Обеспечение безопасности

Поддержка

Поддержка приложений для бизнеса

Kaspersky SD-WAN

О Kaspersky SD-WAN

Обеспечение безопасности

09 апреля 2024

ID 239165

Безопасность в Kaspersky SD-WAN обеспечивается в плоскостях передачи данных, управления сетью и оркестрации. Степень безопасности всего решения определяется степенью безопасности каждой из этих плоскостей, а также защищенностью взаимодействия между ними. В каждой плоскости происходят следующие процессы:

аутентификация и авторизация пользователей;
использование безопасных протоколов управления;
шифрование управляющего трафика;
безопасное подключение устройств CPE.
Телекоммуникационное оборудование, включая виртуальные машины, находящееся на клиентской площадке. Используется для подключения клиентской площадки к сети SD-WAN, установки туннелей и передачи трафика между клиентскими площадками. Трафик может передаваться в центр обработки данных для предоставления сетевых функций, например работы протоколов маршрутизации, предотвращения вторжений или антивируса.

Безопасные протоколы управления

Мы рекомендуем использовать протокол HTTPS при взаимодействии с сетью SD-WAN через веб-интерфейс оркестратора или API. Вы можете загрузить в веб-интерфейс собственные сертификаты или использовать автоматически сгенерированные самоподписанные сертификаты. Решение использует несколько протоколов для передачи управляющего трафика своим компонентам (см. таблицу ниже).

Взаимодействующие компоненты	Протокол	Дополнительное обеспечение безопасности
Оркестратор и контроллер SD-WAN	gRPC	Для аутентификации и шифрования трафика между клиентом и сервером используется протокол TLS.
Оркестратор и устройство CPE	HTTPS	Для аутентификации и шифрования трафика между оркестратором и устройством CPE используется проверка сертификата и токен.
Контроллер SD-WAN и устройство CPE	OpenFlow 1.3.4	Для аутентификации и шифрования трафика между контроллером SD-WAN и устройством CPE используется протокол TLS.

Безопасное подключение устройств CPE

Решение использует следующие механизмы безопасного подключения устройств CPE:

Обнаружение устройства CPE с помощью идентификатора DPID.
Отложенная регистрация. Вы можете выбрать, в каком состоянии находится устройство CPE после успешной регистрации – Активировано или Деактивировано. Выключенное устройство CPE нужно включить, убедившись, что оно установлено на площадке.
Двухфакторная аутентификация.

Использование виртуальных сетевых функций

Вы можете обеспечить дополнительный уровень безопасности с помощью виртуальных сетевых функций, разворачиваемых в центре обработки данных и/или на uCPE. Например, трафик может быть направлен от устройства CPE к виртуальной сетевой функции, которая работает как межсетевой экран или прокси-сервер. Виртуальные сетевые функции могут выполнять следующие функции защиты сети SD-WAN:

межсетевой экран нового поколения (англ. Next-Generation Firewall, NGFW);
защита от атак DDoS (Distributed Denial of Service);
системы обнаружения и предотвращения вторжений IDS (Intrusion Detection System) и IPS (Intrusion Prevention System);
антивирус;
антиспам;
система фильтрации веб-адресов и контента;
система защиты от утечек конфиденциальных данных DLP (Data Loss Prevention);
веб-прокси Secure Web Proxy.

Вам помогла эта статья?

Что нам нужно улучшить?

Спасибо за ваш отзыв, вы помогаете нам становиться лучше!