摘要：从全球性组织的大规模数据泄露到爆炸性增长的勒索软件攻击，在数天内感染了成千上万的用户，当今的企业已经比以往任何时候都面临更多的威胁，而这些威胁的数量、频率以及复杂性都在不断增加。

    从全球性组织的大规模数据泄露到爆炸性增长的勒索软件攻击，在数天内感染了成千上万的用户，当今的企业已经比以往任何时候都面临更多的威胁，而这些威胁的数量、频率以及复杂性都在不断增加。
　　
　　除此之外，这种快速演变的威胁环境可能归因于新的和扩展的威胁向量，这些威胁通过非公司实体、消费者设备，以及安全性差的合作伙伴网络或分支机构向外部威胁敞开了大门。例如，物联网（IoT）和租户服务迫使企业以一种独特的方法来进行流量服务/工作负载的分割，并引入一定的操作复杂度。
　　
　　目前正在被利用的一个新的威胁载体的根源在于软件定义的广域网（SD-WAN），其无意中利用直接互联网接入创造了新的攻击面，这取决于当前的安全模式，并为勒索软件、APT、病毒蠕虫和其他恶意软件带来了机会。从历史上看，企业通过集中访问和数据中心处理的安全措施来保证互联网访问。但是，在分支机构直接访问互联网会导致大量入站攻击，许多企业对SD-WAN（软件定义广域网）与向混合连接的转变没有做好准备，因此无法保护共每个分支机构免受新一波复杂攻击。
　　
　　安全思维的转变
　　
　　企业可以通过将其检查和执行点从数据中心转移到分支机构或云端，从而解决这一系列新的安全挑战。具体而言，安全管理员需要评估他们是否需要不仅仅包含加密和一般状态防火墙服务的安全层。然后他们需要询问分支机构或云计算中是否存在更多的风险，这将有助于确定他们需要的安全层。
　　
　　就本质而言，SD-WAN提供了嵌入式安全性，因为它本身支持端到端的加密和按应用程序或组织级别的分割。但是，提供全面的企业级安全解决方案对于许多SD-WAN提供商并非完全支持。那么，企业将如何确保分支机构的安全，同时避免卷入恶意软件和其他威胁的漩涡呢？
　　
　　组织可以选择以下几种方法：
　　
　　•融入SD-WAN解决方案的集成高级安全产品
　　
　　•第三方SaaS产品
　　
　　•部署现有的或新的供应商以实现基于设备的本地方法。
　　
　　每种方法都有自己的好处和注意事项（一些厂商也提供了状态防火墙，这是许多路由器现在支持的一种常见的服务，提供类似的功能，也就是说，它缺少来自SD-WAN市场的大多数厂商对下一代和安全网关(UTM)功能的支持）。
　　
　　将安全性融入了SD-WAN
　　
　　优点：分支机构的集成安全性将SD-WAN带到下一级的分支机构连接，并以多种方式交付。这种方法提供了单一供应商，更简单的管理和内部流量保护，以及智能交通管理和转向。企业就可以获得强大的性能，不需要额外的跳跃或设备来处理。此外，SD-WAN具有安全功能，可为所有事件关联提供单一窗格，其中包括用户，应用程序，设备，位置和网络。
　　
　　缺点：其安全水平可能不像传统的“纵深防御”那样深入，通常依靠多个供应商来覆盖安全基础设施的各个方面，而不采取“把所有鸡蛋放在一个篮子里”的方法来保障安全。
　　
　　第三方软件即服务（SaaS）产品
　　
　　优点：这种方法可以减轻一些管理上的麻烦，消费的特点是轻量级模式，从实现和管理的角度来看，它提供了相对较高的灵活性和易用性。SaaS安全可以注入新的检查来保护数据，防止潜在的高昂代价和隐蔽和意外的攻击。
　　
　　缺点：第三方SaaS解决方案具有一些局限性。许多人只能识别基于HTTP的流量，这使得组织无法确定如何处理剩余的流量，以及可能缺少通过备用协议进入的威胁。而且，从管理角度来看，SaaS解决方案将管理界面和接触点分开，为管理员创造额外的步骤，从而使操作复杂化，并且拖延了时间。
　　
　　部署现有或新的供应商
　　
　　优点：许多组织依靠经过验证的现有供应商来实现基于设备的内部方法。毫不奇怪，这种方法最显著的好处之一是组织通常非常熟悉这些产品。由于这些解决方案驻留在本地部署数据中心，安全管理人员可以自动地熟悉这些产品。而且由于这些产品的使用寿命长，它们倾向于长时间保持在分支机构的基础设施中，并且常常被证明具有一定程度的有效性。
　　
　　缺点：虽然很熟悉，但从收购和运营的角度来看，专用设备方法可能代价高昂。因为它们通常很复杂，所以需要耗费大量人力的实施周期，并需要更多的资源来管理整个组织。另外，每个分支机构的多个数据密集型设备会成倍地增加这个问题。同样的复杂性可能是潜在的整合和/或互操作性问题的根源，这些问题肯定会阻碍生产力的发展。而且有许多设备，没有单一的事件关联点，所有这一切都为威胁和其他异常提供了机会。
　　
　　保护SD-WAN：期待什么
　　
　　安全集成到SD-WAN中的组织可能会受益于高性能，易于管理和使用。为了实现高标准的安全性能，某些功能对于分支和广域网连接解决方案是不可协商的。例如，组织应该要求有状态的防火墙和/或应用程序防火墙，以及动态的IPSec隧道和站点到站点的配对。安全功能还应包括安全密钥管理和动态更新密钥，以及恶意软件和x-ware内联检测和保护。标准安全功能（如防病毒和DDoS防护和检测）应该自然包含在内。为了实现预期的安全功能，集成的SD-WAN安全需要提供完整的端到端事件关联，将所有应用程序、用户、设备、位置、网络，以及安全事件合并到一起，并对这些事件做出适当的反应。
　　
　　安全SD-WAN的好处无可否认是广泛的，使组织能够满足合规性要求，降低基础设施和电路成本，改善和简化分割，并减少分支的蔓延。
　　
　　如今，针对企业的威胁一直处于不断变化的状态，不断地调整以克服目标企业资产的障碍。为了在当今的安全环境中有效运行，企业实施SD-WAN安全不应该是事后考虑的事情，或者是在事后添加或者根据需要添加。相反，为了使安全成为SD-WAN结构的一个固有部分，需要进行模式转换，从而成为组织综合安全基础设施的强大、关键、必要的组成部分。
　　
　　编辑：Harris