Обеспечение безопасности
Безопасность в Kaspersky SD-WAN обеспечивается в плоскостях передачи данных, управления сетью и оркестрации. Степень безопасности всего решения определяется степенью безопасности каждой из этих плоскостей, а также защищенностью взаимодействия между ними. В каждой плоскости происходят следующие процессы:
- аутентификация и авторизация пользователей;
- использование безопасных протоколов управления;
- шифрование управляющего трафика;
- безопасное подключение устройств CPE.
Безопасные протоколы управления
Мы рекомендуем использовать протокол HTTPS при взаимодействии с сетью SD-WAN через веб-интерфейс оркестратора или API. Вы можете загрузить в веб-интерфейс собственные сертификаты или использовать автоматически сгенерированные самоподписанные сертификаты. Решение использует несколько протоколов для передачи управляющего трафика своим компонентам (см. таблицу ниже).
Протоколы для передачи управляющего трафика
Взаимодействующие компоненты | Протокол | Дополнительное обеспечение безопасности |
|---|---|---|
Оркестратор и контроллер SD-WAN | gRPC | Для аутентификации и шифрования трафика между клиентом и сервером используется протокол TLS. |
Оркестратор и устройство CPE | HTTPS | Для аутентификации и шифрования трафика между оркестратором и устройством CPE используется проверка сертификата и токен. |
Контроллер SD-WAN и устройство CPE | OpenFlow 1.3.4 | Для аутентификации и шифрования трафика между контроллером SD-WAN и устройством CPE используется протокол TLS. |
Безопасное подключение устройств CPE
Решение использует следующие механизмы, чтобы идентифицировать устройства CPE во время их установки и регистрации:
- Обнаружение устройства CPE с помощью идентификатора DPID.
- Отложенная регистрация. Вы можете выбрать, в каком состоянии находится устройство CPE после успешной регистрации – Активировано или Деактивировано. Деактивированное устройство CPE нужно активировать вручную, убедившись, что оно установлено на площадке.
- Двухфакторная аутентификация – клиент получает ключ, который требуется ввести на устройстве CPE, чтобы активировать его.
Во время регистрации устройство CPE проверяет подлинность сертификата оркестратора, после чего отправляет ему свой идентификатор DPID и токен. Оркестратор проверяет их наличие в базе данных и в случае успеха отправляет устройству информацию, необходимую для подключения к сети, а также конфигурацию. Затем устройство устанавливает подключение с контроллером SD-WAN, который в свою очередь программирует его поведение для последующей обработки трафика.
Если переданный идентификатор DPID отсутствует в инвентаризационной базе, устройство CPE отображается со статусом Неизвестно и не подключается к сети SD-WAN.
Использование VNF
Вы можете обеспечить дополнительный уровень безопасности с помощью VNF, разворачиваемых в ЦОД и/или на uCPE. Например, трафик может быть направлен от устройства CPE к VNF, которая выполняет функцию сетевого экрана или прокси-сервера. VNF могут выполнять следующие функции защиты сети SD-WAN:
- межсетевой экран нового поколения (англ. Next-Generation Firewall, NGFW);
- защита от атак DDoS (Distributed Denial of Service);
- системы обнаружения и предотвращения вторжений IDS (Intrusion Detection System) и IPS (Intrusion Prevention System);
- антивирус;
- антиспам;
- система фильтрации URL- и веб-контента;
- система защиты от утечек конфиденциальной информации DLP (Data Loss Prevention);
- веб-прокси Secure Web Proxy.
