Nowoczesna sieć Cisco SD-WAN
9 lutego 2021
Bezpieczna sieć SD-WAN dla dużych firm
Zero-Touch Provisioning
Nowoczesna sieć Cisco SD-WAN (software defined wide area network) pozwala administratorowi sieci w firmie dodawać nowe lokalizacje organizacji z poziomu centralnego, graficznego interfejsu użytkownika. Dodanie nowej placówki zajmuje zaledwie kilka minut i nie wymaga uprzedniej konfiguracji routera oddziałowego. Łatwość i szybkość wdrożenia będzie szczególnie cenna dla firm z wieloma lokalizacjami. Jednym z głównych założeń rozwiązania SD-WAN jest ZTP (zero touch provisioning), czyli zapewnienie możliwości bardzo szybkiej rozbudowy sieci przedsiębiorstwa.
Routery wykorzystywane w SD-WAN posiadają moduły TPM (trusted proof module), które pozwalają na bezpieczne uwierzytelnienie urządzenia bez konieczności wpisania hasła jednorazowego lub wykorzystania innych metod.
Wdrożenie urządzenia sprowadza się do przesłania routera do oddziału, podłączenia urządzenia do prądu oraz do medium transmisyjnego (może to zrobić współpracownik spoza działu IT), po czym router staje się dostępny do konfiguracji z centralnego kontrolera.
Kontrolery sieci SD-WAN
Oprócz routerów oddziałowych, w skład rozwiązania wchodzą kontrolery sieci SD-WAN.
- vManage – kontroler stanowiący centralny system konfiguracji, zarządzania i monitoringu.
- vSmart – kontroler zapewniający funkcjonowanie mechanizmów sieci.
- vBond – kontroler umożliwiający łączność oraz Zero-Touch Provisioning za pełnym NATowaniem.
Uruchomienie z chmury lub z sieci Klienta
Cisco SD-WAN może zostać uruchomione z chmury lub z całkowicie odizolowanej od Internetu sieci Klienta.
W wersji chmurowej, wszystkie kontrolery są prekonfigurowane i dostępne z sieci po złożeniu zamówienia. Routery oddziałowe same dodają się do kontrolerów centralnych, wymagają jedynie podpięcia do sieci w danej lokalizacji przedsiębiorstwa. Dedykowana dla Klienta konfiguracja routerów oddziałowych jest wgrana do urządzeń na etapie produkcji.
Kontrolery SD-WAN mogą zostać zainstalowane na serwerach Klienta lub w chmurze Cisco. W przypadku wyboru chmury Cisco, Klient nie musi troszczyć się o przygotowanie serwerów, zapewnienie zasilania, chłodzenia czy też administracji.
Zalety Cisco SD-WAN
Możliwość zastosowania tańszych łączy
Jedną z najważniejszych korzyści ekonomicznych generowaną przez Cisco SD-WAN dla firmy, jest możliwość zastosowania tańszych łączy. Takie łącza, oprócz braku zdefiniowanych klas obsługi ruchu, mogą w zwykłych warunkach nie zapewniać wystarczającego poziomu bezpieczeństwa.
Cisco SD-WAN oferuje odpowiednio wysoki poziom zabezpieczeń, dzięki czemu może funkcjonować przy wykorzystaniu sieci publicznej, uwierzytelniając, szyfrując i chroniąc dane na wielu płaszczyznach.
Firma wdrażająca dla siebie SD-WAN, powinna mieć dwa tańsze łącza, niezależne od siebie na poziomie dostępowym. System będzie w stanie zapewnić wystarczającą jakość działania, nawet jeśli łącza nie oferują żadnych gwarancji. Co więcej, w przypadku łącza typu LTE (charakteryzującego się zmienną wydajnością w czasie), mechanizmy typu FEC po wykryciu strat w pakietach na łączu są w stanie wysyłać nadmiarowe dane (odzysk do 20% utraconych pakietów).
Bieżące monitorowanie wydajności łączy
SD-WAN jest w stanie na bieżąco monitorować wydajność każdego z dostępnych łączy i określać nie tylko dostępność usług, ale również zmiany parametrów takich, jak: wzrost opóźnień, zmienność opóźnień, straty pakietów. System jest w stanie optymalnie dobierać jedno z dostępnych łączy dla konkretnych usług (np. transmisja głosowa wymagająca niewielkich wahań opóźnień otrzyma łącze zapewniające parametry w zakresie tolerancji dla takiej transmisji).
W dotychczas popularnym podejściu, z uwagi na ograniczenia wielu protokołów routingu, oddziały firmy były podłączane dwoma łączami w trybie aktywny/zapasowy, przy czym zapasowy przechodzi w tryb aktywny tylko w przypadku awarii głównego łącza. W przypadku Cisco SD-WAN przepustowość obu łączy jest dostępna jednocześnie.
Automatyzacja czynności powtarzalnych
Kontrolery Cisco SD-WAN automatyzują czynności powtarzalne. Klient posiadający oddziały o podobnej konfiguracji (np. z podobnym zestawem łączy do Internetu) będzie w stanie konfigurować lokalizacje takim samym wzorcem konfiguracyjnym. Zmienne, takie jak adresy IP, są dodawane jednorazowo. Przy konieczności wprowadzenia zmian w sieci, administrator wykonuje czynność raz w odniesieniu do całej sieci. Oprócz automatyzacji oszczędzającej czas, SD-WAN zapewnia mechanizmy weryfikujące i zabezpieczające zmiany w sieci, chroniąc sieć przed ewentualnymi awariami.
Wsparcie popularnych usług chmurowych
Usługi typu SaaS, takie jak Microsoft 365, Google Cloud, Dropbox, stają się coraz bardziej popularne w dużych organizacjach. Oprócz architektury SaaS, Cisco SD-WAN wspiera również IaaS (Microsoft Azure, AWS). SD-WAN jest w stanie kierować wybrany ruch najlepszą ścieżką w celu odciążenia sieci WAN oraz zmniejszenia opóźnień.
Cisco stale współpracuje z dostawcami usług chmurowych i uzyskuje bieżącą wiedzę na temat adresów IP usług, co pozwala optymalizować ruch (np. kierować ruch lokalnym łączem internetowym).
W przypadku usług IaaS (Azure, AWS), Cisco SD-WAN potrafi automatycznie skonfigurować zaszyfrowaną komunikację tunelami IPSec, podłączając wszystkie oddziały firmy do aplikacji, dzięki uruchomieniu wirtualnych routerów na platformach IaaS.
Co ważne, SD-WAN oferuje możliwość stworzenia własnej chmury, do aplikacji której placówki muszą być podłączone.
Mechanizmy zabezpieczające
SD-WAN zapewnia nie tylko mocne mechanizmy uwierzytelniania i szyfrowania, ale również mechanizmy broniące użytkowników przed zagrożeniami. Cisco SD-WAN pozwala uruchomić na urządzeniu IPS (intrusion prevention system), Firewall stanowy oraz strefowy, filtrowanie URL, ochronę DNS, filtrowanie plików w celu ochrony przed złośliwym oprogramowaniem (malware). Sporo mechanizmów nie było do tej pory dostępnych dla routerów.
Bogata analityka
SD-WAN dostarcza zaawansowane możliwości analityczne. Dostępna jest m.in. błyskawiczna analiza warunków panujących w sieci (opóźnienie, straty pakietów, zmienność opóźnień) dla poszczególnych aplikacji.
Sprzętowe mechanizmy zabezpieczeń
Cisco wyposaża każdy router dedykowany do SD-WAN w sprzętowy układ pozwalający tylko na operacje odczytu i obliczeń. Układ sprzętowy zawiera certyfikat X.509v3 z kluczem prywatnym urządzenia oraz łańcuchami zaufania. To pozwala na bezobsługowe wdrożenie urządzeń, uwierzytelnienie oraz nawiązanie szyfrowanej sesji wykorzystując publicznie dostępne medium transmisyjne. Cisco SD-WAN działa w oparciu o model Zero-Trust, innymi słowy wszystko w systemie jest uwierzytelniane w sposób nie budzący wątpliwości.
Polityki sieciowe
Administrator uzyskuje możliwość zarządzania całą siecią za pomocą centralnych, konfigurowanych w komfortowy sposób polityk. Tworzenie polityk i błyskawiczne wdrożenie umożliwia sterowanie ruchem i zmianę ścieżki dla danej aplikacji w bardzo krótkim czasie (np. przełączenie sieci na korzystanie z innego Data Center).
Wsparcie SD-WAN w urządzeniach Cisco
Routery serii Cisco ISR1100
Nowoczesne routery Cisco ISR1100 pozwalają na podłączenie do medium transportowego nie tylko po interfejsie Gigabit Ethernet, ale także LTE+ (300/50 Mbps), za pomocą dwóch różnych kart SIM lub portów xDSL. Dodatkowo routery mogą być wyposażone w access point sieci Wi-Fi (802.11ac) wraz z kontrolerem, a także porty PoE oraz PoE+. Router posiada również wbudowany 4 lub 8 portowy przełącznik sieciowy oraz moduł GPS.
Routery serii ISR4000
Dla oddziałów wymagających wyższych przepustowości, Cisco przygotowało serię ISR4000 (zależnie od modelu, przepustowość od 35-75 Mbps do 1-2 Gbps). Routery pełnią rolę punktów agregujących placówki sieci SD-WAN oraz umożliwiają uruchamianie dodatkowych maszyn wirtualnych za pomocą mechanizmu KVM (kernel virtual machine).
Administrator sieci może wgrać własną maszynę wirtualną lub skorzystać z dodatkowych usług sieciowych, jak np. usługa Cisco WAAS (wide area application services), która umożliwia redukowanie ruchu na łączach WAN, dzięki czemu przepływność łącza WAN może zostać nawet dwukrotnie zwiększona.
Platformy wspierające SD-WAN
Cisco posiada w ofercie urządzenia dedykowane pod platformę SD-WAN. Model ISR1100-4G posiada wydajność 200 Mbps, model ISR1100-4GLTE posiada wbudowany modem LTE, model ISR1100-6G charakteryzuje się wydajnością do 1 Gbps. Co ciekawe, urządzenia pracują na oryginalnym systemie operacyjnym SD-WAN o nazwie vEdgeOS. Dzięki temu administratorzy sieci mają dostęp do wszystkich funkcjonalności zaimplementowanych w vEdgeOS.
Bezpieczeństwo w sieci SD-WAN
Bezpieczeństwo fizyczne
Seria routerów Cisco ISR1100 oraz ISR4000 posiada układ sprzętowy TPM zawierający certyfikat X.509, który jest podpisany kluczem prywatnym Cisco. Mechanizm weryfikuje urządzenie pod kątem ewentualnych prób modyfikacji (np. próba zmiany układów), odpowiada za uwierzytelnianie systemu operacyjnego.
Numer seryjny routera jest podpisywany przez moduł TPM, a następnie wysyłany wraz z certyfikatem do kontrolerów SD-WAN. Po dokonaniu uwierzytelnienia, kontrolery odpowiadają w analogiczny sposób, tworząc relację zaufania.
Wbudowany w routery serii ISR1100 odbiornik GPS pozwala na ograniczenie dostępu do bezpiecznej sieci SD-WAN dla urządzeń, warunkując dostęp do sieci danymi dotyczącymi pozycji geograficznej urządzenia.
Szyfrowanie
SD-WAN korzysta z najmocniejszych algorytmów szyfrowania w celu zapewnienia bezpiecznej sieci w oparciu o tunele IPSec. Domyślnym poziomem szyfrowania jest AES-256. Warto zwrócić uwagę, że routery serii ISR1100, ISR4000, ASR1000-X posiadają wsparcie dla najnowszych standardów kryptograficznych (np. Suite-B, czyli wykorzystujących obliczenia na krzywych eliptycznych).
Segmentacja sieci
Cisco SD-WAN posiada wbudowany mechanizm segmentacji ruchu. Administrator może skonfigurować sieci logicznie separowane w celu stworzenia niezależnych podsieci. VPNy mogą mieć różną topologię, np. full-mesh dla aplikacji telefonii IP, hub’n’spoke dla aplikacji monitoringu kamer wideo. Ruch między VPNami nie przenika się.
Firewall stanowy
SD-WAN, wykorzystując mechanizm service-chaining, pozwala na wyłuskanie ruchu na podstawie aplikacji lub innych parametrów (np. cały ruch z danego łącza lub oddziału) i przekazanie ruchu do zewnętrznych mechanizmów bezpieczeństwa, takich jak: firewall stanowy, IPS, antimalware.
Ruch może być przekazany do dowolnych urządzeń pracujących dla realizacji polityki bezpieczeństwa sieci (Firepower). Między VPN segmentującymi ruch w sieci można uruchomić firewall wewnętrzny określający zasady komunikacji VPN. Oprócz wymienionych wcześniej mechanizmów, działają również standardowe mechanizmy zabezpieczeń sieci (np. ACL).
Ochrona DNS i filtrowanie URL
Cisco SD-WAN posiada pełne wsparcie Cisco Umbrella, rozwiązania bezpieczeństwa blokującego zagrożenia zanim dotrą do użytkownika, dzięki temu, że połączenie z niebezpiecznym adresem IP nie zostaje nawiązane. Umbrella zabezpiecza zapytania DNS oraz filtruje odpowiedzi na zapytania DNS (ochrona przez szeroko pojętym malware). W ramach wsparcia dla Cisco Umbrella, oprócz filtrowania URL, administrator otrzymuje dostęp do panelu Umbrella oraz możliwość wdrażania indywidualnych polityk bezpieczeństwa.