通常，分支機(jī)構(gòu)連接是通過(guò)專(zhuān)用租用線路處理的。這種設(shè)置多年來(lái)運(yùn)行良好，因?yàn)镸PLS通常與互聯(lián)網(wǎng)的狂野西部更加分割，是主要的傳輸方式。此外，VPN創(chuàng)建了更多連接。

但傳統(tǒng)的WAN也限制了對(duì)云應(yīng)用程序的訪問(wèn)。企業(yè)會(huì)在訪問(wèn)互聯(lián)網(wǎng)之前通過(guò)總部路由分支機(jī)構(gòu)流量，使用防火墻來(lái)保護(hù)數(shù)據(jù)和系統(tǒng)。雖然這種安排造成了數(shù)據(jù)瓶頸，但由于安全控制，多年來(lái)它一直是易于管理和首選的系統(tǒng)。

SD-WAN的出現(xiàn)改變了網(wǎng)絡(luò)安全模型，將更多的安全性和控制力推向了邊緣——企業(yè)需要適應(yīng)這一新現(xiàn)實(shí)。那么SD-WAN如何改變網(wǎng)絡(luò)安全邊界？

一、將安全推向邊緣

軟件定義的WAN (SD-WAN)改變了安全模式。隨著企業(yè)開(kāi)始關(guān)注SD-WAN并將部分或全部分支機(jī)構(gòu)流量轉(zhuǎn)移到寬帶互聯(lián)網(wǎng)產(chǎn)品，安全性正變得更具挑戰(zhàn)性。

這種變化正在發(fā)生，因?yàn)樵S多SD-WAN產(chǎn)品使用寬帶連接并通過(guò)公共互聯(lián)網(wǎng)而不是專(zhuān)用租用線路發(fā)送數(shù)據(jù)和控制，將網(wǎng)絡(luò)安全邊界推向邊緣，并從不同的角度看待安全。

單個(gè)強(qiáng)大的防火墻不再是SD-WAN的主要保護(hù)，企業(yè)現(xiàn)在需要考慮邊緣的安全性。隨著越來(lái)越多的企業(yè)依賴(lài)云服務(wù)，在云中運(yùn)行的任何應(yīng)用程序都更容易通過(guò)SD-WAN連接從分支機(jī)構(gòu)位置直接通過(guò)互聯(lián)網(wǎng)訪問(wèn)，而不是先將所有云流量路由回總部。

通過(guò)在分支機(jī)構(gòu)通過(guò)SD-WAN連接到互聯(lián)網(wǎng)的邊緣實(shí)施安全和控制，企業(yè)可以更好地管理流量。此外，組織還可以通過(guò)消除大量冗余流量來(lái)降低數(shù)據(jù)傳輸成本。然而，為了有效地做到這一點(diǎn)，企業(yè)應(yīng)該關(guān)注 SD-WAN配置過(guò)程并將安全性直接集成到該配置中。

SD-WAN的自動(dòng)化和編排可以使這成為可能，因?yàn)榕渲眠^(guò)程更加自動(dòng)化和可控。過(guò)去，由于每個(gè)分支機(jī)構(gòu)都需要獨(dú)立配置，因此在分支機(jī)構(gòu)級(jí)別實(shí)現(xiàn)單獨(dú)的安全性是一項(xiàng)艱巨的挑戰(zhàn)。

二、軟件定義的邊界也可以提供幫助

SD-WAN可以幫助自動(dòng)化邊緣安全，使IT能夠?qū)⒁恍?yàn)證推送到分支機(jī)構(gòu)并支持更靈活的安全配置文件。

但另一種策略——軟件定義邊界(SDP)——也可以提高分支機(jī)構(gòu)的安全性。SDP實(shí)質(zhì)上創(chuàng)建了一個(gè)“黑云”，其中不同的端點(diǎn)對(duì)于傳統(tǒng)掃描是不可見(jiàn)的。圍繞SDP的最初努力部分由美國(guó)國(guó)防部完成，導(dǎo)致所有通信都依賴(lài)于需要知道的模型。

使用SDP，所有端點(diǎn)都需要授權(quán)和身份驗(yàn)證；所有這些都在零信任環(huán)境中運(yùn)行，傳統(tǒng)的靜態(tài)地址和定義被動(dòng)態(tài)環(huán)境所取代。

總結(jié)：無(wú)論企業(yè)是依賴(lài)VPN還是SDP，SD-WAN的出現(xiàn)都從根本上改變了安全模型，將更多的安全和控制推向邊緣，企業(yè)需要適應(yīng)新的現(xiàn)實(shí)。