通常，分支機構連接是通過專用租用線路處理的。這種設置多年來運行良好，因為MPLS通常與互聯網的狂野西部更加分割，是主要的傳輸方式。此外，VPN創建了更多連接。

但傳統的WAN也限制了對云應用程序的訪問。企業會在訪問互聯網之前通過總部路由分支機構流量，使用防火墻來保護數據和系統。雖然這種安排造成了數據瓶頸，但由于安全控制，多年來它一直是易于管理和首選的系統。

SD-WAN的出現改變了網絡安全模型，將更多的安全性和控制力推向了邊緣——企業需要適應這一新現實。那么SD-WAN如何改變網絡安全邊界？

一、將安全推向邊緣

軟件定義的WAN (SD-WAN)改變了安全模式。隨著企業開始關注SD-WAN并將部分或全部分支機構流量轉移到寬帶互聯網產品，安全性正變得更具挑戰性。

這種變化正在發生，因為許多SD-WAN產品使用寬帶連接并通過公共互聯網而不是專用租用線路發送數據和控制，將網絡安全邊界推向邊緣，并從不同的角度看待安全。

單個強大的防火墻不再是SD-WAN的主要保護，企業現在需要考慮邊緣的安全性。隨著越來越多的企業依賴云服務，在云中運行的任何應用程序都更容易通過SD-WAN連接從分支機構位置直接通過互聯網訪問，而不是先將所有云流量路由回總部。

通過在分支機構通過SD-WAN連接到互聯網的邊緣實施安全和控制，企業可以更好地管理流量。此外，組織還可以通過消除大量冗余流量來降低數據傳輸成本。然而，為了有效地做到這一點，企業應該關注 SD-WAN配置過程并將安全性直接集成到該配置中。

SD-WAN的自動化和編排可以使這成為可能，因為配置過程更加自動化和可控。過去，由于每個分支機構都需要獨立配置，因此在分支機構級別實現單獨的安全性是一項艱巨的挑戰。

二、軟件定義的邊界也可以提供幫助

SD-WAN可以幫助自動化邊緣安全，使IT能夠將一些驗證推送到分支機構并支持更靈活的安全配置文件。

但另一種策略——軟件定義邊界(SDP)——也可以提高分支機構的安全性。SDP實質上創建了一個“黑云”，其中不同的端點對于傳統掃描是不可見的。圍繞SDP的最初努力部分由美國國防部完成，導致所有通信都依賴于需要知道的模型。

使用SDP，所有端點都需要授權和身份驗證；所有這些都在零信任環境中運行，傳統的靜態地址和定義被動態環境所取代。

總結：無論企業是依賴VPN還是SDP，SD-WAN的出現都從根本上改變了安全模型，將更多的安全和控制推向邊緣，企業需要適應新的現實。