Разделяй и управляй! Обеспечение сетевой безопасности с помощью ПКС/SDN
Обеспечение сетевой безопасности с помощью программно-конфигурируемых сетей
Ты когда-нибудь сталкивался с задачей настройки нескольких десятков файрволов в гетерогенной сети, с согласованием конфигураций, оптимизацией? Тогда тебе известно, насколько это дорогой и трудоемкий процесс. Мы предлагаем рассмотреть новый перспективный подход к обеспечению сетевой безопасности, который активно исследуется и внедряется в мировой IT-индустрии, — технологию программно-конфигурируемых сетей.Новый подход, который мы адаптировали к задаче разграничения доступа в сети, позволяет добиться максимальной эффективности использования коммутационного оборудования и отказаться от дорогостоящих выделенных файрволов. Предлагаем твоему вниманию один из вариантов использования нового подхода, когда мы решаем задачу перехода от сети с традиционной архитектурой к ПКС с сохранением существующей политики разграничения доступа.
Все началось с ARPANET…
Архитектура глобальной сети безнадежно устарела. Ее основы закладывались в 70-х годах, когда не было ни мобильных узлов, ни беспроводной связи. В то время никто не мог предсказать современные скорости и объемы передаваемых данных. Да и при разработке базовых протоколов не было предусмотрено разграничение доступа на уровне сети. Предполагалось, что в глобальной сети приложения могут связываться друг с другом без ограничений. Реальность довольно быстро потребовала корректировки такого идеалистического представления, и появились специализированные устройства (и программные средства в операционных системах), реализующие разграничение доступа в сети, — межсетевые экраны (далее МСЭ), впоследствии системы предотвращения вторжений (IPS), сетевые антивирусы, шлюзы уровня приложений (в том числе WAF — web application firewall).
Почему необходима технология ПКС
Нам несказанно повезло — мы оказались свидетелями кардинальных изменений в составе, структуре и распределении трафика в Сети. С точки зрения клиентских устройств интернет стал мобильным — число беспроводных устройств перевалило за миллиард, в то время как количество «фиксированных» клиентов в пять-шесть раз меньше. Общий объем трафика за последние пять лет возрос более чем в три раза. По прогнозам Cisco, трафик будет удваиваться примерно каждые девять месяцев, что приведет к увеличению нагрузки на несколько порядков в течение ближайших лет. Причем ожидается, что к 2014 году около 80% трафика будет составлять видеотрафик.
По мере изменения характера приложений и трафика меняются и требования к обеспечению информационной безопасности устройств и контента. Если раньше задача заключалась в управлении отдельными серверами, сетями и маршрутизаторами, то сейчас требуется обеспечить информационную безопасность всех корпоративных бизнес-процессов, независимо от размещения клиентских устройств, их перемещения, распределения данных по устройствам и их принадлежности (вспомним концепцию BYOD).
По мере изменения характера приложений и трафика меняются и требования к обеспечению информационной безопасности устройств и контента. Если раньше задача заключалась в управлении отдельными серверами, сетями и маршрутизаторами, то сейчас требуется обеспечить информационную безопасность всех корпоративных бизнес-процессов, независимо от размещения клиентских устройств, их перемещения, распределения данных по устройствам и их принадлежности (вспомним концепцию BYOD).