sdwan安全如何加固?（sdwan安全如何加固）

sdwan安全如何加固?

大多数SDWAN实行使用三个元夙来使链接具有内在的安全性：

身份验证：在建立SDWAN连接之前，端点一定要对自己进行身份验证(通常向中央服务器或云服务提供商)一定要对自己进行身份验证，通常使用IKEv2协议。IKE支持通常由RADIUS或LDAP目录服务器提供的预同享密钥或证书。

加密：SDWAN连接使用DLTS(首选)或IPSec进行加密。DLTS是为数据报(因此称为“D”)设计的TLS的扩大，它对抛弃、重复或乱序的数据包更宽容。

定期密钥轮换：对称加密算法(如AES(在SDWAN实行中普遍存在))的一个重大漏洞是旨在拦截密钥交换的流监听或旁道攻击。SDWAN控制器可以通过使用椭圆曲线DiffieHellman交换定期轮换和重新生成密钥来禁止此类攻击。

完全性：为了确保数据完全性并辨认任何篡改SDWAN数据报的尝试，大多数系统使用AESGCM(Galois/计数器模式)为每一个数据包生成消息摘要。接收到数据包后，目的地会重新生成一个摘要，如果二者匹配，则该数据包被接受为有效。

除内置到SDWAN协议中的固有安全性以外，一些产品还添加了一组统称为SASE(安全访问服务边沿)的功能，以加强网络和数据安全。正如我们在之前的文章中详述的那样，它们是：

可插入SDWAN结构中任何位置的下一代防火墙(NGFW)服务。

安全网络网关

云访问安全代理(CASB)内容过滤、监控和沙盒服务。

零信任网络访问(ZTNA)为方案和利用程序密码补充了基于令牌的单个事务和利用程序连接的访问??控制。

SASE吸引使用SDWAN的组织支持远程工作，由于它可以控制特定于利用程序和用户的安全策略、DLP和其他内容管理限制和更细粒度的身份验证制度。由于SASE是一个相对较新的概念，大多数提供商仅支持一部份功能，这使得SASE成为需要全栈远程网络安全解决方案的组织的关键差异化领域。