Защита ЦОД при помощи кластера ViPNet Coordinator HW

Защита ЦОД при помощи кластера ViPNet Coordinator HW

Эластичные ЦОДы — группы географически распределенных локальных ЦОДов. Для защиты каналов в них компания «ИнфоТеКС» разработала технологию туннелирования L2OverIP. За счет нее два или более сегмента ЛВС объединяются на канальном уровне (L2) в едином адресном пространстве. Технология реализована в  шлюзе безопасности ViPNet Coordinator HW. Для обеспечения надежности и производительности шифрования несколько шлюзов безопасности ViPNet Coordinator HW можно объединить в высокопроизводительный кластер за счет агрегации каналов до 10G.

 

1. ЦОДы и виртуализация

2. Как должны быть защищены каналы эластичного ЦОДа

3. Недостатки традиционных решений

4. Решение ИнфоТеКС для защиты эластичного ЦОДа

5. Испытания ViPNet Coordinator HW

6. Выводы

 

 

ЦОДы и виртуализация

Потребности бизнеса растут с каждым днем. Новые требования к доступности бизнес-приложений создают новые подходы к проектированию ЦОДов. Компании, предоставляющие сервисы сотрудникам или внешним клиентам, стремятся построить ИТ-инфраструктуру, которая обеспечит эффективное и бесперебойное предоставление сервисов пользователям.

Современные ЦОДы задействуют виртуализацию. Изначально виртуализация серверов позволила сократить затраты на обслуживание и резервирование. Впоследствии виртуализация позволила обеспечить масштабируемость и гибкость при построении ЦОДов. Появились эластичные ЦОДы — группа географически распределенных ЦОДов, объединенных высокоскоростными каналами связи (WAN) в единую ЛВС с общим адресным пространством. Сеть эластичного ЦОДа масштабируема как внутри отдельных сегментов, так и в части подключения новых.

 

Рисунок 1. Сегменты эластичного ЦОДа должны иметь прямую видимость по MAC-адресам

 Сегменты эластичного ЦОДа должны иметь прямую видимость по MAC-адресам

 

В большинстве случаев каналы связи, объединяющие локальные сегменты эластичного ЦОДа, берутся в аренду у операторов связи. Это накладывает дополнительные обязательства на владельца эластичного ЦОДа — требуется обеспечить защиту конфиденциальной информации, передающейся по арендованным каналам. Традиционные VPN-решения для этого не подходят, потому что не обеспечивают видимость сегментов ЛВС ЦОДа в едином адресном пространстве.

 

Как должны быть защищены каналы эластичного ЦОДа

В большинстве случаев каналы WAN, объединяющие сегменты ЦОДа, арендуются у операторов связи. Это накладывает дополнительные обязательства на владельца эластичного ЦОДа — требуется обеспечить защиту конфиденциальной информации, которая передается по каналам оператора и находится за пределами контролируемой зоны.

 

Рисунок 2. При использовании арендованных каналов данные, передаваемые между сегментами ЦОДа, нуждаются в защите

При использовании арендованных каналов данные, передаваемые между сегментами ЦОДа, нуждаются в защите 

 

Чтобы обеспечить бесперебойность работы такого ЦОДа, требуется отказоустойчивость — возможность системы «приспособиться» к последствиям отказа. Отказоустойчивыми должны быть не только системы предоставления бизнес-сервисов, но и система защиты каналов WAN.

Требования к защите каналов эластичного ЦОДа:

  • Конфиденциальность и целостность данных, передаваемых по каналам связи.
  • Поддержка единого адресного пространства для защищаемой ЛВС ЦОД.
  • Быстродействие и производительность.
  • Масштабируемость.
  • Отказоустойчивость.
  • Соответствие требованиям регуляторов (ФСБ, ФСТЭК).

 

Недостатки традиционных решений

Для защиты каналов связи между географически распределенными сегментами сети обычно используют технологию VPN (виртуальные частные сети). IPsec, SSL и другие VPN-технологии, широко представленные на рынке, позволяют построить защищенные каналы между сегментами сети, использующими различные адресные пространства и сообщающимися путем маршрутизации данных. Объединить несколько сегментов в общем адресном пространстве такие VPN-решения не могут.

Для бесперебойного предоставления сервисов эластичный ЦОД задействует виртуализацию. Решения по виртуализации требуют сообщения объектов в сегментах ЦОДа напрямую, без маршрутизации данных. Объединить сегменты в единый домен общения с прямой видимостью по MAC-адресам можно с помощью специализированного оборудования, но классические VPN-технологии напрямую не интегрируются с такой конфигурацией сети и не могут обеспечить защиту ее каналов.

 

Решение «ИнфоТеКС» для защиты эластичного ЦОДа

Для решения этой задачи компания «ИнфоТеКС» разработала технологию построения защищенной сети L2OverIP, которая позволяет организовать защищенное общение распределенных локальных сетей, использующих единое адресное пространство на канальном уровне (L2) сетевой модели OSI. Технология поддерживает обмен данными любых протоколов сетевого уровня через зашифрованное IP-соединение. С помощью L2OverIP узлы из разных сетевых сегментов могут взаимодействовать друг с другом так, как будто они находятся в одном сегменте сети с прямой видимостью по MAC-адресам.

L2OverIP объединяет два и более сегмента сети в общем адресном пространстве, причем не только физические сегменты, но и виртуальные локальные сети (VLAN).

Отказоустойчивость защиты каналов L2OverIP достигается за счет агрегации каналов, которая позволяет объединить несколько физических каналов Ethernet в один логический для увеличения пропускной способности и надежности соединения. При перегрузке или отказе одного из агрегированных каналов поток данных перераспределяется между действующими каналами.

Агрегация каналов обеспечивает масштабируемость. Производительность агрегированного канала можно увеличивать без его отключения за счет добавления новых физических каналов.

Агрегация каналов реализована в большинстве современных коммутаторов. Работа L2OverIP не зависит от конкретной технологии агрегации и совместима с любым оборудованием для агрегации каналов.

Технология L2OverIP реализована в шлюзе безопасности ПАК ViPNet Coordinator HW производства компании «ИнфоТеКС». Несколько шлюзов можно объединить в высокопроизводительный кластер за счет агрегации каналов. Шлюзы кластера можно подключить к WAN за счет трансляции трафика через один внешний адрес или через отдельные каналы для каждого шлюза (в этом случае резервируются целые каналы).

ПАК ViPNet Coordinator HW соответствуют требованиям российского законодательства в области информационной безопасности, имеют сертификаты ФСБ и ФСТЭК.

 

Рисунок 3. Высокопроизводительный канал 10 Гбит/с на основе технологии L2OverIP и агрегации каналов

Высокопроизводительный канал 10 Гбит/с на основе технологии L2OverIP и агрегации каналов 

 

Испытания ViPNet Coordinator HW

Инженеры компании ИнфоТеКС провели внутренние стендовые испытания, которые подтвердили, что технология L2OverIP с использованием внешнего оборудования для агрегации каналов решает задачу передачи данных на скорости 10 Гбит/с между сегментами ЦОДа.

В испытании участвовали шлюзы безопасности ViPNet Coordinator HW2000. Коммутатор Cisco выполнял агрегацию каналов (функциональность EtherChannel).

 

Рисунок 4. Испытательный стенд

Испытательный стенд 

 

Таблица 1. Результаты испытаний ViPNet Coordinator HW

 

Максимальная производительность
агрегированного канала

Количество шлюзов безопасности
ПАК Coordinator HW2000 Q2

UDP-пакет размером 1400 байт, Мбит/с

UDP-пакет размером 64 байт, pps

1 шлюз

3 000

300 000

Кластер из 3 шлюзов

9 235

861 741

 

Выводы испытаний:

  • Технологии L2OverIP и агрегации каналов создают агрегированный защищенный канал L2.
  • При масштабировании кластера шлюзов безопасности ViPNet Coordinator HW его производительность возрастает.
  • Кластер обеспечивает скорость передачи данных при их шифровании до 9,2 Гбит/с.
  • Шлюзы кластера имеют удельную производительность до 3 Гбит/с на один шлюз.

Новый шлюз безопасности Coordinator HW2000 Q3 обеспечивают производительность до 5 Гбит/с. Можно ожидать достижения показателя 10 Гбит/с при агрегации каналов всего двух таких шлюзов.

 

Выводы

Защита каналов, объединяющих сегменты эластичного ЦОДа, должна отвечать ряду особенных требований, и обычные VPN-решения для этого не подходят.

Для защиты каналов эластичного ЦОДа компания «ИнфоТеКС» разработала технологию туннелирования L2OverIP, которая обеспечивает защищенную коммуникацию двух и более локальных сегментов  ЦОДа в едином адресном пространстве канального уровня (L2). Технология реализована в шлюзе безопасности ViPNet Coordinator HW. Кластер ViPNet Coordinator HW реализует отказоустойчивую защиту агрегированного канала и обеспечивает шифрование со скоростью 10 Гбит/с.

Шлюз безопасности ViPNet Coordinator HW соответствует требованиям российского законодательства и имеет сертификаты соответствия требованиям ФСБ и ФСТЭК в области информационной безопасности.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru