SD-WAN安全性挑战与解决方案

程晓轩，刘 冬，吴承康

（中通服咨询设计研究院有限公司，江苏 南京 210009）

0 引 言

传统的广域网环境中，分支节点通过MPLS专线与总部互联、访问总部来开展业务，在总部实施安全策略就可以对分支行为进行安全管控。传统广域网属于较封闭的网络架构，在一定程度上保证了网络的安全性[1]。SD-WAN属于开放式架构，导致新的安全风险。因此，有必要采用多种安全技术提高SD-WAN系统防护能力。

1 SD-WAN概述

SD-WAN即软件定义广域网，通过将传统的网络控制和数据转发进行分离，实现为用户提供按需分配的网络资源。用户部署于自己单独租赁的IP-VPN（含MPLS）/专线/互联网网络上，以实现SD-WAN功能；提供包括客户端软硬件设备、控制器平台的部署和运维、IP-VPN（含MPLS）/专线/互联网等线路资源。

如表1所示，SD-WAN与传统专线、光纤点对点相比，通信质量、成本、开通周期等多方面存在明显优势。

表1 SD-WAN和专线优缺点对比表

SD-WAN可作为传统专线的有效补充和备份，拓展传统专线的业务。通过提高或者虚拟化设备控制应用层代替传统的分支路由器，从而使价格变得相对低廉，属于消费级的互联网链接，而其服务质量和能力则向专线靠拢，让普通链路也能达到或接近专线的网络质量。

2 遇到的挑战

SD-WAN引入混合链路，业务流量会在Internet上传输，安全性难以保证；在应用云化的趋势下，分支业务直接通过Internet 接入云，给攻击者提供了可趁之机，带来新的安全挑战。

2.1 分支安全挑战

广域网边缘设备安全能力不足，传统VPN或传统分支出口路由器安全防护能力薄弱，对分支安全威胁无法做到立体防护，难以满足国家监管合规要求。分支节点在SD-WAN扮演着重要角色，可能使整个网络面临来自外部的安全威胁。分支节点能够主动发现部分安全问题，实现基于远程指导的被动应急，但是各节点安全防护缺乏全局统筹，前后端联动效率低，难以达到安全实效。

2.2 总部安全挑战

总部节点作为核心组件，连接分支节点、控制器等，自身以及多组件之间的通信都会受到安全威胁。如果缺少身份认证、数据加密、权限控制等措施，则可能会出现非法接入、信息泄露、数据篡改等问题。特别是针对分支接入总部、总部接入控制器的场景，极易发生身份仿冒，因此需要严格核验双方身份信息，只有合法可信的设备才能接入。

2.3 运维安全挑战

传统模式下，需要专人到现场对设备进行维护，但随着分支跨地域分布越来越广泛，设备类型越来越多，设备数量激增，导致维护难度大、成本高。此外随着业务不断增多和业务云化，分支到分支、公有云、私有云的流向更加复杂，手工命令行配置低效易错，运维效率低下[2]。

2.4 边界安全挑战

随着网络范围不断延展，一旦外来用户不加阻拦的接入到网络中来，就有可能破坏网络的安全边界，因此需要对非法客户端实现禁入[3]。

来自互联网、其他非可信网络的各类网络攻击同样需要通过安全措施实现主动阻断，如间谍软件、可疑代码、端口扫描、DDoS等。

安全技术措施不可能万无一失，发生网络安全事件需要进行事件的追踪与分析，针对网络的攻击行为和非授权访问等行为，需要在网络边界开展针对网络行为的审计分析。

3 解决方案

为解决以上4大问题，本文提出安全架构采用基于云原生的统一底盘，支持分支节点、数据中心、广域网的融合，打造管、控、析的立体化安全体系，完成跨域网络打通、跨域运维统一管理，实现端到端业务协同，详见图1。

图1 SD-WAN安全架构

3.1 分支节点安全

CPE 的系统架构基于3层3面安全隔离机制，将控制平面、管理平面和转发平面进行隔离，一个平面遭受攻击，其余平面依旧照常运行[4]。

随着数字化转型不断深入，分支节点支持对接云安全网关，利用云端情报、AI、大数据等能力增强检出能力。分支节点侧部署安全网关，能够提供漏洞扫描、自动化安全渗透测试服务、节点监测、终端安全响应服务、网络诱捕服务等多种基于云平台的安全能力；其次可以采集安全日志并通过加密通道发送至安全云平台；然后对网络中的流量数据进行深度安全检测，基于AI技术对安全日志和取证文件关联分析，准确、快速发现并阻拦攻击流量及恶意文件，执行IP封禁动作。

3.2 总部节点安全

总部节点作为核心组件，最重要是解决各个通道之间的安全。如图2所示，SD-WAN组件之间的通信连接分为管理通道、控制通道和数据通道，使用安全通信协议保证数据安全。

图2 多组件通道连接

管理通道采用双向证书认证，例如总部节点和控制器之间的连接，总部节点使用设备证书，控制器使用南向NETCONF证书。总部节点验证控制器证书时，检验控制器证书的合法性、证书是否在有效期内，防止接入到仿冒的控制器；控制器同样验证总部节点的证书合法性和有效期。控制通道采用传输层安全性协议，通过加解密实现数据的完整性。数据通道依赖于IPSec协议建立Overlay 隧道，保证数据在传输过程中的机密性。

3.3 运维安全

运维安全的核心要素有4个，包括便捷部署、智能选路、安全防护、可视化管控，具体见图3。

图3 运维安全的核心四要素

3.3.1 零配置上线

新建分支节点远程集中配置即可开通，不需要现场配置调试。每个分支节点可以建立直接连接到云平台，即使不断增加功能和业务，也能实现批量上线。弹性灵活的组网结构，支持安全能力的按需部署和扩展。

3.3.2 智能选路

SD-WAN的网络传输可以是光纤专线、以太网、MPLS VPN、WiFi、4G/5G网络等。互联网接入带宽的成本较低，过去主要用来承载非关键业务数据。SD-WAN具有实时探测多条线路传输速率和质量的能力，结合业务和链路质量监控，按需进行路径优选和流量调度，支持用户自定义业务优先级和带宽要求，保障关键应用网络质量，同时极大降低链路成本。

3.3.3 安全防护

SD-WAN根据对应签名现网表现评估可信度，使用告警携带信息构建告警自动确认模型，通过匹配模型准确识别攻击，威胁发生及时隔离阻断。

3.3.4 可视化管控

通过SD-WAN控制器和编排器对广域节点进行集中管理与控制，从而根据全网的资源状态集中调度基于应用的转发及QOS策略，提供站点、链路、应用的可视化管理，可快速定位故障，实现全局视角的安全策略，提升运维效率。

3.4 边界安全

3.4.1 边界隔离与访问控制

针对新的边界安全威胁，边界访问控制已经成为基本安全措施，必不可少，但为了更加有效地应对当前的网络威胁，防火墙设备应当更加智能化、联动化，以满足安全有效性和防御实时性的切实需求。下一代防火墙和网闸技术已经逐步成熟，通过相关功能实现及策略配置，可实现上述要求。

3.4.2 边界入侵防御

在网络区域的边界处，需要通过部署入侵防御设备对网络攻击行为进行检测与阻断，增强边界防御能力，及时产生报警和报告。

入侵防御设备需要具备检测分析技术，能结合异常检测与攻击特征数据库检测的技术，同时也包含了深层数据包检查能力，以解决加密流量中的隐匿威胁，且不影响正常程序的工作。还能检测多层多种类型攻击，如普通常见攻击、应用型攻击、流量性攻击、蠕虫连接型攻击等。

3.4.3 网络安全审计

网络安全审计系统通过镜像获取通过核心设备流量数据，可对整个网络的流量进行审计分析，可对用户的行为进行审计。包括对用户的HTTP、邮件、FTP、TELNET等应用进行审计；对远程桌面访问、用户互联网访问行为进行审计。

4 结 论

SD-WAN提供分支上云、分支与分支、分支与总部的全场景随需互联，通过安全加固可以获取更优秀的体验。随着关键技术自主可控，核心软硬件建立起国产化、安全可靠的通信系统，能够降低基础设施采购成本，进一步提升系统的安全性能。