為了節省開支，減少MPLS私有專線的使用，企業開始傾向于混合部署軟件定義廣域網（SD-WAN）技術。然而許多企業對于SD-WAN并不了解，甚至會被一些解決方案廠商所誤導，這就會導致了SD-WAN濫用，甚至不斷在安全性上踩坑。比如下面的五大SD-WAN安全誤區就必須更要避免才行。

誤區一：有了SD-WAN就安全

SD-WAN技術主要是利用軟件優勢提升網絡性能，降低成本，同時保證安全穩定性的同時兼顧部署的便捷性。但僅僅是出于網絡安全考慮，就將MPLS專線更換SD-WAN卻是冒了安全風險的。

因為即便近期SD-WAN呈現出爆炸性增長態勢，SD-WAN也支持端到端加密以及按應用或組織層級進行劃分，提供嵌入式安全機制。但實際上，相當一部分SD-WAN供應商并不提供全面的企業級安全解決方案。

而許多企業對SD-WAN的方案架構可能并未吃透，就急于上馬項目，也為安全威脅埋下了隱患。因此，選擇具有符合企業特定需求的SD-WAN安全解決方案就變得相當關鍵了。

誤區二：安全投入能省就省

對于抱著此種理念的企業來說，面對SD-WAN解決方案時，往往怎么省錢怎么花，然而削減投入帶來的副作用就是無法達成SD-WAN在部署后應有的安全策略效果。

由于一些SD-WAN解決方案也集成有安全功能或策略，因此讓部分企業就存了僥幸心理，認為SD-WAN技術也會使用VPN進行傳輸，并融合數據壓縮與流量管理技術，自身安全性能已然提升。而且SD-WAN自帶了安全功能，那么其他安全設備的投入是不是能省則省了？

這顯然優勢一個安全誤區，面對當今網絡安全威脅不斷提升之際，僅僅依靠SD-WAN的基本安全產品，對于一個企業來說顯然是不夠的。因為想采用SD-WAN技術的企業，同樣也需要網絡安全設備以及相應的威脅管理策略，比如安全網關服務或下一代防火墻（NGFW）、包括入侵防御、SSL檢查、Web過濾和反惡意軟件保護等等，不然入坑自然是分分鐘的事了。

誤區三：以為分支路由器也安全

SD-WAN技術需要遵循與其他IT基礎架構元素相同的嚴格安全標準。尤其要特別注意在采用SD-WAN過程中對于分支路由器的使用。雖然對于傳統的分支路由器部署，一旦安裝完成后有可能幾個月都無需再檢查該硬件設備，但此種情況則并不適用于SD-WAN路由器。

因為對于SD-WAN路由器來說，使用最新的安全補丁來確保設備固件更新是相當重要。即便是一些SD-WAN路由器具備了智能自動修復功能，也無法改變需要根據應用環境而隨時變換安全配置的事實。

小心SD-WAN安全誤區

誤區四：有啥、少啥安全功能不知道

當企業評估多個SD-WAN解決方案時，一些特定SD-WAN解決方案所支持的安全功能常被忽視掉。但與技術中的大多數事情一樣，如果你不完全理解這個解決方案，它可能會導致更多的問題出現，而不了解SD-WAN有哪些安全功能，則往往會導致企業面臨風險。因為這可能導致無法檢測到缺失的安全功能。

例如，經常能看到采用SD-WAN解決方案的公司，將UTM設備從所在數據中心的集中式互聯網出口遷移到分布式互聯網出口模型上。但大多數SD-WAN解決方案只提供一個簡單的狀態防火墻，實際上，它并不能提供與控制其集中模型訪問的下一代UTM相同的保護。這種疏忽可能會使用戶處于網絡威脅之中，而不自知。

誤區五：營銷手冊上說的都對

對于解決方案商營銷手冊上說的，顯然要辯證的看。SD-WAN營銷手冊上常常提到其賣點是無需采用者預先配置路由或網絡路徑。然而，這種態度可能會造成主要的SD-WAN安全漏洞。如果沒有預先確定的路徑，公司將無法回答幾個關鍵問題，例如數據從A點到B點的路徑，是誰擁有它所經過的網絡，更重要的是，在傳輸中的數據會發生什么。

數據通過企業無法掌控的運營寬帶互聯網節點傳播，顯然需要額外的安全控制和技術來加密通過IP網絡傳輸的數據才行。但如果僅僅相信營銷手冊上說法，無疑又再為自己的安全挖坑了。

結語

由此看出，僅僅依靠SD-WAN自身的安全性是不夠的，只有通過正確方式構建安全防御，避免上述五大認知誤區，才能為企業打造出安全網絡。