Консолидация была важной частью цифровых инноваций на протяжении десятилетий. Многие из функций и возможностей, которые мы сейчас воспринимаем как само собой разумеющиеся, когда-то были самостоятельными решениями. Раньше TCP-IP был решением, которое приходилось приобретать и добавлять в сеть отдельно. VPN-концентраторы продавались исключительно как отдельные устройства, а не как функция. И SD-WAN не исключение.
Платформа безопасности — идеальное место для интеграции SD-WAN
Сама концепция интегрированной платформы безопасности основана на идее, что определенные основные функции должны быть частью единой системы. Посмотрите на стандартный функционал платформы безопасности: NGFW, IPS, антивирус, защита от вредоносных программ, службы AAA, веб-фильтрация, песочница и другие возможности, в зависимости от платформы.
Сетевая функциональность также была интегрирована в современные платформы для обеспечения безопасности. Агрегация VPN, например, включает в себя управление коммуникациями и контроль доступа. Проводные и беспроводные точки доступа взаимодействуют с платформой NGFW для обеспечения безопасности доступа, а также с такими продуктами, как управление сетевым доступом (NAC). Интегрированная сегментация сети гарантирует, что устройства назначаются определенным сегментам сети, контролируемым с точки зрения безопасности, на основе таких вещей, как роль пользователя, тип устройства и требуемый уровень доступа к определенным ресурсам.
У всех этих вещей есть две общие черты. Во-первых, все эти решения были объединены в одном устройстве, поскольку все они, так или иначе, обеспечивают защиту сетевого доступа, а затем проверяют и защищают данные, перемещаемые между цифровыми средами. А во-вторых, когда-то все они были отдельными автономными решениями.
Почему решение SD-WAN должно отличаться?
Безопасность сети и функционал SD-WAN должны идти рука об руку
Реальность такова, что без надежной защиты SD-WAN становится еще одним каналом для доступа вредоносных программ и киберпреступников в вашу сеть. Отсутствие интегрированной защиты — это «ахиллесова пята» SD-WAN, а ее интеграция в качестве дополнения получается не только дорогой и громоздкой, но и оставляет огромные пробелы в безопасности при переключении соединений трафика, чтобы обеспечить постоянную полосу пропускания для критически важных приложений.
Добавление полнофункционального решения SD-WAN к платформе безопасности в качестве функции устраняет необходимость развертывания еще одного устройства на границе периметра сети. А если решение полностью интегрировано в платформу, как это и должно быть, это позволит проверять, защищать и контролировать все соединения SD-WAN и приложения, по умолчанию используя все мощности комплексной системы. Кроме того, поскольку платформы безопасности имеют различные форм-факторы, их легче развертывать в различных условиях и формах, помимо традиционного филиала.
Не всякая платформа безопасности готова к интеграции SD-WAN
Конечно, это связано с некоторыми нюансами. Прежде всего, платформа безопасности должна быть действительно интегрированной. Слишком многие платформы все еще являются просто набором отдельных устройств безопасности, соединенных вместе в коробке из листового металла, в дополнение к которому идет меню-оболочка, из которого просто можно запускать различные компоненты такой структуры. Настоящая интегрированная платформа нуждается в инструментах, специально предназначенных для взаимодействия в качестве единой системы, в идеале когда каждый элемент работает в одной и той же операционной системе и управляется с использованием единой панели интерфейса. Это гарантирует, что все транзакции будут просматриваться и проверяться, а любые угрозы или аномальное поведение распределяются между всеми релевантными компонентами системы для максимальной защиты.
Как часть такой интегрированной системы, функциональные возможности сети и подключения SD-WAN будут не просто более тесно связаны с решениями безопасности, установленными на платформе. Они будут единым целым. Таким образом, когда соединение требует аварийного переключения из-за ухудшения производительности, безопасность будет отказоустойчивой, обеспечивая бесперебойную защиту даже в самых высокодинамичных средах.
И в отличие от попыток добавить решение, обеспечивающее безопасность к SD-WAN, включение дополнительных функций решения SD-WAN к базовой операционной системе интегрированной платформы безопасности не является проблемой. Это то, для чего была разработана эта операционная система, учитывая, что она уже работает и интегрирует широкий спектр технологий. И ее консоль управления также уже разработана для одновременной настройки, организации и создания отчетов по нескольким решениям. Благодаря управлению политиками SD-WAN, требованиям SLA и другим базовым функциям наряду с функциями безопасности, видимость и контроль над развертыванием защищенного SD-WAN консолидируются и улучшаются.
Следующая проблема — производительность. Известно, что платформы для обеспечения безопасности в определенной степени являются «бутылочным горлышком», особенно когда речь идет о многих современных приложениях с высокими требованиями к пропускной способности, например, сервисах для видеоконференций или потоковой передачи мультимедиа. И проблема усугубляется, когда эти данные зашифрованы. Проверка зашифрованных данных приводит к снижению пропускной способности большинства устройств безопасности. Так происходит потому, что, несмотря на их узкоспециализированные функциональные возможности, почти все устройства безопасности по-прежнему необъяснимым образом полагаются на стандартные готовые процессоры для обработки своих ресурсоемких функций, таких как проверка зашифрованных данных.
Другие высокотехнологичные решения, такие как облачные платформы, смартфоны, сетевые устройства и даже «умные» автомобили, используют специализированные процессоры для более эффективной обработки больших объемов специализированных данных. Без собственных процессоров многие производители систем безопасности не готовы удовлетворить любые потребности ресурсоемкой обработки завтрашнего дня, не говоря уже о функциональных требованиях интегрированного решения SD-WAN. С этой целью все больше поставщиков безопасности должны приступить к разработке своего оборудования для оптимальной работы в современных сложных и требовательных к производительности средах.
Защищенный SD-WAN поддерживает сетевой подход, основанный на безопасности
Однако наиболее важным вариантом использования для интегрированного SD-WAN в платформу безопасности является необходимость перехода всех организаций к сетевой модели безопасности. Цифровые инновации постоянно опережают способность специалистов по безопасности защищать расширяющуюся поверхность атаки, увеличивая риск и оставляя бизнес излишне уязвимым. С другой стороны, сетевой подход, основанный на безопасности, гарантирует, что защита всегда является интегрированной функцией любого проекта по развитию или расширению сети. При таком подходе безопасность существует не только «за компанию». Это неотъемлемая часть новой сети — она адаптируется и масштабируется вместе с сетью, даже когда она расширяется в новые облачные среды, предоставляет более гибкие услуги для филиалов и движется вровень с растущим сетевым периметром.
Может показаться, что тема переноса функций SD-WAN с автономного устройства на интегрированную платформу безопасности возникла недавно и развивается очень быстро. Но скоростью, с которой развиваются цифровые инновации подразумевает, что у нас нет ни времени, ни ресурсов, чтобы устанавливать еще одно физическое устройство в каждое удаленное место. Нам нужны гибкие, интегрированные и адаптируемые решения, разработанные для поддержки нескольких вариантов использования, и наилучшим способом продвижения вперед является переход SD-WAN с автономного устройства на функцию внутри устройства, которое уже было развернуто всюду.