Применение межсетевых экранов в ЦОД

Представьте себе. У Вас имеется ЦОД, в котором десятки серверов. Ну, допустим 50 шт., которые занимаются разной деятельностью, обрабатывают совершенно разные классы информации. И с точки зрения руководящих документов системы с разным уровнем доступа должны разделаться, обрабатываться. И с точки зрения элементарной логики, совершенно очевидно, что если какой-то Веб-сервер сломают, что называется, то с него по идее можно атаковать и близлежащие сервера, что совсем не здорово. Было бы правильно изолировать группы серверов друг от друга. И если у нас, получается, скажем, 20 групп, для каждой группы серверов будет 10 правил, то политика будет у нас будет 200 правил. Можно ею управлять достаточно просто. Ну, я думаю, мало у кого из вас 20 серверов в Цоде, обычно гораздо больше, поэтому политика безопасности становиться 1000 правил, а если мы захотим, а мы наверняка захотим разделять группы пользователей, ну скажем, простым сотрудникам совершенно незачем обращаться к серверам, скажем, отдела кадров, незачем им знать зарплату своих коллег. Необязательно обращаться к финансовым каким-то ресурсам. Нам необходимо еще в большей степени усложнить нашу политику доступа и в итоге 1000 правил оказываются практически неуправляемыми. Очень легко совершить ошибку, предоставить доступ какому-то новому сервису и случайно сделать дырку каким-то другим критическим ресурсом. Или наоборот, придет пора сформировать отчет важный, передать какой-то важный отчет и вдруг окажется, что-то не работает. Поэтому мы говорим о том, что гораздо более эффективным способом было бы на каждую группу сервером поставить свой собственный межсетевой экран, который будет заниматься только …службой. И даже если, не дай бог, администратор сделает что-то с ним не так, пострадает только маленький фрагмент нашего дата-центра, только небольшая группа сервисов. Все остальное будет прекрасно жить дальше. Система более управляемая, требует меньших человеческих ресурсов и в то же время более эффективная. А так, совершенно очевидно, что 20 межсетевых экранов, 20 коробок поставить, наверное, не совсем правильно. Тем более, что они потребуют за собой сетевое оборудование, это целая стойка с оборудованием. Это неудачная мысль. Сэкономить так не получиться.

      Поэтому мы говорим о том, что гораздо эффективнее, так же как мы используем виртуализацию наших стандартных приложений, точно так же мы предлагаем виртуализировать нашу систему информационной безопасности. На одном мощном сервере сделать несколько независимых межсетевых экранов, железо одно, но работает совершенно независимо друг от друга. Тем самым, мы снижаем затраты и на оборудование и получаем упрощенное управление. Выше доступность, резервирование информации, ну и гораздо проще этим всем управлять. На самом деле, все еще гораздо интереснее получается. Помимо традиционных межсетевых экранов, физических, мы используем термин, виртуальная система для логической системы. Мы предлагаем так же вариант bridge, это позволяет нам внедряться в уже существующую инфраструктуру без смены десяти, совершенно прозрачным образом и так же мы говорим о том, что внутри того же физического сервера, будет работать виртуальный маршрутизатор, виртуальный коммутатор, ну и соответственно виртуальные провода. Внутри одного серверного помещения мы получаем целую информационную структуру, целую сетевую структуру, целый шкаф с оборудованием. И дальше разводим на разные сервисы, по разным сетевым экранам, делим их политикой безопасности и управляем этим, с одной стороны централизованно, а с другой стороны индивидуально, обеспечиваем очень высокий уровень безотказной работы. В качестве небольшого примера, насколько удобно внедрять подобные решения давайте рассмотрим, когда у нас несколько сегментов сети, которые должны быть друг от друга изолированы. Это могут быть пользовательские сегменты, с разными правами доступа, разными группами людей, это могут быть разные сервисы, терминальный сервис, голосовые какие-то сервера, веб-приложения, SIP, почта, все что угодно. Все они должны быть изолированы друг от друга и дырочки открыты только там, где это действительно необходимо. Внедрив PSX, ну, скорее всего мы будем менять кластеры с двух машин, чтобы обеспечить безотказную работу. Ну, получаем этим, с одной стороны, прозрачный доступ. Ну, просто, поставили, что называется, систему в разрыв, без смены топологии сети, без смены IP адресации, совершенно малой кровью и получили индивидуальным образом настраивать политики безопасности, т.е. очень эффективно. Мы предлагаем традиционно программные решения. Вы можете выбрать существующего поставщика HP, IBM, что угодно и использовать наши программные версии на нем, а можете заинтересоваться сразу готовым аппаратным комплексом. Причем, что очень интересно, они имеют возможность расширения. Например, мы можем начать, если нас устраивает несколько Gbps на первом этапе, с небольшого устройства на пять виртуальных систем, а дальше докупить пять виртуальных систем за 10 тис. Долларов. За две тысячи мы получаем целый межсетевой экран и при этом не придется останавливать систему. Мы просто программным образом создадим новый шлюз. Настройка IP-маршрутизации. Все это программно, не нужно место в шкафах, не нужно каких-то проводов, не нужно искать порты на коммутаторах. Легко, просто и удобно.

 


Поделиться информацией

Вы можете послать эту статью или новость коллеге или знакомому по email со своим комментарием, пригласить обсудить ее. Просто нажмите на иконку конверта --->


Сообщения, вопросы и ответы

Вы можете задать вопрос, написать комментарий, обсудить данную новость или статью.