Безопасность в Kaspersky SD-WAN обеспечивается в плоскостях передачи данных, управления сетью и оркестрации. Степень безопасности всего решения определяется степенью безопасности каждой из этих плоскостей, а также защищенностью взаимодействия между ними. В каждой плоскости происходят следующие процессы:
Безопасные протоколы управления
Мы рекомендуем использовать протокол HTTPS при взаимодействии с сетью SD-WAN через веб-интерфейс оркестратора или API. Вы можете загрузить в веб-интерфейс собственные сертификаты или использовать автоматически сгенерированные самоподписанные сертификаты. Решение использует несколько протоколов для передачи управляющего трафика компонентам (см. таблицу ниже).
Взаимодействующие компоненты |
Протокол |
Дополнительное обеспечение безопасности |
|---|---|---|
Оркестратор и контроллер SD-WAN |
gRPC |
Для аутентификации и шифрования трафика между клиентом и сервером используется протокол TLS. |
Оркестратор и устройство CPE |
HTTPS |
Для аутентификации и шифрования трафика между оркестратором и устройством CPE используется проверка сертификата и токен. |
Контроллер SD-WAN и устройство CPE |
OpenFlow 1.3.4 |
Для аутентификации и шифрования трафика между контроллером SD-WAN и устройством CPE используется протокол TLS. |
Безопасное подключение устройств CPE
Решение использует следующие механизмы безопасного подключения устройств CPE:
Использование виртуальных сетевых функций
Вы можете обеспечить дополнительный уровень безопасности с помощью виртуальных сетевых функций, разворачиваемых в центре обработки данных и/или на uCPE. Например, трафик может быть направлен от устройства CPE к виртуальной сетевой функции, которая работает как межсетевой экран или прокси-сервер. Виртуальные сетевые функции могут выполнять следующие функции защиты сети SD-WAN: