Технологічна зміна неминуча. Більшість ІТ-лідерів почали використовувати програмно-визначені мережі (SDN). Оскільки традиційна глобальна мережа витісняється її програмно-визначеним молодшим братом, ми знаходимося на порозі значного переходу до програмного керування потоком у технології WAN. Відповідальним за цю зміну технології в бік SD-WAN є збільшення використання хмари, а також аспекти витрат на продуктивність загалом.
Однак наразі більшість корпоративних глобальних мереж все ще мають ту саму архітектуру, яка була актуальною більше десяти років тому. Незважаючи на те, що в результаті потрясіння вже існує гібридна ситуація, коли компанія з кількома локаціями зазвичай з’єднує їх за допомогою так званого мультипротокольного перемикання міток, більш відомого як MPLS. З’єднання MPLS, безсумнівно, є надійними та дуже безпечними, але вони можуть бути дуже дорогими та ресурсомісткими.
Очищення даних в ЦОД
Поки все добре: але лише доки всі додатки знаходяться в центрі обробки даних. У зв’язку зі збільшенням використання хмарних служб, таких як Office 365, і глобального об’єднання в мережу дані тепер переміщуються з центру обробки даних у хмару. Традиційна модель ІТ-інфраструктури стає все більш неактуальною. Фізичний центр обробки даних, як ми його знаємо, очищається.
Весь трафік хмарних даних направляється назад до локального центрального брандмауера через канали MPLS, навіть для хмарних програм. Така структура зворотного зв’язку є дуже безпечною, але сповільнює роботу мережі, сприяє проблемам затримки та ускладнює інфраструктурну архітектуру.
Мережа повинна просто забезпечити безпечне надходження даних із відповідного місця в хмарі. Після того, як усі програми знаходяться в хмарі, а центр обробки даних практично порожній, виникає питання: навіщо продовжувати використовувати дорогі схеми MPLS?
Перехід до хмари потребує нової архітектури. Такий, який охоплює хмарні технології та міграцію додатків у загальнодоступну хмару: SD-WAN дозволяє програмно керувати традиційними WAN-з’єднаннями. Технологія SD-WAN спрощує керування та роботу WAN, відокремлюючи мережеве обладнання від механізму керування. Він «віртуалізує» глобальну мережу для налаштування мережі та маршрутизації трафіку, ігноруючи з’єднання пропрієтарного обладнання.
Для SD-WAN потрібні нові правила безпеки
Перехід від архітектури транзитного зв’язку до централізованої ІТ-безпеки вимагає такого ж рівня безпеки, який раніше існував у центральному місці та гарантувався для всіх розподілених місць.
Оскільки єдиний централізований брандмауер більше не є життєздатним рішенням для кількох зривів, перші продукти SD-WAN забезпечували безпеку через об’єднання послуг із існуючими брандмауерами NextGen, перенесення елементів керування безпекою в хмару або навіть надання базового вбудованого брандмауера та IPS впевнений у безпеці. На жаль, усі ці підходи або не забезпечують адекватну безпеку, або не відповідають критичній вимогі централізованого керування всією мережею.
Щоб усунути ці недоліки, була створена Secure SD-WAN, яка поєднує в собі переваги повного підключення SD-WAN з повною безпекою брандмауера, включаючи комплексний контроль і виявлення додатків, а також можливість додавати хмарний розширений захист від загроз. Крім того, ці продукти включають централізоване керування всіма налаштуваннями мережі, маршрутизації та безпеки, що робить керування WAN набагато простішим і легшим.
Захищена SD-WAN має містити такі функції:
1. Термінація SD-WAN - об'єднання кількох недорогих ліній
2. Оптимізація WAN - найкраще використовувати пропускну здатність
3. Маршрутизація – перенаправлення трафіку
4. Брандмауер - на кожному сайті для копіювання середовища філії
5. Розширений захист від інтернет-загроз - наприклад, технологія пісочниці
Критично важливим для безпеки SD-WAN є усунення потреби в єдиному величезному централізованому брандмауері, через який маршрутизувався весь трафік. Однак відсутність брандмауера також означає, що кожен користувач мережі вразливий до шкідливих програм та інших кібератак. Той самий рівень безпеки, який раніше забезпечував центральний брандмауер, тепер можна досягти за допомогою багатьох менших брандмауерів на кожному окремому сайті. При підключенні до SD-WAN замість дорогого MPLS можна використовувати недорогі локальні підключення до мережі відповідного постачальника хмарних послуг.
Хмарна пісочниця замість централізованої пісочниці
Централізований брандмауер зазвичай підтримується централізованою пісочницею, яка очищає завантажені дані, а потім передає їх на зворотному шляху через транспортний канал.
Однак централізована структура пісочниці є досить нереалістичною: щойно користувач починає завантажувати файл, цей файл має бути перенаправлений до централізованої пісочниці та знову доступний для користувача. Насправді пісочниця зараз ізольована, оскільки навряд чи хтось із ІТ захоче дозволити собі встановлювати пісочницю в кожному місці. Щоб убезпечити трафік даних і уникнути кібератак, місця повинні бути з’єднані через тунель. Більш ефективним рішенням є хмарна пісочниця. За допомогою SD-WAN інформацію можна надсилати в пісочницю в хмарі. У той же час трафік оптимізується для пріоритетності важливої інформації.
Ця комбінація процесів забезпечує значно кращу безпеку, ніж класичні централізовані підходи. А оскільки ІТ-безпека також знаходиться в хмарі, доступ до мережі можна отримати з будь-якого місця, захищаючи користувачів, які працюють віддалено.
Ініціалізація без дотику (ZTP) економить час і гроші
Одна порада: усюди, де це можливо, шукайте безконтактне надання (ZTP). Це економить час і гроші. Завдяки функціонуванню без дотику пристрій можна відправити безпосередньо на кінцевий сайт і налаштувати його з хмари. Після введення в експлуатацію конфігурація автоматично передається на пристрій.
Оскільки це, безперечно, лише питання часу, коли атаки також будуть націлені на середовища SD-WAN, команди ІТ-безпеки повинні своєчасно та постійно впроваджувати заходи безпеки, спеціально розроблені для їхнього програмно-визначеного середовища.
Дізнайтесь більше на Barracuda.com
[starboxid=5]