随着云计算的广泛应用，企业更倾向于在多个云服务提供商处存储应用程序和数据。但这也带来了管理多云环境的挑战，如网络性能、安全性和可靠性等问题。在此情况下，具备敏捷性、智能性和可扩展性的 SD-WAN（软件定义广域网），成为了多云环境下网络解决方案的新宠。

　　本期，ITPUB策划了“SD-WAN 在多云环境中的应用与挑战”线上沙龙，邀请到了速宝科技SD-WAN产品总监万石浩、思科大中华区SD-WAN产品经理葛今非、网宿科技SD-WAN产品经理柳聪灵三位专家坐镇直播间，共同探讨如何重塑多云网络架构，分享实际应用的成功案例，以及实施中的挑战与难题，并寻找有效应对策略。

　　《ZTNA零信任——构筑SD-WAN多维度信任体系》

　　速宝科技SD-WAN产品总监 万石浩

　　随着云计算、大数据、物联网等新兴技术的不断兴起，企业IT架构正在从“有边界”向“无边界”转变，传统的网络安全依赖于防火墙等物理边界防护，但新兴技术的应用使得网络边界变得模糊，传统安全边界逐渐瓦解。实施零信任安全原则是一个持续且不断增长的趋势。

　　据权威机构Gartner预测，到2026年，“10%的大型企业将拥有成熟且可衡量的零信任计划”，而2023年这一比例还不到1%。就部分零信任实施而言，普华永道的《2023年全球数字信任洞察报告》指出，36%的CISO已开始实施零信任组件，另有25%将在末来两年内开始实施。

　　MarketsandMarkets预计，全球零信任安全市场将从2023年的311亿美元增长到2028年的679亿美元。根据IBM Security发布的《2023年数据泄露成本报告》，2023年平均数据泄露成本达到445万美元的历史新高，比2022年增加2.3%。IBM Security的《2022年数据泄露成本报告》还表明，使用零信任的组织可以将数据泄露的成本降低20%。

　　万石浩认为，自疫情爆发之前，员工的远程办公占比约为17%。随着疫情的冲击和后续的影响，其远程办公的比例显著攀升至78%。这一显著的转变充分体现了疫情对全球工作模式带来的深刻变革，迫使并促进了我们向更加灵活、数字化的办公方式转型。

　　什么是ZTNA零信任？零信任网络访问（ZTNA）也称为软件定义边界（SDP），它是一组技术和功能，可根据明确定义的访问控制策略提供对组织应用程序、数据和服务的安全远程访问。ZTNA为远程用户提供与私有应用程序的无缝、安全连接，而无需将它们放在网络上或将应用程序暴露在互联网上。

　　零信任网络访问（ZTNA）基于“永不信任，始终验证”原则，通过用户身份认证、设备终端验证、动态访问控制、最小权限原则和持续监控确保远程访问安全，提供强大防御、灵活访问、降低风险和提升体验，适用于灵活办公、供应链管理和云服务访问。

　　简单来讲，ZTNA零信任实现的业务逻辑是“企业要求员工必须使用公司配发的电脑，安装并运行公司要求的安全软件，在通过认证后才能安全的访问公司应用。”

　　在当前复杂和多元的网络环境中，传统网络安全边界面临着外部威胁抵御的局限性、内部及资产安全的可信性不足、云计算和虚拟化带来的挑战、混合网络环境的复杂性，以及安全策略和管理手段的滞后等问题。

　　现如今，远程办公模式正日益成为主流趋势。数据显示，高达83%的员工表示，他们更喜欢混合模式，在这种模式下，他们至少有25%的时间可以远端工作。82%的公司接受远距离办公并允许员工一部份时间远程工作。预测到2025年，将有70%的员工每月有至少五天的时间进行远程办公。

　　企业正面临着前所未有的全新挑战，特别是在移动办公、企业总部与分支机构及云应用日益增多的背景下。这些变化不仅使得企业的网络结构变得异常复杂，还极大地扩展了潜在的安全攻击面。此外，随着网络复杂性的增加，传统安全策略在追踪和定位安全威胁方面显得力不从心，安全可视性的缺失让企业管理者难以迅速准确地掌握网络安全态势。

　　针对这一现状，Gartner和Forrester等研究机构纷纷提出了网络与安全超融合的理念。Gartner认为，安全访问服务边缘（SASE）是一种新兴的服务，它将广域网与网络安全（如：SWG、CASB、FWaaS、ZTNA）结合起来，从而满足数字化企业的动态安全访问需求。

　　万石浩提出了加速ZTNA安全模型的三个关键点：远程办公模式让任何地点都能工作，从而来保证用户访问不受位置限制，提升用户体验。我们不仅要关注单一云环境的安全防护，还要具备跨云、多云环境下的安全管理能力，确保数据在流动过程中始终受到保护。面对日益猖獗的勒索病毒攻击，我们需要从应用级别出发，对每一个应用、每一个角色、每一个用户实施精细化的权限控制，以最大限度减少攻击面。

　　Netskyper融合零信任能力，而非将零信任作为独立产品对外销售，可以带来集成化优势、降低用户选择难度、强调核心价值、服务灵活性、市场差异化竞争、避免零信任市场的复杂性以及持续创新等优势。这些优势有助于Netskyper在竞争激烈的市场中脱颖而出，吸引更多客户。

　　当用户与设备尝试访问系统时，首先通过SD-WAN控制器实现用户信息的同步。控制器负责将用户信息传递给所有需要访问的节点。用户必须获得SD-WAN控制器的授权后，方可发起访问请求。整个访问过程有验证设备、验证用户、设备安全态势检查、有限应用程序访问、数据加密五个关键步骤，以确保安全与效率。

　　目前，Netskyper具备多个零信任匹配项。

　　在用户身份认证方面，Netskyper支持4A（认证、授权、账号、审计）认证账号系统。同时，它提供多因子认证（如短信验证码、OTP），并支持LDAP/CAS/Radius和PKI证书认证体系。单点登录（SSO）和U-Key功能确保了用户身份认证的便捷性和安全性，这些功能均可根据客户需求灵活开启。

　　在设备终端验证方面，Netskyper支持多种平台的准入，包括Windows、MacOS、Android、iOS等，确保各类设备均能安全接入。它还通过MAC地址、设备SN（序列号）绑定、UUID绑定等多种方式，增强设备可信性验证。

　　在终端健康状态验证方面，对于网络违规外联检测，Netskyper能够监控本地网络是否有非法访问互联网的行为，保障网络环境的纯净性。它还提供终端环境与基线检查（MAC地址、杀毒软件、防火墙、补丁、进程等）和应用进程合法性检查（应用进程名称、类型、安全信息、数字签等）。

　　在最小权限访问方面，Netskyper基于RBAC分配策略，支持IP或APP过滤、业务代理访问和网络隔离（多VPN），确保不同部门或区域间的访问策略动态匹配且有效隔离。

　　《思科SD-WAN与多云互联网络》

　　思科大中华区SD-WAN产品经理 葛今非

　　当前，全球超过90%的企业正在将其应用程序迁移到云中，企业正在广泛采用云基础网络架构来构建其数字化基石，Zoom、Microsoft 365、Cisco Webex等SaaS（软件即服务）应用的普及，进一步推动了企业数字化转型的步伐。

　　随着企业网络边缘逐渐从传统MPLS网络向互联网架构转变，利用互联网连接上云已成为常态。然而，这一转变也带来了诸多安全挑战。同时，不同云服务商（如AWS、Microsoft Azure、Google Cloud等）的技术架构各异，为企业在多云环境下运营带来了巨大的技术挑战。

　　会上，葛今非重点介绍了“云互联网络”或“云无关网络”概念。这一概念的提出，旨在解决企业在拥抱云时代过程中面临的多重挑战。云互联网络使企业能够迅速实现多种收益，这是传统网络难以企及的。更重要的是，“云互联网络”强化了安全性，这是企业在数字化转型中不可忽视的一环。

　　思科作为全球领先的网络解决方案供应商，在产品迭代与研发上持续深耕，不断优化与改进，以适应市场需求的快速变化。通过其创新的SD-WAN解决方案，企业可以快速实现多云互联。思科SD-WAN不仅支持云应用加速和云监控，还全面采用AI和API驱动，确保网络性能与安全的双重优化。

　　更重要的是，思科SD-WAN管理平台提供了统一的管理界面，覆盖了网络策略、安全策略等关键管理领域。这意味着，企业无需分别处理不同云服务商的账号开通、功能配置等繁琐事务，一切均可通过思科SD-WAN管理平台轻松完成。从节点的部署、管理到维护、故障排除，极大地提升了企业的运营效率。

　　随着企业数字化转型的加速，越来越多的企业正积极拥抱云计算，并采用多云策略以实现更高的灵活性、成本效益和业务连续性。在这一趋势的推动下，部署SD-WAN成为了企业关注的重点。企业追求的不仅是降本增效，更在于通过数字化提速来增强竞争力。截止2024年，已经部署SD-WAN的企业占据60%。

　　在《IDC MarketScape: 中国软件定义广域网基础设施2023年厂商评估》中，思科位居“领导者”类别。这不仅是对思科技术实力的认可，也反映了思科在市场份额上的显著优势。思科SD-WAN解决方案为企业提供了一个清晰、可行的路径图，从现有的SD-WAN网络平滑过渡到未来的多云网络架构。

　　思科SD-WAN是唯一支持Microsoft 365 INR，和微软的所有应用前端服务器做了自动化的集成。微软365的前端服务器会自动同步更新所有应用的URL列表。每当这些服务发布新版本或更新时，相关信息会即时传递给思科的网络控制器。通过这种方式，思科不仅实现了对多云环境下微软365等关键应用的加速，还极大地提升了整体的用户体验。

　　在思科的多云网络架构中，有一个关键概念被称为“Middle-Mile”。这一概念旨在清晰地界定企业在向云端迁移过程中，网络连接的不同阶段及其重要性。

　　首先，我们定义“第一公里”为企业数据与应用迁移至云端的初始阶段。在这一阶段，企业的核心业务数据和关键应用程序被部署到云平台上，标志着企业开始正式拥抱云计算。

　　接着是“最后一公里”，它关注的是企业网络如何触达其最终用户，包括各分支机构、移动办公人员以及居家办公的员工。这些用户可能通过企业专线、办公场所网络、咖啡厅Wi-Fi或家庭Wi-Fi等多种方式接入企业网络。这一阶段的稳定性和性能直接影响用户的日常工作效率和体验。

　　而“Middle-Mile”（中间一公里）介于这两者之间，它是连接云端与企业最终用户网络的中枢环节。这一环节之所以重要，是因为它直接关系到企业数据在云端与最终用户之间传输的安全性、可靠性和效率。为了应对网络挑战，并持续优化应用体验，企业需要依赖于高效且灵活的网络解决方案，尤其是中间一公里的多云网络。

　　采用多云网络的核心优势，首要体现在成本效益上。传统上云方式往往需要铺设昂贵的专用线路，以确保云连接的稳定性和服务质量（QoS），而多云网络则提供了一种更为经济高效的解决方案。它不仅能迅速连接至多个云环境，其成本相较于专有链路更为低廉，显著降低了上云链路费用。

　　其次，从部署时间来看，传统跨境或跨域链路的建设周期冗长，可能需要数月时间才能完成带宽的开通与配置。而借助多云网络，企业能够迅速在全球范围内的任一网络节点实现上云，其交叉矩阵模式支持多云连接，而非简单的点对点链路，大大缩短了部署周期。

　　再者，统一管理的便捷性也是其显著优势之一。云网络环境复杂，技术门槛高，但思科SD-WAN方案将这些技术壁垒大幅简化并消除，使得网络管理变得更为直观和高效。此外，思科SD-WAN还提供了全面的云监控能力，无论是云网络就绪状态还是云上应用的性能，都能得到实时监控与评估，确保整个云生态系统的稳定运行。

　　《安全互联：SD-WAN解决方案与实践》

　　网宿科技SD-WAN产品经理 柳聪灵

　　随着企业数字化转型的不断推进，上云的需求不断增长，企业在多场景下都有着互联的需求，包括总分组网、多云互联、移动办公等。传统的互联网组网方案一般使用运营商专线或者点对点的VPN，存在着安全防护薄弱、应用体验难保障、业务上线周期长，以及网络运维难度大的挑战。

　　传统的广域网组网方案中，采用的是静态安全部署，无法有效的抵御动态威胁。并且分支和个人的安全建设较为薄弱，容易成为攻击的跳板。并且VPN方案也需要开放连接端口，增加业务暴露面的风险，容易被黑客攻击。

　　广域网组网所承载的是企业的内网业务及办公流量，对访问质量和线路稳定性也有较高的要求。当网络出现故障或者中断的时候，将影响关键业务，甚至造成企业的经济损失。

　　随着业务的不断扩张，企业上云的需求也是不断增加的，以及运维难度大，企业需要在所有的分支之间实现流量的优化和管理。传统方案配置管理复杂，给运维人员也带来了更大的挑战。那么要满足当前的网络需求，就需要转变广域网的思想，朝着更敏捷、更安全，以及更具成本效益的方向进行转变。

　　SD-WAN方案正是基于这个背景而诞生的，当前已经成为企业广域网建设的优先选择。根据Gartner的数据，今年只有不到10％的企业拥有Internet WAN连接，而20％的企业采用了SD-WAN。在未来的四到五年中，Gartner预计部署基于Internet的WAN的企业数量将增长到30％，而SD-WAN的企业数量将达到60％。

　　针对SD-WAN的定义，不同厂商都有不同的答案。Gartner明确定义了SD-WAN的基本特性，包含四点：支持混合链路接入（MPLS，Internet，LTE等）；支持动态链路调整，保障关键应用体验；企业WAN管理简单；支持VPN以及其他增值业务服务（如ZTNA，SASE等）。

　　那么，SD-WAN方案相对于传统专线方案有哪些优势？SD-WAN在专业性以及线路的稳定性方面都可以媲美专线。但是它的建设成本又比专线低30%以上，并且交付速度更快，基本上可以实现当天交付。在一些基础功能，比如配置、流控、告警等功能上面又比专线更丰富。

　　而传统的VPN方案除了价格便宜，基本上没有其他的优势。随着技术的不断更新迭代，也会慢慢的被淘汰。这也是为什么现代化的企业纷纷开始使用SD-WAN的原因。SD-WAN能够帮助企业去实现提速降本，提供更好的网络体验和更高的运营效率。

　　SD-WAN需要具备四大特性，来满足企业数字化转型的需求。首先，安全保障。SD-WAN整合云端安全服务，实现全面威胁防护、端到端加密，加固网络安全性。其次，应用访问加速。SD-WAN基于应用识别与智能路径选择，优先保障关键应用流量，确保优质体验。

　　再次，业务快速上线。顺应全球化趋势，新增分支机构也能快速部署，满足业务敏捷上线需求。最后，可视化运维。WAN全网分支能够统一接入管理，业务、链路、网络可视可控，降低运维复杂度。

　　基于此，柳聪灵建议到：安全保障，基于SD-WAN构建构建端到端安全防护，

　　提升企业安全水位。SD-WAN应当基于全球骨干节点构建高速网络，稳定加速，提升访问体验，降低专线成本。极速开通，多场景ZTP开局，适配不同场景分支网络部署。简易运维，可视化集中管理平台，告警实时监控，提升管理效率。

　　网宿科技SD-WAN方案可以为客户提供一个端到端的安全防护。从接入侧的CPE开始就具备信创金融能力，可以满足像政企金融行业的合规建设要求。工作节点也支持风险识别和入侵检测能力，通过多种过滤机制可以阻断威胁流量，支持平台级别的安全能力，支持DDOS防护保障平台自身的安全，整体可以实现安全加密。整个架构是支持国密算法，可以为客户提供端到端的安全防护，并实现企业研发数据、财务数据以及设计图纸等敏感资产的保护。

　　除了平台自身的安全能力和数据传输加密安全之外，成熟的SD-WAN方案也应当具备增值的安全服务能力，可以根据客户的不同需求来进行开通，包括实现反病毒、入侵防御、数据防泄漏，以及网站过滤的能力。

　　SD-WAN可以为企业提供更强的安全保障，通过分布式的云安全防护，解决传统网络存在的技能瓶颈，保护企业的内网。同时，基于高速节点实现用户的就近接入，降低最后一公里的时延，为用户带来更高效的访问体验。

　　通过灵活接入的方式，可以满足不同场景的需求，实现业务的快速上线。通过控制平台也能实现一站式的全网管理，简化管理人员的运维工作量。基于建设SD-WAN方案，可以为企业打造一个安全、快速、便捷的组网模型，实现强安全、快体验、减部署、易运维。

　　基于安全SD-WAN及零信任安全入手，整合安全、网络、边缘计算能力，融合AI技术，构建开放生态，网宿科技打造“3+X+AI”的SASE框架，帮助企业建设下一代安全办公一体化体系。