По мере развития типичная корпоративная сеть неизбежно обрастает всевозможными ответвлениями, часть из которых прокладывается под влиянием сиюминутных причин, а иногда и в ущерб общей концепции безопасности. Инфраструктура сети постепенно становится все более неоднородной из-за установки нового оборудования по соседству со старым. В результате всех изменений сеть превращается в запутанный клубок, на поддержку которого уходит все больше и больше времени и денег.
Сегодня у компаний появилась возможность приостановить этот процесс, упростить управляемость сети и сделать ее более безопасной. Добиться этого обещают новые технологии: переход на строительство программно-определяемых сетей и выстраивание безопасности на принципах «нулевого доверия». Об этом на портале SecurityIntelligence рассказывает Бен Хендрик из IBM Security.
Безопасность сети при «нулевом доверии»
Концепция «нулевого доверия» — это модель безопасности, разработанная Национальным институтом стандартов и технологий США (NIST). Она появилась на свет в результате указа президента США, изданного в феврале 2013 г. и предписывавшего NIST собрать полную информацию о киберугрозах, с которыми приходилось встречаться государственным организациям и коммерческим компаниям. В результате проделанных работ появился список рекомендаций под названием «Модель „нулевого доверия“» (zero trust model), который был рекомендован для применения при выстраивании новой национальной системы кибербезопасности США.
Подготовленный свод правил определил новую философию обеспечения кибербезопасности. Согласно его рекомендациям, принцип «нулевого доверия»:
· распространяется на любые бизнес-компании и государственные организации;
· может быть применен к продукции любого вендора или технологии;
· заменяет принципы, учитываемые при распространении данных, а именно, передачу любых данных делает общедоступной, но предписывает размещение защищаемого контента;
· не влечет пересмотра общепризнанного перечня гражданских свобод.
Внедрение модели «нулевого доверия» применительно к сетям привело к изменению концепции сетевой безопасности. Согласно NIST, ранее действовавший принцип полного доверия к пакетам данных, получаемых из доверенного источника, подлежал пересмотру.
Введение новых правил привело к полному пересмотру концепции безопасности сетей. Прежний подход предусматривал деление сети по ее периметру на внешний небезопасный сегмент и внутреннюю доверительную среду. В доверительной части трафик регламентировался правами доступа, которые получал клиент в зависимости от назначенной ему политики безопасности.
Теперь предлагалось отказаться от деления сетей на доверенные и открытые сегменты. Вся сеть, без предварительного деления, становилась «лишенной полного доверия». Весь сетевой трафик стал классифицироваться как небезопасный и подлежащий верификации.
Модель корпоративной сети, выстраиваемая на концепции «нулевого доверия», открыла много новых возможностей. Например, она стала основой для выстраивания механизмов безопасности при работе с частными и публичными облаками, при использовании виртуализованной инфраструктуры и активном применении средств программного управления сетевыми конфигурациями.
В результате проведенных изменений качественно поменялся подход к рассмотрению инфраструктуры сети. Взамен объединения прежних многочисленных «сетей-островков» с горизонтальными связями и хаотичным размещением средств защиты ИТ-инфраструктуры появилась возможность выстраивать территориальную сеть как единую, безопасную среду со сплошным контролем безопасности и гибким управлением ею простыми инструментами.
Программно-конфигурируемые WAN и принцип «нулевого доверия»
По оценкам IDC, количество установленных программно-определяемых территориальных сетей (SD-WAN) будет расти в ближайшие годы. Суммарный мировой доход от их эксплуатации превысит в 2020 г. 6 млрд. долл., совокупный среднегодовой темп роста в течение ближайшие пяти лет будет выше 90%.
Сетевая безопасность и SD-WAN
SD-WAN позволяют значительно поднять уровень сетевой защищенности по сравнению с традиционными территориальными сетями. Прежде всего это связано с совершенствованием в SD-WAN механизма выбора политик доступа. Теперь компании могут лучше контролировать права доступа к сети и приложениям, более качественно отслеживать операции, которые совершают подключенные клиенты.
Внедрение SD-WAN упрощает подключение филиалов — это также способствует росту общей защищенности сети. Появляется возможность для внедрения сквозного шифрования на любых участках сети, как внутри сегментов в локальной части сети, так и при взаимодействии с облаками. Снижению угроз также способствует применение протокола IPSec
Внедрение SD-WAN позволяет развертывать на конечных устройствах программно-определяемые брандмауэры. С их помощью можно осуществлять инспекцию пакетов с сохранением состояния (stateful firewalls), выстраивая тем самым дополнительную защиту от вторжения и проверку трафика на корректность.
Важное значение играет возможность снижения затрат на обслуживание. Благодаря безопасной маршрутизации трафика в публичном Интернете, SD-WAN устраняют необходимость прокладки дорогостоящих частных сетей с многопротокольной коммутацией (MPLS).
Рост производительности и выстраивание гибридных облаков на базе SD-WAN
Внедрение SD-WAN позволяет оптимизировать работу сети, повышает производительность приложений. Эффект достигается за счет разных причин. Прежде всего, SD-WAN предоставляет возможность выверять пропускную способность и оперативно перестраивать маршрутизацию с учетом времени прохождения трафика по различным сегментам. Это можно делать как при работе с общедоступным Интернетом, так и при использовании MPLS-участков.
На базе SD-WAN можно вести постоянный контроль за доступностью сервиса, уровнем задержек, производительностью сети. В случае ухудшения характеристик можно автоматически осуществлять перемаршрутизацию трафика, пуская его через участки с наилучшими текущими характеристиками. В результате достигается рост производительности сети и предоставление более качественной сетевой поддержки для приложений. Например, это крайне важно, если работа приложений связана с передачей по сети голоса или видео.
С точки зрения безопасности внедрение SD-WAN помогает развивать гибридные сети. На их базе можно реализовать безопасную передачу данных по любым территориальным сетям и открытому Интернету без жесткой привязки к оборудованию или технологиям конкретного вендора.