Российский высокопроизводительный кластер NGFW: миф или реальность? Как решить задачу по защите высокоскоростных каналов передачи трафика?
Одной из основных задач разработчиков современных российских NGFW остаётся наращивание производительности для защиты инфраструктур с высокоскоростными каналами связи. При этом для надёжной сетевой защиты в современных условиях необходима инспекция, фильтрация и анализ трафика на уровне приложений (L7 — седьмой уровень модели OSI).
Чем глубже NGFW разбирает входящий трафик и чем больше функций задействуется, тем меньше становится производительность решения. В результате у всех межсетевых экранов в режиме IPS (предотвращение вторжений) производительность падает почти в 3 раза, а в режиме NGFW — в 5–7 раз. Каким же образом обеспечивать защиту высокоскоростных каналов с полноценным анализом трафика?
Увеличение производительности: мировой опыт
Существует два основных способа повышения производительности NGFW при работе с высокоскоростными каналами:
Palo Alto Networks и Fortinet выбрали использование ASIC/FPGA, в то время как Check Point пошёл вторым путём. Оба подхода имеют свои преимущества и недостатки как в реализации, так и в эксплуатации.
«Мы не разрабатываем NGFW. Мы помогаем построить отказоустойчивый кластер».
Кластеризация NGFW: задачи, функции, максимальная производительность
Основными задачами кластеризации являются балансировка нагрузки и обеспечение отказоустойчивости. Для их решения применяются специализированные устройства, такие как балансировщики нагрузки и брокеры сетевых пакетов. Единственный российский брокер (занесённый в реестр Минпромторга России) — DS Integrity от компании «Цифровые решения».
Рассмотрим простой пример: если один NGFW может обработать максимум 10 Гбит/с трафика, а необходимо защитить канал 40 Гбит/с, то можно взять четыре устройства и равномерно распределить поток на них с помощью балансировщика нагрузки или брокера сетевых пакетов. Таким образом, на каждый NGFW будет поступать посильная для него нагрузка.
В части балансировки есть много возможностей.
Однако при решении задачи по балансировке трафика необходимо учитывать ряд важных аспектов. Для того чтобы обеспечить корректную обработку трафика на уровне L7, важно передавать пакеты одной сессии в один и тот же NGFW независимо от направления.
Задача распределения нагрузки весьма ресурсоёмкая, и она определяет общую производительность кластера. Возможности всего кластера будут определяться производительностью балансировщика нагрузки, в то время как от производительности каждого отдельного NGFW будет зависеть только количество необходимых устройств в кластере.
Построение кластера также решает задачу по обеспечению отказоустойчивости, ведь NGFW может выйти из строя или его потребуется перезагрузить для обновления ПО. При этом ни общая защита периметра, ни клиентский сервис не должны пострадать, а нагрузка должна быть перераспределена по оставшимся устройствам.
Существуют два основных типа кластеров active-passive (активный-пассивный) и active-active (активный-активный).
Самый простой вариант кластера с точки зрения отказоустойчивости — active-passive. Такой тип кластера обеспечивает надёжность и отказоустойчивость путём переключения всего потока трафика с вышедшего из строя устройства на резервное. Active-passive-кластер позволяет обеспечить непрерывность работы сети, но не повышает производительность.
Для обеспечения отказоустойчивости с одновременным увеличением производительности используется кластер active-active. При такой схеме кластеризации внедряется более трёх устройств NGFW. Вероятность одновременного выхода из строя нескольких устройств на порядки ниже, чем одного, что позволяет использовать схему резервирования N+1.
Схема резервирования N+1
Строить кластер active-active на два устройства нецелесообразно. Если производительности одного NGFW достаточно, то проще построить кластер active-passive. Если же для обработки потока необходимо задействовать оба устройства, то в случае отказа одного из них сервис деградирует и бизнес-процессы начнут работать с перебоями.
Как работает балансировщик нагрузки
Балансировщик нагрузки может контролировать работоспособность отдельных NGFW и при необходимости перенаправлять трафик на рабочие устройства. NGFW анализирует сессию с момента её установки. И для того, чтобы резервное устройство её не заблокировало, результаты анализа должны передаваться на резервные устройства.
Нужно отметить, что для большинства современных приложений это не проблема. Они автоматически устанавливают новую сессию через резервный NGFW. Но для ряда приложений это критично, и NGFW должны синхронизировать между собой состояние сессии.
Даже у мировых лидеров синхронизация сессий реализована с ограничениями. При SSL-инспекции синхронизация не работает ни у одного производителя. Это означает, что при переключении трафика на резервное устройство в любом случае будет кратковременный обрыв связи и ошибка в приложении, если оно не умеет обрабатывать такие события.
И да, балансировщики нагрузки тоже нужно резервировать.
Видимость кластера как единого устройства с одним адресом
Если балансировщик нагрузки скрывает кластер за своим адресом, представляя для внешней инфраструктуры кластер одним устройством, то это упрощает его настройку и эксплуатацию.
Есть альтернативный вариант: инфраструктура общается только с одним NGFW, а стоящий в прозрачном режиме балансировщик нагрузки распределяет трафик по всем оставшимся устройствам незаметно для соседних коммутаторов и маршрутизаторов.
«А что в России?»
Российские компании сейчас проходят путь, который у иностранных вендоров занял десятилетия. Построение высокопроизводительных NGFW в виде кластера с балансировкой позволяет использовать уже проверенные решения и существенно снизить сроки разработки. Это актуально и для потребителей, которые при такой архитектуре могут наращивать производительность кластера постепенно.
В инфраструктурах российских компаний с 2023 года работают схемы кластеризации NGFW при помощи брокеров сетевых пакетов DS Integrity от компании «Цифровые решения». Российский высокопроизводительный NGFW на 800 Гбит/с уже стал реальностью.
Текущие цели, к которым мы идём вместе с нашими технологическими партнёрами, — добиться пропускной способности кластера выше терабита, создать единую систему управления и обеспечить возможность плавно вводить и выводить устройства из кластера. И мы их скоро достигнем!
Реклама. АО «НПП Цифровые решения», ИНН: 7722471770, Erid: 2VfnxvVGdoE
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных