در قسمت اول در مورد معرفی راهکار Fortinet SDN صحبت کردیم. بسیاری از سازمان‌ها به دنبال این هستند که با ارتباط نزدیک‌تر با کاربران از طریق رسانه‌های اجتماعی یا راهکارهای مبتنی بر وب، کسب‌و‌کار خود را تسریع کنند. این برنامه‌های کاربردی موبایل، اجتماعی و چندرسانه‌ای را باید بتوان به‌سرعت پیاده‌سازی کرد و در پاسخ به درخواست کاربر نهایی توسعه داد، درنتیجه تیم‌های IT داخلی و ارائه‌کنندگان خدمات Cloud در حال حرکت به سمت ارائه دادن خدمات IaaS منعطف به تیم‌های توسعه‌ی خط کسب‌و‌کار هستند.

اما درحالی‌که VMهای سرور وب و زیرساخت‌های دیگر تسریع و کُند می‌شوند تا به‌سرعت به مقیاس مناسب برسند، تیم های IT نیز باید اطمینان حاصل کند که فایروال‌ها و حفاظت‌های دیگر با پالیسی‌های مناسب اعمال ‌شوند تا محرمانگی و خصوصی بودن داده‌های حساس کاربران یا سازمان‌ها تضمین گردد، در غیر این صورت ممکن است گروه‌هایی که سازمان‌ها سعی دارند به آن‌ها نزدیک‌تر شوند را از خود برانند. اما سازمان‌های IT  به دنبال این هستند که با آماده‌سازی ماشین‌های مجازی، پورت‌های مجازی و زیرساخت‌های مبتنی بر نرم‌افزار دیگر، برای ایمن‌سازی زیرساخت به‌طور شفاف، بدون کند کردن یا ایجاد اختلال در کسب‌و‌کار‌ها پیاده‌سازی و آماده‌سازی پالیسی‌ها و موتورهای امنیتی به‌طور یکپارچه را خودکارسازی کنند.

ایمن‌سازی ترافیک East-West در محیط‌های مجازی

مطالعات نشان داده‌اند که در دیتاسنترهای مدرن، تا 75-80 درصد از ترافیک دیتاسنتر East-West است نه North-South، زیرا VMware ESX و Hypervisorهای دیگر شروع کرده‌اند به استفاده از شبکه مجازی، نه فقط برای اختصاص پهنای باند شبکه، بلکه همچنین برای تعدیل بار، دسترس‌پذیری بالا و مزایای اضافی دیگر. به‌علاوه، بسیاری از ترافیک East-West ترافیک مجازی بین VM است که شاید در vswitch بماند و Host فیزیکی را ترک نکند، همین امر باعث می‌شود که بررسی ترافیک با تجهیزهای امنیتی که در شبکه‌ی فیزیکی بالاتر هستند بیش‌ازپیش دشوار گردد.

سازمان‌ها به‌طور روزافزون به دنبال فایروال‌های مجازی‌سازی‌شده و تجهیزهای امنیتی هستند که می‌توانند روی vswitch قرار بگیرند و برای بررسی ترافیک مجازی inline باشند و بتوانند VMها را روی دیتاسنتر مجازی دنبال کنند، مثلاً حفظ بازرسی Stateful در طول انتقال VM یا داشتن قواعد شبکه‌ی توزیعی که فارغ از تغییرات در IPهای منطقی، پورت‌ها یا آدرس‌های MAC، روی کلاسترهای Host کار می‌کنند.

مجازی‌سازی شبکه و SDN بیشتر از قبل شبکه را جداسازی ‌کرده و چالش‌های قابلیت دید و کنترل مثل Tunnel کردن VXLAN یا ترافیک Overlay/Underlay دیگر را تشدید می‌نمایند و باعث می‌شوند که ترافیک LAN برای Gatewayهای امنیتی Layer 3 فیزیکی نامرئی باشد یا ترافیک روی Cloudها گسترش پیدا کرده و خارج از کنترل دستگاه‌های امنیتی On-Premise قرار بگیرد.

فعال‌سازی ریز بخش‌بندی در دیتاسنترهای تجمیع‌شده

در راهکار Fortinet SDN تجمیع دیتاسنتر با استفاده از تکنولوژی‌هایی مثل مجازی‌سازی سرور و مجازی‌سازی شبکه کارآمدی IT را افزایش می‌دهد، اما داده‌ها و کاربران حساس بیشتری را در محیط‌های اشتراکی و Multi-Tenant کنار هم قرار می‌دهد. این امر ریسک و خطر احتمالی را متمرکز می‌کند، مخصوصاً وقتی IT سعی کند از شبکه‌های Flatتر و بازتری استفاده کند که زیرساخت‌های مقیاس‌پذیرتری را ارائه دهند.

بیشتر بخوانید: راهکار امنیتی Fortinet SDN چیست و موارد کاربرد این تکنولوژی – قسمت اول

سازمان‌ها به دنبال رویکردهای ریزبخش‌بندی هستند که ‌بتوانند قابلیت فایروال با دقت بالا را روی شبکه‌های Flat اما بدون ایجاد اختلال برای برنامه کاربردی و کاربران فراهم کنند. پلتفرم‌های SDN به‌طور روزافزون کنسول‌های مبتنی بر پالیسی را اضافه می‌کنند که می‌توانند پالیسی‌های سطح بالاتری را براساس کاربران، نقش‌ها و فراداده‌های دیگر تعریف کنند که سپس می‌توان آن‌ها را با مدیریت امنیتی تنظیم نمود تا به‌طور شفاف یک Honeycomb از Trust Zoneهای دقیق به‌طور هماهنگ با جریان‌های شبکه مبتنی بر نرم‌افزار پیاده‌سازی گردد.

فعال‌سازی Security-as-a-Service برای ارائه‌کنندگان خدمات

Telco و ارائه‌کنندگان خدمات امنیت مدیریت‌شده یا MSSPها مدت زیادی است که راهکارهای امنیت شبکه را به‌عنوان خدمات مدیریت‌شده یا از شبکه‌های ارائه‌دهنده‌ی متمرکز یا به‌عنوان تجهیزات Premise کاربر (CPE) ارائه می‌دهند. اما اکنون بیشتر به دنبال ارائه‌ی امنیت مدیریت‌شده با ویژگی‌های مبتنی بر IaaS هستند که این می‌تواند به‌عنوان خدمات امنیتی مستقل باشد یا اینکه با Cloudهای عمومی و در فروشگاه‌های Cloud یکپارچه‌سازی شده باشد.

ارائه‌کنندگان خدمات نه‌تنها اولین گروه‌هایی بودند که از راهکار Fortinet SDN استقبال کردند، بلکه ذینفعان کلیدی در تکامل امنیت SDN نیز می‌باشند. درنتیجه Fortinet افزونه‌هایی را برای SDN Security Framework تعریف کرده است که برمبنای نیازهای به‌خصوص ارائه‌کنندگان خدمات IaaS هستند.

Network Function Virtualization یا NFV

Network Function Virtualization یا NFV مفهوم تعدیل بار فایروال‌های مجازی و تجهیزهای دیگر شبکه‌ی L4-L7 یعنی عملکردهای شبکه مجازی‌سازی‌شده یا VNF را چند مرحله جلوتر می‌برد تا از الزامات ارائه‌کنندگان برای کالایی‌سازی و مدیریت‌پذیری سرویس پشتیبانی نماید. فایروال‌ها و VNFهای امنیتی دیگر باید بتوانند از Service Insertion و Service Chaining با قابلیت همکاری روی سخت‌افزار NFV کالایی‌سازی‌شده پشتیبانی کنند که منجر به هزینه‌های کمتر، مقیاس‌پذیری بیشتر و مدیریت‌پذیری بیشتر می‌شود. این مزایا هزینه‌های سرمایه و هزینه عملیاتی ارائه‌کننده را کاهش می‌دهند، کارآمدی و صرفه‌جویی را ممکن می‌سازند که این امر روی Tenantها و Clientهای ارائه‌کنندگان نیز تأثیرگذار است.

Self Service به‌صورت On-Demand

ارائه‌کنندگان خدمات به‌طور روزافزونی توسط Tenantهای سازمانی تشویق می‌شوند که نه‌تنها زیرساخت منعطفی را ارائه دهند، بلکه همچنین خدماتی را به‌صورت On-Demand و Pay-As-You-Go فراهم نمایند. درنتیجه ارائه‌دهندگان به دنبال این هستند که خدمات امنیت و شبکه را از طریق کاتالوگ‌های Self-Service و فروشگاه‌ها ارائه دهند و براساس طرح‌های ساعتی، ماهیانه یا براساس انواع دیگر سنجش هزینه دریافت نمایند. به‌علاوه، برای ارائه‌ی یک تجربه‌ی Tenant یکپارچه، آماده‌سازی امنیتی باید با پیاده‌سازی، اندازه‌گیری و دریافت هزینه به‌طور شفاف در شبکه‌های مجازی Tenant تنظیم شود.

SaaS Multi-Tenancy

درحالی‌که خدمات Cloud و خدمات مدیریت‌شده به‌طور روزافزونی از زیرساخت کارآمد و منعطف Multi-Tenant ارائه می‌شوند، نه از تجهیزات اختصاصی یا تجهیزات Premise کاربر (CPE)، ابزار و پلتفرم‌های مدیریت باید نسبت به Multi-Tenant آگاهی داشته باشند. پالیسی امنیتی و مدیریت رخداد را می‌توان به هر Tenant واگذار کرد تا هزینه‌های ادمین Cloud کاهش یابد؛ بهتر است این کاهش هزینه از طریق رابط‌های کاربری وب آنلاین باشد تا تجربه‌ای مشابه‌تری با SaaS ارائه گردد.

 ادمین‌های ارائه‌دهنده علاوه بر اینکه می‌توانند نماهای مدیریتی واگذارشده را برای یک Tenant واحد عیب‌یابی کنند، باید بتوانند یک نما از ارائه‌دهنده‌ی سراسری داشته باشند.

ایمن‌سازی Cloud خصوصی با Fortinet

چندین سال است که Fortinet راهکارهایی را برای شبکه‌های فیزیکی و مجازی ارائه می‌دهد و در یک استراتژی جامع برای امنیت راهکار Fortinet SDN سرمایه‌گذاری شدیدی کرده است. Fortinet از یک رویکرد دیتاسنتر scale-up و scale-out استفاده می‌کند و مزایای سخت‌افزار با عملکرد بالا و تجهیزهای مجازی را با پلتفرم امنیتی تجمیع‌شده‌ی FortiOS متداول و خدمات محتوایی و پژوهشی تهدید FortiGuard ترکیب می‌نماید.

• تجهیزهای سخت‌افزار FortiGate – سخت‌افزار Scale-Up با معماری ASIC اختصاصی برای تطبیق با افزایش سرعت شبکه‌ی اصلی تا بزرگ‌ترین ارائه‌کننده و شبکه‌های Hyperscale. تکنولوژی دامین مجازی این امکان را فراهم می‌کند که ظرفیت‌های فایروال 1.2Tbps به‌طور منعطفی مدیریت‌شده و به‌عنوان خدمات مجازی تا 3000 Tenant VDOM به ازای در دستگاه واگذار گردند.
  • تجهیزهای مجازی FortiGate-VM – تجهیزهای مجازی Scale-out که امنیت شبکه‌ی تجمیع‌شده، فایروال و IPS را فراهم می‌نماید که از همه‌ی Hypervisorهای پیشرو و همچنین پلتفرم‌های Cloud عمومی بزرگ پشتیبانی می‌کنند.