Статья

SDN для ЦОДов: как обеспечить безопасность

Безопасность
мобильная версия
, Текст: Павел Притула

Скорость, с какой технологии SDN (Software-defined Networks), или программно-определяемых сетей, получили признание на мировом ИТ-рынке, позволяет с уверенностью говорить об их скором массовом внедрении не только на Западе, но и в России. Среди компаний, ожидающих наибольшую выгоду от SDN – владельцы ЦОДов. Но использование новой концепции требует и нового подхода к безопасности. Рассмотрим его на примере решений Fortinet. 

Мировой рынок программно-определяемых сетей растет высокими темпами, хотя не все аналитики согласны между собой в прогнозных оценках его объемов. Так, к 2018 году SDN Central ожидает показателя $25 млрд, а Infonetics Research дает более чем вдвое скромную оценку в $11 млрд. Со своей стороны, IDC считает прогноз объемов оптом для программно-определяемых сетей и виртуализованных сервисов (NFV), ограничиваясь цифрой в $8 млрд. Тем не менее, и этот показатель говорит о колоссальном росте сегмента в среднем на 89,4% в год. 

Опасения и реальность

Сегодня редкий ИТ-специалист не слышал о преимуществах SDN по сравнению с традиционной реализацией сетей. Благодаря удалению интеллектуальной составляющей из сетевого оборудования и выводу ее в отдельную плоскость управления появилась возможность гибко управлять транспортной инфраструктурой. Архитектура позволяет также расширять возможности сетей исключительно программными средствами, без добавления сетевых устройств. В частности, многим компаниям будет интересно создать единое сетевое пространство, включающее собственный ЦОД и облачные ресурсы коммерческого дата-центра, с возможностью переноса между ними приложений с сохранением политик безопасности и адресации.

SDN-проекты в России пока многочисленными не назовешь: отечественный рынок выдержал традиционную паузу перед тем, как массово последовать за мировыми трендами. Одним из препятствий участники рынка называют отсутствие готовности заменить свою ИТ-инфраструктуру, что, по их мнению, приведет к значительным издержкам. На затраты бизнес идти не готов, поскольку что существующие сети у большинства исправно работают и не требуют радикального вмешательства. Однако вопреки опасениям заказчиков многие мировые вендоры разработали гибридные решения для «бесшовного» внедрения SDN-продуктов в существующие сети, позволяя избежать значительных расходов на замену оборудования.

У некоторых компаний не оправдались надежды на то, что вендоры станут выпускать сверхдешевое оборудование (за счет исключения стоимости интеллектуальной части из конечной цены) или что все желающие смогут построить сети в технологии SDN с соблюдением принципа импортозамещения. Треть опрошенных CNews вендоров считает, что их потенциальные клиенты ждут, когда SDN и NFV станут стандартом де-факто, и можно будет внедрять эти технологии по обкатанным методикам с меньшими рисками. 

Обеспечение безопасности

Тем не менее пауза заканчивается. На российском рынке появляется все больше решений, позволяющих успешно внедрить SDN. Новые решения для ЦОДов в области SDN (включая SDDC – Software-defined Data Center) появились и в области безопасности.  При обеспечении безопасности ЦОДов необходимо исходить из анализа возможных угроз, планирования сети и конечных целей. Если защите подлежит собственный дата-центр коммерческой организации, в первую очередь необходимо сосредоточиться на защите внутренних ресурсов и обеспечении защищенной среды для подключения к этим ресурсам извне. Если же защита внедряется в операторский ЦОД, то на базе одних и тех же систем безопасности можно строить как защиту самого дата-центра, так и ИБ-сервисы для его клиентов. Эта концепция активно развивается в последние пару лети, и накоплена масса примеров ее реализации.

Соответствующие системы предлагает компания Fortinet, хорошо известная в первую очередь благодаря высокопроизводительным решениям для комплексной безопасности. Практически с самого зарождения концепции SDN компания начала работать над ее защитой от киберугроз. Первые виртуальные устройства FortiGate-VM были созданы для защиты виртуализованных и консолидированных ЦОДов. 

По мере расширения возможностей программно-определяемых систем появляются новые системы, предназначенные для работы в связке с партнерскими решениями. Речь идет о SDN-контроллерах, базах оркестровки, гипервизорах, управлении облачными средами, управлении безопасностью и аналитике. Причем поддерживаются практически все существующие гипервизоры, что позволяет говорить об универсальности решений. Fortinet также инвестирует в технологии SDN, реализуя интеграцию с OpenFlow и OpenStack. 

Оригинальное решение, позволяющее защитить все серверы, а не только периметр и сегменты сети, было реализовано при интеграции FortiGate-VMX с платформой VMware NSX. В классических ЦОДах злоумышленник может выбрать в качестве цели один из «забытых» низкоприоритетных серверов. Если ему удается проникнуть за защиту периметра и перехватить управление сервером, он длительное время может относительно свободно чувствовать себя внутри периметра и собирать информацию. Благодаря же связке технологии VMware NSX и решения FortiGate-VMX такая возможность для него закрывается, причем без значительного возрастания нагрузки на вычислительные мощности. 

Также решения Fortigate обеспечивают дополнительную безопасность Cisco Application Centric Infrastructure (ACI) в условиях ориентированной на приложения инфраструктуры. Cisco ACI приобрело популярность в модели оказания облачных сервисов, делая их более гибкими. Традиционно вычислительные сети и сетевая безопасность жестко привязаны к оборудованию, что делает сложной настройку и повышает операционные расходы. Совместное решение Fortigate и Cisco позволяет автоматизировать обновления политик и повысить прозрачность безопасности. 

Недавно компания выпустила новую систему безопасности (Software-Defined Network Security Framework) для дата-центров. Платформа предоставляет возможности интеграции с решениями таких компаний, как HP, Ixia, PLUMgrid, Pluribus Networks, Extreme Networks и NTT. По утверждению разработчиков, система вносит инновации во все основные слои сетевой архитектуры. На уровне Data plane реализовано объединение сервисов безопасности из аппаратных модулей в логические сущности, предоставляющее дополнительные возможности по масштабируемости и тесной интеграции в коммутационную фабрику и сетевые потоки. На уровне Control plane – управление и автоматизация обработки политик безопасности с адаптивным распределением нагрузки для исключения задержек при обеспечении безопасности и соответствия требованиям в динамичных окружениях. Management plane – централизованное управление политиками безопасности и событиями физических и виртуальных приложений, частных и общедоступных «облаков» по всей инфраструктуре для обеспечения комплексной безопасности. 

Платформа в течение примерно полутора лет проходила тестирование в компаниях, в нее вносились доработки, дополнительные функции. Параллельно шла сертификация, и сегодня этот продукт сертифицирован практически по всем направлениям, которые предлагает VMware для интеграции решений в SDN. И, соответственно, он может применяться в реальных дата-центрах. В частности, интерес к SDN Security Framework проявил один из крупных российских операторов связи, проводящий его тестирование.