近年来,软件定义广域网(SD-WAN)技术在企业中得到广泛应用。SD-WAN继承了SDN控制与转发分离、集中控制的理念。分布网络抽象为统一管理的逻辑网络,使用和调度更加灵活,实现企业总部与分支、数据中心与云平台之间的快速联网。SD-WAN提高了WAN的质量、可用性和可靠性,同时大大降低了企业WAN的总体拥有成本,但无意中创建了一个新的攻击面,为勒索软件、APT、病毒蠕虫和其他恶意软件提供了新的攻击面。入侵机会。SD-WAN的安全风险安全风险可能来自以下几个方面:(1)非法接入非法设备或用户接入网络,例如控制器对CPE的验证存在验证漏洞,假冒CPE可能通过网络控制器的注册来访问网络,存在严重的安全隐患。(2)渗透入侵SD-WAN网络中的管理中心和数据中心,承担着认证、授权、管理、数据采集、数据存储等重要任务,最容易成为黑客攻击的目标.,也因为它直接暴露在广域网中,直接承受着大量的网络扫描和攻击。(3)数据泄露SD-WAN网络中控制通道中的认证授权信息和数据通道传输的数据在通过互联网传输时存在数据被截获、篡改或伪造的安全风险。(4)业务安全网络中的数据中心、各分支节点或云端业务数据容易受到病毒、木马、勒索软件带来的威胁和攻击,各分支节点的业务系统往往更容易受到内部攻击.(5)运维风险当企业分支节点越来越多,分支边界设备众多,管理复杂,这给快速定位网络问题、溯源取证、响应等带来了极大的管理挑战及时。运维风险。(6)合规性企业广域网中的信息流跨度越来越大,信息服务或用户数据分布在不同地区甚至不同国家。SD-WAN建设需要遵守当地的法律法规。比如我国政务网中的合规要求之一就是使用国密算法或者国密产品。SD-WAN安全模型构建SD-WAN安全是一个系统工程,需要从整个系统的管理、控制、业务层面考虑安全能力建设。在ITU-T的X.805(2003)规范中,规划了一个信息网络端到端安全服务体系的体系结构模型。在该模型中,各层(或平面)的安全相互独立,可以防止某一层(或平面)的安全被破坏而影响其他层(或平面)的安全。该模型从理论上建立了一个抽象的网络安全模型,可以作为SD-WAN安全架构的基础。X.805模型的具体内容包括三层、三层、八个维度的安全能力。三层分别是应用层、业务层和传输层。这三个方面是:管理平面、控制平面和用户平面。这八个维度是:身份验证、可用性、访问控制、不可否认性、机密性、数据完整性、隐私和通信安全。见图1图1:X.805标准端到端安全服务体系架构模型设备层和网络层安全能力是SD-WAN组网中保障系统安全可靠运行所必需的基础安全能力.组件本身必须是安全的。具有健壮的系统架构和完备的安全加固策略,通过组件互信、安全访问、数据加密、账户管理、安全审计等多种措施确保自身安全。此外,基础安全能力包括抗DDOS攻击、畸形报文攻击、带宽异常占用、网络拓扑或路由伪造攻击等。业务安全往往是需要单独部署的安全功能。需要根据企业用户的实际业务安全需求,灵活选择合适的安全防护措施。例如防火墙策略控制、反垃圾邮件、入侵防御、URL过滤、反病毒、WEB应用保护、零信任等。SD-WAN安全能力建设挑战通过近期研究,我们认为企业可能面临以下挑战在构建SD-WAN安全能力时:(1)SD-WAN管理平台和CPE设备的安全能力挑战。SD-WAN管理平台除了具备基本的SD-WAN组网能力外,还需要满足安全性、功能性、易用性、可视化等能力需求,并具备海量数据处理的稳定性需求。CPE设备需要全面的安全防护能力,包括入侵防御、防病毒、URL过滤、应用识别、威胁情报、VPN等。(2)安全建设成本挑战SD-WAN组网往往节点众多,设备采购规模大。基于业务安全防护,需要综合考虑安全组件采购成本和安全运维成本。网络安全需要更多维度的综合防御。现代网络离不开严格的身份控制、精细化的数据防泄露、云端防病毒、防高级勒索软件、自动化攻击防护等技术。在选择安全解决方案时,需要充分考虑解决方案的先进性、可升级性、智能主动安全防御能力。(3)安全运维挑战边界设备多,管理运维复杂。要求边缘设备支持零配置上线、VPN一键下发等极简运维方式。如果你缺少足够的运维人员,可以选择托管,让专业的厂商做专业的事,专心做自己的事情。
