SD-WAN und Secure Service Edge für DoD- und Ultra-Secure-Einsätze

Versa Networks ein Marktführer im Bereich SD-WAN-, SD-Security- und SASE mit über 120 Serviceprovider-Partnern weltweit. In den Vereinigten Staaten (USA) zählen Verizon, Lumen und Comcast zu den größten Partnern Versa. Versa die größte Anzahl an globalen SD-WAN-Implementierungen. Versa ist für die Vernetzung und Sicherheit vieler globaler unternehmenskritischer Netzwerke in den Bereichen Finanzen, Banken, Energie, Satelliten, Schifffahrt, Einzelhandel, Gesundheitswesen und anderen Branchen verantwortlich, in denen die beste Leistung zwischen Benutzer und Anwendung bei allen Arten von Ausfällen und Sicherheit im Vordergrund stehen.

Lesen Sie das Whitepaper hier oder die PDF-Datei herunterladen.

 
 

Abstrakt

Dieses Whitepaper beschreibt, wie gut sich die Versa , ZTNA- und SASE für Satelliten-, Seefahrts- und Bundesnetzwerke eignen, die unter widrigen und DDIL-Bedingungen (Denied, Disrupted, Intermittent, Limited) betrieben werden und häufig die HAIPE-Architektur (High Assurance Internet Protocol Encryption) der NSA oder CSfC-basierte Architekturen (Commercial Solutions for Classified) nutzen.

Abschnitt 1: Gartner hat Versa oberen rechten Bereich des SD-WAN Magic Quadrant (MQ) positioniert.

Der Gartner MQ-Bericht enthielt zwei Unterkategorien, in denen Versa den ersten Platz Versa :

  1. Kritische Fähigkeiten
  2. Große komplexe globale Networks. Gartner hat außerdem einen Bericht über Unternehmen mit den besten SASE erstellt. Versa im Gartner-Bericht über SASE den ersten Platz und bietet 13 der 15 von Gartner identifizierten Technologien an.

NSS Labs hat Versa , NGFW (Next Generation Firewall) und NGIPS (Next Generation Intrusion Prevention System) getestet. Die Wirksamkeit des Produkts bei der Abwehr von Angriffen war sehr hoch, während die Kosten pro gesichertem Mbit/s unter den OEMs am niedrigsten waren.

Versa seine nativen SD-WAN-, SD-Security- und Multi-Cloud-Funktionen miteinander kombiniert, um eine einheitliche und umfassende SASE Multi-Cloud-Lösung anzubieten.

Einige der wichtigsten Unterschiede zwischen Versa anderen Lösungen sind:

  • Integration von SD-WAN, SD-Security und Multi-Cloud in eine einzige Plattform.
  • Ein einziger Verwaltungsbereich für SD-WAN, SD-Security und Multi-Cloud.
  • Vereinheitlichte Richtlinienverwaltung - Ein Software-Stack (VOS) für vor Ort, SASE Cloud und Edge.
  • Schutz vor Bedrohungen auf der Grundlage mehrerer Verteidigungssysteme und Abhilfemaßnahmen nahezu in Echtzeit.
  • Zero Trust Network Access auf der Basis von Benutzer, Gruppe, Gerätestatus, Anwendung, Inhalt, Geo-Standort, Entity Confidence Score, Security Tag der Quelle und vielen weiteren Faktoren.
  • Unterstützung für Secure Private Access, Secure Web Gateway (SWG), Cloud Access Security Broker Services, Data Loss Prevention (DLP), Remote Browser Isolation (RBI), User Entity Behaviour Analytics, Security based on AI/ML, Dynamic Analysis of Malware using Sandboxing und Next-Generation Unified Threat Management.
  • VANI (AIOps) für Anomalieerkennung, Verkehrsprognose, Ereigniskorrelation und Chatbot (Verbo).
  • Optimale Verkehrssteuerung und SaaS-Beschleunigung mithilfe SASE Versa Engineered (TELS: Traffic Engineering Link State).
  • Dynamische Instanziierung von Tenants und virtuellen Gateways - elastische automatische Skalierung und Netzwerkintelligenz zur Erfüllung von Kapazitätsanforderungen in Echtzeit.
  • SD-WAN Lite für SASE und Router von Drittanbietern.
  • Single-Pass-Architektur - unvergleichliche Leistung in großem Maßstab.
  • Hierarchische Multi-Tenancy und granulare rollenbasierte Zugriffskontrolle (RBAC).
  • Vielseitige Dienstverkettung von virtuellen Netzwerkfunktionen (VNFs) und physischen Netzwerkfunktionen (PNFs).
  • Unterstützung für Big Data-Analysen.
  • Integration mit mehreren Quellen für Sicherheitsinformationen, einschließlich Cyber Situational Awareness (SA) Tools für eine schnelle globale Verbreitung und Durchsetzung in Echtzeit.

Abbildung 2 zeigt eine periodische Übersicht über die von Versa Funktionen für Routing, SD-WAN und Secure Services Edge. Mit diesen Funktionen Versa seinen Kunden Folgendes:

  • Stellen Sie ein sicheres, für den Datenverkehr konzipiertes globales SD-WAN- und SASE bereit, das Anwendern und IoT-Geräten unabhängig von ihrem Standort und dem Standort der Anwendungen das beste Anwendungserlebnis bieten kann. Dies ist dargestellt in Abbildung 1.
  • Zero Trust Network Access auf der Grundlage von Benutzer, Gruppe, Gerätestatus, Anwendung, Inhalt, Geo-Standort, Entity Confidence Score, Security Tag in Verbindung mit der Quelle, allen Layer3- bis Layer7-Feldern des Pakets und der Tageszeit.
  • Schutz vor Bedrohungen auf der Grundlage mehrerer Verteidigungssysteme und Abhilfemaßnahmen nahezu in Echtzeit.
Versa Access Service Edge Fabric
Abbildung 1
Versa – Marktführende SASE -Funktionen SASE SD-WAN + Security Service Edge)
Abbildung 2
 

Abschnitt 2: Merkmale, Verwendung und Unterscheidungsmerkmale

Aufgebaut mit IETF-Standard-basierten Protokollen: Basierend auf BGP/MPLS VPN und Ethernet VPN, mit der Verwendung eines privaten SAFI (Sub Address Family Identifier) zur Übertragung von SD-WAN-bezogenen Informationen wie z. B.:

  • Schlüsselverwaltung
  • Zugriff auf Zustand und Status des Stromkreises
  • NAT-bezogene Informationen
  • Informationen über SLA zu kritischen Anwendungen

Schlüsselverwaltung und Zertifikatsverwaltung

  • Echte Emulation von IKE ohne Verwendung von IKE.
  • Das Geheimnis einer Zweigstelle wird nie auf dem Drahtweg übermittelt und kann alle vier Minuten gewechselt werden.
  • Zwischen jedem Paar von Zweigen wird algorithmisch ein eindeutiges gemeinsames Geheimnis abgeleitet.
  • Erweiterte Funktionen zur Zertifikatsverwaltung.
  • Unterstützung für OCSP, CMPv2, SCEP und ACME
  • Unterstützung für die externe Schlüsselverwaltung mit dem Key Management Interoperability Protocol (KMIP ) für Einsätze, die vom Mieter/Kunden generierte Schlüssel erfordern.

Einsatzmöglichkeit in DDIL-Umgebungen (Denied, Disrupted, Intermittent und Limited)

  • Drei VM-Images - Die Mindestanzahl von Images für einen vollständig getrennten Betrieb beträgt drei. Alle Aktualisierungen von Sicherheits-Images werden in einer vollständig getrennten Umgebung unterstützt.
  • Die Lizenz wird zentral von Versa verwaltet. Versa ist eines der drei Images, in denen die Lizenz geladen ist, sodass kein Zugriff auf das Internet erforderlich ist.
  • Versa ist eines der Bilder. Es bietet Betreibern vollständige Transparenz in Bezug auf Sicherheit, Konnektivität und Leistung.
  • Single Pane of Management sowie zentralisierte Bereitstellung, Verwaltung, Überwachung, Sichtbarkeit und Big Data Analytics für alle SASE (SD-WAN, SSE) und Multi-Cloud.
  • Die am weitesten verbreitete SD-WAN-Lösung bei satellitengestützten Dienstanbietern, in der Schifffahrt und im Seeverkehr. Unterstützung für bis zu 14 Underlay-Transportdomänen pro Knoten. Es kann gleichzeitig mehrere Underlays wie SATCOM (LEO, MEO, GEO), Private MPLS, LTE/5G, terrestrische Glasfaser, Breitband und andere unterstützen.

Vielseitige Verkehrssteuerung, Verkehrsaufbereitung und erweiterte TCP-Optimierung

  • Verkehrslenkung auf der Grundlage beliebiger Layer3-Layer7-Felder des Pakets, der Layer7-Anwendung, der URL-Kategorie, des Benutzers, der Gruppe, des Gerätezustands, des Entity Confidence Score, der Geo-Location, des mit der Quelle verbundenen Security Tags, der Tageszeit und anderer Faktoren.

    • Tunnel-los auf Basis des Datenflusses. Versa Tunnel-loses SD-WAN, wo und wann immer dies erforderlich ist. Weitere Informationen finden Sie im AbschnittVersaTunnel-loses SD-WAN-Lösung“.
    • Die Verschlüsselung kann für jeden einzelnen Datenfluss aktiviert oder deaktiviert werden.
  • Versa eignet sich sehr gut und bietet die beste Anwendungserfahrung für Satelliten-, See- und Bundesnetzwerke, die NSA High Assurance Internet Protocol Encryption (HAIPE) oder Commercial Solutions for Classified (CSfC)-basierte Architekturen nutzen, bei denen DDIL und widrige Bedingungen auftreten können. Weitere Informationen finden Sie im AbschnittVersa für klassifizierte Lösungen“.
  • Die Verkehrssteuerung basiert auf der Sichtbarkeit dynamischer End-to-End-Pfadmerkmale wie Paketverlust, Latenz und Jitter. Diese Funktion sorgt für genauere und widerstandsfähigere End-to-End-Anwendungs-SLAs. Alle anderen Anbieter wählen den besten Pfad basierend auf dem SLA zum unmittelbar nächsten Hop. Nur Versa den Datenverkehr basierend auf End-to-End-Pfadmetriken steuern.
  • Verkehrskonditionierung mit FEC, Replikation und anderen Maßnahmen, die alle automatisch ausgelöst werden, wenn sich das SLA verschlechtert, und gestoppt werden, wenn sich das SLA verbessert. Diese Funktionen sind für alle Verkehrsarten und nicht nur für Sprache und Video verfügbar.
  • Unterstützung fortschrittlicher TCP-Optimierungs- und Staukontrollalgorithmen wie BBR, Hybla, SACK, Recent Acknowledgement.

Umfassende QoS-Funktionen Versa unterstützt sehr umfassende QoS-Funktionen (Layer3-QoS-Policy, AppQoS Policy, Policer, Marking, HQoS mit 4K-Shapern und 64.000 Warteschlangen) und SD-WAN-Traffic-Steering-Funktionen. Basierend auf den Layer3-Layer7-Feldern innerhalb des empfangenen Datenverkehrs, einschließlich Anwendung, URL-Kategorie und Gerätezustand, wird einem Datenfluss eine Weiterleitungsklasse (FC) und eine Paketverlustpriorität (PLP) zugeordnet. Die FC und PLP priorisieren und planen den Datenverkehr innerhalb einer VOS-Plattform. Zusätzlich werden das Umschreiben der inneren und äußeren Header sowie das Egress-Shaping auf der Grundlage der FC und PLP durchgeführt. Daher wird der missionskritische Datenverkehr sowohl innerhalb einer Versa als auch bei der Übertragung gegenüber weniger kritischem Datenverkehr priorisiert.

Sehr gut geeignet für den Aufbau von Brownfield-Netzwerken.

  • Unterstützung aller wichtigen Layer2- und Layer3-Protokolle (IPv4 und IPv6).
  • Unterstützung für IPv4, IPv6 und Dual-Stack für VRFs, sowie Underlay-Transport.

Unterstützung für komplexe Topologien wie Full Mesh, Hub und Spoke, Partial Mesh, Spoke-Hub-Hub-Spoke, Hub-Controller, Controller hinter dem Hub und viele mehr.

Sehr umfangreiche Vorlageninfrastruktur: Versa eine sehr umfangreiche Vorlageninfrastruktur, die eine Hierarchie von Vorlagen unterstützt. Mithilfe dieser Vorlagenhierarchie können globale Richtlinien definiert werden, wobei bestimmte Richtlinien Vorrang haben. Dies macht die gesamte Konfigurationsverwaltung einfach und effizient.

Eine Gerätegruppe ist eine Sammlung von Geräten mit ähnlichen, aber nicht identischen Konfigurationen. Eine Gerätegruppe ist in der Regel mit einer Gerätevorlage und einer Reihe von Dienstvorlagen unterschiedlicher Typen verbunden, z. B. Sicherheitsdienstvorlage, Anwendungssteuerungsdienstvorlage, QoS-Dienstvorlage, allgemeine Dienstvorlage und andere. Eine Gerätegruppe kann mit mehreren Sicherheitsdienstvorlagen verknüpft sein, die in einer vom Betreiber festgelegten Reihenfolge angewendet werden. Außerdem kann es gerätespezifische Sicherheitsdienstvorlagen geben.

CGNAT für v4 und v6 NAPT-44, DNAT-44, Dynamic NAT-44, Basic-NAT-44, Twice Basic NAT-44, NPT66, NAT64, MAP-E

Mehrere Optionen für Zero Touch Provisioning.

Universelles CPE zur Aufnahme mehrerer VNFs. Service Chaining gehosteter VNFs und externer physischer PNFs.

 
 

Abschnitt 3: Die tunnel-lose SD-WAN-Lösung Versa

Versa bietet Versa eine tunnel-lose SD-WAN-Lösung an, die das Netzwerk skalierbarer und bandbreiteneffizienter macht, die Fragmentierung von Paketen eliminiert und für mehr Sicherheit sorgt. Einige der Anwendungsfälle, die zu dieser tunnel-losen Lösung geführt haben, waren Satelliten-, Seefahrts- und Bundesnetzwerke, die NSA High Assurance Internet Protocol Encryption (HAIPE) oder Commercial Solutions for Classified (CSFC)-basierte Architekturen nutzen.

Versa bietet Versa eine tunnel-lose SD-WAN-Lösung an, die das Netzwerk skalierbarer und bandbreiteneffizienter macht, die Fragmentierung von Paketen eliminiert und für mehr Sicherheit sorgt. Einige der Anwendungsfälle, die zu dieser tunnel-losen Lösung geführt haben, waren Satelliten-, Seefahrts- und Bundesnetzwerke, die NSA High Assurance Internet Protocol Encryption (HAIPE) oder Commercial Solutions for Classified (CSFC)-basierte Architekturen nutzen.

Bei allen tunnellosen Lösungen wird das innere Paket in veränderliche und unveränderliche Felder unterteilt. Abbildung 3 zeigt alle gemeinsamen Felder eines IP-Headers, TCP-Headers und UDP-Headers. Eine Teilmenge der unveränderlichen Felder in einem IP-Header, TCP-Header und UDP-Header, die für die Dauer eines 5-Tupel-Flusses unveränderlich sind, sind in blauer Farbe dargestellt. Alle Lösungen assoziieren eine Form von Cookie, Label, Flow-ID oder ein Paar (Quelle-Port, Ziel-Port) mit den unveränderlichen Feldern.

Dieses Cookie/Label/Flow-ID/Port-Paar wird mindestens einmal mit dem gesamten Nutzdatenpaket von einem sendenden SD-WAN-CPE (SDWAN-CPE1) an einen empfangenden SD-WAN-CPE (SDWAN-CPE2) übertragen. Sobald ein entferntes SDWAN-CPE (z. B. SDWAN-CPE2) die Zuordnung des Senders (z. B. SDWAN-CPE1) gelernt hat und diese an den Sender übermittelt, codiert der Sender (SDWAN-CPE1) seine Flow-ID im SDWAN-Header und überspringt alle unveränderlichen Felder des Nutzdatenpakets im Datenverkehr, der von SDWAN-CPE1 an SDWAN-CPE2 gesendet wird. Bitte beachten Sie, dass innerhalb der Versa ein Sender-SD-WAN-CPE viele andere IP-, TCP- und UDP-Felder des Nutzdatenpakets überspringt, wenn er Datenverkehr an einen Peer-SD-WAN-CPE sendet. Diese werden in diesem Whitepaper nicht beschrieben.

Unveränderliche Kopfzeilenfelder
Unveränderliche Kopfzeilenfelder
Abbildung 3

Ein detaillierter Paketfluss im Fall der Versa ist in Abbildung 4 dargestellt, wo Client5 (C5) über SD-WAN CPE-1 und SD-WAN CPE-2 mit Server7 (S7) kommuniziert.

  1. Schritt-1 zeigt ein Paket von Client5 an Server7 mit Payload1 von C5 an S7.
  2. Nach Erhalt dieses Pakets für einen neuen 5-Tupel-Flow validiert SD-WAN CPE-1 sein Paket, erstellt eine C5-zu-S7-Sitzung, wählt FlowId51 für diesen Flow aus und führt alle umfangreichen Layer3-Layer7-Dienste (ZTNA, SD-WAN, UTM, CASB, SWG, HQoS usw.) aus. Informationen zu allen Diensten werden an Versa gesendet.
  3. Als Nächstes verschlüsselt CPE1, wie in Schritt 3 gezeigt, das von C5 bis S7 empfangene Paket, kodiert seine lokale Flow-ID (CPE1-To-CPE2 FlowId51) im äußeren UDP-Header und sendet das Paket an SD-WAN CPE2 über den besten Underlay-Pfad für die Anwendung, zu der dieses Paket gehört.
  4. Nach Erhalt dieses Pakets von CPE-1 für einen neuen 5-Tupel-Flow erstellt SD-WAN CPE-2 eine Sitzung, speichert die von CPE1 empfangene FlowId51, die es in zukünftigen Paketen verwenden würde, entschlüsselt und validiert das Paket, weist diesem Flow seine eigene FlowId22 zu und führt alle umfangreichen Layer3-Layer7-Dienste (ZTNA, SD-WAN, UTM, CASB, SWG, HQoS usw.). Informationen zu allen Diensten werden an Versa gesendet. Dies wird in Schritt 4 gezeigt.
  5. CPE2 leitet das entschlüsselte Paket von Client5 an Server7 weiter. Dies wird in Schritt 5 gezeigt.
  6. Schritt 6 zeigt die Antwort von Server7 an Client5 mit Payload2.
  7. Beim Empfang dieses S7-nach-C5-Pakets validiert SD-WAN CPE-2 dieses Paket, führt alle reichhaltigen Layer3-Layer7-Dienste (ZTNA, SD-WAN, UTM, CASB, SWG, HQoS usw.) aus, verschlüsselt das von S7-nach-C5 empfangene Paket, kodiert seine lokale Flow-ID (CPE2-To-CPE1 FlowId22) im äußeren UDP-Header und sendet das Paket an SD-WAN CPE1 entlang des besten Underlay-Pfads für die Anwendung, zu der dieses Paket gehört. SD-WAN CPE2 teilt SD-WAN CPE1 auch mit, dass es FlowId51 erfahren hat, die CPE1 für diesen Fluss zugewiesen hat. Dies wird in Schritt 7 gezeigt.
  1. In Schritt 8 aktualisiert SD-WAN CPE1 den Sitzungsstatus mit der Tatsache, dass CPE2 von seiner FlowId51 erfahren hat und bereit ist, Pakete zu empfangen, die mit FlowId51 kodiert sind.
  2. Nachdem alle erforderlichen Dienste für das entschlüsselte Paket ausgeführt wurden, leitet CPE1 das Paket mit der Nutzlast2 von Server7 an Client5 weiter. Dies wird in Schritt 9 gezeigt.
  3. Nach dem Empfang des Pakets mit Payload3 von Client5 an Servier7 (Schritt 10), validiert SD-WAN CPE1 und durchläuft alle Dienste. Als Nächstes erstellt er eine neue Nutzlast, die nur die veränderbaren Felder des Pakets Client5 an Server7 mit Nutzlast3 enthält. Es verschlüsselt diese Nutzlast, kodiert seine lokale Flow-ID (CPE1-To-CPE2 FlowId51) im äußeren UDP-Header und sendet das Paket an SD-WAN CPE2 über den besten Underlay-Pfad für die Anwendung, zu der dieses Paket gehört. SD-WAN CPE1 teilt SD-WAN CPE2 auch mit, dass es die FlowId22 erfahren hat, die CPE2 für diesen Fluss zugewiesen hat. Dies wird in Schritt 11 gezeigt.
  4. In Schritt 12 aktualisiert SD-WAN CPE2 den Sitzungsstatus mit der Tatsache, dass CPE1 von seiner FlowId22 erfahren hat und bereit ist, Pakete zu empfangen, die mit FlowId22 kodiert sind.
  5. Nachdem alle erforderlichen Dienste für das entschlüsselte Paket ausgeführt wurden, leitet CPE2 das Paket mit Nutzdaten3 von Client5 an Server7 weiter. Dies ist in Schritt 13 dargestellt.
  6. Nach dem Empfang des Pakets mit Payload4 von Server7 an Client5 (Schritt 14), validiert SD-WAN CPE2 und durchläuft alle Dienste. Als Nächstes erstellt er eine neue Nutzlast, die nur die veränderbaren Felder des Pakets mit Nutzlast4 von Server7 an Client5 enthält. Es verschlüsselt diese Nutzlast, kodiert seine lokale Flow-ID (CPE2-To-CPE1 FlowId22) im äußeren UDP-Header und sendet das Paket an SD-WAN CPE1 entlang des besten Underlay-Pfads für die Anwendung, zu der dieses Paket gehört. Dies ist in Schritt 15 dargestellt.
  7. Nachdem alle erforderlichen Dienste für das entschlüsselte Paket ausgeführt wurden, leitet CPE1 das Paket mit Nutzdaten4 von Server7 an Client5 weiter. Dies ist in Schritt 16 dargestellt.
Paketfluss
SD-WAN-Paketfluss
Abbildung 4

Bei der tunnel-losen Lösung Versa versa das erste Paket von einem Eingangs-SD-WAN-Knoten zu einem Peer-SD-WAN-Knoten und versa vollständige Informationen, während alle nachfolgenden Pakete aus beiden Richtungen nur die Metadaten zusammen mit der Nutzlast übertragen. So können wir je nach Anwendungsfall größere Nutzlasten unterbringen oder Bandbreite sparen.

Im Vergleich zu bestehenden tunnel-losen Technologien auf dem Markt bietet die innovative tunnel-lose Lösung Versaerhebliche Vorteile, von denen einige im Folgenden aufgeführt sind.

  • Die Versa muss nur einen einzigen Port, „4790“ oder „4500“, innerhalb des SD-WAN-Underlays öffnen, im Gegensatz zu mehreren Ports, die andere Technologien benötigen.
  • Die Versa macht die Sequenznummern empfangener Pakete nicht ungültig und fügt auch keine Metadaten zu TCP-SYN-Paketen hinzu, was für Firewalls und Transitgeräte möglicherweise nicht akzeptabel ist. Daher müssen TCP-Pakete im Gegensatz zu anderen Lösungen nicht in UDP-Pakete umgewandelt werden.
  • Der Versa unterstützt eine sehr umfangreiche Vorlageninfrastruktur, mit der eine Gruppe von Geräten zentral mit ähnlichen Konfigurationen konfiguriert werden kann, die nicht identisch sein müssen. Dadurch müssen Informationen zu Mandanten, Diensten und Sicherheitsrichtlinien nicht als Teil der Metadaten übertragen werden.
  • Die Versa wird durch NAT-Geräte und Firewalls in den zugrunde liegenden Transportnetzwerken nicht beeinträchtigt. Die Versa benötigt keine Keep-Alive-Pakete für einzelne Benutzersitzungen, sodass NAT-Sitzungen nicht ablaufen.
  • Ein Versa (VOS) verwendet eine Variante des Connectivity Fault Management/Y.1731 (CFM: IEEE 802.1ag), um alle möglichen Pfade zu anderen Zweigen zu überwachen, mit denen er direkt kommunizieren muss. Ein Pfad wird durch die Transportadresse auf einem Zweig zu einer Transportadresse auf einem anderen Zweig definiert. VOS verwendet diese Variante von CFM, um eine Datenbank mit Informationen über (Latenz, Jitter, Paketverlust und Roundtrip-Verzögerung) zu anderen SD-WAN-Standorten über verschiedene Zugangsleitungen aufzubauen. Diese SLA-Messung erfolgt pro (Transport-Klassifizierer, Transport-Pfad), wobei Transport-Klassifizierer DSCP und MPLS EXP sind. Da das von einem Underlay-Transportpfad angebotene SLA hauptsächlich von (Transport-Klassifizierer, Transport-Pfad) abhängt, ist die Versa wesentlich skalierbarer als die Durchführung einer aktiven End-to-End-SLA-Messung für einzelne Benutzersitzungen. Versa die passive Überwachung einzelner Sitzungen.
  • Versa unterstützt IETF-konformen Replay-Schutz, Initialisierungsvektor, HMAC und nahezu alle Verschlüsselungsalgorithmen. Die Versa benötigen keinen zeitbasierten HMAC (der eine genaue Synchronisation der Uhren der SD-WAN-CPEs erfordert), um eine Wiederholung von Paketen zu erkennen.
  • Das Tunneln kann für jeden einzelnen Datenfluss zwischen zwei Standorten aktiviert oder deaktiviert werden.
  • Die Verschlüsselung kann für jeden einzelnen Datenfluss aktiviert oder deaktiviert werden.
  • Die Versa unterstützt eine sehr effiziente Umschaltung von Underlay-Transportpfaden und Änderungen an Transportadressen von SD-WAN-CPEs.
  • Versa basiert auf Protokollen und Mechanismen, die seit vielen Jahren in unternehmenskritischen Netzwerken zum Einsatz kommen. Die Versa lässt sich sehr gut an jedes bestehende Netzwerk anpassen und ermöglicht eine schrittweise Migration zu SD-WAN.
  • Diese tunnel-lose SD-WAN-Lösung arbeitet nahtlos und in Verbindung mit den besten und umfassendsten SD-WAN-Funktionen Versa, wie z. B. Anwendungssteuerung basierend auf Layer7-Anwendung, Benutzer, Gruppe, URL-Kategorie, Gerätezustand, Entitätsvertrauenswürdigkeit und anderen Faktoren, vielseitige Traffic-Conditioning-Funktionen unter Verwendung von FEC, Replikation und Stripping, fortschrittliche TCP-Überlastungskontrollalgorithmen wie BBR, Hybla, RACK, Tail-Loss Probes und SACK sowie SD-WAN Traffic Engineering Link State.
 
 

Abschnitt 4: Interoperabilität mit anderen tunnellosen SD-WAN-Lösungen

SD-WAN schafft ein virtuelles privates Netzwerk, das transportunabhängig und anwendungsorientiert ist und eine zentrale Verwaltung und Bereitstellung unterstützt. Es ist wichtig, dass sich eine SD-WAN-Lösung problemlos in ein Brownfield-Netzwerk einfügen lässt und eine schrittweise Migration vom bestehenden MPLS- oder DMVPN-Netzwerk zum SD-WAN-Netzwerk ermöglicht.

Wie oben erläutert, wird bei allen Lösungen ohne Tunnel das innere Paket in veränderliche und unveränderliche Felder unterteilt. Alle Lösungen assoziieren mit den unveränderlichen Feldern eine Form von Cookie, Label, Flow-ID oder ein Paar (Quelle-Port, Ziel-Port). Dieses Cookie/Label/Flow-ID/Port-Paar wird mindestens einmal mit dem gesamten Nutzdatenpaket von einem sendenden SD-WAN-CPE (SDWAN-CPE1) zu einem empfangenden SD-WAN-CPE (SDWAN-CPE2) übermittelt. Sobald ein entferntes SDWAN-CPE (z. B. SDWAN-CPE2) das Mapping des Absenders (z. B. SDWAN-CPE1) kennt und es dem Absender mitteilt, kodiert der Absender (SDWAN-CPE1) seine Flow-ID im SDWAN-Header und überspringt alle unveränderlichen Felder des Nutzlastpakets im Verkehr, der von SDWAN-CPE1 an SDWAN-CPE2 gesendet wird.

Aufgrund der unterschiedlichen Methoden (Flow-IDs, Kombination von äußerem Quell- und Zielport), die die verschiedenen Anbieter für die Verschlüsselung der unveränderlichen Daten gewählt haben, können sie nur an den Grenzen (NNI: Network to Network Interface) der SDWAN-Netze der verschiedenen Anbieter zusammenarbeiten. Dies ist unter anderem deshalb der Fall, weil die Schlüsselverwaltung, die Kodierung von Paketen, die Ver-/Entschlüsselung, die Steuerungsebene (Weiterleitung von Routen), die Verwaltungsebene (Konfiguration und Überwachung) und die Sichtbarkeitsebene (Big-Data-Analyse) bei allen Anbietern sehr unterschiedlich sind.

Zwei Anbieter können unter Verwendung von IETF-basierten Protokollen wie E-BGP, IKE-basiertem IPsec und TWAMP interoperieren. Zwei Anbieter können auch die Fähigkeit zur Dekodierung und Kodierung der Formate der Datenebene des jeweils anderen Anbieters hinzufügen.

 
 

Abschnitt 5: Versa für klassifizierte Lösungen

Abbildung 5 beschreibt, wie Versa ihre umfassenden SD-WAN- und ZTNA-Funktionen in Bundesnetzwerken bereitstellt, die NSA High Assurance Internet Protocol Encryption (HAIPE) oder Commercial Solutions for Classified (CSfC)-basierte Architekturen nutzen. Solche Bereitstellungen bestehen in der Regel aus mehreren Schichten, wobei ein schwarzes Netzwerk, das aus mehreren SATCOM-, MPLS-, Mobilfunk- (4G/5G) und anderen Underlays besteht, den Transport zum roten Netzwerk übernimmt.

Versa für klassifizierte Lösungen
Abbildung 5
  1. CPE 2-1 und CPE 2-5 sind Versa CPEs an den Rändern des amorphen und allgegenwärtigen Black Fabric. Diese CPEs bieten umfassende SD-WAN- und SD-Sicherheitsfunktionen. In dem gezeigten Beispiel verfügt das Black Fabric über drei Underlay-Netzwerke: SatCom-Meo, SatCom-Geo und Private MPLS.
  2. CPE 1-1 und CPE 1-5 sind Versa an den Rändern von red-site-1 und red-site-2. Diese SD-WAN-CPEs bieten außerdem umfassende SD-WAN- und SD-Sicherheitsfunktionen. Diese CPEs können entweder streng geheime Daten oder nicht missionskritische Daten empfangen. Der Datenverkehr, der die roten Standorte verlässt, wird in der Regel durch HAIPEs verschlüsselt.
  3. Ein Laptop mit der Adresse 10.1.12.100 bei red-site-1 auf der linken Seite des Abbildung 5 möchte streng geheime, unternehmenskritische Informationen an einen Endpunkt mit der IP-Adresse 10.50.22.100 am Standort red-site-2 übermitteln, wie in Schritt 1 der Abbildung dargestellt. Basierend auf der Benutzerkonfiguration würde SD-WAN CPE-1-1 beim Empfang dieses Datenverkehrs wie folgt vorgehen.
    • Klassifizierung des Pakets auf der Grundlage von Anwendung, URL-Kategorie, Benutzer, Gruppe, Gerätestatus, Entity Confidence Score, Sicherheitsgruppen-Tag und beliebigen Feldern der Schichten 3-7 des empfangenen Pakets(Klassifizierungsinformationen).
    • Der DiffServ-Codepunkt des Pakets, das SD-WAN CPE-1-1 von seiner WAN-Schnittstelle (mit der IP-Adresse 192.168.11.101) verlässt, würde entweder durch eine Zuordnungstabelle, die die Klassifizierungsinformationen verwendet, oder durch Kopieren des DSCP des empfangenen Pakets oder eine Kombination aus beidem bestimmt. Auf diese Weise würden aufgabenkritische und nicht aufgabenkritische Datenströme mit den entsprechenden DSCPs verknüpft werden. Dies ist in Schritt 2 dargestellt.
    • Verknüpfen Sie eine Fluss-ID mit diesem Fluss.
    • Verschlüsseln oder nicht verschlüsseln Sie diesen Fluss.
    • Anschließend wird der beste Underlay-Transport auf der Grundlage von SD-WAN-Verkehrslenkungsrichtlinien ausgewählt, die den Anwendungstyp und das von den verschiedenen Underlay-Pfaden angebotene SLA berücksichtigen.
    • Das Paket durchläuft dann "Scheduling und Shaping" und wird an den nächsten Hop weitergeleitet, der zum besten Underlay gehört. Dies wird durch Schritt 3 in der Abbildung veranschaulicht.
  4. Beim Empfang dieses Datenverkehrs könnte HAIPE1 entscheiden, diesen Datenverkehr zu verschlüsseln. HAIPE1 könnte so konfiguriert werden, dass der DSCP des empfangenen Pakets in den äußeren Header kopiert wird, den HAIPE1 dann hinzufügt. Dies ist in Schritt 4 dargestellt. Dann würde HAIPE1, wie in Schritt 5 gezeigt, das Paket mit einem äußeren Header einkapseln und es an CPE 2-1 weiterleiten.
  5. Beim Empfang dieses Pakets würde der SD-WAN CPE 2-1 am Rande des schwarzen Netzes Folgendes tun:
    • Zuordnen einer geeigneten Flow-ID
  • Wie in Schritt 6 von Abbildung 5CPE 2-1 bestimmt das geeignete Underlay auf der Grundlage der konfigurierten SD-WAN-Verkehrslenkungsregeln, die von den folgenden Faktoren abhängen.
    • Die Quell-IP (IP-Adresse 172.16.1.1 der Quell-HAIPE), die Ziel-IP-Adresse (die IP-Adresse 172.16.5.5 der Ziel-HAIPE) und der DSCP des empfangenen Pakets.
    • Konfigurierte Präferenz für die verschiedenen Underlay-Netze für diese Klasse des Verkehrs
    • Das Echtzeit-SLA, das in den verschiedenen unterlagerten Netzen (MPLS, Satcom-Meo, SatCom-Geo in diesem Beispiel) beobachtet wird.
  • Konditionierung des Datenverkehrs durch eine Kombination aus Vorwärtsfehlerkorrektur und Paketreplikation, je nach dem von den unterlagerten Transporten angebotenen SLA.
  • Ermöglicht bei Bedarf das Strippen von Paketen.
  • Wendet bei unverschlüsseltem TCP-Verkehr fortschrittliche Überlastungsschutzalgorithmen wie BBR und Hybla an.
  • Das Paket durchläuft dann "Scheduling und Shaping" und wird unter Verwendung des besten Underlay an das entfernte SD-WAN CPE 2-5 weitergeleitet. Dies wird durch Schritt 7 in der Abbildung dargestellt.
  1. SD-WAN CPE 2-5 am Rande des schwarzen Netzes würde Folgendes tun:
    • Entfernt den SD-WAN-Header.
    • Stellt das Paket von HAIPE1 nach HAIPE2 wieder her.
    • Führt alle erforderlichen Datenflussverarbeitungen und Korrekturen durch, wenn FEC und Paketreplikation aktiviert wurden.
    • Leitet den Datenverkehr an HAIPE2 weiter, wie in Schritt 8 von Abbildung 5 dargestellt.
  2. HAIPE2 würde den Datenverkehr entschlüsseln und an SD-WAN CPE 1-5 am Rande des roten Standorts 2 weiterleiten, wie in Schritt 9 gezeigt.
  3. SD-WAN CPE 1-5 am Rande der roten Site-2 würde Folgendes tun:
    • Entfernen Sie den SD-WAN-Header.
    • Wiederherstellung des Pakets von Endpunkt-1 nach Endpunkt-2
    • Führen Sie alle erforderlichen Flussverarbeitungen und Korrekturen durch, wenn FEC und Paketreplikation aktiviert wurden.
    • Leiten Sie den Datenverkehr wie in Schritt 10 von Abbildung 5 gezeigt zum Endpunkt-2.

Nicht unternehmenskritische Pakete, z. B. von 192.168.2.2 am Standort 1 nach 192.168.6.6 am Standort 2, werden auf der Grundlage der Verkehrslenkungs- und Verkehrsaufbereitungskonfiguration ebenfalls entsprechend gelenkt.

 
 

Abschnitt 6: Versa und Versa

Der Versa Time Monitor liefert Echtzeitinformationen zu allen Netzwerk-, SD-WAN- und Sicherheitsdiensten, die auf jedem Versa konfiguriert sind. Außerdem liefert er Informationen zum Zustand (CPU, Speicher, Bandbreite auf jeder der Schnittstellen, Auslastung) der VOS-Instanzen.

Versa ist eine Big-Data-Lösung, die Protokolle und Ereignisse analysiert und Versa leistungsstarke Berichte, Analysen und Rückmeldungen liefert. Sie lässt sich nativ in Datenberichts- und SIEM-Produkte von Drittanbietern wie HP ArcSight, Splunk, IBM QRadar, LogRhythm und Elastic Search integrieren. VOS™s an Zweigstellen liefern kontinuierlich Versa zu Verbindungen, Netzwerkpfaden, Sicherheitsereignissen, Diensten, Anwendungen usw. Darüber hinaus generieren alle Dienste auf dem VOS™, wie z. B. die Firewall der nächsten Generation, IDS/IPS, URL-Filterung, CASB, SWG, DLP, RBI, UEBA, DNS-Proxy und andere Module, Flow-Level- und aggregierte Protokollmeldungen, die von der Versa -Plattform verarbeitet werden.

All diese Informationen können für Funktionen wie Kapazitätsplanung und Sicherheitsforensik genutzt werden. Abbildung 6, Abbildung 7, Abbildung 8 und Abbildung 9 zeigen einige Beispiele für Informationen, die mit Versa verfügbar sind.

Versa sendet diese Protokolle über einen KAFKA-Bus an Versa . Versa kann anomale Ereignisse aller Entitäten wie Benutzer, Laptops, Telefone, IoT-Geräte und mehr verfolgen und markieren. Wenn ein Benutzer oder ein IoT-Gerät anomales Verhalten zeigt, wird sein Entity Confidence Score (ECS) herabgestuft. Dieser ECS wird in verschiedenen Arten von Richtlinien verwendet, z. B. in der Sicherheitszugriffskontrollrichtlinie und der Verkehrsüberwachungsrichtlinie. Wenn sich der ECS einer Entität verschlechtert, wird dies über den Versa Service an alle Abonnenten (z. B. Versa Gateways) weitergegeben. Die Versa Gateways können bei einer Verschlechterung des ECS sofortige Abhilfemaßnahmen ergreifen.

Versa Beispielbildschirm 1
Abbildung 6
Versa Beispielbildschirm 2
Abbildung 7
Versa Beispielbildschirm 3
Abbildung 8
Versa Beispielbildschirm 4
Abbildung 9
 
 

Abschnitt 7: Zusammenfassung

Die Versa , ZTNA- und Secure Services Edge-Lösung bietet ein sicheres, traffic-gesteuertes globales SD-WAN- und SASE , das Benutzern und IoT-Geräten unabhängig von ihrem Standort und dem Standort der Anwendungen, auch unter DDIL- und widrigen Bedingungen, das beste Anwendungserlebnis bietet. Die Versa eignet sich sehr gut für Satelliten-, Seefahrts- und Bundesnetzwerke, die NSA High Assurance Internet Protocol Encryption (HAIPE) oder Commercial Solutions for Classified (CSfC)-basierte Architekturen nutzen.

Versa