刘询

对于业务发展需要逐步扩大的企业来说，分支机构是从总部延伸出的众多触角，深入到各个区域。不过这些分支机构在安全防御却往往被忽略，变身为网络犯罪分子趁机入侵企业的重要跳板。

当前大型企业尤其是在其分支机构中，都在寻求采用SaaS应用（如Microsoft Office365）或类似的多云服务，同时期望化解由于员工增多所带来的成本提升。有调查显示，60 %的公司已经采用了或多或少的SaaS应用程序，并且采用率还会进一步加速。预计到2023年全球SaaS市场将以超21 %的复合年增长率继续增长。

鉴于传统分支机构所采用的MPLS连接存在诸多局限性，导致安全性无法匹配当下Saas应用，甚至无法满足对新应用程序、网络站点和其他最终用户的自动化配置。而且大多数传统广域网基础设施无法有效处理基于云服务带来的额外网络压力，也无法解决衍生出的包括低带宽，用于诸如VoIP和视频会议等高性能应用程序，分支和分布式资源之间复杂隧道层的有限可见性和控制，以及糟糕的用户体验等问题。

虽然SD-WAN向数字化转型中的企业承诺提供所需的敏捷性和灵活性，也能够跨多个宽带连接执行智能负载共享，从而提高网络效率、动态操作和成本节约，可以说是缓解上述问题的重要手段。不过很多企业并没有意识到相关的安全问题，导致分支机构成为了其安全战略中的薄弱环节。

此外，一旦部署了广域网边缘设备，IT人员通常需要通过2个不同的接口来管理广域网优化和安全功能，这就会在IT人员发现和应对威胁的能力上造成差距。解决这一挑战需要一个集成的单一界面的管理控制台，用来方便远程管理员能够管理物理和逻辑网络拓扑，确保安全和网络策略支持共同目标，实现策略和协议的无缝集成和协调，而不仅仅是扩展分支。

集成安全：根据Gartner 2018年11月发布的一项调查，“72 %的受访者表示，当涉及到广域网连接时，安全是他们最关心的问题。”在这点上，SD-WAN仅在其连接安全的情况下，才能向企业分支机构提供基于云的应用优势。这就是为什么SD-WAN解决方案需要提供一整套高级安全功能来保护直接的互联网访问。这包括融合下一代防火墙、入侵防御系统、网页过滤、反恶意软件和防病毒软件等。而且还需要包含威胁检测，包括对SSL加密流量的高性能检查以及沙箱集成。

广泛应用意识：需要识别应用程序，尽快实施适当控制。理想情况下，SD-WAN解决方案应该能够智能识别第一个数据流量包上的应用程序，在本地识别和區分数千个应用程序，并有一个到集成开发环境的过程，确认并分类新应用程序，包括加密应用程序。

高级可视性和控制：可视性和控制是跨区域拓展分支人员，采用SaaS时的关键考虑因素。单一员工可以轻松安装基于云的应用程序，而无需IT管理层的参与或批准。Gartner研究发现，影子IT现在占大型企业IT支出的30 % ～ 40 %。其中只有8.1 %的应用程序满足数据安全和隐私要求，从而导致恶意威胁、安全漏洞和违反规定或法规。

合规性溯源与报告：SD-WAN的安全性溯源与报告有助于确保遵守隐私法、安全标准和行业法规，同时降低违规情况罚款和法律成本附带的风险。这些功能需要能够跟踪实时威胁活动、促进风险评估、检测潜在问题和缓解问题。当SD-WAN和安全控制结合到单一的管理和协调接口中时，还可以监视防火墙策略等内容并帮助自动化合规性审核。

当企业实施SD-WAN部署却没有积极适当的安全策略，无疑会让自身面临恶意攻击和数据泄露风险。这也是为什么内置安全性与广域网、局域网功能的相结合，对于考察任何SD-WAN解决方案来说，都是至关重要的一样。