Jak zbudować bezpieczną i elastyczną sieć WAN

Czy można wdrożyć bezpieczną i wydajną sieć SD-WAN nie ponosząc dużych kosztów? Dobrym przykładem pozytywnej odpowiedzi na to pytanie może być system Fortinet Secure SD-WAN oferujący zintegrowane mechanizmy bezpieczeństwa i elastyczne funkcje sieciowe.

Według Gartnera obecnie tylko 20% firm wdrożyło sieci SD-WAN, ale do 2024 roku liczba ta zwiększy się do 60%. Oznacza to fundamentalną zmianę na rynku. Wykorzystywane obecnie routery, urządzenia do zapewnienia bezpieczeństwa i optymalizacji działania sieci rozległych WAN zostaną zastąpione przez sterowane programowo, skonsolidowane rozwiązania SD-WAN wykorzystujące scentralizowane zarządzanie uważają analitycy Gartnera. Jednocześnie przewidują, że około 80% systemów SD-WAN do 2021 roku będzie wykorzystywało dedykowany hardware, a nie tylko oprogramowanie uruchamiane na uniwersalnym sprzęcie zainstalowanym w centrach danych.

Wzrost zastosowań sieci SD-WAN jest związany z procesami cyfrowej transformacji realizowanej przez coraz więcej firm, związaną z nimi popularyzacją systemów chmurowych, a szczególnie rosnącymi wdrożeniami systemów IoT oraz rozwiązań Edge Computing. Według Gartnera, te ostatnie będą miały w najbliższych latach największy wpływ na wzrost rynku SD-WAN.

Główne zalety rozwiązań SD-WAN to ułatwienie bezpośredniego dostępu do chmury i wzrost wydajności przy jednoczesnym obniżeniu kosztów operacyjnych.

Korzystanie z publicznych łączy w architekturze SD-WAN daje większe możliwości wykorzystania aplikacji chmurowych, ale jednocześnie rozszerza powierzchnię do przeprowadzania ataków i generuje nowe luki w zabezpieczeniach. Każdy oddział firmy wykorzystujący sieć SD-WAN z lokalnym dostępem do Internetu jest słabym ogniwem w łańcuchu zabezpieczeń sieciowych.

Dlatego zapewnienie bezpieczeństwa sieci SD-WAN wymaga innego podejścia niż w przypadku klasycznej infrastruktury wykorzystującej centralny system ochrony na brzegu sieci. Niezbędne jest dobre zaprojektowanie i zbudowanie systemu ochrony przed zagrożeniami, który będzie działał w rozproszonej infrastrukturze.

Rozwiązania takie są już dostępne na rynku, a dobrym przykładem, jak można połączyć elastyczne funkcje zarządzania ruchem sieciowym z mechanizmami efektywnych zabezpieczeń może być system Fortinet Secure SD-WAN.

Wysoki poziom bezpieczeństwa sieci dzięki zastosowaniu zapór NGFW.

Zapory sieciowe FortiGate oferują zintegrowane funkcje zabezpieczeń i programowego sterowania ich pracą w sieciach SD-WAN oraz pozwalają na efektywne korzystanie z aplikacji działających w chmurze publicznej.

Najważniejsze funkcje i cechy tego rozwiązania to:

  • połączenie w jednym urządzeniu mechanizmów ochronnych klasy NGFW oraz obsługi sieci SD-WAN.
  • wykorzystanie dedykowanych układów sprzętowych do akceleracji pracy mechanizmów zabezpieczeń, które zapewniają wysoką wydajność inspekcji SSL, analizy zaszyfrowanych pakietów oraz wykrywania i blokowania zagrożeń. Dedykowane procesory pozwalają też na uzyskanie wysokiej wydajności funkcji IPsec VPN zabezpieczających komunikację.
  • zastosowanie mechanizmu filtrowania stron WWW umożliwiającego efektywne blokowanie dostępu do złośliwych lub zdefiniowanych jako niewłaściwe stron internetowych (jest to jedyna w branży usługa filtrowania z certyfikatem VBWeb2).
  • funkcje śledzenia aktywności w sieci w czasie rzeczywistym ułatwiają ocenę ryzyka, wykrywanie i ograniczanie skutków potencjalnych zagrożeń oraz automatyzację konfiguracji i audytów zgodności z polityką bezpieczeństwa dzięki możliwości określenia w centralnej konsoli odpowiednich zasad i reguł konfiguracji zapór działających w systemie.

ZAPORA FORTIGATE Z TECHNOLOGIĄ SECURE SD-WAN MOŻE PRZYCZYNIĆ SIĘ DO TRANSFORMACJI ARCHITEKTURY ODDZIAŁÓW PRZEDSIĘBIORSTW

ZAPORA FORTIGATE Z TECHNOLOGIĄ SECURE SD-WAN MOŻE PRZYCZYNIĆ SIĘ DO TRANSFORMACJI ARCHITEKTURY ODDZIAŁÓW PRZEDSIĘBIORSTW

Nadal często obserwujemy sytuacje, w których rozwiązania bezpieczeństwa wymiarowane są na podstawie wybranych wydajności w specyfikacji bez uwzględniania wydajności inspekcji ruchu szyfrowanego SSL. Tymczasem obecnie zdecydowana większość ruchu do Internetu jest szyfrowana i prognozowany jest dalszy wzrost udziału ruchu szyfrowanego. Aby skutecznie prowadzić jego inspekcję, należy go rozszyfrować, przebadać pod kątem zagrożeń a następnie ponownie zaszyfrować. Dlatego tak istotne jest stosowanie rozwiązań bezpieczeństwa, których wydajność umożliwi pełną inspekcję ruchu szyfrowanego w każdej z lokalizacji posiadających bezpośredni dostęp do Internetu - podkreśla Piotr Bienias, Systems Engineer, Fortinet.

Inteligentne zarządzanie ruchem w sieci

Przy wdrażaniu aplikacji chmurowych routery lub zapory odpowiadające za możliwości podłączania do sieci SD-WAN muszą inteligentnie równoważyć ruch internetowy i intranetowy w ramach dostępnych usług sieci rozległej. Umożliwia to rozwiązanie Fortinet Secure SD-WAN wyposażone miedzy innymi w takie mechanizmy i funkcje jak:

  • dynamiczną bazę danych o aplikacjach chmurowych SaaS stosujących zmienne adresy IP, która umożliwia efektywne przekierowywanie ruchu na odpowiednie porty oraz kontrolę zużywanego przez aplikacje pasma.
  • oferowana przez system FortiOS funkcja inteligentnej kontroli ścieżek sieciowych pozwala na automatyczne wybranie trasy ruchu sieciowego na podstawie pomiarów jakości łączy co umożliwia zapewnienie wysokiej dostępności aplikacji o znaczeniu krytycznym.
  • funkcja agregacji różnych łączy dla ruchu sieciowego niezależnie od stosowanej technologii. Pozwala na zastosowanie szerokopasmowych łączy internetowych, MPLS, LTE itp. oraz programowe sterowanie ich wykorzystaniem zależnie od bieżących wymagań.

Centralne zarządzanie siecią

Zakres stosowania wszystkich zabezpieczeń można automatycznie rozszerzać na każde nowe przewodowe lub bezprzewodowe połączenie sieciowe, ale sieć SD-WAN powinna być zarządzana z centralnej lokalizacji.

Dlatego w przypadku rozwiązania Fortinet Secure SD-WAN wykorzystywana jest jedna konsola do zarządzania, która zapewnia dobrą widoczność całej sieci oraz ujednolicone zarządzanie zasadami bezpieczeństwa i SD-WAN, które są wdrażane w całej infrastrukturze. Umożliwia to scentralizowaną kontrolę sieci we wszystkich oddziałach i odległych lokalizacjach firmy.

OBSŁUGIWANY PRZEZ ROZWIĄZANIA FORTINET OGÓLNY MODEL ODDZIAŁU DEFINIOWANEGO PROGRAMOWO KONSOLIDUJE INFRASTRUKTURY SIECI WAN I LAN

OBSŁUGIWANY PRZEZ ROZWIĄZANIA FORTINET OGÓLNY MODEL ODDZIAŁU DEFINIOWANEGO PROGRAMOWO KONSOLIDUJE INFRASTRUKTURY SIECI WAN I LAN

Centralne zarządzanie ma na celu uproszczenie pracy administratorów sieci i bezpieczeństwa do tego stopnia, aby nie było odczuwalnej różnicy w sposobie zarządzania klasyczną siecią złożoną z pojedynczego, centralnego styku bezpieczeństwa a rozproszoną siecią SD-WAN, w której bezpieczeństwo realizowane jest w wielu punktach. Ma to szczególne znaczenie dla skuteczności stosowanych polityk bezpieczeństwa, bowiem utrzymywanie wielu niezależnych polityk znacznie zwiększałoby prawdopodobieństwo pojawienia się błędów i niespójności konfiguracji narażających na ryzyko całe przedsiębiorstwo - Piotr Bienias, Systems Engineer, Fortinet.

Łatwe wdrożenie

Automatyczne przydzielanie zasobów i zdalne konfigurowanie urządzeń w oddziałach firmy bez potrzeby wysyłania na miejsce wdrożenia wykwalifikowanych inżynierów pozwala na zmniejszenie kosztów w porównaniu z odpowiednimi procesami realizowanymi w tradycyjnych środowiskach sieci rozległej WAN.

Fortinet Secure SD-WAN, wykorzystując funkcje udostępniane przez system FortiOS, po uruchomieniu platformy FortiGate dynamicznie tworzy i prezentuje całą fizyczną i logiczną topologię sieci. Administrator sieci może modyfikować i dopasowywać jej parametry zgodnie z wymaganiami, a także monitorować działanie systemu.

Niski całkowity koszt posiadania

Dzięki możliwości wykorzystania różnych łączy, uproszczonemu wdrożeniu i scentralizowanemu zarządzaniu w ramach jednego rozwiązania obsługującego operacje sieciowe i mechanizmy zabezpieczeń, Fortinet Secure SD-WAN pozwala na uzyskanie nawet o połowę niższego kosztu TCO niż ma to miejsce w przypadku architektury wykorzystującej oddzielne urządzenia do obsługi sieci oraz zapewnienia jej bezpieczeństwa.