<div dir="auto">Hi Dusty,</div><div dir="auto"><br></div><div dir="auto">Full disclosure: I work for VMware (we have a SD-WAN offering) but I’ll keep it agnostic—</div><div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Mon, 31 May 2021 at 12:49 pm, dusty <<a href="mailto:dusty.au@gmail.com">dusty.au@gmail.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-style:solid;padding-left:1ex;border-left-color:rgb(204,204,204)"><div dir="ltr">Hi Folks,<div><br><div>After a number of years being more managerial than technical, I find myself staring at a proposal to swap a perfectly good MPLS network with some Meraki shenanigans.</div><div><br></div><div>This, frankly, gives me the heebie jeebies.</div><div><br></div><div>I've done a bunch of poking around but, alas, it is remarkably difficult to locate reliable analyses of the actual security (or lack thereof) of these solutions - plenty of glossy marketing and whizzbang, not a lot of facts.</div></div><div><br></div><div>Can anyone point me in the direction of some decent whitepapers, blogs, etc about the relative merits of these things?</div><div><br></div><div>Thanks!</div><div>--dusty (in Brisbane)</div></div></blockquote><div dir="auto"><br></div><div dir="auto">(tl;dr: talk to your friendly vendor SE.)</div><div dir="auto"><br></div><div dir="auto">What sort of collateral would you look for, to give warm fuzzies, if you were evaluating a traditional WAN routing platform?</div><div dir="auto"><br></div><div dir="auto">You should be able to find security whitepapers and other technical documents that describe management and data plane security, use of crypto/PKI etc.</div><div dir="auto"><br></div><div dir="auto">Vendors targeting enterprise customers should be putting their products through security evaluation frameworks such as Common Criteria — look for certification, in-flight or completed, against the Network Device collaborative Protection Profile (NDcPP) plus optional modules like VPN. Crypto libraries may be FIPS 140-2 [US centric] certified.  </div><div dir="auto"><br></div><div dir="auto">For vendors offering things as-a-service, certifications and statements of conformance against other regulatory frameworks should be applicable (SOC, FedRAMP [again US centric], IRAP etc. may exist).</div><div dir="auto"><br></div><div dir="auto">Cheers,</div><div dir="auto">Dale</div><div dir="auto"><br></div></div></div>