Законодатели вводят все больше нормативов, направленных на защиту информации и критической инфраструктуры. Выполнить часть требований безопасности позволяет технология SD-WAN в облаке. Это — программно-определяемая сеть, абстрагирующая сетевое оборудование от механизмов управления. Поставщик услуги берет на себя ответственность за защиту сети, данных и контроль доступа к информации. Обычно про Cloud SD-WAN говорят в контексте технологий управления ИТ-инфраструктурой. Сегодня расскажем о других возможностях сервиса.

Разнообразие стандартов


На территории Евросоюза действует GDPR, который накладывает ограничения на бизнес-процессы компаний. В Калифорнии есть CCPA, во многих аспектах повторяющий инициативу европейских коллег. У нас существует 152-ФЗ — он, помимо прочего, обязывает компании хранить и обрабатывать данные россиян на территории страны. В России также действует запрет на установку иностранного ПО на негосударственных объектах критической информационной инфраструктуры (КИИ).

Аналогичные законы появляются даже в африканских юрисдикциях, где долгое время вопросы безопасности персональных данных не были в приоритете. Так в Южной Африке применяют Protection of Personal Information Act (PoPIA). Подобного рода законопроекты охватывают широкий спектр задач и нормативов, но существуют более узконаправленные проекты.

Чтобы не получить штраф, компании, развивающие сервисы на международном рынке, должны следовать постановлениям регуляторов сразу в нескольких странах — это как узкоспециализированные законы, так и наиболее общие. Сложностей добавляют неправительственные стандарты, которые выдвигают профильные организации — например, PCI DSS для платёжных данных.

В случае государственных структур, работающих по большей части на «домашнем» рынке, движение в сторону полного соответствия нормативам иногда представляет собой еще более трудоемкий процесс.

В этой сфере существуют open source решения — например, flexiWAN. Однако их настройка требует профильной экспертизы, в том числе для дальнейшей поддержки. В то же время открытые решения этого класса имеют скромную функциональность — например, не предлагают агрегацию и динамическое распределение трафика, а также Remote-Access VPN. Приходится подбирать сторонние инструменты и объединять их в стек. В таком контексте может быть удобнее развернуть SD-WAN в облаке.

Защита данных и подключений




Одно из ключевых требований законодательства, связанного с ПДн в любой стране, — это шифрование данных. Наша сеть Cloud SD-WAN защищена с помощью протокола WireGuard. Здесь есть нюансы — шифрование повышает безопасность данных, но в то же время админам становится сложнее детектировать вредоносную активность. Однако функции SD-WAN позволяют находить аномалии даже в зашифрованном трафике.

Информация должна быть надежно защищена не только во время хранения, но и передачи. Но когда все больше сотрудников выбирает удаленную работу, границы корпоративной инфраструктуры размываются — корпоративные и персональные данные приходится хранить в безопасности даже за пределами офиса. Для подключения удаленных рабочих столов можно использовать RAVPN. В этом случае доступ в корпоративную сеть предоставляется после прохождения 2FA-авторизации с использованием шифрования WireGuard.

Построение частной сети на масштабе требует экспертизы при туннелировании, настройке IKE и NAT-T, которой обладает далеко не каждая фирма. Развертывание SD-WAN в облаке централизует управление сетями, упрощая применение политик безопасности и подключение новых устройств. В случае с SD-WAN на поиск и устранение неисправностей в сети уходит меньше времени.

В классических сетях настройкой мониторинга, обновлением парка сетевого оборудования и программного обеспечения занимаются внутренние специалисты. В случае с программируемыми сетями в облаке инструменты мониторинга — это часть комплексного решения, которое интегрируется с инфраструктурой заказчика силами провайдера. И этот же облачный провайдер занимается обслуживанием и поддержкой.

Идентификация пользователей


Согласно российскому законодательству, владельцы публичных сетей Wi-Fi должны проводить авторизацию пользователей. В Европе история аналогичная — так, немецкие рестораторы одно время даже несли ответственность за преступления, которые совершали пользователи их сети (в частности, за скачивание и распространение запрещенного контента).

Технология SD-WAN помогает решить этот вопрос, позволяя сегментировать трафик и создавать изолированные сети. Магазины, рестораны, кафе и другие заведения могут предоставлять к ним доступ только после прохождения авторизации. Более того, такая изоляция не позволяет злоумышленникам подключиться к другим сетевым секторам, даже если один из них будет скомпрометирован.



Еще облачный провайдер может предложить дополнительные инструменты для повышения доступности. Наш сервис Cloud SD-WAN обеспечивается стабильность подключения за счет автоматического перераспределения трафика между несколькими каналами. Если на одном из них падает качество связи, пакеты перенаправляются на другой, стабильно работающий, канал. Анализ уровня деградации построен на базе технологий российской компании BI.ZONE — система с заданным интервалом отправляет пакеты на центральный сервер и отслеживает изменения в пропускной способности. Такой подход сокращает время выявления неисправностей.

Заключение


Настроить SD-WAN можно самостоятельно — на рынке есть open source инструменты, но они требуют высокого уровня экспертизы. Компаниям может быть проще обратиться к облачному провайдеру.

SD-WAN шифрует данные и соединения, установленные для их передачи. Один из самых надежных протоколов для этой задачи — WireGuard.

Также программно-определяемая сеть помогает сегментировать трафик и поддерживает высокую доступность ресурсов. Так Cloud SD-WAN автоматически переключает трафик между каналами, если на них появляются задержки.

Специалисты #CloudMTS сами поддерживают инфраструктуру, мониторят 24/7, администрируют сети, обеспечивают гарантированный уровень доступности и SLA. Всё оборудование входит в состав услуги Cloud SD-WAN.