济群IT服务|企业云网

新闻资讯
网站首页 > 资讯动态 > 业界资讯

SD-WAN迷局,你所不了解的软件定义广域网!

2018-12-09 00:08:05 济群IT服务|企业云网 阅读

2016年,SD-WAN这个词在国内突然就火了,凡SDN的应用场景必提SD-WAN,与企业服务相关的公司纷纷将其产品与SD-WAN解决方案和服务挂钩,两大国际研究与咨询机构Gartner和IDC也分别推出SD-WAN的市场分析预期报告,着实让这个预估2020年全球60亿美元的服务市场吸引了足够的关注。然而,SD-WAN到底包含哪些网络范畴,代表了哪些SDN的解决方案,如何从全局视角看待SD-WAN,都是值得探讨的问题。


什么是SD-WAN,SD-WAN缘何而来,又为何引起了市场的如此关注?

这需要从SDN本身说起。从2006年斯坦福大学提出集中控制架构和Openflow协议,到2012年GoogleB4的商用案例,SDN萌芽期和幻灭期的关注点一直在云和数据中心内的场景,产业界急切需要找到下一个killer app。另一方面,云计算技术的发展引发了IT产业的变革,互联网+带动了传统行业的转型,to B的互联网化在2014年赶超了to C的关注度。

可以说,聚焦于企业市场和广域网范畴的SD-WAN 服务正是在这样的行业背景和期待中形成。关于SD-WAN这个词首次出现在公众视野是2014年9月发表在networkcomputing.com的文章“Software-Defined WAN: A Primer”,但实际上SD-WAN的概念来源于更早出现的Hybrid WAN,为解决企业市场Internet互联不稳定而MPLS VPN价格昂贵这样的博弈类问题。


SD-WAN的解决方案分类

不管是基于OSI的七层协议,还是基于TCP/IP的四层协议,只要是基于网络的问题往往都是分层解决的。广域网(WAN)首先是指用于连接广阔地域范围的各种网络资源,从运营商的视角看分为接入、城域、骨干网,而从互联网应用的视角看则是连接用户到应用的广域范围的网络,正是基于这样不同的视角演变出不同的SD-WAN解决方案。

第一类解决方案,提供者认为基于Internet的WAN网络质量不可控,需要采用四到七层的应用层优化方式进行补偿,包括采用TCP协议优化、应用层加速、数据压缩、数据缓存等技术,从应用层面部分缓解了Internet网络拥塞或者故障时引入的时延大、丢包率高等问题。

第二类解决方案,也是在Hybrid WAN方案中重点描述的,基于Internet、MPLS/专线网络的多种WAN连接,进行网络质量的监测,通过监测结果进行路径的优化选择,满足不同应用在广域范围的质量要求。这种选择可以是不同的接入GW、不同的互联节点、不同的DC出口方向或者不同的运营商出口,属于IP层的解决方案,SDN技术在此类方案中可以支持路径的集中控制和流量的优化调度。

第三类解决方案,是基于WAN网络中的物理设备的集中控制,结合应用连接的质量、可靠性等需求,为应用选择和建立端到端网络路径。在这类解决方案中,SDN技术不仅支持路径的集中控制、流量的优化调度,更重要的是支持以软件定义的方式构建、部署到运维WAN网络,是真正从L2-L3支持SDN的解决方案。

从WAN网络发展的技术历史演变来看,从最初提供可达性的Internet网络,到有基本网络分割服务的MPLS 网络,到按需服务的SDN网络是必然趋势。

1.jpg

SD-WAN的误区

为了节省开支,减少MPLS私有专线的使用,企业开始倾向于混合部署软件定义广域网(SD-WAN)技术。然而许多企业对于SD-WAN并不了解,甚至会被一些解决方案厂商所误导,这就会导致了SD-WAN滥用,甚至不断在安全性上踩坑。

误区一:有了SD-WAN就有了安全

SD-WAN技术主要是利用软件优势提升网络性能,但仅仅是出于网络安全考虑,就将MPLS专线更换SD-WAN却是冒了安全风险的。

因为即便近期SD-WAN呈现出爆炸性增长态势,SD-WAN也支持端到端加密以及按应用或组织层级进行划分,提供嵌入式安全机制。但实际上,相当一部分SD-WAN供应商并不提供全面的企业级安全解决方案。

而且许多企业对SD-WAN的方案架构可能并未吃透,就急于上马项目,也为安全威胁埋下了隐患。因此,选择具有符合企业特定需求的SD-WAN安全解决方案就变得相当关键了。


误区二:安全投入能省就省

对于抱着此种理念的企业来说,面对SD-WAN解决方案时,往往怎么省钱怎么花,然而削减投入带来的副作用就是无法达成SD-WAN在部署后应有的安全策略效果。

由于一些SD-WAN解决方案也集成有安全功能或策略,因此让部分企业就存了侥幸心理,认为SD-WAN技术也会使用VPN进行传输,并融合数据压缩与流量管理技术,自身安全性能已然提升。而且SD-WAN自带了安全功能,那么其他安全设备的投入是不是能省则省了?

这显然优势一个安全误区,面对当今网络安全威胁不断提升之际,仅仅依靠SD-WAN的基本安全产品,对于一个企业来说显然是不够的。因为想采用SD-WAN技术的企业,同样也需要网络安全设备以及相应的威胁管理策略,比如安全网关服务或下一代防火墙(NGFW)、包括入侵防御、SSL检查、Web过滤和反恶意软件保护等等,不然入坑自然是分分钟的事了。


误区三:以为分支路由器也安全

SD-WAN技术需要遵循与其他IT基础架构元素相同的严格安全标准。尤其要特别注意在采用SD-WAN过程中对于分支路由器的使用。虽然对于传统的分支路由器部署,一旦安装完成后有可能几个月都无需再检查该硬件设备,但此种情况则并不适用于SD-WAN路由器。

因为对于SD-WAN路由器来说,使用最新的安全补丁来确保设备固件更新是相当重要。即便是一些SD-WAN路由器具备了智能自动修复功能,也无法改变需要根据应用环境而随时变换安全配置的事实。


误区四:有啥、少啥安全功能不知道

当企业评估多个SD-WAN解决方案时,一些特定SD-WAN解决方案所支持的安全功能常被忽视掉。但与技术中的大多数事情一样,如果你不完全理解这个解决方案,它可能会导致更多的问题出现,而不了解SD-WAN有哪些安全功能,则会让企业面临风险。因为这可能导致无法检测到缺失的安全功能。

例如,经常能看到采用SD-WAN解决方案的公司,将UTM设备从所在数据中心的集中式互联网出口迁移到分布式互联网出口模型上。但大多数SD-WAN解决方案只提供一个简单的状态防火墙,实际上,它并不能提供与控制其集中模型访问的下一代UTM相同的保护。这种疏忽可能会使用户处于网络威胁之中,而不自知。


误区五:营销手册上说的都对

对于解决方案商营销手册上说的,显然要辩证的看。SD-WAN营销手册上常常提到其卖点是无需采用者预先配置路由或网络路径。然而,这种态度可能会造成主要的SD-WAN安全漏洞。如果没有预先确定的路径,公司将无法回答几个关键问题,例如数据从A点到B点的路径,是谁拥有它所经过的网络,更重要的是,在传输中的数据会发生什么。

数据通过企业无法掌控的运营宽带互联网节点传播,显然需要额外的安全控制和技术来加密通过IP网络传输的数据才行。但如果仅仅相信营销手册上说法,无疑又再为自己的安全挖坑了。

使用微信扫描下方二维码关注济群IT服务官方微信(也可微信搜索:Jiquninfo或济群IT服务)。
 

1526381435936715.png       1526381064848586.png


济群IT服务|企业云网(CloudVnet)  服务专线:400-690-1812