25, март 2020  —  Цифровые инновации в филиалах требуют внедрения SD-WAN

Большинство организаций, расположенных в нескольких местах, находятся в процессе реализации стратегии распределенных сетей, которая гарантирует, что все филиалы и пользователи смогут пользоваться всеми преимуществами усилий компании в области цифровых инноваций. Для настоящего межорганизационного сотрудничества, повышения производительности и улучшения пользовательского опыта, каждому сотруднику необходим доступ к основным бизнес-приложениям. Для этого им нужно очень гибкое и масштабируемое подключение к облачным приложениям и ресурсам, прямой доступ к Интернету и соединение по требованию с другими пользователями и устройствами.

Это просто невозможно с традиционными моделями разветвленных сетей, построенных на основе WAN-маршрутизаторов и фиксированного MPLS-соединения. Бизнес-приложения, особенно те, которые предоставляют богатые мультимедийные ресурсы или обеспечивают очень гибкое взаимодействие между пользователями и местоположениями, такие как унифицированные коммуникации ( Unified communications , UC ) , Office 365 и подобные инструменты, требуют больших пропускных объемов. И в традиционной модели весь этот трафик должен быть перенаправлен через основную сеть. Умножьте это на десятки удаленных сотрудников, расположенных в десятках удаленных офисов, и вы сможете быстро перегрузить внутренние серверы, вычислительные ресурсы и даже инструменты обеспечения безопасности и инспектирования.

SD-WAN требует интегрированной безопасности, которая поможет масштабировать решение в случае необходимости

К счастью, SD - WAN решает эти проблемы с подключением. Организациям труднее всего выяснить как заменить обработку трафика и безопасности подключений, ранее обеспечивавшиеся основной сетью. Однако простое добавление оверлейного решения безопасности к устройству SD-WAN для приближения к ранее предоставленной защите может значительно, и неожиданно, увеличить как капитальные, так и текущие эксплуатационные расходы.

Это также может ограничить способность эффективно масштабировать свои SD-WAN решения, поскольку добавление разрозненных уровней безопасности на нескольких объектах может экспоненциально повысить сложность управления. В случае с недавним заказчиком, желающим развернуть решение SD-WAN в более чем 700 точках, такое масштабирование даже невозможно без наличия огромных ресурсов поддержки или значительных компромиссов в функциональности и безопасности.

Однако защищенный SD - WAN позволяет решить все эти проблемы путем добавления средств подключения, формирования трафика, управления сетью и распознавания приложений к существующему устройству межсетевого экрана нового поколения. Это не только гарантирует, что полный набор средств защиты по умолчанию полностью интегрирован в функциональность SD-WAN, но и позволяет легко масштабировать развертывание в сотнях и даже тысячах удаленных мест без дополнительных затрат на внедрение, управление и оптимизацию.

Уникальная задача объединения дочерних компаний, находящихся в полной собственности

Масштабируемость и функциональная совместимость являются критическими требованиями для многих организаций. Например, банки и страховые компании могут иметь сотни или даже тысячи филиалов, которым требуется масштабируемая и гибкая связь. Организации, использующие модель франшизы, где многие или даже все филиалы являются дочерними компаниями, испытывают еще большие проблемы. Соединения должны не только обеспечивать масштабируемый доступ к критически важным ресурсам, но также поддерживать конфиденциальность и неприкосновенность данных отдельных владельцев, защищая их основные и облачные ресурсы от доступа из локальных сетей филиалов, которые не полностью контролируются главным офисом.

Например, недавно у нас появилась возможность разработать и развернуть решение Secure SD-WAN для компании с более чем 700 филиалами. Усложняло ситуацию и то, что многие из них являются дочерними компаниями, находящимися в полной собственности. Целью клиента была замена традиционную модель подключения на такую, которая обеспечивала бы гораздо лучший доступ к онлайновым и облачным ресурсам, чем их дорогостоящие MPLS к частным облачным подключениям. Они хотели сделать WAN более надежной и эффективной, чтобы устранить хронические перебои в работе сети, улучшить пользовательский опыт, а также упростить и рационализировать возможности удаленных офисов и владельцев франшиз для эффективного и легкого доступа к критически важным бизнес-инструментам и ресурсам, используя инструменты управления приложениями, мониторинга соединений и управления, предоставляемые SD-WAN.

Другой частью проблемы также было обеспечение оптимальной безопасности каждого соединения, включая шифрование и проверку трафика, защиту брандмауэров и IPS, и даже такие вещи, как веб-фильтрация и песочница для защиты отдельных филиалов и предотвращения распространения вредоносного ПО между операторами. Клиент также намеревался установить и поддерживать синхронизацию политик для обеспечения последовательной защиты во всей распределенной среде, устраняя при этом угрозу "самого слабого звена", подвергающего риску всех остальных.

Решение проблем подключения, безопасности и централизованного управления с помощью Fortinet Secure SD-WAN

Тщательно выбрав решение SD-WAN из четырех различных вариантов, клиент смог решить весь комплекс своих задач. Любое полнофункциональное SD-WAN-решение, такое как Fortinet Secure SD - WAN , должно решать три задачи – подключения, безопасности и управления:

•  Для обеспечения связи решение SD-WAN должно обеспечивать динамическую масштабируемость соединения, управление и формирование трафика для оптимальной производительности, распознавание приложений для быстрых и бесперебойных подключений к ресурсам, а также мониторинг пути и исправление пути переключения менее чем за секунду, чтобы защитить чувствительные к задержке приложения от таких вещей, как джиттер и потеря пакетов. Для более сложных развертываний решение также должно обеспечивать расширенные методы маршрутизации, такие как многоадресная рассылка, для эффективного распределения трафика от одного ко многим. Оно также должно поддерживать различные варианты подключения, от прямого широкополосного и Интернет-соединения до MPLS, а также, LTE в качестве крайней меры для обеспечения и поддержания максимального времени работы сети.

•  Для обеспечения безопасности это же решение должно предоставлять тот же набор инструментов, который ранее предоставлялся базовой сетью. Он включает в себя NGFW (межсетевой экран следующего поколения), систему предотвращения и обнаружения вторжений IPS, веб-фильтрацию, антивирусное ПО, VPN-шифрование в сочетании с высокоскоростной проверкой зашифрованного трафика и даже песочницу для обнаружения угроз "нулевого дня". И, что не менее важно, безопасность должна быть легко интегрирована в сетевые функции, чтобы они могли одновременно реагировать на динамически изменяющиеся соединения. В противном случае система безопасности будет постоянно пытаться идти в ногу с динамическими изменениями подключений, создавая пробелы и задержки в защите, которые киберпреступники готовы использовать. И, наконец, эта безопасность должна работать в обоих направлениях, защищая как филиал, так и более крупную сеть от компрометации.

•  Другим элементом этого комплексного подхода является централизованное управление и аналитика. Для снижения затрат на развертывание в тех случаях, когда на объекте мало ИТ-персонала, и особенно когда локальная сеть филиала контролируется независимым владельцем франшизы, любое рассматриваемое решение Secure SD-WAN должно также включать в автоматическое развертывание. Это обеспечивает бесперебойную реализацию наряду с интеграцией с локальной сетью филиала и ускоряет доступ к облачным приложениям и другим ресурсам.

Очень накладно иметь отдельные консоли управления для безопасности и работы в сети. Политики должны устанавливаться централизованно и воздействовать на обе стороны медали, чтобы полоса пропускания могла увеличиваться и уменьшаться, а соединения могли динамически подстраиваться под изменения доступности, никогда не пренебрегая безопасностью. Кроме того, должно быть единое окно в сетевых функциях и функциях безопасности, чтобы можно было видеть и управлять последствиями изменений, вносимых в любом месте в процессе Secure SD-WAN. Централизованная видимость может также сократить количество циклов устранения неисправностей, особенно когда система безопасности привязана к филиалу для обеспечения защиты локальной сети, а также к центральному SOC/NOC для обеспечения единой картины в реальном времени на всем ландшафте.

Подведем итоги