Библиотека Интернет Индустрии I2R.ru |
|||
|
VPN: Время пришло?VPN на основе публичных сетей интернета становится наиболее популярной формой реализации виртуальных частных сетей. Бизнес не кончается за парадной дверью компании. Сотрудники, которые работают вне офиса, а также региональные офисы и отделения должны получать доступ к данным и приложениям, находящимся в локальной сети штаб-квартиры компании.
Предприятия больше не могут позволить себе игнорировать задачу безопасной передачи данных. Компаниям необходимо, чтобы все, кому нужен доступ к критическим данным, могли получить его -- либо из регионального офиса, либо с места проведения временного проекта. И если раньше часть подобных задач решалась путем построения собственных сетей или аренды выделенных каналов точка-точка, то в середине 2001 года наступил перелом: VPN на основе публичных сетей интернета становится наиболее популярной формой реализации виртуальных частных сетей.
Технологические барьеры
Когда на технологической сцене появились виртуальные частные сети (VPN --Virtual Private Networks), нам прочили пуленепробиваемую безопасность корпоративных сетей при минимальных расходах на выделенные линии. Однако со временем энтузиазм по поводу VPN поутих -- технология шифрования не оправдала ожидания. На волне эйфории многие компании рассчитывали получить большую скорость VPN-канала, производительность в сочетании с максимальной безопасностью. Но технология не смогла обеспечить такие показатели.
Потребовалось примерно два года, чтобы устранить этот технологический барьер с помощью сложнейших разработок в области высокоскоростных крипто-алгоритмов и ASIC-чипов. Сегодня производители VPN-инфраструктур обеспечивают высочайшие требования безопасности (IPSec с использованием режима 3DES-CBC) и предлагают скорость 2 Гбит/с. Такое повышение производительности близко к критическому, поскольку они создают импульс к распространению VPN.
Дебаты операторов
Не одни лишь предприятия заинтересованы в использовании VPN. Телекоммуникационные операторы и ISP также получают конкурентные преимущества, предлагая VPN-функции в комплекте с существующими приложениями и услугами. Эти провайдеры предлагают клиентам интегрированные VPN-решения, которые обходятся им значительно дешевле, чем собственная реализация аналогичной VPN.
Однако здесь есть одна серьезная трудность. Сейчас операторы и ISP фактически разделились на два лагеря: приверженцев подхода VR (virtual router) и сторонников BGP/MPLS (Border Gateway Protocol/Mmultiprotocol Label Switching) с использованием VRF (virtual route forwarding). Самые авторитетные специалисты отрасли зачастую придерживаются противоположных точек зрения. Хотя сама концепция VPN проста, детали ее реализации сложны, и именно здесь возникли жаркие дебаты.
Для понимания сути проблемы необходимо детальнее познакомиться с технической реализацией VPN. Как правило, в VPN-системе используются маршрутизаторы трех типов: маршрутизатор CE (customer edge), который находится у клиента, маршрутизатор PE (provider edge) на границе сети провайдера и маршрутизатор P (provider), который находится в ядре сети провайдера. Одно или несколько CE-устройств, расположенных в системах клиента, подключены через канал передачи данных (PPP, ATM, Ethernet, frame relay) к одному или нескольким PE-маршрутизаторам. Администрированием VPN, как правило, занимается сервис-провайдер, а логические функции находятся на границе сети оператора, а не у клиента.
Понятие VR (virtual router) обозначает логический маршрутизатор (то есть отдельный элемент протокола маршрутизации и связанных с ним таблиц), который работает внутри физического маршрутизатора. Каждый VR ведет себя как физический маршрутизатор и поддерживает равноправные взаимоотношения со всеми остальными VR и CE-маршрутизаторами, входящими в VPN-домен. Подход VR прямолинеен и прост -- связь каждого с каждым. Хотя в этом подходе могут использоваться различные протоколы, он не привязан к одной базовой технологии. VR использует стандартную маршрутизацию 3-го уровня и взаимодействует в пределах ядра с применением туннельных механизмов (например, IPSec, L2TP, PPP), для того чтобы создавать виртуальные соединения. MPLS также может использоваться для туннелирования. VR может поддерживать любой разрешенный протокол, в том числе BGP, OSPF, IS-IS или RIP.
Архитектура BGP/MPLS сложнее. В подходе BGP/MPLS используются MPLS-пути в рамках IP-сети. Каждый PE-маршрутизатор поддерживает BGP-отношения с любым другим PE-маршрутизатором. Кроме того, каждое PE-устройство подключено к каждому PE-устройству, входящему в VNP-подсеть. Второй уровень VNP-подсетей отвечает за пути, которые поддерживают связь с CE-маршрутизаторами (этот подход известен под кодом IETF RFC2547bis и является дополнением к RFC2547).
При использовании подхода VR уровень безопасности выше, чем у BGP/MPLS. Если требуются сильные функции шифрования и идентификации, то IPSec использует туннели и кодирование, обеспечивая сохранность данных. Однако у подхода VR есть несколько серьезных недостатков. Во-первых, производительность. Шифрование приводит к запаздыванию, поскольку пакеты, получаемые на входном маршрутизаторе, должны шифроваться и преобразовываться в IP-пакеты. А в точке выхода маршрутизатор должен провести обратное преобразование, на это тоже требуется время. Использование дополнительных функций безопасности (например, DES или Triple DES) вызывает еще большее запаздывание. Во-вторых, масштабируемость. Каждый CE-маршрутизатор должен поддерживать взаимоотношения со всеми другими CE и VR, входящими в VPN-домен, а также поддерживать несколько копий протокола маршрутизации, что вызывает большую нагрузку на маршрутизаторы PE и CE, особенно в крупных сетях. Кроме этого, по мере роста числа абонентов приобретают все большее значение проблемы масштабируемости и управляемости.
В решении BGP/MPLS используются существующие в сети оператора BGP-отношения между маршрутизаторами, что позволяет клиентам избегать необходимости поддержки MPLS или каких-либо VPN-функций. При этом задержка минимальна, поскольку в данном решении не предполагается дополнительное шифрование и преобразование. Кроме того, сложные сети могут легко и экономно конфигурироваться операторами, поскольку при добавлении новых услуг маршрутизаторы, находящиеся в ядре сети или на стороне заказчика, конфигурироваться не должны. В результате время реализации значительно снижается. Но у этого подхода есть и недостатки -- часть специалистов считает, что он менее надежен, чем подход VR. Хотя многие придерживаются мнения, что сочетание преимуществ технологий IPSec и MPLS в сети провайдера может обеспечить безопасность VPN. Кроме того, реализация MPLS и BGP в ядре сети оператора может быть очень сложной, особенно для небольших операторов, однако большинство средних/крупных операторов уже используют BGP и рассматривают возможность использования MPLS.
Конечно, в идеальном случае сервис-провайдер хотел бы поддерживать оба подхода, однако это непрактично. Для мелких сетей с умеренным количеством абонентов, не ожидающих значительного роста и нетребовательных к новым услугам, предпочтительней подход VR. Для операторов и ISP с крупными сетями, которые поддерживают тысячи абонентов и ожидают значительного роста, и к тому же нуждаются в гибком решении для поддержки этого роста, правильней подход BGP/MPLS. Однако дебаты внутри рабочей группы IETF Provider Provisioned VPN по поводу того, какая технология лучше, не прекращаются. Поэтому сегодня выбор подхода к реализации VPN зависит от провайдера. И клиентам необходимо с этим считаться.
Перспективы
Какая бы из реализаций VPN-технологий ни победила, прогресс в развитии VPN-технологий сейчас очень кстати, ведь безопасный сетевой доступ становится все более важным для компаний со множеством филиалов и мобильных сотрудников. И ключевую роль здесь играет способность VPN снижать цены на каналы доступа и предотвращать несанкционированный доступ к чувствительной корпоративной информации.
Рынок мгновенно откликнулся на эту ситуацию. По данным Infonetics Research, в первой половине 2001 года рынок VPN-продуктов более чем вдвое увеличил объем своих доходов по сравнению со второй половиной 2000 года -- с $313 млн. до $706 млн. Согласно некоторым исследованиям, рост VPN даже больше, чем просто взрывной: более 50% компаний планируют реализовать VPN к концу 2002 года.
VPN-системы сегодня наконец стали оправдывать связанные с ними надежды, и предприятия, телекоммуникационные компании и сервисные провайдеры активно начинают использовать их преимущества.
Success story
Главная ценность Kaiser Permanente, крупнейшей в США компании, предоставляющей услуги по здравоохранению 8,2 млн. пациентам -- электронные медицинские записи, которые охраняются надежно, словно золотые слитки. Бизнес Kaiser зависит от того, может ли компания передавать -- и передавать надежно -- эти данные из своей штаб-квартиры десяткам и сотням тысяч своих сотрудников и партнеров, которые находятся в 450 точках в девяти штатах.
Проблема крайне серьезна. Каждый месяц 5 тыс. удаленных пользователей подключаются к корпоративной сети компании и через несколько лет их число значительно возрастет, поскольку все большему числу из 100 тыс. сотрудников Kaiser требуется доступ к критическим данным из удаленных точек. Обеспечение безопасности данных, доступ к которым осуществляется с таким размахом, в любом случае будет делом весьма непростым. Еще более усугубляет положение то, что, согласно федеральному акту Health Insurance Portability and Accountabillity Act от 1996 года, Kaiser обязана выполнить дополнительные требования по обеспечению конфиденциальности медицинских записей пациента. Хочешь -- не хочешь, но компания обязана закрыть доступ посторонних лиц к личным данным пациента и при этом позволить врачам свободно работать с данными из удаленных офисов.
До недавних пор Kaiser передавала информацию по выделенным линиям и dial-up. Однако этот подход становился все дороже. Кроме того, передача больших файлов с помощью услуг dial-up проходила мучительно медленно. Средняя стоимость такой системы в год на одного пользователя составляла $480, что было очень дорого.
Запуск VPN-проекта
В ноябре 2000 года Kaiser запустила проект новой сети на основе технологий виртуальной частной сети (VPN), защищенной инфраструктурой открытых ключей (PKI) и с использованием ПО и оборудования Cisco. В рамках проекта 300 сотрудникам Kaiser предоставляются данные о пациентах, а также финансовые данные от поставщиков и производителей лекарств.
Поскольку технология VPN кодирует данные при перемещении по интернету, защищая их от любопытных глаз, Kaiser смогла отказаться от аренды выделенных линий и dial-up. Вместо этого сотрудники и партнеры стали использовать интернет и широкополосную связь. А ПО PKI, установленное на обоих концах соединения, заботится о том, чтобы доступ к VPN-системе могли получать только авторизованные пользователи.
Первые результаты применения новой технологии "были просто отличными, -- с восторгом говорит Джим Бест, CIO компании Kaiser. Я могу работать из дома с DSL-скоростью, что позволяет мне полнее использовать телекоммуникационные возможности". Сейчас Kaiser приступила ко второй фазе VPN-проекта. В сентябре 2001 года компания распространила технологию на 3200 сотрудников (PKI-решения компаний Netegrity и Entrust Technologies).
Возврат инвестиций
На решение этой задачи Kaiser уже потратила более $5 млн. и продолжает вкладывать средства в создание надежной сети. Однако точно посчитать, сколько денег удастся сэкономить при использовании VPN-технологии, пока нельзя, считает Бест. По мнению Боба Лонадьера, директора по стратегиям безопасности компании Hurwitz Group, переход на VPN с аренды выделенных линий и dial-up может снизить стоимость безопасной передачи данных до 70%. Такой впечатляющей отдачей от инвестиций "нельзя пренебрегать ни в хорошие, ни в плохие времена. Преимущества слишком велики, чтобы их игнорировать".
Однако расходы на VPN являются лишь одной из составляющих бюджета по безопасной передаче данных. Kaiser потратила $3,5 млн. на создание PKI -- технологии, которая требует предоставления набора ключей и сертификатов для пользователей, создания серверов сертификатов и значительного перекодирования приложений. Джеральдина Мартин, директор Kaiser по IT-безопасности, говорит, что Kaiser планирует вернуть свои инвестиции примерно за три года. Это не быстро, однако другие методы обеспечения безопасности удаленной работы требуют еще большего срока.
Уже сейчас компания ежедневно экономит значительные суммы на поддержку системы. В прошлом, по словам Мартин, система идентификации каждого приложения оценивалась отдельно на соответствие требованиям федерального законодательства. Сейчас целая группа приложений переводится в единую PKI-систему идентификации. "Со временем это поможет сэкономить средства для любой компании, которая использует большое число приложений", - считает она.
Критерии выбора VPN
1. Безопасность и снижение расходов. Уровень безопасности - это самый важный критерий. VPN-решение привлекательно, только если оно предлагает безопасность при значительном снижении расходов по сравнению с арендой выделенных каналов или построения собственных. Однако помните, что задача обеспечения безопасности -- комплексная. Только в сочетании с firewall-защитой и интегрированными дополнительными приложениями безопасности, такими, как мониторинг вторжений, поддержка цифровых сертификатов, DOS, Radius-функции и идентификация клиентов, VPN-решение позволит создать мощную коммуникационную платформу, позволяющую передавать по интернету бизнес-информацию компании. 2. Гибкость и надежность. Оборудование для VPN-инфраструктуры должно поддерживать разнообразные архитектуры и протоколы. VPN-системы должны иметь много сетевых интерфейсов, поддерживать совместимость с существующим оборудованием, устраняя потребность в установке дополнительных сетевых устройств. VPN-решение также должно включать в себя надежные функции зашиты от сбоев практически для всех аппаратных и программных компонентов, как и в любой другой сетевой инфраструктуре. Конфигурации портов должны включать в себя поддержку на случай сбоев, чтобы при отказе порта задачу можно было автоматически перевести на другой порт, что позволит поддерживать работоспособность сети.
3. Легкость управления. Управление - это важнейший критерий выбора VPN. Продвинутые функции сетевого управления уменьшают необходимость использования дополнительного оборудования, а также предлагают детальные функции отчетности и оповещения о выявленных инцидентах. Полноценное VPN-решение управления должно предоставлять сетевым администарторам простые инструменты интегрированного доступа удаленного и локального управления. Единая точка контроля необходима для мониторинга посредством поддержки широко распространенных инструментов управления корпоративного класса. Развитие VPN-продуктов привело к тому, что теперь они могут интегрировать множество VPN-требований в одной системе, включая firewall, балансировку нагрузок, проверку контента, проверку URL, отслеживание вторжений и инициализации отказа в обслуживании, антивирусную защиту, маршрутизацию и управление. Централизация ключевых функций является важнейшим звеном для управления критическими VPN-приложениями, поддерживающими цифровые ресурсы организации.
4. Скорость и масштабируемость. Важна и скорость соединения. Для крупных предприятий существуют VPN-решения, которые работают на скоростях до 2 Гбит/с и предлагают от 100 до 40 тыс. VPN-туннелей. Критическим моментом для обеспечения скорости является способность технологии масштабироваться.
Даниил Фертф |
|
2000-2008 г. Все авторские права соблюдены. |
|