«Программно-определяемые глобальные сети сложны, дороги и небезопасны. Мы лучше пока посидим на классической инфраструктуре. Вот только наделал бы кто-нибудь много хороших сетевых инженеров — тогда заживем». Нам регулярно доводится слышать такое от CTO крупных компаний с большими ИТ-бюджетами. И все эти утверждения неверны.
Давайте посмотрим, что же такое современные сети SD-WAN: откуда они взялись, где находятся сегодня и куда пойдут завтра.
Интересный факт заключается в том, что, какого поставщика SD-WAN ни спроси, каждый даст свое уникальное определение программно-определяемых глобальных сетей. Это молодая концепция, которая еще не устоялась и не обзавелась отраслевыми стандартами. Консалтинговая компания Gartner, которой надо хоть как-то ранжировать вендоров SD-WAN по уровню зрелости, развитию технологии и ее распространенности, предлагает довольно расплывчатое определение:
«Решения SD-WAN заменяют традиционные маршрутизаторы и не зависят от транспортных технологий WAN. SD-WAN обеспечивают динамическую маршрутизацию трафика приложений на основе политик с использованием нескольких каналов связи. Кроме того, SD-WAN поддерживают объединение сетевых сервисов в цепочки (сервис-чейны) для предоставления дополнительных услуг, таких как оптимизация WAN и создание программных межсетевых экранов».
Мы уважаем усилия аналитиков Gartner, перед которыми стояла задача одновременно описать весь ассортимент представленных сейчас на рынке SD-WAN, но если кто-то действительно хочет понять суть этой концепции, то ему, без сомнения, больше поможет «Википедия». Не помешает и понимание того, «откуда есть пошла» программно-определяемая глобальная сеть.
Все мы родом из MPLS
Двадцать лет назад мейнстримом при организации корпоративной сети считалась топология «звезда», которая при помощи выделенных каналов связи обеспечивала передачу данных между конечными точками — условно говоря, филиалами — и центральной площадкой с развернутым на ней ЦОД. Эти выделенные каналы предоставлялись оператором связи и являлись частью его частной сети. Виртуальные каналы внутри операторской сети строились на базе MPLS — адекватного на тот момент способа организации передачи данных.
В принципе, уже на этом этапе развития сетевых технологий можно было обеспечить большую часть функций, которые сейчас предоставляют SD-WAN. Но это требовало кропотливой работы по изменению огромного количества настроек для каждого из присутствующих в сети устройств.
В какой-то момент классические сетевые технологии пополнились решениями, подобными Performance Routing (PfR), которые включали элементы интеллектуального управления маршрутизацией и балансировкой пропускной способности с учетом потребностей приложений. Такие сети уже несли в себе многие из возможностей SD-WAN, но были весьма тяжелы в сопровождении.
Сложность и масштабы сетей росли, что привело к острой нехватке компетентных специалистов. И это стало важным фактором популяризации SD-WAN, настраивать которые гораздо проще. Еще недавно заказчики строили свою инфраструктуру на классических серверах Bare metal. Один сервер — одно приложение. Но мы быстро оказались в мире виртуализации, клаудификации и контейнеризации. Конфигурировать сети в этих средах вручную практически невозможно. SD-WAN стали тем ответом, который позволил радикально улучшить программируемость и автоматизацию сетевых настроек.
Вторая причина популярности программно-определяемых сетей — экономическая эффективность. На смену дорогим выделенным каналам связи пришли агрегированные, которые можно составить из любых имеющихся под рукой подключений. На смену специализированным сетевым устройствам пришли универсальные, все необходимые функции которых реализованы программно. Такой подход позволил в разы облегчить развертывание наложенной сетевой инфраструктуры на любых площадках и полностью автоматизировать настройки любых подключаемых к SD-WAN сетевых устройств.
О предубеждениях против SD-WAN
Вокруг SD-WAN существует ряд предубеждений, в частности и такое, что внедрение программно-определяемых сетей усложняет инфраструктуру. Обычно этого мнения придерживаются люди, которые получили свои первые знания о SD-WAN несколько лет назад и с тех пор их не обновляли.
На самом же деле технология очень быстро меняется даже на небольших интервалах времени. Четыре года назад, два года назад и даже год назад SD-WAN были совершенно другими. Да, MPLS или стандартный TCP/IP практически не меняются, зато те модели и сервисы, которые реализуются на базе SD-WAN, трансформируются до неузнаваемости за считанные месяцы.
Если еще год назад SD-WAN строились на DSVPN (Dynamic Smart Virtual Private Network), то сейчас она работает на масштабируемом BGP VPN. Если раньше SD-WAN можно было развернуть в сети на 10 тыс. точек, то сейчас — на 50 тыс. Отслеживать такие быстрые изменения сложно, отсюда и устаревшие стереотипы.
Поставщик решения для программно-определяемых сетей, конечно, не может пройтись по всем потенциальными клиентам, неся «благую весть». Поэтому мы в Huawei возлагаем эту миссию на наших партнеров, которые знают текущее положение дел и могут проконсультировать заказчиков. Задача партнеров облегчается тем, что они в любой момент могут предложить клиентам провести тестирование PoC и подтвердить все фактами.
Безопасность SD-WAN
Одно из важнейших свойств SD-WAN — простота управления. Это проявляется и в вопросах обеспечения безопасности. Раньше в большой сети применялись классические средства автоматизации защиты, основанные на огромном количестве скриптов. Сейчас современные вызовы требуют ускорения и упрощения изменений в политиках безопасности. Это позволяет быстро сократить площадь атаки.
Минимизировать риски при широком централизованном применении тех или иных настроек в SD-WAN помогает инструмент проведения симуляций. Сеть заранее может дать ответ на вопрос: «Что случится, если будут предприняты определенные действия?» Трудно переоценить полезность такой функции для специалиста по ИБ.
В SD-WAN уже невозможна ситуация, когда пятеро администраторов, обслуживающих сеть из тысячи маршрутизаторов, получают от специалиста по безопасности команду блокировать на устройствах те или иные функции. Понятно, что, когда через несколько дней сетевики закончат изменение настроек, защищать будет уже нечего. Не говоря уже о том, какое количество ошибок они внесут при таком огромном объеме ручного труда.
SD-WAN — не доверенная среда, ни в коем случае. Но в ней мы можем создать сервисные цепочки, которые очищают любой трафик. И если раньше это надо было делать какими-то сложными средствами (настраивать перенаправление, строить Policy-based Routing (PBR) и т. д.), то сейчас достаточно на уровне приложений выбрать, стоит ли отправлять этот трафик на очистку. И для каждого типа трафика, вплоть до уровня L7, можно выбирать те сервисные цепочки, которые мы составим.
Если заказчик использовал IPsec, то он сможет продолжить его использовать уже с SD-WAN. Если необходима защита трафика высокого класса, например СКЗИ КС2, в сервисные цепочки можно включить внешние сертифицированные криптографические устройства.
Мы можем построить NGFW (Next-Generation Firewall), который будет работать совместно с «песочницей» и высокоуровневыми контроллерами. Это бывает необходимо, когда у заказчика сеть уже построена и ее надо только защитить средствами наложенного SD-WAN. Такое встречается достаточно редко.
Самый распространенный кейс — запуск SD-WAN либо на маршрутизаторах, либо на виртуальных CPE (Customer Premises Equipment), которые могут располагаться в облаке.
Бывает и так, что заказчик хочет получить какие-то дополнительные партнерские сервисы. В этом случае мы используем подходы UCPE (Universal Customer Premises Equipment), которые позволяют в рамках контейнера реализовать дополнительные средства виртуализации, необходимые клиенту.
Конкретное решение выбирается в зависимости от того, что хочет получить заказчик и какая инфраструктурная база у него уже имеется. SD-WAN должна вписаться в общую концепцию безопасности, где любое устройство будет нести в себе функции сенсора и энфорсера — фиксировать события безопасности и блокировать действия, запрещенные текущими политиками.
Главное здесь — не допустить того, чтобы SD-WAN превратилась в «черный ящик», работа которого непрозрачна для специалистов по ИБ. Ведь человек так устроен, что он будет максимально противодействовать внедрению решения, которое не понимает.
У нас есть кейсы, когда информационная безопасность сама по себе являлась драйвером проектов по внедрению SD-WAN. Так бывает, когда заказчик хочет понимать, что происходит в глобально распределенной сети не в отложенном режиме, а в реальном времени.
Любопытно, что сертификаты Huawei по дисциплине HCIE (Huawei Certified Internetwork Expert), которая посвящена как раз маршрутизации и коммутации, все больше востребованы среди «безопасников». Сейчас около 20% обучающихся по этому направлению являются именно ИБ-специалистами. У нас они получают смежные знания, которые помогают им лучше защищать периметр сети, находящейся в зоне их ответственности. В прошлом году 60 таких специалистов получили наши сертификаты.
Заказчики SD-WAN — кто они
В России в силу культурных особенностей о крупных внедрениях SD-WAN говорить не принято. Такие проекты есть, но если поискать опубликованные кейсы, быстро выяснится, что почти все они относятся к категории «два коммутатора и десять маршрутизаторов». Эксплуатанты не хотят оповещать конкурентов о своих новых возможностях, поэтому складывается ощущение, что SD-WAN в России нет. Интересно, что в Европе обратная ситуация — там компании охотно освещают в СМИ такие проекты.
Если говорить о типах заказчиков, то грубо их можно разделить на две группы — крупные компании и операторы связи. Начнем с компаний. Самая простая задача, которую хотят решить многие корпоративные клиенты, — сокращение издержек: более дешевые каналы, самих каналов меньше, а эффективность их использования гораздо выше. Более сложный путь — новые сценарии, новый бизнес. SD-WAN нужно вписывать в экосистему бизнес-процессов. Но и здесь SD-WAN всего лишь позволяет более удобно решать традиционные задачи.
Несколько раз инициаторами проектов, в которых мы принимали участие, выступали не службы ИТ или ИБ, а финансовые директора компаний. И во внедрении SD-WAN они видели заметный элемент процесса общей оптимизации бизнеса. Такие заказчики чаще всего сотрудничают с консалтинговыми компаниями и заказывают у них дорожную карту развития. Одной из ключевых вех таких роадмапов является оптимизация капитальных и операционных расходов на корпоративную сеть.
Из всех виртуальных сетевых функций корпоративных заказчиков интересуют немногие: NGFW, IPS (Intrusion Prevention System), очистка и балансировка трафика. Все эти задачи могут быть реализованы на основе простых сервисных цепочек.
В целом зрелость корпоративных сетей в отношении использования SD-WAN уступает зрелости «старших братьев» — крупных операторов связи, у которых стоимость внедрения подобных решений куда выше, а проработка — детальнее. Именно операторов надо благодарить за появление концепции NFV (Network Functions Virtualization), которая и легла в основу SD-WAN. Голубой мечтой операторов является платформа NFVI (Network Function Virtualization Infrastructure) MANO (Management and Orchestration), в которой все сетевые функции являются виртуализованными. И их интерес понятен, ведь даже у относительно небольшого оператора схема таких сервисов вряд ли уместится на листе формата A0.
Операторская модель предполагает использование более открытых протоколов. Сейчас, например, наблюдается большой тренд перехода на SRv6 (Segment Routing over IPv6). Эта технология разрабатывается как раз в интересах крупных операторов связи. Она допускает управление разными сегментами сети при помощи разных контроллеров SD-WAN, что прописано непосредственно в стандарте.
По-настоящему потенциал SD-WAN раскрывается тогда, когда конфигурация сети похожа не на звезду, а на дорожную карту, со множеством узлов и неопределенной, постоянно меняющейся канальной связанностью. Математически и графически это можно представить как граф, возведенный в некую степень. Классическое управление сетевой инфраструктурой подразумевает отдельное управление каждой точкой в сети. И в сложных инфраструктурах этот подход попросту не работает. Именно в таких задачах SD-WAN демонстрирует свои лучшие качества, обеспечивая инфраструктуре необходимые устойчивость и гибкость.
Прогноз развития SD-WAN
Говорить о путях развития SD-WAN нам, конечно, проще с позиций Huawei. Если раньше программно-определяемые сети были отдельным решением, которое жило своей жизнью, то с прошлого года SD-WAN перешли из ранга технологии в ранг полноценной концепции, реализуемой на разных уровнях. Это и SD-Branch, и большие кампусы, и глобальные сети. Концепция родилась из потребности понимать, что происходит на всех уровнях сети. Модель с центральным ЦОД и радиальными лучами, разбивающая сеть на отдельные островки, уже никого не интересует. В дальнейшем SD-WAN будут развиваться за счет добавления все новых инструментов, обеспечивающих новые уровни анализа и управляемости.
Важнейшим среди таких инструментов является машинное обучение. Уже сейчас мы его используем для построения «графов знаний». Например, опираясь на статистические данные, мы можем предсказать, когда вот этот конкретный SFP-модуль выйдет из строя. Решения на базе ИИ могут не только сформировать соответствующее оповещение для администраторов, но и заранее перенаправить трафик в обход этого модуля. Это уже работает.
В рамках WAN машинное обучение тоже демонстрирует большой потенциал. Например, классическая сеть не понимает, что такое indirect failure. Этот отказ еще не сказался на протекающих процессах, но современная SD-WAN, построившая «граф знаний», в такой ситуации сама оптимизирует маршруты, обеспечив непрерывность доставки сервисов.
Уже сейчас SD-WAN, опираясь на «граф знаний», может дать рекомендации по реагированию практически на любой инцидент. На основе этого и подобных решений в будущем должны развиться полностью автономные сети. Сейчас они находятся на раннем этапе эволюции, но Huawei уже готовится к будущему, развивая концепцию Autonomous Driving Network (ADN). Подробнее о ней можно почитать в другой нашей публикации.