Виртуальные сетевые функции – новые и неочевидные возможности SD-WAN

Максим Каминский

Менеджер по развитию бизнеса Kaspersky SD-WAN/SASE

Современные решения класса SD-WAN подразумевают наличие менеджера виртуальных сетевых функций (VNF), который позволяет управлять их жизненным циклом. В этой статье разбираемся с экспертом «Лаборатории Касперского», почему это удобно и выгодно для компаний с разветвленной сетевой инфраструктурой.

NFV: очевидное – невероятное

Сетевые функции – промежуточные устройства, находящиеся на пути трафика. С их помощью он не просто движется из точки в точку, но меняется в ходе этого движения. Применение сетевых функций позволяет производить его фильтрацию, обеспечивать защиту, оптимизировать, иными словами, преобразовывать данные в заданных целях.

Традиционно сетевые функции представляли собой аппаратное обеспечение с предустановленным ПО. Нередко физические устройства были даже спроектированы особым образом, чтобы демонстрировать лучший результат в связке со специализированными программами.

Однако этот подход исчерпал себя по ряду причин. Производство такого оборудования специфично, а потому его стоимость высока. Разработка подобных устройств также трудоемка, а, значит, требует много времени. За это время решения устаревают, так как особенности организации производственного цикла не позволяют оперативно вносить в них изменения и совершенствовать. Более того, необходимость придерживаться установленного графика, отсутствие гибкости в процессе разработки, попытки «угадать» нужный уровень производительности устройств на старте разработки приводят к тому, что между потребностями конкретной компании и возможностями оборудования всегда существует расхождение. Спрос на товары возрос и нужно больше мощностей для обработки обращений? Не получится, так как существующие устройства не справляются с нагрузкой, а закупка новых осуществляется в строго определенные сроки. Приобрели дополнительное аппаратное обеспечение «на вырост»? И здесь можно ошибиться: ситуация на рынке изменилась, оборудование осталось невостребованным.

Для традиционного подхода характерно, что настройка оборудования производится вручную, что серьезно ограничивает возможности масштабирования. Расширение штата не приводит к линейному росту производительности хотя бы потому, что команда с переизбытком участников теряет эффективность.

Распространение облачных технологий стало важным фактором, стимулирующим развитие виртуализации сетевых функций. Правило, в соответствии с которым для определенных ролей требовались отдельные серверы, перестало действовать. За счет средств виртуализации на одном физическом сервере можно разместить множество ролей, эффективно используя вычислительные ресурсы. Облака гиперболизировали эту идею, позволив запускать множество виртуальных машин под управлением оркестратора, который в автоматическом режиме развертывает их, настраивает связь между ними, ведет мониторинг и восстанавливает в случае необходимости.

Когда мы стоим на земле и смотрим в небо, мы не знаем, что происходит в облаке. Не знаем, где точно оно расположено, большое оно или маленькое. Мы можем лишь ожидать от него некоторых событий. С облачным подходом – схожая ситуация. Пользователь описывает желаемую инфраструктуру, и, не выполняя никаких физических действий по подключению, настройке, управлению, получает гарантированный результат. Вне зависимости, где именно в облаке запущены виртуальные машины, какие серверы используются и т.д. И надежнее, чем с атмосферными явлениями – никакого майского снега или ночной грозы.

VNF – это объединение возможностей виртуализации и облачного подхода к управлению, а именно к процессам разворачивания и установки различных функций в сеть. ПО, которое прежде работало только на специальных аппаратных средствах, можно запустить в гипервизоре и создать виртуальную машину, выполняющую определенную функцию по обработке трафика. Используя облачный подход к оркестрации сетевых функций, обеспечить непрерывный мониторинг состояния не только виртуальных машин, но и корректного выполнения ими поставленных задач. Фактически, взяв за основу некую унифицированную инфраструктуру, построить огромное количество логических сервисных цепочек для разных групп пользователей. Трафик будет циркулировать по разным сценариям, причем цепочки будут изолированы друг от друга, а обработка трафика для каждой группы – будет настроена индивидуально. Основой для запуска служат универсальные серверы, которые функционируют в соответствии с собственным жизненным циклом, а ПО в рамках периода подписки может обновляться и предоставлять все более широкие возможности.

В свою очередь, встроенная в SD-WAN-решения виртуализация сетевых функций позволяет автоматизировать не только организацию связи, но и управление сервисной цепочкой, функциональным наполнением сервиса. Выходя за пределы транспортных средств, применять к трафику функции и управлять им с высокой степенью эффективностью.

ИТ и ИБ: общие проблемы – одно решение

С какими сложностями сталкиваются сотрудники ИТ- и ИБ-отделов и как NFV поможет их решить?

Сложности с покупкой аппаратных платформ

В ситуации, когда большинство зарубежных вендоров покинули российский рынок, закупка оборудования иностранного происхождения стала затруднительной. Менеджер виртуальных сетевых функций независим от аппаратного обеспечения и легко интегрируется практически с любым имеющимся. Разделение аппаратных и программных средств позволяет с помощью обычных серверов решать проблемы, связанные с поставками специализированного оборудования из-за рубежа. Одно из решений, представленных на российском рынке, Kaspersky SD-WAN, в свою очередь является полностью отечественным продуктом и может использоваться в программах по импортозамещению.

Болезненная интеграция

«Программный зоопарк» – не исключение, а данность для большинства компаний. Если сетевая инфраструктура не предусматривает варианта объединения различных систем и управления ими, слаженная и продуктивная работа затруднительна. Разрозненность используемых ИТ-средств может стать препятствием для надежной работы с данными. NFV способен интегрировать имеющиеся ИБ-инструменты, причем не только от «Лаборатории Касперского», но и от сторонних производителей. Централизованное управление обеспечит полноту и своевременность обновлений. Аналогично – с ИТ-системами. Их избыток и разнородность усложняют рациональное управление рабочими процессами. NFV выступает в роли консолидирующего звена с практически неограниченными перспективами для развития сети.

С помощью оркестратора можно запускать множество разных сценариев одновременно. Достаточно обрисовать целевое состояние сети – остальное он возьмет на себя, самостоятельно определив содержание и количество функций для достижения нужного результата.

За счет менеджера виртуальных сетевых функций и сервисного оркестратора в своем составе достигается гибкость платформы SD-WAN.

ИБ-службу сослужу

Сотрудники ИБ-отделов оценят специфические преимущества VNF. Предположим, вы руководите ИБ-отделом в территориально-распределенной компании и планируете инсталлировать новый ИБ-инструмент в сеть. Виртуализация сетевых функций позволит автоматически развертывать средства защиты и контроля трафика, в том числе межсетевые экраны, шлюзы сетевой безопасности и системы предотвращения вторжений. Развертывание происходит быстро, качественно и не требует привлечения инженеров на местах. Закупка аппаратных средств защиты для каждого филиала не понадобится.

По результатам исследования Gartner, опубликованного в феврале 2023 года, человеческий фактор остается основной проблемой в сфере кибербезопасности. Опрос показал, что 69% работников нарушали ИБ-рекомендации своей организации за последние 12 месяцев. Трудоемкость поддержания актуальности и единства политик безопасности при ручной настройке оборудования в филиалах ставит под сомнение целостность защиты и создает дополнительные угрозы. NFV автоматизирует рутинные операции в процессе обеспечения безопасности, уменьшая вероятность ошибки сотрудников. Унификация средств защиты, единая политика сетевой безопасности для всех филиалов и удаленных сотрудников, объединение сетевого транспорта и сетевой виртуализации дают возможность централизованно настраивать цепочки передачи трафика через различные средства защиты. Смена настроек доступа и политик безопасности занимает считанные минуты.

ИТ: виртуальное реально!

Актуальная задача для ИТ-отделов – запуск новых сервисов. Посещать каждый филиал и в ручном режиме настраивать устройства сложно и затратно. Менеджер виртуальных сетевых функций предельно упрощает внедрение новых сервисов.

Масштабирование мощностей, необходимых для обработки трафика, можно учесть в процессе построения сети. Открытие новых офисов форсирует рост объема трафика. Увеличивая число необходимых элементов в сети и распределяя между ними нагрузку с помощью NFV, комфортно развивать сервисы и расширять возможности бизнеса.

Современный мир требует легкости в организации сетевой инфраструктуры. Она позволяет концентрироваться на развитии бизнеса, а не на специфике оборудования, но ее не достичь, если вместе с ростом компании увеличивается число проблем с надежностью и безопасностью движения трафика в корпоративной сети. Виртуальные сетевые функции – легкие и эффективные. Они могут решать большое количество разнообразных задач, но при этом обладают высоким уровнем персонализации: их можно применять с наибольшей пользой для каждой конкретной отрасли, компании и ситуации. На отечественном рынке эта опция реализована в решениях от разных компаний, в том числе в Kaspersky SD-WAN. Однако какой бы продукт ни был интегрирован в инфраструктуру, сетевая платформа, пронизанная сервисными цепочками, позволяет двигаться к успеху проще, быстрее и экономичнее.