Давайте посмотрим на многолетний опыт управления сегментацией в крупных сетях и ЦОДах и честно скажем, что словосочетание «VLAN и межсетевые экраны» сейчас звучит странно.
Сейчас никто не будет строить сеть на коаксиальном кабеле Ethernet. Почему же в современном мире программно-управляемых сетей и фабрик, да еще и с постоянно развивающейся автоматизацией, мы говорим про VLANы? Наверное, потому, что это просто, понятно и грубо. Грубо и с той точки зрения, что иметь большое количество VLANов в рамках крупной организации или предприятия, да еще и с большим количеством различных офисов, производственных площадок, парой-тройкой ЦОДов, оказывается крайне сложно с точки зрения настройки, эксплуатации и скорости внесения изменений. Поэтому этих VLANов делают относительно немного и затем, с целью обеспечения гранулярности контроля трафика, «приземляют» часть из них на межсетевые экраны.
Такой подход существенно снижает возможности по уменьшению или оперативному изменению «поверхности атаки», т.е. той зоны, которая оказывается под потенциальным контролем злоумышленника, если он взломал в ней хотя бы один узел.
Итак, давайте же поговорим о том, каким мы хотим видеть изменение данного подхода. Наша благородная цель — это программно-управляемая микросегментация в соответствии с ролевой моделью доступа. И тут нам на помощь должно прийти несколько технологий. Первая из них — это VXLAN, т.е. возможность более гранулярной сегментации в рамках всей инфраструктуры, включая в первую очередь фабрику ЦОДа, где и расположены основные ресурсы. Также важна поддержка EVPN для эффективного управления VXLANами, и поверх этого — интеграция со средствами автоматизации для централизованного изменения профилей и политик контроля трафика в рамках фабрики. В этом случае мы и получаем искомое — высокую степень гранулярности сегментации, возможность быстрого и централизованного ее изменения и интеграцию межсетевых экранов как сервисных элементов на пути от пользователей к приложениями или между самими приложениями.
Если же мы еще добавим, что говорим не просто про межсетевые экраны, а про межсетевые экраны нового поколения, то количество сервисов и их выбор на конкретном пути взаимодействия существенно расширится. Это будут функции и фильтрации трафика, и защиты от вторжений, и фильтрации нелегитимного контента. Так что скажем нет VLANам и классическим межсетевым экранам, и начнем как минимум планировать и проектировать переход на сетевые фабрики с интеграцией в них функций киберзащиты, реализуемых на межсетевых экранах нового поколения.