Прежде чем перейти к статье, хочу вам представить, экономическую онлайн игру Brave Knights, в которой вы можете играть и зарабатывать. Регистируйтесь, играйте и зарабатывайте!
Под «распределенной» мы имеем в виду компанию, у которой несколько офисов (и они находятся в разных точках города, страны или даже в разных странах). А также если вы или ваши сотрудники часто работаете удаленно.
Изолированные сети позволяют объединить корпоративные филиалы или отдельные облачные площадки и защищают пересылаемые данные. Расскажем о возможностях технологии на примере нашего продукта — Cloud VPN.
Зачем все это нужно — мини-гайд
В прошлом вся корпоративная сетевая инфраструктура находилась в штаб-квартире компании или в непосредственной близости от неё. Сотрудники также работали в пределах здания. Такой подход давал определенные преимущества — центральный офис получал полный контроль над коммуникациями. Входящий и исходящий трафик проходил через единую инфраструктуру, которую было проще администрировать.
Но были и сложности — в частности, возникала единая точка отказа. Если в дата-центре происходила авария, бизнес-процессы вставали на неопределенный срок (который зависел от многих факторов и удачи). Известна история, когда корпоративный дата-центр Rackspace лишился электричества из-за того, что водитель грузовика случайно протаранил трансформатор. Другой пример — дикая белка, которая перегрызла кабель питания у ЦОДа в Калифорнии и отключила половину машинного зала.
Сегодня ситуация изменилась, как изменилась и концепция работы с вычислительными ресурсами. Появились мультиоблачные среды, а компании переходят на инфраструктуру сервис-провайдеров. Однако многие бизнесы до сих пор остаются в гибридном состоянии. Часть их железа все еще находится on-premise. Но пользователи все равно подключаются к корпоративным ресурсам удаленно — из филиалов, разбросанных по всей стране, или из дома с личных устройств. В таких условиях необходимо обеспечить безопасный доступ к корпоративной инфраструктуре, защитить трафик. Для этих целей используют изолированные сети.
Как подключить внешнего пользователя
Первый вариант — использовать hardware VPN. Подход подразумевает настройку отдельного устройства, которое возьмет на себя шифрование и дешифрование данных, а также аутентификацию пользователей. Такой подход считается одним из наиболее безопасных, поскольку формирует физическое препятствие между корпоративной сетью и интернетом [для фильтрации входящих и исходящих пакетов] в виде дополнительного устройства. Однако настройка аппаратного VPN имеет определенные сложности. Особенно в том случае, если структура компании подразумевает десятки и сотни удаленных филиалов (или сотрудников).
Многие инженеры не любят работать с такими системами, так как им необходимо прибыть на место, чтобы установить и настроить оборудование. Специалисты отмечают необходимость тратить силы и время на разъезды и многочасовые пробки в рамках рабочего дня. Ситуация усугубляется, если удаленный сотрудник или филиал находится в другой стране.
Кроме того, если аппаратный VPN не задублирован, возникают дополнительные риски: в случае его выхода из строя понадобится организовывать резервное подключение. Текущие реалии тоже накладывают определенные ограничения на использование аппаратных VPN. В некоторых решениях (особенно для крупного бизнеса) часть функциональности открывается за счет покупки или продления лицензии, поэтому уход вендоров с рынка привел к тому, что компаниям срочно понадобились альтернативы.
Наконец, аппаратные VPN могут стать подводным камнем, если компания решится на миграцию в облако.
Очень часто у заказчиков, которые задумываются о миграции или делают первые шаги в этом направлении, уже существует действующая сетевая инфраструктура, которая включает и аппаратные решения. Обычно это или отдельное устройство, или устройство все-в-одном: роутер/NGFW с функциями VPN-шлюза.
И в проекте миграции инфраструктуры заказчика в облако это — отдельная проблема. Архитекторам нужно найти подходящее техническое решение по удаленному подключению пользователей и перенести все настройки для условно бесшовного переключения между исходной (on-prem) и целевой инфраструктурой (в облаке); процесс осложняется тем, что настройки необходимо выполнять и на стороне облака, и у пользователей на рабочих местах.
По этой причине ряд специалистов относит аппаратные VPN в категорию теряющих актуальность технологий. Она была популярна в начале нулевых и была обусловлена необходимостью. Вычислительным системам могло не хватать ресурсов для выполнения задач туннелирования параллельно основным обязанностям. Для этих целей требовалось отдельное устройство. Но с ростом мощностей, многозадачность и программные VPN стали нормой.
При этом настройка инфраструктуры на основе открытых решений требует определенного уровня экспертизы и наличия ИТ-специалистов, способных её поддерживать. Особенно если речь идет о подключении между филиалами в разных регионах: необходимо провести инвентаризацию программного и аппаратного обеспечения в каждой точке (оно должно быть совместимо друг с другом и поддерживать аналогичные протоколы). А также настроить инфраструктуру для безопасного обмена ключами в рамках непосредственно организации VPN-туннелей (в противном случае пользователи столкнутся с низким качеством соединения и проблемами безопасности).
Альтернативный вариант — для развертки изолированного корпоративного канала можно обратиться к облачному провайдеру. Преимуществом построения изолированных сетей в облаке становится геораспределённая инфраструктура провайдера. Она сокращает издержки на обслуживание, даже если у компании много филиалов и удаленных сотрудников. В то же время сервис уменьшает затраты на оборудование, так как поставщик услуги отвечает за железо, администрирование и мониторинг. Далее расскажем о возможностях облачных изолированных сетей на примере нашего сервиса Cloud VPN.
Что предложит Cloud VPN
Сервис позволяет строить изолированные каналы L2VPN и L3VPN в облачной инфраструктуре CloudMTS. Они гарантируют изолированную доставку данных по магистральной сети между нашими дата-центрами.
Чаще всего Cloud VPN используют компании, которым нужно связать офис или оборудование в нашем ЦОД с инфраструктурой у нас в облаке. Кому-то из клиентов надо связать две инфраструктуры в двух разных дата-центрах. Еще вариант использования Cloud VPN — когда нужно простроить канал от офиса до наших сервисов вроде VDI с гарантированной пропускной способностью и защищённостью.
Один из кейсов: клиент установил сервер в колокацию и хотел связать его с действующей инфраструктурой в одном из наших ЦОД. Мы организовали кроссировку кабелей линии связи, а потом «растянули» этот канал от его железа до виртуального маршрутизатора при его организации (эта сущность называется «виртуальный дата-центр», VDC).
Вариант с двумя VDC можно представить на схеме следующим образом (в каждом VDC может быть одна, либо несколько сетей виртуальных машин):
Панель управления VDC выглядит так:
Фактически, Cloud VPN — это интерфейс, который «приходит» на каждый из маршрутизаторов и обеспечивает стык между ними. Для этого могут использоваться сразу несколько различных сетевых устройств, на которых будут прописаны одни и те же настройки; со стороны виртуализации это — виртуальный дата-центр.
С помощью Cloud VPN можно связать как виртуальные ресурсы, так и оборудование на разных площадках, настроить резервное копирование на наши удаленные площадки и обеспечить disaster recovery. При этом данные хранятся в изолированном контуре, а все VPN-каналы защищены ИБ-средствами. Офисы клиентов подключаются к облаку с помощью выделенных каналов — CloudVPN Direct Connect. Оптимальная маршрутизация достигается за счет минимизации числа промежуточных узлов:
Мы «растягиваем» L2-сеть между маршрутизаторами (реальными или виртуальными) на облачных ресурсах заказчика. Трафик идет по кратчайшему, применительно к нашей инфраструктуре, маршруту, так как проходит минимальное количество поинтов.
Чтобы воспользоваться возможностями сервиса, достаточно оставить запрос, заполнить бриф, согласовать формальности и дождаться реализации заявки.