Обеспечение безопасности
Безопасность в Kaspersky SD-WAN обеспечивается в плоскостях передачи данных, управления сетью и оркестрации. Степень безопасности всего решения определяется степенью безопасности каждой из этих плоскостей, а также защищенностью взаимодействия между ними. В каждой плоскости происходят следующие процессы:
- аутентификация и авторизация пользователей;
- использование безопасных протоколов управления;
- шифрование управляющего трафика;
- безопасное подключение устройств CPE.
Безопасные протоколы управления
Мы рекомендуем использовать протокол HTTPS при взаимодействии с сетью SD-WAN через веб-интерфейс оркестратора или API. Вы можете загрузить в веб-интерфейс собственные сертификаты или использовать автоматически сгенерированные самоподписанные сертификаты. Решение использует несколько протоколов для передачи управляющего трафика своим компонентам (см. таблицу ниже).
Взаимодействующие компоненты | Протокол | Дополнительное обеспечение безопасности |
---|---|---|
Оркестратор и контроллер SD-WAN | gRPC | Для аутентификации и шифрования трафика между клиентом и сервером используется протокол TLS. |
Оркестратор и устройство CPE | HTTPS | Для аутентификации и шифрования трафика между оркестратором и устройством CPE используется проверка сертификата и токен. |
Контроллер SD-WAN и устройство CPE | OpenFlow 1.3.4 | Для аутентификации и шифрования трафика между контроллером SD-WAN и устройством CPE используется протокол TLS. |
Безопасное подключение устройств CPE
Решение использует следующие механизмы безопасного подключения устройств CPE:
- Обнаружение устройства CPE с помощью идентификатора DPID.
- Отложенная регистрация. Вы можете выбрать, в каком состоянии находится устройство CPE после успешной регистрации – Активировано или Деактивировано. Выключенное устройство CPE нужно включить, убедившись, что оно установлено на площадке.
- Двухфакторная аутентификация.
Использование виртуальных сетевых функций
Вы можете обеспечить дополнительный уровень безопасности с помощью виртуальных сетевых функций, разворачиваемых в центре обработки данных и/или на uCPE. Например, трафик может быть направлен от устройства CPE к виртуальной сетевой функции, которая работает как межсетевой экран или прокси-сервер. Виртуальные сетевые функции могут выполнять следующие функции защиты сети SD-WAN:
- межсетевой экран нового поколения (англ. Next-Generation Firewall, NGFW);
- защита от атак DDoS (Distributed Denial of Service);
- системы обнаружения и предотвращения вторжений IDS (Intrusion Detection System) и IPS (Intrusion Prevention System);
- антивирус;
- антиспам;
- система фильтрации веб-адресов и контента;
- система защиты от утечек конфиденциальных данных DLP (Data Loss Prevention);
- веб-прокси Secure Web Proxy.