Cisco SD-WAN вызывает привыкание
Андрианова
менеджер по развитию корпоративных решений Cisco
Концепция программно-определяемых сетей все больше приживается в России. Если раньше она была актуальна преимущественно для компаний, имеющих территориально распределенную инфраструктуру, то с введением режима изоляции и переходом на удаленную работу, спрос на интеллектуальные и гибкие сети значительно возрос. Менеджер по развитию корпоративных решений Cisco Юлия Андрианова рассказала редактору журнала "Стандарт" и аналитического онлайн-проекта Vision Ксении Прудниковой, какие этапы компания прошла при создании портфолио , и как обеспечить информационную безопасность размытого сетевого периметра при помощи облачных решений.
С 2017 году Cisco идет по пути "переизобретения сети", именно тогда корпорация представила концепцию сети на основе намерения (Intention-Based Network, IBN), которая способна распознавать задачи организации, нейтрализовать угрозы безопасности и постоянно обучаться, открывая новые возможности и увеличивая маневренность бизнеса. Расскажите о ключевых этапах этого пути?
Развитие интеллектуальных программно-определяемых сетей (Software-Defined Network, SDN) предусматривает в первую очередь автоматизацию. Мы начали с автоматизации сетей доступа, представив в 2017 году Cisco Software-Defined Access (SD-Access). Это решение с выделенным уровнем управления - сетевой фабрикой - для корпоративной сети с функциями централизованного управления, автоматизации и оркестрации, а также мониторинга и аналитики. В следующем году мы масштабировали наше видение на многофилиальные сети (Wide Area Network, WAN). Важным событием на этом этапе стало приобретение компании Viptela, которая на момент покупки обладала, наверное, самой большой установленной базой решений класса SD-WAN в мире. 2019 год ознаменовался появлением решений для автоматизации ИТ-процессов – развитии API, SDK и программы Cisco DevNet, которая помогает программистам создавать приложения и развивать интеграцию с продуктами Cisco. В текущем году в зоне нашего внимания оказались вопросы объединения разнообразных аспектов в ранее разделенных сетевых доменах, мы стали говорить о мультидоменной сети – стыках между кампусной сетью, WAN и ЦОД. В первую очередь этот подход затрагивает согласование политик доступа и приоритизацию приложений, автоматизацию кросс-доменных задач, объединение внутрисетевой телеметрии для более глубокого понимания процессов в сети и задачи информационной безопасности. Сегодня это актуально как никогда. Наше сетевое окружение постоянно усложняется, а в этом году компании по всему миру вынуждены были выйти за рамки привычного сетевого периметра. Ответом Cisco на этот вызов стал выпуск целого ряда инноваций для мультидоменнной инфраструктуры. Наши новинки в области автоматизации позволяют оптимизировать процессы управления сетью, освобождая заказчиков от выполнения рутинных процессов.
Вторым важным направлением в развитии интеллектуальной инфраструктуры нового поколения является повышение осведомленности, о том, что происходит в сети. В 2017 году мы представили решение предназначенное для мониторинга состояния сети доступа. Год спустя появились продукты для WAN, в частности, vAnalytics, позволяющий накапливать и анализировать данные о состоянии всех маршрутов и приложений в многофилиальной сети. Затем мы представили облачную платформу DNA Spaces, предназначенную для сбора информации о физическом поведении пользователей сети. Решение позволяет отслеживать передвижение и местонахождение подключенных к Wi-Fi, а теперь еще и к Bluetooth, устройств, анализировать эти данные. В текущей ситуации актуальность применения DNA Spaces значительно возросла, так как платформа дает возможность измерять плотность скопления людей в офисах или в торговых пространствах. В 2019 году мы начали повышать осведомленность при помощи искусственного интеллекта (ИИ). Например, ИИ позволяет собирать информацию о подключенных к сети IoT-устройствах и классифицировать их. Это необходимо для настройки политик подключения таких устройств. А Cisco AI Network Analytics позволяет на основе данных о сети внести некоторый уровень автоматизации в поиск неисправностей на. ИИ на основе анализа данных о сети формирует некое понятие о норме и подсказывает сетевому администратору об инцидентах, которые являются серьезными на фоне множества мелких инцидентов, которые не оказывают существенного влияния на производительность сети.
В России переход к SD-WAN происходил медленнее, чем, например, в Европе. С чем это связано и изменилась ли ситуация, после того, как заказчики были вынуждены перевести часть сотрудников на удаленный режим работы?
Во-первых, хочу отметить, что процессы цифровой трансформации требуют интеллектуальной инфраструктуры, в связи с чем наблюдается эволюция к SD-WAN.
Что касается нашей страны, то до пандемии и введения мер изоляции, распространение данных технологий, действительно, шло медленнее, чем за рубежом. Отчасти это вызвано тем, что основной задачей SD-WAN виделась экономия на стоимости каналов связи. В России стоимость каналов традиционно не высокая, поэтому такая мотивация для внедрения нового решения часто не была достаточной. Но сейчас стало очевидно, что SD-WAN – это не только средство экономии, но и насущная необходимость в условиях формирования новой реальности. Большое количество сотрудников, в том числе и нашей компании, были переведены на удаленный режим работы, и уже очевидно, что не все они вернутся в офис. Отчасти это вызвано необходимостью соблюдения требования надзорных органов по ограничению скопления людей в закрытом пространстве. С другой стороны, многие положительно оценивают эффективность работы из дома, и можно предположить, что доля мобильных сотрудников будет расти. В этой новой реальности роль SD-WAN сложно переоценить: эти решения помогают существенно повысить безопасность сети, периметр которой оказался размыт.
На мой взгляд, именно функции встроенной безопасности уже являются драйвером для ускоренного внедрения решений этого класса.
В прошлом году аналитики Gartner предложили концепцию Secure Access Service Edge (SASE). Что в данное понятие вкладывает ваша компания? Можно ли утверждать, что речь идет о новом классе технологий, объединяющих функции сетевой безопасности с возможностями SD-WAN?
Когда Gartner представил концепцию SASE (пограничный сервис безопасного доступа), первое, что пришло в голову, это то, что Cisco это уже делает. Мы достаточно давно занимаемся развитием облачной компоненты информационной безопасности. Облачная платформа Cisco Umbrella нашла применение в SD-WAN-решениях, а сейчас мы анонсируем их интеграцию. На практике это означает, что наше решение автоматически подключает все филиалы распределенной сети к сервису Cisco Umbrella Cloud Security, что позволяет повсеместно внедрять продвинутые средства облачной безопасности.
После анонса Gartner мы убедились, что движемся в верном направлении и внесли соответствующие изменения в наше портфолио. В частности, был расширен функционал платформы Umbrella, которая позволяет не только идентифицировать и блокировать скомпрометированные ссылки, которые приходят, например, по электронной почте, но и использовать функции межсетевого экрана, а также глубокой инспекции трафика с Secure Web Gateway.
Еще одним преимуществом Cisco Umbrella является то, что решение уже получило широкое распространение: во всем мире им пользуется огромное количество клиентов. Это в свою очередь позволяет нам ручаться за то, что платформа выдержит и нагрузку, генерируемую SD-WAN.
Согласны ли вы с утверждением представителей Gartner о том, что будущее сетевой безопасности в облаках?
Да, особенно сейчас, когда пользователи подключаются к сетевым ресурсам откуда угодно, и им требуется предоставить необходимый комплекс средств информационной безопасности. Облачная платформа идеально подходит для решения этой задачи. Она всегда обновлена данными о новых способах вторжений, доступна без необходимости дополнительного оборудования на месте, разворачивается в один клик и также динамично отключается при удалении или перемещении точки подключения. Благодаря интеграции с SD-WAN, используя консоль vManage, можно настроить систему информационной безопасности для каждого филиала, комплекса зданий и центров совместного размещения ресурсов, что, в конечном счете, повышает скорость, безопасность и эффективность сети.
Если же говорить в целом о преимуществах облачных решений, то хочу отметить, что доверие заказчиков к ним значительно возросло. Не в последнюю очередь это связано с тем, что облака обеспечивают высочайший уровень надежности, что особенно актуально для работы критических приложений. А в период пандемии стало очевидно, что возможность получения сервисов из облака значительно повышает гибкость бизнеса, обеспечивая его устойчивость в кризисной ситуации.
Таким образом, мы абсолютно разделяем мнение коллег из Gartner, что подтверждается и анонсами новых продуктов.
Какой из анонсов новых продуктов Cisco, на ваш взгляд, наиболее актуален для российского рынка?
Это два анонса связанные с использование искусственного интеллекта для повышения осведомленности о работе сети.
Перед каждой компанией стоит задача настройки политик доступа в сеть для устройств и пользователей Заниматься этим в ручном режиме – долгая и однообразная работа, чреватая ошибками. Мы автоматизировали данный процесс в . Но без понимания реальных потоков трафика и поведения подключенных пользователей и устройств сложно определить групповые политики доступа. Теперь мы предлагаем использовать искусcтвенный интеллект, который проанализирует контекст о каждом отдельном устройстве и его поведении в сети, причислит его к определенной группе и предложит политику доступа на основе реального поведения пользователя.
Оперируя понятием групп пользователей, мы проводим сегментацию, которая может распространяться как на различные подразделения внутри компании (HR, разработчики софта), так и на типы устройств (принтеры, IoT-датчики). При этом мы придерживаемся подхода "нулевого доверия" (Zero Trust), изначально считая все устройства небезопасными. На уровне DNA Centre мы устанавливаем правила того, как "общаются" устройства разных групп между собой. Автоматизация в этой области не только избавляет системного администратора от необходимости выяснять, каким группам внутри компании можно обмениваться данными, а каким нет, но и позволяет защитить корпоративный периметр. Такой подход повышает защищенность простых IoT-устройств от проникновения вредоносного ПО и предотвращает возможность его попадания в корпоративную сеть. Если принтер имеет право "общаться" исключительно с принт-сервером, взламывать его бесполезно – нанести сильного ущерба информационной системе компании не удастся. Решения, которые предлагает Cisco DNA, используют ИИ для получения наглядной картины потоков трафика между группами пользователей и предложения жизнеспособных политик доступа на согласование системному администратору.
Второй анонс связан с применением искусственного интеллекта для безопасного подключения к сети IoT-устройств, количество которых, по данным различных аналитических агентств увеличивается лавинообразно. Для управления каждым таким устройством необходим проприетарный шлюз. Ситуация усугубляется и тем, что использование IoT-устройств разных производителей повышало сложность внедрения и снижало их управляемость. Наконец, внедрение IoT в корпоративную сеть создает дополнительные ИБ-риски. ИИ как функция DNA Centre позволяет проанализировать и категоризировать все IoT-устройства и подключения, используя для этого средства глубокого анализа трафика (Deep Packet Inspection, DPI), телеметрию, радиопараметры. В результате пользователь получает полную картину по оконечным устройствам, что позволяет их группировать и создавать базу автоматизированных политик доступа. Более того, наша система "понимает", какое поведение характерно для разных типов устройств. Проанализировав, например, радиоизлучение, решение определит, если несанкционированно подключенный ноутбук хакера попытается выдать себя за датчик потребления воды.
Еще одним анонсом стали определяемые пользователем сети (User Defined Network, UDN). Можно ли рассматривать их появление как следующий этап развития интеллектуальных сетей?
Можно сказать, что UDN знаменуют эпоху сетей разделяемого доступа. Мы видим запрос пользователей на создание и администрирование личных сетей на базе общедоступной беспроводной инфраструктуры. В первую очередь это востребовано в студенческих кампусах и медицинских учреждениях. Устанавливать на таких объектах много точек доступа, которые работают в одном диапазоне, создавая друг другу помехи, неэффективно. В то же время люди хотят подключить к частному виртуальному сегменту сети какое-то количество личных устройств (приставку Apple TV, принтер, игровую консоль или беспроводную колонку), и UDN позволяет это сделать. При этом обеспечивается защищенность устройств каждого пользователя, так как они не будут доступны другим пользователям общей беспроводной сети.
Другие возможные области применения этой инновации – выставочные пространства, аэропорты, торговые центры. Например, можно создавать собственные выделенные сегменты для VR и видеодемонстраций на одном конкретном стенде.
Большинство представленных новинок предлагаются с подписками на программные продукты Cisco. В чем преимущества подписной модели, которая пока не так популярна в России?
Мы видим, что с каждым годом инновации появляются и эволюционируют все быстрее, в связи с чем меняются и подходы к приобретению и использованию ПО.
Раньше лицензии на программные продукты приобретались единовременно, а за новые релизы, особенно, если изменения в них были существенными, приходилось доплачивать. С точки зрения получения прибыли – такой подход оправдан, но при нынешнем темпе развития инноваций, он не эффективен.
Переходя на подписную модель, пользователь в реальном времени получает доступ ко всем новейшим функциям ПО. Еще одним преимуществом является возможность продлевать подписку на определенный срок и в соответствии с текущими потребностями бизнеса. Как мы с вами убедились, жизнь порой меняется совершенно непредсказуемым образом, и хорошо иметь возможность гибко масштабировать свою сетевую инфраструктуру, не думая о том, сколько денег вы потеряли в случае закрытия части филиалов или перевода сотрудников на дистанционный режим. И в целом подписка обеспечивает равномерность и предсказуемость расходов, что помогает избежать резких скачков бюджета. Кроме того, такая модель позволяет переносить лицензии, не привязывая ПО к жизненному циклу оборудования. Наконец, за счет доступа к новым функциям защиты подписка дает возможность оперативно реагировать на меняющиеся требования безопасности.
И хотя некоторые клиенты, действительно, сопротивляются переходу на новую модель, наша статистика показывает стабильный рост потребления подписок. Оценили клиенты и Smart Account – возможность создавать в облаке единое пространство для систематизации и управления всеми имеющимися подписками.
А для вендора подписки на ПО – это огромный стимул развивать инновации, ведь если их не будет подписки не будут продлеваться.
.
