当SD-WAN安全性不够时，组织会采取额外的措施，例如入侵预防、防病毒、统一威胁管理等。

     由于SD-WAN技术变得比多协议标签交换(MPLS)更便宜、更灵活、更易于部署，它提供集中的可见性和管理，并提高了WAN链接的整体性能，提高了员工的生产力，从而变得越来越流行。

     但是，使分支机构中的最终用户直接连接到公共互联网和云计算服务引起了严重的安全问题，这给SD-WAN部署增加了另一层次的复杂性和风险。

     根据Enterprise Management Associates(EMA)在2018年底对北美地区和欧洲250家企业进行的一项调查显示，在分支机构中部署SD-WAN的组织遇到的实际数据泄漏的可能性是没有分支机构组织的1.3倍。EMA公司分析师Shamus McGillicuddy说，这是因为许多企业最初仅依靠其SD-WAN设备中的本机安全功能，而不是通过附加的防御层来增强这些功能。

  典型的SD-WAN产品提供状态防火墙，以及其他功能，例如网络分段和站点到站点隧道。但是它们没有提供更复杂的安全措施，例如应用程序感知的下一代防火墙、入侵预防、数据丢失预防和统一的威胁管理。此外，它们不会自动与企业的其他安全基础设施集成。

  虽然对许多组织来说，摆脱多协议标签交换(MPLS)是转向SD-WAN的动力，Burke指出，超过一半的组织将多协议标签交换(MPLS)保留在特定的应用程序上。多协议标签交换(MPLS)已经从最初的广域网链路变成了多元化、优化、安全的广域网业务流的一小部分。

  好消息是，企业客户越来越意识到对基准产品以外的其他安全功能的需求。在IDG Research公司和SD-WAN托管提供商Masergy公司最近进行的一项调查中，有81%的受访者表示，安全性是SD-WAN供应商选择的最关键因素。

  纯粹的SD-WAN供应商已经听到了清晰明确的消息，并与传统的安全供应商，比如CheckPoint或Palo Alto Networks以及基于云计算的提供商合作，提供集成的软件包。

  对于想要确保其SD-WAN连接具有深入安全性的客户，还有两种选择。企业可以与一家在安全方面有着悠久历史的公司合作，而该公司最近已经开发了SD-WAN产品，例如Cisco或Fortinet。或者，它可以选择由运营商或托管服务提供商来承担端到端WAN流量的责任，并提供其他安全功能菜单，例如可按需购买的Web内容过滤和防病毒保护。

  全球IT分销商Westcon Comstor公司高级基础设施经理Michael Soler说，他从多协议标签交换(MPLS)转向基于Silver Peak Unity EdgeConnect平台的SD-WAN的驱动力是弹性、成本、可扩展性和可见性。

  该公司的远程网络由两个共同管理的数据中心以及在北美、欧洲和亚洲的27个办事处组成。其弹性是原有协议标签交换(MPLS)网络的问题。Soler说，“IPSec故障转移失败了，它们在理论上看起来很棒，但在企业真正需要它们之前可能不尽人意。”

  Soler表示，成本是另一个问题。由于缺乏对网络使用情况的了解，他发现优化带宽需求以及确定超额订购或订购不足的位置是一项挑战。

  众所周知，在进行更改或使用协议标签交换(MPLS)网络启动新服务时，存在缺乏灵活性和反应速度慢的缺点。协议标签交换(MPLS)部署的复杂性增加了出错的机会，这就意味着用户体验不佳。

  在调查了多家SD-WAN供应商后，他于2017年底开始使用Silver Peak装置进行概念验证，并对产品推出的简单性和产品的有效性，特别是前向纠错和路径调节等性能特征印象深刻。他为部署过程建立了一个模板，并开始在所有启用协议标签交换(MPLS)的站点上推出SD-WAN技术。

  Soler说，“我们取得了巨大的成功，WAN成本降低，弹性和可见性得到了很大的改善，最终用户对通过直接访问全球互联网和Azure云可以实现的性能和灵活性感到满意。”

  为了解决与分支机构的全球互联网突破相关的安全问题，Soler已部署了下一代防火墙，以增强Silver Peak设备随附的状态防火墙。互联网突围是指分支机构的互联网流量没有回传到应用安全控制的中央站点时。

  相信会不断进步，正在寻找使自己的安全态势更加有效的方法。他正在研究一种称为服务链的技术，该技术能够从区域卫星位置接收流量，并将其汇聚到将应用防火墙策略的区域中心站点。Soler表示，他从长远来看，也有兴趣研究基于云计算的SD-WAN安全服务。

  从整体SD-WAN经验来看，可以从维护原有拓扑的六名全职网络工程师转变为出于监督目的的一名工程师。其日常维护基本上由服务台负责，这六名工程师现在专注于技术创新。

  这种方法管理了50个小型站点，并在全球范围内推出了SD-WAN。他说，“成本节省和性能提升如此之大，以至于我们尽可能取消多协议标签交换(MPLS)。”由于合规性原因，某些流量无法进入云平台，并且某些语音和视频应用程序将保留在多协议标签交换(MPLS)上，但SD-WAN已成为该公司的主要WAN传输模式。

  SD-WAN安全的混合方法

  从集中式的WAN安全模型(其中分支流量通过安全的多协议标签交换回传到数据中心)到分布式的模型(每个分支机构都实施安全性)的转变，也需要一种新型的组织方法。

  SD-WAN不再依靠网络和安全小组独立工作，而是推动合作伙伴关系，因为安全小组希望部署集成工具，并使用通用数据集。

  实际上，许多组织正在采用混合方法来实现SD-WAN安全性。如果他们拥有仍然可以使用多年的安全设备，那么他们就不会翻新和更换，并正在将该功能集成到SD-WAN实施中，目的是将深度防御结合在一起。

  其他组织则采用托管服务路线。由于许多纯粹的SD-WAN供应商正在通过托管服务提供商出售其产品，并且还提供传统运营商在其SD-WAN产品中使用的硬件，因此客户可以选择特定供应商的设备，并将实施、持续维护和安全功能移交给服务提供商。