近年來，軟件定義廣域網(wǎng)(SD-WAN)技術被企業(yè)廣泛應用，SD-WAN繼承了SDN控制與轉(zhuǎn)發(fā)分離、集中控制的理念，將物理上的分布網(wǎng)絡抽象為統(tǒng)一管理的邏輯網(wǎng)絡，以便更加靈活地使用和調(diào)度，實現(xiàn)了企業(yè)在總部和分支機構、數(shù)據(jù)中心和云平臺之間的快速組網(wǎng)。
　　SD-WAN提升了廣域網(wǎng)的質(zhì)量、可用性和可靠性，同時大大降低了企業(yè)廣域網(wǎng)的總體擁有成本，但是不經(jīng)意間也創(chuàng)造了新的攻擊面，為勒索軟件、APT、病毒蠕蟲和其他惡意軟件提供了入侵機會。

　　SD-WAN的安全風險

　　安全風險可能來自以下幾個方面：

　　(1)非法接入

　　非法的設備或用戶接入網(wǎng)絡，例如，如果控制器對CPE的驗證出現(xiàn)驗證漏洞，仿冒CPE就有可能通過網(wǎng)絡控制器的注冊接入網(wǎng)絡，帶來嚴重的安全風險。

　　(2)滲透入侵

　　SD-WAN網(wǎng)絡中的管理中心和數(shù)據(jù)中心等擔負著認證、授權、管理、數(shù)據(jù)收集、數(shù)據(jù)存儲的重要任務，最容易成為黑客攻擊的目標，而位于網(wǎng)絡出口邊緣的CPE設備，也同樣因為直接暴露到廣域網(wǎng)上直接承受大量網(wǎng)絡掃描和攻擊。

　　(3)數(shù)據(jù)泄露

　　SD-WAN網(wǎng)絡中控制通道中的認證、授權信息及數(shù)據(jù)通道傳輸?shù)臄?shù)據(jù)，通過因特網(wǎng)傳輸時存在數(shù)據(jù)被截取或被篡改、仿冒的安全風險。

　　(4)業(yè)務安全

　　網(wǎng)絡中的數(shù)據(jù)中心、各分支節(jié)點或云端業(yè)務數(shù)據(jù)，容易遭受病毒、木馬、勒索軟件帶來的威脅和攻擊，各分支節(jié)點業(yè)務系統(tǒng)也往往因為安全防護力量薄弱更容易遭受內(nèi)部攻擊。

　　(5)運維風險

　　當企業(yè)分支節(jié)點越來越多，眾多分支邊界設備管理復雜，這給快速定位網(wǎng)絡問題，溯源取證并及時做出響應帶來了很大管理挑戰(zhàn)，處置不及時會產(chǎn)生相應的運維風險。

　　(6)法律合規(guī)

　　企業(yè)廣域網(wǎng)中信息流動跨度變大，信息服務或用戶數(shù)據(jù)分布在不同地區(qū)甚至是不同國家，SD-WAN建設需要遵從當?shù)氐姆煞ㄒ?guī)。比如我國政務網(wǎng)組網(wǎng)中的合規(guī)要求之一就是使用國密算法或國密產(chǎn)品。

　　SD-WAN的安全模型構建

　　SD-WAN安全是一個系統(tǒng)工程，需要從整個系統(tǒng)的管理、控制、業(yè)務多個層次考慮安全能力建設。ITU-T的X.805(2003)規(guī)范中規(guī)劃了一個關于信息網(wǎng)絡端到端安全服務體系的架構模型，該模型中各個層(或面)上的安全相互獨立，可以防止一個層(或面)的安全被攻破而波及到其他層(或面)的安全，這個模型從理論上建立了一個抽象的網(wǎng)絡安全模型，可以作為SD-WAN安全體系架構的依據(jù)。

　　X.805模型具體內(nèi)容包括了三層三面八個維度的安全能力，三個層次是應用層、業(yè)務層和傳送層，三個切面是：管理平面、控制平面和用戶平面，八個維度是：認證、可用性、接入控制、不可抵賴、機密性、數(shù)據(jù)完整性、私密性和通信安全。見圖1。


　　設備層和網(wǎng)絡層安全能力是SD-WAN組網(wǎng)中保障系統(tǒng)安全、可靠運轉(zhuǎn)的必備的基礎安全能力，組件自身安全組件自身要具備健壯的系統(tǒng)架構和完善的安全加固策略，并通過組件互信、安全接入、數(shù)據(jù)加密、賬號管理、安全審計等多種措施保證自身的安全性。此外基礎的安全能力還包括防DDOS攻擊、畸形報文攻擊、帶寬異常占用、網(wǎng)絡拓撲或路由偽造攻擊等。

　　業(yè)務安全經(jīng)常是需要單獨部署的安全功能，要根據(jù)企業(yè)用戶實際的業(yè)務安全需求，靈活選擇適合的安全防護措施。比如防火墻策略控制、防垃圾郵件、入侵防御、URL過濾、防病毒，WEB應用防護、零信任等。

　　SD-WAN安全能力建設挑戰(zhàn)

　　通過近期的調(diào)研，我們認為企業(yè)SD-WAN安全能力建設時可能會面臨以下挑戰(zhàn)：

　　(1)SD-WAN管理平臺與CPE設備的安全能力挑戰(zhàn)

　　SD-WAN管理平臺除了具備基本的SD-WAN組網(wǎng)能力外，還要滿足安全性、功能性、易用性、可視化等能力要求，具備海量數(shù)據(jù)處理的穩(wěn)定性要求。CPE設備要求具備全方面的安全防護能力，入侵防御、防病毒、URL過濾、應用識別、威脅情報、VPN等必不可少。

　　(2)安全建設成本挑戰(zhàn)

　　SD-WAN組網(wǎng)往往節(jié)點眾多，設備呈規(guī)模化采購，需要基于業(yè)務安全防護需要綜合考慮安全組件采購成本、安全運維成本。網(wǎng)絡安全需要更多維度的綜合防御，現(xiàn)代網(wǎng)絡中已離不了嚴格的身份控制、精細化數(shù)據(jù)防泄漏、基于云查殺的病毒防護、防高級勒索病毒、及自動化攻擊防護等技術。選擇安全解決方案時需要充分考慮解決的先進性、可升級能力及智能化的主動安全防御能力。

　　(3)安全運維挑戰(zhàn)

　　邊界設備眾多，管理運維復雜。需要邊緣設備支持零配置上線、一鍵vpn下發(fā)等極簡運維方式。如果缺乏足夠的運維人員，可以選擇托管，讓專業(yè)的廠家做專業(yè)的事情，自己集中精力做自己的業(yè)務。