Руслан Рахметов, Security Vision
Компьютерные сети связывают устройства и позволяют обмениваться данными для разных задач: объединение колонки умного дома с чайником, мониторинг состояния безопасности в удалённом офисе, покупка в интернет-магазине, доступ к рабочему хранилищу документов из дома и т.д. Мы уже рассказывали про разновидности сетей (локальная и географически распределённая, частная и общедоступная), а в этой статье хотим сосредоточиться на особенностях широкополосных сетей (Wide Area Network, WAN) и технологиях, используемых при создании таковых.
Основная задача WAN – это связь удалённых друг от друга объектов, для нее используются более дорогие технологии, чем Bluetooth или Wi-Fi. Поэтому часто капитальные расходы можно оптимизировать, добавив в сеть «умное» управление. Это можно сравнить с суперприложениями, которые не только удерживают пользователей в рамках одной экосистемы из сервисов, но и дают последним больше возможностей из единого интерфейса. Одно из самых первых супераппов – китайский WeChat, который объединил в рамках мессенджера бытовые и финансовые, государственные и другие сервисы. Пользователь этого суперприложения может общаться с друзьями, заказывать еду, переводить деньги и оплачивать коммунальные услуга. Если представить компанию с большим количеством офисов по всей стране, сетевым администраторам также было бы полезно управлять такими сетями из единого интерфейса, например, при помощи MPLS (Multiprotocol Label Switching) или SD WAN (Software-Defined Wide Area Network).
Поскольку масштабирование и управление трафиком намного проще в SD WAN, операционные расходы на поддержание ниже, а добавление новых местоположений быстрее, мы сосредоточимся именно на этой технологии и расскажем о ее основных особенностях.
Программное централизованное управление
В первую очередь SD WAN организована программно, что следует из названия. Такой подход позволяет настраивать WAN сети не на отдельных устройствах, а через единый интерфейс, как, например, устроено управление умным домом в приложениях от Yandex и Amazon. Если представить классический подход, то он будет похож на набор пультов дистанционного управления ТВ, кондиционером и умными лампочками, в то время как единый программный интерфейс – через общее приложение на смартфоне, или даже голосом без необходимости постоянно иметь телефон в руках.
Для ИТ-специалистов простое управление – первая очевидная выгода от применения SD-технологии, но бизнес также может снизить расходы на традиционные дорогостоящие MPLS-линии и иметь возможность адаптироваться к росту и изменяющимся потребностям сотрудников и клиентов.
Динамическая маршрутизация
SD-WAN может выбирать наилучший путь для трафика и изменять его от случая к случаю на основе актуальных настроек. Традиционные WAN, как правило, используют статическую маршрутизацию, а она может обладать меньшей надёжностью и более низкой производительностью (скоростью). Сравнить динамический подход можно с системами навигации для автомобилей, которые перестраивают маршруты с учётом пробок, платных дорог или в случае, если водитель отклонился от первоначального маршрута. Перестраивание маршрута по ситуации позволяет водителю не отвлекаться и делает движение более безопасным, разгружая дороги в ремонте или густонаселённые области. Помимо упрощённой навигации, динамическую перенастройку можно наблюдать повсюду: умные светофоры (переключающиеся в зависимости от пробок и времени суток), музыкальные сервисы (изменяющие подборку в зависимости от ваших лайков и дазлайков), АЭС (управляющие теплообменом и выработкой электричества в соответствии со статистикой потребления по сезонам года и времени суток).
Динамическая настройка в SD WAN позволяет настраивать сеть в реальном времени, упрощает добавление новых узлов и оптимизацию трафика без командировок сисадминов и необходимости вмешательства на месте. Технология обеспечивает автоматическое переключение и резервирование соединений, что повышает доступность сети и снижает риски простоев, ведь даже один час простоя бизнеса, недоступности интернет-магазина или приложения банка может негативно сказаться на прибыли и доверии клиентов.
Оптимизация трафика
SD-WAN предлагает сжатие данных, кэширование и распределение трафика между различными каналами связи, чтобы улучшить производительность приложений и сэкономить средства за счёт более быстрых соединений. Автоматическое переключение между каналами в случае отказов способствует также более высокой доступности сети и приложений, о чем мы говорили выше.
Сравнить такую оптимизацию можно с каталогом недавних файлов в MS Windows, подборкой последних открытых приложений на смартфоне или кешированием браузера, когда, например, Google Chrome сохраняет картинки и текст, логины и пароли, чтобы при повторном открытии страницы не загружать все заново (это экономит трафик и ускоряет сёрфинг в интернете).
Безопасность
SD WAN может включать шифрование трафика, механизмы защиты от вредоносных атак и возможности сегментации сети. Решение предоставляет ИТ и ИБ специалистам возможности мониторинга и отчётности, что помогает им быстрее обнаруживать инциденты и анализировать трафик для выявления аномалий. Можно включить анализ журналов событий, а SIEM - для более эффективной обработки угроз и для дальнейшей обработки инцидентов в SOAR. Для бизнеса централизованное управление политиками также позволяет управлять и качеством обслуживания, обеспечивая соблюдение правил и стандартов, и не допускать возможного негативного опыта клиентов.
Высокий уровень безопасности и расширенный мониторинг похожи на применение видеодомофонов и камер наблюдения в подъездах и внутри помещений. При помощи таких средств можно получить уведомление о состоянии и активности домашних питомцев, курьерах, доставляющих товары до двери, или приходе ожидаемых или незваных гостей.
Передача данных очень важна и заключается не только в связи устройств между собой кабелями или беспроводным способом, но и должно обеспечивать нужный канал связи (ширина канала – своего рода многополосное дорожное шоссе, где могут проезжать тысячи автомобилей), оптимизацию трафика (выбор пути и нужного поворота на «развязке») и динамическую маршрутизацию (нахождение более оптимальных и простых маршрутов, перестраивание в зависимости от условий вокруг).
Для офисов компаний и просто устройств, разделённых большими расстояниями (куда NFC, Bluetooth и Wi-Fi не могут дотянуться), создать WAN-сети можно разными способами:
· классический подход, возможно с оптимизацией на отдельных устройствах-передатчиках;
· MPLS, который работает на уровнях 2 (Data Link) и 3 (Network) сетевой модели OSI;
· SD-WAN, преимущества которого мы разобрали более подробно в этой статье.
Самое главное – придерживаться оптимальных параметров и стандартов безопасности, чтобы обеспечить надёжную и предсказуемую доставку данных и выполнять основную задачу – связь всего, что можно, для решения различных задач.
