软件定义网络如何去克服安全问题

如今，越来越多的组织开始接受混合或分立网络提供的功能和成本节约的优势。但是，目前的SD-WAN服务模型包含基本的安全缺陷，这些缺陷可能会影响到用户的采用。

最大的弱点之一是其作为附加组件依赖于供应商的安全性。在新的互联数字世界中，组织保护数据而不需要考虑其网络的状态位置。覆盖服务提供和传输数据保护的方法的一致性需要被考虑在网络设计的最前沿。

服务提供商需要问自己一些问题：如何提供可靠的混合网络？尤其是在公共互联网和云服务之间，同时减少在每个网关或网络入口点部署基础设施的需要。他们如何避免与加密相关的根本安全风险来调查可疑活动？

只有回答这些基本问题，组织才能够接受所有基于SDN的解决方案的固有优势，而不会降低安全性。

敏捷性与安全性

实现业务敏捷性和确保数据安全之间的斗争从未变得如此具有挑战性。显然，近年来，威胁形势发生了根本性的变化。美国计算机应急准备小组（U.Curt）发布公告称，美国关键基础设施遭到一些国家支持的网络攻击。毫不奇怪， IT的支出模式不仅揭示了企业面临的安全问题，还表明企业需要了解数据发生了什么，以及在威胁出现时识别和处理威胁的能力。

然而，业务驱动从多协议标签交换（MPLS）网络技术转向软件定义网络（SDN），尤其是广域网（WAN），可能会造成安全风险或对可部署的技术的限制。

如今，SD-WAN提供了传统WAN的替代方案，提供了灵活性、简单性和降低成本的潜力。该模型不仅为开拓混合通信基础设施提供了契机，从铜缆到Wi-Fi，从光纤到卫星，为分布式业务提供高效和低成本的解决方案，但是中央管理模式转换了过度管理开销ASCOC，并与复杂的传统WAN基础设施配套。

使用SD-WAN的结果是将网络成本降低30%到50%，但前提是它是同一个供应商的端到端解决方案。对于复杂的网络，规模较大的网络或在高信息保障环境中运行的网络，如果没有采用创新的方法来部署第三方基础设施解决方案，那么这些优势仍然值得怀疑，并且没有消除容量限制的单独安全覆盖，以及供应商/网络的选择依赖。

目前的做法

许多SDN供应商通常提供第3层加密技术作为其SD-WAN服务产品的一部分：这种安全性对于替换基本网络而没有保护的网络是有益的。虽然反驳意见认为加密对于许多企业而言成本太高或难以部署，但现实情况是部署传统的第3层加密总比没有好。

但是对于可能从共享编排实例提供解决方案的新的大型SD-WAN提供商来说，必须提出的问题是：企业如何能够保护其他供应商运营基础设施的安全，甚至是在部署编排平台的情况下解决安全问题。此外，考虑到采用SD-WAN最引人注目的原因之一是新基础设施可以灵活地连接起来以支持业务变更。在默认情况下，这种模式会导致基础设施来自多个提供商，企业如何确保每个新的连接也是安全的？

随着组织越来越多地部署应用程序级别的加密，还有关于性能和吞吐量的问题。多重加密是一个影响传统网络和SD-WAN的重大问题，许多SD-WAN部署并没有受到网络带宽的限制，而是加密开销。

更值得关注的是，如果IT团队希望调查应用程序或数据源，那么通常需要关闭这些加密解决方案，这会使企业面临黑客的攻击。

网络分解

正是认识到这些问题，越来越多的首席信息官和首席安全官正在推动分解议程，并得出结论，服务和安全应该与任何SD-WAN的管理和维护有所区别。这一趋势反映了保护关键业务通信基础设施成本效益，并消除对单一供应商依赖的不同方法。

最大限度地提高SD-WAN的商业效益，并实现反映新出现的威胁载体基本安全性的唯一方法是采用安全覆盖模型。企业需要找到一种方法在基础设施的每个部分都部署端到端的第4层加密，而不必考虑基础网络技术。

除了满足许多组织的网络分解目标之外，网络不可知的加密解决方案还可以通过提供集中协调来加强SD-WAN的集中管理优势。这不仅证明了网络的安全性，还提供了对网络活动及其安全性能的重要洞察。而且，如果需要对一个应用程序进行调查，就不需要关闭所有安全协议，以确保公司始终处于安全状态。

SD-WAN提供了令人瞩目的好处，而在当今的财政现实中，越来越成为分布式组织的唯一可行的选择，尤其是考虑到越来越多的基于全球互联网的基础设施和云计算的使用。但是，其结果是组织对正在使用的基础设施知之甚少。数据在哪里？谁拥有网络？正在采取哪条路线？关键的是谁在保护数据以及如何保护数据？

对基础设施的知识和控制越少，组织所需的安全控制措施和知识就越多。只有朝着网络分解迈出这一步，才能拥有一种真正的网络无关加密技术，可以保护任何IP网络上的数据传输，并实现集中的安全协调和全面的数据可视性，企业可以放心地接纳SD-WAN，并获得需要的灵活性而不受到网络攻击。