SDN для ЦОДов: как обеспечить безопасность

Мировой рынок программно-определяемых сетей растет высокими темпами, хотя не все аналитики согласны между собой в прогнозных оценках его объемов. Так, к 2018 году SDN Central ожидает показателя $25 млрд, а Infonetics Research дает более чем вдвое скромную оценку в $11 млрд. Со своей стороны, IDC считает прогноз объемов оптом для программно-определяемых сетей и виртуализованных сервисов (NFV), ограничиваясь цифрой в $8 млрд. Тем не менее, и этот показатель говорит о колоссальном росте сегмента в среднем на 89,4% в год. 

Опасения и реальность

Сегодня редкий ИТ-специалист не слышал о преимуществах SDN по сравнению с традиционной реализацией сетей. Благодаря удалению интеллектуальной составляющей из сетевого оборудования и выводу ее в отдельную плоскость управления появилась возможность гибко управлять транспортной инфраструктурой. Архитектура позволяет также расширять возможности сетей исключительно программными средствами, без добавления сетевых устройств. В частности, многим компаниям будет интересно создать единое сетевое пространство, включающее собственный ЦОД и облачные ресурсы коммерческого дата-центра, с возможностью переноса между ними приложений с сохранением политик безопасности и адресации.

SDN-проекты в России пока многочисленными не назовешь: отечественный рынок выдержал традиционную паузу перед тем, как массово последовать за мировыми трендами. Одним из препятствий участники рынка называют отсутствие готовности заменить свою ИТ-инфраструктуру, что, по их мнению, приведет к значительным издержкам. На затраты бизнес идти не готов, поскольку что существующие сети у большинства исправно работают и не требуют радикального вмешательства. Однако вопреки опасениям заказчиков многие мировые вендоры разработали гибридные решения для «бесшовного» внедрения SDN-продуктов в существующие сети, позволяя избежать значительных расходов на замену оборудования.

У некоторых компаний не оправдались надежды на то, что вендоры станут выпускать сверхдешевое оборудование (за счет исключения стоимости интеллектуальной части из конечной цены) или что все желающие смогут построить сети в технологии SDN с соблюдением принципа импортозамещения. Треть опрошенных CNews вендоров считает, что их потенциальные клиенты ждут, когда SDN и NFV станут стандартом де-факто, и можно будет внедрять эти технологии по обкатанным методикам с меньшими рисками. 

Обеспечение безопасности

Тем не менее пауза заканчивается. На российском рынке появляется все больше решений, позволяющих успешно внедрить SDN. Новые решения для ЦОДов в области SDN (включая SDDC – Software-defined Data Center) появились и в области безопасности.  При обеспечении безопасности ЦОДов необходимо исходить из анализа возможных угроз, планирования сети и конечных целей. Если защите подлежит собственный дата-центр коммерческой организации, в первую очередь необходимо сосредоточиться на защите внутренних ресурсов и обеспечении защищенной среды для подключения к этим ресурсам извне. Если же защита внедряется в операторский ЦОД, то на базе одних и тех же систем безопасности можно строить как защиту самого дата-центра, так и ИБ-сервисы для его клиентов. Эта концепция активно развивается в последние пару лети, и накоплена масса примеров ее реализации.

Соответствующие системы предлагает компания Fortinet, хорошо известная в первую очередь благодаря высокопроизводительным решениям для комплексной безопасности. Практически с самого зарождения концепции SDN компания начала работать над ее защитой от киберугроз. Первые виртуальные устройства FortiGate-VM были созданы для защиты виртуализованных и консолидированных ЦОДов. 

По мере расширения возможностей программно-определяемых систем появляются новые системы, предназначенные для работы в связке с партнерскими решениями. Речь идет о SDN-контроллерах, базах оркестровки, гипервизорах, управлении облачными средами, управлении безопасностью и аналитике. Причем поддерживаются практически все существующие гипервизоры, что позволяет говорить об универсальности решений. Fortinet также инвестирует в технологии SDN, реализуя интеграцию с OpenFlow и OpenStack. 

Оригинальное решение, позволяющее защитить все серверы, а не только периметр и сегменты сети, было реализовано при интеграции FortiGate-VMX с платформой VMware NSX. В классических ЦОДах злоумышленник может выбрать в качестве цели один из «забытых» низкоприоритетных серверов. Если ему удается проникнуть за защиту периметра и перехватить управление сервером, он длительное время может относительно свободно чувствовать себя внутри периметра и собирать информацию. Благодаря же связке технологии VMware NSX и решения FortiGate-VMX такая возможность для него закрывается, причем без значительного возрастания нагрузки на вычислительные мощности. 

Также решения Fortigate обеспечивают дополнительную безопасность Cisco Application Centric Infrastructure (ACI) в условиях ориентированной на приложения инфраструктуры. Cisco ACI приобрело популярность в модели оказания облачных сервисов, делая их более гибкими. Традиционно вычислительные сети и сетевая безопасность жестко привязаны к оборудованию, что делает сложной настройку и повышает операционные расходы. Совместное решение Fortigate и Cisco позволяет автоматизировать обновления политик и повысить прозрачность безопасности. 

Недавно компания выпустила новую систему безопасности (Software-Defined Network Security Framework) для дата-центров. Платформа предоставляет возможности интеграции с решениями таких компаний, как HP, Ixia, PLUMgrid, Pluribus Networks, Extreme Networks и NTT. По утверждению разработчиков, система вносит инновации во все основные слои сетевой архитектуры. На уровне Data plane реализовано объединение сервисов безопасности из аппаратных модулей в логические сущности, предоставляющее дополнительные возможности по масштабируемости и тесной интеграции в коммутационную фабрику и сетевые потоки. На уровне Control plane – управление и автоматизация обработки политик безопасности с адаптивным распределением нагрузки для исключения задержек при обеспечении безопасности и соответствия требованиям в динамичных окружениях. Management plane – централизованное управление политиками безопасности и событиями физических и виртуальных приложений, частных и общедоступных «облаков» по всей инфраструктуре для обеспечения комплексной безопасности. 

Платформа в течение примерно полутора лет проходила тестирование в компаниях, в нее вносились доработки, дополнительные функции. Параллельно шла сертификация, и сегодня этот продукт сертифицирован практически по всем направлениям, которые предлагает VMware для интеграции решений в SDN. И, соответственно, он может применяться в реальных дата-центрах. В частности, интерес к SDN Security Framework проявил один из крупных российских операторов связи, проводящий его тестирование.


Источник: CNEWS


Комментарии 2

Олег
Олег от 5 октября 2019 14:41
Мировой рынок программно-определяемых сетей растет высокими темпами, хотя не все аналитики согласны между собой в прогнозных оценках его объемов. Так, к 2018 году SDN Central ожидает показателя $25 млрд, а Infonetics Research дает более чем вдвое скромную оценку в $11 млрд. Со своей стороны, IDC считает прогноз объемов оптом для программно-определяемых сетей и виртуализованных сервисов (NFV), ограничиваясь цифрой в $8 млрд. Тем не менее, и этот показатель говорит о колоссальном росте сегмента в среднем на 89,4% в год

Кстати подобные системы уже давно применяются в России и имеют исключительно положительные отзывы от потребителей. Так например сео компания megaindex.com  как аффилированый партнер Cisco недавно проводил презентацию новой линейки оборудования от производителя. Очень качественное и надежное оборудование
Goras от 29 января 2020 14:18
Цитата: Олег
Мировой рынок программно-определяемых сетей растет высокими темпами, хотя не все аналитики согласны между собой в прогнозных оценках его объемов. Так, к 2018 году SDN Central ожидает показателя $25 млрд, а Infonetics Research дает более чем вдвое скромную оценку в $11 млрд. Со своей стороны, IDC считает прогноз объемов оптом для программно-определяемых сетей и виртуализованных сервисов (NFV), ограничиваясь цифрой в $8 млрд. Тем не менее, и этот показатель говорит о колоссальном росте сегмента в среднем на 89,4% в год. 


Как показали последние исследования, сейчас все больше компаний вроде SDN, Cisco, Intel и другие монстры цифровой продукции все больше начинают ориентироваться на создание продукции с большим использованием искусственного интеллекта. Недавно известная российская сео компания мегаиндекс в рамках исследования европейского центра teckno20center провела тестирование нескольких новейших серверов которые еще не поступили в массовую продажу и вряд ли поступят в ближайшее время ввиду некоторых монопольных ограничений в ЕС. Исследование и тестирование упомянутых серверов показало что доля использования ИИ в подобных экспериментах не превышает 60%, что в свою очередь заставляет задуматься о правильности направления выбранного пути. Тестируемые сервера показали отличную производительность, но в данный момент для них нет задач, сопоставимых с их предполагаемой ценой и задачами которые сейчас могут быть представлены.
Добавить комментарий

Оставить комментарий

Кликните на изображение чтобы обновить код, если он неразборчив