Программно-определяемая глобальная вычислительная сеть — software-defined wide-area network (SD-WAN) представляет собой весьма эффективную надстройку над классической WAN. В условиях сложной топологии и множественности физических каналов связи в пределах распределённой вычислительной сети, которая может включать участки с MPLS, 4G LTE и даже xDSL, программное управление трафиком оказывается незаменимой альтернативой ручному администрированию таблиц маршрутизации. Очередная ступень раскрытия потенциала SD-WAN — автономная сеть (autonomous networking) — становится доступной заказчикам в самое последнее время, по мере того, как в структуру управления сетью внедряются элементы информационной безопасности, а контроль над ней принимает на себя искусственный интеллект.
Проще — значит, лучше
Базовая концепция программно-определяемых сетей (software-defined networking, SDN) заключается в отчуждении управления сетевым оборудованием от управления передачей данных. Традиционная схема построения сети предусматривает опору на высокоспециализированные маршрутизаторы и коммутаторы, которые обходятся заказчику недёшево (поскольку дороги в разработке, а объёмы их производства сравнительно невелики), да ещё и требуют от обслуживающего персонала особых знаний и серьёзной квалификации.
Программное же обеспечение для организации SDN способно работать на любом серийном компьютере, с лёгкостью обеспечивает переход от ручного менеджмента отдельных экземпляров сетевого оборудования к управлению сетью в целом, а также формирует программно-управляемый интерфейс между сетевым приложением и транспортной средой сети. В ряде случаев допускается использование классических коммутаторов и маршрутизаторов с программными оверлеями, которые позволяют управляющему ПО абстрагировать поток данных от архитектурных особенностей того или иного проприетарного «железа». SDN складывается из трёх базовых плоскостей (planes): данных, управления и приложений, причём плоскость управления (control plane) логически централизована и отделена от плоскости данных.
SDN создаёт основу для одного из наиболее актуальных трендов в организации цифровых коммуникаций, — сетей, управляемых на основе намерений (intent-driven networking, IDN). От пассивной схемы обслуживания сетевой инфраструктуры к автоматизированной сети на базе ИИ — вот путь, который открывают перед провайдерами цифровых коммуникаций IDN. Администратору такой сети достаточно чётко сформулировать задачу, указать набор KPI для неё (границы гарантированной полосы пропускания, допустимую величину задержки сигнала и т. п.), после чего система на основе машинного обучения сама выстроит на базе имеющейся SDN оптимальный маршрут для данного конкретного виртуального канала обмена данными.
Логическое отчуждение управляющего сетевым трафиком оборудования от потоков передаваемых данных обеспечивает SDN дополнительные преимущества в плане информационной безопасности. Начиная с того, что прямые атаки на маршрутизаторы и коммутаторы становятся крайне затруднительны, и заканчивая чрезвычайной простотой сегментации сети. По аналогии с виртуальными машинами, которые функционируют в памяти сервера независимо и надёжно отделены одна от другой, на базе SDN возможно формирование чётко разграниченных виртуальных каналов обмена данными. В результате через скомпрометированный публичный канал связи злоумышленнику не удастся получить доступ к потокам чувствительной информации, физически проходящим через ту же самую сетевую инфраструктуру, но логически от неё отчуждённым.
Далёкое близкое
SD-WAN представляет собой реализацию подхода SDN в отношении WAN. Глобальная (или распределённая, как ещё переводят слово wide в сочетании wide area network) сеть характеризуется широтой географического покрытия, в отличие от сети локальной (LAN), и может охватывать целые районы, города и даже страны. Строго говоря, сам глобальный (пока ещё) Интернет в пределе представляет собой именно WAN. Коммерческие предприятия, государственные или муниципальные учреждения также часто выстраивают собственные WAN различных масштабов — в зависимости от разветвлённости своей филиальной структуры.
Для объединения отдельных фрагментов WAN применяются различные каналы связи и разные протоколы. X.25, frame relay, аналоговые модемные линии, xDSL, MPLS, медные и оптоволоконные кабели — со всем этим приходится иметь дело создающим и обслуживающим WAN специалистам. Совершенно логичным представляется решение переложить управление трафиком в такой сети на автоматизированную систему, которая для каждого соединения и для каждого типа данных способна будет в любой момент времени предложить и выстроить оптимальный виртуальный канал на имеющейся инфраструктуре WAN. Именно таким образом возникают SD-WAN — решения для управления сетью и передачи данных между центром и филиалами.
Безусловно, удобство и простота администрирования распределённой сети — дело хорошее, но только ради того, чтобы снизить нагрузку на ИТ-отделы организаций со множеством филиалов, бизнес вряд ли стал бы инвестировать в развитие SD-WAN. Толчком к развитию этой концепции послужил рост популярности SaaS (ПО как услуга).
Для эффективной замены локального приложения на облачное необходимо, чтобы пользователь на месте вовсе не ощущал разницы между взаимодействием с неким ПО на своём компьютере, на LAN-сервере в соседнем помещении и на виртуальной машине, развёрнутой в коммерческом ЦОДе за десятки километров от него. Эта потребность породила практику заключения между провайдерами и потребителями облачных услуг соглашений о качестве обслуживания (service-level agreement, SLA), которые гарантируют выдерживание чётко измеримых параметров соединения (задержки сигнала, потери пакетов в канале связи, вариаций задержки и пр.) на протяжении определённого периода на интервале обслуживания (скажем, в течение 99,99% времени в течение месяца).
Для многих SD-WAN, например, для тех, что объединяют филиалы банков с центральным офисом в единую распределённую сеть, SLA также имеет серьёзное значение. Корпоративная ИТ-инфраструктура в последние годы существенно тяготеет к централизации и виртуализации, а перевод филиалов на модель SaaS с обеспечением их вычислительных нужд главным дата-центром компании невозможен без обеспечения гарантированного качества обслуживания для бизнес-критичных приложений. Звёздный час SD-WAN наступает именно теперь, когда и клиентская база готовых к внедрению подобного решения заказчиков растёт, и новые технологии дают возможность организовывать контроль и управление распределённой сетью наиболее оптимальным образом.
Безопасность сегодня, автономность в перспективе
Концепция SaaS и, шире, облачные технологии в целом выпустили на волю джинна, которого десятилетиями удерживали в бутылке самоотверженные сисадмины и «эникейщики» во всех отраслях мирового хозяйства. Речь о теневых ИТ (shadow IT); о построении и эксплуатации вполне успешно функционирующей ИТ-инфраструктуры фактически в отсутствие даже азов цифровой грамотности не только у отдельных сотрудников, но и на всех уровнях менеджмента организации.
Повсеместное распространение смартфонов, простота установки приложений из облачных репозиториев приучают к мысли: если что-то нужно сделать, для этого наверняка есть простое и удобное приложение. Скачиваем, устанавливаем, бездумно нажимаем кнопки «Согласен» и проставляем галочки в полях «Предоставить полный доступ» во всех заполненных непонятным техническим текстом окошках, — и всё, задача решена! Прежде проинсталлировать какое-то ПО на корпоративный ноутбук, не говоря о телефоне, было невозможно без ведома ИТ-, а в идеале ещё и ИБ-службы. Теперь — дело другое: по оценке, сделанной экспертами EMC, теневое ИТ обходится мировой экономике примерно в 1,7 трлн. долл. ежегодно — за счёт простоев и потери данных, спровоцированных несанкционированной установкой приложений.
Положившись на SaaS, рядовые сотрудники и руководители подразделений нередко устанавливают на рабочие компьютеры и смартфоны многие десятки приложений, причём у ИТ-специалистов попросту не хватает сил и времени отслеживать эту потенциально опасную активность. По свидетельству ZK Research, в одной из компаний, где проводился опрос на тему shadow IT, менеджмент ИТ-отдела был обеспокоен тем, что наёмные работники используют через развёрнутые локально приложения слишком много облачных сервисов, — как представлялось специалистам, около 60. Когда же был организован детальный аудит, выяснилось, что на деле таких «популярных» в данной организации облачных сервисов — более 500. И эта компания вовсе не уникальна; подобных ей много уже сейчас, и год от года будет становиться всё больше.
SD-WAN, фактически виртуализируя распределённую сеть организации, обеспечивает возможность установить надёжный заслон чрезмерному использованию SaaS на рабочем месте. Такие программные решения, как Shadow IT Discovery компании Masergy, позволяют классифицировать облачные приложения как известные, прилагая к ним заранее прописанный для каждого набор правил, и неизвестные, предотвращая потенциально опасную их активность и уведомляя об их появлении ИТ-специалиста.
И это только начало: в обозримой перспективе за управление SD-WAN непременно возьмётся искусственный интеллект. Собственно, уже сегодня решения, подобные Shadow IT Discovery, представляют собой аналитические системы с элементами машинного обучения. И задач, которые способен взять на себя AI в пределах SD-WAN, множество. Это не только выбор оптимального канала для трафика с определённым SLA, но и оптимизация выделяемых тем или иным приложениям ресурсов сетевой инфраструктуры, и расширенный контроль над безопасностью на всех уровнях, и обнаружение узких мест (перегруженных постоянно либо в определённые дни/часы участков сети) с выдачей рекомендаций по их устранению.
Эксперты Garnter даже выделили новую технологическую категорию — оказание услуг на периферии с безопасным доступом, secure access service edge (SASE), своего рода комбинацию SD-WAN со средствами сетевой безопасности в единый облачный сервис. Продукты из этой категории призваны облегчить ИТ-подразделениям задачи управления крупными распределёнными сетями и разрешения возникающих в них проблем. Пока SASE-сегмент рынка ИТ пребывает в зачаточном состоянии, однако год от года становится всё более очевидно, что в отсутствие подобных высокоавтономных решений обеспечение эффективной и безопасной работы инсталляций промышленного Интернета вещей, например, будет выходить чрезмерно дорогим и неэффективным.
По оценке IDC, в интервале с 2017 до 2022 гг. глобальный сегмент SD-WAN будет расти со среднегодовым темпом 40,4% и в