Дата-центр – одна из немногих сред, где сетевые решения довольно быстро проверяются на прочность. То, что спокойно работает на корпоративном периметре, в ЦОД может начать создавать ограничения уже при первых попытках масштабирования инфраструктуры. Поэтому неизбежно возникает вопрос: какой межсетевой экран действительно рассчитан на работу в среде дата-центра, а какой изначально проектировался для совсем других условий.
Автор: Кирилл Прямов, менеджер по развитию домена “Сетевая безопасность”, UserGate
Дата-центр – это не еще один сегмент корпоративной сети. Хотя формально архитектурные принципы остаются теми же (межсетевое экранирование, сегментация, контроль приложений, инспекция трафика), но на практике среда ЦОД предъявляет к этим мерам требования, которые заметно отличаются от того, что обычно встречается на офисном периметре.
Прежде всего меняется характер нагрузки. Если в классической корпоративной инфраструктуре значительная часть трафика проходит через периметр (так называемый трафик North-South), то в ЦОД основная активность разворачивается внутри самой инфраструктуры (трафик East-West). Сервисы активно взаимодействуют друг с другом, микросервисы обмениваются данными между узлами, системы хранения и вычислительные кластеры формируют плотные потоки East-West-трафика. В результате устройства сетевой безопасности оказываются не только точкой контроля доступа с внешним миром, но и принимают на себя значительную часть рабочей нагрузки.
Варианты архитектуры сетевой защиты в ЦОД
По мере усложнения инфраструктур дата-центров меняется и архитектура сетевой защиты. Если раньше межсетевой экран практически всегда воспринимался как отдельное устройство на границе сети, то сегодня защита может реализовываться на разных уровнях. В результате рядом с классическими NGFW появились несколько архитектурных подходов, каждый из которых решает свою часть задач.
Один из наиболее известных вариантов – распределенный межсетевой экран (Distributed Firewall). В этой модели функции фильтрации выполняются не одним центральным устройством, а распределяются по гипервизорам или сетевым узлам внутри виртуализированной инфраструктуры. Такой подход позволяет контролировать трафик непосредственно между виртуальными машинами или контейнерами и хорошо подходит для сред, где значительная часть коммуникаций происходит внутри одного кластера.
Похожую задачу решают системы микросегментации. Их основная цель – максимально детализировать контроль сетевых взаимодействий между сервисами и сегментами инфраструктуры. В отличие от классической сегментации на уровне сетевых зон, микросегментация позволяет описывать доступ на уровне отдельных сервисов или приложений. Конечно, это особенно актуально для архитектур с большим количеством микросервисов, где число взаимодействий между компонентами может быть очень высоким.
В современных облачных и контейнерных средах все чаще используется и другой уровень защиты – Service Mesh Security. Здесь контроль взаимодействия между сервисами переносится в саму прикладную среду и реализуется через сервисную сеть, которая управляет аутентификацией, шифрованием и политиками доступа между микросервисами. Этот подход позволяет контролировать взаимодействие приложений независимо от сетевой топологии.
Наконец, в последние годы активно развивается аппаратное направление, связанное с использованием SmartNIC и DPU. Эти устройства позволяют переносить часть сетевых функций (включая фильтрацию трафика и базовые механизмы безопасности) непосредственно на сетевые адаптеры серверов. В результате с центральных сетевых устройств снимается часть нагрузки, а обработка трафика может происходить ближе к источнику его возникновения.
На практике все эти подходы редко используются изолированно. В крупных инфраструктурах они обычно дополняют друг друга: распределенные механизмы защиты контролируют взаимодействие внутри сервисных сред, а высокопроизводительные NGFW по-прежнему остаются ключевым элементом сегментации и защиты сетевых потоков на уровне всей инфраструктуры ЦОД.
Корпоративный NGFW в ЦОД
Давайте теперь проведем мысленный эксперимент: поставим в ЦОД обычный корпоративный NGFW и спрогнозируем его поведение в этой среде.
На первых этапах развития инфраструктуры различие между межсетевым экраном для корпоративной сети и системой, рассчитанной на среду ЦОД, может быть практически незаметным. Пока политика доступа относительно компактна, а трафик распределен по нескольким магистральным направлениям, большинство NGFW демонстрируют вполне надежную работу. Однако по мере роста инфраструктуры начинают проявляться особенности архитектуры, которые ограничивающим масштабирование.
Чаще всего это проявляется в тот момент, когда политика безопасности перестает быть небольшой и аккуратной конфигурацией, а превращается в рабочий инструмент управления доступом между десятками сервисов. В реальной инфраструктуре правила накапливаются постепенно: добавляются новые контуры, появляются исключения, меняются схемы взаимодействия систем. И в какой-то момент объем правил начинает измеряться уже не тысячами, а десятками тысяч записей, и тогда становится заметно, насколько эффективно устройство обрабатывает такую структуру. Если механизм сопоставления трафика с правилами плохо масштабируется, даже небольшие изменения в политике начинают влиять на производительность системы.
Второй момент, который обычно проявляется именно в ЦОД, связан с включением различных механизмов анализа трафика. В корпоративной сети IPS и контроль приложений чаще всего работают на границе инфраструктуры и обслуживают относительно ограниченный поток соединений. В дата-центре эти же функции нередко применяются внутри сети, между сервисными сегментами. В результате объем трафика, проходящий через механизмы инспекции, оказывается значительно выше, чем было бы при классической модели периметровой защиты, но система должна по-прежнему обрабатывать его без потери пропускной способности.
Со временем становится заметна и еще одна особенность. В крупных инфраструктурах политика безопасности начинает играть роль не только инструмента контроля доступа, но и механизма описания самой сетевой архитектуры. Через нее фактически фиксируются связи между сервисами, зонами и технологическими контурами. Это означает, что любое изменение политики должно происходить аккуратно и предсказуемо, без влияния на текущие соединения и без риска временной деградации системы.
Таким образом, межсетевой экран в ЦОД постепенно перестает быть просто набором функций и начинает играть роль элемента, который формирует саму структуру сети. Становится важно не только и не столько наличие IPS или контроля приложений как таковых, сколько то, каким образом устройство обрабатывает большие политики, ведет себя при высокой плотности соединений и сохраняет стабильность работы по мере роста инфраструктуры.
Подходит ли NGFW для ЦОД?
На практике можно довольно быстро отсеять часть решений, задав несколько простых вопросов. Первый из них касается масштаба политики безопасности, с которым система способна работать без ухудшения характеристик. Для инфраструктуры ЦОД вполне типичны политики на 30–70 тыс. правил, а в крупных средах и больше. Если производитель уверенно говорит лишь о нескольких тысячах записей, есть риск, что при росте конфигурации устройство начнет заметно терять производительность.
Второй ориентир – пропускная способность. В дата-центрах рабочий трафик нередко находится в диапазоне 40–100 Гбит/с, поэтому важно смотреть не на максимальный Throughput при базовой фильтрации, а на показатели при включенных механизмах IPS, анализа приложений и других сервисах безопасности. Именно этот режим ближе всего к реальной эксплуатации.
Третий показатель – способность системы работать с большим числом соединений. Для современных сервисных архитектур вполне нормальны десятки миллионов одновременных сессий и сотни тысяч новых соединений в секунду. Если устройство рассчитано на существенно меньшие значения, оно может начать ограничивать инфраструктуру по мере роста нагрузки.
При этом есть параметры, которые сами по себе важны, но при выборе NGFW для ЦОД обычно не становятся решающими. Поддержка VPN, NAT, базовой фильтрации уровня L3–L4 или стандартных функций контроля приложений присутствует практически во всех корпоративных межсетевых экранах. Эти возможности давно стали базовыми и редко являются фактором, который отличает решение для дата-центра от обычного NGFW.
UserGate DCFW: специализированный межсетевой экран для ЦОД
Одним из примеров NGFW для ЦОД является UserGate DCFW [1] – межсетевой экран, разработанный специально для эксплуатации в среде высоконагруженных корпоративных сетей и дата-центров. При проектировании этого решения основной задачей было обеспечить устойчивую работу системы при большом количестве правил и высокой плотности соединений. Для этого в продукте используется собственная технология UserGate для векторного межсетевого экранирования (а не общедоступная технология VPP, как у большинства российских вендоров), которая позволяет обрабатывать крупные политики доступа без линейного роста времени обработки.
Устройство способно работать с политиками, содержащими до 130 тыс. правил, при этом производительность не зависит от их положения или сложности.
UserGate DCFW рассчитан на обработку трафика на скоростях свыше 100 Гбит/с, что позволяет использовать его не только на границе инфраструктуры, но и в сегментах, где проходят значительные внутренние потоки данных. Помимо прочих, в состав системы входит модуль IPS.
Отдельного внимания заслуживает аппаратная платформа, на которой может работать решение. Для раскрытия потенциала архитектуры используются специализированные устройства UserGate серий E и F, обладающие большим объемом оперативной памяти и рассчитанные на обработку интенсивных потоков соединений. В дальнейшем планируется поддержка платформы FG с аппаратным ускорением на базе FPGA, что должно расширить возможности системы при работе с высокоскоростными потоками и сложными сценариями инспекции трафика.
Заключение
Практика эксплуатации крупных инфраструктур постепенно показывает, что сетевую безопасность в среде дата-центра уже трудно рассматривать как набор отдельных функций. По мере роста сети на первый план выходит архитектура решения и его способность устойчиво работать в условиях, где политика доступа может насчитывать десятки тысяч правил, а трафик измеряется десятками и сотнями гигабит в секунду.
Поэтому можно уверенно говорить о формировании отдельного класса решений – межсетевых экранов, ориентированных именно на инфраструктуру ЦОД. Их ключевая особенность заключается не столько в расширенной функциональности, сколько в архитектурных принципах, которые позволяют системе сохранять стабильные характеристики по мере роста числа политики и усложнения сетевых взаимодействий. Это дает предсказуемое поведение системы и меньшую зависимость производительности от структуры конфигурации.
Логика развития решений UserGate как раз соответствует этому подходу. Межсетевой экран UserGate DCFW изначально проектировался как система для защиты высоконагруженных корпоративных сетей и дата-центров.
Реклама: ООО «Юзергейт». ИНН 7728168971. Erid: 2SDnjcdQNQi