TechBites SD-WAN: Acces direct la internet și cloud în mod securizat
Companiile din întreaga lume nu au fost lipsite de provocări în 2020. Pandemia globală forțează o reajustare a interacțiunilor cu clienții și a forței de muncă către noul sistem de lucru de la distanță. Schimbarea bruscă a comportamentului clienților și a tiparelor de interacțiune pune o presiune importantă pe găsirea unor modalități mai eficiente de ajustare a proceselor organizaționale și de adaptare la „Noua normalitate”.
De asemenea, în ultimii ani, accesul către servicii de tip cloud a luat amploare, arhitectura rețelelor WAN necesitând menținerea pasului cu toate aceste trenduri. Din perspectiva experienței utilizatorului, este benefic ca anumite tipuri de trafic să aibă acces direct la internet sau cloud din sucursale, bineînțeles într-un mod securizat. Arhitectura clasică ce presupune tunelarea traficului de filiale către locația centrală induce timpi mai mari de răspuns, ce pot impacta experiența pentru anumite aplicații sensibile la latență ori jitter.
Design-ul soluției Cisco SD-WAN a inclus de la început componenta Direct Internet Access (DIA), asigurând securizarea, accesul și redirectarea facilă a traficului unei locații secundare direct către operatori cloud ori internet. Beneficiile utilizării DIA includ:
- Consum redus de lățime de bandă, latență și economii de costuri pe legăturile WAN prin mutarea traficului de pe circuitul de VPN pe cel de internet.
- Experiență îmbunătățită a utilizatorului sucursalei oferind acces direct la internet pentru angajați și clienți, alegând tot timpul calea optimă către aplicații din cloud, pe bază de probe http (ex: către Azure pentru Office 365).
- Companiile ce folosesc activ resurse în cloud pot beneficia de extinderea fabricului de SD-WAN, prin instalarea unui router virtual în mod automat, pe bază de șabloane preconfigurate, în cloud-urile Amazon, Azure sau Google, ori centre de colocare ca Equinix și Megaport. Astfel, politicile de rutare peste WAN se pot aplica direct către echipamentul WAN edge din cloud, asigurând un SLA strict către resursele hostate, pe baza parametrilor de disponibilitate monitorizați pe toate căile disponibile: latență, pierderi de pachete și jitter.
Un prim pas de protecție pentru ieșirea în internet îl reprezintă folosirea de network adress translation (NAT), activată pe echipamentele WAN edge. Mai multe adrese IP private sunt mapate la o singură adresă IP publică, prin utilizarea de porturi diferite. Pentru a realiza această funcționalitate pe routerele WAN edge, NAT este configurat pe toate interfețele de transport WAN existente. Operațiunea de NAT pentru traficul de ieșire se efectuează în VPN 0, care este VPN-ul dedicat pentru transport de date.
În cazul DIA, segmentarea traficului este utilă pentru a separa aplicații critice, ori angajații companiei față de clienți. Prin utilizarea de VPN-uri distincte se poate segmenta tabela de rutare, folosind astfel mai multe rute implicite pe același echipament WAN edge.
Suplimentar, Cisco SD-WAN oferă mai multe componente de securizare a traficului și datelor transmise în internet direct pe echipamentul WAN Edge:
- Firewall cu recunoașterea aplicației, ce restricționează accesul la anumite destinații de Internet pe baza adresei IP/porturi/familiei de aplicații și nu numai, pentru angajați și clienți.
- Sistem de prevenire a intruziunilor (IPS) cu inspecție de pachete, care blochează atacurile externe ori interne cunoscute pe bază de semnături. Snort este sistemul de prevenire a intruziunilor de rețea open source, utilizat în cadrul Cisco SD-WAN, ce rulează într-un container direct pe echipamentul din locație, beneficiind de resurse hardware dedicate. Snort efectuează analize de trafic în timp real și generează alerte atunci când sunt detectate amenințări în rețelele IP, fiind o caracteristică on-box, on-prem, care asigură conformitatea PCI. Pe baza cerințelor de rețea, Snort se poate activa fie în mod IPS, fie în modul de detecție IDS.
- Filtrarea URL-urilor (URLF) asigură utilizatorului o interfață de control pentru a bloca sau permite traficul web pe baza a peste 82 de categorii diferite și scoruri de reputație web.
- Advanced Malware Protection (AMP) utilizează inteligența globală a Cisco Talos împotriva amenințărilor, permițând sandbox-ul avansat și blocarea malware-ului în timp real pentru a preveni atacuri de securitate, analizând continuu activitatea fișierelor din rețea.
- Securitatea DNS/Web-layer cu serviciul Cisco Umbrella utilizează o platformă de securitate cloud pentru a îmbunătăți vizibilitatea de securitate, pentru a detecta sistemele compromise și pentru a proteja utilizatorii, oprind amenințările înainte ca acestea să ajungă în rețea sau la punctele finale. Un site compromis nu va fi rezolvat de către serverul DNS pentru utilizator, acesta reprezentând un prim nivel foarte util de securitate.
Toate aceste componente de securitate se configurează din același unic punct de management, similar cu configurarea întregii soluții Cisco SD-WAN. Principalele avantaje ale implementării centralizate de politici de securitate Cisco SD-WAN pentru o sucursală cu acces la internet includ:
- Soluție de securitate simplă și automată: fluxul de operare bazat pe intenție este conceput pentru a facilita configurarea și implementarea soluției de securitate SD-WAN. Crearea unui singur șablon de configurație permite ulterior aplicarea pe mai multe dispozitive WAN Edge concomitent.
- Soluția de securitate Cisco SD-WAN elimină necesitatea de a implementa un echipament suplimentar de securitate în rețeaua SD-WAN, evitând astfel costuri suplimentare sau complicații asociate cu proiectarea, configurarea și gestionarea acestor dispozitive.
- Management centralizat: implementarea, operarea și monitorizarea soluției Cisco SD-WAN pentru toate dispozitivele WAN Edge securizate corespunzător se efectuează dintr-un singur punct, prin intermediul GUI Cisco vManage.
