SD-WAN安全防護模型及能力建設挑戰分析

近年來，軟件定義廣域網 （SD-WAN）技術被企業廣泛應用，SD-WAN繼承了SDN控制與轉發分離、集中控制的理念，將物理上的分布網絡抽象為統一管理的邏輯網絡，以便更加靈活地使用和調度，實現了企業在總部和分支機構、數據中心和云平臺之間的快速組網。

SD-WAN提升了廣域網的質量、可用性和可靠性，同時大大降低了企業廣域網的總體擁有成本，但是不經意間也創造了新的攻擊面，為勒索軟件、APT、病毒蠕蟲和其他惡意軟件提供了入侵機會。

01、SD-WAN的安全風險

安全風險可能來自以下幾個方面：

1)非法接入

非法的設備或用戶接入網絡，例如，如果控制器對CPE的驗證出現驗證漏洞，仿冒CPE就有可能通過網絡控制器的注冊接入網絡，帶來嚴重的安全風險。

2)滲透入侵

SD-WAN網絡中的管理中心和數據中心等擔負著認證、授權、管理、數據收集、數據存儲的重要任務，最容易成為黑客攻擊的目標，而位于網絡出口邊緣的CPE設備，也同樣因為直接暴露到廣域網上直接承受大量網絡掃描和攻擊。

3)數據泄露

SD-WAN網絡中控制通道中的認證、授權信息及數據通道傳輸的數據，通過因特網傳輸時存在數據被截取或被篡改、仿冒的安全風險。

4)業務安全

網絡中的數據中心、各分支節點或云端業務數據，容易遭受病毒、木馬、勒索軟件帶來的威脅和攻擊，各分支節點業務系統也往往因為安全防護力量薄弱更容易遭受內部攻擊。

5)運維風險

當企業分支節點越來越多，眾多分支邊界設備管理復雜，這給快速定位網絡問題，溯源取證并及時做出響應帶來了很大管理挑戰，處置不及時會產生相應的運維風險。

6)法律合規

企業廣域網中信息流動跨度變大，信息服務或用戶數據分布在不同地區甚至是不同國家，SD-WAN建設需要遵從當地的法律法規。比如我國政務網組網中的合規要求之一就是使用國密算法或國密產品。

02、SD-WAN的安全模型構建

SD-WAN安全是一個系統工程，需要從整個系統的管理、控制、業務多個層次考慮安全能力建設。ITU-T 的X.805（2003）規范中規劃了一個關于信息網絡端到端安全服務體系的架構模型，該模型中各個層（或面）上的安全相互獨立，可以防止一個層（或面）的安全被攻破而波及到其他層（或面）的安全，這個模型從理論上建立了一個抽象的網絡安全模型，可以作為SD-WAN安全體系架構的依據。

X.805模型具體內容包括了三層三面八個維度的安全能力，三個層次是應用層、業務層和傳送層，三個切面是：管理平面、控制平面和用戶平面，八個維度是：認證、可用性、接入控制、不可抵賴、機密性、數據完整性、私密性和通信安全。見圖1。

圖1：X.805標準端到端安全服務體系的架構模型

設備層和網絡層安全能力是SD-WAN組網中保障系統安全、可靠運轉的必備的基礎安全能力，組件自身安全組件自身要具備健壯的系統架構和完善的安全加固策略，并通過組件互信、安全接入、數據加密、賬號管理、安全審計等多種措施保證自身的安全性。此外基礎的安全能力還包括防DDOS攻擊、畸形報文攻擊、帶寬異常占用、網絡拓撲或路由偽造攻擊等。

業務安全經常是需要單獨部署的安全功能，要根據企業用戶實際的業務安全需求，靈活選擇適合的安全防護措施。比如防火墻策略控制、防垃圾郵件、入侵防御、URL過濾、防病毒，WEB應用防護、零信任等。

03、SD-WAN安全能力建設挑戰

通過近期的調研，我們認為企業SD-WAN安全能力建設時可能會面臨以下挑戰：

1)SD-WAN管理平臺與CPE設備的安全能力挑戰

SD-WAN管理平臺除了具備基本的SD-WAN組網能力外，還要滿足安全性、功能性、易用性、可視化等能力要求，具備海量數據處理的穩定性要求。CPE設備要求具備全方面的安全防護能力，入侵防御、防病毒、URL過濾、應用識別、威脅情報、VPN等必不可少。

2)安全建設成本挑戰

SD-WAN組網往往節點眾多，設備呈規模化采購，需要基于業務安全防護需要綜合考慮安全組件采購成本、安全運維成本。網絡安全需要更多維度的綜合防御，現代網絡中已離不了嚴格的身份控制、精細化數據防泄漏、基于云查殺的病毒防護、防高級勒索病毒、及自動化攻擊防護等技術。選擇安全解決方案時需要充分考慮解決的先進性、可升級能力及智能化的主動安全防御能力。

3)安全運維挑戰

邊界設備眾多，管理運維復雜。需要邊緣設備支持零配置上線、一鍵vpn下發等極簡運維方式。如果缺乏足夠的運維人員，可以選擇托管，讓專業的廠家做專業的事情，自己集中精力做自己的業務。

關于SD-WAN應用的更多安全需求分析及安全SD-WAN應用案例，請關注安全牛即將發布的《安全SD-WAN應用指南》報告。