SD-WAN y Secure Service Edge para el Departamento de Defensa e implantaciones ultraseguras

Versa Networks es líder del mercado en tecnología SD-WAN, SD-Security y SASE , con más de 120 socios proveedores de servicios en todo el mundo. En los Estados Unidos (EE.UU.), los mayores socios de Versa incluyen Verizon, Lumen y Comcast. Versa cuenta con el mayor número de despliegues globales de SD-WAN. La solución Versa es responsable de la interconexión y la seguridad de muchas redes globales de misión crítica en los sectores financiero, bancario, energético, satelital, marítimo, minorista, sanitario y otros verticales en los que el mejor rendimiento de usuario a aplicación frente a todo tipo de fallos y la seguridad son el objetivo principal.

Lea el libro blanco aquí o Descargar el PDF.

 
 

Resumen

Este libro blanco describe cómo las soluciones Versa SD-WAN, ZTNA y SASE son muy adecuadas para redes satelitales, marítimas y federales que operan en condiciones adversas y DDIL (Denegadas, Interrumpidas, Intermitentes y Limitadas) y que a menudo aprovechan el Cifrado de Protocolo de Internet de Alta Seguridad (HAIPE) de la NSA o las arquitecturas basadas en Soluciones Comerciales para Clasificados (CSfC).

Sección 1: Gartner ha reconocido a Versa en la parte superior derecha del Cuadrante Mágico SD-WAN (MQ)

El informe MQ de Gartner incluía dos subcategorías en las que Versa ocupaba el primer puesto:

  1. Capacidades críticas
  2. Grandes redes globales complejas. Gartner también ha elaborado un informe sobre las empresas con más capacidades SASE . Versa se situó a la cabeza del informe de capacidades SASE de Gartner al ofrecer 13 de las 15 tecnologías identificadas por Gartner.

NSS Labs ha probado Versa SD-WAN, NGFW (cortafuegos de nueva generación) y NGIPS (sistema de prevención de intrusiones de nueva generación). La eficacia del producto a la hora de detener ataques fue muy alta, mientras que el coste de Mbps asegurados fue el más bajo entre los OEM.

Versa ha unido sus funciones nativas SD-WAN, SD-Security y Multi-Cloud para ofrecer una solución SASE y Multi-Cloud cohesiva y completa.

Algunas de las principales diferencias entre Versa y otras soluciones son:

  • Integración de SD-WAN, SD-Security y Multi-Cloud en una única plataforma.
  • Un único panel de gestión para SD-WAN, SD-Security y Multi-Cloud.
  • Gestión unificada de políticas: una pila de software (VOS) para las instalaciones, la nube SASE y el perímetro.
  • Protección contra amenazas basada en sistemas multidefensa y corrección casi en tiempo real.
  • Acceso a la Red de Confianza Cero basado en Usuario, Grupo, Postura del Dispositivo, Aplicación, Contenido, Geolocalización, Puntuación de Confianza de la Entidad, Etiqueta de Seguridad asociada a la fuente, y muchos factores más.
  • Compatibilidad con Secure Private Access, Secure Web Gateway (SWG), servicios Cloud Access Security Broker, Data Loss Prevention (DLP), Remote Browser Isolation (RBI), User Entity Behaviour Analytics, Security based on AI/ML, Dynamic Analysis of Malware using Sandboxing y Next-Generation Unified Threat Management.
  • VANI (AIOps) para detección de anomalías, predicción de tráfico, correlación de eventos y chatbot (Verbo).
  • Dirección óptima del tráfico y aceleración de SaaS mediante la red troncal SASE Versa Traffic Engineered (TELS: Traffic Engineering Link State).
  • Instanciación dinámica de inquilinos y puertas de enlace virtuales: escalado automático elástico e inteligencia de red para satisfacer las demandas de capacidad en tiempo real.
  • SD-WAN Lite para clientes SASE y routers de terceros.
  • Arquitectura de paso único: rendimiento incomparable a escala.
  • Arrendamiento múltiple jerárquico y control de acceso granular basado en roles (RBAC).
  • Encadenamiento versátil de servicios de funciones de red virtuales (VNF) y funciones de red físicas (PNF).
  • Soporte para análisis de big data.
  • Integración con múltiples fuentes de inteligencia de seguridad, incluidas las herramientas de conocimiento de la situación cibernética (SA) para una difusión global rápida y una aplicación en tiempo real.

La figura 2 muestra un gráfico periódico de las funciones de enrutamiento, SD-WAN y borde de servicios seguros que admite Versa. Con estas funciones, Versa permite a sus clientes hacer lo siguiente:

  • Implemente una red SD-WAN y SASE global con ingeniería de tráfico segura que pueda proporcionar la mejor experiencia de aplicación para usuarios y dispositivos IoT, independientemente de su ubicación y de la de las aplicaciones. Esto se muestra en la Figura 1.
  • Acceso a la red de confianza cero basado en el usuario, el grupo, la postura del dispositivo, la aplicación, el contenido, la geolocalización, la puntuación de confianza de la entidad, la etiqueta de seguridad asociada a la fuente, cualquier campo de capa3 a capa7 del paquete y la hora del día.
  • Protección contra amenazas basada en sistemas multidefensa y corrección casi en tiempo real.
Tejido Versa Secure Access Service Edge
Figura 1
Versa VOS - Conjunto de funciones SASE (SD-WAN + Security Service Edge) líder del mercado
Figura 2
 

Sección 2: Características, uso y diferenciadores

Construida utilizando protocolos basados en estándares IETF: Basado en BGP/MPLS VPN y Ethernet VPN, con el uso de un SAFI Privado (Sub Address Family Identifier) para transportar información relacionada con SD-WAN como:

  • Gestión de claves
  • Estado y estado del circuito de acceso
  • Información relacionada con NAT
  • Información sobre SLA a aplicaciones críticas

Gestión de claves y certificados

  • Emulación real de IKE sin utilizar IKE.
  • El secreto de una sucursal nunca se envía por cable y puede rotarse cada cuatro minutos.
  • Se deriva algorítmicamente un secreto compartido único entre cada par de ramas.
  • Funciones avanzadas de gestión de certificados.
  • Compatibilidad con OCSP, CMPv2, SCEP y ACME
  • Compatibilidad con la gestión externa de claves mediante el Protocolo de Interoperabilidad de Gestión de Claves (KMIP) para implantaciones que requieran claves generadas por el arrendatario/cliente.

Capacidad de despliegue en entornos DDIL (Denegado, Interrumpido, Intermitente y Limitado).

  • Tres imágenes VM - El conjunto mínimo de imágenes para operar completamente desconectado es de tres. Todas las actualizaciones de imágenes de seguridad son compatibles en un entorno completamente desconectado.
  • Licencia gestionada centralmente por Versa Director. Versa Director es una de las tres imágenes donde se carga la licencia y no requiere llegar de nuevo a o a través de Internet.
  • Versa Analytics es una de las imágenes. Proporciona a los operadores una visibilidad completa de la seguridad, la conectividad y el rendimiento.
  • Panel único de gestión, así como aprovisionamiento centralizado, gestión, supervisión, visibilidad y análisis de Big Data para todos los servicios SASE (SD-WAN, SSE) y multicloud.
  • La solución SD-WAN más utilizada por los proveedores de servicios por satélite, navieros y marítimos. Admite hasta 14 dominios de transporte subyacente por nodo. Puede alojar simultáneamente múltiples subyacentes como SATCOM (LEO, MEO, GEO), MPLS privado, LTE/5G, fibra terrestre, banda ancha y otros.

Dirección versátil del tráfico, acondicionamiento del tráfico y optimización avanzada de TCP

  • Dirección del tráfico basada en cualquier campo de capa3-capa7 del paquete, aplicación de capa7, categoría de URL, usuario, grupo, postura del dispositivo, puntuación de confianza de la entidad, geolocalización, etiqueta de seguridad asociada a la fuente, hora del día y otros factores.

    • Tunnel-less por flujo. Versa puede soportar SD-WAN sin túnel donde y cuando sea necesario. Consulte la sección "Solución SD-WAN sin túnel de Versa".
    • El cifrado puede activarse o desactivarse por flujo.
  • La solución Versa es muy adecuada y proporciona la mejor experiencia de aplicación para redes satelitales, marítimas y federales que aprovechan el cifrado de protocolo de Internet de alta seguridad(HAIPE) de la NSA o arquitecturas basadas en soluciones comerciales para clasificados(CSfC) que podrían experimentar DDIL y condiciones adversas. Consulte la sección "Versa SD-WAN para soluciones clasificadas".
  • La dirección del tráfico se basa en la visibilidad de las características de la ruta dinámica de extremo a extremo, como la pérdida de paquetes, la latencia y la fluctuación. Esta función proporciona unos SLA de aplicación de extremo a extremo más precisos y resistentes. Todos los demás proveedores seleccionan la mejor ruta basada en SLA hasta el siguiente salto inmediato. Sólo Versa puede dirigir el tráfico basándose en métricas de ruta de extremo a extremo.
  • Acondicionamiento del tráfico mediante FEC, replicación y otras medidas, que se activan automáticamente cuando el SLA se degrada y se detienen cuando el SLA mejora. Estas funciones están disponibles para todos los tipos de tráfico y no solo para voz y vídeo.
  • Soporta algoritmos avanzados de optimización TCP y control de congestión como BBR, Hybla, SACK, Recent Acknowledgement.

Amplias capacidades de QoS La solución Versa admite una QoS muy completa (Layer3-QoS-Policy, AppQoS Policy, Policer, Marking, HQoS con 4K shapers y 64.000 colas) y capacidades de direccionamiento de tráfico SD-WAN. En función de los campos de capa 3 y capa 7 del tráfico recibido, incluida la aplicación, la categoría de URL y la postura del dispositivo, se asocia una clase de reenvío (FC) y una prioridad de pérdida de paquetes (PLP) a un flujo de tráfico. La FC y la PLP priorizan y programan el tráfico dentro de una plataforma VOS. Además, la reescritura de las cabeceras internas y externas y el modelado de salida se basan en la FC y la PLP. Por lo tanto, el tráfico de misión tiene prioridad sobre el tráfico menos crítico dentro de un dispositivo Versa, así como en la transmisión.

Muy adecuado para el despliegue de redes en zonas industriales abandonadas.

  • Compatible con los principales protocolos de capa 2 y 3 (IPv4 e IPv6).
  • Compatibilidad con IPv4, IPv6 y doble pila para VRF, así como transporte subyacente.

Soporta topologías complejas como Full Mesh, Hub and Spoke, Partial Mesh, Spoke-Hub-Hub-Spoke, Hub-Controllers, Controller behind the hub, y muchas más.

Infraestructura de plantillas muy rica: Versa soporta una infraestructura de plantillas muy rica que soporta una jerarquía de plantillas. Utilizando esta jerarquía de plantillas, se pueden definir políticas globales con políticas específicas que tienen mayor precedencia. Esto hace que la gestión global de la configuración sea sencilla y eficaz.

Un grupo de dispositivos es una colección de dispositivos con configuraciones similares pero no idénticas. Un grupo de dispositivos suele estar asociado a una plantilla de dispositivo y a un conjunto de plantillas de servicio de distintos tipos, como plantilla de servicio de seguridad, plantilla de servicio de dirección de aplicaciones, plantilla de servicio QoS, plantilla de servicio general y otras. Un grupo de dispositivos puede estar asociado a múltiples plantillas de servicios de seguridad que se aplican en un orden especificado por el operador. Además, puede haber plantillas de servicios de seguridad específicas para cada dispositivo.

CGNAT para v4 y v6 NAPT-44, DNAT-44, Dynamic NAT-44, Basic-NAT-44, Twice Basic NAT-44, NPT66, NAT64, MAP-E

Múltiples opciones para el aprovisionamiento sin intervención.

CPE universal para alojar múltiples VNF. Encadenamiento de servicios de VNF alojadas y PNF físicas externas.

 
 

Sección 3: Solución SD-WAN sin túneles de Versa

Versa también ofrece una solución SD-WAN sin túnel, que hace que la red sea más escalable y eficiente en ancho de banda, eliminando la fragmentación de paquetes y mejorando la seguridad. Algunos de los casos de uso que impulsaron esta solución sin túneles fueron las redes satelitales, marítimas y federales que aprovechan el cifrado de protocolo de Internet de alta seguridad (HAIPE) de la NSA o las arquitecturas basadas en soluciones comerciales para clasificación (CSFC).

Versa también ofrece una solución SD-WAN sin túnel, que hace que la red sea más escalable y eficiente en ancho de banda, eliminando la fragmentación de paquetes y mejorando la seguridad. Algunos de los casos de uso que impulsaron esta solución sin túneles fueron las redes satelitales, marítimas y federales que aprovechan el cifrado de protocolo de Internet de alta seguridad (HAIPE) de la NSA o las arquitecturas basadas en soluciones comerciales para clasificación (CSFC).

En el caso de todas las soluciones Tunnel-less, el paquete interior se divide en campos mutables e inmutables. La Figura 3 muestra todos los campos comunes de una cabecera IP, una cabecera TCP y una cabecera UDP. Un subconjunto de campos inmutables dentro de una cabecera IP, cabecera TCP y cabecera UDP, que son invariables durante la duración de un flujo de 5 tuplas, se muestran en color azul. Todas las soluciones asocian algún tipo de cookie, etiqueta, identificador de flujo o un par (puerto de origen, puerto de destino) con los campos inmutables.

Esta cookie/etiqueta/id de flujo/par de puertos se comunica con todo el paquete de carga útil desde un CPE SD-WAN emisor (SDWAN-CPE1) a un CPE SD-WAN receptor (SDWAN-CPE2) al menos una vez. Una vez que un SDWAN-CPE remoto (por ejemplo, SDWAN-CPE2) ha aprendido el mapeo del remitente (por ejemplo, SDWAN-CPE1) y se lo comunica al remitente, el remitente (SDWAN-CPE1) codifica su flow-id en la cabecera SDWAN y omite todos los campos inmutables del paquete de carga útil en el tráfico que se envía desde SDWAN-CPE1 a SDWAN-CPE2. Tenga en cuenta que dentro de la solución Versa Tunnel-less, un CPE SD-WAN emisor omite muchos otros campos IP, TCP y UDP del paquete de carga útil cuando envía tráfico a un CPE SD-WAN par. Estos campos no se describen en este libro blanco.

Campos de cabecera inmutables
Campos de cabecera inmutables
Figura 3

Un flujo de paquetes detallado en el caso de la solución Versa Tunnel-less se describe en la Figura 4, donde el Cliente5 (C5) se comunica con el Servidor7 (S7) a través de SD-WAN CPE-1 y SD-WAN CPE-2.

  1. El paso 1 muestra un paquete del Cliente5 al Servidor7 con Payload1 de C5 a S7.
  2. Al recibir este paquete para un nuevo flujo de 5 tuplas, SD-WAN CPE-1 valida su paquete, crea una sesión de C5 a S7, elige FlowId51 para este flujo y ejecuta todos los servicios ricos de Capa3-Capa7 (ZTNA, SD-WAN, UTM, CASB, SWG, HQoS, etc.). La información relativa a todos los servicios se envía a Versa Analytics.
  3. A continuación, como se muestra en el paso 3, CPE1 cifra el paquete recibido de C5 a S7, codifica su identificador de flujo local (CPE1-To-CPE2 FlowId51) en el encabezado UDP externo y envía el paquete a SD-WAN CPE2 a lo largo de la mejor ruta subyacente para la aplicación a la que pertenece este paquete.
  4. Al recibir este paquete de CPE-1 para un nuevo flujo de 5 tuplas, SD-WAN CPE-2 crea una sesión, guarda el FlowId51 que recibió de CPE1 y que utilizaría en futuros paquetes, descifra y valida el paquete, asigna su propio FlowId22 para este flujo y ejecuta todos los servicios ricos de Capa3-Capa7 (ZTNA, SD-WAN, UTM, CASB, SWG, HQoS, etc.). La información relativa a todos los servicios se envía a Versa Analytics. Esto se muestra en el paso 4.
  5. CPE2 reenvía el paquete descifrado del Cliente5 al Servidor7. Esto se muestra en el paso 5.
  6. El paso 6 muestra la respuesta del Servidor7 al Cliente5 con Payload2.
  7. Al recibir este paquete de S7 a C5, SD-WAN CPE-2 valida este paquete, ejecuta todos los servicios ricos de Capa3 a Capa7 (ZTNA, SD-WAN, UTM, CASB, SWG, HQoS, etc.), encripta el paquete recibido de S7 a C5, codifica su id de flujo local (CPE2-To-CPE1 FlowId22) en el encabezado UDP externo, y envía el paquete a SD-WAN CPE1 a lo largo de la mejor ruta subyacente para la aplicación a la que pertenece este paquete. SD-WAN CPE2 también informa a SD-WAN CPE1 que ha aprendido FlowId51 que CPE1 ha asignado para este flujo. Esto se muestra en el paso 7.
  1. En el paso 8, SD-WAN CPE1 actualiza el estado de la sesión con el hecho de que CPE2 ha aprendido sobre su FlowId51 y está listo para recibir paquetes que están codificados con FlowId51.
  2. Después de realizar todos los servicios necesarios en el paquete descifrado, CPE1 reenvía el paquete con Payload2 del Servidor7 al Cliente5. Esto se muestra en el paso 9.
  3. Tras recibir el paquete con Payload3 del Cliente5 al Servidor7 (paso 10), SD-WAN CPE1 valida y ejecuta todos los servicios. A continuación crea un nuevo payload que sólo tiene los campos mutables del paquete de Cliente5 a Servidor7 con Payload3. Cifra esta carga útil, codifica su identificador de flujo local (CPE1-To-CPE2 FlowId51) en el encabezado UDP externo y envía el paquete a SD-WAN CPE2 a lo largo de la mejor ruta subyacente para la aplicación a la que pertenece este paquete. SD-WAN CPE1 también informa a SD-WAN CPE2 que ha aprendido FlowId22 que CPE2 ha asignado para este flujo. Esto se muestra en el paso 11.
  4. En el paso 12, SD-WAN CPE2 actualiza el estado de la sesión con el hecho de que CPE1 ha aprendido sobre su FlowId22 y está listo para recibir paquetes que están codificados con FlowId22.
  5. Después de realizar todos los servicios necesarios en el paquete descifrado, CPE2 reenvía el paquete con Payload3 del Cliente5 al Servidor7. Esto se muestra en el paso 13.
  6. Después de recibir el paquete con Payload4 del Servidor7 al Cliente5 (paso 14), SD-WAN CPE2 valida y ejecuta todos los servicios. Luego crea un nuevo payload que sólo tiene los campos mutables del paquete de Server7 a Client5 con Payload4. Cifra esta carga útil, codifica su identificador de flujo local (CPE2-To-CPE1 FlowId22) en la cabecera UDP externa, y envía el paquete a SD-WAN CPE1 a lo largo de la mejor ruta subyacente para la aplicación a la que pertenece este paquete. Esto se muestra en el paso 15.
  7. Después de realizar todos los servicios necesarios en el paquete descifrado, CPE1 reenvía el paquete con Payload4 del Servidor7 al Cliente5. Esto se muestra en el paso 16.
Flujo de paquetes
Flujo de paquetes SD-WAN
Figura 4

En la solución sin túnel de Versa, el primer paquete de un nodo SD-WAN de entrada a un nodo SD-WAN de par y viceversa tendrá la información completa, mientras que todos los paquetes posteriores de cualquier dirección sólo llevarán los metadatos junto con la carga útil, lo que nos permite acomodar cargas útiles más grandes o conservar el uso del ancho de banda en función de nuestro caso de uso.

En comparación con las tecnologías sin túnel existentes en el mercado, la innovadora solución Tunnel-Less de Versa presenta importantes ventajas, algunas de las cuales se enumeran a continuación.

  • La solución Versa sólo necesita abrir un único puerto, "4790" o "4500", dentro de la subcapa SD-WAN, frente a los varios puertos que requieren otras tecnologías.
  • La solución Versa Tunnel-less no invalida los números de secuencia de los paquetes recibidos, ni añade metadatos a los paquetes TCP SYN, lo que podría no ser aceptable para cortafuegos y dispositivos de tránsito. Como resultado, a diferencia de otras soluciones, los paquetes TCP no tienen que transformarse en paquetes UDP.
  • Versa Orchestrator admite una infraestructura de plantillas muy rica que permite configurar un grupo de dispositivos de forma centralizada con configuraciones similares que no tienen por qué ser idénticas. Como resultado, la información relativa a inquilinos, servicios y políticas de seguridad no tiene que ser transportada como parte de ningún metadato.
  • La solución Versa Tunnel-less no se ve afectada por la presencia de dispositivos NAT y cortafuegos en las redes de transporte subyacentes. La solución Versa no requiere paquetes keep-alive para sesiones de usuario individuales, de modo que las sesiones NAT no caducan.
  • Una sucursal Versa (VOS) utiliza una variante de Connectivity Fault Management/Y.1731 (CFM: IEEE 802.1ag) para supervisar todas las posibles rutas a otras sucursales con las que necesita comunicarse directamente. Una ruta se define por la dirección de transporte en una rama a una dirección de transporte en otra rama. VOS utiliza esta variante de CFM para construir una base de datos de información sobre (Latencia, Jitter, Pérdida de paquetes y Retardo de ida y vuelta) a otros sitios SD-WAN a través de varios circuitos de acceso. Esta medición de SLA se realiza por (clasificador de transporte, ruta de transporte), donde los clasificadores de transporte son DSCP y MPLS EXP. Dado que el SLA ofrecido por una ruta de transporte subyacente depende principalmente de (clasificador de transporte, ruta de transporte), la solución Versa es mucho más escalable que la medición activa de SLA de extremo a extremo para sesiones de usuario individuales. Versa admite la supervisión pasiva de sesiones individuales.
  • El cifrado Versa es compatible con la protección contra repetición compatible con IETF, el vector de inicialización, HMAC y casi todos los cifrados. Los CPE Versa SD-WAN no necesitan HMAC basado en tiempo (que requiere que los CPE SD-WAN tengan relojes sincronizados con precisión) para detectar una repetición de paquetes.
  • La tunelización puede activarse o desactivarse por flujo entre dos sitios cualesquiera.
  • El cifrado puede activarse o desactivarse por flujo.
  • La solución Versa admite una conmutación muy eficaz de rutas de transporte subyacentes y cambios en las direcciones de transporte de los CPE SD-WAN.
  • La solución Versa se basa en protocolos y mecanismos que han alimentado redes de misión crítica durante muchos años. La solución Versa se adapta muy bien a cualquier red brownfield y permite la migración gradual a SD-WAN.
  • Esta solución SD-WAN sin túnel funciona de forma cohesiva y en conjunción con el mejor y más completo conjunto de funciones SD-WAN de Versa, como la dirección de aplicaciones basada en la aplicación Layer7, el usuario, el grupo, la categoría de URL, la postura del dispositivo, la puntuación de confianza de la entidad y otros factores, versátiles capacidades de acondicionamiento del tráfico mediante FEC, replicación y stripping, algoritmos avanzados de control de congestión TCP como BBR, Hybla, RACK, Tail-Loss Probes y SACK, y SD-WAN Traffic Engineering Link State.
 
 

Sección 4: Interoperabilidad con otras soluciones SD-WAN sin túnel

SD-WAN crea una red privada virtual que es independiente del transporte y de las aplicaciones, y admite la gestión y el aprovisionamiento centralizados. Es esencial que una solución SD-WAN pueda insertarse fácilmente en una red existente y permitir la migración gradual de las redes MPLS o DMVPN existentes a la red SD-WAN.

Como se ha explicado anteriormente, en el caso de todas las soluciones Tunnel-less, el paquete interno se divide en campos mutables e inmutables. Todas las soluciones asocian alguna forma de cookie, etiqueta, flow-id, o un par (origen-puerto, destino-puerto) con los campos inmutables. Este par de cookie/etiqueta/id de flujo/puerto se comunica con todo el paquete de carga útil desde un CPE SD-WAN emisor (SDWAN-CPE1) a un CPE SD-WAN receptor (SDWAN-CPE2) al menos una vez. Una vez que un SDWAN-CPE remoto (por ejemplo, SDWAN-CPE2) ha aprendido el mapeo del remitente (por ejemplo, SDWAN-CPE1) y lo comunica al remitente, el remitente (SDWAN-CPE1) codifica su flow-id en la cabecera SDWAN y omite todos los campos inmutables del paquete de carga útil en el tráfico que se envía desde SDWAN-CPE1 a SDWAN-CPE2.

Debido a las diferentes formas (flow-ids, combinación de puerto exterior de origen y puerto de destino) que los distintos proveedores han elegido para codificar los datos inmutables, sólo pueden interoperar en los límites (NNI: Network to Network Interface) de las redes SDWAN de los distintos proveedores. Esto se debe, entre otras cosas, a que la gestión de claves, la codificación de paquetes, el cifrado/descifrado, el plano de control (propagación de rutas), el plano de gestión (configuración y supervisión) y el plano de visibilidad (análisis de macrodatos) son muy diferentes para todos los proveedores.

Dos proveedores pueden interoperar utilizando protocolos basados en IETF como E-BGP, IPsec basado en IKE y TWAMP. Dos proveedores también pueden añadir la capacidad de descodificar y codificar los formatos del plano de datos del otro.

 
 

Sección 5: Solución Versa SD-WAN for Classified

La figura 5 describe cómo la solución Versa proporciona sus completas capacidades SD-WAN y ZTNA en redes federales que aprovechan el cifrado de protocolo de Internet de alta seguridad (HAIPE) de la NSA o las arquitecturas basadas en soluciones comerciales para clasificación (CSfC). Estos despliegues suelen tener varias capas, en las que una red negra formada por varias redes SATCOM, MPLS, celular (4G/5G) y otras subyacentes proporcionan transporte a la red roja.

Solución Versa SD-WAN para clasificados
Gráfico 5
  1. CPE 2-1 y CPE 2-5 son CPEs Versa SD-WAN en los bordes del tejido negro amorfo y ubicuo. Estos CPEs proporcionan capacidades integrales SD-WAN y SD-Security. En el ejemplo mostrado, el tejido negro tiene tres redes subyacentes: SatCom-Meo, SatCom-Geo y MPLS privada.
  2. CPE 1-1 y CPE 1-5 son CPEs Versa SD-WAN en los bordes de red-site-1 y red-site-2. Estos CPE SD-WAN también proporcionan capacidades completas SD-WAN y SD-Security. Estos CPE pueden recibir datos de alto secreto o datos no críticos para la misión. El tráfico que sale de los sitios rojos suele estar cifrado por HAIPEs.
  3. Un portátil con dirección 10.1.12.100 en red-site-1 a la izquierda de Gráfico 5 desea comunicar información de misión crítica de alto secreto a un endpoint con dirección IP 10.50.22.100, ubicado en red-site-2, como se muestra en el paso-1 de la figura. Basándose en la configuración del usuario, SD-WAN CPE-1-1 haría lo siguiente al recibir este tráfico.
    • Clasificar el paquete en función de la aplicación, la categoría de URL, el usuario, el grupo, la postura del dispositivo, la puntuación de confianza de la entidad, la etiqueta de grupo de seguridad y cualquier campo de capa 3-7 del paquete recibido(información de clasificación).
    • El punto de código DiffServ del paquete que sale de SD-WAN CPE-1-1 desde su interfaz WAN (con dirección IP 192.168.11.101) se determinaría mediante una tabla de asignación que utiliza la información de clasificación o copiando el DSCP del paquete recibido o alguna combinación de ambos. Así, los flujos de misión crítica y no crítica se asociarían con los DSCP apropiados. Esto se muestra en el paso 2.
    • Asociar un flow-id a este flujo.
    • Cifrar o no cifrar este flujo.
    • A continuación, se elige el mejor transporte subyacente basándose en las políticas de direccionamiento de tráfico de SD-WAN, que tienen en cuenta el tipo de aplicación y el SLA ofrecido por varias rutas subyacentes.
    • A continuación, el paquete pasa por "scheduling and shaping" y se reenvía al siguiente salto que pertenece a la mejor subcapa. Esto se muestra en el paso 3 de la figura.
  4. Al recibir este tráfico, el HAIPE1 podría optar por cifrarlo. El HAIPE1 podría configurarse para copiar el DSCP del paquete recibido en la cabecera externa, que el HAIPE1 añadiría. Esto se muestra en el paso 4. A continuación, como se muestra en el paso 5, HAIPE1 encapsularía el paquete con una cabecera externa y reenviaría el paquete al CPE 2-1.
  5. Al recibir este paquete, el CPE 2-1 de SD-WAN en el borde de la red negra haría lo siguiente:
    • Asociar un flow-id apropiado
  • Como se muestra en el paso 6 de Gráfico 5El CPE 2-1 determina el subyacente apropiado basándose en las reglas configuradas de la política de direccionamiento de tráfico SD-WAN, que dependerán de lo siguiente.
    • La dirección IP de origen (la dirección IP 172.16.1.1 del HAIPE de origen), la dirección IP de destino (la dirección IP 172.16.5.5 del HAIPE de destino) y el DSCP del paquete recibido.
    • Preferencia configurada para las distintas redes subyacentes para esta clase de tráfico
    • El SLA en tiempo real observado en las distintas redes subyacentes (MPLS, Satcom-Meo, SatCom-Geo en este ejemplo).
  • Realiza el acondicionamiento del tráfico utilizando alguna combinación de corrección de errores hacia adelante y replicación de paquetes en función del SLA ofrecido por los transportes subyacentes.
  • Realiza la eliminación de paquetes si es necesario.
  • Aplica algoritmos avanzados de control de congestión como BBR y Hybla si se recibe tráfico TCP no cifrado.
  • A continuación, el paquete pasa por "scheduling and shaping" y se reenvía al CPE SD-WAN remoto 2-5 utilizando el mejor underlay. Esto se muestra en el paso 7 de la figura.
  1. SD-WAN CPE 2-5 en el borde de la red negra haría lo siguiente:
    • Elimina la cabecera SD-WAN.
    • Restaura el paquete HAIPE1 a HAIPE2.
    • Realiza cualquier procesamiento de flujo y corrección necesarios si se activaron FEC y la replicación de paquetes.
    • Enruta el tráfico hacia HAIPE2 como se muestra en el paso 8 de la Figura 5.
  2. HAIPE2 desencriptaría el tráfico y lo reenviaría hacia SD-WAN CPE 1-5 en el borde del sitio rojo-2, como se muestra en el paso 9.
  3. SD-WAN CPE 1-5 en el borde del sitio rojo-2 haría lo siguiente:
    • Retire la cabecera SD-WAN.
    • Restaurar el paquete de Endpoint-1 a Endpoint-2
    • Realice cualquier procesamiento de flujo y corrección necesarios si se activaron FEC y la replicación de paquetes.
    • Enrute el tráfico hacia el Endpoint-2 como se muestra en el paso 10 de la Figura 5.

Los paquetes que no son críticos para la misión, por ejemplo, desde 192.168.2.2 en red-site-1 a 192.168.6.6 en red-site-2, se dirigen de forma similar basándose en la configuración de dirección y acondicionamiento del tráfico.

 
 

Sección 6: Versa Real Time Monitor y Versa Analytics

Versa Real Time Monitor proporciona información en tiempo real sobre todos los servicios de red, SD-WAN y seguridad que están configurados en cada appliance Versa. También proporciona información relativa a la salud (CPU, Memoria, Ancho de banda en cada una de las interfaces, Carga) de las instancias VOS.

Versa Analytics es una solución de big data que analiza registros y eventos y proporciona potentes informes, análisis y comentarios a Versa Director. Se integra de forma nativa con productos SIEM y de generación de informes de datos de terceros, como HP ArcSight, Splunk, IBM QRadar, LogRhythm y Elastic Search. Los VOS™ en las sucursales proporcionan continuamente información de supervisión de Versa Analytics relacionada con enlaces, rutas de red, eventos de seguridad, servicios, aplicaciones, etc. Además, cada servicio del VOS™, como el cortafuegos de nueva generación, IDS/IPS, filtrado de URL, CASB, SWG, DLP, RBI, UEBA, DNS Proxy y otros módulos, genera mensajes de registro a nivel de flujo y agregados que son consumidos por la plataforma Versa Analytics.

Toda esta información puede aprovecharse para funciones como la planificación de la capacidad y el análisis forense de la seguridad. Las figuras 6, 7, 8 y 9 muestran algunos ejemplos de la información disponible con Versa Analytics.

Versa Analytics envía estos registros a Versa UEBA a través de un bus KAFKA. Versa UEBA puede rastrear y marcar eventos anómalos de todas las entidades, como usuarios, portátiles, teléfonos, dispositivos IoT, etc. Si un usuario o un dispositivo IoT muestra un comportamiento anómalo, su puntuación de confianza de la entidad (Entity Confidence Score, ECS) se degrada. Este ECS se utiliza en diferentes tipos de políticas, como la Política de Control de Acceso de Seguridad y la Política de Monitorización de Tráfico. Si el ECS de una entidad se degrada, entonces se publica a todos los suscriptores (como las puertas de enlace de Versa Cloud) utilizando el Servicio de Mensajes Versa. Las puertas de enlace de Versa Cloud pueden aplicar correcciones en tiempo real cuando el ECS se degrada.

Pantalla de ejemplo 1 de Versa Analytics
Figura 6
Pantalla de ejemplo 2 de Versa Analytics
Gráfico 7
Pantalla 3 de ejemplo de Versa Analytics
Figura 8
Pantalla de ejemplo 4 de Versa Analytics
Figura 9
 
 

Sección 7: Resumen

La solución Versa SD-WAN, ZTNA y Secure Services Edge proporciona una red SD-WAN y SASE global con ingeniería de tráfico segura que ofrece la mejor experiencia de aplicación para usuarios y dispositivos IoT, independientemente de su ubicación y la de las aplicaciones, incluso en condiciones DDIL y adversas. La solución Versa es muy adecuada para redes satelitales, marítimas y federales que aprovechan el cifrado de protocolo de Internet de alta seguridad (HAIPE) de la NSA o las arquitecturas basadas en soluciones comerciales clasificadas (CSfC).

Resumen de Versa