Сетевая безопасность в ЦОДах

Сетевая безопасность в ЦОДах

Сетевая безопасность в ЦОДах

Для защиты инфраструктур центров обработки данных важно сочетать высокую пропускную способность средств сетевой безопасности со стабильным их функционированием. Как оказалось, отечественные вендоры в состоянии обеспечить такое сочетание.

 

 

 

 

 

 

  1. Введение
  2. Высокопроизводительные NGFW: проблема замены
  3. Опыт тестирования NGFW
  4. Как объединить NGFW в кластер
  5. Выводы

Введение

До 2022 г. на российском рынке межсетевых экранов доминировали продукты зарубежных вендоров. В сегменте высокопроизводительных систем для защиты инфраструктур центров обработки данных (ЦОДов) их доля и вовсе составляла 100 %.

Однако после известных событий 14 из 16 представленных в России вендоров ушли, а из двоих оставшихся один по факту прекратил поставки. Российские игроки пытались занять освободившийся рынок, но в сегменте высокопроизводительных систем с высокими требованиями по части надёжности до недавнего времени сохранялся вакуум. Впрочем, ситуация всё же начинает меняться.

 

Рисунок 1. Участники дискуссии в студии AM Live

Участники дискуссии в студии AM Live

 

В качестве экспертов в студию были приглашены:

  • Павел Коростелев, руководитель отдела продвижения продуктов, «Код Безопасности»;
  • Сергей Плотко, директор по аналитике и интеграции, «Цифровые решения»;
  • Сергей Панин, руководитель отдела архитектуры решений кибербезопасности, BI.ZONE;
  • Александр Воробьев, архитектор решений кибербезопасности, BI.ZONE.

Ведущий дискуссии — генеральный директор «АМ Медиа» Илья Шабанов.

 

 

Высокопроизводительные NGFW: проблема замены

Открывая дискуссию, Илья Шабанов напомнил, что на российском рынке представлено около 70 продуктов класса «межсетевой экран нового поколения» (NGFW) — в несколько раз больше, чем во всём остальном мире. Такая вариативность существенно осложняет выбор. Кроме того, процесс подбора таких систем имеет очень много нюансов, которыми вендоры часто злоупотребляют.

 

Генеральный директор «АМ Медиа» Илья Шабанов

Генеральный директор «АМ Медиа» Илья Шабанов

 

Илья Шабанов:

— На рынке долгое время сохраняется мнение, что российских NGFW с быстродействием выше 100 гигабит в секунду не существует.

 

Руководитель отдела продвижения продуктов «Кода Безопасности» Павел Коростелев

Руководитель отдела продвижения продуктов «Кода Безопасности» Павел Коростелев

 

Павел Коростелев: 

— Основная сфера применения высокопроизводительных NGFW — защита инфраструктуры ЦОДа. Долгое время спрос на отечественные продукты такого класса отсутствовал, поскольку потенциальные заказчики продолжали применять зарубежное оборудование, мотивируя свое нежелание переходить на российские решения опасностью такой миграции, которую можно сравнить с операцией на сердце. 

Павел Коростелев назвал позицию операторов ЦОДов скорее поводом, чем реальной причиной. Однако, по его оценке, миграция будет длительным процессом и займёт не меньше трёх лет, а то и все пять. Эксперт также высказал мнение, что процесс миграции на отечественные средства сетевой безопасности будет идти синхронно с общим процессом импортозамещения серверного и сетевого оборудования в российских ЦОДах. 

Как показал первый опрос зрителей, лишь пятая часть из них уже провели импортозамещение NGFW (рис. 2).

 

Рисунок 2. Планы зрителей эфира по импортозамещению NGFW

Планы зрителей эфира по импортозамещению NGFW

 

Как отметил Сергей Панин, среди проектов по импортозамещению NGFW очень много неудачных. Значительная их часть прекращается и до конца не доводится. С другой стороны, не все вендоры, по словам Павла Коростелева, понимают нужды таких заказчиков, как операторы ЦОДов. К тому же потребности последних, как правило, не ограничиваются функцией межсетевого экранирования, как это часто бывает в офисных сетях: в защите инфраструктуры ЦОДа практически всегда задействованы системы обнаружения и предотвращения вторжений (IDS / IPS), очень часто — функции контроля приложений.

У разработчиков NGFW, как отметил Павел Коростелев, есть три возможности увеличить производительность. Первый путь — применение специализированных чипов, которые ускоряют те или иные сетевые функции. Но их разработка — дело долгое и дорогое, особенно для относительно небольшого рынка вроде российского, а готовые продукты дефицитны и (или) ограничены в функциональности. 

Другим возможным путём является создание собственного фреймворка, но у него есть оборотная сторона в виде повышенных требований к мощности центрального процессора и объёму оперативной памяти. Наконец, можно включить соответствующие функции на уровне ядра Linux, но при таком подходе невозможно добиться высокой производительности. Впрочем, как отметил Павел Коростелев, такой подход оправдан на младших линейках межсетевых экранов.

По словам представителя «Кода Безопасности», при выборе NGFW заказчику приходится выбирать, какие два параметра из трёх — быстродействие, функциональность и надёжность — для него приоритетны. У этой проблемы пока нет общепризнанного решения. В самом «Коде Безопасности» выбрали путь кластеризации. Как признал Павел Коростелев, этот подход был позаимствован у Check Point. 

Опыт тестирования NGFW

Как отметили участники дискуссии, выбор NGFW сопряжён со множеством нюансов. С одной стороны, вендоры очень часто используют «сравнительно честные» способы завысить многие характеристики, которые при реальной работе оказываются существенно ниже. С другой стороны, есть виды нагрузки, которые могут «уронить» производительность любого межсетевого экрана — например, использование коротких пакетов, открытие большого количества сессий за короткий промежуток времени или запись объёмных журналов событий на медленный накопитель. Это обстоятельство также используют для того, чтобы «утопить» возможного конкурента при сравнительном тестировании.

Наверное, по этой причине наибольшее число голосов участников опроса в эфире собрало самостоятельное тестирование NGFW на реальной нагрузке (рис. 3). 

 

Рисунок 3. Основные критерии выбора NGFW

Основные критерии выбора NGFW

 

Сергей Панин рассказал о тестировании, которое прошло в рамках консалтингового проекта для одного из крупных заказчиков. Тот хотел убедиться, что российские решения способны обеспечить требуемый уровень отказоустойчивости и производительности.

В состав тестового стенда вошли 2 коммутатора, 16 NGFW «Континент 4», 2 брокера сетевых пакетов DS Integrity NG и 1 ЦУС «Континент 3.9». Для генерации трафика использовались устройства из линейки Ixia. Как отметил Сергей Панин, они позволяют генерировать потоки данных, которые максимально приближены к происходящему в реальной корпоративной сети, включая резкие всплески и падения нагрузки.

По словам Павла Коростелева, нагрузочное тестирование показало линейный рост производительности при включении в кластер новых NGFW. Загрузка устройств при этом не превышала 25 %. Имитация выхода из строя отдельных элементов кластера не приводила к потере его работоспособности, лишь уменьшая производительность. В ходе тестирования, как отметил представитель вендора, удалось достичь устойчивой производительности в 400 Гбит/с. В то же время, как отметил Александр Воробьев, включение модуля предотвращения вторжений снижало производительность более чем в пять раз. Впрочем, так происходит со всеми NGFW.

 

Архитектор решений кибербезопасности BI.ZONE Александр Воробьев

Архитектор решений кибербезопасности BI.ZONE Александр Воробьев

 

Александр Воробьев:

— В ходе нашего теста отклонение от указанных вендором значений было минимальным и не превышало погрешности наблюдения. При этом результат оказался полностью повторимым, что подтверждает корректность проведения тестирования.

 

Руководитель отдела архитектуры решений кибербезопасности BI.ZONE Сергей Панин

Руководитель отдела архитектуры решений кибербезопасности BI.ZONE Сергей Панин

 

Сергей Панин:

— Итоги тестирования полностью соответствуют нашим ожиданиям. Мы достигли требуемого уровня производительности при различных сценариях использования оборудования. Кластеризация повышает как скорость, так и отказоустойчивость, и выход из строя одного из узлов позволяет сохранить работоспособность всей системы ценой некоторого снижения производительности.

Интерес BI.ZONE к этому эксперименту спикер объяснил тем, что компанию часто привлекают к проектам по миграции на российское оборудование, в том числе в интересах операторов ЦОДов.

Как отметил Александр Воробьев, достигнутый уровень в 400 Гбит/с не является пределом. По его оценке, общую производительность кластера из NGFW «Континент 4» можно поднять до 660 Гбит/с.

Как объединить NGFW в кластер

Для объединения NGFW в кластер использовался брокер сетевых пакетов DS Integrity NG от компании «Цифровые решения». Как отметил Сергей Плотко, этот класс устройств не слишком популярен на отечественном рынке. По данным исследований, знают о его существовании хотя бы на уровне «что-то слышали» не более 10 % ИТ-специалистов. Опрос зрителей эфира показал близкий результат (рис. 4). В некотором роде исключение составляет только банковский сектор, где сравнительно массовое применение брокеров началось во второй половине 2010-х гг.

 

Рисунок 4. Использование брокеров сетевых пакетов

Использование брокеров сетевых пакетов

 

DS Integrity NG позволяет проводить агрегацию, фильтрацию и дедупликацию трафика, а также его балансировку. Последняя возможность и была задействована для объединения NGFW в кластер. Размер последнего, как отметил Сергей Плотко, обусловлен физическим количеством портов и составляет до 32 устройств.

 

Директор по аналитике и интеграции компании «Цифровые решения» Сергей Плотко

Директор по аналитике и интеграции компании «Цифровые решения» Сергей Плотко

 

Сергей Плотко:

— Устройства в кластере работают по единым политикам в режиме «актив — актив». Распределять нагрузку возможно не только равномерно, но и асимметрично, что может быть полезно тогда, когда производительность разных сетевых нод различается. Сам брокер работает в абсолютно прозрачном режиме и невидим в инфраструктуре. Если конфигурация кластера не меняется, то донастройка брокера сетевых пакетов не нужна.

В самом скором будущем, как анонсировал Сергей Плотко, выйдет новая версия устройства. Наиболее значимым усовершенствованием в ней будет повышение гибкости настроек балансировки — например, для плавного вывода элементов кластера или для плановых работ по техническому обслуживанию.

Обучение работе с устройством можно пройти на трёхдневных курсах «Цифровых решений». Самостоятельное освоение работы с DS Integrity, по оценке Александра Воробьева, займёт около трёх месяцев.

Выводы

Главный итог тестирования кластера NGFW — разрушение мифа о том, что российские вендоры не могут предложить заказчикам решения производительностью более 100 Гбит/с. Тест показал, что с помощью отечественного оборудования можно достичь производительности в 400 Гбит/с, и это не предел.

Телепроект AM Live еженедельно приглашает экспертов отрасли в студию, чтобы обсудить актуальные темы российского рынка ИБ и ИТ. Будьте в курсе трендов и важных событий! Для этого подпишитесь на наш канал в YouTube.

Полезные ссылки: 
Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru