sdwan安全策略

　　大多数SD-WAN解决方案的一个普遍缺陷是，它们似乎孤立地解决了您的WAN连接需求。正在进行快速数字化转型的组织面临的最大挑战之一是，每个新的网络元素都倾向于独立设计和实施。尽管此方法有几个重大缺陷，但最严重的缺陷莫过于对安全性的影响。

　　安全性所需的最关键功能之一是在整个分布式网络中扩展可见性。在网络的不同部分中部署单独的安全解决方案会隔离资源，并使其无法查看，关联和响应系统性威胁。

　　尽管传统的中心辐射型WAN连接模型当然有其缺点，但它们的确使所有流量都可以由集中部署的安全性进行扫描和保护。一旦将静态MPLS连接替换为利用公共网络的灵活连接并开始支持直接链接到Internet和SaaS应用程序，您就将安全负担转移到了SD-WAN设备上。

　　问题是，大多数SD-WAN设备仅提供了极其基本的防火墙功能。这意味着您的关键数据将不再受到一整套安全服务的保护，例如IPS，Web过滤，防病毒和防恶意软件以及

　　沙盒。如果需要这些服务，则必须将它们添加为覆盖。由于设计和部署解决方案的繁重工作，额外的维护以及使用单独的管理控制台，这可能会给您的IT团队增加大量开销。而且，如果操作不当，它还可以将WAN安全与其他安全架构隔离开来，无论是在核心还是在多云环境中。

　　在像公共互联网这样不可靠的平台上管理SD-WAN连接需要大量的精细连接管理。需要建立冗余系统以立即进行故障转移。即使在实时连接期间，也需要热交换可靠性不断下降的链路。而且流量管理工具需要不断了解应用程序带宽要求和不同连接的优先级，以不断进行微调整，以支持对延迟敏感的应用程序(如统一通信)。

　　SD-WAN需要集成网络和安全功能

　　但是，可能需要的最基本要素是SD-WAN网络功能和安全性之间的深度集成。不幸的是，当安全性作为覆盖部署时，它能做的最好的事情就是对网络连接的变化做出反应。对于与核心数据中心的基本连接来说，这可能已经足够了，但是保护SaaS应用程序或访问敏感数据之类的东西是另一回事。在网络更改和重新映射安全性以匹配新配置之间的时间间隔会造成安全漏洞，可以预测并加以利用。当这种变化每秒发生时，这个问题就变得更加复杂。

　　与其将安全性作为覆盖层部署，不如将其完全集成到SD-WAN解决方案本身的网络功能中。创建新连接后，将在此过程中构建和部署安全策略。当网络连接更改时，安全性将自动作为协议的一部分进行调整。而且，如果新的连接或调整有可能危及安全策略，则集成的安全元素可以在进行更改之前就阻止该更改。

　　未来需要安全驱动的网络

　　安全性和网络功能之间的这种深层互操作性是下一代安全性的标志，称为安全性驱动网络。通过将这些传统上独立的系统编织到单个解决方案中，组织可以实现真正保护其整个基础架构所需的可见性和控制力。随着机器学习和AI成为解决方案的一部分，我们最终将实现我们一直在等待的那种自我防御，自我修复的网络。

　　全新的安全SD-WAN解决方案是开始此工作的理想之地。连接性和安全性之间的深度集成允许无缝，直接地部署完整的解决方案，而网络和安全功能可以使用单个玻璃管理系统窗格同时进行管理，从而减少了开销，提高了性能和保护能力，并为下一代安全性。