Тел.: +38 044 495 75 00
Факс: +38 044 495 75 07

Обеспечение безопасности дата-центра

Дата-центр – наиболее динамично развивающийся объект сетевой инфраструктуры, в плане внедрения сетевого оборудования. Как правило, он состоит из огромного количества серверов, доступ к которым получают тысячи клиентских систем. Это создает непредсказуемый набор потоков данных, характеристики которого сложно определить. Поскольку выбор оптимального места и производительности для фаервола в таком случае задача не из легких, межсетевые экраны нечасто внедряются в дата-центрах, если внедряются вообще.
   
Основная задача дата-центра – обеспечить набор сервисов для доступа либо пользователей, либо устройств самого дата-центра. Количество этих сервисов может колебаться от нескольких десятков до тысяч, что создает огромную нагрузку на устройства, отслеживающие состояние сессий. Поскольку набор потоков трафика очень разнообразен, зачастую очень сложно определить профиль сети и требования каждого приложения в отдельности. Даже если эти показатели можно определить в конкретный момент, они могут динамично изменяться со временем. Это усложняет определение конкретных требований при внедрении фаервола.

Внедрение технологии виртуализации создает новые сложности при выборе дизайна сети дата-центра. Каждый виртуальный сервер необходимо обеспечить доступом к конкретной VLAN. Большое количество изолированных сетей усложняет задачу обеспечения их безопасности, учитывая количество и разнообразие потоков между серверами.

Общей трудностью для внедрения фаервола в дата-центрах является определение количества новых подключений в секунду (CPS). Этот показатель сложно количественно определить до внедрения устройства безопасности.
Последствия скачков CPS для фаервола могут быть самыми плачевными (от пропадания трафика до отказа самого устройства). Любой фаервол должен без потерь обрабатывать как среднее количество CPS, так и увеличения нагрузки в 2-10 раз превышающие средние.

Кроме CPS также важно определить общее количество установленных сессий. Невозможность установить новые подключения при определенном количестве установленных сессий приведет к недоступности сервисов.
Оптимальным при выборе фаервола будет расчет, при котором  обслуживаемое число сессий в 2-4 раза превышает среднее.

Для расчета производительности более важными показателями являются количество пакетов в секунду (PPS) и общая пропускная способность.
Показатель PPS важен, так как с изменением величины пакета изменяется и производительность, которую покажет устройство.

Если фаервол показывает хорошую пропускную способность на больших пакетах (1500 байт), то это не значит, что он также прекрасно будет справляться с потоком из небольших пакетов (64 байт). Поэтому при планировании обязательно нужно учитывать среднюю величину пакетов на сети для расчета необходимой пропускной способности.

Защита информационных потоков – это первоочередная задача в любой сети. Более эффективным является группирование похожих сервисов, для которых нет необходимости вводить фильтрацию их взаимодействия. Примером может послужить группирование веб-сервера, сервера приложений и сервера баз данных. Несомненно, разграничение доступа между группами серверов необходимый шаг для формирования разрешенного набора коммуникаций, который гарантирует невозможность несанкционированного доступа. Но даже легитимные подключения могут содержать угрозы (атаки, отказ в обслуживании, вирусы, черви, трояны), которые способны вывести сервисы из строя.

Поэтому, вторым шагом внедрения защитных механизмов является внедрение системы предотвращения вторжений. Сложность такого внедрения обусловлена необходимостью правильного выбора точки внедрения в топологии сети и необходимым запасом производительности. В ядре сети может не хватить производительности, приближение к сервисам чревато увеличением количества таких систем. Выход из ситуации – использование селективных систем предотвращения вторжений, которые будут расходовать свою производительность только на трафик, требующий проверки.
   
В сложных дата-центрах жизненно важным также является функционирование протоколов динамической маршрутизации. Внедрение фаерволов требует поддержки работоспособности в среде динамической маршрутизации, не смотря на второстепенность такого функционала на устройствах безопасности. В идеале, фаервол в дата-центре должен обладать соизмеримым функционалом для поддержки динамической маршрутизации.

Внедрение виртуализации в дата-центрах позволило более эффективно использовать ресурсы физических серверов, равномерно распределяя нагрузку. Это привело к увеличению количества VLAN и повышает значимость динамической маршрутизации. Рост количества логических сетей в определенный момент потребует увеличения количества фаерволов, для консолидации возможностей которых необходим более мощный фаервол. Альтернативный вариант – использовать масштабируемое устройство, способное при необходимости увеличить производительность и распределять нагрузку для более эффективного использования физических возможностей.

Только учитывая данные особенности можно обеспечить эффективную защиту сервисов дата-центра.

Компания "Space IT" предлагает универсальное решение для обеспечения безопасности дата-центра – шлюзы динамического предоставления услуг JUNIPER High-End SRX. Эти устройства были разработаны специально для удовлетворения повышенных требований, предъявляемых к современному дата-центру.