軟件定義廣域網(wǎng)（SD-WAN）是傳統企業(yè)級廣域網(wǎng)方案的重要技術(shù)更新和迭代方向。傳統廣域網(wǎng)平臺主要用于將分支機構直接連接到數據中心，而無(wú)法靈活地處理與多個(gè)云平臺的同時(shí)連接，也不能自動(dòng)選擇最高效且最具成本效益的路由。

　　對于企業(yè)而言，新方案的優(yōu)勢不僅在于采用云技術(shù)時(shí)開(kāi)發(fā)、管理上的便捷，同時(shí)，軟件定義廣域網(wǎng)的邊界還要融入更廣泛的安全能力，以應對復雜環(huán)境帶來(lái)的風(fēng)險。

　　網(wǎng)絡(luò )產(chǎn)品的出色能力，一直是思科（Cisco）的核心競爭力。連續多年入選 Gartner "有線(xiàn)和無(wú)線(xiàn)局域網(wǎng)接入基礎設施" 魔力象限中的領(lǐng)導者就是最好的印證。網(wǎng)絡(luò )與安全并重是思科近些年的發(fā)力方向，但產(chǎn)品和方案層面兩者卻仍一直相對獨立。但此次，思科在其軟件定義廣域網(wǎng)方案中，在產(chǎn)品層面將大量安全能力與軟件定義廣域網(wǎng)技術(shù)進(jìn)行了深度整合，并將安全作為其網(wǎng)絡(luò )方案的重要特征提及。

　　這篇文章將著(zhù)重介紹安全為思科 SD-WAN 方案帶來(lái)的重要優(yōu)勢。

　　思科在全球擁有超過(guò) 10 萬(wàn)名廣域網(wǎng)邊界設備企業(yè)客戶(hù)，110 余萬(wàn)臺路由器正在客戶(hù)環(huán)境中運行。為了進(jìn)一步完成對 SD-WAN 的技術(shù)布局，思科在 2017 年 8 月宣布以 6.1 億美元現金和相關(guān)股權激勵完成對軟件定義廣域網(wǎng)公司 Viptela 的收購，并以有史以來(lái)最快的速度完成和 Viptela 的全面技術(shù)整合。

　　Viptela 的優(yōu)勢在于先進(jìn)的路由和網(wǎng)絡(luò )分段能力，以及良好的可擴展性。同時(shí)，多云支持的管理、編排和覆蓋技術(shù)，讓 SD-WAN 的部署和管理更加簡(jiǎn)單。而和思科 Meraki 路由（含無(wú)線(xiàn)）系列產(chǎn)品結合使用，則能夠讓思科的 SD-WAN 方案廣泛滿(mǎn)足客戶(hù)的部署要求。

　　對 Viptela 的成功收購，不僅為思科 SD-WAN 方案帶來(lái)了關(guān)鍵的能力支持，使其順利進(jìn)入Gartner 2018 年 "WAN邊界基礎設施魔力象限" 報告的領(lǐng)導者象限，這還是思科向以軟件為中心、訂閱主導的網(wǎng)絡(luò )模式戰略轉型的關(guān)鍵一步。

　　Gartner 2018 年 WAN 邊界基礎設施魔力象限

　　Gartner 在該報告中表示，受企業(yè)數字化轉型和對眾多重要業(yè)務(wù)線(xiàn)管理需求的驅動(dòng)，傳統的MPLS 網(wǎng)絡(luò )將經(jīng)歷巨大轉變。廣域網(wǎng)邊界基礎設施的更新，軟件定義廣域網(wǎng)軟件/應用及傳統路由，是重要的方向。市場(chǎng)的轉型，勢必將涌入更多領(lǐng)域的供應商。安全，也將會(huì )作為重要功能，內嵌到新的廣域網(wǎng)邊界基礎設施中。

　　思科 SD-WAN 方案，也體現了和 Gartner 論斷一致的對安全的重視。

　　思科將自家 SD-WAN 方案的特征概括為"簡(jiǎn)單、安全、可擴展"。其中，"簡(jiǎn)單" 在于方案部署和通過(guò)單一界面對網(wǎng)絡(luò )、安全功能的管理；"可擴展性" 在于對云服務(wù)/應用的支持；"安全" 則更為豐富，包括以威脅情報（TI）團隊 Talos 的數據支撐，下一代防火墻，入侵檢測和防護，URLs 過(guò)濾，Umberlla（DNS防護），以及在去年 10 月以 23.5 億美金完成收購的 Duo Security（多因子身份認證）。

　　思科將這些作為核心安全能力，通過(guò)與 WAN 設備集成的方式，將其內嵌到整個(gè) SD-WAN 方案中，針對多個(gè)威脅場(chǎng)景，提供多組合、可選、全方位的安全防護。

　　內嵌的安全能力，是思科 SD-WAN 方案的重要優(yōu)勢。

　　思科全球高級副總裁，企業(yè)網(wǎng)絡(luò )事業(yè)部總經(jīng)理 Scott Harrell 曾表示，全新云邊界的出現正在顛覆客戶(hù)的網(wǎng)絡(luò )和安全架構。如今，每款廣域網(wǎng)設備都必須支持軟件定義，并具備強大的安全特性。

　　思科認為，云的引入，軟件定義廣域網(wǎng)技術(shù)的應用，無(wú)法避免的引入了更多的風(fēng)險。從防護的角度，可以將其大致分為下面三個(gè)場(chǎng)景：

　　云邊界，即網(wǎng)絡(luò )、云和安全系統的交叉點(diǎn)。企業(yè)在這個(gè)威脅場(chǎng)景下，飽受諸多問(wèn)題困擾。

　　企業(yè)分支機構有大量對云應用/服務(wù)上關(guān)鍵資源訪(fǎng)問(wèn)的需求。如果所有流量，即訪(fǎng)問(wèn)和回傳流量，都要先轉發(fā)到企業(yè)數據中心進(jìn)行安全檢查、分析和過(guò)濾，再對安全流量放行，意味著(zhù)使用大量昂貴的 MPLS 線(xiàn)路。這不僅會(huì )增加數據中心安全架構的規模和復雜性，效率低下，安全成本會(huì )隨著(zhù)流量增長(cháng)而快速增加。同時(shí)，這還意味著(zhù)設備和人員在連接云服務(wù)時(shí)，因安全阻礙而無(wú)法享受本應有的便捷體驗。這與企業(yè)擁抱云的初衷是不一致的。

　　但是，如果不通過(guò)數據中心的安全設備，組織要面臨員工訪(fǎng)問(wèn)惡意站點(diǎn)，惡意回傳流量所帶來(lái)的數據泄漏、惡意軟件感染等安全隱患。安全是面向未來(lái)的投資。如果只是繞過(guò)進(jìn)行直連，即使暫時(shí)沒(méi)有發(fā)生安全事件，但這些擔憂(yōu)也會(huì )讓企業(yè)無(wú)法放心使用自己選擇的云服務(wù)。

　　專(zhuān)注客戶(hù)體驗的企業(yè)往往會(huì )傾向于向向客戶(hù)開(kāi)放其分支機構 WiFi，以便訪(fǎng)客訪(fǎng)問(wèn)企業(yè)公開(kāi)的業(yè)務(wù)、數據和服務(wù)。同時(shí)，因為企業(yè)組織架構在地域分布上的的復雜性，分支機構的員工及其設備，也都需要正確的識別，并通過(guò)不同的網(wǎng)絡(luò )分段策略，實(shí)現有效的權限控制。如何高效且不失安全性的進(jìn)行身份認證和管理，考慮體驗的同時(shí)，及時(shí)阻止來(lái)自分支機構和互聯(lián)網(wǎng)的未授權訪(fǎng)問(wèn)，是企業(yè)必須要面對的困境。

　　數據安全的合規性可謂是 2018 年一個(gè)重要熱點(diǎn)，特別是 GDPR 開(kāi)始正式實(shí)施后。擁有龐大分支機構的企業(yè)，需要留意到廣域網(wǎng)內部的敏感信息，在存儲和傳輸過(guò)程中，是否滿(mǎn)足了各國各行業(yè)不同的合規性要求。無(wú)論這些數據的位于分支結構還是云應用中，都需要在敏感數據的訪(fǎng)問(wèn)權限控制以及安全傳輸上下足功夫。最大程度保證不會(huì )因未授權訪(fǎng)問(wèn)或中間人攻擊，避免因數據泄漏帶來(lái)客戶(hù)、企業(yè)名譽(yù)和商業(yè)利益的多重損失。

　　從威脅角度來(lái)看，三個(gè)場(chǎng)景實(shí)際對應著(zhù)四種安全威脅：

　　思科在其 SD-WAN 方案內嵌了多種安全能力組合，以針對性的、最大程度為客戶(hù)降低上述場(chǎng)景中的安全風(fēng)險。結合 Talos 團隊的重要支持，以及與網(wǎng)絡(luò )功能統一界面的簡(jiǎn)易管理，實(shí)現安全能力的有效、及時(shí)和簡(jiǎn)單。

　　對云端應用的青睞，讓企業(yè)傳統廣域網(wǎng)的攻擊面正確實(shí)被連接、放大。無(wú)論威脅是來(lái)自云端、互聯(lián)網(wǎng)還是企業(yè)廣域網(wǎng)內部。今日，各國對信息安全的合規性要求日漸凸顯隨著(zhù)，企業(yè)級廣域網(wǎng)客戶(hù)對能夠與先進(jìn) SD-WAN 方案緊耦合的安全能力的需求也是必會(huì )緊隨其后。

　　兼顧應用體驗和安全性是思科軟件定義廣域網(wǎng)方案的突出特點(diǎn)。通過(guò)在分支機構路由器的邊緣提供全面的防護，思科在其 SD-WAN 中嵌入的安全能力為其整套方案的帶來(lái)了下面五個(gè)突出優(yōu)勢。

　　基于對多種流量協(xié)議、傳輸方式和多種云服務(wù)商的廣泛支持，思科 SD-WAN 方案可以實(shí)現快速部署和啟動(dòng)，更簡(jiǎn)易的管理，這是軟件定義廣域網(wǎng)技術(shù)自身相對于傳統廣域網(wǎng)的重要優(yōu)勢。而這個(gè)優(yōu)勢，也延續到了該方案中的安全部分。

　　思科的 SD-WAN 是網(wǎng)絡(luò )和安全的 "一攬子" 方案，WAN 設備已經(jīng)集成了包括下一代防火墻、入侵防護、URL 過(guò)濾、DNS 防護、身份管理等多種安全功能。配合威脅情報的底層支持，讓安全能力更加自動(dòng)化。借由與 Viptela 的技術(shù)整合，傳統廣域網(wǎng)客戶(hù)只需進(jìn)行軟件升級，通過(guò)單一許可證購買(mǎi)后就可以享受網(wǎng)絡(luò )和安全的功能，并通過(guò)集中式管理的 vManage 控制器，在單一界面實(shí)現網(wǎng)絡(luò )和安全進(jìn)行規模化的策略配置。

　　例如用戶(hù)和員工個(gè)人信息，企業(yè)的交易和財務(wù)數據，關(guān)鍵應用的開(kāi)發(fā)源碼和測試用例等敏感信息，會(huì )在廣域網(wǎng)內部的各分支機構間流轉，更不用說(shuō)新引入的云端應用。在思科基于意圖的網(wǎng)絡(luò )中，只需在 vManage 中進(jìn)行類(lèi)似 "僅在 IPsec VPN上傳輸敏感數據" 的設定一次，即可自動(dòng)應用于整個(gè)網(wǎng)絡(luò )。同時(shí)，借由 WAN 路由器中內嵌的防火墻，以及可根據安全策略明確劃分流量的 vSmart 控制器，確保只有所需的應用才可以訪(fǎng)問(wèn)到這些關(guān)鍵數據。

　　無(wú)論是訪(fǎng)客從分支結構 wifi 對企業(yè)公開(kāi)應用、數據和服務(wù)的訪(fǎng)問(wèn)，還是企業(yè)員工及其設備廣域網(wǎng)的登入，不僅需要依據安全策略進(jìn)行網(wǎng)絡(luò )分段的支持，所有業(yè)務(wù)數據流都通過(guò) IPsec VPN 隧道進(jìn)行安全傳輸，還需要對其身份和權限進(jìn)行嚴格的控制。當然，這不局限于傳統廣域網(wǎng)的分支結構邊界，新引入云邊界更是如此。

　　思科在其 SD-WAN 方案中，集成了去年 10 月剛剛收購的 Duo Security。Duo Security 是致力于云交付的統一訪(fǎng)問(wèn)安全和多因子身份認證的公司。通過(guò)驗證身份和設備運行狀態(tài)，Duo Security 可以幫助思科廣域網(wǎng)客戶(hù)實(shí)現任意設備任意云應用的安全接入。并借此，簡(jiǎn)化思科 SD-WAN 方案中的云安全策略，擴大對端點(diǎn)設備的可見(jiàn)性。

　　當然，身份認證和訪(fǎng)問(wèn)控制這道門(mén)檻僅能幫助排除未授權訪(fǎng)問(wèn)。訪(fǎng)客或員工的 Web 訪(fǎng)問(wèn)如果回傳了惡意流量，還是要通過(guò)更體系化的高級安全能力進(jìn)行防控。

　　傳統廣域網(wǎng)的解決思路，應對云邊界帶來(lái)的安全問(wèn)題時(shí)，在安全性、成本以及應用體驗間是必須進(jìn)行取舍的。但是，思科通過(guò)在其 SD-WAN 方案中實(shí)現了其核心安全框架與 WAN 設備的良好集成，以實(shí)現不影響云應用和互聯(lián)網(wǎng)訪(fǎng)問(wèn)體驗質(zhì)量的前提下，最大程度規避惡意攻擊和數據泄漏的風(fēng)險。

　　首先是思科下一代防火墻，入侵檢測和防護。這兩款受 Gartner 認可的思科拳頭安全產(chǎn)品，二者同時(shí)進(jìn)入了 2018 年 Gartner 魔力象限報告的領(lǐng)導者象限（如下圖）。安全牛之前還有專(zhuān)門(mén)文章對思科的下一代防火墻進(jìn)行介紹。

　　Talos 團隊從威脅視角所提供的近乎實(shí)時(shí)的重要數據支撐，策略的編排，極短時(shí)間窗、有效的威脅檢測和響應（CTR），以及自動(dòng)化的處置（阻斷），是這兩款產(chǎn)品的核心優(yōu)勢。

　　結合 URLs 過(guò)濾，以及思科 Umbrella 從 DNS 和 IP 層面提供入侵檢測能力，思科在其 WAN 設備中內嵌的安全能力組合，對如釣魚(yú)網(wǎng)站、惡意 C&C 服務(wù)器的連接，DDoS 攻擊等，可以進(jìn)行有效的檢測和防御。即使這些攻擊是利用云應用使用的互聯(lián)網(wǎng)連接和開(kāi)放 API 作為媒介。

　　更為重要的是，這種嵌入式的安全能力，讓廣域網(wǎng)客戶(hù)不用再刻意將流量先轉發(fā)的數據中心，而是以近乎直連的方式，在 WAN 邊界路由進(jìn)行安全檢測，兼顧體驗的同時(shí)，還極大程度節省了用戶(hù)的安全成本。

　　企業(yè)對云應用的青睞，不僅是更加靈活，成本也是企業(yè)重要的考慮因素。安全也是如此，需要適度的防護。思科在方案的營(yíng)銷(xiāo)層面，也通過(guò)多種組合的形式，讓企業(yè)可根據自身需求，對SD-WAN 和安全的能力進(jìn)行選擇。

　　思科在 SD-WAN 方案中附帶了 DNA Essentials 許可，其中就包含整合 Viptela 技術(shù)的強大 SD-WAN 能力，以及上文提及的除去 Umbrella 和 Duo Security 的全部安全能力。而 SD-WAN 能力稍顯弱勢的 Meraki 版本，則提供了企業(yè)級和進(jìn)階安全級兩個(gè)版本可供選擇。

　　不難看出，思科正試圖通過(guò)在 Viptela 和 Meraki 的基礎上主動(dòng)擴展 SD-WAN 產(chǎn)品組合的方式，進(jìn)一步夯實(shí)用戶(hù)在 SD-WAN 應用中的可選服務(wù)。

　　“無(wú)論是思科，還是來(lái)自 Gartner 行業(yè)觀(guān)察判斷，安全能力對于 SD-WAN 解決方案整體能力無(wú)疑是至關(guān)重要的。這直接地體現了思科多年在安全的積累能給網(wǎng)絡(luò )反饋的重大價(jià)值。新網(wǎng)絡(luò )技術(shù)的應用，讓安全可以更早、更深度地介入，并向未來(lái)業(yè)務(wù)發(fā)展提供有力支撐。從思科對 Viptela、Duo Security 的大手筆收購和快速整合，以及在 SD-WAN 方案中傾注的安全實(shí)力中可以看到，思科正在試圖為客戶(hù)搭建一座通往全新業(yè)務(wù)領(lǐng)域的橋梁。這座橋不僅要推動(dòng)客戶(hù)更快的釋放云計算的強大潛力，同時(shí)也要以顯著(zhù)降低安全風(fēng)險為其重要的前提。網(wǎng)絡(luò )和安全更加緊密結合的未來(lái)已至。

　　——安全牛評”