2017/02/11 18:55:45

SD-WAN (Software Defined)
Software Defined

SD-WAN (Software Defined) — принципиально новый подход к управлению территориально-распределённой корпоративной сетью (WAN, Wide Area Network). Технология будет интересна финансовым учреждениям, ритейлу, промышленным и добывающим предприятиям и другим компаниям с большим количеством филиалов.

Содержание


Решение SD-WAN предполагает автоматическое формирование частной сети и передачу информации по всем типам доступных каналов связи, без потери скорости и качества работы приложений. К примеру, ранее для передачи голоса или видео без сбоев применялся только дорогой VPN-канал. Теперь за счет SD-WAN можно использовать только интернет-канал и LTE как резервный. Таким образом, заказчики могут экономить на оплате счетов от телеком-операторов и решать вопрос резервирования VPN-каналов простым и дешевым способом.

В основе технологии SD-WAN лежит умный контроллер, благодаря которому осуществляется автоматическое перераспределение трафика. Помимо этого, устройство позволяет централизованно изменять настройки сетевого оборудования в филиалах, контролировать состояние сети, загрузку и качество работы каналов в онлайн-режиме, устранять возникающие неполадки. Таким образом обеспечивается прозрачность функционирования сетей передачи данных и снижается нагрузка на ИТ-специалистов, обслуживающих сеть.

Компании постепенно переходят на централизованные сети с применением облачных технологий, мобильного доступа или сети Интернета вещей. Согласно оценкам Gartner, около 30% компаний в 2016 году уже используют общедоступные облачные службы, и этот показатель будет ежегодно увеличиваться на 17%.

2017: «Нулевое доверие» - основа безопасности SD-WAN

10 февраля 2017 года у компаний появилась возможность приостановить процесс повышения уровня неоднородности инфраструктуры сетей и сделать их более безопасными - технологии позволяют выполнить переход на создание программно-определяемых сетей и организацию систем безопасности на принципах «нулевого доверия».

С развитием корпоративной сети в ней нарастает значительное количество различных сегментов, часть из которых создается под влиянием кратковременных факторов, иногда в ущерб общей концепции безопасности. Инфраструктура сети становится все менее однородной. Поддержка такой инфраструктуры требует все больше времени и финансов.

Представление состояния систем до и после использования концепции "нулевого доверия", (2017)

Переход на организацию программно-определяемых сетей и формирование систем безопасности на принципах «нулевого доверия» позволит компаниям снизить влияние этих факторов, упростить управляемость сети, повышая ее безопасность[1].

Безопасность сети при «нулевом доверии»

Концепция «нулевого доверия» — это модель безопасности, разработанная Национальным институтом стандартов и технологий США (NIST). Она появилась на свет в феврале 2013 года, согласно указу президента Барака Обамы (Barack H. Obama). NIST предписывалось собрать полную информацию о киберугрозах, с которыми приходилось сталкиваться государственным организациям и коммерческим компаниям. В результате проведенных работ появился перечень рекомендаций под названием «Модель "нулевого доверия"» (zero trust model), рекомендованный для применения при создании национальной системы кибербезопасности США.

Подготовленные правила определили философию обеспечения кибербезопасности. Согласно этим рекомендациям, принцип «нулевого доверия»:

  • распространяется на любые бизнес-компании и государственные организации;
  • может применяться к продукции любого вендора или технологии;
  • заменяет принципы, учитываемые при распространении данных, а именно: передачу любых данных делает общедоступной, но предписывает размещение защищаемого контента;
  • не влечет пересмотра общепризнанного перечня гражданских свобод.

Внедрение модели «нулевого доверия», применительно к сетям, привело к изменению концепции сетевой безопасности. Согласно NIST, действующий ранее принцип полного доверия к пакетам данных, получаемых из доверенного источника, подлежал пересмотру.

Введение "правил недоверия" привело к пересмотру концепции безопасности сетей. Прежний подход предусматривал деление сети по ее периметру на внешний небезопасный сегмент и внутреннюю доверительную среду. В доверительной части трафик регламентировался правами доступа, которые получал клиент в соответствии с назначенной ему ролью в политике безопасности.

Концепция предлагает отказаться от деления сетей на доверенные и открытые сегменты. Вся сеть «лишена полного доверия». Весь сетевой трафик классифицируется, как небезопасный и подлежащий верификации.

Модель корпоративной сети, созданная на принципах «нулевого доверия», предложила ряд возможностей: она стала основой для создания механизмов безопасности при работе с частными и публичными облаками, при использовании виртуализованной инфраструктуры и активном использовании средств программного управления сетевыми конфигурациями.

В результате этих изменений качественно изменился подход к рассмотрению инфраструктуры сети. Взамен объединения прежних многочисленных «сетей-островков» с горизонтальными связями и хаотичным размещением средств защиты ИТ-инфраструктуры появилась возможность организовать территориальную сеть, как единую, безопасную среду со сплошным контролем безопасности и гибким управлением ею простыми инструментами.

IDC прогнозирует рост числа установленных программно-определяемых территориальных сетей (SD-WAN) в среднесрочной перспективе. Суммарный мировой доход от их эксплуатации превысит в 2020 году $6 млрд, совокупный среднегодовой темп роста в ближайшие пять лет превысит 90%.

SD-WAN позволяют повысить уровень сетевой защищенности по сравнению с традиционными территориальными сетями. Это связано с усовершенствованием механизма выбора политик доступа в SD-WAN.

Использование SD-WAN упрощает подключение филиалов, что повышает общую защищенность сети. Появляется возможность для внедрения сквозного шифрования на любых участках сети, как внутри сегментов локальной части сети, так и при взаимодействии с облаками. Снижению угроз способствует применение протокола IPSec (256-бит).

Внедрение SD-WAN позволяет развернуть программно-определяемые брандмауэры на оконечных устройствах. С их помощью можно инспектировать пакеты, сохраняя состояние (stateful firewalls), создавая этим дополнительную защиту от вторжения и проверку трафика на корректность.

Возможность снижения затрат на обслуживание также имеется. Безопасная маршрутизация трафика в публичном Интернете помогает SD-WAN устранить необходимость прокладки дорогостоящих частных сетей с многопротокольной коммутацией (MPLS).

SD-WAN предоставляет возможность уточнить пропускную способность и оперативно перестроить маршрутизацию с учетом времени прохождения трафика по различным сегментам. Это возможно, как при работе с общедоступным Интернетом, так и при использовании MPLS-участков.

На основе SD-WAN возможен постоянный контроль доступности сервиса, уровня задержек, производительности сети. При снижении контрольных параметров можно автоматически выполнять маршрутизацию трафика, пропуская его через участки с наилучшими действующими характеристиками. В результате повышается производительность сети, предоставляется более качественная сетевой поддержка для приложений.

С точки зрения безопасности внедрение SD-WAN помогает развивать гибридные сети. На их базе можно реализовать безопасную передачу данных по любым территориальным сетям и открытому Интернету без жесткой привязки к оборудованию или технологиям конкретного вендора.

2015: В 2019 году 30% организаций внедрят продукты SD-WAN

Решения SD-WAN упорядочивают и упрощают внедрение гибридных WAN-сетей, что дает ИТ-подразделениям возможность быстро и безопасно, более гибко и просто предоставлять доступ к приложениям, находящимся в ЦОД или публичном облаке. По прогнозам, в ближайшие несколько лет рынок SD-WAN значительно вырастет. По данным Gartner, к концу 2019 года 30% организаций будут использовать продукты SD-WAN во всех филиалах — при сегодняшнем показателе в 1% (Gartner, Inc., Predicts 2016: Enterprise Networks and Network Services, Бьярне Мунк, 1 декабря, 2015 г.)

Кроме того, возрастает число мобильных версий приложений, и они становятся доступны на различных устройствах вне офиса. Это очень важная тенденция, учитывая тот факт, что в 2018 году портативная техника составит половину всей пользовательской базы. Всё это говорит о том, что сети стали стратегически важным активом, и администраторы должны предвосхищать и планировать альтернативные методы подключения мобильных устройств в корпоративных WAN.

Требования компаний к связи переросли возможности частных служб MPLS WAN по обеспечению коммуникаций между удаленными офисами и центрами обработки данных. Текущей архитектуре сетей более десяти лет, и поэтому она не соответствует сегодняшним вызовам: увеличению числа подключенных устройств, мобильности, повышенным потребностям в безопасности. Программно-определяемая WAN разработана не только для текущих, но и для будущих потребностей организации. Технология SD-WAN позволяет создавать гибридные сети, которые объединяют такие технологии доступа, как интернет-службы, динамическая маршрутизация трафика и конфигурирование соединений в режиме реального времени в зависимости от имеющейся пропускной способности или выбранных критериев. Помимо этого, она позволяет снизить совокупные затраты на пропускную способность.

В 2015 году формирующийся рынок SDWAN оценивался почти в 225 млн. долларов. По прогнозам IDC, в 2016 году этот рынок возрастет на 165% и достигнет стоимости в 595 млн. долларов. Затем в 2017 году – на 129%, в 2018 – еще на 87% и достигнет стоимости в 2,6 млрд. IDC оценивает, что до 2020 года среднегодовой темп роста для SD-WAN составит 93% и будет оцениваться более чем в 6 млрд. долларов.

Смотрите также