转载

不仅仅是SD-WAN 分支机构边界安全最佳实践

软件定义广域网 (SD-WAN) 安全很好，但也有不足：SD-WAN 解决方案处理不了分支机构本身的变迁。必须从另外的角度加以解决。

最想实现数字转型的肯定是企业分支机构。各部门都想快点采用云和扩大广域网 (WAN) 边界运营。软件定义广域网 (SD-WAN) 在其中起到了很好的辅助作用，而安全 SD-WAN 也比完全集成的企业级安全更进了一步。

安全 SD-WAN 优势明显，但也存在不足： SD-WAN 解决方案无法解决分支机构本身的变动 。比如说，物联网设备采用率的激增和联网终端用户设备的增长，就已经超出了本地分支机构网络的处理范畴。而且，数字转型还扩大了潜在攻击界面，将安全顶到了前沿阵地。没有哪家公司想让自己的分支机构成为安全战略中的薄弱环节。

然而，很多公司觉得自己能用自身主网络所用同一套安全方法来解决分支机构的安全问题。结果十分打脸，堪称搬起石头砸自己脚的生动实例。分支机构 IT 员工本就奇缺，很快便会被诸多终端安全产品、孤立的管理系统和复杂的集成服务路由器给压垮。于是，分支网络安全往往面临可见性缺乏、管理复杂和解决方案太多的挑战，保护 WAN 和 SD-WAN 连接之外的访问边界变得困难重重。

随着问题的积累，公司企业开始转向软件定义分支 (SD-Branch) 架构：以软件为中心的自动化集中管理平台。

本文，安全提供商 Fortinet 给出了 SD-Branch 安全部署的基本元素列表：

不仅仅是SD-WAN 分支机构边界安全最佳实践

网络边界防护

下一代防火墙 (NGFW) 是安全 SD-Branch 部署的完美基础构件。NGFW 需能将 SD-WAN 连接的安全扩展至有线及无线接入的控制器。这可保证所有出入站流量经受实时审查，确保即时安全，无论流量是直接互联网连接还是单个设备上产生的云链接，也不管流量是否经过加密。

为分支机构部署设计的 NGFW 还应整合安全与网络访问控制。与其他所有 SD-Branch 组件一样，NGFW 需支持零接触配置 (zero-touch provisioning)，以便可快速安装和在数分钟内即可全面运转。

接入保护

为保护 SD-Branch 网络边界，接入点 (AP) 不仅必须安全，还要能将 NGFW 功能扩展至无线局域网 (WLAN) 边界，好接受与 WAN 边界同等级的防护。WiFi AP 需提供足够的容量和吞吐量，跟上不断上升的带宽需求；交换机需支持更高的速度与更强的以太网供电 (PoE)，带得动耗电量大的物联网设备。