Подключенность больше не является просто средством обеспечения. Теперь сетевая архитектура должна учитывать также вопросы безопасности и отказоустойчивости, пишет на портале Network Computing д-р Томас Кинг, технический директор компании DE-CIX.

Данные стали валютой для предприятий. По мере того как предприятия передают все больше и больше данных по своим цифровым цепочкам создания ценности, они начинают более тщательно подходить к вопросу защиты этих данных и обеспечения их быстрой и безопасной доставки к месту назначения. Защита данных при их перемещении между облаками, центрами обработки данных и офисами по всему миру — одна из самых серьезных задач, стоящих сегодня перед сетевыми архитекторами, и многие из них рассматривают новые стратегии повышения безопасности за счет более разумной маршрутизации сетевого трафика.

Все чаще одной из наиболее популярных и эффективных стратегий становится прямое подключение к соответствующим сетям, минуя Интернет, что снижает риски несанкционированного доступа и утечки данных. Сетевые архитекторы должны тщательно планировать и учитывать все аспекты своей сети, включая ее физическую схему — где расположены дата-центры и офисы и как данные будут перемещаться между ними. Глубокое понимание топологии сети необходимо для определения наиболее эффективных мер безопасности, таких как маршрутизация трафика по защищенным каналам и применение межсетевых экранов для защиты конфиденциальных данных.

Все это легче сказать, чем сделать, поэтому давайте рассмотрим, как меняется ландшафт подключенности, какие новые потребности и сценарии использования появились, а также некоторые из лучших способов достижения защищенной сетевой архитектуры.

Как меняется ландшафт подключенности в сетевой архитектуре

В мире корпоративной архитектуры гибкость и отказоустойчивость имеют решающее значение. Чтобы не отставать от непрерывного процесса трансформации, предприятиям необходима гибкость, позволяющая изменять структуру подключенности для каждого конкретного места и операции. В прошлом возможности подключения были вспомогательным средством, но теперь они становятся неотъемлемой частью продукта. Например, для подключенного автомобиля требуются безопасные и настраиваемые соединения, а также гибкость в настройке пропускной способности, оптимизации задержек, повышении безопасности и укреплении устойчивости соединения в соответствии с требованиями бизнеса и приложений.

Традиционные корпоративные системы подключения не могут удовлетворить требования современного цифрового бизнеса, которому нужны прочность, устойчивость и гибкость, чтобы оставаться в гонке. Например, на фабрике, прошедшей цифровую трансформацию, хранится больше данных, требующих хранения и обработки, чем на традиционном предприятии. В результате у современных предприятий возрастает потребность в агрегации и транспортировке данных. Продолжая пример с фабрикой, можно сказать, что фабрики уже не являются собственностью только производственных компаний. Благодаря таким концепциям, как «робототехника как сервис», фабрика становится домом для интеллектуальных машин, которыми владеют и управляют внешние партнеры. Это означает, что необходимо оптимизировать связь не только с головным офисом, филиалами и производствами, но и с конкретными внешними сторонами. Интеллектуальные производственные процессы предъявляют гораздо более высокие требования к отказоустойчивости соединений, требуя гарантий в виде соглашений об уровне обслуживания, выделенной полосы пропускания и гибкости.

Более того, компании хотят потреблять больше услуг из централизованных облаков, в том числе от нескольких облачных провайдеров одновременно в рамках стратегии мультиоблака. Это требует гибкости для обеспечения необходимой пропускной способности для конкретного сервиса и возможности маршрутизации между облаками. Подключение уже не сводится к соединению площадок в двух городах, а требует более тонкой настройки связи между приложениями, рабочими нагрузками, устройствами и пользователями.

Учитывая эти требования, необходимо понимать важность устойчивых, быстрых, высокоскоростных и гибких соединений между корпоративной сетью и облаком, а также другими поставщиками сервисов цифровой инфраструктуры. На смену негибким традиционным схемам подключения приходят современные услуги межсетевого взаимодействия через точки обмена интернет-трафиком (internet exchange, IX). Но достижения такого уровня отказоустойчивости и гибкости не достаточно, предприятия должны учитывать и вопросы безопасности данных.

Роль IX

Мы уже говорили о том, что одной из важнейших составляющих успеха предприятия является наличие надежной и прочной связи с клиентами и партнерами. IX позволяет сервис-провайдерам Интернета, сетям доставки контента и другим сетевым провайдерам обмениваться интернет-трафиком, как правило, на беззатратной основе. Подключение к инфраструктуре с помощью порта позволяет каждой сети напрямую соединяться с другими сетями и обмениваться трафиком, что также называется пирингом. Это повышает скорость потоков данных и обеспечивает прозрачность и контролируемость в отношении того, кто отправляет и получает данные.

Современные услуги межсетевого взаимодействия обеспечивают беспрецедентные преимущества для потоков данных компании: решение проблем подключения в широко распределенных географических регионах, повышение производительности, укрепление безопасности и отказоустойчивости, снижение сложности и повышение контроля соответствия в партнерских экосистемах. Организации из всех отраслей присоединяются к IX для управления маршрутизацией трафика данных, однако выбор IX-провайдера имеет решающее значение. Для его безопасной работы необходимы постоянные исследования и разработки, а также регулярный аудит безопасности и обновление передового опыта, чтобы не отставать от постоянно меняющегося ландшафта угроз.

Планирование сетевой архитектуры: выбор поставщика услуг IX

В рамках планирования сетевой архитектуры предприятия должны тщательно продумать свой выбор IX-провайдера. Например, следует обратить внимание на соответствие международному стандарту управления информационной безопасностью ISO 27001. Предприятия привыкли проверять своих деловых партнеров по вопросам безопасности и политики, так почему же отношение к IX-провайдеру должно быть иным? Крупные предприятия полагаются на своих IX- и других партнеров по инфраструктуре, которые предоставляют услуги связи высшего уровня с минимальным риском, часто в нескольких, а возможно, и в десятках областей или регионов по всему миру.

Все типы сетей требуют защиты маршрутизации для предотвращения IP-перехвата, как правило, путем внедрения специализированной инфраструктуры открытых ключей (RPKI). IP-перехват представляет собой реальный риск для предприятий, когда данные клиентов компрометируются и отправляются не по назначению, иногда по злому умыслу, а иногда просто из-за неправильной конфигурации.

Однако защита от DDoS-атак более специфична, поскольку не все сети являются привлекательными объектами для злоумышленников. IX-провайдер, который предлагает услуги по защите от DDoS-атак, позволяющие предприятию фильтровать трафик и пропускать только легитимный трафик, сможет избежать отключения услуг и простоев, вызванных DDoS-атаками. Для повышения безопасности обмена данными предприятие может также создать закрытую группу пользователей в качестве защищенного гостевого «мини-интернета».

Резюме

Современная бизнес-среда требует надежной и устойчивой подключенности. В условиях бурного роста объемов использования данных в современном бизнесе защита данных и обеспечение их быстрой и безопасной доставки к месту назначения является важной задачей, стоящей перед архитекторами сетей.

Прямое соединение становится все более популярной стратегией повышения безопасности, позволяющей обойти Интернет и снизить риск несанкционированного доступа и утечки данных. Сетевые архитекторы должны учитывать все аспекты сети, включая ее физическую схему, и определять наиболее эффективные меры безопасности для обеспечения маршрутизации трафика по защищенным каналам и защиты конфиденциальных данных.

Предприятия также должны учитывать возможность подключения к облачным вычислениям и внешним сторонам, а также необходимость оптимизации, заключения соглашений об уровне обслуживания, выделения полосы пропускания, гибкости и отказоустойчивости. Очень важен правильный выбор IX-провайдера, который должен соответствовать международным стандартам информационной безопасности и предоставлять расширенные функции и услуги по защите сетей от атак.

Данные — это валюта, и, как и с любой другой валютой, транзакции и обмен данными должны быть защищены любой ценой без ущерба для скорости, гибкости и удобства.