Облака становятся одним из основных мест для размещения ИТ-ресурсов, приложений и сервисов, в результате чего меняется традиционная картина распределения потоков трафика. В этой связи различные организации обращают свое внимание на технологию SD-WAN, которая позволяет реализовать экономичное решение для подключения множества пользователей, устройств и площадок. Благодаря использованию недорогих каналов доступа в глобальную сеть Интернет и программируемой функциональности, правильно спроектированное решение SD-WAN упрощает настройку и повышает масштабирование сети, обеспечивая при этом требуемую производительность и предоставляя необходимые инструменты контроля соединений по значительно меньшей цене, чем традиционные подходы к передаче данных.

В этой связи вполне ожидаемо выглядят результаты недавнего исследования аналитической компании IHS Market, согласно которому три четверти опрошенных компаний провели в прошлом году собственные предварительные тестирования решений SD-WAN, а в этом году уже планируют реализовать пилотные проекты и затем ввести их в промышленную эксплуатацию. Готовность компаний к внедрению технологий SD-WAN подчеркивает не только все большую зависимость бизнеса от надежных соединений, но и потенциальную уязвимость из-за увеличения общего числа подключений.

ПРЕИМУЩЕСТВА SD-WAN

Одно из главных преимуществ SD-WAN — повышение общего уровня удовлетворенности пользователей качеством ИТ-сервисов за счет динамической маршрутизации приложений по наиболее эффективным соединениям WAN в каждый момент времени. SD-WAN также позволяет перенести фокус с маршрутизации пакетов на поддержку приложений, когда ресурсы WAN резервируются и выделяются под конкретные бизнес-задачи, что в конечном счете делает сеть более эффективной и гибкой.

Для получения всех преимуществ SD-WAN заказчики должны хорошо представлять себе ландшафт используемых приложений и то, насколько они критичны для бизнеса. Детальный анализ позволяет более эффективно выделять ресурсы и тем самым повысить производительность и снизить затраты.

Таким образом, решения SD-WAN позволяют более эффективно и экономично использовать все доступные ресурсы традиционных WAN-сетей в рамках территориально распределенных предприятий и оптимизировать бизнес-процессы. В то же время критической проблемой такой модели является отсутствие эффективной стратегии обеспечения информационной безопасности, которая бы охватывала всю сеть и адаптировалась к изменениям в ней. Именно поэтому эксперты в области SD-WAN и отраслевые аналитики полагают, что оптимальное решение для корпоративных сетей SD-WAN должно не только удовлетворять требованиям заказчиков к производительности и качеству WAN-сетей, но и соответствовать приоритетам в области безопасности (см. рис. 1).

Построение защищенной и адаптируемой сети SD-WAN
Рис. 1. Требования к функциональности SD-WAN

ВЛИЯНИЕ SD-WAN НА БЕЗОПАСНОСТЬ

С увеличением количества потенциальных векторов атаки возможности для взлома, кражи данных и компрометации информации расширяются с появлением каждого нового устройства, приложения и соединения, поскольку злоумышленникам становится проще найти слабое звено. В то же время повышение требований к производительности и распределенным сетевым ресурсам часто негативно сказывается на эффективности многих традиционных инструментов кибербезопасности, которые и без того с трудом справляются с нагрузкой вследствие увеличения скоростей и пропускной способности.

Другая проблема, с которой сталкиваются организации, — растущая сложность средств защиты. В результате проектно-ориентированного подхода к расширению сетей многие организации вместо целостных систем безопасности получили множество изолированных «точечных» продуктов. Получившаяся архитектура безопасности не только плохо управляема, но и неспособна обеспечить комплексную и интегрированную защиту.

Многие решения SD-WAN уже сейчас предоставляют эффективные инструменты для управления распределенной сетью, но в то же время у них отсутствует интегрированная стратегия обеспечения безопасности. Вместо этого они полагаются на внешние системы защиты, применение которых, к сожалению, слишком часто ухудшает видимость, усложняет администрирование и ограничивает производительность. Со временем проблемы только усугубляются, поскольку такие системы неспособны адекватно адаптироваться к постоянно происходящим изменениям в архитектуре WAN-подключений.

Таким образом, если безопасность является приоритетной целью наряду с эффективностью передачи данных, то при выборе решения SD-WAN необходимо обращать внимание на доступность инструментов безопасности (см. врезку «SD-WAN и безопасность в одном решении»).

ИНТЕГРИРОВАННАЯ БЕЗОПАСНОСТЬ

Решения SD-WAN часто не имеют интегрированных инструментов безопасности, а тех, что доступны, обычно недостаточно. В то же время опора на традиционные решения сетевой безопасности для защиты гибких и адаптируемых сетей представляется проблематичной.

Несмотря на то что рынок SD-WAN динамично развивается, он пока находится на ранних этапах своего становления. Это выражается, в частности, в присутствии на рынке множества игроков и отсутствии единого мнения относительно того, какая реализация лучше. Какой путь в итоге выберет рынок, пока судить еще слишком рано — его дальнейшее развитие зависит от целого ряда факторов. Среди них спрос на данные решения и наличие альтернатив, темпы рыночного проникновения, предпочтения заказчиков в отношении поставщиков и, конечно, интегрированная безопасность, которая не только защищает данные в процессе их передачи, но и бесшовно интегрируется в более широкий контекст сетевой безопасности.

В аналитической компании Gartner выделяют четыре основных варианта построения архитектуры безопасности для технологий SD-WAN (см. также рис. 2):

  • SD-WAN со встроенным межсетевым экраном;
  • межсетевой экран с интегрированными средствами SD-WAN;
  • SD-WAN и МСЭ следующего поколения от независимых поставщиков;
  • SD-WAN с облачными сервисами безопасности.
Построение защищенной и адаптируемой сети SD-WAN
Рис. 2. Четыре основные архитектуры безопасности SD-WAN

Предпочтения заказчика могут меняться в зависимости от его конкретных потребностей и ситуации. Однако, по нашему опыту, наблюдается растущий спрос на так называемые защищенные решения SD-WAN (Secure SD-WAN), которым лучше всего соответствует вариант 2 из приведенного перечня от компании Gartner. В этом сценарии надежная функциональность SD-WAN интегрируется в ключевой элемент современной сетевой архитектуры — межсетевой экран — с целью оптимизации работы сетевых приложений, проверки и защиты трафика при обмене критичными данными между удаленными площадками.

Почему это важно? В поддержку того, почему этот подход, возможно, представляет собой наилучший возможный вариант реализации SD-WAN, можно привести целый ряд фундаментальных соображения безопасности. И среди них тот простой факт, что эффективная и полнофункциональная безопасность все шире признается важным элементом сети SD-WAN. В этом контексте добавление функций SD-WAN к уже развернутому компоненту сети имеет смысл. Включение этого сервиса в решение класса NGFW, которое уже позволяет управлять удаленными соединениями VPN, а также способно динамически применять соответствующие уровни анализа и защиты трафика, имеет еще больше преимуществ, так как оно обеспечивает высокий уровень контроля за данными и приложениями, проходящими через среду SD-WAN.

Таким образом, решения SD-WAN нуждаются в полном наборе инструментов для защиты от угроз, в который входят межсетевой экран следующего поколения корпоративного класса, антивирус, система предотвращения вторжений и средства контроля приложений. Кроме того, он должен включать высокопроизводительные инструменты проверки шифрованного трафика SSL, фильтрации и контроля Web-трафика и организации защищенных соединений VPN по требованию для защиты трафика и обеспечения конфиденциальности данных, а также возможность интеграции с продвинутыми средствами (Advanced Threat Protection, ATP) предотвращения угроз нулевого дня. Наконец, эффективность защиты должна быть подтверждена и сертифицирована независимой третьей стороной, чтобы можно было быть уверенным, что предоставляемый уровень защиты отвечает требованиям сети.

SD-WAN и безопасность в одном решении

Защищенное решение SD-WAN от Fortinet — первое предложение на рынке, реализующее полностью интегрированную стратегию обеспечения безопасности и поддержки SD-WAN. Защищенное решение SD-WAN от Fortinet, в основе которого лежат МСЭ FortiGate и новая операционная система FortiOS 6.0, заменяет отдельные WAN-маршрутизаторы, WAN-оптимизаторы и устройства безопасности на одно решение. Данное решение учитывает контекст приложений, обеспечивает автоматический выбор маршрута и легко в развертывании и мониторинге. Оно также содержит базу данных о приложениях, которая в настоящее время насчитывает сигнатуры свыше 3000 приложений. Эта база данных постоянно пополняется за счет постоянной связи с FortiGuard Threat Intelligence.

Компания Fortinet — единственный вендор, решение которого получило статус «Рекомендовано» в двух независимых тестированиях NSS Labs — по направлениям NGFW и SD-WAN. Это решение предоставляет надежную защиту от угроз и обеспечивает высокую производительность SD-WAN за счет использования проприетарных модулей обработки Security Processing Unit для ускорения функций защиты и решений специфичных для сети задач.

Вместе с консолью управления FortiManager и другими компонентами Fortinet Security Fabric решение Fortinet SD-WAN также реализует отслеживание угроз в реальном времени, что упрощает оценку рисков, выявление потенциальных проблемных мест и их устранение. Автоматический мониторинг правил и политик безопасности облегчает аудит на соответствие законодательным и другим требованиям.

ФУНКЦИОНАЛЬНЫЕ ТРЕБОВАНИЯ К SD-WAN

Одна из трудностей, с которыми приходится сталкиваться при реализации SD-WAN, — необходимость в постоянной оптимизации. В условиях ограниченных ресурсов следует выбирать решение с простыми настройками, позволяющее задавать политику доступа к WAN с учетом таких факторов, как критичность приложений, требования к производительности и принятые правила безопасности. И конечно, оно должно быть максимально автоматизировано — в частности, автоматически адаптироваться к изменениям в конфигурации и качестве каналов доступа.

В первую очередь следует обращать внимание на наличие таких функций, как автоматический интеллектуальный выбор пути, при котором учитывается информация о маршруте (задержка, джиттер, процент потерянных пакетов и т.п.). Это позволяет выбрать наилучший маршрут для сервисов SaaS, голосовых приложений VoIP и другого высококритичного трафика. Если характеристики основного маршрута ухудшаются до значения ниже заданного порога, то решение SD-WAN должно осуществить автоматическое переключение на наилучший доступный канал без снижения производительности приложения. Определение порогов для SLA порой оказывается весьма трудоемкой задачей, соответственно, рекомендуется выбирать решения, которые позволяют легко конфигурировать уровни контроля качества соединений SLA.

Аналогично, любое эффективное решение SD-WAN должно быть независимо от транспорта и типов каналов доступа. Это предполагает не только поддержку множества протоколов и сред передачи данных (Ethernet, 3G/4G, VPN и т.п.), но и возможность использования нескольких соединений одновременно в режиме балансировки трафика между ними (см. рис. 3).

Построение защищенной и адаптируемой сети SD-WAN
Рис. 3. Динамический выбор маршрута и контроль его параметров

ЦЕНТРАЛИЗОВАННЫЕ ПРЕДОСТАВЛЕНИЕ, МОНИТОРИНГ И УПРАВЛЕНИЕ

Одно из отличительных преимуществ SD-WAN — возможность автоматического удаленного развертывания и управления. Однако отправка полностью сконфигурированных и подготовленных к развертыванию устройств в удаленный офис сопряжена с определенными рисками. И даже после того, как конечные устройства развернуты, для управления функциями оптимизации WAN-соединений и функциями защиты необходимы обычно две отдельные консоли управления. Такое разделение операций по администрированию и защите сети не только требует дополнительных усилий со стороны ИТ-персонала, но и затрудняет возможность связать такие традиционные вопросы, как производительность и функциональность сети, с результатами анализа безопасности и данных. Но в среде SD-WAN такие обычно разделенные функции должны быть доступны совместно.

И безопасность, и SD-WAN предполагают мониторинг и анализ множества сложных приложений, поэтому чрезвычайно важно наличие единой панели управления, обеспечивающей высокоуровневое представление результатов мониторинга наряду с возможностью детализации информации по отдельным объектам и событиям.

При оценке решений SD-WAN также необходимо принимать во внимание такие моменты, как возможность автоматического развертывания, облегчающая настройку и мониторинг физических и логических сетевых топологий, загруженности каналов и поведения сетевых устройств и приложений. У администратора должны быть необходимые инструменты, с помощью которых он мог бы без труда обновлять и распространять корпоративные правила сетевого взаимодействия и политик безопасности на все площадки. Наличие централизованных инструментов управления, конфигурирования и мониторинга как для WAN-сетей, так и для безопасности, которые встроены непосредственно в среду SD WAN, позволит повысить эффективность и результативность управления и при этом значительно сократить затраты на внедрение такого решения и управления им.

В заключение следует отметить, что решения SD-WAN уже доказали свою способность повысить производительность сети и улучшить условия работы пользователей в рамках распределенной сети при умеренных расходах. Развертывание решения, которое не включает полностью интегрированные средства безопасности, подвергает вашу сеть ненужному риску.

Александр Мальцев, системный инженер компании Fortinet