SD-WAN安全性挑戰與解決方案

程曉軒，劉 冬，吳承康

（中通服咨詢設計研究院有限公司，江蘇 南京 210009）

0 引 言

傳統的廣域網環境中，分支節點通過MPLS專線與總部互聯、訪問總部來開展業務，在總部實施安全策略就可以對分支行為進行安全管控。傳統廣域網屬于較封閉的網絡架構，在一定程度上保證了網絡的安全性[1]。SD-WAN屬于開放式架構，導致新的安全風險。因此，有必要采用多種安全技術提高SD-WAN系統防護能力。

1 SD-WAN概述

SD-WAN即軟件定義廣域網，通過將傳統的網絡控制和數據轉發進行分離，實現為用戶提供按需分配的網絡資源。用戶部署于自己單獨租賃的IP-VPN（含MPLS）/專線/互聯網網絡上，以實現SD-WAN功能；提供包括客戶端軟硬件設備、控制器平臺的部署和運維、IP-VPN（含MPLS）/專線/互聯網等線路資源。

如表1所示，SD-WAN與傳統專線、光纖點對點相比，通信質量、成本、開通周期等多方面存在明顯優勢。

表1 SD-WAN和專線優缺點對比表

SD-WAN可作為傳統專線的有效補充和備份，拓展傳統專線的業務。通過提高或者虛擬化設備控制應用層代替傳統的分支路由器，從而使價格變得相對低廉，屬于消費級的互聯網鏈接，而其服務質量和能力則向專線靠攏，讓普通鏈路也能達到或接近專線的網絡質量。

2 遇到的挑戰

SD-WAN引入混合鏈路，業務流量會在Internet上傳輸，安全性難以保證；在應用云化的趨勢下，分支業務直接通過Internet 接入云，給攻擊者提供了可趁之機，帶來新的安全挑戰。

2.1 分支安全挑戰

廣域網邊緣設備安全能力不足，傳統VPN或傳統分支出口路由器安全防護能力薄弱，對分支安全威脅無法做到立體防護，難以滿足國家監管合規要求。分支節點在SD-WAN扮演著重要角色，可能使整個網絡面臨來自外部的安全威脅。分支節點能夠主動發現部分安全問題，實現基于遠程指導的被動應急，但是各節點安全防護缺乏全局統籌，前后端聯動效率低，難以達到安全實效。

2.2 總部安全挑戰

總部節點作為核心組件，連接分支節點、控制器等，自身以及多組件之間的通信都會受到安全威脅。如果缺少身份認證、數據加密、權限控制等措施，則可能會出現非法接入、信息泄露、數據篡改等問題。特別是針對分支接入總部、總部接入控制器的場景，極易發生身份仿冒，因此需要嚴格核驗雙方身份信息，只有合法可信的設備才能接入。

2.3 運維安全挑戰

傳統模式下，需要專人到現場對設備進行維護，但隨著分支跨地域分布越來越廣泛，設備類型越來越多，設備數量激增，導致維護難度大、成本高。此外隨著業務不斷增多和業務云化，分支到分支、公有云、私有云的流向更加復雜，手工命令行配置低效易錯，運維效率低下[2]。

2.4 邊界安全挑戰

隨著網絡范圍不斷延展，一旦外來用戶不加阻攔的接入到網絡中來，就有可能破壞網絡的安全邊界，因此需要對非法客戶端實現禁入[3]。

來自互聯網、其他非可信網絡的各類網絡攻擊同樣需要通過安全措施實現主動阻斷，如間諜軟件、可疑代碼、端口掃描、DDoS等。

安全技術措施不可能萬無一失，發生網絡安全事件需要進行事件的追蹤與分析，針對網絡的攻擊行為和非授權訪問等行為，需要在網絡邊界開展針對網絡行為的審計分析。

3 解決方案

為解決以上4大問題，本文提出安全架構采用基于云原生的統一底盤，支持分支節點、數據中心、廣域網的融合，打造管、控、析的立體化安全體系，完成跨域網絡打通、跨域運維統一管理，實現端到端業務協同，詳見圖1。

圖1 SD-WAN安全架構

3.1 分支節點安全

CPE 的系統架構基于3層3面安全隔離機制，將控制平面、管理平面和轉發平面進行隔離，一個平面遭受攻擊，其余平面依舊照常運行[4]。

隨著數字化轉型不斷深入，分支節點支持對接云安全網關，利用云端情報、AI、大數據等能力增強檢出能力。分支節點側部署安全網關，能夠提供漏洞掃描、自動化安全滲透測試服務、節點監測、終端安全響應服務、網絡誘捕服務等多種基于云平臺的安全能力；其次可以采集安全日志并通過加密通道發送至安全云平臺；然后對網絡中的流量數據進行深度安全檢測，基于AI技術對安全日志和取證文件關聯分析，準確、快速發現并阻攔攻擊流量及惡意文件，執行IP封禁動作。

3.2 總部節點安全

總部節點作為核心組件，最重要是解決各個通道之間的安全。如圖2所示，SD-WAN組件之間的通信連接分為管理通道、控制通道和數據通道，使用安全通信協議保證數據安全。

圖2 多組件通道連接

管理通道采用雙向證書認證，例如總部節點和控制器之間的連接，總部節點使用設備證書，控制器使用南向NETCONF證書。總部節點驗證控制器證書時，檢驗控制器證書的合法性、證書是否在有效期內，防止接入到仿冒的控制器；控制器同樣驗證總部節點的證書合法性和有效期。控制通道采用傳輸層安全性協議，通過加解密實現數據的完整性。數據通道依賴于IPSec協議建立Overlay 隧道，保證數據在傳輸過程中的機密性。

3.3 運維安全

運維安全的核心要素有4個，包括便捷部署、智能選路、安全防護、可視化管控，具體見圖3。

圖3 運維安全的核心四要素

3.3.1 零配置上線

新建分支節點遠程集中配置即可開通，不需要現場配置調試。每個分支節點可以建立直接連接到云平臺，即使不斷增加功能和業務，也能實現批量上線。彈性靈活的組網結構，支持安全能力的按需部署和擴展。

3.3.2 智能選路

SD-WAN的網絡傳輸可以是光纖專線、以太網、MPLS VPN、WiFi、4G/5G網絡等。互聯網接入帶寬的成本較低，過去主要用來承載非關鍵業務數據。SD-WAN具有實時探測多條線路傳輸速率和質量的能力，結合業務和鏈路質量監控，按需進行路徑優選和流量調度，支持用戶自定義業務優先級和帶寬要求，保障關鍵應用網絡質量，同時極大降低鏈路成本。

3.3.3 安全防護

SD-WAN根據對應簽名現網表現評估可信度，使用告警攜帶信息構建告警自動確認模型，通過匹配模型準確識別攻擊，威脅發生及時隔離阻斷。

3.3.4 可視化管控

通過SD-WAN控制器和編排器對廣域節點進行集中管理與控制，從而根據全網的資源狀態集中調度基于應用的轉發及QOS策略，提供站點、鏈路、應用的可視化管理，可快速定位故障，實現全局視角的安全策略，提升運維效率。

3.4 邊界安全

3.4.1 邊界隔離與訪問控制

針對新的邊界安全威脅，邊界訪問控制已經成為基本安全措施，必不可少，但為了更加有效地應對當前的網絡威脅，防火墻設備應當更加智能化、聯動化，以滿足安全有效性和防御實時性的切實需求。下一代防火墻和網閘技術已經逐步成熟，通過相關功能實現及策略配置，可實現上述要求。

3.4.2 邊界入侵防御

在網絡區域的邊界處，需要通過部署入侵防御設備對網絡攻擊行為進行檢測與阻斷，增強邊界防御能力，及時產生報警和報告。

入侵防御設備需要具備檢測分析技術，能結合異常檢測與攻擊特征數據庫檢測的技術，同時也包含了深層數據包檢查能力，以解決加密流量中的隱匿威脅，且不影響正常程序的工作。還能檢測多層多種類型攻擊，如普通常見攻擊、應用型攻擊、流量性攻擊、蠕蟲連接型攻擊等。

3.4.3 網絡安全審計

網絡安全審計系統通過鏡像獲取通過核心設備流量數據，可對整個網絡的流量進行審計分析，可對用戶的行為進行審計。包括對用戶的HTTP、郵件、FTP、TELNET等應用進行審計；對遠程桌面訪問、用戶互聯網訪問行為進行審計。

4 結 論

SD-WAN提供分支上云、分支與分支、分支與總部的全場景隨需互聯，通過安全加固可以獲取更優秀的體驗。隨著關鍵技術自主可控，核心軟硬件建立起國產化、安全可靠的通信系統，能夠降低基礎設施采購成本，進一步提升系統的安全性能。