Этот перевод статьи Маурицио Санчеса, Dell’Oro Group, открывает серию из трех частей об архитектуре café networking (CN). Под этим термином подразумевают архитектуру филиала, основанную на приоритетном использовании прокси. В этом подходе интернет применяют как основную транспортную сеть, а облачный прокси становится ключевым шлюзом для всего трафика. Управление и безопасность полностью перемещаются в облако (модель SASE/SSE), что устраняет необходимость в сложной локальной инфраструктуре. Локальный сегмент при таком подходе максимально упрощается (широкополосный доступ, базовое CPE, Wi-Fi), а принцип «прокси в первую очередь» и сегментация на основе идентификаторов предотвращают горизонтальное перемещение угроз.

- -

Сценарий

В полдень начинает работу временная клиника, и уже через несколько минут врачи безопасно заполняют медицинские карты, работают принтеры, а с планшета можно быстро проверить страховой полис — без сложных настроек внутренней сети и обычных проблем безопасности, связанных с необходимостью расширения частной корпоративной сети. Идентификация, проверка состояния устройств – основную работу выполнит облачный прокси-сервер.

Эта статья открывает серию из трех частей о café networking и закладывает основу для понимания того, что это такое, почему об этом сейчас важно знать и как, собственно, начать.

Café networking, определение

Café networking — это архитектура филиала, основанную на приоритетном использовании прокси, которая основана на использовании интернета в качестве «базовой сети», в которой плоскость управления и контроля находится в облаке. При таком подходе в целом нет понятия «расширение корпоративной сети для филиала», не требуются частные диапазоны IP-адресов и VLAN.

В результате, если пользователь или устройство в филиале скомпрометированы, программы-вымогатели и другое вредоносное ПО не смогут проникнуть в центр обработки данных или в облачное приложение. Радиус поражения ограничен, и каждый объект в такой архитектуре автоматически сегментируется.

Идентификация и состояние устройств формируют плоскость управления, политики и проверки обеспечиваются в облаке, а большая часть трафика обрабатывается через облачный прокси. В качестве основы используется защищенная периферия доступа (SASE). Периферия безопасности (SSE) обеспечивает защиту. SD-WAN используется лишь для детерминированных, ограниченных по времени исключений, а не в качестве основного пути для всего трафика.

Основные принципы просты и прагматичны: минимизация локальной инфраструктуры (широкополосный доступ или канал LTE/5G, небольшое устройство для доступа к облаку и точка доступа Wi-Fi). Принцип приоритета прокси-сервера является обязательным. Сегментация пользователей, устройств и конечных точек IoT осуществляется с помощью политики минимальных привилегий, обеспечиваемой идентификацией и состоянием устройств. Обеспечивается сбор полной телеметрии — данных о пользователях, устройствах, приложениях и решениях, касающихся политик, — для управления операциями, обеспечения безопасности и соответствия требованиям. Когда этого требуют устаревшие или жестко заданные потоки, можно разрешить узкий набор маршрутизируемых туннелей, каждый из которых регистрируется в реестре исключений с указанием владельца, причины и даты завершения.

Почему это актуально, и где это применимо

Наши недавние данные исследования рынка SASE подчеркивают переход к облачной безопасности и доступу: выручка SASE в 2024 году составила почти $10 миллиардов, что соответствует среднегодовым темпа роста (CAGR) в 30% в период с 2019 по 2024 год.

Пятилетний прогноз для SSE также показателен: выручка SSE в 2024 году составила $6 миллиардов, а прогноз на 2029 год — $11 миллиардов.

Тем временем, сегмент периферийных сетей, ориентированный на аппаратное обеспечение, сокращается: выручка от маршрутизаторов доступа в 2024 году составила менее $2 миллиардов, снизившись на 22% по сравнению с 2023 годом, и, по прогнозам, к 2029 году сократится до $1 миллиарда.

Таким образом, операционная модель сети теперь должна фокусироваться на обеспечении безопасности — в частности, авторизации на основе идентификации, на гибкости политик и проверке облачных ресурсов — а не на на устройствах и проводах.

Сетевые решения café networking лучше всего подходят к кейсам, где повторяемость, скорость и стоимость обслуживания более важны, чем глубокая оптимизация сети, например, во временных точках продаж, в розничных «микро-центрах», клиниках, офисах продаж, полевых пунктах, распределенных помещениях и коворкингах. Они также могут применяться в кампусных сетях, как их дополнение, делая использование прокси-серверов нормой и сохраняя минималистичный требования к локальным сегментам.

Есть и проблемы, но их можно решить при соблюдении следующих подходов:

• Ограничения исходного IP-адреса: блокировка IP-адресов, выходящих за пределы утвержденных диапазонов.

• Протокол инициации голосовой связи/сессии (SIP) и другие медиафайлы реального времени: SD-WAN с ограниченным диапазоном для детерминированных потоков с жесткими гарантиями потерь и дрожания (джиттера).

• Зависимость от многоадресной/широковещательной передачи: небольшой сегментированный локальный домен плюс рефакторинг на одноадресную передачу, когда это возможно.

• Операционные технологии и некоторые стеки IoT, предполагающие локальную смежность: локальные микросегменты с безагентными проверками состояния на основе поведения, с маршрутизацией только детерминированных потоков.

• Суверенитет и размещение данных: региональные/частные границы для хранения данных и журналов в пределах региона.

• Автономные операции при обрыве оптоволокна или отключении электроэнергии: переключение на резервную сотовую связь и сценарии работы в режиме пониженной производительности, которые определяют, что работает, что не работает и кто принимает решение о переключении режимов.

Итак, стартуем: 30/60/90, исключения и ключевые показатели эффективности (KPI) С 0 по 30 день:

• Выбор пилотного проекта для создания микрофилиала

• Установление базовых показателей идентификации и состояния

• Развертывание облачного прокси для наиболее популярных частных приложений

• Ограничение локальной инфраструктуры широкополосным доступом или LTE/5G, небольшими CPE/NAT и Wi-Fi

• Создание реестра исключений с указанием владельца, причины и даты отключения

• Определение начальных ключевых показателей эффективности (KPI) и целевого уровня обслуживания (SLO)

С 31 по 60 день:

• Расширение до 5-10 площадок

• Классификация IoT и применение сегментации с минимальными привилегиями

• Внедрение региональных или частных границ, если применяется суверенитет

• Добавление SD-WAN с ограниченной областью действия только для проверенных детерминированных потоков, измеряемых по целевым показателям задержки, потерь и дрожания

• Отработка переключения сотовой связи при сбое и репетиция сценариев работы в режиме пониженной производительности

• Удаление или обновление исключений строго по датам их отключения

С 61 по 90:

• Перенос на дополнительные филиалы

• Удаление просроченных исключений

• Автоматизация распространения политик и измерение времени до изменения политик во всем парке оборудования

• Начало настройки кампуса

Измеряйте то, что важно, и делайте это видимым: процент сайтов, использующих прокси-сервер, в первую очередь, процент трафика, проверяемого через прокси-сервер, по сравнению с маршрутизацией, количество исключений и время ожидания, время до изменения политики (P50/P95), достижение целевых показателей уровня обслуживания (SLO) проверки и стоимость обслуживания на один сайт. Привяжите эти KPI к оперативным проверкам, чтобы количество исключений со временем уменьшалось, политики менялись быстрее, а качество проверки оставалось стабильным по мере расширения сети.

Заключение

В этой первой статье мы представили модель доступа к сети типа café networking с приоритетом прокси-сервера, идеально подходящую для микрофилиалов, где идентификация и состояние устройства выступают в качестве плоскости управления, а облачная проверка обеспечивает соблюдение политики без расширения сети по умолчанию. Ожидаемые преимущества включают:

• Повышение гибкости для более быстрого развертывания площадок

• Снижение киберрисков за счет исключения горизонтального перемещения

• Уменьшение поверхности атаки, поскольку филиалы больше не являются точками перехода для атак на основные приложения

• Снижение затрат и сложности благодаря упрощению сетевой архитектуры (отсутствие маршрутизации) и инфраструктуры (отдельные сетевые и защитные устройства)

В следующей статье мы углубимся в изучение шаблонов проектирования для филиала с нулевым доверием (ZeroTrust) и без расширения сети, а затем рассмотрим, как масштабировать модель от микросайтов до кампуса, не возвращаясь к сложности устаревших решений. Начинайте с малого, постоянно измеряйте результаты и аккуратно масштабируйте, соблюдая изложенные принципы.

- -

Чтобы предлагаемый сценарий не выглядел чем-то вроде панацеи, стоит обратить внимание на отдельные детали, ограничивающими применение этого метода.

Предлагаемые решения для проблем вроде OT (операционных технологий) или приложений реального времени (микросегменты, SD-WAN с ограничениями) на практике могут быть очень сложными и не отменяют необходимости в экспертизе персонала.

Если взять плоскость ТСО, полной стоимости владения, то делая логичный акцент на снижении затрат на локальное железо и его обслуживание, стоило бы упомянуть о росте затрат на подписку облачных сервисов (SSE, прокси), емких каналов связи и на квалифицированных облачных инженеров вместо сетевых.

Сокращение поверхности атаки и автоматическая сегментация через идентификацию, конечно, имеют место, но ценой создания единой точки отказов в виде облака. Зависимость от одного провайдера SSE увеличивает риски.

В тексте, конечно, перечислены идеальные сценарии: микрофилиалы, временные точки, розница. И важно понимать, что CN применим именно в них, а не везде. Потому что, например, для крупных филиалов с локальными серверами, заводами с OT (операционными технологиями) или с высокими требованиями к VoIP подход CN может быть не оптимальным.

Ключевые выводы

Главный вывод — ценность смещается с владения и настройки «железа» к управлению политиками, идентификацией и безопасностью в облаке. Сетевой инженер будущего все меньше работает с CLI маршрутизаторов и все больше — с консолями облачных провайдеров (Zscaler, Netskope, Palo Alto Prisma).

Безопасность как основа архитектуры. Вместо подхода «построим сеть, потом добавим файрволл» предлагается изначальная модель Zero Trust, где доверие не задается IP-адресом в корпоративной сети, а постоянно проверяется на основе идентификатора и контекста.

Оптимизация для гибкости, а не для пиковой производительности. CN жертвует тонкой настройкой QoS и глубокой оптимизацией трафика ради скорости развертывания, масштабируемости и операционной простоты. Это экономически оправдано для массовых типовых точек.

Неизбежность гибридных моделей. Даже ярые сторонники CN признают необходимость SD-WAN для исключений. Реальный мир будет десятилетиями жить в гибридной среде, где часть трафика идет через прокси, а критически важные потоки — по детерминированным туннелям.

Данные и телеметрия — новая нефть. Успех модели зависит от сбора и анализа телеметрии об устройствах, пользователях и приложениях для автоматического применения политик. Управление сдвигается от конфигурации интерфейсов к анализу дашбордов.

В целом, то, о чем пишет Dell’Oro Group, это не техническое руководство, а «дорожная карта», по которой идет отрасль. Да, подача материала несколько идеализирована, но это нормально для подобных публикаций. Реальный путь большинства компаний будет заключаться не в революционном переходе за 90 дней, а в эволюционном движении к принципам CN: постепенном переносе приложений в облако, внедрении SASE для новых филиалов и болезненной адаптации устаревших систем.

Модель Café Networking — это трендовый подход для новых и массовых типовых сетевых развертываний. Вот только стоит понимать, что она не столько упрощает, сколько усложняет жизнь архитекторам, которым в ближайшие годы придется комбинировать облачный подход с грубой реальностью унаследованных систем и уникальными требованиями организации и регулятора.

--

За новостями наземного и спутникового телекома удобно следить в телеграм-канале abloud62. Региональные новости телекома, новости искусственного интеллекта и ЦОД вы найдете в канале abloudRealTime, новости микроэлектроники можно найти в моем канале RUSmicro, также подключайтесь к каналу Бойко про телеком ВКонтакте

теги: айти IT café networking cafe networking

--