如何保障SD-WAN的安全？

如何保障SD-WAN的安全？
SD-WAN的安全性可以从系统安全和业务安全两个方面来进行保障。系统安全是SD-WAN解决方案必备的基础安全能力，SD-WAN解决方案系统在初始化之后就应该自动具备这些能力，使其能安全可靠的运转。而业务安全是单独部署的安全功能，要根据企业用户实际的业务安全需求灵活选择合适的安全防护措施。
（1）系统安全
系统安全涵盖的范围主要包括：SD-WAN解决方案中组件间的通信安全、多租户安全以及组件自身的安全。SD-WAN解决方案系统包含多个组件，组件本身以及组件之间的通信都会受到安全威胁。因此，必须要有安全措施来保证SD-WAN解决方案系统的构建和运转是安全可信的。
    保证系统安全，即通过身份认证、数据加密、数据验证、权限控制等措施，避免非法接入、信息泄露、数据篡改等安全问题。特别是针对CPE接入的场景，SD-WAN解决方案基于零信任（Zero Trust）的安全理念，严格验证CPE的身份信息，防止身份仿冒，确保只有合法可信的CPE才能接入。
（1）业务安全
业务安全指的是SD-WAN解决方案所承载业务的安全，部署SD-WAN解决方案的目的是要帮助企业更好地开展业务，根据企业的业务模型，业务安全包括站点间互访业务的安全、站点访问Internet业务的安全、站点入云业务的安全。
满足业务安全的需求，就是要针对不同的业务采取相应的安全防护措施。例如，对于站点间互访业务，要加密处理保证其在Internet上传输的安全性；对于站点访问Internet业务，可以使用CPE提供的安全功能，如ACL过滤、防火墙、IPS和URL过滤以及VAS高级安全功能等，防御各类攻击以及入侵行为。需要注意的是，这些安全功能可以基于VPN来配置，即针对同一个租户内的不同部门，实施差异化的业务安全防护措施。
另外，SD-WAN解决方案还支持对接第三方云安全网关，利用第三方云安全网关对访问公有云、SaaS的业务流量进行安全防护。

华为如何保障SD-WAN的安全，具体可以参考《华为SD-WAN安全技术白皮书》。