Обеспечение безопасности

Безопасность в Kaspersky SD-WAN обеспечивается в плоскостях передачи данных, управления сетью и оркестрации. Степень безопасности всего решения определяется степенью безопасности каждой из этих плоскостей, а также защищенностью взаимодействия между ними. В каждой плоскости происходят следующие процессы:

аутентификация и авторизация пользователей;
использование безопасных протоколов управления;
шифрование управляющего трафика;
безопасное подключение устройств CPE.
Телекоммуникационное оборудование, включая виртуальные машины, находящееся на клиентской площадке. Используется для подключения клиентской площадки к сети SD-WAN, установки туннелей и передачи трафика между клиентскими площадками. Трафик может передаваться в центр обработки данных для предоставления сетевых функций, например работы протоколов маршрутизации, предотвращения вторжений или антивируса.

Безопасные протоколы управления

Мы рекомендуем использовать протокол HTTPS при взаимодействии с сетью SD-WAN через веб-интерфейс оркестратора или API. Вы можете загрузить в веб-интерфейс собственные сертификаты или использовать автоматически сгенерированные самоподписанные сертификаты. Решение использует несколько протоколов для передачи управляющего трафика своим компонентам (см. таблицу ниже).

Протоколы для передачи управляющего трафика

Взаимодействующие компоненты	Протокол	Дополнительное обеспечение безопасности
Оркестратор и контроллер SD-WAN	gRPC	Для аутентификации и шифрования трафика между клиентом и сервером используется протокол TLS.
Оркестратор и устройство CPE	HTTPS	Для аутентификации и шифрования трафика между оркестратором и устройством CPE используется проверка сертификата и токен.
Контроллер SD-WAN и устройство CPE	OpenFlow 1.3.4	Для аутентификации и шифрования трафика между контроллером SD-WAN и устройством CPE используется протокол TLS.

Безопасное подключение устройств CPE

Решение использует следующие механизмы, чтобы идентифицировать устройства CPE во время их установки и регистрации:

Обнаружение устройства CPE с помощью идентификатора DPID.
Отложенная регистрация. Вы можете выбрать, в каком состоянии находится устройство CPE после успешной регистрации – Активировано или Деактивировано. Деактивированное устройство CPE нужно активировать вручную, убедившись, что оно установлено на площадке.
Двухфакторная аутентификация – клиент получает ключ, который требуется ввести на устройстве CPE, чтобы активировать его.

Во время регистрации устройство CPE проверяет подлинность сертификата оркестратора, после чего отправляет ему свой идентификатор DPID и токен. Оркестратор проверяет их наличие в базе данных и в случае успеха отправляет устройству информацию, необходимую для подключения к сети, а также конфигурацию. Затем устройство устанавливает подключение с контроллером SD-WAN, который в свою очередь программирует его поведение для последующей обработки трафика.

Если переданный идентификатор DPID отсутствует в инвентаризационной базе, устройство CPE отображается со статусом Неизвестно и не подключается к сети SD-WAN.

Использование VNF

Вы можете обеспечить дополнительный уровень безопасности с помощью VNF, разворачиваемых в ЦОД и/или на uCPE. Например, трафик может быть направлен от устройства CPE к VNF, которая выполняет функцию сетевого экрана или прокси-сервера. VNF могут выполнять следующие функции защиты сети SD-WAN:

межсетевой экран нового поколения (англ. Next-Generation Firewall, NGFW);
защита от атак DDoS (Distributed Denial of Service);
системы обнаружения и предотвращения вторжений IDS (Intrusion Detection System) и IPS (Intrusion Prevention System);
антивирус;
антиспам;
система фильтрации URL- и веб-контента;
система защиты от утечек конфиденциальной информации DLP (Data Loss Prevention);
веб-прокси Secure Web Proxy.

В начало