В 2017 году компания VMware купила компанию VeloCloud, которая занималась продвижением технологии SD-WAN (software-defined WAN) для организации программно-определяемых WAN-сетей. Напомним, что для корпоративных онпремизных и облачных сетевых сред у VMware есть решение NSX, но решения VeloCloud предназначались для управления WAN-инфраструктурой компаний, которым было необходимо организовать и контролировать доступ пользователей из разных точек земного шара, с разных устройств и разных условиях защищенности и стабильности каналов, когда ресурсы организации, а также внешние SaaS-сервисы, находятся в географических разнесенных датацентрах. Сегодня мы поговорим об инфраструктуре VMware SASE - Secure Access Service Edge, которая призвана решить проблемы нового времени.
После покупки VeloCloud компания VMware интегрировала ее технологию в свою экосистему и объединила многие ее компоненты под зонтиком платформы SASE, которая была расширена средствами других продуктов и компаний, некоторые из которых были приобретены VMware. Концепция SD-WAN позволяет виртуализовать WAN-сети в целях отделения программных сетевых служб от оборудования и оконечных устройств, что дает гибкость, простоту управления, производительность, безопасность и возможность быстрого масштабирования в облаках.
Как продолжение эволюции технологии MPLS, SD-WAN позволяет целиком задействовать недорогие высокоскоростные интернет-каналы при сохранении требуемого качества обслуживания. Оборудование SD-WAN Edge обходится дешевле традиционных маршрутизаторов, а для подключения новых филиалов не требуется выезд высококвалифицированного специалиста.
Почему вообще возникла технология SD-WAN? Очень просто - современный подход к организации сетевого взаимодействия в гибридных инфраструктурах и средах удаленного доступа игнорирует многие проблемы, возникающие в постковидном мире удаленной рабочей силы. Например, давайте взглянем на следующие кейсы:
Пользователи соединяются между собой по всему миру, а политики компании требуют от них соединяться с корпоративным датацентром через VPN, что часто создает очень длинные маршруты. Например, пользователь подключается к конференции Microsoft Teams, для которой у Microsoft есть Point-of-Presence в облаке совсем рядом, но трафик маршрутизируется все равно через датацентр компании, который может находиться в тысячах километрах от этого места.
Пользователи используют ресурсы внешних SaaS-провайдеров. Например, работник хочет скачать файл из папки на сервисе Box коллеги из-за рубежа. В этой стране есть датацентр Box, но работник все равно подключается к VPN своего датацентра в другой стране, и трафик идет очень долгой дорогой по защищенному каналу.
Очевидно, что эти проблемы в глобальном масштабе надо решать - так появилась концепция SD-WAN и, в итоге, инфраструктура SASE. Технология VeloCloud Dynamic Multi-path Optimization (DMPO) позволяет автоматически отслеживать адреса, куда обращается пользователь, и обнаруживать приложения и перенаправлять их в нужные географические расположения сервис-провайдеров, задействуя все имеющиеся каналы связи. За счет интеграции со средствами распознавания приложений, аналитики производительности канала, приоритизации трафика и динамической маршрутизации, DMPO позволяет создать соединение на базисе packet-by-packet, чтобы обеспечить максимальное быстродействие для пользователя. Это и позволяет не прерывать звонок по Zoom в его середине и избегать ошибок синхронизации различных сервисов.
SD-WAN, таким образом, является платформой для инфраструктуры SASE.
Идея концепции SASE в том, чтобы обеспечивать защиту доступа к приложениям в географических центрах, максимально приближенных к облачной инфраструктуре, где эти приложения находятся (публичные облака и облака сервис-провайдеров). Сейчас у SASE есть более, чем 150 точек присутствия (points of presence, PoP), где физически размещено оборудование в облачных датацентрах, что позволяет построить безопасный и высокопроизводительный мост к географически локализованным SaaS-сервисам приложений. Партнерами VMware в рамках архитектуры SASE являются такие компании, как Equinix, которые ставят к себе на колокейшен оборудование компании.
Компоненты SASE включают в себя следующие решения, которые можно приобретать покомпонентно или в рамках набора, предоставляемого соответствующей PoP:
Реализацию шлюза для облачной технологии VMware SD-WAN, которая виртуализует WAN-сети в целях отделения программных служб от оборудования. Этот компонент представлен тремя продуктами: VMware SD-WAN Orchestrator - средство управления инфраструктурой SD-WAN, VMware SD-WAN Gateway
- распределенная сеть сервисных шлюзов, размещенных по всему миру, и VMware SD-WAN Edge - программно-аппаратные средства для соединения к онпремизным и облачным сервисам, инструменты глубокого анализа пакетов, а также средства предоставления сервисов virtual network function (VNF).
Компонент VMware Secure Access для удаленного доступа в рамках фреймворка zero-trust network access (ZTNA). Это новый уровень VPN-подобных решений, который дает новые инструменты для доступа к облачным приложениям и их защите.
VMware Cloud Web Security - это интегрированное решение на базе таких техник, как Secure Web Gateway (SWG), Сloud access security broker (CASB), Data loss prevention (DLP), URL filtering, а также Remote browser isolation (RBI), что реализовано на уровне SASE PoP для защиты прямого доступа к SaaS-приложениям и веб-сайтам.
VMware NSX Cloud Firewall – это реализация VMware NSX next-generation firewall (NGFW) с расширенной функциональностью, такой как DPI, IPS/IDS как части сервисов SASE, чтобы обеспечить дополнительную защиту при доступе к онпремизным приложениям на базе идентичности пользователя.
Как вы видите на картинке, в рамках SASE также есть и дополнительный опциональный компонент - VMware Edge Network Intelligence (ранее этот продукт назывался Nyansa Voyance). Это платформа для отслеживания активности подключений и сетевых потоков в рамках концепции AIOps, которая предполагает использование алгоритмов AI/ML для аналитики трафика WAN-to-branch, WiFi/LAN, а также на уровне приложений.
Концепция защищенного удаленного доступа, который требуется пользователям, в современном мире реализуется через ZTNA (zero-trust network access), которая предполагает выдачу доверенного доступа пользователям не на базе его местоположения и IP-адреса, а на базе его идентичности и контекста работы приложений. Главное отличие ZTNA от VPN в том, что ZTNA предоставляет защищенный доступ для определенных сервисов и приложений, а не для всей сети, как это делает VPN. Это позволяет изолировать пользовательский доступ в рамках защищенных туннелей, откуда приложения не могут получать данные о других сетевых сервисах.
Получив доступ к уязвимому приложению, злоумышленник не сможет просканировать инфраструктуру доступа на наличие других приложений и не получит доступа к конфиденциальным данным компании. Механизм ZTNA является неотъемлемой частью инфраструктуры VMware SASE.
С точки зрения инструментов управления инфраструктурой SASE компания VMware предоставляет следующие инструменты для администраторов:
Функции VMware Secure Access реализуются инструментами Unified Endpoint Management (UEM) и VMware SD-WAN Orchestrator
Функции VMware Cloud Web Security и VMware NSX Cloud Firewall управляются через VMware SD-WAN Orchestrator
На уровне сервис-провайдеров, предоставляющих инфраструктуру SASE эти средства интегрируются с функциями Global Services Manager, который управляет глобальными службами инфраструктуры, касающихся не только SASE:
В итоге, для предприятий различного масштаба инфраструктура SASE даст следующие преимущества:
Использование cloud-native подхода для доставки трафика самым оптимальным путем в рамках гибридной инфраструктуры, использующей онпремизные и облачные датацентры
Предоставление унифицированного безопасного доступа для удаленных пользователей в разных локациях и филиалах
Предоставление контекстного доступа на базе идентичности пользователя, расположения устройства и его профиля безопасности
Управление политиками безопасности для пользователей в интернете из единой точки
VMware приводит несколько полезных эффектов от внедрения инфраструктуры SASE и Edge Network Intelligence, вот, например, один из даташитов об эффекте платформы для коммуникаций через Zoom:
Более подробно о решении VMware SASE вы можете почитать на официальной странице продукта. Также рекомендуем очень интересную книгу "SASE and ZTNA for dummies", где довольно подробно рассматривается проблематика и сценарии использования инфраструктуры защищенного доступа через SD-WAN в рамках ZTNA.
О работе инфраструктуры VMware SASE на примере конкретных сценариев можно узнать из видео VMware ниже:
Также рекомендуем к прочтению интересный документ "Intel architecture optimizes VMware SD-WAN Edge performance", в котором рассказывается о решении VMware Secure Access Service Edge (SASE) на базе аппаратных платформ Intel. В документе описывается использование компонентов VMware SD-WAN Edge на базе различных платформ Intel, использующих процессоры Atom и Xeon. Требуемая конфигурация устройств SD-WAN рассматривается через призму требований приложений к пропускной способности канала, а также объема виртуализуемых сетевых служб, таких как фаерволы, системы IDS и прочее, которые работают как VNF (virtual network functions) в рамках программно-аппаратных модулей.