实现更安全的广域网联接!《安全SD-WAN应用指南》报告发布
日期:2022年08月19日 阅:100
伴随着经济全球化与数字化变革的后浪,企业规模逐渐从垂直增加变为扁平扩展。在此背景下,SD-WAN(软件定义广域网)技术既满足了企业远程办公连接、业务上云和集中化管理的应用诉求,又具有快速部署、管理边界 、建设投入小等优势,因此得到了迅速的发展。不过随着SD-WAN技术的广泛应用,企业的网络边界也从本地终端、局域网络扩展到广域网范围的远程设备和云平台中,这给企业创造了新的攻击面,为勒索软件、APT、病毒蠕虫和其他恶意软件提供了更多可乘之机。
企业建设网络的最终目的,是为了保障其数字化业务的开展,而互联只是达成这一目标的基础。基于企业对新一代网络体系更深层次的安全需求,催生出安全与SD-WAN全面覆盖和深度融合的“安全SD-WAN”创新方案。相比大多数传统SD-WAN产品仅能通过VPN连接和加密技术来保障2-3层数据传输安全,安全SD-WAN实现了体系化、原生化的安全能力构建,可以对4-7层网络进行安全检测和分析,从而基于应用层数据对网络系统进行优化,及时发现深层隐藏的病毒、木马、恶意脚本等安全威胁,有效保障企业数字化业务系统的安全稳定运行。
为了帮助我国企业更好地了解安全SD-WAN技术创新价值,研究推广安全SD-WAN方案应用经验,安全牛通过访谈调研十余家甲方企业的网络系统建设者,并从技术先进性、产品创新力和应用成熟度等维度,征集邀请到天融信、新华三、山石网科、缔安科技4家国内安全SD-WAN技术创新代表性厂商,联合发起《安全SD-WAN应用指南》报告(以下简称“《报告》”)研究项目。2022年8月18日,《报告》正式发布。
报告关键发现
安全SD-WAN产品架构
安全SD-WAN产品架构主要包括网络层、控制层以及业务层三个部分:
安全SD-WAN能力体系
安全防护能力建设是一项系统性工程,既要考虑不同安全维度又要顾及多个层面的安全能力,对“安全SD-WAN”来讲,其安全能力既继承了传统SD-WAN组网的基本认证、加密、VPN等安全技术,保证网络层的传输安全和基本的数据保密,又增加了对4-7层数据的可见性。同时为了实现安全数据需要集中分析的需求,还需要结合安全服务,形成系统安全、基础安全、应用安全和安全服务4四个层面的安全体系模型。
安全SD-WAN能力体系
系统安全能力是指保障系统可靠运转的安全能力,包括控制器、边缘接入设备、管理系统等自身组件安全、身份认证及流量传输安全等,组件自身要具备健全的系统架构和完善的安全加固策略,并通过组件互信、数据加密、身份管理、安全审计等多种措施保证自身的安全性。
基础安全能力是指保证安全SD-WAN稳定运行的安全能力,包括身份认证、安全传输、安全策略管理、安全日志收集、安全事件告警等。
业务安全能力是指基于应用的深度识别以满足更深层的业务安全需求,比如对数据的检测不仅限于报文的五元组,还可以基于更多的维度,包括身份信息、应用程序指纹或者行为分析等。
安全服务能力将各种安全功能服务化,以减轻企业安全建设和运营的成本和复杂度,这也是安全SD-WAN解决方案中重要的能力演进方向。
安全SD-WAN应用价值
针对企业广域网建设,用户关心的问题主要集中在性能、成本、安全性、建设周期、运维难度这几个方面。相比MPLS、专线接入、传统SD-WAN等广域网建设方案,安全SD-WAN方案的应用价值可体现在以下方面:
产业专家观点
天融信产品经理 何明卓:
天融信基于企业数字化转型应用需求,推出“安全SD-WAN”产品,具备完整的下一代防火墙能力,在大量的实践与探索当中,打造“SD-WAN+”的网络和安全融合架构,并形成行业化、场景化的安全广域网互联解决方案。天融信“SD-WAN+”安全广域网互联架构分两部分:一部分是网络服务,包括具备全场景接入能力的SD-WAN网关设备、智能选路模块、业务优化加速模块等,另一部分是协同安全服务,包括零信任网络、行为管控、数据防泄漏、高级安全检测、日志审计、态势感知、应急响应服务等。通过结合SASE理念并融入零信任、云计算等多领域网络安全能力,可以帮助客户实现云、网、安IT能力的原生共建,为客户业务安全访问提供灵活、便捷、可靠、易用的安全接入和安全服务保障。
新华三高级产品经理 缐崴:
SD-WAN技术让企业组织扁平化变得简单的同时,也使得企业网络边界得以延伸,从最初的总部边界,拓展到广域网范围内的局域网、终端和云平台,这种变化为SD-WAN的安全应用提出了新的要求。在新华三“安全SD-WAN”体系中,通过一体化安全设备,结合自研的统一平台Comware操作系统,来提供整个架构的底层支撑。在此基础上,可根据SD-WAN网络业务特性要求,新华三推出不同性能梯度的CPE设备,来满足企业安全SD-WAN应用的不同要求。在管理感知层,新华三“安全SD-WAN”管理平台秉承软件定义的精髓,将控制面与转发面解耦,实现精细化网络资源的灵活调度,并可以提供精细化的应用识别粒度。同时支持服务化安全能力对接和云化安全防护对接,能够满足不同的场景业务拓展和运营需求。
山石网科产品行销经理 王亚军:
将SD-WAN与安全能力集成到一体化的解决方案中,能够实现安全能力的原生赋能,进而为客户提供更智能、更便捷、更安全的网络应用。山石网科为应对企业广域网络所面临的各种挑战,推出了山石安全SD-WAN解决方案,由山石网科安全管理平台HSM作为SD-WAN控制器,以山石网科全系列防火墙、SDW系列安全网关、山石网科虚拟化防火墙(山石云·界)作为 CPE/vCPE,覆盖总部数据中心、企业分支、中型网点、小型门店、云网互联等多种分支场景。方案具备部署简单、运维高效、业务保障、安全合规这四方面的核心价值,可以为用户提供全生命周期式的安全SD-WAN应用服务。
缔安科技高级产品经理 袁初成:
缔安科技近年来一直将安全能力和SD-WAN技术应用整合作为重要的目标。因为SD-WAN的主要应用场景是在广域网上,而广域网又是面临安全威胁最多的应用场景之一。缔安科技在SD-WAN产品整合与开发的过程中,融入了多种创新安全理念和技术,把SD-WAN分成基础设施层、传输层、应用层3层技术来看待,并分别进行安全能力的迭代优化。其中,传输层的设备和网络管理系统是SD-WAN的核心内容,在这一层,我们通过自建或者跟运营商共建overlay方案,融合创新安全能力和技术,比如人工智能算法、强化安全学习算法等,将实现整体化的安全SD-WAN技术服务,相比之前传统VPN组网模式,在应用稳定性和可靠性方面会有明显的提高。
报告主笔分析师 陈发明:
未来,安全SD-WAN将在与AI、5G、物联网、云计算等新技术的融合应用中不断创新演进发展,并呈现以下发展趋势:
了解更多报告内容,请点击识别下方二维码,获取完整《安全SD-WAN应用指南》报告: