軟件定義廣域網(wǎng)（SD-WAN）是傳統(tǒng)企業(yè)級廣域網(wǎng)方案的重要技術更新和迭代方向。傳統(tǒng)廣域網(wǎng)平臺主要用于將分支機構直接連接到數(shù)據(jù)中心，而無法靈活地處理與多個云平臺的同時連接，也不能自動選擇最高效且最具成本效益的路由。

　　對于企業(yè)而言，新方案的優(yōu)勢不僅在于采用云技術時開發(fā)、管理上的便捷，同時，軟件定義廣域網(wǎng)的邊界還要融入更廣泛的安全能力，以應對復雜環(huán)境帶來的風險。

　　網(wǎng)絡產(chǎn)品的出色能力，一直是思科（Cisco）的核心競爭力。連續(xù)多年入選 Gartner "有線和無線局域網(wǎng)接入基礎設施" 魔力象限中的領導者就是最好的印證。網(wǎng)絡與安全并重是思科近些年的發(fā)力方向，但產(chǎn)品和方案層面兩者卻仍一直相對獨立。但此次，思科在其軟件定義廣域網(wǎng)方案中，在產(chǎn)品層面將大量安全能力與軟件定義廣域網(wǎng)技術進行了深度整合，并將安全作為其網(wǎng)絡方案的重要特征提及。

　　這篇文章將著重介紹安全為思科 SD-WAN 方案帶來的重要優(yōu)勢。

　　思科在全球擁有超過 10 萬名廣域網(wǎng)邊界設備企業(yè)客戶，110 余萬臺路由器正在客戶環(huán)境中運行。為了進一步完成對 SD-WAN 的技術布局，思科在 2017 年 8 月宣布以 6.1 億美元現(xiàn)金和相關股權激勵完成對軟件定義廣域網(wǎng)公司 Viptela 的收購，并以有史以來最快的速度完成和 Viptela 的全面技術整合。

　　Viptela 的優(yōu)勢在于先進的路由和網(wǎng)絡分段能力，以及良好的可擴展性。同時，多云支持的管理、編排和覆蓋技術，讓 SD-WAN 的部署和管理更加簡單。而和思科 Meraki 路由（含無線）系列產(chǎn)品結合使用，則能夠讓思科的 SD-WAN 方案廣泛滿足客戶的部署要求。

　　對 Viptela 的成功收購，不僅為思科 SD-WAN 方案帶來了關鍵的能力支持，使其順利進入Gartner 2018 年 "WAN邊界基礎設施魔力象限" 報告的領導者象限，這還是思科向以軟件為中心、訂閱主導的網(wǎng)絡模式戰(zhàn)略轉型的關鍵一步。

　　Gartner 2018 年 WAN 邊界基礎設施魔力象限

　　Gartner 在該報告中表示，受企業(yè)數(shù)字化轉型和對眾多重要業(yè)務線管理需求的驅(qū)動，傳統(tǒng)的MPLS 網(wǎng)絡將經(jīng)歷巨大轉變。廣域網(wǎng)邊界基礎設施的更新，軟件定義廣域網(wǎng)軟件/應用及傳統(tǒng)路由，是重要的方向。市場的轉型，勢必將涌入更多領域的供應商。安全，也將會作為重要功能，內(nèi)嵌到新的廣域網(wǎng)邊界基礎設施中。

　　思科 SD-WAN 方案，也體現(xiàn)了和 Gartner 論斷一致的對安全的重視。

　　思科將自家 SD-WAN 方案的特征概括為"簡單、安全、可擴展"。其中，"簡單" 在于方案部署和通過單一界面對網(wǎng)絡、安全功能的管理；"可擴展性" 在于對云服務/應用的支持；"安全" 則更為豐富，包括以威脅情報（TI）團隊 Talos 的數(shù)據(jù)支撐，下一代防火墻，入侵檢測和防護，URLs 過濾，Umberlla（DNS防護），以及在去年 10 月以 23.5 億美金完成收購的 Duo Security（多因子身份認證）。

　　思科將這些作為核心安全能力，通過與 WAN 設備集成的方式，將其內(nèi)嵌到整個 SD-WAN 方案中，針對多個威脅場景，提供多組合、可選、全方位的安全防護。

　　內(nèi)嵌的安全能力，是思科 SD-WAN 方案的重要優(yōu)勢。

　　思科全球高級副總裁，企業(yè)網(wǎng)絡事業(yè)部總經(jīng)理 Scott Harrell 曾表示，全新云邊界的出現(xiàn)正在顛覆客戶的網(wǎng)絡和安全架構。如今，每款廣域網(wǎng)設備都必須支持軟件定義，并具備強大的安全特性。

　　思科認為，云的引入，軟件定義廣域網(wǎng)技術的應用，無法避免的引入了更多的風險。從防護的角度，可以將其大致分為下面三個場景：

　　云邊界，即網(wǎng)絡、云和安全系統(tǒng)的交叉點。企業(yè)在這個威脅場景下，飽受諸多問題困擾。

　　企業(yè)分支機構有大量對云應用/服務上關鍵資源訪問的需求。如果所有流量，即訪問和回傳流量，都要先轉發(fā)到企業(yè)數(shù)據(jù)中心進行安全檢查、分析和過濾，再對安全流量放行，意味著使用大量昂貴的 MPLS 線路。這不僅會增加數(shù)據(jù)中心安全架構的規(guī)模和復雜性，效率低下，安全成本會隨著流量增長而快速增加。同時，這還意味著設備和人員在連接云服務時，因安全阻礙而無法享受本應有的便捷體驗。這與企業(yè)擁抱云的初衷是不一致的。

　　但是，如果不通過數(shù)據(jù)中心的安全設備，組織要面臨員工訪問惡意站點，惡意回傳流量所帶來的數(shù)據(jù)泄漏、惡意軟件感染等安全隱患。安全是面向未來的投資。如果只是繞過進行直連，即使暫時沒有發(fā)生安全事件，但這些擔憂也會讓企業(yè)無法放心使用自己選擇的云服務。

　　專注客戶體驗的企業(yè)往往會傾向于向向客戶開放其分支機構 WiFi，以便訪客訪問企業(yè)公開的業(yè)務、數(shù)據(jù)和服務。同時，因為企業(yè)組織架構在地域分布上的的復雜性，分支機構的員工及其設備，也都需要正確的識別，并通過不同的網(wǎng)絡分段策略，實現(xiàn)有效的權限控制。如何高效且不失安全性的進行身份認證和管理，考慮體驗的同時，及時阻止來自分支機構和互聯(lián)網(wǎng)的未授權訪問，是企業(yè)必須要面對的困境。

　　數(shù)據(jù)安全的合規(guī)性可謂是 2018 年一個重要熱點，特別是 GDPR 開始正式實施后。擁有龐大分支機構的企業(yè)，需要留意到廣域網(wǎng)內(nèi)部的敏感信息，在存儲和傳輸過程中，是否滿足了各國各行業(yè)不同的合規(guī)性要求。無論這些數(shù)據(jù)的位于分支結構還是云應用中，都需要在敏感數(shù)據(jù)的訪問權限控制以及安全傳輸上下足功夫。最大程度保證不會因未授權訪問或中間人攻擊，避免因數(shù)據(jù)泄漏帶來客戶、企業(yè)名譽和商業(yè)利益的多重損失。

　　從威脅角度來看，三個場景實際對應著四種安全威脅：

　　思科在其 SD-WAN 方案內(nèi)嵌了多種安全能力組合，以針對性的、最大程度為客戶降低上述場景中的安全風險。結合 Talos 團隊的重要支持，以及與網(wǎng)絡功能統(tǒng)一界面的簡易管理，實現(xiàn)安全能力的有效、及時和簡單。

　　對云端應用的青睞，讓企業(yè)傳統(tǒng)廣域網(wǎng)的攻擊面正確實被連接、放大。無論威脅是來自云端、互聯(lián)網(wǎng)還是企業(yè)廣域網(wǎng)內(nèi)部。今日，各國對信息安全的合規(guī)性要求日漸凸顯隨著，企業(yè)級廣域網(wǎng)客戶對能夠與先進 SD-WAN 方案緊耦合的安全能力的需求也是必會緊隨其后。

　　兼顧應用體驗和安全性是思科軟件定義廣域網(wǎng)方案的突出特點。通過在分支機構路由器的邊緣提供全面的防護，思科在其 SD-WAN 中嵌入的安全能力為其整套方案的帶來了下面五個突出優(yōu)勢。

　　基于對多種流量協(xié)議、傳輸方式和多種云服務商的廣泛支持，思科 SD-WAN 方案可以實現(xiàn)快速部署和啟動，更簡易的管理，這是軟件定義廣域網(wǎng)技術自身相對于傳統(tǒng)廣域網(wǎng)的重要優(yōu)勢。而這個優(yōu)勢，也延續(xù)到了該方案中的安全部分。

　　思科的 SD-WAN 是網(wǎng)絡和安全的 "一攬子" 方案，WAN 設備已經(jīng)集成了包括下一代防火墻、入侵防護、URL 過濾、DNS 防護、身份管理等多種安全功能。配合威脅情報的底層支持，讓安全能力更加自動化。借由與 Viptela 的技術整合，傳統(tǒng)廣域網(wǎng)客戶只需進行軟件升級，通過單一許可證購買后就可以享受網(wǎng)絡和安全的功能，并通過集中式管理的 vManage 控制器，在單一界面實現(xiàn)網(wǎng)絡和安全進行規(guī)�；�的策略配置。

　　例如用戶和員工個人信息，企業(yè)的交易和財務數(shù)據(jù)，關鍵應用的開發(fā)源碼和測試用例等敏感信息，會在廣域網(wǎng)內(nèi)部的各分支機構間流轉，更不用說新引入的云端應用。在思科基于意圖的網(wǎng)絡中，只需在 vManage 中進行類似 "僅在 IPsec VPN上傳輸敏感數(shù)據(jù)" 的設定一次，即可自動應用于整個網(wǎng)絡。同時，借由 WAN 路由器中內(nèi)嵌的防火墻，以及可根據(jù)安全策略明確劃分流量的 vSmart 控制器，確保只有所需的應用才可以訪問到這些關鍵數(shù)據(jù)。

　　無論是訪客從分支結構 wifi 對企業(yè)公開應用、數(shù)據(jù)和服務的訪問，還是企業(yè)員工及其設備廣域網(wǎng)的登入，不僅需要依據(jù)安全策略進行網(wǎng)絡分段的支持，所有業(yè)務數(shù)據(jù)流都通過 IPsec VPN 隧道進行安全傳輸，還需要對其身份和權限進行嚴格的控制。當然，這不局限于傳統(tǒng)廣域網(wǎng)的分支結構邊界，新引入云邊界更是如此。

　　思科在其 SD-WAN 方案中，集成了去年 10 月剛剛收購的 Duo Security。Duo Security 是致力于云交付的統(tǒng)一訪問安全和多因子身份認證的公司。通過驗證身份和設備運行狀態(tài)，Duo Security 可以幫助思科廣域網(wǎng)客戶實現(xiàn)任意設備任意云應用的安全接入。并借此，簡化思科 SD-WAN 方案中的云安全策略，擴大對端點設備的可見性。

　　當然，身份認證和訪問控制這道門檻僅能幫助排除未授權訪問。訪客或員工的 Web 訪問如果回傳了惡意流量，還是要通過更體系化的高級安全能力進行防控。

　　傳統(tǒng)廣域網(wǎng)的解決思路，應對云邊界帶來的安全問題時，在安全性、成本以及應用體驗間是必須進行取舍的。但是，思科通過在其 SD-WAN 方案中實現(xiàn)了其核心安全框架與 WAN 設備的良好集成，以實現(xiàn)不影響云應用和互聯(lián)網(wǎng)訪問體驗質(zhì)量的前提下，最大程度規(guī)避惡意攻擊和數(shù)據(jù)泄漏的風險。

　　首先是思科下一代防火墻，入侵檢測和防護。這兩款受 Gartner 認可的思科拳頭安全產(chǎn)品，二者同時進入了 2018 年 Gartner 魔力象限報告的領導者象限（如下圖）。安全牛之前還有專門文章對思科的下一代防火墻進行介紹。

　　Talos 團隊從威脅視角所提供的近乎實時的重要數(shù)據(jù)支撐，策略的編排，極短時間窗、有效的威脅檢測和響應（CTR），以及自動化的處置（阻斷），是這兩款產(chǎn)品的核心優(yōu)勢。

　　結合 URLs 過濾，以及思科 Umbrella 從 DNS 和 IP 層面提供入侵檢測能力，思科在其 WAN 設備中內(nèi)嵌的安全能力組合，對如釣魚網(wǎng)站、惡意 C&C 服務器的連接，DDoS 攻擊等，可以進行有效的檢測和防御。即使這些攻擊是利用云應用使用的互聯(lián)網(wǎng)連接和開放 API 作為媒介。

　　更為重要的是，這種嵌入式的安全能力，讓廣域網(wǎng)客戶不用再刻意將流量先轉發(fā)的數(shù)據(jù)中心，而是以近乎直連的方式，在 WAN 邊界路由進行安全檢測，兼顧體驗的同時，還極大程度節(jié)省了用戶的安全成本。

　　企業(yè)對云應用的青睞，不僅是更加靈活，成本也是企業(yè)重要的考慮因素。安全也是如此，需要適度的防護。思科在方案的營銷層面，也通過多種組合的形式，讓企業(yè)可根據(jù)自身需求，對SD-WAN 和安全的能力進行選擇。

　　思科在 SD-WAN 方案中附帶了 DNA Essentials 許可，其中就包含整合 Viptela 技術的強大 SD-WAN 能力，以及上文提及的除去 Umbrella 和 Duo Security 的全部安全能力。而 SD-WAN 能力稍顯弱勢的 Meraki 版本，則提供了企業(yè)級和進階安全級兩個版本可供選擇。

　　不難看出，思科正試圖通過在 Viptela 和 Meraki 的基礎上主動擴展 SD-WAN 產(chǎn)品組合的方式，進一步夯實用戶在 SD-WAN 應用中的可選服務。

　　“無論是思科，還是來自 Gartner 行業(yè)觀察判斷，安全能力對于 SD-WAN 解決方案整體能力無疑是至關重要的。這直接地體現(xiàn)了思科多年在安全的積累能給網(wǎng)絡反饋的重大價值。新網(wǎng)絡技術的應用，讓安全可以更早、更深度地介入，并向未來業(yè)務發(fā)展提供有力支撐。從思科對 Viptela、Duo Security 的大手筆收購和快速整合，以及在 SD-WAN 方案中傾注的安全實力中可以看到，思科正在試圖為客戶搭建一座通往全新業(yè)務領域的橋梁。這座橋不僅要推動客戶更快的釋放云計算的強大潛力，同時也要以顯著降低安全風險為其重要的前提。網(wǎng)絡和安全更加緊密結合的未來已至。

　　——安全牛評”