Обзор BI.ZONE Secure SD-WAN, платформы для безопасной трансформации сети

1. Введение
2. Принцип работы SD-WAN
3. Функциональные возможности BI.ZONE Secure SD-WAN
   1. 3.1. VNF Firewall
   2. 3.2. Протокол WireGuard с возможностью шифрования по ГОСТ
   3. 3.3. Протокол управления BCMP
   4. 3.4. Direct Internet Access
4. Архитектура BI.ZONE Secure SD-WAN
5. Варианты подключения BI.ZONE Secure SD-WAN
6. Системные требования BI.ZONE Secure SD-WAN
7. Сценарии использования BI.ZONE Secure SD-WAN
8. Выводы

Введение

Нефтебазы, операторы сотовой связи, магазины — существуют сотни компаний с несколькими структурными подразделениями, разбросанными по городу, стране или даже разным странам. Самым наглядным примером можно назвать банки с их многочисленными филиалами и сетями банкоматов.

Построение и поддержание безотказной работы инфраструктуры таких организаций становится огромным испытанием для ИТ-команды. Если в сети что-то меняется, приходится перенастраивать каждый экземпляр сетевого оборудования — наиболее чувствительного элемента. Это осложняется тем, что во многих организациях собраны разношёрстные устройства. При этом настраивать каждую единицу оборудования нужно по-разному, так что инженерам и пользователям приходится тратить часы на изучение инструкций.

Помимо этого, сетевые технологии шагнули далеко вперёд и ИТ-подразделениям уже недостаточно мониторить только работоспособность оборудования — нужно отслеживать качество работы приложений в сети. Следует понимать, получится ли оптимизировать использование каналов связи, повысить отказоустойчивость, облегчить внедрение новых узлов сети и упростить её перенастройку, если это будет необходимо.

Чтобы закрыть эти потребности, на рынке появились решения класса SD-WAN (Software-Defined Wide Area Network, программно определяемая глобальная сеть), позволяющие строить или масштабировать сети связи для географически распределённых компаний и подключать множество устройств к единому информационному пространству.

25 марта 2021 года было представлено первое отечественное решение этого класса, BI.ZONE Secure SD-WAN, специфика которого — поддержка шифрования по ГОСТ.

BI.ZONE разработала этот продукт, чтобы иметь возможность предложить клиентам периметровые сервисы безопасности локально (on-premise). Дополнительным стимулом стало стремление завоевать долю рынка продуктов класса SD-WAN как в России, так и за рубежом.

С помощью решения можно построить центр управления сетью SD-WAN в локальной архитектуре либо с использованием облачных сервисов BI.ZONE или провайдеров-партнёров. BI.ZONE Secure SD-WAN внесено в реестр российского ПО, а также имеет собственный протокол управления и маршрутизации.

Принцип работы SD-WAN

В основе работы SD-WAN лежит концепция SDN (Software-Defined Network), появившаяся около 10 лет назад, но получившая реализацию только в последнее время. В рамках этой концепции была выдвинута идея о централизации уровня принятия решений по передаче данных в сети, при которой результат решений и вычислений передавался бы на конечное оборудование.

Рисунок 1. Развитие концепции SDN

Первая реализация SDN — использование контроллеров, выполняющих вычисления и принимающих решения в ЦОД, где было сосредоточено сетевое оборудование. Основной задачей было уйти от распределённого изучения MAC-адресов сетевыми устройствами, которое создавало множество проблем при балансировке между несколькими устройствами, а также при любых изменениях топологии.

Следующим шагом стало распространение SDN в сетях мобильных операторов. В отличие от дата-центров, здесь были уже географически распределённые сети.

С помощью SDN операторы решали такие задачи, как балансировка проходящего через сетевые устройства трафика с учётом централизованно хранящихся данных о состоянии сети, а также обеспечение (провиженинг) MPLS-туннелей без использования сложных многопротокольных конструкций на оборудовании.

Главной проблемной задачей для SD-WAN оказалась централизация управления в сети, в которой ещё нет настроек на конечном сетевом оборудовании. Это связано с тем, что для реализации централизованного управления сначала нужно получить IP-связность с системой управления. Решением стало определение минимальной встроенной логики на этом оборудовании, задачей которой было найти маршрут до центрального контроллера и всегда поддерживать активную сессию для получения управляющих команд оттуда.

Для реализации работы SD-WAN использует типовые компоненты: аппаратное или виртуальное сетевое оборудование, контроллер управления оборудованием и маршрутизацией, оркестратор управления жизненным циклом.

Сетевое оборудование может также иметь виртуальные функции безопасности, реализующие периметровую защиту: NGFW, DNS Security, NTA / IPS / IDS, Secure Web Gateway.

Итак, вот какие преимущества даёт внедрение концепции SD-WAN:

1. Достижение экономии эквивалента полной занятости (FTE) и финансовых ресурсов, используемых для настройки и внедрения сетевого оборудования при подключении площадки. С учётом командировок специалистов затрачиваемое на настройку классического маршрутизатора время может достигать трёх и более дней. Для решений SD-WAN это время не превышает одного дня, в течение которого будут настроены сеть и функции безопасности в ней.
2. Существенная экономия денег. Оборудование SD-WAN может выполнять роль маршрутизатора, межсетевого экрана, средства предотвращения вторжений и т. д. Также за счёт объединения этих устройств достигается экономия электроэнергии и места в серверных стойках.
3. Отсутствие потребности в обучении специалистов работе с несколькими системами. Необходимо обучить только работе с системой управления SD-WAN для полноценного администрирования сети предприятия.

Функциональные возможности BI.ZONE Secure SD-WAN

VNF Firewall

BI.ZONE Secure SD-WAN предназначен не только для построения сетей, но и для обеспечения их безопасной работы, поэтому стоит обратить внимание на виртуальную сетевую функцию VNF Firewall.

Межсетевой экран в своей работе оперирует тремя уровнями абстракций:

• зоны — группы интерфейсов оборудования;
• службы, образующие централизованный каталог сетевых сервисов, работающих в инфраструктуре заказчика;
• группы адресов, включающие информацию об используемых в рамках предприятия подсетях.

Информация, содержащаяся на этих уровнях, используется при разработке политик безопасности.

Рисунок 2. Основа разработки политик безопасности

Межсетевой экран поддерживает версионирование, имеет возможность выбора одной из предыдущих конфигураций, а также позволяет проводить аудит истории изменений в политиках кибербезопасности.

BI.ZONE Secure SD-WAN — продукт, в котором реализована концепция ZTNA (Zero Trust Network Access, сетевой доступ с «нулевым доверием»). Для реализации этой концепции в межсетевом экране по умолчанию реализован следующий принцип зонирования: доверенной считается зона внутренних интерфейсов (LAN), трафик из неё разрешён во внешние сети (Overlay, WAN), а те вместе с удалёнными пользователями не являются доверенными, так что трафик из них в другие зоны по умолчанию запрещён. Любые сетевые взаимодействия между всеми зонами проходят через межсетевой экран.

Рисунок 3. Принцип зонирования в межсетевом экране

Протокол WireGuard с возможностью шифрования по ГОСТ

Для построения VPN-туннелей между площадками используется более современный аналог IPsec — протокол WireGuard, разработанный около пяти лет назад и набирающий всё большую популярность. Он проще, лучше защищён и более производителен, чем OpenVPN и IPsec.

WireGuard — протокол с открытым исходным кодом, что позволило BI.ZONE доработать его и внедрить возможность шифрования по ГОСТ, не теряя при этом возможности шифрования по зарубежным протоколам.

Использование WireGuard в BI.ZONE Secure SD-WAN позволяет отказаться от необходимости использовать IP-адреса при организации Overlay-сети, то есть от необходимости выделять IP-адреса на сеть наложенных туннелей. В этом случае для построения туннелей «точка-точка» и маршрутизации используются хеш-функции участников сети, а не IP-адреса.

WireGuard не использует аутентификацию по внешним IP-адресам. При использовании IPsec, если к сети подключаются мобильные активы, изменение IP-адреса может привести к недоступности оборудования либо как минимум к необходимости полного переустановления сессии. Использование WireGuard позволяет избежать этого и доставить трафик без потерь путём замены публичного адреса соседа «на лету» после успешного расшифрования пакета с проверкой целостности.

Задача построения маршрутов в сети BI.ZONE Secure SD-WAN с применением WireGuard полностью ложится на контроллер и не требует участия человека.

Протокол управления BCMP

Для управления жизненным циклом BI.ZONE CyberEdge используется протокол BCMP (BI.ZONE CPE Management Protocol), разработанный компанией BI.ZONE. BCMP имеет ряд преимуществ: он является бинарным для максимально ёмкого использования пропускной способности каналов связи, работает поверх WebSockets и обеспечивает постоянное соединение контроллера и оборудования, благодаря чему BI.ZONE CyberEdge максимально оперативно узнаёт об изменениях настроек или маршрутов. BCMP поддерживает версионирование и позволяет вернуться к предыдущим настройкам при возникновении проблем.

В BCMP реализована концепция атомарных изменений и заложено понятие статуса для каждого изменения: не доставлено, в процессе, выполнено, ошибка. Благодаря этому на оборудование передаются только те изменения, которые необходимо применить, а не вся конфигурация целиком.

Протокол BCMP используется для формирования структуры ссылки, передачи настроек на сетевые серверы BI.ZONE CyberEdge в процессе и после активации. BCMP получает сведения о состоянии от сетевого оборудования и передаёт маршрутную информацию на него. Передаваемая информация при этом шифруется.

Direct Internet Access

Direct Internet Access (DIA) позволяет получить доступ к интернету напрямую с площадки, на которой установлено оборудование. В базовых настройках оборудования эта возможность включена по умолчанию, что способствует минимальным задержкам при получении данных из интернета.

DIA в продукте BI.ZONE Secure SD-WAN — это очень гибкий инструмент, который позволяет обеспечить:

• отказоустойчивость доступа в интернет без использования протоколов динамической маршрутизации, поднятых с провайдером;
• гранулированный доступ путём настройки межсетевого экрана;
• централизованный доступ в интернет через одну площадку.

Отказоустойчивость достигается за счёт определения доступности и качества работы Overlay — связности поверх каждого канала — оператора сотовой связи или кабельного интернет-провайдера. При возникновении проблем со связью оборудование автоматически переключается на резервный канал без применения протокола динамической маршрутизации.

Архитектура BI.ZONE Secure SD-WAN

Решение BI.ZONE Secure SD-WAN состоит из централизованной системы управления и подключённого к сети на площадке оборудования.

Централизованная система управления включает в себя уровень управления (Management Plane) и уровень контроля (Control Plane).

Уровень управления — единый интерфейс, с помощью которого администратор централизованно проводит настройку сети и политик безопасности, а также может отслеживать состояние всех компонентов системы и предпринимать необходимые действия в случае их сбоя или выхода из строя.

Уровень контроля включает в себя контроллер SD-WAN, управляющий установленным на площадках оборудованием и маршрутизацией в сети SD-WAN, оркестратор безопасности, управляющий виртуальными функциями защиты на подключённом сетевом оборудовании, и шлюз центра обработки данных, предназначенный для агрегации туннелей управления подключённым оборудованием.

На оборудовании, подключаемом к сетевой инфраструктуре SD-WAN, реализованы уровень данных (Data Plane) и уровень служб (Service Plane).

Уровень данных представляет собой сетевые серверы BI.ZONE CyberEdge, поставляемые на площадку и обрабатывающие трафик. Кроме BI.ZONE CyberEdge к BI.ZONE Secure SD-WAN при желании заказчика могут быть подключены сетевые серверы других производителей, а также виртуальные машины.

На последнем уровне, уровне служб, реализованы виртуальные сетевые функции безопасности (Virtual Network Functions, VNFs). Они представляют собой контейнеры, запущенные на оборудовании в специально подготовленном сетевом окружении.

Рисунок 4. Компоненты BI.ZONE Secure SD-WAN

Архитектура BI.ZONE Secure SD-WAN построена таким образом, что трафик обрабатывается только на оборудовании, установленном на площадках, — в централизованную систему управления трафик не передаётся. Это позволяет обрабатывать его максимально быстро и обеспечить отказоустойчивость, так как при недоступности уровней управления и контроля обмен информацией между площадками продолжается.

Рисунок 5. Принципиальная схема обмена трафиком между площадками и центром управления

Варианты подключения BI.ZONE Secure SD-WAN

Построение комплекса BI.ZONE Secure SD-WAN и разворачивание системы управления возможны в трёх вариантах.

Первый вариант — размещение системы управления на облачных мощностях BI.ZONE. В этом случае заказчику предоставляется доступ к системе управления, после чего остаётся только развести оборудование по площадкам и настроить его. Процесс настройки очень прост и занимает до 15 минут. BI.ZONE поддерживает работоспособность централизованной системы управления, её своевременное обновление и восстановление в случае аварии.

Рисунок 6. Размещение системы управления на облачных мощностях BI.ZONE

Второй вариант — размещение системы управления на собственных мощностях заказчика. При этом сценарии покупатель получает техническую документацию по разворачиванию всей системы и самостоятельно проводит работы, привлекая техническую поддержку BI.ZONE при необходимости.

Рисунок 7. Размещение системы управления на мощностях заказчика

Третий вариант — размещение системы управления у партнёра BI.ZONE, например оператора связи, предоставляющего услугу по организации VPN. Как и в первом варианте, заказчик не занимается поддержкой работоспособности централизованной системы управления, её своевременным обновлением и восстановлением в случае аварий — эти обязанности делятся между BI.ZONE и сервисным провайдером.

Рисунок 8. Размещение системы управления у провайдера — партнёра BI.ZONE

Системные требования BI.ZONE Secure SD-WAN

BI.ZONE Secure SD-WAN базируется на собственной разработке BI.ZONE, сетевом сервере BI.ZONE CyberEdge 110. Это устройство содержит в себе ряд функций, таких как маршрутизатор с поддержкой LTE, коммутатор, межсетевой экран, сервер удалённого доступа мобильных пользователей, криптошлюз, точка доступа Wi-Fi. Присутствуют модификации с оптическими и медными портами. В этом году линейка BI.ZONE CyberEdge также должна пополниться младшей и старшей моделями.

BI.ZONE CyberEdge — не единственное оборудование, на котором можно построить сеть BI.ZONE Secure SD-WAN. Это решение поддерживает такие сетевые серверы, как Lanner и другие подобные. Кроме того, в качестве оборудования могут использоваться виртуальные машины VMWare и QEMU / KVM. Требования при подключении таких устройств зависят от потребностей компании-заказчика.

Рисунок 9. Сетевой сервер BI.ZONE CyberEdge 110

Рисунок 10. Порты сетевого сервера BI.ZONE CyberEdge 110

Оборудование строится на основе процессоров общего назначения с архитектурой x86-64 или ARM, что позволяет использовать DPDK (Data Plane Development Kit) для быстрой обработки пакетов и запуска дополнительных функций безопасности.

Все функции безопасности запускаются локально. По умолчанию на BI.ZONE CyberEdge 110 установлен межсетевой экран. Отдельно можно будет приобрести такие функции, как WAF, IPS, Secure Web Gateway и Secure DNS — сейчас они в разработке у BI.ZONE.

Таблица 1. Технические характеристики BI.ZONE CyberEdge 110

Сценарии использования BI.ZONE Secure SD-WAN

Сценарии использования BI.ZONE Secure SD-WAN зависят от потребностей заказчика. Рассмотрим некоторые из них.

Интеграция новой площадки в построенную сеть. В традиционной сети подключение новой площадки сопровождалось неудобствами: настраивать оборудование для такой сети сложно и трудоёмко, необходимо иметь на объекте специалиста, который сможет подключиться к консоли управления, произвести первичную настройку и ряд других действий, способных затянуть процесс подключения к сети на несколько суток.

При использовании подхода Zero-Touch Provisioning в BI.ZONE Secure SD-WAN эти проблемы решаются просто.

Рисунок 11. Принцип работы функции Zero-Touch Provisioning

Необходимо сделать несколько щелчков мышью, и оборудование подключится к контроллеру SD-WAN, получит от него настройки и спустя 5–7 минут будет в корпоративной сети. За счёт двухфакторной аутентификации и шифрования ссылки активации процесс настройки оборудования безопасен для клиента.

Рисунок 12. Процесс активации BI.ZONE CyberEdge

Рассмотрим этот кейс с точки зрения сетевого администратора организации. Предположим, что у организации появился филиал в Воронеже и сетевому инженеру нужно подключить его к сети.

Рисунок 13. Существующая сеть до введения новой площадки

В системе управления на панели мониторинга (дашборде) видны существующие площадки, а также различные показатели, касающиеся работы оборудования.

Рисунок 14. Дашборд системы управления BI.ZONE Secure SD-WAN

Добавление новой площадки происходит на вкладке «CPEs». Там отображаются подключённые площадки, типы оборудования («Spoke» или «Hub»), статус, описание, функции безопасности.

Рисунок 15. Вкладка «CPEs» в BI.ZONE Secure SD-WAN

Чтобы создать новую площадку, нужно всего лишь нажать «+ADD» в интерфейсе управления, после чего внести информацию в экранную форму. Объём вносимой информации минимален, часть полей можно выбрать из выпадающего списка.

Рисунок 16. Заполнение экранной формы в BI.ZONE Secure SD-WAN

На этом настройка завершена — остаётся нажать кнопку «Get provision link» для получения ссылки активации.

Рисунок 17. Ссылка активации оборудования

После генерации ссылка отправляется любому сотруднику на подключаемой площадке. Всё, что требуется от него, — вставить ссылку в адресную строку браузера, находясь при этом в подключённой к настраиваемому BI.ZONE CyberEdge сети. Далее оборудование перехватывает ссылку активации и показывает диагностический интерфейс. Останется лишь нажать кнопку «ACTIVATE». На этом роль пользователя в настройке оборудования будет исчерпана.

Рисунок 18. Диагностический интерфейс подключаемого оборудования

После этой операции подключаемое оборудование обращается к контроллеру для получения настроек. Порядок автоматической настройки отображается в интерфейсе администратора.

Рисунок 19. Последовательность шагов при настройке оборудования в BI.ZONE Secure SD-WAN

Активация оборудования занимает 5–7 минут. При этом происходит настройка не только нового оборудования, но и ранее подключённого — ему передаётся информация об изменениях, произошедших в сети.

Рисунок 20. Настроенное оборудование, которое находится на связи

После автоматической настройки оборудования администратор может задать на нём необходимые локальные параметры: описать подсети, настроить маршрутизацию и сконфигурировать межсетевой экран.

Подключение удалённых сотрудников. Потребности в подключении удалённых сотрудников могут быть различны: защищённая работа с корпоративными ресурсами во время командировки, перевод сотрудников на режим работы из дома и другие. Для реализации этой потребности генерируется конфигурация программного клиента, с которого в дальнейшем можно подключиться к хабу и получить доступ к тем ресурсам корпоративной сети, к которым разрешён доступ на межсетевом экране. Программный клиент реализован для основных операционных систем: Windows, Mac, Linux, iOS, Android.

Рисунок 21. Реализация сценария удалённого подключения на решении BI.ZONE Secure SD-WAN

Генерация конфигурации программного клиента происходит непосредственно из панели управления BI.ZONE Secure SD-WAN на центральном узле сети на вкладке «RA VPN».

Рисунок 22. Панель управления удалёнными пользователями

Заполнив необходимую информацию, администратор создаёт нового пользователя, у которого будет возможность удалённого подключения к VPN.

Рисунок 23. Создание нового удалённого пользователя

Для пользователя генерируется QR-код для мобильных устройств и файл конфигурации для персональных компьютеров.

Рисунок 24. Сформированные конфигурации удалённого доступа

Управление политиками безопасности. BI.ZONE Secure SD-WAN — решение не только направленное на построение сети, но и призванное обеспечивать сетевую безопасность. Для этих целей на оборудовании есть межсетевой экран. Настройка межсетевых экранов на подключённом оборудовании в BI.ZONE Secure SD-WAN реализована также из единого интерфейса управления.

Рисунок 25. Централизованное разграничение доступа

Настройка сервиса виртуальной функции межсетевого экрана производится через вкладку «Edge CPEs» либо «Security Orchestrator» — «VNFs» путём выбора настраиваемого сетевого оборудования.

Рисунок 26. Настройка VNF

Чтобы добавить правило, нужно заполнить отдельную форму.

Рисунок 27. Настройка правила VNF

Необходимо отметить два момента:

1. Добавление адресов источников и адресов назначения вручную невозможно — только путём создания отдельных групп адресов. С одной стороны, это позволяет избежать ошибок при ручном вводе, а с другой — для ряда отдельных хостов понадобится создавать отдельный каталог.
2. Добавленное правило обязательно требует описания — это нужно для ведения истории изменений. История поможет восстановить хронологию изменения настроек и выяснить, что именно меняли и зачем. Применить правило нельзя до тех пор, пока не будет введена информация о произведённом действии.

Рисунок 28. Описание нового правила

В ряде организаций изменения политик безопасности производятся только в регламентные часы с предварительным оповещением о возможности простоя. Для поддержки такого режима работы решение обеспечивает сохранение (commit) политик безопасности в систему управления без отправки на оборудование. После описания всех необходимых правил и проверки полученной политики конфигурация применяется (apply) на оборудовании. При этом в рассматриваемом продукте есть возможность задать время автоматического отката (rollback) политик на ранее применённую версию. Указав необходимое количество времени, сетевой инженер может проверить фактическую работу политик в сети и подтвердить применение текущей конфигурации нажатием кнопки «Confirm».

Рисунок 29. Установка времени для анализа корректности нового правила

Построение изолированных друг от друга сетей. Подобный сценарий применяется при построении сетей, которые не должны взаимодействовать друг с другом по тем или иным причинам. Например, это могут быть пользовательская сеть и сеть банкоматов, пользовательская и технологическая сети. Таким образом минимизируется вероятность проникновения из одной подсети в другую.

Рисунок 30. Разделение сетей в BI.ZONE Secure SD-WAN

Для этого в консоли управления создаются проекты в соответствии с требуемой спецификой.

Рисунок 31. Создание проекта в BI.ZONE Secure SD-WAN

При заведении оборудования в интерфейсе управления необходимо выбрать проект, в рамках которого происходит подключение оборудования.

Рисунок 32. Оборудование в рамках проекта «Банкоматы»

При выборе другого проекта это оборудование не видно.

Рисунок 33. Оборудование в рамках проекта «Филиалы»

Выводы

BI.ZONE Secure SD-WAN — перспективное решение, которое в ближайшее время может стать лидером в российском сегменте рынка сетевого оборудования для построения распределённых корпоративных сетей передачи данных.

Этому способствуют такие факторы, как простота использования продукта и круглосуточная техническая поддержка от опытных экспертов. Решение будет востребованно на объектах КИИ (критической информационной инфраструктуры), где в соответствии с тенденциями последнего времени всё идёт к импортозамещению.

При этом продукт также имеет и недостатки: текущая документация не описывает все функциональные возможности в полном объёме, нельзя экспортировать журналы событий, отсутствуют возможности клонирования правил VNF одного устройства на другие. Впрочем, производитель знает об этих недостатках и дорабатывает продукт.

Достоинства:

• Масштабируемость: решение поддерживает подключение до 10 000 площадок.
• Сервисы безопасности собственной разработки — не требуется закупка отдельных лицензий сторонних вендоров.
• Регистрация в реестре отечественного ПО.
• Использование протоколов собственной разработки.
• Простота установки и настройки оборудования.
• Замена нескольких типов сетевого оборудования.
• Наличие централизованного управления и встроенной системы мониторинга.

Недостатки:

• Отсутствие русскоязычного интерфейса.
• Неполное руководство пользователя — при возникновении вопросов возникает необходимость дополнительно коммуницировать с техподдержкой производителя.
• Отсутствие сертификатов ФСТЭК и ФСБ России.
• Незавершённый процесс разработки таких функций безопасности, как WAF, IPS, SWG, Secure DNS.