Подписаться
Читать в телеграм
/ Почему SD-WAN — связующее звено между ИБ-продуктами?
/ Работа с заказчиком: у ИТ есть ответы на все возражения ВСЁ И СРАЗУ
/ Экспертиза по SD-WAN в РФ: от проектирования до техподдержки
Сети SD-WAN приобретают популярность у отечественных компаний благодаря большей эффективности, надежности и безопасности работы. И российским вендорам есть чем ответить на запрос рынка. В статье мы рассмотрели два флагманских решения в области SD-WAN от компаний «Лаборатория Касперского» и BI.ZONE, а также дали слово экспертам, которые рассказали об особенностях их внедрения и эксплуатации.
Филиалы на связи
SD-WAN — технология централизованного управления сетью, которая повышает надежность ее работы, упрощает масштабирование и снижает затраты на обслуживание. Эти преимущества вкупе с высокой скоростью внедрения и миграции делают эту технологию особенно востребованной у компаний с большим количеством филиалов, а также в организациях, которые хотят улучшить качество управления сетью. Если говорить об SD-WAN как о самостоятельном решении, то одной из сильных сторон технологии считается возможность максимально автоматизировать управление подключенными устройствами и их настройками. Это позволяет достичь четкой последовательности в установке и обновлении конфигураций, а также сводит к минимуму риск столкнуться с угрозами из-за влияния человеческого фактора и использования устаревших политик на подключенных устройствах. В результате применение SD-WAN помогает обеспечить непрерывность бизнес-процессов и повысить их эффективность путем создания единой отказоустойчивой филиальной сети.
Сейчас в России существует целый ряд вендоров, которые обеспечивают переход на решения SD-WAN с гарантированной техподдержкой. В числе таких решений — Kaspersky SDWAN и BI.ZONE Secure SD-WAN, обладающие развитыми защитными функциями.
Если говорить об SD-WAN как о самостоятельном решении, то одной из сильных сторон технологии считается возможность максимально автоматизировать управление подключенными устройствами и их настройками.
«Покажем, посчитаем, спроектируем, внедрим и поддержим»
Несмотря на все преимущества SD-WAN, пока не все российские компании знакомы с функционалом решений данного сегмента, и внедрение продуктов на базе такой технологии может вызывать ряд возражений у заказчиков. Впрочем, с этой ситуацией достаточно легко справиться.
«С техническими специалистами заказчиков мы детально обсуждаем функциональные и технические характеристики продуктов, чтобы не осталось сомнений относительно эффективности их работы. Подробно рассказываем о том, как их настраивать, как обстоят дела с их надежностью и отказоустойчивостью. Тут у продуктов SD-WAN все неплохо. Они представляют собой комплексные решения, которые совмещают в себе как сетевые фичи, так и функции ИБ (например, такие как МСЭ и криптозащита трафика). Кроме того, обращаем внимание ИТ-специалистов на возможности управления из единого контроллера, создания шаблонов для настроек всех устройств в сети, а также гибкой балансировки различных типов трафика».
Максим Данилин
Если же говорить о бюджетах и рисках внедрения систем, чем всегда интересуется топ-менеджмент, то здесь все сомнения исчезают после презентации решения и демонстрации нашей готовности провести его тестирование и пилотирование. Специалисты компании «Инфосистемы Джет» помогают заказчикам рассчитать экономическую целесообразность использования продукта и при необходимости берут его поддержку на себя.
«Построив приблизительную модель стоимости владения различными типами продуктов и сравнив эти несколько вариантов, можно оценить экономическую эффективность решений SD-WAN. В теории SD-WAN позволяет сэкономить на каналах связи 25–30%, поскольку продукты данной категории обладают отличной функциональностью, совмещая в себе сразу несколько решений. Поэтому у них есть неплохие перспективы на рынке».
Дмитрий Сахарчук
Понятная работа
Главным конкурентом SD-WAN в области построения распределенных сетей считаются «классические» решения западных вендоров сегмента DMVPN (Dynamic Multipoint Virtual Private Network — динамическая многоточечная виртуальная частная сеть), которые имеют более узкие возможности. При этом процесс внедрения SD-WAN практически не отличается от установки DMVPN. Он подразумевает построение нового сегмента параллельно существующей сети и планомерную миграцию на нее всех используемых площадок. Как правило, для заказчиков это понятная и известная работа. А в случае с SD-WAN-решениями ее можно будет выполнить быстрее, чем для DMVPN.
Центральное звено
Заказчиков привлекают широкие возможности решений SD-WAN в сфере информационной безопасности. В первую очередь к ним относятся управление и мониторинг кибербезопасности в части автоматизации операций и централизации управления. Вся информация о работе сети, устройствах, трафике и событиях передается в централизованную систему — контроллер SD-WAN. Там ее можно обработать или передать во внешние ИБ-решения.
«Типичные угрозы для сетевой инфраструктуры SD-WAN — это отказ в обслуживании, получение несанкционированного доступа к сети, MitM-атаки и перехват трафика. Для борьбы с ними в BI.ZONE Secure SD-WAN успешно применяются такие интегрированные средства безопасности, как файрвол, шифрование трафика управления и данных, а также централизованное управление доступом. Дополнительной возможностью является интеграция решения с внешними системами — IDS, SIEM, PAM, SDNS и др. Их комплексная работа позволяет успешно защищать сети на базе SD-WAN от большинства возможных атак. При этом особый акцент в области безопасности мы рекомендуем делать на управляющем контуре, в который входят контроллеры и оркестраторы, поскольку именно они являются наиболее приоритетной целью для злоумышленников».
Дмитрий Сахарчук
Кроме того, уровень безопасности сетевой инфрструктуры повышает использование централизованных систем AAA (Authentication, Authorization and Accounting). Например, BI.ZONE PAM позволяет выявлять попытки получить неавторизованный доступ к сети. Вместе с тем для укрепления ИБ разработчики рекомендуют применять корпоративные системы DNS или коммерческие сервисы и очень внимательно отслеживать все запросы — как от пользователей, так и от оборудования. Такая интеграция позволяет выявить и устранить большой спектр вредоносного ПО в сети компании.
Если же решения SD-WAN рассматривать как часть концепции сетевой безопасности организаций SASE (Secure Access Service Edge), то именно они будут выступать связующим звеном между всеми продуктами, в том числе защитными.
«Kaspersky SD-WAN обеспечивает шифрование данных и управление трафиком в любых каналах связи, будь то частные каналы или широкополосное подключение к сети. В этом смысле продукт представляет собой OTT-решение (Over The Top). Также SD-WAN может выступать в качестве источника данных для таких специализированных решений для мониторинга ИБ, как SIEM или XDR, которые агрегируют события из разных источников и выявляют их корреляцию с точки зрения событий безопасности. В частности, у нас есть отработанный сценарий интеграции Kaspersky SD-WAN и Kaspersky Unified Monitoring and Analysis Platform для передачи данных о сетевом трафике».
Максим Каминский
Акцент на безопасности
Функция шифрования трафика между локациями особенно важна, поскольку технология SD-WAN изначально нацелена на организацию распределенных сетей, объединяющих удаленные офисы, филиалы, небольшие объекты (например, банкоматы) и ЦОД в единую инфраструктуру.
«Это значительно увеличивает уровень защиты данных и исключает реализацию таких типов атак, как sniffing, man-in-the-middle и др. Для максимального уровня защищенности шифрование должно осуществляться только с применением российских алгоритмов (ГОСТ вместо AES/3DES). Также здесь важна сертификация решений в ФСБ и ФСТЭК, что подтверждает уровень защищенности продукта».
Дмитрий Сахарчук
Усилить кибербезопасность организаций помогает и встроенный в продукты «Лаборатории Касперского» менеджер виртуальных сетевых функций (VNF). Он обеспечивает легкое внедрение средств защиты, а также на основе встроенной телеметрии позволяет в реальном времени осуществлять мониторинг всех компонентов технологии, состояния туннелей и приложений.
Компания работает над совершенствованием продукта. Так, в обновленной версии Kaspersky SD-WAN 2.3 планируется улучшить процесс ZTP, а также повысить удобство инсталляции и настройки компонентов платформы. Кроме того, в ответ на запросы пользователей планируется реализовать поддержку ГОСТ-шифрования, что в дальнейшем позволит использовать Kaspersky SD-WAN без внешних СКЗИ.
