Максим Каминский: SD-WAN — это такой же айфон, только для сети

Максим Каминский: SD-WAN — это такой же айфон, только для сети

Максим Каминский

Менеджер по развитию бизнеса SD-WAN/SASE, "Лаборатория Касперского"

Максим Каминский родился 18 апреля 1979 г. В 2001 г. окончил Московский государственный институт радиотехники, электроники и автоматики по специальности «Инженер-системотехник».

Во время обучения в институте работал инженером NOC в компании «Телеком-Центр», далее в ООО «Си Ти Ай» прошёл путь от инженера до технического директора. В 2015 году с группой коллег основал компанию Brain4Net, которая занималась разработкой решений на основе технологий SDN / NFV.

Максим пришёл в «Лабораторию Касперского» в 2021 году вместе с остальной командой Brain4Net и теперь занимается развитием продуктов SD-WAN и SASE.

...

Не секрет, что львиную долю своего высокооплачиваемого времени специалисты в области ИБ посвящают выполнению рутинных операций. Чем сложнее сеть, тем выше должна быть квалификация сетевого администратора, а значит, тем больше денег теряет организация на выполнении этих операций. Российские заказчики возлагают большие надежды на технологию SD-WAN, видя в ней решение этой насущной проблемы. О перспективах развития данной технологии нам рассказали эксперты «Лаборатории Касперского» Анна Комша и Максим Каминский.

На сегодняшний день SD-WAN — это, пожалуй, одна из самых сложных и всё ещё недооценённых технологий в сферах ИТ и ИБ. Что же такое программно определяемые распределённые сети и каковы преимущества этого подхода?

Максим Каминский: Так ли уж сложна эта тема, зависит от точки зрения. Если мы возьмём, предположим, айфон, то вообще мало кто понимает, как он работает, что происходит у него внутри, когда мы что-то делаем, как это происходит, на каких принципах это всё основано. Тем не менее считается, что айфон — это очень простое и удобное устройство.

SD-WAN — это такой же айфон, только для сети. C одной стороны, непонятно, как он работает, а с другой стороны, его назначение — сделать так, чтобы администратор пользовался им не задумываясь о том, как настроить сеть и как внутри неё всё будет взаимодействовать. Он формирует желаемое состояние сети; это, конечно, идеал, к которому мы стремимся.

При этом его суть — в простоте и облегчении ежедневной эксплуатации, в максимальной автоматизации рутинных операций. Речь идёт о таких операциях, как автоматическое реагирование на изменения, обеспечение непрерывности функционирования самой сети и тех сервисов, которые существуют вокруг неё. Это касается и прикладных сервисов, и сервисов безопасности.

Давайте рассмотрим это на примере территориально распределённой крупной компании. У неё есть филиалы, которые разбросаны по разным областям нашей большой страны. Сейчас они работают как отдельные сети, объединённые между собой каким-то образом: через публичные сети, VPN-каналы и так далее. Изменится ли принцип построения этой сети при переходе на SD-WAN?

М. К.: В состав такой сети действительно входит множество различных объектов, при этом все они подключаются к ней разными способами. Построение сети и её эксплуатация предполагают целый ряд различных действий, в том числе физическое посещение объекта, на котором установлено оборудование. SD-WAN предназначен для того, чтобы этим не заниматься.

Обязательное свойство, которое должно быть у SD-WAN, — это автоматическое конфигурирование устройств, чтобы можно было отправить устройство по почте и там подключить его к любому каналу. Устройство получит адреса автоматически или их можно будет быстро настроить через заранее сформированный URL.

Остальную конфигурацию — настройки сервисов, политику качества обслуживания — устройство получает автоматически из центральной консоли. Оттуда же происходят настройка, реагирование, автоматический откат на последнюю рабочую конфигурацию (если мы что-то сломаем, прежние настройки восстановятся).

С точки зрения бизнеса SD-WAN даёт простоту использования, а также позволяет сэкономить деньги, главным образом на администрировании сети. Что ещё можно назвать в качестве неоспоримых преимуществ использования SD-WAN?

М. К.: Прежде всего следует отметить возможность экономии за счёт снижения потребности в квалифицированном персонале. Если у тебя распределённая сеть, это значит, что нужно иметь либо подрядчиков по всей стране, либо свой собственный квалифицированный персонал также по всей стране. Это весьма дорого, поэтому отсутствие необходимости иметь квалифицированных людей на местах — уже значительная экономия.

Кроме того, появляется возможность быстро внедрять различные сервисы. Если говорить про наше решение, то это управление не только сетью, но ещё и сервисами. В качестве примера можно упомянуть построение сервисных цепочек — комбинаций транспортного сервиса и сетевых функций. Эти функции будут дальше совершать определённые действия с трафиком в соответствии с конкретными политиками для разных типов пользователей, трафика, локаций и так далее.

Обеспечение жизненного цикла для этих цепочек в автоматическом режиме — это примерно то же самое, что делают облака. Если мы посмотрим на инфраструктуру крупного провайдера, то мы увидим, что объём операций, выполняемых автоматизированным облаком, с точки зрения транзакционных издержек просто несравним с тем, как если бы это делалось людьми.

Возьмём для примера компанию Amazon, со всеми её виртуальными машинами и контейнерами, которые выстраиваются в определённые инфраструктуры, и всё это запускается и работает автоматически. Это делается с помощью ПО и стоит доступных и разумных для любого бизнеса денег.

Представим себе теперь, что всё это управлялось бы людьми. Например, для того чтобы изменить инфраструктуру, тебе нужно написать заявку, которую затем возьмёт в работу инженер. Ему придётся вручную всё перезапустить, перенастроить сеть и убедиться, что всё работает. Непонятно, как скоро всё это начнёт работать, сможет ли оно функционировать в таких масштабах, какое количество сотрудников потребуется. Это — утопия.

SD-WAN — это тот подход, который обеспечивает повышение эффективности и уменьшение транзакционных издержек для любых операций.

Допустим, мы отключили хост виртуализации или просто вывели его из сервиса. При этом всё, что было на нём запущено, перезапускается на других хостах; перенастраивается всё, что нужно для того, чтобы эти контейнеры и виртуальные машины работали как прежде, и всё это делается автоматически, без какого-либо участия людей. Именно так и работает оркестрация сервисов.

Мы рассмотрели пример с крупной территориально распределённой компанией, у которой много филиалов. Какие ещё в вашей практике есть яркие сценарии применения этой технологии? Возможно ли её применение в ЦОДах?

Анна Комша: Позвольте, я расскажу вначале о самом принципе использования технологии SD-WAN, а потом мы вернёмся к теме ЦОДов, потому что SD-WAN — это частный случай SDN, от которой и пошло развитие ЦОДов.

Приведу очень смешной и понятный пример. Один из крупных банков начал тестировать SD-WAN. Они это делали для того, чтобы установить связь между своими отделениями. Там сидят неподготовленные к администрированию ИТ сотрудники, и очень часто возникает такая ситуация, когда нужно очень быстро что-то подключить, но персонала на месте нет. И неожиданно получился своеобразный побочный эффект: вдруг перестали прерываться звонки в колл-центре. Это произошло потому, что они поставили на корпоративную сеть новые «коробки», которые в динамике следят за состоянием канала связи.

Таким образом выяснилось: до «пилота» банк в принципе ничего не знал о том, что причина прерывания звонков находится в корпоративных каналах связи между филиалами. И только когда они начали в динамике отслеживать задержки и потери и стали перенаправлять голос в более качественный канал, бизнес сразу увидел, что в колл-центре прерывается гораздо меньше звонков. Это произошло благодаря тому, что SD-WAN следит за качеством каждого канала и может выбрать наиболее качественный в данный момент.

Можно привести ещё один интересный пример. SD-WAN начал приобретать высокую популярность в ретейле. В этом секторе очень часто возникают ситуации, когда нужно очень быстро заменить «железо», а у тебя в магазине кассир боится подключаться к дорогому и сложному оборудованию. С технологией SD-WAN ему этого делать не нужно.

Есть и обратные примеры: у людей стояли «коробки», которые нужно настраивать руками. Как всегда, всё случилось в пятницу перед майскими праздниками. В гипермаркете, пока администратор нёс и подключал «коробку» со склада, они потеряли огромное количество денег: ни одна касса не работала, они не принимали карточки.

Расскажу другой интересный случай. У нас была сеть заправок, которые тестировали SD-WAN. Получилось так, что они принимали платежи карточками только через локальный LTE. Произошёл сбой у операторов связи, мобильный интернет не работал; SD-WAN очень быстро перенаправил процессинговый трафик в центральный офис, и карточки сразу же стали приниматься.

Это произошло за счёт того, что мы теперь не настраиваем каждую «коробку» в отдельности. Вместо этого система автоматически везде применяет конфигурацию, следит за качеством сети и может перенастроить маршрутизацию.

В нашем эфире мы тоже говорили о том, что SD-WAN умеет динамически управлять каналами, по которым идёт трафик. Может, например, направить голос по одному каналу, трафик корпоративной почты — по другому.

А. К.: Действительно, у нас каждый маршрутизатор SD-WAN внутри имеет автоматическую возможность распознавания трафика, то есть DPI, по приложениям. Можно настроить политики обслуживания практически для любого приложения и понять, какую мы ожидаем задержку в канале, какой процент потерь для нас приемлем, каков джиттер (нежелательное отклонение сигнала — ред.). Это удобно для голоса, а также для критических бизнес-приложений.

Ещё можно настроить политики качества обслуживания. Например, есть два канала, один из них «упал». Как определить объём трафика, который можно пропустить в один оставшийся канал? Система «увидит», что есть критически важные приложения, а значит, они имеют высший приоритет; менее значимый трафик обрабатывается во вторую очередь, если останется место.

М. К.: Я хотел бы тут ещё заметить, что эта функция не является уникальной для SD-WAN: современные роутеры от крупных производителей, несомненно, имеют такую функциональность. Большая разница при этом заключается в настройке. Чтобы настроить такие сложные политики на традиционных роутерах, нужен высококвалифицированный инженер и нужна аккуратность, чтобы политики были одинаковыми на всех устройствах. А с помощью SD-WAN их можно настроить гораздо проще. Достаточно сказать, какую политику и для каких устройств нужно применить, а то, каким образом это будет доставлено, нас уже не интересует: устройство просто начинает работать.

Мы озвучили очень важную для рынка ИБ аббревиатуру — DPI. Глубокий анализ пакетов открывает огромное окно возможностей по применению различных политик сетевой безопасности. Это подводит нас к другой очень интересной теме, а именно — к применению SD-WAN для информационной безопасности. Какие защитные функции интегрируются в саму платформу SD-WAN или могут быстро развернуться поверх неё?

А. К.: В связи с этим давайте вспомним, как вендоры безопасности продают свои продукты. Они приходят к клиенту и начинают его пугать хакерами, которые взломают систему и украдут все деньги. Я сейчас напугаю совсем по-другому. Представьте: вы пришли на работу, а интернета нет. Очень много всего куплено для безопасности, и всё это анализирует трафик, но перед тем, как трафик защищать, его надо передать. Это пункт номер один, и наша задача — всегда следить за тем, чтобы была связанность для бизнеса.

Достаточно почитать сейчас в интернете о том, что происходит в последнее время с заграничными маршрутизаторами, особенно с зарубежными, когда конфигурации неожиданно пропадают во время смены настроек. И это действительно важно. Это намного важнее, чем стабильная работа каких-то прикладных систем, потому что если у тебя нет интернета, твоя компания не работает.

Пункт номер два — это консистентные политики безопасности. На самом деле, если посмотреть вглубь того, что происходит с трафиком, то рано или поздно трафик натыкается на некий фильтр, где мы его либо пропускаем, либо не пропускаем. Эти фильтры могут быть разными; они могут иметь функциональность различной логики, но в самом обобщённом виде это всё тот же самый список доступа (access list).

У нас когда-то давно было наказание для инженеров: разобрать все списки доступа, потому что очень часто многое «завязано» именно на эту фильтрацию трафика: кто-то вводит какое-то правило, оно затем применяется в настройках, и через несколько лет никто уже не помнит, откуда оно взялось, зачем его писали и что конкретно мы фильтруем. И это копится годами; иногда бывает так, что списки доступа — это «простыни» на несколько сотен строк, и никто не знает, что происходит с трафиком в итоге.

В распределённых сетях, когда у тебя «простыня» на каждом маршрутизаторе, это приводит к абсолютно неконсистентным политикам обработки трафика. С SD-WAN этого нет по определению; там политика безопасности консистентна по всей сети. Если в настройках прописано, что трафик Facebook пропускать нельзя, то эта настройка сразу применяется для всех маршрутизаторов. Это очень удобно.

Фильтровать можно и на уровне приложений, и на уровне IP-адресов, и на уровне VLAN. Это в некотором роде мечта — иметь для всех уровней филиалов одну и ту же политику безопасности, а политика безопасности следует за твоими сотрудниками по ходу их перемещения между разными филиалами. Благодаря этому не нужно следить за тем, где они и к какому маршрутизатору подключены. Если говорить об удалённой работе, можно в удалённую квартиру поставить небольшое CPE-устройство (Customer Premises Equipment, оборудование в помещении заказчика — ред.), которое будет раздавать Wi-Fi, там тоже применить политику безопасности и таким образом следить за безопасностью сотрудника.

М. К.: Необходимо также сказать об интеграции сервисов безопасности. Я уже упоминал о том, что в нашем решении, Kaspersky SD-WAN, есть не только транспортная часть, но и оркестрация, которая позволяет выстраивать сервисные цепочки. Оркестратор управляет не только настройками передачи данных и параметрами устройств, но также и средой виртуализации. Это могут быть серверы в дата-центре или в офисе компании либо сами CPE.

Если устройство достаточно мощно, чтобы выдержать виртуализированную нагрузку, то оркестратор может собрать цепочку из виртуальных машин или контейнеров, выстроенных в определённой последовательности, между которыми есть определённый сетевой сервис. Этот сервис пропускает трафик в соответствии с политикой и обеспечивает непрерывность работы всей цепочки.

На практике это означает, что мы используем виртуальные машины, в которых можно запустить любой произвольный софт — главное, чтобы он запустился внутри гипервизора. Таким образом мы можем загрузить и абсолютно любое средство обработки трафика, вне зависимости от того, относится ли оно к прикладному приложению или к инструменту информационной безопасности.

В последнем случае функциональность включает в себя инспекцию трафика и применение к нему политик. Это могут быть решения DPI, IDS или другие системы хранения или анализа, которые изучают этот трафик. За счёт того, что у оркестратора есть API, можно обеспечить обратную связь.

Система детектирования может обнаружить угрозу, сформировать отклик и через оркестратор изменить политики, перенастроить сетевую связность таким образом, чтобы, например, определённый трафик прекратил работать. Другой вариант — активировать TAP-функцию, отфильтровать часть трафика и скопировать его в систему записи либо систему аналитики.

Анна Комша, руководитель направления развития сетевой безопасности, Лаборатория Касперского

Анна Комша

Руководитель направления развития сетевой безопасности, «Лаборатория Касперского»

Анна присоединилась к команде «Лаборатории Касперского» в 2022 году. В новой роли она отвечает за развитие продуктов сетевой безопасности. Ранее занималась развитием продуктов для корпоративных сетей в компании Cisco.

Анна обладает многолетним опытом в сетевых технологиях: от разработки продуктов до успешной эксплуатации инновационных решений в крупнейших компаниях России.

Имеет два высших образования: «Прикладная математика и кибернетика» и «Информатика» в Томском государственном университете.

Можно ли за счёт встроенных политик установить в вашем продукте запрет на использование TOR или Telegram, скажем, на всех российских заправках, если мы считаем, что пользователи могут отправлять по этим программам что-то нехорошее?

М. К.: Конечно, можно. Но хочу ещё раз отметить, что помимо вещей, которые связаны с назначением фильтров на CPE-устройствах, которые стоят в филиалах, мы можем запустить полноценный межсетевой экран нового поколения (Next Generation Firewall), который будет обеспечивать инспекцию трафика и управлять политиками выхода в интернет. Мы также можем запустить систему IPS / IDS, которая будет анализировать трафик на предмет различных угроз, выявлять их и сообщать NGFW о том, что нужно отреагировать на определённую угрозу.

Реагировать можно как на уровне централизованных файрволов, так и на уровне сетевого трафика. Можно запустить индивидуальные файрволы на отдельных CPE, и тогда мы сможем фильтровать и контролировать то, что происходит в локальных сетях. Таким образом, возможно реализовать практически любую сеть с любыми сервисными функциями. Главное, чтобы у нас для этого было достаточно ресурсов.

Можно ли в таком случае сказать, что внедрение SD-WAN позволяет сэкономить на стоимости владения сетевыми СЗИ? Ведь NGFW могут быть так же централизованно настроены во всех филиалах?

А. К.: Компетентность и профессионализм — это честность по отношению к клиенту, поэтому говорить про экономию при покупке всегда трудно. В основном — нет. И сейчас клиенты могут купить как физические, так и виртуальные файрволы, это их выбор. При внедрении SD-WAN им в любом случае придётся купить SD-WAN CPE, заплатить за них, а это — замена оборудования.

Основная экономия происходит за счёт стоимости владения и обслуживания. Здесь есть очень интересный парадокс: с одной стороны, понятно, что централизованная программа управления всеми устройствами, которые есть в сети, — это отнюдь не революционная идея. Люди всегда хотели упростить управление всеми «коробками».

Изначально у нас была консоль. Консоль — ужасный интерфейс для общения «машина — машина», потому что она интерактивна и очень сложно понимать, что тебе консоль сообщает. В результате стали думать, каким образом можно упростить управление трафиком и оборудованием. Были разные подходы: протокол SNMP, который в шутку расшифровывается как «security is not my problem» («безопасность — не моя проблема» — ред.), и слава Богу, что никто из производителей не внедрил полнофункциональное управление «коробками» через SNMP.

Следующий виток эволюции — это Ansible и Nornir, и сколько бы к нему ни было вопросов, сейчас для тех, кто работает с большим количеством оборудования, Ansible является единственным вариантом управления.

Ещё никогда не было так просто «положить» продуктивную сеть одной кнопкой «Enter», как после внедрения Ansible.

Все истории о больших программных сбоях в сети с упоминанием о какой-нибудь запрещённой организации — всё это пошло от сетевой автоматизации. Эволюционно мы пришли к идее о том, чтобы софт управлял всеми «коробками»; сам он должен быть изначально доступен «из коробки», и само устройство должно быть разработано с учётом того, что оно будет управляться ПО. Иначе не будет обратной связи и интерактивности. Из-за этого всё так сложно с традиционной сетью и так просто с сетью SD-WAN.

Основной парадокс современного унаследованного (legacy) оборудования состоит в том, что чем сложнее у нас сеть, тем больше мы тратим денег на её обслуживание. Наш инженер более высококвалифицирован и больше времени тратит на рутину.

На самом деле, около 80 % своего времени инженеры тратят на рутину, она обходится очень дорого.

Казалось бы, её можно легко автоматизировать, но по вышеописанным причинам с унаследованным оборудованием это не работает. Проводился эксперимент, который показал, что две трети проблем в сетях возникают вследствие человеческих ошибок. Если теперь мы сложим эти три составляющие и попытаемся перевести их в деньги, мы получим реальную сумму экономии на владении.

Хороший аргумент. Следующий вопрос: часто SD-WAN связывают с модной сейчас на рынке концепцией SASE. Какую роль в ней играет SD-WAN?

А. К.: Можно сказать, основополагающую. SASE — это набор продуктов для сетевой безопасности; в узком смысле это — файрвол и безопасный шлюз (Secure Web Gateway), в широком смысле к этому добавляется ещё облачный брокер и доступ к публичным облакам. Но в действительности всё это — разрозненные решения, между которыми нужно передавать трафик. Передачу как раз и обеспечивает SD-WAN, но кроме передачи эти продукты ещё нужно в определённой последовательности подключить к нашему трафику. И эту сервисную цепочку, как уже говорилось сегодня, также выстраивает SD-WAN.

Эта технология позволяет распознать приложения, определить, из какой они подсети, и затем принять решение о том, как этот трафик должен быть обработан. Например, сначала он направляется на файрвол, потом мы видим, что он идёт в публичное облако, и передаём его в облачный брокер.

М. К.: Я хотел бы напомнить сейчас о том, как появился SASE и зачем вообще он нужен. Традиционные ИТ-системы, телеком-сервисы, а также сервисы ИБ опирались на изолированные периметры, в которых находятся данные и информационные системы. Предполагается, что у нас есть периметр с чётко обозначенными входами и выходами, а также средства контроля, и теперь мы можем отслеживать, кто входит и выходит. При этом периметр надёжно заблокирован, и мы считаем, что если что-то пропустили внутрь, значит, оно не представляет опасности.

Это будет работать, пока у нас не появятся облака и всё больше данных и приложений не начнут в них мигрировать. И ладно, если бы это были наши корпоративные облака. Бизнес всё больше хочет использовать публичные облака, такие как AWS или Azure. Потом началась эпидемия, и все пользователи перешли на удалённую работу. Потом стали возникать проблемы с VPN, потому что бизнес быстро перемещается: мы открываем и закрываем магазины, и нам хочется быстро открывать тоннели; мы не хотим покупать VPN от провайдеров, а хотим сделать оверлейную сеть через интернет, чтобы было дешевле. В итоге теперь непонятно, где нужно проводить периметр, потому что всё расползается, как тесто из рук.

Поэтому концепция SASE — это такой сервис, который можно сравнить с линией, проведённой в воздухе.

С одной стороны этой линии находятся пользователи, а с другой — данные. Пользователям нельзя сразу получить доступ к данным; они могут подключиться только к сервису SASE, который будет обращаться к данным. И где-то внутри сервиса SASE происходит та самая «магия» безопасности.

Мы должны прежде всего идентифицировать пользователя, убедиться, что он безопасен и что ему можно обращаться к этим данным, и после этого обеспечить ему работу с этими данными так, чтобы теперь уже их передача была безопасной. Из этого и получается SASE.

Этот сервис очень похож на облако; его нужно в стиле облака и оркестрировать. Здесь SD-WAN выступает в роли той части, которая обеспечивает транспорт. Таким образом все могут подключиться друг к другу. Кроме того, SASE отвечает ещё и за оркестрацию, то есть следит за тем, чтобы все сервисы безопасности работали согласованно. При этом неважно, где всё это запускается физически. Поэтому SD-WAN является транспортной инфраструктурной частью сервиса SASE, который обеспечивает приложение этой политики к пользователям и к данным.

Не так давно «Лаборатория Касперского» купила компанию Brain4Net. Какую ценность привносит SD-WAN в продуктовое портфолио вашей компании? Зачем понадобилось приобретать эту технологию?

М. К.: Именно ради того, чтобы «склеить» мир сетевых услуг и сервисов с миром безопасности. У компании Brain4Net была сервисная платформа, где сам продукт SD-WAN был её частью. Эта сервисная платформа обеспечивала управление трафиком и сервисами. Таким образом обеспечивалось чёткое соблюдение того, какой тип трафика через какие сервисы должен пройти. Можно было прописать эту политику, и платформа автоматизированно разворачивала все необходимые сервисы и обеспечивала подачу трафика к этим сервисам (прикладным или сервисам безопасности), а в случае каких-либо изменений инфраструктуры — и бесперебойный жизненный цикл.

Например, если у нас упал какой-то хост, мы обеспечим запуск экземпляров сервисов на других хостах, перенаправим трафик, а наш сервис продолжит работать. Эта сетевая платформа является той самой ключевой технологией, которая нам интересна, и она станет основой сервиса SASE, который будет развиваться именно за счёт интеграции сетевой оркестрации, SD-WAN и продуктов по безопасности. Таким образом будет сформирован полноценный «зонтик», который позволит нам расширить компетенции в том числе и на сетевой домен.

Можно ли ожидать, что эти сервисы появятся уже совсем скоро?

А. К.: Осталось подождать совсем чуть-чуть; это запланировано в следующем году, так что SD-WAN уже можно внедрять, разворачивать и планировать.

Выше мы уже говорили о сценариях внедрения этой технологии. Может быть, сейчас мы коротко обозначим, для заказчиков с каким уровнем зрелости ИТ и ИБ предназначены само решение и сама платформа, которые теперь называются Kaspersky SD-WAN?

А. К.: У них просто должно быть много филиалов, при этом «много» — понятие условное. У нас были «пилоты», где люди планировали внедрение в 10 филиалах и уже видели для себя экономическую выгоду. Кроме того, для многих компаний ещё очень важна скорость изменений. Может быть так, что компании активно развиваются и открывают много филиалов, либо эти филиалы меняются в динамике. Например, пункты выдачи заказов очень быстро и в большом количестве открываются по франшизе, а потом резко начинают закрываться.

Такую эластичность SD-WAN, в отличие от традиционных методов настройки, обеспечивает с лёгкостью. Основное отличие состоит в распределённой инфраструктуре. Что же касается уровня зрелости ИТ и ИБ, здесь нельзя ответить однозначно. Чем более развита ИТ-служба, тем более гранулярные возможности SD-WAN она использует. Менее зрелая ИТ-служба использует простое подключение.

Когда мы разрабатывали лицензирование для Kaspersky SD-WAN, мы постарались сделать порог входа очень низким. Лицензирование будет происходить по количеству маршрутизаторов.

Наверное, стоит упомянуть здесь и о том, что придётся заменить всё сетевое оборудование, а это весьма дорого.

А. К.: Это тоже эволюционный процесс, ведь не существует маршрутизатора, который работал бы вечно. Они меняются со временем, и можно начинать внедрение SD-WAN постепенно, сделав так, чтобы часть SD-WAN была абсолютно совместима с традиционной частью. Тогда не будет никаких перерывов в сервисе и всё продолжит свою работу.

У «Лаборатории Касперского» пока нет своего оборудования. Рекомендуете ли вы приобрести что-то конкретное?

А. К.: У нас есть рекомендации по составляющим этой платформы — например, какие ЦП мы рекомендуем использовать, память, интерфейсы и так далее. Будет лукавством, если мы скажем, что можно работать где угодно. Всегда есть какие-то ограничения, но они есть у любого ПО.

Уместно сказать, что работать можно на всех платформах общего назначения. Мы начинаем с 12 апреля, у нас уже есть контрактное производство с одним из российских производителей, с которым мы будем предлагать законченное решение. Таким образом, у нас уже можно получить SD-WAN «под ключ», предустановленный на аппаратной платформе.

А как обстоят с дела с заменой импортных решений? Популяризаторами технологии SD-WAN были всё же американские компании. Сейчас они ушли с рынка, при этом информационная база у них была большой. Часть этого оборудования сейчас уже, возможно, «окирпичилась». Что-то, возможно, ещё работает. Что теперь со всем этим делать? Можно ли бесшовно перейти на вашу платформу?

А. К.: Смотря что подразумевать под «бесшовно». Переустановить наше ПО на устройства Cisco? Нужно понимать, что чуда здесь не будет. Американское оборудование, как правило, имеет закрытую прошивку, и туда в принципе проблематично установить стороннее ПО.

Кроме того, есть ещё вопрос этичного отношения к клиенту. Даже если можно установить какую-то сборку, как осуществлять поддержку? У нас нет прав доступа для контроля от производителя. Это чревато рисками для клиента. Возможно нечто промежуточное, если вдруг зарубежное оборудование тоже предназначено для платформы общего назначения, но использовать такое постоянно я бы не рекомендовала.

Тогда как бы вы сами оценили платформу Kaspersky SD-WAN в сравнении с её зарубежными аналогами?

А. К.: Мы — международная компания. Запускать SD-WAN и SASE мы планируем не только в России, но и там, где по-прежнему работают те самые американские компании. У нас очень амбициозные планы. Мы считаем, что определённую долю рынка мы там займём. У нас есть и технологические преимущества, и функциональные. Например, мы умеем пробрасывать L2-трафик через L3 — то, что сложно сейчас даётся Cisco. Построение сервисных цепочек и управление виртуализацией — этого также нет ни у Cisco, ни у Citrix.

А что ещё можно отметить как конкурентное преимущество?

М. К.: Кроме вышесказанного ещё можно отметить сегментацию L2 / L3 с инжинирингом трафика внутри. Мы можем выделять трафик разнообразными способами внутри тех же самых каналов. Также можно выбрать разные каналы в зависимости от типа трафика и текущих параметров качества связи. При этом возможны как автоматический выбор, так и ручное конфигурирование, а сама настройка вполне проста. Очень немногие могут похвастаться такими возможностями. Для многих известных вендоров L2 — это недосягаемая высота. В основном они все работают с L3.

А. К.: При этом не надо думать, что передать L2 — это космическая задача. Рано или поздно эта задача настигает любого сетевого администратора. У нас есть KICS for Networks, он очень любит анализировать спам-трафик; если инфраструктура является распределённой, то применяется сенсор, который может агрегировать этот спам-трафик на себя и затем передавать его на сервер. Но сенсор, во-первых, очень дорог, а во-вторых, предназначен для больших филиалов. Кроме того, существует ограничение по количеству сенсоров на одно подключение KICS. И здесь возникает вопрос: а что же делать тем промышленным компаниям, у которых при распределённой структуре есть и какие-то маленькие объекты? Там будут буквально один-два источника этого спам-трафика, который мы потребляем, так что ставить сенсор — очень дорого. И вот тогда имеет смысл установить наш SD-WAN, при этом спам-трафик передаётся через тоннель L2 и агрегируется. Это будет гораздо дешевле.

М. К.: И поскольку сеть всё равно нужна, то какой-то роутер ставить всё равно придётся. А если он ещё умеет и обеспечить проброс домена L2 с индустриальным трафиком, то это как раз и нужно для масштабирования.

А. К.: Стоит упомянуть также и наши технологические преимущества, которые мало у кого есть: мы работаем с однонаправленными тоннелями. Когда я говорила, что мы управляем трафиком и определяем качество канала связи, мы его считаем отдельно в каждую сторону.

Традиционному маршрутизатору очень трудно справиться с этой задачей: он считает в дуплексе в обе стороны, а уж применять к нему какую-то логику и вовсе практически невозможно. Мы же можем очень чётко отследить движение трафика, и если в этом канале трафик хорошо передаётся только в одну сторону, мы только туда и будем передавать, а в обратном направлении — по другому каналу.

Тогда позвольте задать вам уточняющий вопрос. Для промышленных предприятий очень актуальна тема диодов данных. Можно ли использовать эту технологию с вашей платформой?

М. К.: SD-WAN не стоит рассматривать как дата-диод: в дата-диоде ключевой является не возможность, а гарантия односторонней передачи данных. Мы никогда не рассматривали эту технологию в таком свойстве и, соответственно, не занимались подобными разработками. Но если есть решение, которое является сертифицированным дата-диодом, то мы можем весь трафик пропустить через него, разместив его в нужных местах.

Оркестрация сервисных цепочек — это также то, чего нет больше практически ни у кого. Буквально пара вендоров SD-WAN в мире могут предложить такую функциональность, которую они продают исключительно огромным телекоммуникационным компаниям, а для промышленного сектора вы её не получите. Но мы это можем предоставить.

В связи с этим стоит также упомянуть и о такой ключевой характеристике продукта для российского рынка, как сертификация ФСТЭК России. Будет ли она у вас и нужна ли она?

М. К.: Нормативных документов ФСТЭК для такого специфического класса решений, как SD-WAN, пока не существует. Мы планируем сертифицировать CPE как МСЭ. Это — функциональное устройство, максимально близкое к типу решений, которые регулирует ФСТЭК. Мы планируем сертифицировать его на НДВ, чтобы показать, что у нас нет недекларируемых возможностей.

Можно ли рассматривать Kaspersky SD-WAN как средство усиления корпоративной ИБ?

М. К.: В целом, да. Это происходит за счёт автоматизации и исключения человеческого фактора. Человек может ошибиться, настраивая что-то, но робот ошибиться не может. Его действия отличает стопроцентная повторяемость. Если мы один раз убедились в том, что политика правильна, автоматизированная система будет «раскатывать» эту политику каждый раз.

В этом смысле использование SD-WAN усиливает ИБ, потому что подключение новых объектов с использованием шаблонизированных политик происходит каждый раз одинаково. Мы сможем автоматически исправить любую ошибку и передать новую конфигурацию на все существующие объекты. В этом смысле SD-WAN качественно укрепляет защиту компании.

Наверное, здесь также можно отметить лучшую видимость того, что происходит в сети в масштабе всей организации?

М. К.: Да, несомненно. Очень часто задачи ИБ и ИТ противопоставляются как разные. На мой взгляд, это неверно. Возможно, в больших компаниях есть отдельные службы ИБ и ИТ, которые принципиально имеют разных руководителей, но в общем они решают одну и ту же задачу. Если применяется инструмент, который улучшает ежедневную эксплуатацию и эффективность работы ИТ, это значит, что он улучшает и эффективность работы ИБ.

Безопасность зависит в том числе от того, насколько эффективно производится эксплуатация.

Коллеги, каковы планы по дальнейшему развитию платформы Kaspersky SD-WAN на ближайший год? Можете ли вы рассказать о дорожных картах или каких-нибудь «фишках»?

А. К.: В прошлом году SD-WAN запустился в России. Буквально в следующем месяце мы выпускаем новую версию, имеющую гораздо более масштабную функциональность. Следующий шаг будет в 2024 году; у нас выходит первая версия SASE, то есть файрвол как сервис и SD-WAN как транспорт. Наш основной план — в этом году выйти на международные рынки.

И ещё расскажите, пожалуйста, тем заказчикам, кто узнал о вашем решении и хочет его приобрести: как им следует подготовиться к переходу на эту технологию?

М. К.: Нет никаких подготовительных процедур. Можно полностью строить инфраструктуру с нуля, можно мигрировать постепенно: часть наших объектов — на старой инфраструктуре, часть — на новой, и между ними обеспечивается связь. Всё очень просто. Главное — иметь желание, проявить интерес, обратиться к нам или нашим партнёрам, и мы поможем вам внедрить эту технологию наиболее комфортным образом.

Коллеги, большое спасибо вам за такой долгий и содержательный разговор. Позвольте пожелать вам новых успехов, а нашим читателям — как всегда, всего самого безопасного!