Статья

SD-WAN: интеллектуальная сеть и безопасность для облачных приложений

Безопасность
мобильная версия
, Текст: Павел Лебедев

Программно-определяемые (SD) сети WAN позволяют сократить время на конфигурацию и повысить эффективность за счет интеллектуальной балансировки. Как правило, такие решения являются комплексными и включают в себя встроенные инструменты обеспечения ИБ, таким образом, управление безопасностью и сетью происходит из «единого окна». В первую очередь, SD-WAN «заточен» под работу облачных приложений, специфику работы которых не учитывала старая модель сетевой инфраструктуры.

Технология SD-WAN представляет собой территориально распределенную сеть (Wide Area Network– WAN), конфигурация которой осуществляется на программном уровне (Software Defined – SD), что отличает данный подход от традиционных WAN, в которых конфигурация происходит на уровне аппаратных маршрутизаторов.

Программно-определяемые WAN представляют собой следующий этап эволюции технологий виртуализации. Реализация различных сервисов в качестве унифицированных виртуальных машин позволила значительно упростить процесс управления ИТ-инфраструктурой. В дальнейшем данный подход был распространен на сетевую составляющую ЦОД – программно-определяемая сеть позволяет использовать «легкое» оборудование, а настройки осуществляются администратором, ответственным за работу всей сети в целом. За счет этого, во-первых, в разы сокращается время, необходимое на настройку сети, так как более не требуется настраивать каждую «железку» на месте вручную - фактически, конфигурация происходит в режиме реального времени по политикам, определенным администратором. Во-вторых, имеет место сокращение затрат, вследствие того, что такая система может работать на недорогом типовом оборудовании. Кроме того, происходит экономия человеко-часов, так как администратор за минуты выполняет задачи по настройке, на которые ранее требовались часы высококвалифицированного труда.

Решения SD-WAN позволяют масштабировать опыт программно-определяемых центров обработки данных на внутрикорпоративные сети, которые объединяют сотни пользователей, территориально размещенных в различных офисах, находящихся в сотнях и даже тысячах километрах друг от друга.

Согласно определению Gartner, решения SD-WAN должны обладать следующими характеристиками:

1) Поддержка различных типов подключения, включая MPLS (multiprotocol label switching — «многопротокольная коммутация по меткам», наиболее распространенный механизм передачи данных в современных компьютерных сетях), мобильный стандарт передачи данных LTE и т.д.

2) «Динамический», в режиме реального времени, выбор маршрута передачи данных для балансировки нагрузки на сеть.

3) Простой интерфейс управления, который позволяет упростить процесс конфигурации (по сравнению с командной строкой)

4) Возможность поддержки VPN, а также других сервисов сторонних производителей (контроллеры оптимизации WAN, межсетевые экраны, интернет-шлюзы)

В чем недостатки нынешних сетей?

Телекоммуникационная инфраструктура территориально-распределенного офиса выглядит следующим образом: существует центральный офис и ряд региональный отделений, которые соединены с центром выделенными каналами связи (как правило, их два – основной и резервный). В случае если до регионального офиса не получается «дотянуть» выделенную линию (например, оптоволокно), в качестве «последней мили» может быть использована мобильная связь LTE. Поверх этих каналов связи предприятие выстраивает собственную телекоммуникационную инфраструктуру из маршрутизаторов, сетевых устройств и межсетевых экранов.

Традиционная инфраструктура обладает рядом недостатков, которые ведут к потере производительности и повышению совокупной стоимости владения:

  1. Сложность. Сетевые функции и решения ИБ, как правило, реализованы отдельно, что ведет к росту количества составных частей инфраструктуры. Дополнительной сложностью является управление традиционной инфраструктурой преимущественно с помощью интерфейса командной строки (CLI), что ведет к росту временных затрат на управление и повышает риск ошибок в связи с человеческим фактором.
  2. Использование для поддержания связи между отделениями и центральным офисом дорогостоящих MPLS подключений, на развертывание которых уходит много времени. Замена MPLS на общедоступные широкополосные сети или мобильный стандарт LTE приводит к существенному снижению совокупной стоимости владения.
  3. Перенаправление трафика через ЦОД, что приводит к потере времени и созданию «узких мест»
  4. Отсутствие интеллектуальной балансировки траффика в зависимости от потребностей приложений.

Чем SD-WAN лучше?

SD-WAN позволяет централизовать управление распределенной инфраструктурой. Работу сети обеспечивает размещаемый в головном ЦОД-e умный контроллер, на который установлено специализированное ПО, а также средства обеспечения ИБ. В отделениях и филиалах устанавливается простое программно-конфигурируемое телеком-оборудование, настройка которого осуществляется удаленно с помощью контроллера. Нет необходимости конфигурировать каждый маршрутизатор по отдельности из интерфейса командной строки, так как нужные настройки автоматически масштабируются на все узлы сети. Таким образом, достигается экономия трудозатрат, что позволяет высвободить рабочее время региональных ИТ-специалистов, так как для подключения каждого нового устройства достаточно выполнить минимальные действия (буквально, подключить его к сети и подать электропитание), дальнейшая настройка происходит автоматически.

Программно-определяемые WAN представляют собой следующий этап эволюции технологий виртуализации

Кроме того, умная программно-определяемая сеть позволить балансировать нагрузку каналов связи в режиме реального времени в зависимости от потребностей используемых приложений. Например, для работы с электронной почтой достаточно минимальной скорости подключения в то время, как для обеспечения видеоконференцсвязи необходим канал с высокой пропускной способностью и минимальной задержкой. Решения SD-WAN позволяют собирать сведения о различных приложениях, на основе которых определяются приоритеты и происходит интеллектуальная маршрутизация трафика с учетом совокупности доступных каналов связи, потребностей приложений и количества пользователей, работающих с каждым из приложений.

Среди прочего, SD-WAN отвечает потребностям пользователей облачных сервисов, и позволяет внедрять облачные приложения по модели SaaS без потери в производительности, так как доступ к сети осуществляется напрямую без необходимости «перегонять» трафик в ЦОД головного офиса. SD-WAN способен существенно повысить производительность информационных систем предприятий здравоохранения (SaaS-системы медицинских электронных карт, электронных рецептов, расчетно-финансовых операций), розничной торговли (интернет-магазины, маркетинговый анализ данных клиентов, обработка платежей, инвентаризация товаров), на промышленном производстве (управление поставками, управление производственными процессами).

Интеграция с инструментами обеспечения ИБ

Важным моментом при построении распределенной сети является обеспечение информационной безопасности. С этой точки зрения, представленные на рынке решения можно разделить на две большие категории. Во-первых, это специализированные SD-WAN-решения, которые, как правило, дополнены функциями обеспечения ИБ сетевого уровня (уровень L3 в сетевой модели OSI). Такой вариант подходит заказчикам с базовыми требованиями по обеспечению безопасности. Кроме того, возможен вариант использования SD-WAN решения совместно со средствами ИБ сторонних производителей: это может быть как установленный на стороне заказчика межсетевой экран, так и удаленный сервис Security-as-a-Service, доступный через веб-интерфейс.

Однако для более высокого уровня обеспечения ИБ целесообразным является использование комплексных решений, которые сочетают в себе возможности межсетевого экрана корпоративного уровня (Enterprise Firewall) и SD-WAN. В данном случае речь идет о защите на всех уровнях сетевой модели OSI: от сетевого до прикладного (L3-L7). Кроме того, конфигурация сети и управление безопасностью осуществляется из единой точки, что повышает эффективность работы администратора. Следует отметить, что разработчиками таких решений выступают в первую очередь производители средств обеспечения ИБ, что гарантирует проработку вопросов безопасности на должном уровне.

По ссылке вы можете ознакомиться с комплексным решением FortiGate SD-WAN, которое сочетает в себе интеллектуальное управлению сетью и функциональность защиты от угроз.