BI.ZONE
Secure SD‑WAN
Решение этих проблем мы заложили в основу BI.ZONE Secure SD‑WAN. Продукт позволяет сократить расходы на обеспечение стабильной связи с распределенными площадками, минимизировать риски кибербезопасности, а также оптимизировать управление и масштабирование сети
Использует любые каналы связи и резервирует их, благодаря чему обеспечивает стабильное соединение даже с самыми труднодоступными площадками сети
Позволяет подключить новую площадку в один клик благодаря технологии Zero Touch Provisioning и использованию одного устройства вместо нескольких
С помощью встроенного межсетевого экрана, автоматической настройки VPN и шифрования обеспечивает защиту трафика и сетевой инфраструктуры
Обеспечивает криптографическую защиту информации в распределенных сетях по ГОСТу, что подтверждается сертификатом ФСБ СКЗИ класса КС1
Схема работы
Позволяет централизованно управлять всеми компонентами системы и отслеживать их состояние.
Администраторы разных организаций могут одновременно работать с оркестраторами уровня Control Plane в рамках собственных организаций и предоставленных полномочий.
Управляет оборудованием BI.ZONE CyberEdge и маршрутизацией в сети SD-WAN
Управляет виртуальными функциями безопасности на оборудовании BI.ZONE CyberEdge
Агрегирует туннели управления оборудованием BI.ZONE CyberEdge
Сетевой сервер BI.ZONE CyberEdge выполняет обработку трафика непосредственно на площадках
Представляют собой контейнеры, запущенные на оборудовании BI.ZONE CyberEdge в специально подготовленном сетевом окружении
Форм-фактор | Настольное исполнение |
Процессор | На базе архитектуры ARM |
Оперативная память | 4 ГБ |
Сетевые порты | 5 портов 10/100/1000 Мбит/с |
Дополнительные возможности | LTE-модуль |
Температура эксплуатации | От 0 °C до 45 °C |
Габариты (В×Ш×Г) | 40×169×119 мм |
Форм-фактор | Настольное исполнение |
Процессор | На базе архитектуры ARM |
Оперативная память | 4 ГБ |
Сетевые порты | 5 портов 10/100/1000 Мбит/с |
Дополнительные возможности | LTE-модуль Wi-Fi-модуль |
Температура эксплуатации | От 0 °C до 45 °C |
Габариты (В×Ш×Г) | 40×169×119 мм |
Форм-фактор | Настольное исполнение, опционально — монтаж в стойку (1U) |
Процессор | На базе архитектуры x86-64 |
Оперативная память | 4 ГБ |
Сетевые порты | 4 порта 10/100/1000 Мбит/с |
Температура эксплуатации | От 0 °C до 45 °C |
Габариты (В×Ш×Г) | 44×181×141 мм |
Форм-фактор | Настольное исполнение, опционально — монтаж в стойку (1U) |
Процессор | На базе архитектуры x86-64 |
Оперативная память | 4 ГБ |
Сетевые порты | 6 портов 10/100/1000 Мбит/с |
Температура эксплуатации | От 0 °C до 45 °C |
Габариты (В×Ш×Г) | 44×181×141 мм |
Форм-фактор | Настольное исполнение, опционально монтаж — в стойку (1U) |
Процессор | На базе архитектуры x86-64 |
Оперативная память | 4 ГБ |
Сетевые порты | 4 порта 10/100/1000 Мбит/с |
Дополнительные возможности | 1 порт SFP (1 GbE) |
Температура эксплуатации | От 0 °C до 45 °C |
Габариты (В×Ш×Г) | 44×181×141 мм |
Форм-фактор | Настольное исполнение, опционально — монтаж в стойку (1U) |
Процессор | На базе архитектуры x86-64 |
Оперативная память | 4 ГБ |
Сетевые порты | 4 порта 10/100/1000 Мбит/с |
Дополнительные возможности | 1 порт SFP (1 GbE) LTE-модуль |
Температура эксплуатации | От 0 °C до 45 °C |
Габариты (В×Ш×Г) | 44×181×141 мм |
Форм-фактор | Настольное исполнение, опционально — монтаж в стойку (1U) |
Процессор | На базе архитектуры x86-64 |
Оперативная память | 4 ГБ |
Сетевые порты | 4 порта 10/100/1000 Мбит/с |
Дополнительные возможности | 1 порт SFP (1 GbE) |
Температура эксплуатации | От 0 °C до 45 °C |
Габариты (В×Ш×Г) | 44×181×141 мм |
Форм-фактор | Настольное исполнение, опционально — монтаж в стойку (1U) |
Процессор | На базе архитектуры x86-64 |
Оперативная память | 4 ГБ |
Сетевые порты | 4 порта 10/100/1000 Мбит/с |
Дополнительные возможности | 1 порт SFP (1 GbE) LTE-модуль |
Температура эксплуатации | От 0 °C до 45 °C |
Габариты (В×Ш×Г) | 44×181×141 мм |
Форм-фактор | Монтаж в стойку (1U) |
Процессор | На базе архитектуры x86-64 |
Оперативная память | 4 ГБ |
Сетевые порты | 4 порта 10/100/1000 Мбит/с |
Дополнительные возможности | 2 порта SFP (1 GbE) 2 порта SFP+ (1/10 GbE) |
Температура эксплуатации | От 0 °C до 45 °C |
Габариты (В×Ш×Г) | 44×450×250 мм |
Форм-фактор | Монтаж в стойку (1U) |
Процессор | На базе архитектуры x86-64 |
Оперативная память | 8 ГБ |
Сетевые порты | 4 порта 10/100/1000 Мбит/с |
Дополнительные возможности | 4 порта SFP+ (1/10 GbE) |
Температура эксплуатации | От 0 °C до 45 °C |
Габариты (В×Ш×Г) | 44×450×250 мм |
Форм-фактор | Монтаж в стойку (1U) |
Процессор | На базе архитектуры x86-64 |
Оперативная память | 16 ГБ |
Сетевые порты | 8 портов 10/100/1000 Мбит/с |
Дополнительные возможности | 2 интерфейсных модуля |
Температура эксплуатации | От 0 °C до 45 °C |
Габариты (В×Ш×Г) | 44×450×250 мм |
Форм-фактор | Монтаж в стойку (1U) |
Процессор | На базе архитектуры x86-64 |
Оперативная память | 16 ГБ |
Сетевые порты | 8 портов 10/100/1000 Мбит/с |
Дополнительные возможности | 2 интерфейсных модуля 4 порта SFP+ (1/10 GbE) |
Температура эксплуатации | От 0 °C до 45 °C |
Габариты (В×Ш×Г) | 44×450×250 мм |
Форм-фактор | Монтаж в стойку (1U) |
Процессор | На базе архитектуры x86-64 |
Оперативная память | 16 ГБ |
Сетевые порты | 8 портов 10/100/1000 Мбит/с |
Дополнительные возможности | 2 интерфейсных модуля 8 портов SFP+ (1/10 GbE) |
Температура эксплуатации | От 0 °C до 45 °C |
Габариты (В×Ш×Г) | 44×450×250 мм |
Форм-фактор | Монтаж в стойку (4U) |
Процессор | На базе архитектуры x86-64 |
Оперативная память | 64 ГБ |
Сетевые порты | 2 порта 10/100/1000 Мбит/с |
Дополнительные возможности | 2 порта SFP28 (25 GbE) |
Температура эксплуатации | От 0 °C до 45 °C |
Габариты (В×Ш×Г) | 175×454×683 мм |
Передача трафика между площадками
Ознакомиться с разработанной специалистами BI.ZONE российской спецификацией протокола WireGuard можно на GitHub.
Обсудите с нашими экспертами, как обеспечить защиту сетевой инфраструктуры и стабильность связи
Вам также может подойти
Видео
Мы с AM Live сделали распаковку нашей платформы для безопасной трансформации сети. Руководитель направления сетевых решений кибербезопасности Дмитрий Сахарчук рассказал:
- Какие задачи решает BI.ZONЕ Secure SD‑WAN
- Кому платформа подходит, а кому не нужна
- Как решение улучшает рабочие процессы
- Что планируем сделать в 2025 году и почему
На вебинаре рассказали, как решение BI.ZONE Secure SD‑WAN помогает построить защищенную распределенную сеть, соблюдая регуляторные требования к криптографической защите информации
Запись вебинара от 8 октября 2024 г.
На вебинаре разобрали подходы к реализации решений класса SD‑WAN и рассказали о новых функциональных дополнениях BI.ZONE Secure SD‑WAN 1.5. Также продемонстрировали обновленный интерфейс платформы. Спикерами выступили: Алексей Кудрявцев, руководитель управления сетевых решений кибербезопасности, и Никита Сорокин, ведущий инженер поддержки продаж решений сетевой и инфраструктурной безопасности
Запись вебинара от 14 декабря 2023 г.
На конференции IT Elements руководитель управления сетевых решений кибербезопасности Алексей Кудрявцев поучаствовал в обсуждении рынка российских SD‑WAN‑решений. Эксперты рассказали, как он изменился за последние годы и каким компаниям важно задуматься о внедрении SD‑WAN, а также поговорили о перспективах технологии и рисках на рынке
Запись выступления А. Кудрявцева на конференции nexthop от 21 ноября 2022 г.
Запись вебинара от 18 ноября 2021 г.
А. Кудрявцев, руководитель направления разработки и эксплуатации облачной платформы кибербезопасности | AM Live
Запись вебинара от 15 апреля 2021 г.
Запись трансляции от 25 марта 2021 г.
Запись трансляции от 25 марта 2021 г.
Публикации
STEP LOGIC внедрил BI.ZONE Secure SD‑WAN в сети крупной транспортной компании
22 ноября 2024 г.
|
Читать | |
Получены сертификаты ФСБ России на платформу BI.ZONE Secure SD‑WAN
26 сентября 2024 г.
|
Читать | |
Обзор BI.ZONE Secure SD-WAN, платформы для безопасной трансформации сети
22 июля 2021 г.
|
Anti-Malware.ru | Читать |
Дополнительная документация
Технические спецификации
CyberEdge CE10B-5TM | CyberEdge CE10B-5TMW | CyberEdge CE50D-4T | CyberEdge CE50D-6T | CyberEdge CE50N-4T1S | CyberEdge CE50N-4T1SM | CyberEdge CE100N-4T1S | CyberEdge CE100N-4T1SM |
Процессор | |||||||
Архитектура ЦПУ | |||||||
ARM | ARM | х86-64 | х86-64 | х86-64 | х86-64 | х86-64 | х86-64 |
Количество ядер | |||||||
4 | 4 | 4 | 4 | 2 | 2 | 4 | 4 |
Оперативная память | |||||||
Технология | |||||||
LPDDR4 | LPDDR4 | DDR3L | DDR3L | DDR4 | DDR4 | DDR4 | DDR4 |
Объем, ГБ | |||||||
2 | 2 | 4 | 4 | 4 | 4 | 4 | 4 |
Постоянная память | |||||||
Тип | |||||||
eMMC | eMMC | SSD | SSD | SSD | SSD | SSD | SSD |
Объем, ГБ | |||||||
16 | 16 | 64 | 64 | 64 | 64 | 64 | 64 |
Сетевые интерфейсы | |||||||
Количество портов RJ-45 (10/100/1000 BASE-T) | |||||||
5 | 5 | 4 | 6 | 4 | 4 | 4 | 4 |
Модуль LTE (GSM / GPRS / EDGE / UMTS / HSPA / LTE CAT‑4) | |||||||
Модуль Wi-Fi (802.11ac) | |||||||
Интерфейсные модули | |||||||
Количество портов SFP (1 Гбит/с) | |||||||
1 | 1 | 1 | 1 | ||||
Количество портов SFP+ (1 или 10 Гбит/с) | |||||||
Количество портов SFP28 (25 Гбит/с) | |||||||
Производительность межсетевого экрана | |||||||
UDP 1500 байт | |||||||
110 Мбит/с | 110 Мбит/с | 820 Мбит/с | 820 Мбит/с | 610 Мбит/с | 610 Мбит/с | 1 Гбит/с | 1 Гбит/с |
BZ App Mix | |||||||
110 Мбит/с | 110 Мбит/с | 650 Мбит/с | 650 Мбит/с | 350 Мбит/с | 350 Мбит/с | 1 Гбит/с | 1 Гбит/с |
UDP 64 байт | |||||||
10 тыс. пак/с | 10 тыс. пак/с | 40 тыс. пак/с | 40 тыс. пак/с | 60 тыс. пак/с | 60 тыс. пак/с | 125 тыс. пак/с | 125 тыс. пак/с |
Производительность VPN | |||||||
UDP 1400 байт | |||||||
70 Мбит/с | 70 Мбит/с | 510 Мбит/с | 510 Мбит/с | 700 Мбит/с | 700 Мбит/с | 1 Гбит/с | 1 Гбит/с |
BZ App Mix | |||||||
105 Мбит/с | 105 Мбит/с | 450 Мбит/с | 450 Мбит/с | 610 Мбит/с | 610 Мбит/с | 900 Мбит/с | 900 Мбит/с |
Производительность GOST VPN | |||||||
UDP 1400 байт | |||||||
15 Мбит/с | 15 Мбит/с | 60 Мбит/с | 60 Мбит/с | 105 Мбит/с | 105 Мбит/с | 145 Мбит/с | 145 Мбит/с |
BZ App Mix | |||||||
15 Мбит/с | 15 Мбит/с | 50 Мбит/с | 50 Мбит/с | 85 Мбит/с | 85 Мбит/с | 110 Мбит/с | 110 Мбит/с |
Производительность в соединениях | |||||||
Параллельные, количество соединений | |||||||
65 536 | 65 536 | 262 144 | 262 144 | 262 144 | 262 144 | 262 144 | 262 144 |
Новые, соединений в секунду | |||||||
1300 | 1300 | 4000 | 4000 | 4000 | 4000 | 7000 | 7000 |
CyberEdge CE300N-4T2S2XS | CyberEdge CE500N-4T4XS | CyberEdge CE1000N-8T2N | CyberEdge CE1000N-8T2N-4XS | CyberEdge CE1000N-8T2N-8XS | CyberEdge CE3000D-2T4XS | ||
Процессор | |||||||
Архитектура ЦПУ | |||||||
х86-64 | х86-64 | х86-64 | х86-64 | х86-64 | х86-64 | ||
Количество ядер | |||||||
4 | 8 | 8 | 8 | 8 | 16 | ||
Оперативная память | |||||||
Технология | |||||||
DDR4 | DDR4 | DDR4 | DDR4 | DDR4 | DDR4 | ||
Объем, ГБ | |||||||
4 | 8 | 32 | 32 | 32 | 64 | ||
Постоянная память | |||||||
Тип | |||||||
SSD | SSD | SSD | SSD | SSD | SSD | ||
Объем, ГБ | |||||||
64 | 128 | 256 | 256 | 256 | 1024 | ||
Сетевые интерфейсы | |||||||
Количество портов RJ-45 (10/100/1000 BASE-T) | |||||||
4 | 4 | 8 | 8 | 8 | |||
Модуль LTE (GSM / GPRS / EDGE / UMTS / HSPA / LTE CAT‑4) | |||||||
Модуль Wi-Fi (802.11ac) | |||||||
Интерфейсные модули | |||||||
2х NMC | 2х NMC | 2х NMC | |||||
Количество портов SFP (1 Гбит/с) | |||||||
2 | |||||||
Количество портов SFP+ (1 или 10 Гбит/с) | |||||||
2 | 4 | 4 | 8 | ||||
Количество портов SFP28 (25 Гбит/с) | |||||||
4 | |||||||
Производительность межсетевого экрана | |||||||
UDP 1500 байт | |||||||
1 Гбит/с | 2 Гбит/с | 10 Гбит/с | 10 Гбит/с | 10 Гбит/с | 6,3 Гбит/с | ||
BZ App Mix | |||||||
1 Гбит/с | 1,4 Гбит/с | 6 Гбит/с | 6 Гбит/с | 6 Гбит/с | 5,5 Гбит/с | ||
UDP 64 байт | |||||||
125 тыс. пак./с | 205 тыс. пак./с | 1 млн пак./с | 1 млн пак./с | 1 млн пак./с | 670 тыс. пак./с | ||
Производительность VPN | |||||||
UDP 1400 байт | |||||||
1 Гбит/с | 1,2 Гбит/с | 5,5 Гбит/с | 5,5 Гбит/с | 5,5 Гбит/с | 5,2 Гбит/с | ||
BZ App Mix | |||||||
900 Мбит/с | 1,5 Гбит/с | 3,5 Гбит/с | 3,5 Гбит/с | 3,5 Гбит/с | 4,8 Гбит/с | ||
Производительность GOST VPN | |||||||
UDP 1400 байт | |||||||
145 Мбит/с | 310 Мбит/с | 2,2 Гбит/с | 2,2 Гбит/с | 2,2 Гбит/с | 4,1 Гбит/с | ||
BZ App Mix | |||||||
110 Мбит/с | 250 Мбит/с | 1,8 Гбит/с | 1,8 Гбит/с | 1,8 Гбит/с | 4 Гбит/с | ||
Производительность в соединениях | |||||||
Параллельные, количество соединений | |||||||
262 144 | 1 048 576 | 4 194 304 | 4 194 304 | 4 194 304 | 8 388 608 | ||
Новые, соединений в секунду | |||||||
7000 | 40 000 | 50 000 | 50 000 | 50 000 | 40 000 |
Повысили стабильность работы при больших нагрузках.
- Оптимизировали производительность CPE: увеличили количество маршрутов и ускорили их установку.
- Исправили ошибки работы CPE при определенных сценариях.
Внесли изменения, которые помогут оперативно масштабировать сеть, удобнее управлять ей, а также повысить стабильность работы при больших нагрузках.
- Изменили отображение времени с формата en‑US на en‑GB в UMI.
- Доработали возможность редактирования параметров WAN.
- Улучшили стабильность работы платформы с 1000 CPЕ.
Сделали платформу еще удобнее, повысили ее скорость работы и добавили функции для централизованного управления сетью.
- Добавили поле Authentication на странице настройки LTE‑порта, позволяющее определить метод аутентификации для подключения СРЕ к сети оператора.
- Добавили возможности поиска по значению в поле Site.
- Реализовали возможность указать описание для Ethernet‑порта.
- Добавили опцию Non‑operational в фильтр столбца Stage.
- Добавили флаг Announce при создании LAN‑сети.
- Доработали отображение скорости интерфейсов и отображение значения ASN.
Повысили удобство работы с платформой, доработали ее для соответствия сертификации СКЗИ.
- Расширили список параметров фильтрации CPE.
- Доработали отображение Remote CPE.
- Исправили ошибку выбора приоритетного DIA.
- Реализовали механизм проверки контрольных сумм сервисов и их компонент.
- Оптимизировали способ генерации ключевого запроса и ключевого ответа.
- Доработали функцию смены ключей CPE в режиме Hub.
- Исправили ошибку ввода ГОСТ‑лицензии во время установки платформы CSP при помощи CSP Wizard.
- Доработали функцию смены ключей на DCGW.
Повысили удобство работы с платформой, внесли необходимые доработки по треку сертификации СКЗИ.
- Реализовали возможность поиска по модели оборудования в окне создания образа прошивки CPE.
- Добавили возможность выбора отображения от 50 до 100 образов прошивок CPE и от 50 до 100 VNF на одной странице.
- Увеличили масштабируемость компонента NetTracker, оптимизировали работу BGP‑маршрутизации при большом числе устройств.
- Исправили пропадания некоторых точек на графиках на общем дашборде.
- Реализовали возможность выбора типа аутентификации для LTE.
- Добавили доступ в веб‑консоль СРЕ для администраторов проекта.
- Внедрили автоматическую проверку контрольных сумм веб‑интерфейса.
- Добавили проверку контрольных сумм при прошивке СРЕ с USB‑установщика.
- Реализовали автоматическое назначение профиля с увеличенным количеством ядер CPU под шифрование в ГОСТ‑режиме.
Внесли изменения, которые обеспечивают оперативное масштабирование сети и безотказность ее работы при больших нагрузках. Увеличили набор функциональности в части безопасности распределенных сетей и добавили необходимые изменения по треку сертификации СКЗИ.
- Внедрили защиту от перебора пароля пользователя на платформе и CPE.
- Добавили автоматическую рандомизацию паролей СРЕ при активации.
- Реализовали отправку журналов соединений во внешнюю систему (SIEM, log management), а также расширили возможность логирования в аналитике пакетов/сессий на VNF Firewall. Firewall‑аналитика теперь доступна для CPE с ARM‑архитектурой.
- Обеспечили возможность самостоятельно менять пароль пользователя и пароль CPE для доступа к консоли.
- Внедрили механизм выбора нескольких firewall‑зон в одной политике межсетевого экранирования.
- Доработали функцию шаблонизации межсетевого экрана, добавили возможность раскрывать содержимое firewall templates.
- Оптимизировали работу на большом количестве устройств.
- Реализовали новый режим функционирования CPE — Stub Spoke.
- Добавили в UMI возможность массового обновления настроек VNF.
- Оптимизировали глубину хранения событий аналитики VNF Firewall.
- Переработали механизм уведомлений (Events) о состоянии WAN для работы с большим количеством CPE. Теперь триггером уведомления будет только переход через порог SLA, а не любое изменение качества канала.
- Увеличили максимальное количество активных сетевых соединений (concurrent connections), которые VNF Firewall может обрабатывать одновременно на оборудовании.
- Добавили механизм автоматической оптимизации выделения ресурсов ЦПУ для работы Data Plane на CPE. Соответствующий профиль нагрузки теперь можно выбрать в разделе Performance.
- Реализовали поддержку применения агрегированных интерфейсов (bonding) на WAN‑сетях.
- Добавили возможность распространения сертификатов для CPE через URL‑ссылку.
- Реализовали механизм массового обновления настроек VNF через UMI.
- Рандомизировали соль при хранении хешей паролей.
- Добавили периодический контроль целостности ключевых компонентов СРЕ и контроллера.
- Реализовали отображение счетчика гаммы на СРЕ.
- Привели в соответствие требованиям интервалы периодической смены RuWG‑ключей.
Улучшили удобство и оперативность работы с платформой, а также повысили безопасность процедур настройки сети. Кроме того, расширили модельный ряд совместимого оборудования.
- Внедрили механизмы множественного управления для работы с шаблонами и правилами групп компонентов, черными и белыми списками, автогенерируемыми адресными группами и префиксами.
- Разработали утилиту CSP Wizard, позволяющую в режиме мастера установить и настроить платформу.
- Добавили механизм для шаблонизации конфигурации межсетевого экрана (МСЭ). Унифицировали управление правилами МСЭ как с использованием единого шаблона, так и индивидуально для каждого МСЭ.
- Настроили отображение компонентов платформы и наложенной сети в едином окне. Это помогает оперативно отслеживать все изменения подконтрольного оборудования.
- Обеспечили смену TLS, WG‑ключей и старых сертификатов на CPE в автоматическом режиме, без прерывания обработки трафика.
- Добавили для ключевых файлов и контроллера CPE возможность проверки контрольных сумм с использованием ГОСТ‑шифрования.
- Пересмотрели подход к определению зон и черно‑белых списков межсетевого экрана. Теперь все зоны и списки — глобальные и определяются на уровне всей сети проекта.
- Ввели дополнительные проверки валидности сетей и статических маршрутов.
- Реализовали возможность полностью отключать инспекцию протоколов на МСЭ, а трафик пускать асимметрично через различные CPE.
- Внедрили подтверждение действий и информирование пользователя при потенциально деструктивной активности администратора, а также редактировании зависимых сущностей.
- Добавили возможность публикации внутренних сервисов на WAN‑интерфейсах CPE.
- Обеспечили поддержку DHCP‑опций для DHCP‑сервера на LAN‑интерфейсах CPE и привязку MAC‑адресов к IP‑адресам для DHCP‑сервера.
- Расширили модельный ряд CyberEdge, сетевых серверов собственной разработки. Теперь платформа поддерживает модели CE 50D‑4T, CE 10B‑5T, CE 20N‑3T, MS‑3040, CP‑6700, а также новые ревизии Caswell — CAF‑026D и CAR‑4060.
- Добавили поддержку двух LTE‑модемов на CPE.
Улучшили оперативность и удобство расширения сети, увеличили модельный ряд совместимого оборудования.
- Реализовали возможность загрузки образов CPE на контроллер в UMI для удобства централизованного обновления CPE.
- Внедрили поддержку автоопределения диска при установке CPE через ПО CyberEdge USB Installer.
- Добавили создание регионов с привязкой CPE.
- Реализовали управление компонентами CSP с помощью UMI.
- Обеспечили поддержку следующих моделей сетевых серверов CyberEdge: CE 50N, CE 100N, CE 300N, CE 500N, CE 1000N.
Внедрили изменения для управления качеством доставки трафика до конечных CPE, а также для более удобной работы с системой.
- Добавили агрегацию WAN‑каналов при равных приоритетах overlay‑туннелей на CPE. Также появилась возможность принудительно указывать полосу пропускания WAN‑каналов при балансировке трафика.
- Реализовали назначение приоритетов хаб‑устройств (для выбора основного и резервных) с поддержкой балансировки трафика spoke‑to‑spoke между хабами c равными приоритетами.
- Обеспечили поддержку CPE до 8 резервных транспортных маршрутов.
- Добавили автоматический запуск динамического определения MTU, если в канале связи MTU меньше чем 1500 байт (собственный механизм Path MTU Discovery уровня туннеля).
- Реализовали создание, редактирование и привязывание BGP‑политик к BGP‑соседствам.
- Добавили сценарии настройки NAT: Disable Source NAT, IP to IP Destination NAT.
- Настроили поддержку flow‑режима работы для data plane и отображения списка сетевых потоков.
- Расширили отображение и возможность фильтрации аналитики в UMI.
Software-defined wide area network (программно‑определяемые распределенные сети, SD‑WAN) — это современный подход для организации бесперебойной, надежной и безопасной связи в территориально‑распределенных организациях: между центральным офисом и филиалами, между самими подразделениями и т. д. В основе SD‑WAN лежит набор технологий, позволяющий централизованно выстраивать коммуникацию между центрами обработки данных, удаленными офисами и виртуальными площадками. Специалисты получают возможность управлять состоянием сети: автоматически переключать трафик между каналами; выявлять замедление связи и сбои в сети; в несколько кликов поднимать новые точки со всеми нужными настройками.
При достижении определенного масштаба корпоративные сети предыдущих поколений становится сложно развивать. В каждом удаленном офисе нужно развернуть собственный комплекс устройств: межсетевой экран, маршрутизатор (роутер), коммутатор, криптошлюз, Wi‑Fi‑роутер, сервер удаленного доступа мобильных пользователей.
Для обслуживания таких инфраструктур требуется команда высококвалифицированных специалистов, знакомых с особенностями конкретных моделей оборудования. Чтобы обновить настройки, отреагировать на сбой, подключить новую площадку, экспертам приходится тратить лишнее время, а многие проблемы устранять нужно вручную. Из‑за многообразия сетевых устройств нужно учитывать особенности их взаимодействия между собой. Даже небольшая ошибка в настройках может вывести в офлайн территориально удаленное подразделение, отключить от корпоративных ресурсов целые офисы, создать уязвимости периметра безопасности.
Обслуживание сетевого оборудования требует немалых затрат, при этом каждый компонент необходимо настраивать по отдельности. Компаниям также приходится выделять место для размещения всех этих устройств, закладывать бюджет на электроэнергию, в том числе дополнительные источники питания на случай сбоя основных.
В отличие от традиционной архитектуры, SD‑WAN позволяет использовать для контроля и масштабирования сети более эффективные инструменты. Вместо нескольких единиц оборудования компания приобретает по одному сетевому серверу на каждую площадку, а в головном офисе размещает контроллер, который обеспечивает настройку и управление всей сетью. В результате IT‑специалисты могут централизованно работать с локальными центрами обработки данных, общедоступными и частными облаками, SaaS‑приложениями, а «реальные» аппаратные средства кибербезопасности заменяются виртуализованными сетевыми функциями (см. ниже).
Функции SD‑WAN‑платформы включают в себя все необходимое для управления территориально-распределенной инфраструктурой: от маршрутизации трафика и создания защищенных каналов связи до сервисов удаленного доступа. Подключение новой площадки или перенастройка политик безопасности больше не потребуют личного присутствия высококвалифицированных специалистов. Команда центрального офиса может подготовить настройки удаленно, а сотруднику на локации достаточно изучить руководство по работе с сетевым сервером, после чего подключение площадки займет буквально 15 минут благодаря процедуре быстрой активации устройства (zero‑touch provisioning, ZTP). Для сравнения, чтобы поднять традиционную сеть, уходит несколько рабочих дней. Единый интерфейс управления позволяет держать под контролем состояние всей корпоративной инфраструктуры, какую бы территорию она ни охватывала. На панели управления администраторы смогут контролировать обновления ПО, менять настройки, подключать облачные приложения.
Встроенная функциональность SD‑WAN повышает устойчивость компании к возникающим ошибкам — как внешним (отказы каналов связи), так и внутренним (ошибки администраторов).
Virtual network function (VNF) — это программное обеспечение, которое решает некую определенную задачу кибербезопасности. Например, это может быть виртуальный межсетевой экран между интернетом и внутренней сетью предприятия. VNF запускается в качестве виртуального контейнера, работающего на каждой CPE (customer premises equipment — оборудование, расположенное на территории клиента).
По умолчанию сервисы кибербезопасности не входят в состав решений SD‑WAN, что оставляет преступникам возможность атаковать инфраструктуру. Сеть приходится защищать с помощью дополнительных средств, в результате компании становится гораздо сложнее интегрировать системы между собой и управлять ими. Такие решения сложно адаптировать к изменениям в архитектуре WAN, что также ограничивает возможности для эффективного масштабирования — при добавлении уровней безопасности сложность управления сетью растет по экспоненте.
В свою очередь, BI.ZONE Secure SD‑WAN включает в себя интегрированные средства защиты. Платформа обеспечивает безопасность всех рабочих инструментов, не требуя дополнительных средств. В результате компания получает все возможности для эффективного управления сетью вместе с защитой от кибератак.
Автоматизация подключения и эксплуатации:
подключение филиала в один клик;
автоматизация и шаблонизация рутинных процедур;
замена комплекса из нескольких устройств одним сетевым сервером.
Трансформация и централизованное управление сетью:
единый интерфейс управления всеми филиалами и площадками;
централизованное управление безопасностью, бесшовное обновление средств защиты информации;
непрерывный контроль состояния сети, оперативное реагирование на сбои.
Обеспечение стабильной связи:
использование любых доступных каналов без влияния на качество соединения;
интеллектуальная маршрутизация трафика для большей сетевой устойчивости;
мониторинг качества связи между площадками.
Встроенная поддержка сервисов безопасности:
шифрование трафика;
межсетевое экранирование;
создание виртуальных частных сетей (virtual private network, VPN);
автоматическое применение настроек и политик безопасности при подключении новых устройств.
Сокращение затрат на обслуживание крупных сетей — до 2,5 раз. Решение Secure SD‑WAN снижает расходы на развертывание, поддержку и расширение географически-распределенных сетей филиалов и устройств. Компания получает возможность сократить затраты на работу сетевых администраторов, инженеров, которым не придется выезжать на каждую площадку, чтобы подключить каналы, настроить политики безопасности, интегрировать CPE во внутреннюю сеть организации. Помимо упущенной прибыли от простоя филиала в процессе подключения, в этот блок расходов входит и оплата труда специалистов в командировках.
С применением SD‑WAN всю работу по настройке оборудования можно в пару кликов провести из центрального офиса, а на местах потребуется только подключить серверы к сети.
Безопасность без дополнительных расходов. Виртуализованная инфраструктура позволяет обеспечить безопасное взаимодействие элементов сети без аренды дорогостоящих каналов L3VPN. Эта задача особенно актуальна при выходе компании на новые территории, где может не присутствовать ее основной провайдер. Обычно в таком случае нужно заключать дополнительный договор с местной организацией, а передача данных между VPN‑сетями различных поставщиков повышает риск утери или повреждения информации.
Использование платформы Secure SD‑WAN позволяет наладить безопасную связь и использовать инфраструктуру разных провайдеров с сохранением требуемого качества обслуживания. Такая модель не только дешевле, но и лучше подходит для сервисов, чувствительных к качеству соединения и задержке, например услуг VoIP и видеоконференций.
Одно устройство вместо целого набора. Сетевой сервер BI.ZONE CyberEdge заменяет до 10 традиционных устройств: например, межсетевой экран, маршрутизатор, коммутатор, криптошлюз, Wi‑Fi‑роутер, сервер удаленного доступа для мобильных пользователей. Контроллер может управлять площадками в автоматическом режиме — чтобы настроить устройство в новом офисе, достаточно подключить его к сети и автоматически настроить параметры (ZTP).
В полной мере преимущества Secure SD‑WAN смогут оценить организации с распределенной сетью из 15 площадок и выше, которым требуется организовать доступ филиалов к бизнес-критическим приложениям в ЦОД или в центральном офисе.
Решение также будет полезно для управления простыми, но обширными распределенными сетями, где необходимо повысить прозрачность, ускорить развертывание сервисов и снизить издержки на обслуживание.
Наибольшую пользу от SD‑WAN смогут получить:
холдинги, группы компаний, крупные организации с множеством офисов и филиалов;
страховые компании, банки с собственными сетями банкоматов;
ритейлеры, сети аптек и АЗС, рестораны и точки быстрого обслуживания;
государственные и муниципальные учреждения, школы, поликлиники, федеральные и региональные органы исполнительной власти;
девелоперы, строительные и складские компании.