13, апрель 2021  — 

Программно-определяемые сети SD-WAN стали одной из ключевых технологий масштабирования бизнеса и построения сети филиалов Неуклонно растёт количество организаций, которые отказываются от традиционных маршрутизаторов в филиалах и переходят к решениям SD-WAN. О причинах продолжающегося роста на рынке и популярности технологии SD-WAN, а также о преимуществах её использования в интервью StorageNews рассказал Алексей Мальцев, ведущий системный инженер Fortinet.

Алексей Мальцев, ведущий системный инженер Fortinet

StorageNews: Какое определение программно-определяемых сетей SD - WAN можно дать для тех, кто только хочет познакомиться с таким классом решений?

Алексей Мальцев: Индустрия определяет SD - WAN , как технологию для обеспечения сетевой связности между площадками и удалёнными филиалами, для предоставления надёжного доступа сотрудников к инфраструктуре организации, используемым приложениям и сервисам, которые могут быть развёрнуты как в собственных Центрах Обработки Данных, так и в публичных облаках. Большинство известных реализаций SD-WAN создают так называемую оверлейную сеть, в которую могут входить различные и независимые друг от друга виды транспорта. Таким транспортом могут быть MPLS-каналы, широкополосный доступ в глобальную сеть Интернет, подключение к сетям 4 G / LTE мобильных операторов, защищённый туннель VPN и любые другие. Встроенные же в SD-WAN механизмы должны отслеживать надёжность и качество сетевых соединений, входящих в оверлей SD - WAN , оценивать характеристики как каналов, так и приложений, а также выполнять динамическую маршрутизацию и перенаправление трафика приложений по наилучшим в данный момент каналам согласно заданным правилам. Использование технологий SD - WAN позволяет перенести фокус с традиционных подходов маршрутизации сетевых пакетов на маршрутизацию, ориентированную на бизнес-приложения, что в конечном счете делает сеть организации более эффективной и гибкой.

StorageNews: Что привело к такому быстрому и стабильному росту популярности технологии SD-WAN среди клиентов в последнее время?

Алексей Мальцев: Действительно, технологии и решения SD - WAN очень хорошо восприняты рынком и организациями. Это подтверждается ведущими аналитическими агентствами и исследованиями, которые мы проводим как среди своих действующих, так и потенциальных клиентов. Продолжающиеся процессы цифровой трансформации, готовность к использованию облачных приложений и сервисов, необходимость в оптимизации расходов на оборудование и каналы связи, сокращения затрат на их обслуживание и персонал – это основные причины повышенного интереса к технологиям и решениям SD - WAN . Отдельно также хотелось бы отметить резкий и массовый переход к удалённой работе, требования к удобному управлению и видимости происходящего в сети, мониторингу качества работы приложений и сети в целом. Перечисленные изменения коснулись и продолжают затрагивать большинство организаций в различных вертикалях. Технологии SD - WAN же помогают в решении таких задач, они доказали свою зрелость и практическую ценность, что в итоге и привело к высокому спросу и активному внедрению решений из этой области.

StorageNews : Вы отметили несколько причин успеха технологии SD - WAN . Не могли бы вы рассказать чуть подробнее, почему организациям целесообразно использовать решения класса SD - WAN , какие преимущества даёт применение решений SD - WAN бизнесу?

Алексей Мальцев: Да, SD-WAN уже сейчас решает различные задачи бизнеса.. Во-первых, это возможность сокращения или оптимизации капитальных и операционных затрат. Прежде всего — за счет использования недорогих высокоскоростных подключений, а также за счет замены маршрутизаторов и различных сетевых устройств, ранее развернутых на площадке, на одно устройство. Такое устройство в нашем случае включает специализированный модуль обработки сетевого трафика SPU (или ASIC), позволяет кратно повысить производительность и добиться минимальных задержек при обработке трафика, упрощает управление сетью филиала из единой консоли. Оно консолидирует в себе продвинутые сетевые функции и маршрутизацию, инспекцию трафика и защиту от угроз, WAN-оптимизацию трафика и другие функциональные возможности. Использование комплексного устройства позволяет в некоторых случаях значительно снизить срок окупаемости решения. Отдельно стоит обратить внимание на недавно проведённые исследования, которые демонстрируют, что расходы на инфраструктуру WAN-каналов действиельно могут быть сокращены (https://blog.telegeography.com/wan-mythbusters-is-it-true-that-sd-wan-can-cut-your-network-spend-in-half). Использование одного выделенного широкополосного канала уже может обеспечить выгоду более 50%. Если же в качестве основного и резервного каналов будет использованы два Интернет-подключения, то это может сократить расходы в четыре (4) раза. Важно отметить, что во всех сценариях, когда выполнялась частичная или полная замена на MPLS, повышается суммарная пропускная способность в филиале. Во-вторых, это увеличение общей производительности сети, надежности и качества работы сервисов компании, возможность распознавания сетевых бизнес-приложений и динамическое определение для них наилучшего WAN-соединения, применение политик качества обслуживания QoS , где это необходимо. Это приводит к уменьшению количества отказов, которые оказывают непосредственное влияние на бизнес. В-третьих, это быстрый запуск новых площадок при расширении организации или, другими словами, автоматизация процесса развертывания и запуска новых филиалов. Не всегда есть возможность организовать выделенное MPLS-подключение в новом филиале, поэтому используются общедоступные интернет-каналы. Также не всегда на удалённой площадке находится сетевой инженер, который выполнит предварительную настройку оборудования. Запуск площадки в работу можно организовать за короткое время — до 10 минут. В-четвертых, это повышение видимости происходящего в сети предприятия и уменьшение сложности управления. Далее, это повышение общего уровня защищённости, возможности по сегментации сети, профилированию подключаемых в филиале устройств, контролю используемых сетевых приложений, фильтрации контента и защиты от сетевых атак и кибер-угроз. И, в завершении, это сокращение оттока клиентов и предоставление им новых сервисов и услуг, что актуально для операторов связи и сервис-провайдеров. Многие операторы понимают, что оказание традиционных сетевых услуг и сервисов уже недостаточно. Также для них может быть актуальна задача замены устаревшего или вышедшего из строя оборудования.

StorageNews : А каким организациям вы считаете решения SD - WAN подходят больше всего?

Алексей Мальцев: Мы наблюдаем интерес к технологиям SD - WAN от организаций с территориально-распределенной структурой, с несколькими удаленными филиалами и офисами различных размеров. И прежде всего это касается вертикалей ритейла, финансового сектора, производства, государственных организаций и, конечно же, операторов связи. Здесь следует отметить, что не все организации имеют возможность приобрести оборудование и развернуть сеть SD - WAN самостоятельно. Иногда бизнесу оптимальнее использовать услуги от Оператора Связи. В таком варианте, сервис-провайдеры могут предоставить по подписке не только само оборудование для построения SD - WAN сети, экспертизу по различными направлениям, включая проектирование и внедрение, услуги по управлению и мониторингу, но и, конечно же, сами каналы связи для каждой площадки. Причём наш опыт показывает, что вариант комплексного сервиса SD - WAN от оператора связи подходит не только небольшим структурам, но и крупным, быстро растущим компаниям.

StorageNews: Получается, что SD - WAN нужен и лучше всего подходит организациям с распределённой филиальной сетью?

Алексей Мальцев: Я бы ответил, что это не с овсем так. Существует большой пул наших клиентов, которые используют SD - WAN не только для построения филиальной сети, но и для обеспечения качественной работы используемых приложений на одной площадке и выбора для них интернет-соединения с наилучшими характеристиками с учётом требований к параметрам качества обслуживания (QoS) при передачи трафика и с учетом стоимости передачи трафика по тому или иному каналу связи. Это говорит о гибкости нашего подхода к SD - WAN и возможности решения различных задач. Также хотелось бы отметить, что сейчас SD - WAN называется одним из основных и ключевых элементов в новейшей концепции SASE (Secure Access Service Edge) или, другими словами, предоставления сервисов безопасности из облака. Оборудование SD - WAN в сценарии SASE обеспечивает надёжную доставку трафика в облако поставщика услуг для его инспекции и очистки, разграничение доступа к сервисам и приложений. Таким образом, мы повышаем общий уровень защищённости инфраструктуры, ограничиваем доступ к нежелательному контенту и сервисам, минимизируем риски сетевых атак и проникновений злоумышленников в сеть, заражения рабочих станций сотрудников. Такой сценарий может быть актуален для площадок любого размера, как мобильных офисов с небольшим количеством сотрудников, так и более крупных и, конечно, облачных инфраструктур.

StorageNews: Получается, что при выборе технологий SD - WAN компании должны использовать дополнительные инструменты обеспечения безопасности и повышения уровня защищённости своих сотрудников и ресурсов?

Алексей Мальцев: Это очень хороший вопрос. Сейчас много говорится о преимуществах внедрения технологии SD-WAN, но мало внимания уделяется опасениям бизнеса. Согласно опросам в индустрии, именно безопасность и защищённость от различных угроз, наряду с производительностью и стоимостью, вызывает наибольшую обеспокоенность. Она возникает так как зачастую площадки подключены напрямую к глобальной сети Интернет. Поэтому всё большую популярность получают решения, которые имеют продвинутые возможности инспекции трафика, такие как контроль приложений и веб-фильтрации, систему обнаружения вторжений и защиты от сетевых атак на сервисы и пользователей, потоковой антивирусной проверки трафика, защиты от утечек конфиденциальной информации и многие другие. То есть, когда мы говорим о безопасности, это не только возможность построения защищенного VPN-туннеля между площадками.

StorageNews: На что ещё вы бы порекомендовали обратить внимание при выборе решений SD - WAN . Какие моменты и особенности зачастую упускаются при оценке таких решений?

Алексей Мальцев: У большинства решений SD-WAN отсутствует один важный компонент - интегрированная безопасность. Вместо этого они требуют от клиентов создания, развертывания и управления собственным оверлеем безопасности, что делает развертывание SD-WAN громоздким, дорогим и гораздо менее гибким.

Защищенное решение SD-WAN от Fortinet решает эту проблему, предоставляя все сетевые функции и возможности подключения самых передовых решений SD-WAN, но с одним важным отличием. Оно включает в себя полный набор интегрированных функций безопасности корпоративного класса и централизованное управление, поэтому его можно легко интегрировать в более крупную структуру корпоративной безопасности. Далее, при выборе подходящего решения, необходимо обратить внимание на доступные форм-факторы и варианты исполнения – где-то практичнее использовать программно-аппаратный комплекс, а для облачных инфраструктур уже требуются виртуальные машины. Причём, в модельном ряду должны быть устройства различной производительности, чтобы решать задачи для площадок любого размера и с любыми требованиями к каналам связи. Отдельно стоит сделать оценку подходов и моделей лицензирования – учитывается ли полоса пропускания или количество пользователей для решения SD - WAN , требуются ли дополнительные лицензии для активации используемых модулей, как будет выглядеть процесс расширения лицензии при необходимости. Для некоторых площадок важно резервирование каналов доступа через LTE -сети мобильных операторов, поэтому требуется поддержка встроенных или внешних модемов, которые можно разместить в зонах уверенного приема сигнала. И, конечно, возможность расширения сервисов, доступных в филиале. SD - WAN и его подключения необходимы, чтобы предоставить транспорт для трафика сотрудников, приложений и устройств из вашей локально-вычислительной сети. В самой же ЛВС нам необходимо обеспечить безопасные проводные и беспроводные подключения, выполнить сегментацию и контроль устройств, обеспечить телефонию и даже видеонаблюдение. У нас такая архитектура предоставления дополнительных сервисов называется защищенный SD - Branch .

StorageNews: Задача управления всеми устройствами архитектуры SD - Branch выглядит достаточно сложной. Возможно ли применение каких-либо инструментов автоматизации?

Алексей Мальцев: Да, конечно, зачастую на практике для решений SD-WAN применяется механизм автоматизации развертывания или Zero Touch Provisioning, который позволяет не отправлять высококвалифицированного специалиста на каждую площадку для того, чтобы осуществить запуск оборудования, а использовать все преимущества автоматизации для быстрого старта. Заказчик получает сокращение времени на развертывание и начальную инициализацию, минимизацию ошибок, экономию средств. Так как в нашем случае вспомогательные решения защищенного SD - Branch , такие как коммутаторы FortiSwitch, точки беспроводного доступа FortiAP управляются непосредственно со шлюза FortiGate NGFW (межсетевой экран следующего поколения), с интегрированным SD - WAN -функционалом, то администраторы сети и безопасности получают доступ к централизованному управления всей инфраструктурой, видимость происходящего из единого консоли, возможность применения комплексного подхода для обеспечения безопасности. Таким образом, можно значительно упростить вашу инфраструктуру, использовать тесно интегрированные и связанные между собой решения, применить комплексный подход к построению и обеспечению безопасности филиала.

StorageNews: Какие перспективы и направления развития ожидаются в ближайшее время в технологиях и на рынке SD - WAN ?

Алексей Мальцев: На наш взгляд, преимущества на рынке SD - WAN получат решения, которые будут применять механизмы машинного обучения ( ML / AI ) для задач централизованного управления и мониторинга, прогнозирования потенциальных сбоев. Как отмечалось выше, важным критерием останется возможность применения комплексного подхода к построению филиала, быстрому и простому расширению сервисов в филиале для организаций любого размера и масштаба. Роль сервисов безопасности будет также расти, так как количество угроз и векторов атак увеличивается с каждым годом и требуется защита на всех уровнях от рабочих станций и устройств IoT до приложений в облаке.