SDN для ЦОДов: как обеспечить безопасность

03.03.2016

Мировой рынок программно-определяемых сетей растет высокими темпами, хотя не все аналитики согласны между собой в прогнозных оценках его объемов. Так, к 2018 году SDN Central ожидает показателя $25 млрд, а Infonetics Research дает более чем вдвое скромную оценку в $11 млрд. Со своей стороны, IDC считает прогноз объемов оптом для программно-определяемых сетей и виртуализованных сервисов (NFV), ограничиваясь цифрой в $8 млрд. Тем не менее, и этот показатель говорит о колоссальном росте сегмента в среднем на 89,4% в год.

Опасения и реальность

Сегодня редкий ИТ-специалист не слышал о преимуществах SDN по сравнению с традиционной реализацией сетей. Благодаря удалению интеллектуальной составляющей из сетевого оборудования и выводу ее в отдельную плоскость управления появилась возможность гибко управлять транспортной инфраструктурой. Архитектура позволяет также расширять возможности сетей исключительно программными средствами, без добавления сетевых устройств. В частности, многим компаниям будет интересно создать единое сетевое пространство, включающее собственный ЦОД и облачные ресурсы коммерческого дата-центра, с возможностью переноса между ними приложений с сохранением политик безопасности и адресации.

Отечественный рынок выдержал традиционную паузу перед тем, как массово последовать за мировыми трендами. Одним из препятствий участники рынка называют отсутствие готовности заменить свою ИТ-инфраструктуру, что, по их мнению, приведет к значительным издержкам. На затраты бизнес идти не готов, поскольку что существующие сети у большинства исправно работают и не требуют радикального вмешательства. Однако вопреки опасениям заказчиков многие мировые вендоры разработали гибридные решения для «бесшовного» внедрения SDN-продуктов в существующие сети, позволяя избежать значительных расходов на замену оборудования.

У некоторых компаний не оправдались надежды на то, что вендоры станут выпускать сверхдешевое оборудование (за счет исключения стоимости интеллектуальной части из конечной цены) или что все желающие смогут построить сети в технологии SDN с соблюдением принципа импортозамещения. Треть опрошенных CNews вендоров считает, что их потенциальные клиенты ждут, когда SDN и NFV станут стандартом де-факто, и можно будет внедрять эти технологии по обкатанным методикам с меньшими рисками.

Обеспечение безопасности

Тем не менее пауза заканчивается. На постсоветском рынке появляется все больше решений, позволяющих успешно внедрить SDN. Новые решения для ЦОДов в области SDN (включая SDDC – Software-defined Data Center) появились и в области безопасности.  При обеспечении безопасности ЦОДов необходимо исходить из анализа возможных угроз, планирования сети и конечных целей. Если защите подлежит собственный дата-центр коммерческой организации, в первую очередь необходимо сосредоточиться на защите внутренних ресурсов и обеспечении защищенной среды для подключения к этим ресурсам извне. Если же защита внедряется в операторский ЦОД, то на базе одних и тех же систем безопасности можно строить как защиту самого дата-центра, так и ИБ-сервисы для его клиентов. Эта концепция активно развивается в последние пару лети, и накоплена масса примеров ее реализации.

Соответствующие системы предлагает компания Fortinet, хорошо известная в первую очередь благодаря высокопроизводительным решениям для комплексной безопасности. Практически с самого зарождения концепции SDN компания начала работать над ее защитой от киберугроз. Первые виртуальные устройства FortiGate-VM были созданы для защиты виртуализованных и консолидированных ЦОДов.

По мере расширения возможностей программно-определяемых систем появляются новые системы, предназначенные для работы в связке с партнерскими решениями. Речь идет о SDN-контроллерах, базах оркестровки, гипервизорах, управлении облачными средами, управлении безопасностью и аналитике. Причем поддерживаются практически все существующие гипервизоры, что позволяет говорить об универсальности решений. Fortinet также инвестирует в технологии SDN, реализуя интеграцию с OpenFlow и OpenStack.

Оригинальное решение, позволяющее защитить все серверы, а не только периметр и сегменты сети, было реализовано при интеграции FortiGate-VMX с платформой VMware NSX. В классических ЦОДах злоумышленник может выбрать в качестве цели один из «забытых» низкоприоритетных серверов. Если ему удается проникнуть за защиту периметра и перехватить управление сервером, он длительное время может относительно свободно чувствовать себя внутри периметра и собирать информацию. Благодаря же связке технологии VMware NSX и решения FortiGate-VMX такая возможность для него закрывается, причем без значительного возрастания нагрузки на вычислительные мощности.

Также решения Fortigate обеспечивают дополнительную безопасность Cisco Application Centric Infrastructure (ACI) в условиях ориентированной на приложения инфраструктуры. Cisco ACI приобрело популярность в модели оказания облачных сервисов, делая их более гибкими. Традиционно вычислительные сети и сетевая безопасность жестко привязаны к оборудованию, что делает сложной настройку и повышает операционные расходы. Совместное решение Fortigate и Cisco позволяет автоматизировать обновления политик и повысить прозрачность безопасности.

Недавно компания выпустила новую систему безопасности (Software-Defined Network Security Framework) для дата-центров. Платформа предоставляет возможности интеграции с решениями таких компаний, как HP, Ixia, PLUMgrid, Pluribus Networks, Extreme Networks и NTT. По утверждению разработчиков, система вносит инновации во все основные слои сетевой архитектуры. На уровне Data plane реализовано объединение сервисов безопасности из аппаратных модулей в логические сущности, предоставляющее дополнительные возможности по масштабируемости и тесной интеграции в коммутационную фабрику и сетевые потоки. На уровне Control plane – управление и автоматизация обработки политик безопасности с адаптивным распределением нагрузки для исключения задержек при обеспечении безопасности и соответствия требованиям в динамичных окружениях. Management plane – централизованное управление политиками безопасности и событиями физических и виртуальных приложений, частных и общедоступных «облаков» по всей инфраструктуре для обеспечения комплексной безопасности.

Платформа в течение примерно полутора лет проходила тестирование в компаниях, в нее вносились доработки, дополнительные функции. Параллельно шла сертификация, и сегодня этот продукт сертифицирован практически по всем направлениям, которые предлагает VMware для интеграции решений в SDN. И, соответственно, он может применяться в реальных дата-центрах.

Источник: Сnews

ОАО «Гипросвязь» на 24-й Азербайджанской Международной выставке и конференции «Телекоммуникации, инновации и высокие технологии» в Республике Азербайджан

В г. Баку 4 декабря состоялось открытие XXIV Азербайджанской Международной выставки и конференции «Телекоммуникации, инновации и высокие технологии» Bakutel-2018. В этом году в выставке принимает участие 200 компаний из 20 стран мира.

В ОАО "Гипросвязь" прошла фотовыставка "Моя малая родина"

Открываем новые уголки Беларуси вместе с профсоюзом

17 ноября 2018 г. первичной профсоюзной организацией ОАО «Гипросвязь» для сотрудников была организована экскурсия, приуроченная Году малой родины в Республике Беларусь.

Специалисты НИОИ приняли участие во втором межрегиональном семинаре-практикуме по подготовке к Всемирной конференции радиосвязи 2019 года

С 20 по 22 ноября в штаб-квартире Международного союза электросвязи (МСЭ) проходит второй межрегиональный семинар-практикум по подготовке к Всемирной конференции радиосвязи 2019 года (ВКР-19).

Сотрудники НИОИ ОАО «Гипросвязь» приняли участие в очередных собраниях Рабочих групп 5А и 5В Исследовательской комиссии 5

В период с 5 по 16 ноября 2018 года в г. Женеве (Швейцария) состоялись очередные собрания Рабочих групп (РГ) 5А, 5В и 5С Исследовательской комиссии 5 Сектора радиосвязи Международного союза электросвязи (МСЭ-R).