Российские SD-WAN и безопасность корпоративных сетей

Услуги связи давно предоставляются по сервисной модели. Нет смысла тянуть свой кабель до АТС, проще ежемесячно платить оператору за телефонный номер. Цифровизация привела к необходимости передавать по сетям не только голос, но и данные. Появились дорогие выделенные линии, связывающие разбросанные по стране подразделения компаний. Телеком -операторы устанавливают на них свои маршрутизаторы и сдают каналы в аренду. Сильно удешевил связь интернет. Однако соединение через публичный интернет нельзя назвать безопасным. Компании начали создавать поверх интернета частные виртуальные сети (Virtual Privet Network, VPN), а операторы – предоставлять как услугу свои, более надежные VPN-каналы. 

С распространением облачных сервисов компаниям понадобилось связываться по внешним сетям не только со своими подразделениями и дата-центрами, но и с площадками облачных провайдеров. Еще сильнее размыла периметр безопасности компаний эпидемия COVID-19. Массовый переход на удаленную работу потребовал обеспечения надежной и безопасной связи сотрудников с информационными системами предприятий из разных мест и с самых разных устройств. На помощь опять пришли операторы связи, предлагая безопасную надежную сеть по сервисной модели. На Западе даже появился термин «сеть как услуга» (Network as a Service, NaaS), и на кривой Gartner технология уже успела пройти пик хайпа (рис. 1).

Надежность связи обеспечивается резервированием каналов, причем самых разных – от выделенных линий и МPLS до мобильной и спутниковой связи и интернета. Вручную сетевикам переключать проблемные каналы сложно, балансировать нагрузку, оптимизируя трафик, почти невозможно. Для решения этих задач начали использовать технологию программно определяемой территориально распределенной сети (SD-WAN), которая позволяет создавать программно управляемые зашифрованные оверлейные туннели поверх существующих сетей. Благодаря шифрованию каналы связи защищены. 

За рубежом технология активно внедряется начиная с 2018 г. и на той же кривой Gartner уже выходит на плато продуктивности. В мировых лидерах – компании Fortinet, VMware и Cisco. (все они в этом году работу на российском рынке прекратили).

SD-WAN – это применение идеологии программно определяемых сетей к распределенным корпоративным сетям. Идея та же – отделение уровня управления процессом передачи данных (Control Plane) от собственно уровня его передачи (Data Plane), что позволяет гибко и централизованно управлять сетями, получать «управляемый VPN», да еще и с дополнительными полезными опциями, такими как балансировка нагрузки по всем имеющимся каналам.

 

На площадках распределенной корпоративной сети устанавливаются оконечные устройства, к внешним портам которых подключаются различные каналы связи (интернет, сеть MPLS, сотовая сеть) (рис. 2). Оконечное устройство имеет WAN-порты, отличающиеся от обычных сетевых портов поддержкой функций SD-WAN. Первая из таких функций – автоматическая настройка криптографически защищенных туннелей. Вторая – интеллектуальное переключение трафика между этими туннелями. Переключение осуществляется не только в случае выхода канала из строя, но и при ухудшении качества связи, задержки или уровня потерь пакетов. Например, если первый канал перегружен, то передача голоса переключается на другой. Это один из самых частых вариантов. Также каналы можно агрегировать. Скажем, если банкомат имеет доступ к двум каналам связи, то можно один разгрузить и обеспечить балансировку. Централизованная система управления (уровень Control Plane), включающая шлюз дата-центра, контроллер SD-WAN и оркестратор безопасности, находится в центральном офисе (в случае модели on-premise) или у оператора связи (в случае модели MSP).

Удобство централизованного управления программно определяемыми распределенными сетями быстро оценили операторы связи, предлагающие услуги NaaS. «Большинство компаний, которые пользуются NaaS операторов связи, постепенно перейдут на услуги на платформе SD-WAN. Для операторов и компаний это намного удобнее. Если раньше заказчику нужно было разворачивать традиционные сетевые решения и иметь многочисленный персонал для их обслуживания, то с SD-WAN таких сотрудников требуется меньше за счет централизованного управления», – дал комментарий нашему изданию Алексей Кудрявцев, руководитель управления сетевых решений кибербезопасности компании BI.ZONE.

Действительно, не нужно привлекать специалистов по настройке сетей: на удаленных площадках достаточно подсоединить оконечное устройство к сети, включить питание, нажать на ссылку активации, и за 15 минут будет создано подключение к сети оператора связи, у которого уже установлен центральный контроллер. Клиент получит учетную запись и сможет управлять своими VPN-каналами.

На российском рынке пионером SD-WAN стала МТС, начавшая в 2020 г. использовать решения Fortinet. Во многом благодаря совместным проектам вендора и оператора российский рынок услуг SD-WAN в 2021 г. достиг 1,45 млрд руб. (данные iKS-Consulting). Свой вклад в популяризацию технологии внесла компания BI.ZONE, выпустившая в 2021 г. первое отечественное решение SD-WAN. 

Решения SD-WAN можно рассматривать как подмножество более широкого класса систем VPN. Причем в 2021 г. их доля на западном рынке превысила долю традиционных VPN-решений. Учитывая наше отставание, которое эксперты оценивают в два-три года, можно ожидать, что в России доля решений SD-WAN на рынке VPN превысит 50% в 2023–24 гг. В деньгах оценить сложнее: объем рынка VPN в целом, который, по данным iKS-Consulting, в 2021 г. cоставил 44,53 млрд руб., в нынешнем году, как прогнозирует консалтинговое агентство, из-за санкций уменьшится на 3,4%. Дальнейшие изменения в ввиду высокой турбулентности в геополитике предсказать трудно. Но если спад удастся остановить, объем российского рынка SD-WAN в 2023–24 гг. составит примерно 22 млрд руб. 

Санкции и уход зарубежных вендоров приведут к распределению рынка между российскими игроками. На решения open source рассчитывать трудно – первый и единственный продукт с открытым кодом FlexiWAN имеет крайне ограниченный функционал и по сути является централизованно управляемым традиционным маршрутизатором, в котором от SD-WAN нет почти ничего. Остаются российские решения: BI.ZONE Secure SD-WAN и вышедшее на рынок в 2022 г. Kaspersky SD-WAN. Скорее всего, между ними и развернется конкурентная борьба за клиентов, у которых будут заканчиваться лицензии зарубежных вендоров, и за новых заказчиков, решивших развернуть или модернизировать корпоративные сети. Наиболее вероятными пользователями услуг NaaS станут компании среднего и малого бизнеса, имеющие более десятка удаленных площадок (филиалов, дата-центров, офисов, киосков самообслуживания).

Стоит отметить, что оба российских вендора – компании, специализирующиеся на безопасности, и именно необходимость защиты распределенной корпоративной сети, создания решения для находящейся сейчас на вершине хайпа технологии безопасного пограничного доступа (SASE) побудила их заняться SD-WAN. Ведь SASE – единая модель обслуживания, включающая помимо служб сетевой безопасности, таких как межсетевой экран (МСЭ) следующего поколения, безопасный веб-шлюз, сетевой доступ к сети с нулевым доверием, посреднические службы облачной безопасности и SD-WAN. И решения SD-WAN необходимы для обеспечения комплексной безопасности корпоративных сетей клиентов.

Впрочем, спектр отечественных решений SD-WAN не ограничивается двумя вышеперечисленными. В реестре российского ПО зарегистрирована система «Богатка» на основе технологий программно определяемых сетей от московского производителя сетевого оборудования Network Systems Group. Но в информационном поле компания активности не проявляет, сведений внедрениях нет, и оценить потенциал решения сложно.

Как сообщил А. Кудрявцев, после 24 февраля число запросов от клиентов, интересующихся BI.ZONE Secure SD-WAN, возросло более чем в 20 раз. Причем одним клиентам достаточно сетевого решения класса SD-WAN со стандартным МСЭ L4, и существующий продукт BI.ZONE их полностью удовлетворяет. У других организаций, применявших ранее системы зарубежных вендоров, есть сложившийся набор требований. Например, многим нужны динамические протоколы маршрутизации. Большинству подходит имеющийся в решении протокол BGP, но некоторым нужен OSPF, который пока не поддерживается. Возникают требования к кластеризации, к распознаванию приложений. У ряда западных вендоров есть MPLS VPN «из коробки», но в российских решениях для корпоративного рынка полноценный промышленный MPLS VPN в настоящий момент отсутствует. 

Серьезные требования выдвигаются к МСЭ. Для соответствия SASE многим заказчикам на оконечных устройствах (BI.ZONE CyberEdge) нужны межсетевые экраны нового поколения, анализирующие трафик не только по адресам и портам, но и по сигнатурам. Эту функциональность BI.ZONE собирается реализовать в I квартале 2023 г. Несмотря на то, что сегодня решение российского разработчика не обладает всем спектром функциональных возможностей зарубежных аналогов, для конкретного заказчика может быть установлен срок, в течение которого он получит требуемую ему функциональность. По слова А. Кудрявцева, доработка обычно занимает один-два квартала. 

Для доступа к облакам в дата-центрах размещаются виртуальные машины, подключающиеся к нужным сервисам. BI.ZONE Secure SD-WAN поддерживает стандартные гипервизоры VMware и Qemu/KVM, но есть и нестандартные облака, как правило, это сложные кастомизации OpenStack. Пока решение поддерживает только облако Cloud (ранее SberCloud). Среди нестандартных проблем других облаков – невозможность в автоматическом режиме создать виртуальную машину с двумя сетевыми интерфейсами. Например, в Yandex.Cloud для этого нужно создавать заявку в службе поддержки облака.

Основное направление развития NaaS – привлечение средних и малых предприятий. Чем меньше бизнес – тем выгоднее использовать аренду, в случае SD-WAN – совместно использовать ресурсоемкий центральный контроллер оператора. Крупные заказчики, вероятнее всего, захотят иметь собственный централизованный контроллер, но в условиях санкций и дефицита оборудования могут выбрать облачную модель.

«Для нас малый бизнес – это большой бизнес. Мы понимаем, что основные триггеры для выбора решений SD-WAN у компаний малого и среднего бизнеса – это простота и удобство работы. Концепция SD-WAN подразумевает максимальное упрощение и автоматизацию работы с сетевым оборудованием, что оценят небольшие компании, в которых нет выделенного ИT-отдела, но есть множество филиалов и/или идет активное развитие», – пояснила Анна Комша, руководитель направления развития сетевой безопасности «Лаборатории Касперского».

Как показал анализ рынка, пользователи, уже внедрившие или пилотирующие решения SD-WAN, работают в самых разных отраслях. Чаще всего это банки и финансовые организации, промышленные предприятия, энергетики, телеком-операторы, строительные компании. Бюджетным организациям и госструктурам интересно использовать решения по модели NaaS. Это справедливо и для предприятий из системы образования. Между моделями NaaS и on-premise выбирают клиенты из ритейла, медицины, фармацевтики ЖКХ и ИТ-компании.

У каждого пользователя свой тип трафика. Например, трафик банкомата существенно отличается от трафика школы. В школах требуется защита от атак изнутри – там важно иметь набор систем безопасности непосредственно на площадке. Зато там есть администраторы, которые могут перенастраивать оконечное устройство. А вот банкоматы перенастраиваются крайне редко и защищаются централизованно. Они не взаимодействуют друг с другом, объем трафика мал, поэтому для них требуется простое устройство с минимальными производительностью и ценой. 

«К концу года мы внедрим свое решение на сотнях площадок. У наших партнеров, которые строят решения NaaS, уже есть очередь из клиентов, желающих подключиться через SD-WAN. Один из крупных операторов планирует в следующем году подключить не менее тысячи новых SD-WAN устройств», – поделился планами А. Кудрявцев. Заказчики начинают доверять управление корпоративными сетями передачи данных операторам связи и видят в использовании NaaS c SD-WAN экономическую выгоду.

Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!

<< Предыдущая статья   Вернуться к содержанию   Следующая статья >>