本的数据保密,又增加了对4-7层数据的可见性。同时为了实现安全数据需要集中分析的需求,还需要结合安全服务,形成系统安全、基础安全、应用安全和安全服务4四个层面的安全体系模型。

安全SD-WAN能力体系

系统安全能力是指保障系统可靠运转的安全能力,包括控制器、边缘接入设备、管理系统等自身组件安全、身份认证及流量传输安全等,组件自身要具备健全的系统架构和完善的安全加固策略,并通过组件互信、数据加密、身份管理、安全审计等多种措施保证自身的安全性。

基础安全能力是指保证安全SD-WAN稳定运行的安全能力,包括身份认证、安全传输、安全策略管理、安全日志收集、安全事件告警等。

业务安全能力是指基于应用的深度识别以满足更深层的业务安全需求,比如对数据的检测不仅限于报文的五元组,还可以基于更多的维度,包括身份信息、应用程序指纹或者行为分析等。

安全服务能力将各种安全功能服务化,以减轻企业安全建设和运营的成本和复杂度,这也是安全SD-WAN解决方案中重要的能力演进方向。

安全SD-WAN应用价值

针对企业广域网建设,用户关心的问题主要集中在性能、成本、安全性、建设周期、运维难度这几个方面。相比MPLS、专线接入、传统SD-WAN等广域网建设方案,安全SD-WAN方案的应用价值可体现在以下方面:

  • 优化现有网络构架,对现有WAN快速组网模式进行快速整合,并降低企业的建设成本;
  • 动态路径选择,基于不同链路质量对流量进行灵活调度,并可根据不同的应用对时延、丢包、实时性的依赖程度优化广域网访问质量;
  • 实现体系化的安全防护策略协同,大大减少安全漏洞和风险,同时降低安全运维成本,减轻网络运营管理团队的工作负担;
  • 实现网络运行数据和安全防护数据的一体化收集和分析,实现基于全局的事件发现、响应、溯源,满足用户基于应用更深层的协议识别和安全防护需要。

产业专家观点

天融信产品经理 何明卓:

天融信基于企业数字化转型应用需求,推出“安全SD-WAN”产品,具备完整的下一代防火墙能力,在大量的实践与探索当中,打造“SD-WAN+”的网络和安全融合架构,并形成行业化、场景化的安全广域网互联解决方案。天融信“SD-WAN+”安全广域网互联架构分两部分:一部分是网络服务,包括具备全场景接入能力的SD-WAN网关设备、智能选路模块、业务优化加速模块等,另一部分是协同安全服务,包括零信任网络、行为管控、数据防泄漏、高级安全检测、日志审计、态势感知、应急响应服务等。通过结合SASE理念并融入零信任、云计算等多领域网络安全能力,可以帮助客户实现云、网、安IT能力的原生共建,为客户业务安全访问提供灵活、便捷、可靠、易用的安全接入和安全服务保障。

新华三高级产品经理 缐崴:

SD-WAN技术让企业组织扁平化变得简单的同时,也使得企业网络边界得以延伸,从最初的总部边界,拓展到广域网范围内的局域网、终端和云平台,这种变化为SD-WAN的安全应用提出了新的要求。在新华三“安全SD-WAN”体系中,通过一体化安全设备,结合自研的统一平台Comware操作系统,来提供整个架构的底层支撑。在此基础上,可根据SD-WAN网络业务特性要求,新华三推出不同性能梯度的CPE设备,来满足企业安全SD-WAN应用的不同要求。在管理感知层,新华三“安全SD-WAN”管理平台秉承软件定义的精髓,将控制面与转发面解耦,实现精细化网络资源的灵活调度,并可以提供精细化的应用识别粒度。同时支持服务化安全能力对接和云化安全防护对接,能够满足不同的场景业务拓展和运营需求。

山石网科产品行销经理 王亚军:

将SD-WAN与安全能力集成到一体化的解决方案中,能够实现安全能力的原生赋能,进而为客户提供更智能、更便捷、更安全的网络应用。山石网科为应对企业广域网络所面临的各种挑战,推出了山石安全SD-WAN解决方案,由山石网科安全管理平台HSM作为SD-WAN控制器,以山石网科全系列防火墙、SDW系列安全网关、山石网科虚拟化防火墙(山石云·界)作为 CPE/vCPE,覆盖总部数据中心、企业分支、中型网点、小型门店、云网互联等多种分支场景。方案具备‍部署简单、运维高效、业务保障、安全合规这四方面的核心价值,可以为用户提供全生命周期式的安全SD-WAN应用服务。

缔安科技高级产品经理 袁初成:

缔安科技近年来一直将安全能力和SD-WAN技术应用整合作为重要的目标。因为SD-WAN的主要应用场景是在广域网上,而广域网又是面临安全威胁最多的应用场景之一。缔安科技在SD-WAN产品整合与开发的过程中,融入了多种创新安全理念和技术,把SD-WAN分成基础设施层、传输层、应用层3层技术来看待,并分别进行安全能力的迭代优化。其中,传输层的设备和网络管理系统是SD-WAN的核心内容,在这一层,我们通过自建或者跟运营商共建overlay方案,融合创新安全能力和技术,比如人工智能算法、强化安全学习算法等,将实现整体化的安全SD-WAN技术服务,相比之前传统VPN组网模式,在应用稳定性和可靠性方面会有明显的提高。

报告主笔分析师 陈发明:

未来,安全SD-WAN将在与AI、5G、物联网、云计算等新技术的融合应用中不断创新演进发展,并呈现以下发展趋势:

  1. 向高性能方向发展。在数据传输、高速加解密、应用识别及深度安全策略的开启等都需要方案具备更高的性能;
  2. 需要更灵活和智能的安全编排能力,包括接入组网、安全运维等方面;
  3. 安全SD-WAN托管服务兴起。托管服务在广域网快速连接、弹性扩展、简易运维、降低企业建设成本等方面存在显著优势;
  4. 安全SD-WAN”将会与SASE架构融合,当安全需求越来越多的向多业务安全、零信任安全、SaaS化安全方向发展后,安全SD-WAN组网能力和多业务安全能力将与SASE架构深度融合,成为未来SASE整体服务中的一部分。

了解更多报告内容,请点击识别下方二维码,获取完整《安全SD-WAN应用指南》报告:

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章