SD-WAN y Secure Service Edge para el Departamento de Defensa e implantaciones ultraseguras

Versa Networks líder del mercado en SASE SD-WAN, SD-Security y SASE , con más de 120 socios proveedores de servicios en todo el mundo. En Estados Unidos (EE. UU.), entre los principales socios Versase encuentran Verizon, Lumen y Comcast. Versa el mayor número de implementaciones globales de SD-WAN. Versa se encarga de la conectividad y la seguridad de numerosas redes globales de misión crítica en los sectores financiero, bancario, energético, satelital, marítimo, minorista, sanitario y otros sectores verticales en los que el rendimiento óptimo entre el usuario y la aplicación, frente a todo tipo de fallos y amenazas de seguridad, es el objetivo principal.

Lea el libro blanco aquí o Descargar el PDF.

 
 

Resumen

Este informe técnico describe cómo las SASE Versa , ZTNA y SASE son muy adecuadas para redes satelitales, marítimas y federales que operan en condiciones adversas y DDIL (denegadas, interrumpidas, intermitentes y limitadas) y que a menudo aprovechan el cifrado de protocolo de Internet de alta seguridad (HAIPE) de la NSA o arquitecturas basadas en soluciones comerciales para información clasificada (CSfC).

Sección 1: Gartner ha situado a Versa el cuadrante superior derecho del Cuadrante Mágico (MQ) de SD-WAN

El informe del Cuadro Mágico de Gartner incluía dos subcategorías en las que Versa el primer puesto:

  1. Capacidades críticas
  2. Grandes Networks globales complejas. Gartner también ha elaborado un informe sobre las empresas con mayores SASE . Versa a la cabeza del informe de Gartner SASE , al ofrecer 13 de las 15 tecnologías identificadas por Gartner.

NSS Labs ha evaluado Versa , NGFW (cortafuegos de última generación) y NGIPS (sistema de prevención de intrusiones de última generación). La eficacia de los productos a la hora de detener los ataques fue muy alta, mientras que el coste por Mbps protegido fue el más bajo entre los fabricantes de equipos originales.

Versa combinado sus funciones nativas de SD-WAN, SD-Security y multicloud para ofrecer una solución SASE multicloud cohesionada y completa.

Algunas de las principales características que diferencian a Versa otras soluciones son:

  • Integración de SD-WAN, SD-Security y Multi-Cloud en una única plataforma.
  • Un único panel de gestión para SD-WAN, SD-Security y Multi-Cloud.
  • Gestión unificada de políticas: una pila de software (VOS) para las instalaciones, la nube SASE y el perímetro.
  • Protección contra amenazas basada en sistemas multidefensa y corrección casi en tiempo real.
  • Acceso a la Red de Confianza Cero basado en Usuario, Grupo, Postura del Dispositivo, Aplicación, Contenido, Geolocalización, Puntuación de Confianza de la Entidad, Etiqueta de Seguridad asociada a la fuente, y muchos factores más.
  • Compatibilidad con Secure Private Access, Secure Web Gateway (SWG), servicios Cloud Access Security Broker, Data Loss Prevention (DLP), Remote Browser Isolation (RBI), User Entity Behaviour Analytics, Security based on AI/ML, Dynamic Analysis of Malware using Sandboxing y Next-Generation Unified Threat Management.
  • VANI (AIOps) para detección de anomalías, predicción de tráfico, correlación de eventos y chatbot (Verbo).
  • Gestión óptima del tráfico y aceleración de SaaS mediante SASE Versa Engineered (TELS: Traffic Engineering Link State).
  • Instanciación dinámica de inquilinos y puertas de enlace virtuales: escalado automático elástico e inteligencia de red para satisfacer las demandas de capacidad en tiempo real.
  • SD-WAN Lite para clientes SASE y routers de terceros.
  • Arquitectura de paso único: rendimiento incomparable a escala.
  • Arrendamiento múltiple jerárquico y control de acceso granular basado en roles (RBAC).
  • Encadenamiento versátil de servicios de funciones de red virtuales (VNF) y funciones de red físicas (PNF).
  • Soporte para análisis de big data.
  • Integración con múltiples fuentes de inteligencia de seguridad, incluidas las herramientas de conocimiento de la situación cibernética (SA) para una difusión global rápida y una aplicación en tiempo real.

Figura 2 muestra una tabla periódica de las funciones de enrutamiento, SD-WAN y borde de servicios seguros que Versa . Gracias a estas capacidades, Versa sus clientes hacer lo siguiente:

  • Implemente una red SD-WAN y SASE global con ingeniería de tráfico segura que pueda proporcionar la mejor experiencia de aplicación para usuarios y dispositivos IoT, independientemente de su ubicación y de la de las aplicaciones. Esto se muestra en la Figura 1.
  • Acceso a la red de confianza cero basado en el usuario, el grupo, la postura del dispositivo, la aplicación, el contenido, la geolocalización, la puntuación de confianza de la entidad, la etiqueta de seguridad asociada a la fuente, cualquier campo de capa3 a capa7 del paquete y la hora del día.
  • Protección contra amenazas basada en sistemas multidefensa y corrección casi en tiempo real.
Estructura de Versa Access Service Edge
Figura 1
Versa : conjunto de funciones SASE SD-WAN + Security Service Edge) líder en el mercado
Figura 2
 

Sección 2: Características, uso y diferenciadores

Construida utilizando protocolos basados en estándares IETF: Basado en BGP/MPLS VPN y Ethernet VPN, con el uso de un SAFI Privado (Sub Address Family Identifier) para transportar información relacionada con SD-WAN como:

  • Gestión de claves
  • Estado y estado del circuito de acceso
  • Información relacionada con NAT
  • Información sobre SLA a aplicaciones críticas

Gestión de claves y certificados

  • Emulación real de IKE sin utilizar IKE.
  • El secreto de una sucursal nunca se envía por cable y puede rotarse cada cuatro minutos.
  • Se deriva algorítmicamente un secreto compartido único entre cada par de ramas.
  • Funciones avanzadas de gestión de certificados.
  • Compatibilidad con OCSP, CMPv2, SCEP y ACME
  • Compatibilidad con la gestión externa de claves mediante el Protocolo de Interoperabilidad de Gestión de Claves (KMIP) para implantaciones que requieran claves generadas por el arrendatario/cliente.

Capacidad de despliegue en entornos DDIL (Denegado, Interrumpido, Intermitente y Limitado).

  • Tres imágenes VM - El conjunto mínimo de imágenes para operar completamente desconectado es de tres. Todas las actualizaciones de imágenes de seguridad son compatibles en un entorno completamente desconectado.
  • La licencia se gestiona de forma centralizada mediante Versa . Versa es una de las tres imágenes en las que se carga la licencia y no requiere conexión a Internet.
  • Versa es una de las soluciones. Ofrece a los operadores una visibilidad completa de la seguridad, la conectividad y el rendimiento.
  • Panel único de gestión, así como aprovisionamiento centralizado, gestión, supervisión, visibilidad y análisis de Big Data para todos los servicios SASE (SD-WAN, SSE) y multicloud.
  • La solución SD-WAN más utilizada por los proveedores de servicios por satélite, navieros y marítimos. Admite hasta 14 dominios de transporte subyacente por nodo. Puede alojar simultáneamente múltiples subyacentes como SATCOM (LEO, MEO, GEO), MPLS privado, LTE/5G, fibra terrestre, banda ancha y otros.

Dirección versátil del tráfico, acondicionamiento del tráfico y optimización avanzada de TCP

  • Dirección del tráfico basada en cualquier campo de capa3-capa7 del paquete, aplicación de capa7, categoría de URL, usuario, grupo, postura del dispositivo, puntuación de confianza de la entidad, geolocalización, etiqueta de seguridad asociada a la fuente, hora del día y otros factores.

    • Sin túneles por flujo. Versa la tecnología SD-WAN sin túneles cuando y donde sea necesario. Consulte la sección«Solución SD-WAN sin túnelesVersa».
    • El cifrado puede activarse o desactivarse por flujo.
  • Versa es ideal y ofrece la mejor experiencia de uso para redes satelitales, marítimas y federales que utilizan el cifradoHAIPE(High Assurance Internet Protocol Encryption) de la NSA o arquitecturas basadas enCSfC(Commercial Solutions for Classified) que puedan verse expuestas a DDIL y a condiciones adversas. Consulte la secciónVersa para soluciones clasificadas».
  • El enrutamiento del tráfico se basa en la visibilidad de las características dinámicas de la ruta de extremo a extremo, como la pérdida de paquetes, la latencia y la fluctuación. Esta función ofrece acuerdos de nivel de servicio (SLA) para aplicaciones de extremo a extremo más precisos y resistentes. El resto de proveedores seleccionan la mejor ruta basándose en el SLA del siguiente salto inmediato. Solo Versa enrutar el tráfico basándose en métricas de ruta de extremo a extremo.
  • Acondicionamiento del tráfico mediante FEC, replicación y otras medidas, que se activan automáticamente cuando el SLA se degrada y se detienen cuando el SLA mejora. Estas funciones están disponibles para todos los tipos de tráfico y no solo para voz y vídeo.
  • Soporta algoritmos avanzados de optimización TCP y control de congestión como BBR, Hybla, SACK, Recent Acknowledgement.

Funciones completas de calidad de servicio (QoS): Versa ofrece funciones muy completas de calidad de servicio (políticas de QoS de capa 3, políticas de QoS de aplicaciones, controladores de tráfico, marcado, HQoS con reguladores de 4K y 64 000 colas) y de dirección del tráfico SD-WAN. Basándose en los campos de capa 3 a capa 7 del tráfico recibido, incluyendo la aplicación, la categoría de URL y el estado del dispositivo, se asocia una clase de reenvío (FC) y una prioridad de pérdida de paquetes (PLP) a un flujo de tráfico. La FC y la PLP priorizan y programan el tráfico dentro de una plataforma VOS. Además, la reescritura de los encabezados internos y externos y el modelado de salida se realizan en función de la FC y la PLP. Por lo tanto, el tráfico de misión tiene prioridad sobre el tráfico menos crítico tanto dentro de un Versa como en la transmisión.

Muy adecuado para el despliegue de redes en zonas industriales abandonadas.

  • Compatible con los principales protocolos de capa 2 y 3 (IPv4 e IPv6).
  • Compatibilidad con IPv4, IPv6 y doble pila para VRF, así como transporte subyacente.

Soporta topologías complejas como Full Mesh, Hub and Spoke, Partial Mesh, Spoke-Hub-Hub-Spoke, Hub-Controllers, Controller behind the hub, y muchas más.

Una infraestructura de plantillas muy completa: Versa una infraestructura de plantillas muy completa que admite una jerarquía de plantillas. Gracias a esta jerarquía, es posible definir políticas globales en las que las políticas específicas tengan mayor prioridad. Esto hace que la gestión general de la configuración resulte sencilla y eficiente.

Un grupo de dispositivos es una colección de dispositivos con configuraciones similares pero no idénticas. Un grupo de dispositivos suele estar asociado a una plantilla de dispositivo y a un conjunto de plantillas de servicio de distintos tipos, como plantilla de servicio de seguridad, plantilla de servicio de dirección de aplicaciones, plantilla de servicio QoS, plantilla de servicio general y otras. Un grupo de dispositivos puede estar asociado a múltiples plantillas de servicios de seguridad que se aplican en un orden especificado por el operador. Además, puede haber plantillas de servicios de seguridad específicas para cada dispositivo.

CGNAT para v4 y v6 NAPT-44, DNAT-44, Dynamic NAT-44, Basic-NAT-44, Twice Basic NAT-44, NPT66, NAT64, MAP-E

Múltiples opciones para el aprovisionamiento sin intervención.

CPE universal para alojar múltiples VNF. Encadenamiento de servicios de VNF alojadas y PNF físicas externas.

 
 

Sección 3: La solución SD-WAN sin túneles Versa

Versa ofrece una solución SD-WAN sin túneles, que hace que la red sea más escalable y eficiente en cuanto al ancho de banda, al tiempo que elimina la fragmentación de paquetes y mejora la seguridad. Algunos de los casos de uso que impulsaron esta solución sin túneles fueron las redes satelitales, marítimas y federales que utilizan arquitecturas basadas en el Protocolo de Cifrado de Internet de Alta Seguridad (HAIPE) de la NSA o en las Soluciones Comerciales para Información Clasificada (CSFC).

Versa ofrece una solución SD-WAN sin túneles, que hace que la red sea más escalable y eficiente en cuanto al ancho de banda, al tiempo que elimina la fragmentación de paquetes y mejora la seguridad. Algunos de los casos de uso que impulsaron esta solución sin túneles fueron las redes satelitales, marítimas y federales que utilizan arquitecturas basadas en el Protocolo de Cifrado de Internet de Alta Seguridad (HAIPE) de la NSA o en las Soluciones Comerciales para Información Clasificada (CSFC).

En el caso de todas las soluciones Tunnel-less, el paquete interior se divide en campos mutables e inmutables. La Figura 3 muestra todos los campos comunes de una cabecera IP, una cabecera TCP y una cabecera UDP. Un subconjunto de campos inmutables dentro de una cabecera IP, cabecera TCP y cabecera UDP, que son invariables durante la duración de un flujo de 5 tuplas, se muestran en color azul. Todas las soluciones asocian algún tipo de cookie, etiqueta, identificador de flujo o un par (puerto de origen, puerto de destino) con los campos inmutables.

Esta cookie/etiqueta/identificador de flujo/par de puertos se transmite junto con todo el paquete de carga útil desde un CPE SD-WAN emisor (SDWAN-CPE1) a un CPE SD-WAN receptor (SDWAN-CPE2) al menos una vez. Una vez que un CPE SD-WAN remoto (por ejemplo, SDWAN-CPE2) ha aprendido la asignación del emisor (por ejemplo, SDWAN-CPE1) y se lo comunica al remitente, este (SDWAN-CPE1) codifica su ID de flujo en el encabezado SD-WAN y omite todos los campos inmutables del paquete de carga útil en el tráfico que se envía desde SDWAN-CPE1 a SDWAN-CPE2. Tenga en cuenta que, dentro de la solución Versa , un CPE SD-WAN emisor omite muchos otros campos IP, TCP y UDP del paquete de carga útil al enviar tráfico a un CPE SD-WAN par. Estos no se describen en este informe técnico.

Campos de cabecera inmutables
Campos de cabecera inmutables
Figura 3

En la figura 4 se describe el flujo detallado de paquetes en el caso de la solución Versa , en la que el Cliente 5 (C5) se comunica con el Servidor 7 (S7) a través del CPE-1 SD-WAN y el CPE-2 SD-WAN.

  1. El paso 1 muestra un paquete del Cliente5 al Servidor7 con Payload1 de C5 a S7.
  2. Al recibir este paquete correspondiente a un nuevo flujo de 5 tuplas, el CPE-1 de SD-WAN valida el paquete, crea una sesión de C5 a S7, asigna el FlowId51 a este flujo y ejecuta todos los servicios avanzados de capa 3 a capa 7 (ZTNA, SD-WAN, UTM, CASB, SWG, HQoS, etc.). La información relativa a todos los servicios se envía a Versa .
  3. A continuación, como se muestra en el paso 3, CPE1 cifra el paquete recibido de C5 a S7, codifica su identificador de flujo local (CPE1-To-CPE2 FlowId51) en el encabezado UDP externo y envía el paquete a SD-WAN CPE2 a lo largo de la mejor ruta subyacente para la aplicación a la que pertenece este paquete.
  4. Al recibir este paquete del CPE-1 correspondiente a un nuevo flujo de 5 tuplas, el CPE-2 de SD-WAN crea una sesión, guarda el FlowId51 que ha recibido del CPE-1 —que utilizará en futuros paquetes—, descifra y valida el paquete, asigna su propio FlowId22 a este flujo y ejecuta todos los servicios avanzados de capa 3 a capa 7 (ZTNA, SD-WAN, UTM, CASB, SWG, HQoS, etc.). La información relativa a todos los servicios se envía a Versa . Esto se muestra en el paso 4.
  5. CPE2 reenvía el paquete descifrado del Cliente5 al Servidor7. Esto se muestra en el paso 5.
  6. El paso 6 muestra la respuesta del Servidor7 al Cliente5 con Payload2.
  7. Al recibir este paquete de S7 a C5, SD-WAN CPE-2 valida este paquete, ejecuta todos los servicios ricos de Capa3 a Capa7 (ZTNA, SD-WAN, UTM, CASB, SWG, HQoS, etc.), encripta el paquete recibido de S7 a C5, codifica su id de flujo local (CPE2-To-CPE1 FlowId22) en el encabezado UDP externo, y envía el paquete a SD-WAN CPE1 a lo largo de la mejor ruta subyacente para la aplicación a la que pertenece este paquete. SD-WAN CPE2 también informa a SD-WAN CPE1 que ha aprendido FlowId51 que CPE1 ha asignado para este flujo. Esto se muestra en el paso 7.
  1. En el paso 8, SD-WAN CPE1 actualiza el estado de la sesión con el hecho de que CPE2 ha aprendido sobre su FlowId51 y está listo para recibir paquetes que están codificados con FlowId51.
  2. Después de realizar todos los servicios necesarios en el paquete descifrado, CPE1 reenvía el paquete con Payload2 del Servidor7 al Cliente5. Esto se muestra en el paso 9.
  3. Tras recibir el paquete con Payload3 del Cliente5 al Servidor7 (paso 10), SD-WAN CPE1 valida y ejecuta todos los servicios. A continuación crea un nuevo payload que sólo tiene los campos mutables del paquete de Cliente5 a Servidor7 con Payload3. Cifra esta carga útil, codifica su identificador de flujo local (CPE1-To-CPE2 FlowId51) en el encabezado UDP externo y envía el paquete a SD-WAN CPE2 a lo largo de la mejor ruta subyacente para la aplicación a la que pertenece este paquete. SD-WAN CPE1 también informa a SD-WAN CPE2 que ha aprendido FlowId22 que CPE2 ha asignado para este flujo. Esto se muestra en el paso 11.
  4. En el paso 12, SD-WAN CPE2 actualiza el estado de la sesión con el hecho de que CPE1 ha aprendido sobre su FlowId22 y está listo para recibir paquetes que están codificados con FlowId22.
  5. Después de realizar todos los servicios necesarios en el paquete descifrado, CPE2 reenvía el paquete con Payload3 del Cliente5 al Servidor7. Esto se muestra en el paso 13.
  6. Después de recibir el paquete con Payload4 del Servidor7 al Cliente5 (paso 14), SD-WAN CPE2 valida y ejecuta todos los servicios. Luego crea un nuevo payload que sólo tiene los campos mutables del paquete de Server7 a Client5 con Payload4. Cifra esta carga útil, codifica su identificador de flujo local (CPE2-To-CPE1 FlowId22) en la cabecera UDP externa, y envía el paquete a SD-WAN CPE1 a lo largo de la mejor ruta subyacente para la aplicación a la que pertenece este paquete. Esto se muestra en el paso 15.
  7. Después de realizar todos los servicios necesarios en el paquete descifrado, CPE1 reenvía el paquete con Payload4 del Servidor7 al Cliente5. Esto se muestra en el paso 16.
Flujo de paquetes
Flujo de paquetes SD-WAN
Figura 4

En la solución sin túneles Versa, el primer paquete que se envía desde un nodo SD-WAN de entrada a un nodo SD-WAN homólogo, y versa toda la información, mientras que todos los paquetes posteriores, independientemente de la dirección, solo transportarán los metadatos junto con la carga útil, lo que nos permite admitir cargas útiles más grandes o ahorrar ancho de banda en función de nuestro caso de uso.

En comparación con las tecnologías sin túnel existentes en el mercado, la innovadora solución Tunnel-Less Versapresenta ventajas significativas, algunas de las cuales se enumeran a continuación.

  • Versa solo necesita abrir un único puerto, el «4790» o el «4500», dentro de la red subyacente SD-WAN, a diferencia de otras tecnologías que requieren varios puertos.
  • La solución Versa no invalida los números de secuencia de los paquetes recibidos ni añade metadatos a los paquetes TCP SYN, lo que podría resultar inaceptable para los cortafuegos y los dispositivos de tránsito. Por ello, a diferencia de otras soluciones, no es necesario transformar los paquetes TCP en paquetes UDP.
  • Versa cuenta con una infraestructura de plantillas muy completa que permite configurar de forma centralizada un grupo de dispositivos con configuraciones similares, sin que estas tengan que ser idénticas. Como resultado, la información relativa a los usuarios, los servicios y las políticas de seguridad no tiene que incluirse como parte de ningún metadato.
  • La solución Versa no se ve afectada por la presencia de dispositivos NAT y cortafuegos en las redes de transporte subyacentes. La Versa no requiere paquetes de mantenimiento de conexión para las sesiones de usuario individuales, por lo que las sesiones NAT no caducan.
  • Una Versa (VOS) utiliza una variante de la gestión de fallos de conectividad/Y.1731 (CFM: IEEE 802.1ag) para supervisar todas las rutas posibles hacia otras sucursales con las que necesita comunicarse directamente. Una ruta se define por la dirección de transporte de una sucursal a una dirección de transporte de otra sucursal. VOS utiliza esta variante de CFM para crear una base de datos con información sobre (latencia, fluctuación, pérdida de paquetes y retardo de ida y vuelta) a otros sitios SD-WAN a través de diversos circuitos de acceso. Esta medición del SLA se realiza por (clasificador de transporte, ruta de transporte), donde los clasificadores de transporte son DSCP y MPLS EXP. Dado que el SLA ofrecido por una ruta de transporte subyacente depende principalmente del (clasificador de transporte, ruta de transporte), la Versa es mucho más escalable que realizar mediciones activas de SLA de extremo a extremo para sesiones de usuario individuales. Versa admite la supervisión pasiva de sesiones individuales.
  • Versa es compatible con la protección contra repetición conforme a las normas de la IETF, el vector de inicialización, HMAC y prácticamente todos los algoritmos de cifrado. Los dispositivos CPE Versa no necesitan el HMAC basado en el tiempo (que requiere que los dispositivos CPE de SD-WAN tengan relojes sincronizados con precisión) para detectar la repetición de paquetes.
  • La tunelización puede activarse o desactivarse por flujo entre dos sitios cualesquiera.
  • El cifrado puede activarse o desactivarse por flujo.
  • Versa permite una conmutación muy eficiente de las rutas de transporte subyacentes y los cambios en las direcciones de transporte de los dispositivos CPE de SD-WAN.
  • Versa se basa en protocolos y mecanismos que han sustentado redes de misión crítica durante muchos años. La Versa se adapta perfectamente a cualquier red ya existente y permite una migración gradual a SD-WAN.
  • Esta solución SD-WAN sin túneles funciona de forma integrada y en combinación con Versamejor y más completo conjunto de funciones SD-WAN Versa, tales como el direccionamiento de aplicaciones basado en aplicaciones de capa 7, el usuario, el grupo, la categoría de URL, el estado de seguridad del dispositivo, la puntuación de confianza de la entidad y otros factores; capacidades versátiles de acondicionamiento del tráfico mediante FEC, replicación y stripping; y algoritmos avanzados de control de congestión TCP como BBR, Hybla, RACK, Tail-Loss Probes y SACK, y el estado de enlace de ingeniería de tráfico SD-WAN.
 
 

Sección 4: Interoperabilidad con otras soluciones SD-WAN sin túnel

SD-WAN crea una red privada virtual que es independiente del transporte y de las aplicaciones, y admite la gestión y el aprovisionamiento centralizados. Es esencial que una solución SD-WAN pueda insertarse fácilmente en una red existente y permitir la migración gradual de las redes MPLS o DMVPN existentes a la red SD-WAN.

Como se ha explicado anteriormente, en el caso de todas las soluciones Tunnel-less, el paquete interno se divide en campos mutables e inmutables. Todas las soluciones asocian alguna forma de cookie, etiqueta, flow-id, o un par (origen-puerto, destino-puerto) con los campos inmutables. Este par de cookie/etiqueta/id de flujo/puerto se comunica con todo el paquete de carga útil desde un CPE SD-WAN emisor (SDWAN-CPE1) a un CPE SD-WAN receptor (SDWAN-CPE2) al menos una vez. Una vez que un SDWAN-CPE remoto (por ejemplo, SDWAN-CPE2) ha aprendido el mapeo del remitente (por ejemplo, SDWAN-CPE1) y lo comunica al remitente, el remitente (SDWAN-CPE1) codifica su flow-id en la cabecera SDWAN y omite todos los campos inmutables del paquete de carga útil en el tráfico que se envía desde SDWAN-CPE1 a SDWAN-CPE2.

Debido a las diferentes formas (flow-ids, combinación de puerto exterior de origen y puerto de destino) que los distintos proveedores han elegido para codificar los datos inmutables, sólo pueden interoperar en los límites (NNI: Network to Network Interface) de las redes SDWAN de los distintos proveedores. Esto se debe, entre otras cosas, a que la gestión de claves, la codificación de paquetes, el cifrado/descifrado, el plano de control (propagación de rutas), el plano de gestión (configuración y supervisión) y el plano de visibilidad (análisis de macrodatos) son muy diferentes para todos los proveedores.

Dos proveedores pueden interoperar utilizando protocolos basados en IETF como E-BGP, IPsec basado en IKE y TWAMP. Dos proveedores también pueden añadir la capacidad de descodificar y codificar los formatos del plano de datos del otro.

 
 

Sección 5: Versa para soluciones clasificadas

La figura 5 describe cómo Versa ofrece sus completas capacidades de SD-WAN y ZTNA en redes federales que utilizan arquitecturas basadas en el Protocolo de Cifrado de Alta Seguridad (HAIPE) de la NSA o en Soluciones Comerciales para Información Clasificada (CSfC). Estas implementaciones suelen tener múltiples capas, en las que una red negra compuesta por varios sistemas SATCOM, MPLS, celulares (4G/5G) y otras capas subyacentes proporciona el transporte a la red roja.

Versa para soluciones de información clasificada
Gráfico 5
  1. Los dispositivos CPE 2-1 y CPE 2-5 son dispositivos CPE Versa situados en los extremos de la estructura negra, amorfa y omnipresente. Estos dispositivos CPE ofrecen capacidades completas de SD-WAN y SD-Security. En el ejemplo mostrado, la estructura negra cuenta con tres redes subyacentes: SatCom-Meo, SatCom-Geo y MPLS privada.
  2. Los CPE 1-1 y CPE 1-5 son dispositivos CPE Versa situados en los extremos de red-site-1 y red-site-2. Estos dispositivos CPE SD-WAN también ofrecen funciones completas de SD-WAN y SD-Security. Estos dispositivos CPE pueden recibir tanto datos de alto secreto como datos no críticos para la misión. El tráfico que sale de los sitios rojos suele ser cifrado por los dispositivos HAIPE.
  3. Un portátil con dirección 10.1.12.100 en red-site-1 a la izquierda de Gráfico 5 desea comunicar información de misión crítica de alto secreto a un endpoint con dirección IP 10.50.22.100, ubicado en red-site-2, como se muestra en el paso-1 de la figura. Basándose en la configuración del usuario, SD-WAN CPE-1-1 haría lo siguiente al recibir este tráfico.
    • Clasificar el paquete en función de la aplicación, la categoría de URL, el usuario, el grupo, la postura del dispositivo, la puntuación de confianza de la entidad, la etiqueta de grupo de seguridad y cualquier campo de capa 3-7 del paquete recibido(información de clasificación).
    • El punto de código DiffServ del paquete que sale de SD-WAN CPE-1-1 desde su interfaz WAN (con dirección IP 192.168.11.101) se determinaría mediante una tabla de asignación que utiliza la información de clasificación o copiando el DSCP del paquete recibido o alguna combinación de ambos. Así, los flujos de misión crítica y no crítica se asociarían con los DSCP apropiados. Esto se muestra en el paso 2.
    • Asociar un flow-id a este flujo.
    • Cifrar o no cifrar este flujo.
    • A continuación, se elige el mejor transporte subyacente basándose en las políticas de direccionamiento de tráfico de SD-WAN, que tienen en cuenta el tipo de aplicación y el SLA ofrecido por varias rutas subyacentes.
    • A continuación, el paquete pasa por "scheduling and shaping" y se reenvía al siguiente salto que pertenece a la mejor subcapa. Esto se muestra en el paso 3 de la figura.
  4. Al recibir este tráfico, el HAIPE1 podría optar por cifrarlo. El HAIPE1 podría configurarse para copiar el DSCP del paquete recibido en la cabecera externa, que el HAIPE1 añadiría. Esto se muestra en el paso 4. A continuación, como se muestra en el paso 5, HAIPE1 encapsularía el paquete con una cabecera externa y reenviaría el paquete al CPE 2-1.
  5. Al recibir este paquete, el CPE 2-1 de SD-WAN en el borde de la red negra haría lo siguiente:
    • Asociar un flow-id apropiado
  • Como se muestra en el paso 6 de Gráfico 5El CPE 2-1 determina el subyacente apropiado basándose en las reglas configuradas de la política de direccionamiento de tráfico SD-WAN, que dependerán de lo siguiente.
    • La dirección IP de origen (la dirección IP 172.16.1.1 del HAIPE de origen), la dirección IP de destino (la dirección IP 172.16.5.5 del HAIPE de destino) y el DSCP del paquete recibido.
    • Preferencia configurada para las distintas redes subyacentes para esta clase de tráfico
    • El SLA en tiempo real observado en las distintas redes subyacentes (MPLS, Satcom-Meo, SatCom-Geo en este ejemplo).
  • Realiza el acondicionamiento del tráfico utilizando alguna combinación de corrección de errores hacia adelante y replicación de paquetes en función del SLA ofrecido por los transportes subyacentes.
  • Realiza la eliminación de paquetes si es necesario.
  • Aplica algoritmos avanzados de control de congestión como BBR y Hybla si se recibe tráfico TCP no cifrado.
  • A continuación, el paquete pasa por "scheduling and shaping" y se reenvía al CPE SD-WAN remoto 2-5 utilizando el mejor underlay. Esto se muestra en el paso 7 de la figura.
  1. SD-WAN CPE 2-5 en el borde de la red negra haría lo siguiente:
    • Elimina la cabecera SD-WAN.
    • Restaura el paquete HAIPE1 a HAIPE2.
    • Realiza cualquier procesamiento de flujo y corrección necesarios si se activaron FEC y la replicación de paquetes.
    • Enruta el tráfico hacia HAIPE2 como se muestra en el paso 8 de la Figura 5.
  2. HAIPE2 desencriptaría el tráfico y lo reenviaría hacia SD-WAN CPE 1-5 en el borde del sitio rojo-2, como se muestra en el paso 9.
  3. SD-WAN CPE 1-5 en el borde del sitio rojo-2 haría lo siguiente:
    • Retire la cabecera SD-WAN.
    • Restaurar el paquete de Endpoint-1 a Endpoint-2
    • Realice cualquier procesamiento de flujo y corrección necesarios si se activaron FEC y la replicación de paquetes.
    • Enrute el tráfico hacia el Endpoint-2 como se muestra en el paso 10 de la Figura 5.

Los paquetes que no son críticos para la misión, por ejemplo, desde 192.168.2.2 en red-site-1 a 192.168.6.6 en red-site-2, se dirigen de forma similar basándose en la configuración de dirección y acondicionamiento del tráfico.

 
 

Sección 6: Versa Time Monitor y Versa

El Versa Time Monitor ofrece información en tiempo real sobre todos los servicios de red, SD-WAN y seguridad configurados en cada Versa . También proporciona información relativa al estado (CPU, memoria, ancho de banda en cada una de las interfaces, carga) de las instancias de VOS.

Versa es una solución de big data que analiza registros y eventos y proporciona potentes informes, análisis y retroalimentación a Versa . Se integra de forma nativa con productos de generación de informes de datos y SIEM de terceros, como HP ArcSight, Splunk, IBM QRadar, LogRhythm y Elastic Search. Los VOS™ de las sucursales proporcionan continuamente Versa información de supervisión relacionada con enlaces, rutas de red, eventos de seguridad, servicios, aplicaciones, etc. Además, todos los servicios del VOS™, como el firewall de última generación, IDS/IPS, filtrado de URL, CASB, SWG, DLP, RBI, UEBA, proxy DNS y otros módulos, generan mensajes de registro a nivel de flujo y agregados que son procesados por la plataforma Versa .

Toda esta información puede aprovecharse para funciones como la planificación de la capacidad y el análisis forense de seguridad. Las figuras 6, 7 , 8 y 9 ofrecen algunos ejemplos de la información disponible mediante Versa .

Versa envía estos registros a Versa a través de un bus KAFKA. Versa puede rastrear y señalar eventos anómalos de todas las entidades, como usuarios, ordenadores portátiles, teléfonos, dispositivos IoT y más. Si un usuario o un dispositivo IoT muestra un comportamiento anómalo, su puntuación de confianza de entidad (ECS) se reduce. Esta ECS se utiliza en diferentes tipos de políticas, como la política de control de acceso de seguridad y la política de supervisión del tráfico. Si la ECS de una entidad se degrada, se publica a todos los suscriptores (como las puertas de enlace Versa ) mediante el Servicio Versa . Las puertas de enlace Versa pueden aplicar medidas correctivas en tiempo real cuando la ECS se degrada.

Pantalla de ejemplo de Versa 1
Figura 6
Pantalla de ejemplo de Versa 2
Gráfico 7
Pantalla de ejemplo de Versa 3
Figura 8
Pantalla de ejemplo de Versa 4
Figura 9
 
 

Sección 7: Resumen

La solución Versa , ZTNA y Secure Services Edge proporciona una SASE SD-WAN y SASE global segura con tráfico optimizado que ofrece la mejor experiencia de aplicación para los usuarios y los dispositivos IoT, independientemente de su ubicación y la de las aplicaciones, incluso en condiciones adversas y con DDIL. Versa es muy adecuada para redes satelitales, marítimas y federales que utilizan el cifrado de protocolo de Internet de alta seguridad (HAIPE) de la NSA o arquitecturas basadas en soluciones comerciales para información clasificada (CSfC).

Versa