Работа современных ЦОДов практически немыслима без программно-определяемой сети (software-defined networking, SDN) — без этой технологии уже нельзя реализовать ни одной задачи по виртуализации их инфраструктуры, однако в последнее время начала набирать популярность ее разновидность — SD-WAN (software-defined in a wide area network). Президент консалтинговой компании в области сетей и сетевых технологий CIMI Том Нол рассказывает на портале TechTarget о том, почему эта сетевая архитектура начала завоевывать корпоративные пространства.
Реальность такова, что многие компании выделяют больше средств на поддержку сетевой безопасности, чем на переоснащение или модернизацию самих сетей. В любом случае, большинство компаний тратят значительную часть своего сетевого бюджета на средства безопасности, поэтому появление новой технологии — SD-WAN, которая полностью меняет представления о безопасности, — не могла пройти мимо их внимания. Но могут ли сетевые операторы на самом деле положиться на предлагаемый SD-WAN уровень безопасности?
SD-WAN наиболее известна как технология, объединяющая несколько каналов связи в один логический канал с целью покрытия корпоративным VPN удаленных небольших объектов (как правило, это филиалы организаций), которые не могут подключиться к магистральной сети MPLS VPN поставщика услуг. При помощи SD-WAN к VPN также можно добавлять облачные приложения и компоненты, подключаясь к облачному провайдеру через сеть владельца VPN по низким тарифам. Технология позволяет автоматически распределять трафик в сети передачи данных и отправлять его по наиболее дешевому и незагруженному в настоящий момент каналу без потери скорости и качества работы приложений. О преимуществах SD-WAN много говорят, однако редко упоминается одно из ее основных достоинств — безопасность.
Большинство SD-WAN-поставщиков предлагают поддержку основных стандартов безопасности IPsec, в то время как другие сотрудничают с ИБ-вендорами для интеграции проприетарных функций. Тем не менее, важно знать о некоторых дополнительных преимуществах SD-WAN в плане безопасности, которыми она обладает по умолчанию.
Разрешительная подключаемость и что может делать оверлейная сеть
IP-сеть, включая как Интернет, так и корпоративные VPN, основана на разрешительной модели подключения. Предполагается, что каждый пользователь и ресурс в этих сетях является подключаемым, что, безусловно, упрощает настройку сетей, но также лежит в основе проблем, которые усложняют их защиту. ИБ-специалисты знают, что гарантии защиты возможны лишь в случае, когда запрещено более 95% всех возможных соединений, причем это касается даже корпоративной VPN-сети. Парадокс состоит в том, что продукты и методы обеспечения безопасности защищают сеть, однако запрещают доступ, который IP обычно предоставляет по умолчанию.
SD-WAN — это оверлейная (создаваемая поверх другой сети) сетевая технология. Технически ее реализация варьируется в зависимости от поставщика/продукта, но ее логика остается неизменной: SD-WAN — это дополнительный сетевой слой с собственным механизмом маршрутизации пакетов, который работает поверх IP для установления соединений между пользователями и ресурсами. На рынке имеется несколько десятков продуктов и услуг SD-WAN, но в подавляющем большинстве случаев они делают то же, что и IP-маршрутизация, но на параллельном уровне маршрутизации — манипулируют разрешениями на подключение.
Однако теоретически маршрутизация SD-WAN может работать в другом режиме — ее можно сделать более детализированной (явной), то есть будет разрешаться только то соединение, которое разрешается по факту. Другими словами, если комбинация адреса источника и адреса назначения не внесена в таблицу пересылки, SD-WAN запретит соединение. Зная адресата, но не обладая привязкой к адресу назначения, отправитель не сможет обмениваться с ним трафиком — адрес будет помечен в стиле общеизвестного «набора битов», куда отправляются неправильно адресованные пакеты.
Хроника неудачных попыток подключения
SD-WAN обладает еще одной особенностью, которая может оказывать влияние на безопасность. Поскольку SD-WAN различает, где и какие ресурсы подключены, она в состоянии распознать попытки несанкционированного подключения. Обладая функцией обнаружения явных переадресаций (explicit forwarding), SD-WAN фиксирует попытки несанкционированного подключения в журнале событий о попытках несанкционированного доступа, тем самым предупреждая администраторов о желании хакеров получить доступ к сетевому ресурсу или о проникновении в периметр вредоносного ПО, которое использует систему в качестве прокси для незаконной деятельности. SD-WAN может даже обнаруживать и предотвращать атаки типа «отказ в обслуживании».
Один из опрошенных CIMI специалистов предположил, что комбинация из механизма выявления явных переадресаций и ведение журнала несанкционированных попыток подключения позволят решить более 90% всех проблем с сетевой безопасностью и более чем на 75% снизить затраты на профилактику сети, приобретение ПО безопасности и другие меры по защите сети. В теории развертывание SD-WAN в виде покрывающего слоя над каждой IP-сетью — даже VPN MPLS-SD-WAN — могло бы обеспечить компании равномерную и единую защиту.
Почему так мало известно о возможностях защиты SD-WAN
Преимущества, которыми обладает технология SD-WAN в области защиты сети, неоспоримы, но о них мало кто знает за исключением сетевых инженеров. Более того, о них умалчивают поставщики услуг. Почему так сложилось? В качестве первой причины можно назвать ту, что потенциал технологии в полной мере не раскрыт, о чем говорит большинство SD-WAN-внедрений. Фактически, только около 10% решений SD-WAN обладают специфическими для этой технологии функциями безопасности, поддерживая их в полной мере. Вторая причина заключается в том, что для того, чтобы настроить явную переадресацию, требуется выставить политики переадресации, а это требует много времени и усилий. Нужно определить допустимые подключения и отключить недопустимые, но на практике в хитросплетениях соединений можно легко ошибиться, запретив вместо ненужных нужные.
Кроме того, на рынке почти нет примеров того, как работает явная переадресация, как осуществить ее настройку. Продавцы SD-WAN, в том числе сетевые операторы, не спешат делиться своими знаниями, чтобы помочь клиентам. И третья причина: явная переадресация SD-WAN не гарантирует полную безопасность, поскольку не может предотвратить заражение авторизованной для подключения к ресурсу системы вредоносным ПО, которое ворует информацию или наносит другой ущерб, если ему удается пройти защиту приложений или баз данных.
Таким образом, приложения и информационные ресурсы по-прежнему нуждаются в безопасном доступе. Проникнуть на зараженный объект в Интернете может неосторожный сотрудник с авторизованным подключением, бывали случаи, когда они поступали так намеренно, чтобы скомпрометировать работодателя, и в этих случаях SD-WAN никак не сможет предотвратить угрозу. Единственное, что она может — сократить дополнительные расходы предприятия на обеспечение безопасности.
И последняя, возможно, самая главная причина, препятствующая популяризации SD-WAN связана с тем, что она продвигается как замена MPLS VPN. Это вызывает у операторов опасения, что популяризация и переход клиентов на SD-WAN снизит финансовые поступления от VPN.
Но со временем по причине рыночной конкуренции воздействие этих негативных моментов уменьшится. Под ее влиянием меняются любые сектора, она притягивает в продукт любые скрытые или видимые функции (если только они представляют ценность), поэтому в конечном итоге поставщики SD-WAN включат в свои продукты явное подключение и ведение журналов. Со временем появятся вспомогательные инструменты, которые упростят пользователям установку политик переадресации, а также инструменты ИБ-поставщиков, придающие явному подключению поверх SD-WAN дополнительный уровень безопасности.
Операторам, наконец, придется признать конкурентоспособность SD-WAN и поступиться доходом от VPN. Часть потерь они могут компенсировать за счет дохода от предоставления дополнительных услуг. Мощным драйвером роста SD-WAN в целом и заключенных в ней преимуществ в области безопасности станет облако. По мере разработки и вывода в облако нативных приложений, SD-WAN сможет обеспечивать их подключение, защиту в ходе всего цикла масштабирования и перераспределения нагрузок. Явное подключение понадобится сетевым операторам, предлагающим облачные сервисы или применяющим их для поддержки собственной инфраструктуры в виде виртуализации сетевых функций. Они наверняка оценят контроль над подключениями и безопасность, который SD-WAN может предложить как для них, так и для их клиентов.