План по SD-WAN. Российские сетевые решения готовы к внедрению
Сетевые решения Сетевые решения

Почему SD-WAN — связующее звено между ИБ-продуктами? Работа с заказчиком: у ИТ есть ответы на все возражения. Экспертиза по SD-WAN в РФ: от проектирования до техподдержки

Главная>Сетевые решения>План по SD-WAN. Российские сетевые решения готовы к внедрению
Сетевые решения Обзор

План по SD-WAN. Российские сетевые решения готовы к внедрению

Дата публикации:
19.11.2024
Посетителей:
40
Просмотров:
39
Время просмотра:
2.3

Авторы

Автор
Дмитрий Сахарчук руководитель направления сетевых решений кибербезопасности BI.ZONE
Автор
Максим Данилин Эксперт по SDN-решениям компании «Инфосистемы Джет»
Автор
Максим Каминский руководитель программы сетевой безопасности компании «Лаборатория Касперского»

/ Почему SD-WAN — связующее звено между ИБ-продуктами?

 

/ Работа с заказчиком: у ИТ есть ответы на все возражения ВСЁ И СРАЗУ


/ Экспертиза по SD-WAN в РФ: от проектирования до техподдержки

 

Сети SD-WAN приобретают популярность у отечественных компаний благодаря большей эффективности, надежности и безопасности работы. И российским вендорам есть чем ответить на запрос рынка. В статье мы рассмотрели два флагманских решения в области SD-WAN от компаний «Лаборатория Касперского» и BI.ZONE, а также дали слово экспертам, которые рассказали об особенностях их внедрения и эксплуатации.

Филиалы на связи

 

SD-WAN — технология централизованного управления сетью, которая повышает надежность ее работы, упрощает масштабирование и снижает затраты на обслуживание. Эти преимущества вкупе с высокой скоростью внедрения и миграции делают эту технологию особенно востребованной у компаний с большим количеством филиалов, а также в организациях, которые хотят улучшить качество управления сетью. Если говорить об SD-WAN как о самостоятельном решении, то одной из сильных сторон технологии считается возможность максимально автоматизировать управление подключенными устройствами и их настройками. Это позволяет достичь четкой последовательности в установке и обновлении конфигураций, а также сводит к минимуму риск столкнуться с угрозами из-за влияния человеческого фактора и использования устаревших политик на подключенных устройствах. В результате применение SD-WAN помогает обеспечить непрерывность бизнес-процессов и повысить их эффективность путем создания единой отказоустойчивой филиальной сети.

 

Сейчас в России существует целый ряд вендоров, которые обеспечивают переход на решения SD-WAN с гарантированной техподдержкой. В числе таких решений — Kaspersky SDWAN и BI.ZONE Secure SD-WAN, обладающие развитыми защитными функциями.

Авторы

Если говорить об SD-WAN как о самостоятельном решении, то одной из сильных сторон технологии считается возможность максимально автоматизировать управление подключенными устройствами и их настройками.

«Покажем, посчитаем, спроектируем, внедрим и поддержим»


Несмотря на все преимущества SD-WAN, пока не все российские компании знакомы с функционалом решений данного сегмента, и внедрение продуктов на базе такой технологии может вызывать ряд возражений у заказчиков. Впрочем, с этой ситуацией достаточно легко справиться.

«С техническими специалистами заказчиков мы детально обсуждаем функциональные и технические характеристики продуктов, чтобы не осталось сомнений относительно эффективности их работы. Подробно рассказываем о том, как их настраивать, как обстоят дела с их надежностью и отказоустойчивостью. Тут у продуктов SD-WAN все неплохо. Они представляют собой комплексные решения, которые совмещают в себе как сетевые фичи, так и функции ИБ (например, такие как МСЭ и криптозащита трафика). Кроме того, обращаем внимание ИТ-специалистов на возможности управления из единого контроллера, создания шаблонов для настроек всех устройств в сети, а также гибкой балансировки различных типов трафика».

Максим Данилин

Если же говорить о бюджетах и рисках внедрения систем, чем всегда интересуется топ-менеджмент, то здесь все сомнения исчезают после презентации решения и демонстрации нашей готовности провести его тестирование и пилотирование. Специалисты компании «Инфосистемы Джет» помогают заказчикам рассчитать экономическую целесообразность использования продукта и при необходимости берут его поддержку на себя.

«Построив приблизительную модель стоимости владения различными типами продуктов и сравнив эти несколько вариантов, можно оценить экономическую эффективность решений SD-WAN. В теории SD-WAN позволяет сэкономить на каналах связи 25–30%, поскольку продукты данной категории обладают отличной функциональностью, совмещая в себе сразу несколько решений. Поэтому у них есть неплохие перспективы на рынке».

Дмитрий Сахарчук

Понятная работа

 

Главным конкурентом SD-WAN в области построения распределенных сетей считаются «классические» решения западных вендоров сегмента DMVPN (Dynamic Multipoint Virtual Private Network — динамическая многоточечная виртуальная частная сеть), которые имеют более узкие возможности. При этом процесс внедрения SD-WAN практически не отличается от установки DMVPN. Он подразумевает построение нового сегмента параллельно существующей сети и планомерную миграцию на нее всех используемых площадок. Как правило, для заказчиков это понятная и известная работа. А в случае с SD-WAN-решениями ее можно будет выполнить быстрее, чем для DMVPN.

Центральное звено


Заказчиков привлекают широкие возможности решений SD-WAN в сфере информационной безопасности. В первую очередь к ним относятся управление и мониторинг кибербезопасности в части автоматизации операций и централизации управления. Вся информация о работе сети, устройствах, трафике и событиях передается в централизованную систему — контроллер SD-WAN. Там ее можно обработать или передать во внешние ИБ-решения.

«Типичные угрозы для сетевой инфраструктуры SD-WAN — это отказ в обслуживании, получение несанкционированного доступа к сети, MitM-атаки и перехват трафика. Для борьбы с ними в BI.ZONE Secure SD-WAN успешно применяются такие интегрированные средства безопасности, как файрвол, шифрование трафика управления и данных, а также централизованное управление доступом. Дополнительной возможностью является интеграция решения с внешними системами — IDS, SIEM, PAM, SDNS и др. Их комплексная работа позволяет успешно защищать сети на базе SD-WAN от большинства возможных атак. При этом особый акцент в области безопасности мы рекомендуем делать на управляющем контуре, в который входят контроллеры и оркестраторы, поскольку именно они являются наиболее приоритетной целью для злоумышленников».

Дмитрий Сахарчук

Кроме того, уровень безопасности сетевой инфрструктуры повышает использование централизованных систем AAA (Authentication, Authorization and Accounting). Например, BI.ZONE PAM позволяет выявлять попытки получить неавторизованный доступ к сети. Вместе с тем для укрепления ИБ разработчики рекомендуют применять корпоративные системы DNS или коммерческие сервисы и очень внимательно отслеживать все запросы — как от пользователей, так и от оборудования. Такая интеграция позволяет выявить и устранить большой спектр вредоносного ПО в сети компании.

 

Если же решения SD-WAN рассматривать как часть концепции сетевой безопасности организаций SASE (Secure Access Service Edge), то именно они будут выступать связующим звеном между всеми продуктами, в том числе защитными.

«Kaspersky SD-WAN обеспечивает шифрование данных и управление трафиком в любых каналах связи, будь то частные каналы или широкополосное подключение к сети. В этом смысле продукт представляет собой OTT-решение (Over The Top). Также SD-WAN может выступать в качестве источника данных для таких специализированных решений для мониторинга ИБ, как SIEM или XDR, которые агрегируют события из разных источников и выявляют их корреляцию с точки зрения событий безопасности. В частности, у нас есть отработанный сценарий интеграции Kaspersky SD-WAN и Kaspersky Unified Monitoring and Analysis Platform для передачи данных о сетевом трафике».

Максим Каминский

Акцент на безопасности


Функция шифрования трафика между локациями особенно важна, поскольку технология SD-WAN изначально нацелена на организацию распределенных сетей, объединяющих удаленные офисы, филиалы, небольшие объекты (например, банкоматы) и ЦОД в единую инфраструктуру.

«Это значительно увеличивает уровень защиты данных и исключает реализацию таких типов атак, как sniffing, man-in-the-middle и др. Для максимального уровня защищенности шифрование должно осуществляться только с применением российских алгоритмов (ГОСТ вместо AES/3DES). Также здесь важна сертификация решений в ФСБ и ФСТЭК, что подтверждает уровень защищенности продукта».

Дмитрий Сахарчук

Усилить кибербезопасность организаций помогает и встроенный в продукты «Лаборатории Касперского» менеджер виртуальных сетевых функций (VNF). Он обеспечивает легкое внедрение средств защиты, а также на основе встроенной телеметрии позволяет в реальном времени осуществлять мониторинг всех компонентов технологии, состояния туннелей и приложений.

 

Компания работает над совершенствованием продукта. Так, в обновленной версии Kaspersky SD-WAN 2.3 планируется улучшить процесс ZTP, а также повысить удобство инсталляции и настройки компонентов платформы. Кроме того, в ответ на запросы пользователей планируется реализовать поддержку ГОСТ-шифрования, что в дальнейшем позволит использовать Kaspersky SD-WAN без внешних СКЗИ.

Уведомления об обновлении тем – в вашей почте

Создание сетевой инфраструктуры Интранет

Рост Интернет вызвал параллельный взрывной рост корпоративных Интранет-сетей, потенциал которых оценивается очень высоко. Однако мало кто задумывается о том, что нужно для их успешного построения.   Возрастающие бизнес-требования вызывают ...

Compromise Assessment: Найти все, что скрыто

Compromise Assessment обеспечивает обнаружение продвинутых угроз и инцидентов на ранних этапах, быструю проверку инфраструктуры и проведение сложных расследований. Анализ инфраструктуры способен выявить скрытые доступы злоумышленников, а также следы компрометации и функционирования ВПО. После обнаружения инцидента с помощью Compromise Assessment начинается работа по его сдерживанию и ликвидации.

Песочницы под микроскопом: обзор решений (продолжение)

Обзор решений класса Anti-APT с акцентом на наиболее важные критерии по выбору «песочниц»

Мы наш, мы новый мир построим, или ИТ-инфраструктуру 2025 года пора планировать уже сейчас. Часть 1

В конце ноября на общественное обсуждение вынесен план мероприятий по развитию информационной инфраструктуры для цифровой экономики РФ.

Advanced Persistent Threat в действии: демонстрация методов доставки вирусов

Специалисты компании «Инфосистемы Джет» продемонстрировали, что такое таргетированные атаки на практике

Актуальные вопросы выявления сетевых атак

С увеличением зависимости мировой экономики и государственных структур от Интернет, возрастает и уровень риска, связанного с осуществлением сетевых атак на ресурсы сетей, подключенных к Интернет. Осуществление атак через сеть Интернет ...

Обзор решений по защите от таргетированных атак

Обзор представляет решения Anti-APT от ведущих производителей: FireEye, Trend Micro Deep Discovery, Check Point SandBlast, Kaspersky Anti Targeted Attack Platform (KATA)

Спасибо!
Вы подписались на обновления наших статей
Предложить
авторский материал





    Спасибо!
    Вы подписались на обновления наших статей
    Подписаться
    на тему







      Спасибо!
      Вы подписались на обновления наших статей
      Оформить
      подписку на журнал







        Спасибо!
        Вы подписались на обновления наших статей
        Оформить
        подписку на новости







          Спасибо!
          Вы подписались на обновления наших статей
          Задать вопрос
          редактору








            Оставить заявку

            Мы всегда рады ответить на любые Ваши вопросы

            * Обязательные поля для заполнения

            Спасибо!

            Благодарим за обращение. Ваша заявка принята

            Наш специалист свяжется с Вами в течение рабочего дня