SD-WAN und Secure Service Edge für DoD- und Ultra-Secure-Einsätze

Versa Networks ist ein Marktführer in den Bereichen SD-WAN, SD-Security und SASE mit über 120 Service-Provider-Partnern weltweit. In den Vereinigten Staaten (USA) zählen Verizon, Lumen und Comcast zu den größten Partnern von Versa. Versa verfügt über die größte Anzahl an globalen SD-WAN-Implementierungen. Die Lösungen von Versa sind für die Vernetzung und Sicherheit zahlreicher globaler unternehmenskritischer Netzwerke in den Bereichen Finanzwesen, Banken, Energie, Satellitentechnik, Schifffahrt, Einzelhandel, Gesundheitswesen und anderen Branchen verantwortlich, in denen die beste Leistung zwischen Benutzer und Anwendung bei allen Arten von Ausfällen und die Sicherheit im Vordergrund stehen.

Lesen Sie das Whitepaper hier oder die PDF-Datei herunterladen.

 
 

Abstrakt

In diesem Whitepaper wird beschrieben, wie die Versa SD-WAN-, ZTNA- und SASE sehr gut für Satelliten-, See- und Bundesnetzwerke geeignet sind, die unter ungünstigen und DDIL-Bedingungen (Denied, Disrupted, Intermittent und Limited) betrieben werden und häufig die High Assurance Internet Protocol Encryption (HAIPE) der NSA oder auf CSfC (Commercial Solutions for Classified) basierende Architekturen nutzen.

Abschnitt 1: Gartner hat Versa in den oberen rechten Bereich des SD-WAN Magic Quadrant (MQ) aufgenommen.

Der Gartner MQ-Bericht enthielt zwei Unterkategorien, in denen Versa Platz 1 belegte:

  1. Kritische Fähigkeiten
  2. Große, komplexe globale Netze. Gartner hat auch einen Bericht über Unternehmen mit den meisten SASE erstellt. Versa steht an der Spitze des Gartner-Berichts zu SASE und liefert 13 von 15 von Gartner identifizierten Technologien.

NSS Labs hat Versa SD-WAN, NGFW (Next Generation Firewall) und NGIPS (Next Generation Intrusion Prevention System) getestet. Die Wirksamkeit des Produkts beim Stoppen von Angriffen war sehr hoch, während die Kosten für die gesicherten Mbit/s die niedrigsten unter den OEMs waren.

Versa hat seine nativen SD-WAN-, SD-Security- und Multi-Cloud-Funktionen kombiniert, um eine zusammenhängende und umfassende SASE und Multi-Cloud-Lösung bereitzustellen.

Einige der Hauptunterscheidungsmerkmale zwischen Versa und anderen Lösungen sind:

  • Integration von SD-WAN, SD-Security und Multi-Cloud in eine einzige Plattform.
  • Ein einziger Verwaltungsbereich für SD-WAN, SD-Security und Multi-Cloud.
  • Vereinheitlichte Richtlinienverwaltung - Ein Software-Stack (VOS) für vor Ort, SASE Cloud und Edge.
  • Schutz vor Bedrohungen auf der Grundlage mehrerer Verteidigungssysteme und Abhilfemaßnahmen nahezu in Echtzeit.
  • Zero Trust Network Access auf der Basis von Benutzer, Gruppe, Gerätestatus, Anwendung, Inhalt, Geo-Standort, Entity Confidence Score, Security Tag der Quelle und vielen weiteren Faktoren.
  • Unterstützung für Secure Private Access, Secure Web Gateway (SWG), Cloud Access Security Broker Services, Data Loss Prevention (DLP), Remote Browser Isolation (RBI), User Entity Behaviour Analytics, Security based on AI/ML, Dynamic Analysis of Malware using Sandboxing und Next-Generation Unified Threat Management.
  • VANI (AIOps) für Anomalieerkennung, Verkehrsprognose, Ereigniskorrelation und Chatbot (Verbo).
  • Optimale Verkehrslenkung und SaaS-Beschleunigung mit Versa Traffic Engineered (TELS: Traffic Engineering Link State) SASE .
  • Dynamische Instanziierung von Tenants und virtuellen Gateways - elastische automatische Skalierung und Netzwerkintelligenz zur Erfüllung von Kapazitätsanforderungen in Echtzeit.
  • SD-WAN Lite für SASE und Router von Drittanbietern.
  • Single-Pass-Architektur - unvergleichliche Leistung in großem Maßstab.
  • Hierarchische Multi-Tenancy und granulare rollenbasierte Zugriffskontrolle (RBAC).
  • Vielseitige Dienstverkettung von virtuellen Netzwerkfunktionen (VNFs) und physischen Netzwerkfunktionen (PNFs).
  • Unterstützung für Big Data-Analysen.
  • Integration mit mehreren Quellen für Sicherheitsinformationen, einschließlich Cyber Situational Awareness (SA) Tools für eine schnelle globale Verbreitung und Durchsetzung in Echtzeit.

Abbildung 2 zeigt ein periodisches Diagramm der Routing-, SD-WAN- und Secure Services-Edge-Funktionen, die Versa unterstützt. Mit diesen Funktionen ermöglicht Versa seinen Kunden die folgenden Möglichkeiten:

  • Stellen Sie ein sicheres, für den Datenverkehr konzipiertes globales SD-WAN- und SASE bereit, das Anwendern und IoT-Geräten unabhängig von ihrem Standort und dem Standort der Anwendungen das beste Anwendungserlebnis bieten kann. Dies ist dargestellt in Abbildung 1.
  • Zero Trust Network Access auf der Grundlage von Benutzer, Gruppe, Gerätestatus, Anwendung, Inhalt, Geo-Standort, Entity Confidence Score, Security Tag in Verbindung mit der Quelle, allen Layer3- bis Layer7-Feldern des Pakets und der Tageszeit.
  • Schutz vor Bedrohungen auf der Grundlage mehrerer Verteidigungssysteme und Abhilfemaßnahmen nahezu in Echtzeit.
Versa Secure Access Service Edge Fabric
Abbildung 1
Versa VOS - Marktführendes SASE (SD-WAN + Security Service Edge) Funktionspaket
Abbildung 2
 

Abschnitt 2: Merkmale, Verwendung und Unterscheidungsmerkmale

Aufgebaut mit IETF-Standard-basierten Protokollen: Basierend auf BGP/MPLS VPN und Ethernet VPN, mit der Verwendung eines privaten SAFI (Sub Address Family Identifier) zur Übertragung von SD-WAN-bezogenen Informationen wie z. B.:

  • Schlüsselverwaltung
  • Zugriff auf Zustand und Status des Stromkreises
  • NAT-bezogene Informationen
  • Informationen über SLA zu kritischen Anwendungen

Schlüsselverwaltung und Zertifikatsverwaltung

  • Echte Emulation von IKE ohne Verwendung von IKE.
  • Das Geheimnis einer Zweigstelle wird nie auf dem Drahtweg übermittelt und kann alle vier Minuten gewechselt werden.
  • Zwischen jedem Paar von Zweigen wird algorithmisch ein eindeutiges gemeinsames Geheimnis abgeleitet.
  • Erweiterte Funktionen zur Zertifikatsverwaltung.
  • Unterstützung für OCSP, CMPv2, SCEP und ACME
  • Unterstützung für die externe Schlüsselverwaltung mit dem Key Management Interoperability Protocol (KMIP ) für Einsätze, die vom Mieter/Kunden generierte Schlüssel erfordern.

Einsatzmöglichkeit in DDIL-Umgebungen (Denied, Disrupted, Intermittent und Limited)

  • Drei VM-Images - Die Mindestanzahl von Images für einen vollständig getrennten Betrieb beträgt drei. Alle Aktualisierungen von Sicherheits-Images werden in einer vollständig getrennten Umgebung unterstützt.
  • Die Lizenz wird zentral von Versa Director verwaltet. Versa Director ist eines der drei Abbilder, in die die Lizenz geladen wird, und erfordert keine Verbindung zum oder über das Internet.
  • Versa Analytics ist eine der Abbildungen. Es bietet Betreibern einen umfassenden Überblick über Sicherheit, Konnektivität und Leistung.
  • Single Pane of Management sowie zentralisierte Bereitstellung, Verwaltung, Überwachung, Sichtbarkeit und Big Data Analytics für alle SASE (SD-WAN, SSE) und Multi-Cloud.
  • Die am weitesten verbreitete SD-WAN-Lösung bei satellitengestützten Dienstanbietern, in der Schifffahrt und im Seeverkehr. Unterstützung für bis zu 14 Underlay-Transportdomänen pro Knoten. Es kann gleichzeitig mehrere Underlays wie SATCOM (LEO, MEO, GEO), Private MPLS, LTE/5G, terrestrische Glasfaser, Breitband und andere unterstützen.

Vielseitige Verkehrssteuerung, Verkehrsaufbereitung und erweiterte TCP-Optimierung

  • Verkehrslenkung auf der Grundlage beliebiger Layer3-Layer7-Felder des Pakets, der Layer7-Anwendung, der URL-Kategorie, des Benutzers, der Gruppe, des Gerätezustands, des Entity Confidence Score, der Geo-Location, des mit der Quelle verbundenen Security Tags, der Tageszeit und anderer Faktoren.

    • Tunnellos auf einer Pro-Flow-Basis. Versa kann SD-WAN ohne Tunnel unterstützen, wo und wann immer dies erforderlich ist. Bitte lesen Sie den Abschnitt "Versa's Tunnel-Less SD-WAN Solution".
    • Die Verschlüsselung kann für jeden einzelnen Datenfluss aktiviert oder deaktiviert werden.
  • Die Versa-Lösung ist sehr gut geeignet und bietet die beste Anwendungserfahrung für Satelliten-, See- und Bundesnetzwerke, die NSA High Assurance Internet Protocol Encryption(HAIPE) oder auf kommerziellen Lösungen für Verschlusssachen(CSfC) basierende Architekturen nutzen, die DDIL und widrigen Bedingungen ausgesetzt sein können. Bitte beachten Sie den Abschnitt "Versa SD-WAN für klassifizierte Lösungen".
  • Die Verkehrssteuerung basiert auf der Sichtbarkeit dynamischer Ende-zu-Ende-Pfadeigenschaften wie Paketverlust, Latenz und Jitter. Diese Funktion bietet genauere und stabilere End-to-End-Anwendungs-SLAs. Alle anderen Anbieter wählen den besten Pfad auf der Grundlage von SLAs zum unmittelbar nächsten Hop. Nur Versa kann den Datenverkehr auf der Grundlage von End-to-End-Pfadmetriken lenken.
  • Verkehrskonditionierung mit FEC, Replikation und anderen Maßnahmen, die alle automatisch ausgelöst werden, wenn sich das SLA verschlechtert, und gestoppt werden, wenn sich das SLA verbessert. Diese Funktionen sind für alle Verkehrsarten und nicht nur für Sprache und Video verfügbar.
  • Unterstützung fortschrittlicher TCP-Optimierungs- und Staukontrollalgorithmen wie BBR, Hybla, SACK, Recent Acknowledgement.

Umfassende QoS-Funktionen Die Versa-Lösung unterstützt sehr umfassende QoS- (Layer3-QoS-Policy, AppQoS Policy, Policer, Marking, HQoS mit 4K Shapern und 64.000 Warteschlangen) und SD-WAN-Traffic-Steering-Funktionen. Auf der Grundlage der Layer3-Layer7-Felder im empfangenen Datenverkehr, einschließlich Anwendung, URL-Kategorie und Gerätestatus, werden eine Weiterleitungsklasse (FC) und eine Paketverlustpriorität (PLP) mit einem Datenfluss verknüpft. Mit der FC und PLP wird der Verkehr innerhalb einer VOS-Plattform priorisiert und geplant. Darüber hinaus werden innere und äußere Header umgeschrieben und das Egress-Shaping auf der Grundlage der FC und PLP durchgeführt. Daher wird der Missionsverkehr gegenüber weniger kritischem Verkehr sowohl innerhalb einer Versa-Appliance als auch bei der Übertragung priorisiert.

Sehr gut geeignet für den Aufbau von Brownfield-Netzwerken.

  • Unterstützung aller wichtigen Layer2- und Layer3-Protokolle (IPv4 und IPv6).
  • Unterstützung für IPv4, IPv6 und Dual-Stack für VRFs, sowie Underlay-Transport.

Unterstützung für komplexe Topologien wie Full Mesh, Hub und Spoke, Partial Mesh, Spoke-Hub-Hub-Spoke, Hub-Controller, Controller hinter dem Hub und viele mehr.

Sehr umfangreiche Vorlageninfrastruktur: Versa unterstützt eine sehr umfangreiche Vorlageninfrastruktur, die eine Hierarchie von Vorlagen unterstützt. Mithilfe dieser Vorlagenhierarchie können globale Richtlinien definiert werden, wobei spezifische Richtlinien einen höheren Vorrang haben. Dies macht die gesamte Konfigurationsverwaltung einfach und effizient.

Eine Gerätegruppe ist eine Sammlung von Geräten mit ähnlichen, aber nicht identischen Konfigurationen. Eine Gerätegruppe ist in der Regel mit einer Gerätevorlage und einer Reihe von Dienstvorlagen unterschiedlicher Typen verbunden, z. B. Sicherheitsdienstvorlage, Anwendungssteuerungsdienstvorlage, QoS-Dienstvorlage, allgemeine Dienstvorlage und andere. Eine Gerätegruppe kann mit mehreren Sicherheitsdienstvorlagen verknüpft sein, die in einer vom Betreiber festgelegten Reihenfolge angewendet werden. Außerdem kann es gerätespezifische Sicherheitsdienstvorlagen geben.

CGNAT für v4 und v6 NAPT-44, DNAT-44, Dynamic NAT-44, Basic-NAT-44, Twice Basic NAT-44, NPT66, NAT64, MAP-E

Mehrere Optionen für Zero Touch Provisioning.

Universelles CPE zur Aufnahme mehrerer VNFs. Service Chaining gehosteter VNFs und externer physischer PNFs.

 
 

Abschnitt 3: Versa's tunnellose SD-WAN-Lösung

Versa bietet auch eine SD-WAN-Lösung ohne Tunnel an, die das Netzwerk skalierbarer und bandbreiteneffizienter macht, die Fragmentierung von Paketen verhindert und die Sicherheit verbessert. Einige der Anwendungsfälle, die für diese tunnellose Lösung ausschlaggebend waren, waren Satelliten-, Schifffahrts- und Bundesnetzwerke, die NSA High Assurance Internet Protocol Encryption (HAIPE) oder Commercial Solutions for Classified (CSFC)-basierte Architekturen nutzen.

Versa bietet auch eine SD-WAN-Lösung ohne Tunnel an, die das Netzwerk skalierbarer und bandbreiteneffizienter macht, die Fragmentierung von Paketen verhindert und die Sicherheit verbessert. Einige der Anwendungsfälle, die für diese tunnellose Lösung ausschlaggebend waren, waren Satelliten-, Schifffahrts- und Bundesnetzwerke, die NSA High Assurance Internet Protocol Encryption (HAIPE) oder Commercial Solutions for Classified (CSFC)-basierte Architekturen nutzen.

Bei allen tunnellosen Lösungen wird das innere Paket in veränderliche und unveränderliche Felder unterteilt. Abbildung 3 zeigt alle gemeinsamen Felder eines IP-Headers, TCP-Headers und UDP-Headers. Eine Teilmenge der unveränderlichen Felder in einem IP-Header, TCP-Header und UDP-Header, die für die Dauer eines 5-Tupel-Flusses unveränderlich sind, sind in blauer Farbe dargestellt. Alle Lösungen assoziieren eine Form von Cookie, Label, Flow-ID oder ein Paar (Quelle-Port, Ziel-Port) mit den unveränderlichen Feldern.

Dieses Cookie/Label/Flow-id/Port-Paar wird mit dem gesamten Nutzdatenpaket von einem sendenden SD-WAN-CPE (SDWAN-CPE1) an ein empfangendes SD-WAN-CPE (SDWAN-CPE2) mindestens einmal übermittelt. Sobald ein entferntes SDWAN-CPE (z. B. SDWAN-CPE2) das Mapping des Absenders (z. B. SDWAN-CPE1) gelernt hat und es dem Absender mitteilt, kodiert der Absender (SDWAN-CPE1) seine Flow-ID im SDWAN-Header und überspringt alle unveränderlichen Felder des Nutzdatenpakets im Verkehr, der von SDWAN-CPE1 an SDWAN-CPE2 gesendet wird. Bitte beachten Sie, dass innerhalb der Versa Tunnel-less-Lösung ein sendendes SD-WAN-CPE viele andere IP-, TCP- und UDP-Felder des Nutzdatenpakets überspringt, wenn es Datenverkehr an ein Peer-SD-WAN-CPE sendet. Diese werden in diesem Whitepaper nicht beschrieben.

Unveränderliche Kopfzeilenfelder
Unveränderliche Kopfzeilenfelder
Abbildung 3

Ein detaillierter Paketfluss im Falle der Versa Tunnel-less-Lösung wird in Abbildung 4 beschrieben, wo Client5 (C5) mit Server7 (S7) über SD-WAN CPE-1 und SD-WAN CPE-2 kommuniziert.

  1. Schritt-1 zeigt ein Paket von Client5 an Server7 mit Payload1 von C5 an S7.
  2. Beim Empfang dieses Pakets für einen neuen 5-Tupel-Fluss validiert SD-WAN CPE-1 sein Paket, erstellt eine C5-zu-S7-Sitzung, wählt FlowId51 für diesen Fluss und führt alle umfangreichen Layer3-Layer7-Dienste aus (ZTNA, SD-WAN, UTM, CASB, SWG, HQoS usw.). Die Informationen zu allen Diensten werden an Versa Analytics gesendet.
  3. Als Nächstes verschlüsselt CPE1, wie in Schritt 3 gezeigt, das von C5 bis S7 empfangene Paket, kodiert seine lokale Flow-ID (CPE1-To-CPE2 FlowId51) im äußeren UDP-Header und sendet das Paket an SD-WAN CPE2 über den besten Underlay-Pfad für die Anwendung, zu der dieses Paket gehört.
  4. Beim Empfang dieses Pakets von CPE-1 für einen neuen 5-Tupel-Fluss erstellt SD-WAN CPE-2 eine Sitzung, speichert die FlowId51, die es von CPE1 erhalten hat und die es in künftigen Paketen verwenden würde, entschlüsselt und validiert das Paket, weist seine eigene FlowId22 für diesen Fluss zu und führt alle umfangreichen Layer3-Layer7-Dienste aus (ZTNA, SD-WAN, UTM, CASB, SWG, HQoS usw.). Die Informationen zu allen Diensten werden an Versa Analytics gesendet. Dies wird in Schritt 4 gezeigt.
  5. CPE2 leitet das entschlüsselte Paket von Client5 an Server7 weiter. Dies wird in Schritt 5 gezeigt.
  6. Schritt 6 zeigt die Antwort von Server7 an Client5 mit Payload2.
  7. Beim Empfang dieses S7-nach-C5-Pakets validiert SD-WAN CPE-2 dieses Paket, führt alle reichhaltigen Layer3-Layer7-Dienste (ZTNA, SD-WAN, UTM, CASB, SWG, HQoS usw.) aus, verschlüsselt das von S7-nach-C5 empfangene Paket, kodiert seine lokale Flow-ID (CPE2-To-CPE1 FlowId22) im äußeren UDP-Header und sendet das Paket an SD-WAN CPE1 entlang des besten Underlay-Pfads für die Anwendung, zu der dieses Paket gehört. SD-WAN CPE2 teilt SD-WAN CPE1 auch mit, dass es FlowId51 erfahren hat, die CPE1 für diesen Fluss zugewiesen hat. Dies wird in Schritt 7 gezeigt.
  1. In Schritt 8 aktualisiert SD-WAN CPE1 den Sitzungsstatus mit der Tatsache, dass CPE2 von seiner FlowId51 erfahren hat und bereit ist, Pakete zu empfangen, die mit FlowId51 kodiert sind.
  2. Nachdem alle erforderlichen Dienste für das entschlüsselte Paket ausgeführt wurden, leitet CPE1 das Paket mit der Nutzlast2 von Server7 an Client5 weiter. Dies wird in Schritt 9 gezeigt.
  3. Nach dem Empfang des Pakets mit Payload3 von Client5 an Servier7 (Schritt 10), validiert SD-WAN CPE1 und durchläuft alle Dienste. Als Nächstes erstellt er eine neue Nutzlast, die nur die veränderbaren Felder des Pakets Client5 an Server7 mit Nutzlast3 enthält. Es verschlüsselt diese Nutzlast, kodiert seine lokale Flow-ID (CPE1-To-CPE2 FlowId51) im äußeren UDP-Header und sendet das Paket an SD-WAN CPE2 über den besten Underlay-Pfad für die Anwendung, zu der dieses Paket gehört. SD-WAN CPE1 teilt SD-WAN CPE2 auch mit, dass es die FlowId22 erfahren hat, die CPE2 für diesen Fluss zugewiesen hat. Dies wird in Schritt 11 gezeigt.
  4. In Schritt 12 aktualisiert SD-WAN CPE2 den Sitzungsstatus mit der Tatsache, dass CPE1 von seiner FlowId22 erfahren hat und bereit ist, Pakete zu empfangen, die mit FlowId22 kodiert sind.
  5. Nachdem alle erforderlichen Dienste für das entschlüsselte Paket ausgeführt wurden, leitet CPE2 das Paket mit Nutzdaten3 von Client5 an Server7 weiter. Dies ist in Schritt 13 dargestellt.
  6. Nach dem Empfang des Pakets mit Payload4 von Server7 an Client5 (Schritt 14), validiert SD-WAN CPE2 und durchläuft alle Dienste. Als Nächstes erstellt er eine neue Nutzlast, die nur die veränderbaren Felder des Pakets mit Nutzlast4 von Server7 an Client5 enthält. Es verschlüsselt diese Nutzlast, kodiert seine lokale Flow-ID (CPE2-To-CPE1 FlowId22) im äußeren UDP-Header und sendet das Paket an SD-WAN CPE1 entlang des besten Underlay-Pfads für die Anwendung, zu der dieses Paket gehört. Dies ist in Schritt 15 dargestellt.
  7. Nachdem alle erforderlichen Dienste für das entschlüsselte Paket ausgeführt wurden, leitet CPE1 das Paket mit Nutzdaten4 von Server7 an Client5 weiter. Dies ist in Schritt 16 dargestellt.
Paketfluss
SD-WAN-Paketfluss
Abbildung 4

Bei der tunnellosen Lösung von Versa enthält das erste Paket von einem Ingress-SD-WAN-Knoten zu einem Peer-SD-WAN-Knoten und umgekehrt vollständige Informationen, während alle nachfolgenden Pakete aus beiden Richtungen nur die Metadaten zusammen mit der Nutzlast transportieren, so dass wir je nach Anwendungsfall größere Nutzlasten unterbringen oder Bandbreite sparen können.

Im Vergleich zu den auf dem Markt befindlichen tunnellosen Technologien bietet die innovative Tunnel-Less-Lösung von Versa erhebliche Vorteile, von denen einige nachfolgend aufgeführt sind.

  • Die Versa-Lösung muss nur einen einzigen Port, "4790" oder "4500", innerhalb des SD-WAN-Underlay öffnen, im Gegensatz zu mehreren Ports, die andere Technologien benötigen.
  • Die Versa Tunnel-less-Lösung macht weder die Sequenznummern der empfangenen Pakete ungültig, noch fügt sie den TCP SYN-Paketen irgendwelche Metadaten hinzu, die von Firewalls und Transitgeräten möglicherweise nicht akzeptiert werden. Im Gegensatz zu anderen Lösungen müssen TCP-Pakete daher nicht in UDP-Pakete umgewandelt werden.
  • Der Versa Orchestrator unterstützt eine sehr umfangreiche Vorlageninfrastruktur, mit der eine Gruppe von Geräten zentral mit ähnlichen Konfigurationen, die nicht identisch sein müssen, konfiguriert werden kann. Infolgedessen müssen Informationen zu Mandanten, Diensten und Sicherheitsrichtlinien nicht als Teil von Metadaten mitgeführt werden.
  • Die Versa Tunnellose Lösung wird durch das Vorhandensein von NAT-Geräten und Firewalls in den Underlay-Transportnetzen nicht beeinträchtigt. Die Versa-Lösung erfordert keine Keep-Alive-Pakete für einzelne Benutzersitzungen, so dass NAT-Sitzungen nicht ablaufen.
  • Eine Versa Branch (VOS) verwendet eine Variante von Connectivity Fault Management/Y.1731 (CFM: IEEE 802.1ag), um alle möglichen Pfade zu anderen Zweigen zu überwachen, mit denen sie direkt kommunizieren muss. Ein Pfad ist definiert durch die Transportadresse in einem Zweig zu einer Transportadresse in einem anderen Zweig. VOS verwendet diese Variante von CFM, um eine Datenbank mit Informationen über (Latenz, Jitter, Paketverlust und Roundtrip-Verzögerung) zu anderen SD-WAN-Standorten über verschiedene Zugangsleitungen aufzubauen. Diese SLA-Messung erfolgt pro (Transport-Klassifikator, Transport-Pfad), wobei die Transport-Klassifikatoren DSCP und MPLS EXP sind. Da das von einem Underlay-Transportpfad angebotene SLA hauptsächlich von (Transport-Klassifizierer, Transport-Pfad) abhängt, ist die Versa-Lösung viel skalierbarer als eine aktive End-to-End-SLA-Messung für einzelne Benutzersitzungen. Versa unterstützt jedoch die passive Überwachung einzelner Sitzungen.
  • Die Versa-Verschlüsselung unterstützt IETF-kompatiblen Wiederholungsschutz, Initialisierungsvektor, HMAC und so gut wie jede Verschlüsselung. Die Versa SD-WAN CPEs benötigen kein Time Based HMAC (was voraussetzt, dass die SD-WAN CPEs über genau synchronisierte Uhren verfügen), um ein Replay von Paketen zu erkennen.
  • Das Tunneln kann für jeden einzelnen Datenfluss zwischen zwei Standorten aktiviert oder deaktiviert werden.
  • Die Verschlüsselung kann für jeden einzelnen Datenfluss aktiviert oder deaktiviert werden.
  • Die Versa-Lösung unterstützt eine sehr effiziente Umschaltung von Underlay-Transportpfaden und Änderungen der Transportadressen von SD-WAN-CPEs.
  • Die Versa-Lösung basiert auf Protokollen und Mechanismen, die sich seit vielen Jahren in unternehmenskritischen Netzwerken bewährt haben. Die Versa-Lösung lässt sich sehr gut an jedes Brownfield-Netzwerk anpassen und ermöglicht eine schrittweise Migration zu SD-WAN.
  • Diese tunnellose SD-WAN-Lösung arbeitet kohärent und in Verbindung mit den besten und umfassendsten SD-WAN-Funktionen von Versa, wie z. B. Application Steering auf der Grundlage von Layer7-Anwendung, Benutzer, Gruppe, URL-Kategorie, Gerätestatus, Entity Confidence Score und anderen Faktoren, vielseitige Verkehrsaufbereitungsfunktionen mit FEC, Replikation und Stripping, fortschrittliche TCP-Staukontrollalgorithmen wie BBR, Hybla, RACK, Tail-Loss Probes und SACK sowie SD-WAN Traffic Engineering Link State.
 
 

Abschnitt 4: Interoperabilität mit anderen tunnellosen SD-WAN-Lösungen

SD-WAN schafft ein virtuelles privates Netzwerk, das transportunabhängig und anwendungsorientiert ist und eine zentrale Verwaltung und Bereitstellung unterstützt. Es ist wichtig, dass sich eine SD-WAN-Lösung problemlos in ein Brownfield-Netzwerk einfügen lässt und eine schrittweise Migration vom bestehenden MPLS- oder DMVPN-Netzwerk zum SD-WAN-Netzwerk ermöglicht.

Wie oben erläutert, wird bei allen Lösungen ohne Tunnel das innere Paket in veränderliche und unveränderliche Felder unterteilt. Alle Lösungen assoziieren mit den unveränderlichen Feldern eine Form von Cookie, Label, Flow-ID oder ein Paar (Quelle-Port, Ziel-Port). Dieses Cookie/Label/Flow-ID/Port-Paar wird mindestens einmal mit dem gesamten Nutzdatenpaket von einem sendenden SD-WAN-CPE (SDWAN-CPE1) zu einem empfangenden SD-WAN-CPE (SDWAN-CPE2) übermittelt. Sobald ein entferntes SDWAN-CPE (z. B. SDWAN-CPE2) das Mapping des Absenders (z. B. SDWAN-CPE1) kennt und es dem Absender mitteilt, kodiert der Absender (SDWAN-CPE1) seine Flow-ID im SDWAN-Header und überspringt alle unveränderlichen Felder des Nutzlastpakets im Verkehr, der von SDWAN-CPE1 an SDWAN-CPE2 gesendet wird.

Aufgrund der unterschiedlichen Methoden (Flow-IDs, Kombination von äußerem Quell- und Zielport), die die verschiedenen Anbieter für die Verschlüsselung der unveränderlichen Daten gewählt haben, können sie nur an den Grenzen (NNI: Network to Network Interface) der SDWAN-Netze der verschiedenen Anbieter zusammenarbeiten. Dies ist unter anderem deshalb der Fall, weil die Schlüsselverwaltung, die Kodierung von Paketen, die Ver-/Entschlüsselung, die Steuerungsebene (Weiterleitung von Routen), die Verwaltungsebene (Konfiguration und Überwachung) und die Sichtbarkeitsebene (Big-Data-Analyse) bei allen Anbietern sehr unterschiedlich sind.

Zwei Anbieter können unter Verwendung von IETF-basierten Protokollen wie E-BGP, IKE-basiertem IPsec und TWAMP interoperieren. Zwei Anbieter können auch die Fähigkeit zur Dekodierung und Kodierung der Formate der Datenebene des jeweils anderen Anbieters hinzufügen.

 
 

Abschnitt 5: Versa SD-WAN for Classified-Lösung

In Abbildung 5 wird beschrieben, wie die Versa-Lösung ihre umfassenden SD-WAN- und ZTNA-Funktionen in Bundesnetzwerken bereitstellt, die auf NSA High Assurance Internet Protocol Encryption (HAIPE) oder kommerziellen Lösungen für Verschlusssachen (CSfC) basierende Architekturen nutzen. Solche Bereitstellungen bestehen in der Regel aus mehreren Schichten, wobei ein schwarzes Netzwerk, bestehend aus mehreren SATCOM-, MPLS-, Mobilfunk- (4G/5G) und anderen Unterschichten, den Transport zum roten Netzwerk übernimmt.

Versa SD-WAN für klassifizierte Lösungen
Abbildung 5
  1. CPE 2-1 und CPE 2-5 sind Versa SD-WAN CPEs an den Rändern der amorphen und allgegenwärtigen schwarzen Struktur. Diese CPEs bieten umfassende SD-WAN- und SD-Security-Funktionen. Im gezeigten Beispiel hat die Black Fabric drei Underlay-Netzwerke - SatCom-Meo, SatCom-Geo und Private MPLS.
  2. CPE 1-1 und CPE 1-5 sind Versa SD-WAN CPEs an den Rändern von red-site-1 und red-site-2. Diese SD-WAN-CPEs bieten auch umfassende SD-WAN- und SD-Sicherheitsfunktionen. Diese CPEs können entweder streng geheime Daten oder nicht missionskritische Daten empfangen. Der Verkehr, der die roten Standorte verlässt, wird in der Regel von HAIPEs verschlüsselt.
  3. Ein Laptop mit der Adresse 10.1.12.100 bei red-site-1 auf der linken Seite des Abbildung 5 möchte streng geheime, unternehmenskritische Informationen an einen Endpunkt mit der IP-Adresse 10.50.22.100 am Standort red-site-2 übermitteln, wie in Schritt 1 der Abbildung dargestellt. Basierend auf der Benutzerkonfiguration würde SD-WAN CPE-1-1 beim Empfang dieses Datenverkehrs wie folgt vorgehen.
    • Klassifizierung des Pakets auf der Grundlage von Anwendung, URL-Kategorie, Benutzer, Gruppe, Gerätestatus, Entity Confidence Score, Sicherheitsgruppen-Tag und beliebigen Feldern der Schichten 3-7 des empfangenen Pakets(Klassifizierungsinformationen).
    • Der DiffServ-Codepunkt des Pakets, das SD-WAN CPE-1-1 von seiner WAN-Schnittstelle (mit der IP-Adresse 192.168.11.101) verlässt, würde entweder durch eine Zuordnungstabelle, die die Klassifizierungsinformationen verwendet, oder durch Kopieren des DSCP des empfangenen Pakets oder eine Kombination aus beidem bestimmt. Auf diese Weise würden aufgabenkritische und nicht aufgabenkritische Datenströme mit den entsprechenden DSCPs verknüpft werden. Dies ist in Schritt 2 dargestellt.
    • Verknüpfen Sie eine Fluss-ID mit diesem Fluss.
    • Verschlüsseln oder nicht verschlüsseln Sie diesen Fluss.
    • Anschließend wird der beste Underlay-Transport auf der Grundlage von SD-WAN-Verkehrslenkungsrichtlinien ausgewählt, die den Anwendungstyp und das von den verschiedenen Underlay-Pfaden angebotene SLA berücksichtigen.
    • Das Paket durchläuft dann "Scheduling und Shaping" und wird an den nächsten Hop weitergeleitet, der zum besten Underlay gehört. Dies wird durch Schritt 3 in der Abbildung veranschaulicht.
  4. Beim Empfang dieses Datenverkehrs könnte HAIPE1 entscheiden, diesen Datenverkehr zu verschlüsseln. HAIPE1 könnte so konfiguriert werden, dass der DSCP des empfangenen Pakets in den äußeren Header kopiert wird, den HAIPE1 dann hinzufügt. Dies ist in Schritt 4 dargestellt. Dann würde HAIPE1, wie in Schritt 5 gezeigt, das Paket mit einem äußeren Header einkapseln und es an CPE 2-1 weiterleiten.
  5. Beim Empfang dieses Pakets würde der SD-WAN CPE 2-1 am Rande des schwarzen Netzes Folgendes tun:
    • Zuordnen einer geeigneten Flow-ID
  • Wie in Schritt 6 von Abbildung 5CPE 2-1 bestimmt das geeignete Underlay auf der Grundlage der konfigurierten SD-WAN-Verkehrslenkungsregeln, die von den folgenden Faktoren abhängen.
    • Die Quell-IP (IP-Adresse 172.16.1.1 der Quell-HAIPE), die Ziel-IP-Adresse (die IP-Adresse 172.16.5.5 der Ziel-HAIPE) und der DSCP des empfangenen Pakets.
    • Konfigurierte Präferenz für die verschiedenen Underlay-Netze für diese Klasse des Verkehrs
    • Das Echtzeit-SLA, das in den verschiedenen unterlagerten Netzen (MPLS, Satcom-Meo, SatCom-Geo in diesem Beispiel) beobachtet wird.
  • Konditionierung des Datenverkehrs durch eine Kombination aus Vorwärtsfehlerkorrektur und Paketreplikation, je nach dem von den unterlagerten Transporten angebotenen SLA.
  • Ermöglicht bei Bedarf das Strippen von Paketen.
  • Wendet bei unverschlüsseltem TCP-Verkehr fortschrittliche Überlastungsschutzalgorithmen wie BBR und Hybla an.
  • Das Paket durchläuft dann "Scheduling und Shaping" und wird unter Verwendung des besten Underlay an das entfernte SD-WAN CPE 2-5 weitergeleitet. Dies wird durch Schritt 7 in der Abbildung dargestellt.
  1. SD-WAN CPE 2-5 am Rande des schwarzen Netzes würde Folgendes tun:
    • Entfernt den SD-WAN-Header.
    • Stellt das Paket von HAIPE1 nach HAIPE2 wieder her.
    • Führt alle erforderlichen Datenflussverarbeitungen und Korrekturen durch, wenn FEC und Paketreplikation aktiviert wurden.
    • Leitet den Datenverkehr an HAIPE2 weiter, wie in Schritt 8 von Abbildung 5 dargestellt.
  2. HAIPE2 würde den Datenverkehr entschlüsseln und an SD-WAN CPE 1-5 am Rande des roten Standorts 2 weiterleiten, wie in Schritt 9 gezeigt.
  3. SD-WAN CPE 1-5 am Rande der roten Site-2 würde Folgendes tun:
    • Entfernen Sie den SD-WAN-Header.
    • Wiederherstellung des Pakets von Endpunkt-1 nach Endpunkt-2
    • Führen Sie alle erforderlichen Flussverarbeitungen und Korrekturen durch, wenn FEC und Paketreplikation aktiviert wurden.
    • Leiten Sie den Datenverkehr wie in Schritt 10 von Abbildung 5 gezeigt zum Endpunkt-2.

Nicht unternehmenskritische Pakete, z. B. von 192.168.2.2 am Standort 1 nach 192.168.6.6 am Standort 2, werden auf der Grundlage der Verkehrslenkungs- und Verkehrsaufbereitungskonfiguration ebenfalls entsprechend gelenkt.

 
 

Abschnitt 6: Versa Real Time Monitor und Versa Analytics

Der Versa Real Time Monitor liefert Echtzeitinformationen über alle Netzwerk-, SD-WAN- und Sicherheitsdienste, die auf jeder Versa-Appliance konfiguriert sind. Außerdem liefert er Informationen über den Zustand (CPU, Speicher, Bandbreite auf den einzelnen Schnittstellen, Last) der VOS-Instanzen.

Versa Analytics ist eine Big Data-Lösung, die Protokolle und Ereignisse analysiert und leistungsstarke Berichte, Analysen und Feedback für Versa Director bereitstellt. Sie lässt sich nativ mit Datenberichts- und SIEM-Produkten von Drittanbietern integrieren, z. B. HP ArcSight, Splunk, IBM QRadar, LogRhythm und Elastic Search. VOS™s an Zweigstellen liefern Versa Analytics kontinuierlich Überwachungsinformationen zu Verbindungen, Netzwerkpfaden, Sicherheitsereignissen, Services, Anwendungen usw. Darüber hinaus generiert jeder Dienst auf dem VOS™, wie z. B. die Firewall der nächsten Generation, IDS/IPS, URL-Filterung, CASB, SWG, DLP, RBI, UEBA, DNS-Proxy und andere Module, Protokollmeldungen auf Flow-Ebene und aggregierte Meldungen, die von der Versa Analytics-Plattform genutzt werden.

All diese Informationen können für Funktionen wie Kapazitätsplanung und Sicherheitsforensik genutzt werden. Abbildung 6, Abbildung 7 , Abbildung 8 und Abbildung 9 zeigen einige Beispiele für Informationen, die mit Versa Analytics verfügbar sind.

Versa Analytics sendet diese Protokolle über einen KAFKA-Bus an Versa UEBA. Versa UEBA kann anomale Ereignisse von allen Entitäten wie Benutzern, Laptops, Telefonen, IoT-Geräten und mehr verfolgen und kennzeichnen. Wenn ein Benutzer oder ein IoT-Gerät ein anormales Verhalten zeigt, wird sein Entity Confidence Score (ECS) herabgesetzt. Dieser ECS wird in verschiedenen Arten von Richtlinien verwendet, z. B. in der Security Access Control Policy und der Traffic Monitoring Policy. Wenn sich der ECS einer Entität verschlechtert, wird dies allen Abonnenten (z. B. Versa Cloud Gateways) über den Versa Message Service mitgeteilt. Die Versa Cloud Gateways können bei einer Verschlechterung des ECS Abhilfemaßnahmen in Echtzeit ergreifen.

Versa Analytics Beispielbildschirm 1
Abbildung 6
Versa Analytics Beispielbildschirm 2
Abbildung 7
Versa Analytics Beispielbildschirm 3
Abbildung 8
Versa Analytics Beispielbildschirm 4
Abbildung 9
 
 

Abschnitt 7: Zusammenfassung

Die Versa SD-WAN-, ZTNA- und Secure Services Edge-Lösung bietet ein sicheres globales SD-WAN- und SASE , das Anwendern und IoT-Geräten unabhängig von ihrem Standort und dem Standort der Anwendungen das beste Anwendungserlebnis bietet, auch unter DDIL und widrigen Bedingungen. Die Versa-Lösung eignet sich sehr gut für Satelliten-, See- und Bundesnetzwerke, die auf NSA High Assurance Internet Protocol Encryption (HAIPE) oder Commercial Solutions for Classified (CSfC) basierende Architekturen nutzen.

Versa Zusammenfassung