Как с помощью SD-WAN обеспечить безопасную и бесперебойную передачу трафика

Что такое SD-WAN 

SD-WAN (Software-Defined Wide Area Network) — это программно-определяемые распределенные сети. Решения этого класса представляют собой виртуальную надстройку над уже существующими каналами связи, которые используются для передачи данных между удаленными узлами распределенной сети, например между точками сети и центральным офисом.  

Cаму по себе работу обычной распределенной сети можно сравнить с движением автотранспорта в небольшом городке, где трафик регулируется обычными светофорами, без интеллектуальных надстроек. В случае внештатной ситуации приходится звать на помощь регулировщика и технического специалиста, которым потребуется время, чтобы наладить работу. Работа с программно-определяемыми распределенными сетями больше похожа на интеллектуальную систему управления трафиком в умных светофорах: такие учитывают пропускную способность на дорогах и эффективно регулируют транспортные потоки, а настраивать алгоритмы их работы можно и удаленно. 

В SD-WAN сетью управляет контроллер и оркестратор. Контроллер отвечает за настройку устройств передачи трафика, создание транспортных сервисов и построение актуальной топологии сети. Актуальная топология — как актуальная дорожная карта, в которой указано, где объезд, где новая развязка, а где реверсивное движение. Оркестратор отвечает за мониторинг и диагностику сети, а также виртуализацию сетевых функций.

Технология помогает решить организациям с распределенной филиальной структурой три ключевые задачи:

1. Реализацию эффективного управления — благодаря централизованной программной настройке ускоряется как ввод в эксплуатацию нового оборудования и филиалов сети, так и внесение изменений в дальнейшем;
2. Безопасность процессов: централизованное управление и автоматизированное применение политик минимизируют человеческие ошибки, а виртуализированные средства защиты и контроля трафика легко подключаются в режиме автоматического развертывания;
3. Обеспечение надежности сети благодаря оптимизированному использованию любых каналов связи — SD-WAN приоритизирует трафик и автоматически перенаправляет его на менее загруженные каналы, повышая общую пропускную способность сети и гарантируя бесперебойную доставку данных. 

В сравнении с классическими маршрутизаторами технология SD-WAN выигрывает по ряду показателей: позволяет заменить ряд сетевых устройств одним умным девайсом (CPE — Customer Premises Equipment) для каждого филиала, унифицировать сетевые настройки и политики безопасности, а также автоматизировать процесс их применения и обновления. 

Надежность и безопасность

В первую очередь — рациональное использование любых доступных каналов связи для обеспечения максимально возможной пропускной способности. В современном решении это могут быть MPLS, Ethernet, LTE и их комбинации для подключения филиалов организации к корпоративной сети и облачным сервисам. По данным исследования, за последний год среди компаний, которые только планируют внедрение технологии SD-WAN, 59% сталкивались со сбоями в подключениях и деградацией каналов связи, 38% — с полным или частичным отключением сети, а еще 35% — с недостаточной пропускной способностью. С вероятностью более 50% такие проблемы приводят к потере критичных для бизнеса данных. SD-WAN позволяет минимизировать такие риски: если объект находится далеко от центрального офиса, он гарантирует бесперебойную передачу трафика даже по каналам с низкой пропускной способностью, например по сотовым беспроводным сетям.

Другой важный компонент — безопасность сети, которая обеспечивается в том числе за счет возможности быстрого внедрения необходимых средств защиты — как от разработчика решения, так и от сторонних производителей ПО, а также централизованной установки общих для всех офисов настроек оборудования и правил безопасности. Именно улучшенная безопасность является главной причиной, по которой российские компании принимают решение о внедрении SD-WAN: об этом сообщили 46% среди тех, кто уже внедрил технологию, и 44% среди тех, кто внедряет. Программно-определяемые сети позволяют легко интегрировать сервисы безопасности благодаря менеджеру виртуальных сетевых функций (VNF), а также осуществлять в реальном времени мониторинг всех компонентов технологии и состояния туннелей и приложений на основе встроенной телеметрии. 

Легкая масштабируемость сети благодаря Zero-Touch Provisioning

SD-WAN может использоваться в разных сферах — как в финансовом секторе и ритейле, так и в здравоохранении, телекоме, энергетике, госсекторе, то есть везде, где защита данных и стабильность трафика имеют критическое значение. Для организаций из этих отраслей характерно наличие большого количества офисов. Благодаря технологии Zero-Touch Provisioning для подключения нового филиала или точки продаж не требуется приезд специалистов. Это существенное преимущество при нехватке квалифицированных кадров, а также удаленности или труднодоступности офисов. С ее помощью CPE-устройства начнут работать без предварительной настройки вручную. Фактически потребуется одно нажатие кнопки, чтобы новое отделение получило доступ к корпоративной сети, центрам обработки данных, публичным и частным облакам в автоматическом режиме. Это сокращает время и расходы на развертывание новых филиалов. Компании при этом могут выбирать маршрутизаторы разной пропускной способности исходя из планируемого объема трафика. Синхронизировать сеть с бизнес-системами компании и задачами легче всего при наличии встроенного интерфейса API, который представляет собой альтернативный способ управления сетью с помощью набора команд, вызываемых из сторонних приложений.

Статус телекоммуникационного оборудования российского происхождения

Подтверждённый статус оборудования российского происхождения важен для организаций, которые следуют стратегии импортозамещения, а также для объектов КИИ. 14 ноября 2023 года вышло постановление правительства России № 1912 о порядке перехода таких организаций на доверенные программно-аппаратные комплексы. Если решение присутствует в реестре телекоммуникационного оборудования российского происхождения (ТОРП), его функциональность и безопасность подтверждены экспертами, то вы можете без ограничений использовать это оборудование в своей инфраструктуре. 

Kaspersky SD-WAN — до 40% экономии на сетевой инфраструктуре 

С момента выхода Kaspersky SD-WAN на российский рынок прошло три года. С самого начала решение позволяло организациям сократить до 40% бюджета на развертывание и поддержание сетевой инфраструктуры и обладало всеми необходимыми характеристиками зрелого продукта. На этом команда разработки не остановилась: потребности рынка, кадровый голод и дефицит сертифицированного сетевого оборудования задали темп развития технологии, и сейчас Kaspersky SD-WAN стало универсальным средством работы с сетью для организаций с 10 и более филиалами. 

«Железные» составляющие в комплекте

Для решения Kaspersky SD-WAN в качестве телекоммуникационного оборудования в филиалах предлагается использовать универсальные сетевые устройства (CPE), которые могут поставляться в том числе и на базе отечественных аппаратных платформ. Выбор в пользу аппаратной составляющей одного типа для всех филиалов, а не разнородных платформ, позволяет в рамках одной CPE реализовать набор виртуальных сетевых функций с максимальной эффективностью и без лишних затрат на дополнительное оборудование. При этом модельный ряд состоит из нескольких типов CPE, позволяющих разным компаниям закрыть их задачи по скорости и объему пропускного трафика. Это позволяет организовать подключение к сети компании и крупных филиалов, и домашних офисов удаленных сотрудников.

Для удобства пользователей Kaspersky SD-WAN поставляется с устройствами модельного ряда Kaspersky SD-WAN Edge Service Router (KESR) с различным набором интерфейсов и производительностью передачи данных от 30 Мбит\с до 10 Гбит\с, на выбор заказчика. При этом программно-аппаратные комплексы (ПАК), состоящие из Kaspersky SD-WAN ESR (K), имеют статус телекоммуникационного оборудования российского происхождения (ТОРП) — единственные среди подобных решений в России. 

Облачный формат SD-WAN — для тех, кто готов отдать внедрение и поддержку на аутсорс

Такой вариант подойдет тем, кто предпочитает получить решение в качестве услуги от провайдера. Решение доступно в облачном формате: так, Kaspersky SD-WAN лежит в основе решения для управления сетевой инфраструктурой предприятий Cloud SD-WAN, которую запустил российский поставщик ИТ-услуг и облачных сервисов beeline cloud в январе 2024 года. Этот формат подойдет тем компаниям, которые хотят передать развёртывание продукта и его поддержку службам со стороны поставщика, поскольку это не требует дополнительного вовлечения со стороны квалифицированного персонала внутри компании. Такая модель позволяет оптимизировать ресурсы на внедрение и обеспечение работы платформы и актуальна для большинства телекоммуникационных компаний.

Kaspersky SD-WAN 2.2: что под капотом нового релиза?

Безопасность и налаженная работа сетевой инфраструктуры — это процесс, а не результат. Поэтому решение Kaspersky SD-WAN вновь обновилось весной 2024 года: в нем существенно расширились технические возможности, которые упрощают работу с сетью специалистам и позволяют повысить уровень сетевой безопасности. Решение в его текущем виде удовлетворяет пожелания даже самых требовательных корпоративных пользователей, которые уже успели познакомиться с решениями зарубежных вендоров. 

Какие преимущества появились у новой версии решения:

1. Управлять сетью и маршрутизаторами SD-WAN стало проще: теперь можно создавать несколько таблиц маршрутизации в рамках одного CPE, централизованно фильтровать трафик и NAT на всех CPE при помощи шаблонов. Также появился автоматизированный инсталлятор и набор преднастроенных сетевых шаблонов для маршрутизаторов Kaspersky Edge Service Router. 
2. Значительно облегчена процедура Zero-Touch Provisioning при развертывании виртуальных маршрутизаторов и расширено количество диагностических инструментов в интерфейсе оркестратора — для более точной диагностики состояния сети. 
3. Доступ к веб-интерфейсу оркестратора стал еще безопаснее благодаря встроенной двухфакторной аутентификации администратора. Также добавили функцию отправки событий сети на заданные email-адреса администраторов. В предыдущей версии решения события отображались в только GUI решения, а выгрузка была возможна только через API. 
4. Появилась возможность централизованно настраивать и отправлять телеметрию NetFlow c маршрутизаторов — это позволяет повысить прозрачность активности SD-WAN фабрики — объединённой сети маршрутизаторов.
5. Реализована поддержка протокола PPPoE: это позволяет подключать CPE-устройства к тем WAN-каналам, которые используют такой протокол, и, как следствие, увеличивать количество типов WAN-каналов, которые могут быть использованы для Kaspersky SD-WAN. Данная функциональность особенно актуальна для операторов связи.
6. Реализована поддержка еще одной отечественной операционной системы — Ред ОС. Ранее развертывание центральных компонентов решения было доступно только для систем на базе Astra Linux. 
7. Улучшены интеграционные возможности с другими продуктами «Лаборатории Касперского»: решением для защиты промышленных сред Kaspersky Industrial CyberSecurity for Networks, SIEM-системой Kaspersky Unified Monitoring and Analysis Platform, платформой для защиты от сложных угроз и целевых атак Kaspersky Anti Targeted Attack.

«Kaspersky SD-WAN — это про удобство, предсказуемость и безопасность сети, а также про помощь организациям по части снижения нагрузки на технических специалистов, которая растет в условиях кадрового голода. Технология все меньше похожа на ноу-хау в индустрии и все больше на логичное развитие тренда на автоматизацию, качество и удобство в управлении повседневными технологиями. При этом именно SD-WAN обеспечивает сервисную цепочку между всеми продуктами и соединяет классические средства защиты информации и сетевую инфраструктуру. Судя по темпам развития, SD-WAN продолжит набирать популярность на российском рынке, и мы поддерживаем этот тренд», — комментирует Максим Каминский, руководитель программы сетевой безопасности «Лаборатории Касперского».