Как обеспечить безопасность программно определяемых сетей (SD-WAN)

Что такое программно определяемые сети (SD-WAN) и какие подходы к обеспечению информационной безопасности являются наиболее эффективными для этой архитектуры — рассказывают ведущие эксперты рынка, представители профильных разработчиков, отечественных и зарубежных вендоров.

 

 

 

 

 

1. Введение
2. Что такое SD-WAN
3. Сценарии использования SD-WAN
4. Безопасность программно определяемых сетей
5. Реализация проектов SD-WAN с учётом требований по информационной безопасности
6. Прогнозы и тренды развития рынка SD-WAN в России
7. Выводы

Введение

Программно определяемые сети — технология для российского рынка относительно новая. Несмотря на очевидную, казалось бы, эффективность новой архитектуры, SD-WAN вызывает множество вопросов как у представителей заказчиков, так и у независимых экспертов. Немалая часть сомнений специалистов лежит в области безопасности таких решений. Для того чтобы развеять (или наоборот, подтвердить) опасения участников рынка, мы пригласили в студию Anti-Malware.ru экспертов досконально разбирающихся в вопросе и задали им множество вопросов относительно SD-WAN.

Представляем вам ключевые тезисы оживлённой дискуссии, которая состоялась в рамках прямого эфира проекта AM Live — серии онлайн-конференций по актуальным вопросам информационной безопасности.

Гостями студии стали:

• Алексей Кудрявцев, руководитель направления разработки и эксплуатации облачной платформы кибербезопасности компании BI.ZONE.
• Алексей Мальцев, ведущий системный инженер компании Fortinet.
• Сергей Халяпин, руководитель системных инженеров в Восточной Европе и России, компания Citrix.
• Михаил Комаров, руководитель отдела подготовки сетевых решений компании Aruba.
• Михаил Шпак, CTO, департамент по работе со «Сбером» компании Huawei Enterprise.

Модератор дискуссии — Илья Шабанов, генеральный директор аналитического центра Anti-Malware.ru.

 

 

Что такое SD-WAN

По традиции онлайн-конференция началась с определения предметной базы. Илья Шабанов попросил участников беседы рассказать о том, что такое SD-WAN, как работают и кому интересны программно определяемые сети.

Алексей Кудрявцев:

— У истоков SD-WAN стояли несколько стартапов, которые переработали протокол управления оборудованием в корпоративных сетях, улучшили работу маршрутизации и добавили интеллектуальное управление трафиком. Позже эти стартапы были куплены более крупными вендорами, стремящимися предложить клиентам более эффективную работу и управление распределёнными сетями связи.

Михаил Комаров:

— Никакого стандарта, который бы определял SD-WAN, нет. По определению Gartner, SD-WAN — это решение, которое пришло на замену традиционным сетям, построенным на маршрутизаторах, и обладающее определенными свойствами. К таким характеристикам относятся маршрутизация приложений на основе политик, возможность создания цепочки сервисов, оптимизация трафика и межсетевое экранирование.

Сергей Халяпин:

— SD-WAN не привязаны к конкретному протоколу — эта сеть строится поверх существующих разнообразных каналов. «Виртуальная» система будет сама осуществлять маршрутизацию пакетов в зависимости от тех правил, которые указал администратор: типа приложения, состояния канала, дупликации пакетов и других параметров.

Алексей Мальцев:

— Контроллер SD-WAN может как находиться в облаке, так и быть частью инфраструктуры заказчика. Он выполняет функции подготовки и конфигурирования сети, настройки правил маршрутизации, отслеживания качества соединений. Кроме того, контроллер предоставляет администратору информацию о том, какие каналы имеют проблемы и какие приложения испытывают проблемы при доставке трафика в облако.

Михаил Шпак:

— Современный SD-WAN способен к интеграции с теми сетями, с которыми работает приложение, и способен работать с облаком, виртуализацией и другими средами. Одна из проблем, которая является драйвером для SD-WAN, — это общее выгорание кадрового рынка. Найти специалиста, способного эксплуатировать крупную распределённую сеть, очень трудно. Приложения становятся сложнее, и управлять их настройками без применения средств автоматизации практически невозможно. SD-WAN обеспечивает необходимый уровень «программабилити» — возможности изменения аппаратного и программного обеспечения, его способности принять новый набор инструкций, изменяющих его поведение.

Как отметили наши эксперты, одной из причин перехода на SD-WAN является экономическая эффективность программно определяемых сетей. При этом экономия достигается как за счёт перехода от MPLS (Multi-Protocol Label Switching) к выделенным интернет-каналам, так и за счёт использования оборудования с более широкими функциональными возможностями, которое заменяет собой несколько коммуникационных устройств.

Чтобы понять, насколько аудитория AM Live знакома с архитектурой SD-WAN, мы провели опрос зрителей прямого эфира. Как показали его результаты, 45 % респондентов знают только общие принципы работы программно определяемых сетей, а 24 % вообще не слышали о них до эфира. Пробуют «пилотировать» и внедрять SD-WAN 7 % наших зрителей. Ещё 24 % опрошенных уже используют такие сети.

 

Рисунок 1. Насколько вы знакомы с SD-WAN?

 

Сценарии использования SD-WAN

Следующий блок прямого эфира был посвящён примерам использования программно определяемых сетей. Эксперты отметили, что при помощи SD-WAN стало проще реализовать кейсы связанные с необходимостью гарантированного подключения множества территориально распределённых точек (розничные терминалы, банкоматы и т. д.). При этом, поскольку SD-WAN стал частью SASE (Secure Access Service Edge), размер сети и количество площадок уже не являются основными критериями для выбора этой архитектуры — её реализация возможна и на относительно небольшой инфраструктуре.

В общем случае есть всего два сценария применения SD-WAN:

• Обеспечение непрерывности бизнес-процессов (повышение надёжности системы).
• Цифровая трансформация (выход компании на новые рынки или сокращение издержек).

Комментируя связь SD-WAN с SASE, спикеры рассказали, что в мировой практике операторы используют эту архитектуру как для предоставления сетевых услуг, так и в качестве модели безопасности. Российские же провайдеры в первую очередь продвигают SD-WAN как часть SASE.

Продолжая тему, гости студии рассказали о нескольких моделях потребления SD-WAN. Для предприятий (заказчиков) существует три варианта — покупать облачную услугу, пользоваться услугой от оператора связи или разворачивать все необходимые системы в собственной инфраструктуре (on-premise). Обычно такие сети строятся на оборудовании одного вендора. Операторы используют более зрелый SD-WAN (иногда его называют SDN-WAN — Software-Defined Networking Wide Area Network), который допускает и даже предполагает мультивендорный подход. Среди прочего это даёт возможность снизить риски и повысить надёжность системы.

Безопасность программно определяемых сетей

В продолжение дискуссии спикеры затронули вопрос безопасности программно определяемой сетевой инфраструктуры. Зачастую сценарии подключения площадки средствами SD-WAN связаны с использованием интернет-подключения, которое по умолчанию не является безопасным. В связи с ростом трафика облачных приложений использовать для передачи информации ресурсы центра обработки данных неоптимально. В связи с этим интернет-канал так или иначе необходимо защищать — контролировать используемые приложения, инспектировать трафик и применять другие средства безопасности.

Эксперты онлайн-конференции подчеркнули, что в целом решения SD-WAN предоставляют более высокий уровень безопасности, нежели традиционные сетевые архитектуры. В устройства SD-WAN нередко встроены микросхемы обеспечивающие шифрование канала управления на аппаратном уровне, средства проверки подключаемых устройств и другие механизмы безопасности.

По мнению зрителей AM Live, программно определяемые сети не создают проблем безопасности, а зачастую и помогают её повысить. По результатам нашего опроса 55 % респондентов считают, что использование SD-WAN не скажется отрицательно на информационной безопасности, если заранее уделить ей внимание. Ещё 30 % наших зрителей полагают, что архитектура SD-WAN помогает улучшить безопасность сети. Лишь 2 % опрошенных придерживаются мнения, что SD-WAN создаёт серьёзные проблемы для безопасности сети, а 13 % склоняются к мысли «скорее создаёт, чем нет».

 

Рисунок 2. Создаёт ли SD-WAN проблемы для информационной безопасности?

 

Как отметили наши эксперты, с точки зрения обеспечения безопасности SD-WAN существует три модели:

• SD-WAN со встроенными средствами безопасности,
• SD-WAN с использованием цепочки сервисов и облачных средств безопасности,
• SD-WAN с корпоративным межсетевым экраном.

Каждый вариант имеет право на жизнь и обладает как достоинствами, так и недостатками. Выбирать конкретную реализацию надо с учётом требований и возможностей заказчика, а также поставленной им задачи. При этом три представленные модели не являются взаимоисключающими и могут работать совместно.

По просьбе ведущего эксперты привели несколько примеров усовершенствованных политик безопасности, которые могут быть реализованы при помощи SD-WAN. Среди них — функции анализа трафика между приложением в центре обработки данных и локальной сетью, средства защиты от сетевых атак, антивирусная защита, методы контроля приложений.

Спикеры отметили, что при помощи SD-WAN можно противодействовать не только целевым атакам, но и нецелевому использованию приложений — например, ограничить использование программы для определённых подразделений или заблокировать определённый тип трафика в рамках одного решения. Важной особенностью программно определяемых сетей является также возможность сегментации на уровне приложений.

Реализация проектов SD-WAN с учётом требований по информационной безопасности

Ещё одной важной вехой дискуссии стало обсуждение практики внедрения программно определяемых сетей с точки зрения ИБ-подразделения. Специалисты в студии сошлись во мнении, что чем раньше специалисты по безопасности будут вовлечены в проект, тем более успешным он будет. Желательно, чтобы ИБ-подразделение подключалось к внедрению не на этапе реализации, а в стадии проектирования. В идеале офицеры безопасности должны быть одними из заказчиков такого проекта.

Как подметили наши эксперты, предусмотреть — это всегда дешевле, чем переделывать. Но одно из преимуществ SD-WAN — возможность гибко изменяться вместе с компанией и требованиями по безопасности. Поэтому даже после внедрения архитектуры программно определяемых сетей можно адаптировать её в соответствии с возникающими потребностями.

Спикеры подчеркнули, что на российском рынке заказчики традиционно предпочитают размещать центр управления SD-WAN в собственной инфраструктуре. Возможно, ситуация изменится, когда в этом секторе рынка будут более активно работать сервисные провайдеры. В целом получение услуги программно определяемой сети из облака более перспективно — как с точки зрения безопасности, так и с позиций развития функциональных возможностей и качества сервиса.

По мнению зрителей онлайн-конференции, ключевым фактором, препятствующим внедрению SD-WAN, является недостаточная технологическая зрелость — такого мнения придерживаются 43 % участников проведённого нами опроса. Ещё 31 % респондентов назвал главным препятствием высокую стоимость, а 10 % пожаловались на безопасность программно определяемых сетей. Варианты «Сложность управления» и «Производительность» набрали по 8 % голосов.

 

Рисунок 3. Что является главным препятствием для внедрения SD-WAN в вашей организации?

 

Эксперты в студии отметили, что дороговизна решений SD-WAN относительна. Стоимость внедрения зависит от тех функций, которые необходимы заказчику, и задач, которые он планирует решать. Кроме того, программно определяемые сети обладают высоким коэффициентом возврата инвестиций, позволяя снизить расходы на управление инфраструктурой и её безопасность.

Прогнозы и тренды развития рынка SD-WAN в России

По мнению Алексея Мальцева, в будущем преимущества получат решения, которые будут предоставлять заказчикам дополнительные сервисы на удалённых точках. Это может быть возможность проводного подключения или доступа по Wi-Fi. Цифровая трансформация сделает востребованными такие системы, которые помимо связи с приложениями в облаке будут предлагать клиентам дополнительные возможности — то, что называется SD-Branch.

Алексей Кудрявцев обратил внимание на то, что программно определяемые сети имеют централизованный API, который позволяет разным сервисам одной ИТ-инфраструктуры эффективно взаимодействовать между собой. Это позволяет значительно ускорить детектирование инцидентов и реагирование на них. Кроме того, SD-WAN становится точкой входа для автоматической настройки большого количества сетевых устройств. По мнению эксперта, сегмент программно определяемых сетей на российском рынке будет только расти.

С точки зрения Сергея Халяпина, в будущем большее внимание будет уделяться интеграции SD-WAN с другими сервисами, которые позволят расширить перечень функциональных возможностей таких систем. Это могут быть решения класса SASE, аналитические системы и другие облачные сервисы.

Михаил Комаров высказал мнение, что экономические преимущества, предоставляемые SD-WAN, будут движущей силой соответствующего сегмента рынка — это подтверждают и прогнозы аналитиков. Эксперт согласился с коллегами, что сама технология будет развиваться в сторону добавления новых сервисов, а также отметил важность искусственного интеллекта для программно определяемых сетей. ИИ уже используется в таких системах, и в дальнейшем его значение будет только возрастать.

Как отметил Михаил Шпак, SD-WAN перестаёт быть отдельным решением и становится концепцией. В современных сетях уже применяется машинное обучение, например для построения графов знаний. В качестве одного из трендов рынка спикер назвал создание автономно определяемых сетей, которые будут самостоятельно формировать рекомендации по устранению возникающих инцидентов.

Финальный опрос зрителей онлайн-конференции AM Live был посвящён итогам прямого эфира. После просмотра дискуссии 31 % респондентов заинтересовался SD-WAN и выразил готовность начать тестирование новой технологии. Почти половина опрошенных (46 %) считают программно определяемые сети интересной, но пока избыточной для них темой. Уже используют эту сетевую архитектуру 11 % опрошенных. Считают, что участники не смогли доказать необходимость SD-WAN, 6 % зрителей, столько же вообще не поняли, о чём шла речь.

 

Рисунок 4. Каково ваше мнение относительно SD-WAN после эфира?

 

Выводы

К числу достоинств программно определяемых сетей относятся не только высокая гибкость и масштабируемость такой архитектуры, не только богатые возможности управления трафиком в условиях разнородной сетевой инфраструктуры и не только автоматическое конфигурирование большого числа клиентских и коммуникационных устройств. Ключевым драйвером развития SD-WAN является экономическая эффективность этих технологий, которая обеспечивает быстрый возврат инвестиций при одновременном расширении функциональных возможностей решения. Совокупность вышеперечисленных факторов будет влиять на сегмент программно определяемых сетей в ближайшие годы.

Проект AM Live продолжается. Чтобы вовремя смотреть свежие выпуски, посвящённые наиболее горячим темам отечественного рынка информационной безопасности, подпишитесь на YouTube-канал AM Live и не забудьте включить уведомления о новых материалах. До встречи в эфире!