Softwarově definované sítě zažívají v současnosti velký rozmach. Jejich popularita je způsobena výhodami, které nabízí. První zjevnou výhodou je zcela centralizovaná správa všech zařízení. Ta přitom pokrývá celý jejich životní cyklus. Nasazení nového směrovače přitom může být automatizované a bezobslužné – zde hovoříme o Zero Touch Provisioningu. Konfigurace s využitím parametrizovaných šablon umožňuje škálování řešení na tisíce pobočkových směrovačů a minimalizuje konfigurační chybu. A samozřejmostí je centralizovaný monitoring provozních parametrů celé WAN sítě. Také samotná politika směrování datového provozu je šablona. Jejím „zapnutím“ se celá WAN síť, bez ohledu na to zda má desítky či tisíce směrovačů, začne řídit jedinou směrovací politikou. Samotná politika přitom poskytuje takovou granularitu nastavení a dosažení efektu směrování provozu, kterého by bylo s využitím tradičních směrovacích protokolů prakticky zcela nemožné dosáhnout.

SD-WAN také umožňuje, kromě tradičních WAN transportů, jako například MPLS, připojit a naráz používat i jiné doplňkové transporty. Motivací pro jejich využívání je hned několik:

1. Finanční úspora při zachování vysoké dostupnosti – k tradičnímu MPLS transportu se přidá jeden nebo více levnějších transportů (DSL, 3G/LTE, apod.)
2. Pokrytí odlehlých lokalit, ve kterých je jiný poskytovatel a jiná technologie než ve zbytku sítě.
3. Využití téměř celé dispoziční šířky pásma napříč všemi transporty. SD-WAN nativně rozděluje datový provoz napříč všemi dostupnými cestami/transporty a všechny považuje za aktivní zároveň (ECMP – Equal Cost Multi Path).
4. Možnost vybrat konkrétní transport, například MPLS, pro kritické aplikace a přesměrování ostatních aplikací přes zbývající transporty.
5. Žádné z uvedených nastavení nemusí být statické ale právě naopak. S velkou výhodou lze využívat fakt, že všechny transporty SD-WAN sítě jsou automaticky monitorované. To umožňuje zcela automatizovanou reakci WAN sítě a přesměrování zvolených L7 aplikací přes jiný transport v případě, že výchozí transport přestal vyhovovat požadavkům aplikace.
6. Možnost směrovat provoz mířící do cloudu přes pobočku anebo nadřazený regionální HUB.

Softwarově definované sítě tak nabízí naprostou flexibilitu transportu dat při přímém připojení do internetu, což je obzvlášť užitečné v multicloudových prostředích s různými SaaS a IaaS řešeními. Efektivita připojení, kterou SD-WAN přináší, znamená lepší zkušenost uživatelů při užívání podnikových aplikací a zároveň snížení nákladů.

Tyto výhody však mají i stinnou stránku – konverze podnikové WAN a pobočkových sítí na SD-WAN a související otevřenost podniku vůči internetu (v případě, že se skutečně jako další transport použije veřejný internet) a cloudu zvyšuje bezpečnostní rizika a komplikuje zabezpečení a zajištění compliance.

Otázkou tedy je, jak ochránit nově zavedenou SD-WAN proti vnitřním i vnějším hrozbám. Nadstavbová bezpečnostní opatření v podobě hardwarových zařízení nebo služeb, ať lokálních, cloudových nebo obojího druhu, mohou být omezující při budoucím nárůstu objemu provozu. Složitá může být i implementace a správa bezpečnostních řešení od různých dodavatelů. Další problematickou otázkou je, jak získat ucelený přehled o datovém provozu do a ze všech poboček, datových center a cloudů a zajistit dodržování interních pravidel i zákonných povinností v celém složitě strukturovaném prostředí.

Flexibilní integrované zabezpečení SD-WAN

Při přebudovávání sítě s využitím softwarově definované WAN je zapotřebí zajistit konzistentní škálovatelné zabezpečení poboček, aplikací, cloudů a uživatelů ve všech lokalitách. Toho lze dosáhnout pouze integrováním všech důležitých síťových bezpečnostních prvků přímo do architektury řešení SD-WAN na ochranu proti škodlivému softwaru, botnetům, phishingu, DDoS, horizontálnímu šíření hrozeb v síti, neoprávněnému přístupu, nepovoleným aktivitám, porušení pravidel a dalším vnitřním i vnějším hrozbám. Bezpečnostní funkce musí být přímo implementované v pobočkovém směrovači. Jen tímto způsobem je možné získat maximum z potenciálu SD-WAN – využít levnějších transportů přes veřejný internet v roli druhé konektivity nebo optimální směrování cloudového provozu přímo přes pobočku/nadřízený HUB ven do internetu, tedy tak zvaný direct internet access, a to bez nutnosti zbytečného tunelování do centrálního datového centra. Integrovaná a inherentní bezpečnost na úrovni samotného pobočkového směrovače však znamená že SD-WAN management musí být schopný tato bezpečnostní nastavení centralizovaně řídit.

Bezpečnostní řešení Cisco pro SD-WAN spojuje lokální a cloudové zabezpečení a zajišťuje bezpečný přístup pro všechny typy připojení – od poboček přes datová centra po cloudy SaaS nebo IaaS a internetový provoz obecně. Nijak při tom neomezuje výkon sítě ani aplikací. Zahrnuje čtyři kategorie zabezpečení: segmentaci sítě, podnikový firewall, bezpečnou internetovou bránu a zabezpečení na úrovni DNS. Každá kategorie využívá jinou kombinaci bezpečnostních funkcí. Mezi ně patří šifrování IPSec pro zabezpečení lokálního přístupu k WAN a přímého přístupu k internetu, systém prevence průniku (IPS) s podporou služby Talos, řízení aplikací schopné mít pod kontrolou přes 1400 aplikací pomocí lokálního firewallu, ochrana proti škodlivému softwaru schopná lokálně i v cloudu rozpoznávat škodlivé soubory bez použití sandboxu, inspekce SSL/TLS s dostatečnými výpočetními zdroji pro cloud i lokální prostředí a filtrování URL s více než 80 kategoriemi zahrnujícími miliony domén a miliardy internetových stránek.

Samotný firmware přitom kromě tradičních mechanizmů (zdrojová a cílová IP, zdrojový a cílový port, protokol) umožňuje přidat i L7 pravidla z NBAR DPI enginu, který mají Cisco směrovače už dlouhé roky.

IDS/IPS systém umožňuje blokovat útoky na základě rozeznání známé sekvence dat v paketech, takzvané signatury, která je pro daný typ útoku či malwaru příznačný. Je proto zřejmé, že dominantní vliv na kvalitu IPS bude mít právě databáze těchto signatur. Cisco SD-WAN využívá výhod služby TALOS, týmu více než 300 inženýrů, kteří hrozby proaktivně vyhledávají. Jde o největší komerčně dostupný tým výzkumníků na světě. Samotný update databáze je potom opět automatizovaný. Jakmile SD-WAN software management zjistí, že existuje novější set signatur, zajistí jeho nahrání do všech pobočkových směrovačů. Tímto způsobem je zajištěný bezpečný provoz IPS systému bez ohledu na množství poboček. Kromě toho je možné pro jednotlivé pobočky přímo na směrovači zapnout filtrování škodlivého obsahu v podobě web content filtru a DNS bezpečnosti.

Web content filtr pracuje s reputační databází a kategorizací internetových stránek. Zvolené kategorie (například gambling, gaming apod.) je potom možné na pobočce zakázat. Navíc se prověřuje i reputace stránky. Web reputation score pak vypovídá o rizikovosti dané stránky.

DNS bezpečnost v Cisco SD-WAN prostředí zprostředkovává Cisco Umbrella, lídr v tomto segmentu. Provádí vyhodnocování DNS požadavků ze strany klienta do internetu. Pokud jsou směrované na známý zdroj nákazy, dojde k zablokování komunikace a upozornění uživatele. Pokud by služba Umbrella nebyla schopná určit nezávadnost, je možné nastavit automatické přesměrování této stránky přes Umbrella Proxy v Cisco cloudu. Účelem tohoto přesměrování je takový provoz očistit od potenciálního rizika.

Bezpečný přímý přístup k internetu, komplexní segmentace sítě a ochrana přístupu

Bezpečnostní funkce řešení Cisco SD-WAN poskytují centralizovanou kontrolu nad tokem dat do internetu a zajišťují optimální rovnováhu mezi mírou bezpečnosti a uživatelské zkušenosti při přímém přístupu k internetu. Umožňují rozšířit segmentaci nastavenou v pobočkové síti i do datového centra a cloudu a chránit tak uživatele a zařízení z určitého segmentu před všemi interními i externími hrozbami. Segmentační pravidla je přitom možné spravovat centrálně z jednoho terminálu.

Ochranu přístupu Cisco řeší u své architektury SD-WAN uplatněním Zero Trust přístupu na řídicí vrstvě. Tím je zajištěno, že všechny prvky projdou před připojením k síti procesem autentizace a autorizace.