Криптографическая защита сетевого трафика требует дополнительной мощности не только вычислительного оборудования, но и устройств маршрутизации. В этой ситуации простое дублирование устройств, скорее всего, окажется неэффективным.
Криптографическая защита сетевого трафика требует дополнительной мощности не только вычислительного оборудования, но и устройств маршрутизации. В этой ситуации простое дублирование устройств, скорее всего, окажется неэффективным.
Как известно, компании неохотно откровенничают, когда речь заходит об информационной безопасности. Участники событий, о которых пойдет речь, — совсем не исключение. Представители предприятия, рассказав о себе, попросили сохранить инкогнито.
Примерно год назад на этом предприятии реализовали проект, одной из целей которого было построение инфраструктуры, обеспечивающей работу различных бизнес-приложений с централизацией основного ресурса. Актуальность реализации проекта была обусловлена необходимостью решения бизнес-задач стратегического управления группой предприятий, каждое из которых работает достаточно автономно, тем не менее, нуждается в централизованном руководстве. В целях экономии средств, вкладываемых в географически распределенную ИТ-инфраструктуру, основные вычислительные мощности (серверы приложений и хранилище данных) требовалось сконцентрировать на площади главного офиса. В центре обработки данных были развернуты системы ERP, биллинга, дистанционного обучения, call-центр, видеоконференцсвязь и телефония — разнообразный набор технологий, которые сегодня активно используют многие корпоративные заказчики.
Информацию с рабочих мест, расположенных на удаленных предприятиях, приходилось передавать в головной офис по арендованным у телекоммуникационных операторов каналам связи. Не исключено, что данные, поступающие по открытым каналам, содержали конфиденциальные сведения, поэтому следовало обеспечить надежную защиту корпоративной информации заказчика.
Растущий трафик
В рамках поставленной задачи была построена звездообразная VPN-структура, которая консолидирует все информационные потоки, входящие в центр обработки данных. Поскольку трафик в потоках разнороден (данные, видео, голос и пр.), то их обработку VPN-устройствами пришлось обеспечивать разными способами.
Решение этой задачи рассматривалось с учетом ближайших перспектив развития бизнеса, сопровождаемого ростом требований к количеству и качеству ИТ-услуг и, как следствие, увеличением трафика и расширением необходимой бизнесу пропускной способности канала. Согласно предварительным оценкам ожидаемого роста корпоративной ИТ-инфраструктуры компании, в ближайшие два года поток данных, поступающих в центр обработки, может достичь уровня, близкого к 1 Гбит/с. Требовалось найти такое технологическое решение, которое позволило бы обеспечить на каждом периоде развития нужную полосу пропускания защищенного канала связи, с некоторым запасом на случай внезапного роста трафика.
Задачу можно было решить с применением мощных средств западного производства, которые способны справиться с шифрованием потока высокой производительности. Но компании-заказчику требовалось обеспечить защиту трафика исключительно с помощью модулей шифрования, отвечающих российским стандартам (ГОСТ 28147-89).
До недавнего времени каналы свыше 100 Мбит/с в России считались невостребованными, поэтому максимальная производительность российских криптографических устройств не превышала 80-100 Мбит/с. Это вовсе не умаляет достоинства продуктов, просто они рассчитаны на определенные условия эксплуатации. Один из вариантов решения проблемы предполагал построение блока из 10-20 VPN-устройств мощностью 100 Мбит/с отечественного производства, вследствие чего удалось бы получить производительность, сравнимую с 1 Гбит/с. Как известно, линейное масштабирование путем подключения дополнительных устройств упирается в проблему надежности: для того чтобы обеспечить необходимый ее уровень, требовалось поставить дополнительно такой же блок устройств в качестве резервного. Дублирование функциональности, как правило, оказывается не очень эффективным вариантом капиталовложений.
Анализ тестов
Всегда считалось, что выполнение криптографических операций с применением центрального процессора является основным «узким горлом», тормозящим процесс в VPN-устройствах. Специалисты компании «Открытые Технологии», которые реализовывали данный проект, развернули на базе своей технической лаборатории тестовое решение, где в качестве платформ использовались серверы производства Hewlett-Packard и Sun Microsystems на базе 64-разрядных процессоров AMD Opteron, и детально проанализировали работу комплекса на многопроцессорных системах. Выяснилось, что криптография не использовала всей производительности компьютеров. «Узким горлом» оказалась маршрутизация. Результаты тестирования показали, что при использовании в качестве среды передачи данных каналов Gigabit Ethernet, скорость потока шифрованной информации через шлюзы безопасности CSP VPN Gate производства компании «С-Терра СиЭсПи» составила более 440 Мбит/с при использовании шифрования на основе алгоритма ГОСТ 28147-89, а скорость передачи открытых данных — около 700 Мбит/с на один поток.
Результаты исследований привели специалистов к идее «распараллелить» нагрузку на серверы, производящие обработку потока. Заодно удалось получить решение высокой доступности: в случае выхода из строя одного из узлов второй подхватывает обработку всех каналов. Масштабирование системы можно обеспечить либо заменив оборудование на более мощное, либо подключив дополнительные устройства (разумеется, нужную конфигурацию следует выбирать с учетом того, что она должна обеспечить эффективное перераспределение трафика между устройствами). Такой подход позволяет гораздо интенсивнее использовать мощности «горячего резерва», чем при простом дублировании функциональности VPN-устройств.
Создав решение на основе высокопроизводительных продуктов, удалось выполнить две основные задачи. Во-первых, обеспечили защиту большого потока данных с высокой производительностью. Во-вторых, получили возможность использования других устройств, резервирующих друг друга.
Безопасности много не бывает
Дальнейший анализ безопасности этого варианта создания структуры VPN показал, что резервные копии данных, поступающих в центральный офис компании, остались незащищенными от злоумышленников. Чтобы обеспечить их безопасность, пришлось установить соответствующие средства шифрования.
Разумеется, построив VPN-решение, компания не сможет считать себя абсолютно защищенной: потребуются дополнительные усилия, чтобы обезопасить информацию от злоумышленников-инсайдеров (как известно, они способны нанести предприятию гораздо больше вреда, чем внешние хакеры), которые могут иметь широкие полномочия доступа к конфиденциальной информации либо воспользоваться своими неформальными связями с системными администраторами и сотрудниками отдела информационной безопасности. Нельзя не согласиться с Кевином Митником, который, выступая полтора года назад в Москве, заметил: самое страшное — иллюзия безопасности, глубокая убежденность в том, что ни один злоумышленник не сможет преодолеть выстроенные рубежи обороны. Вопрос лишь в цене, которую придется заплатить злоумышленнику за реализацию своих планов.