Бюджеты на ИТ в большинстве российских компаний падают — причем не только в долларах, но и в рублях. По оценкам специалистов компании «Инфосистемы Джет», озвученным в начале сентября на проведенном ею круглом столе, который был посвящен программно-конфигурируемым центрам обработки данных, 60–70% потенциальных клиентов находятся «в совсем тяжелом положении», оставшиеся 30–40% пытаются так или иначе развивать свои ИТ-системы. Директор Центра сетевых решений «Инфосистем Джет» Сергей Андронов выделил три основных пути развития: линейное расширение — при этом удается сэкономить на инженерной инфраструктуре; переход с дорогих технологий на технологии «попроще» и, наконец, использование оборудования азиатских и, если возможно, отечественных производителей. Третий путь, по его мнению, отнюдь не самый плохой — альтернативные производители быстро прогрессируют по качеству.

Но у уже упомянутых 60–70% заказчиков нет денег даже на эти три сценария (или их комбинации). Поэтому вырос интерес к аренде компьютерных мощностей как у первичных, так и у вторичных провайдеров. Предоставление такого рода услуг — одно из направлений бизнеса «Инфосистем Джет».

В свою очередь увеличивающийся спрос на аренду ЦОД подтолкнул рост интереса к программно-определяемым, или программно-конфигурируемым, центрам обработки данных (Software-Defined Data Center, SDDC), легко перенастраиваемым в зависимости от роста или падения потребления услуг. Интересуются этой технологией и крупные корпоративные заказчики из числа тех, кто может позволить себе создание и развитие собственных центров обработки.

Андрей Шапошников предостерегает: создание программно-конфигурируемого ЦОД сейчас — крайне нетривиальная задача

Впрочем, на пути внедрения этой технологии пока немало подводных камней. Во-первых, «SDDC из коробки» пока не существует. На создание такого ЦОД, по оценке специалистов «Инфосистем Джет», уйдет около трех лет — никакой заказчик ждать столько не захочет. Подобный проект может себе позволить очень крупный провайдер вроде Amazon. Вдобавок у такой организации оборудование уже в достаточной мере унифицировано, тогда как у обычного заказчика в основном весьма разнородные ИТ-системы. Согласовать их между собой и со средствами управления и оркестровки, на которые возложено обеспечение мониторинга, учета и тарификации, автоматизированного изменения конфигурации, планирования ресурсов, согласованной реакции на события смежных систем и т. д., исключительно сложно.

В целом с законченными решениями корпоративного уровня пока в области SDDC довольно плохо, да и в течение ближайших лет пяти они вряд ли появятся, полагает заместитель директора Центра проектирования вычислительных комплексов Андрей Шапошников. Одна из причин в том, что вендорам выгоднее разрабатывать и продавать классические продукты, а службам эксплуатации — собственным заказчика или внешним — их поддерживать. Ну и средства автоматизации и управления SDDC пока дороги и сложны. И наконец, нет общепринятых стандартов на SDDC.

OpenStack, вопреки распространенному мнению, Шапошников считает не готовым продуктом, а набором программных модулей, которые нужно интегрировать «вручную» и которые тоже не соответствуют требованиям корпоративного уровня.

Еще одна проблема, связанная, впрочем, не только с внедрением SDDC, — уровень соответствия российских дата-центров международным требованиям. Из 187 обследованных «Инфосистемами Джет» ЦОД российских первичных провайдеров большинство удовлетворяет требованиям Tier III по части бесперебойного обеспечения электроэнергией (около 75%, остальные — Tier II) и климатических условий (приблизительно 80 и 20% соответственно). При этом с подсоединением к внешним сетям дело обстоит гораздо хуже (15% ЦОД соответствуют Tier III, остальные — Tier II), а с контролем доступа — охраной, системами доступа, наблюдения и т. д. дело совсем плохо, около 90% удовлетворяют лишь требованиям Tier I.

Эти данные, как полагают в «Инфосистемах Джет», показывают, насколько важно при выборе провайдера сервисов ЦОД вникать в детали. Компания проводила исследования в процессе поиска первичных провайдеров, на мощностях которых она может оказывать услуги по развертыванию систем заказчиков, в том числе программно-конфигурируемых. С другой стороны, компания готова предоставлять провайдерам различные сервисы как интегратор, а также развернуть виртуальный ЦОД и на мощностях заказчика.

 

DARPA: защита от DDoS-атак требует модернизации

Исследователи из Агентства перспективных оборонных исследований Министерства обороны США представят в сентябре новую программу, которая призвана защитить военные, общедоступные и частные корпоративные сети от распределенных атак, направленных на отказ в обслуживании (Distributed Denial of Service, DDoS).

Потребность в новых средствах защиты очевидна. Число DDoS-атак в первом квартале 2015 года­­ выросло по сравнению с аналогичным периодом прошлого года более чем в два раза. Согласно отчету Akamai Technologies, мощность многих из них уже превышает 100 Гбит/с.

В этой связи растет необходимость в фундаментально новых способах защиты.

Программа DARPA, получившая название ­Extreme DDoS Defense (XD3), направлена на:

  • пресечение DDoS-атак за счет физического или логического распределения ресурсов, затрудняющего злоумышленникам поиск цели;
  • маскировку характеристик и поведения этих ресурсов с целью запутать неприятеля;
  • снижение эффективности атак, сумевших преодолеть другие средства защиты, путем использования технологий адаптивного подавления.

Как утверждают в DARPA, существующие средства защиты от DDoS-атак, как правило, представляют собой комбинацию сетевых фильтров, увода трафика и «очистки» или репликации хранимых данных с целью «обескровить» наиболее мощные атаки или же предоставить легитимным пользователям альтернативные варианты доступа. Однако нынешние подходы во многом не отвечают предъявляемым к ним требованиям.

Реакция на DDoS-атаки оказывается слишком медленной и требует ручного управления, на диагностику и определение правил фильтрации зачастую уходит несколько часов. Между тем в военных системах связи продолжительность сбоев не должна превышать нескольких минут.

DDoS-атаки небольшой мощности чрезвычайно сложно идентифицировать с использованием встроенных технологий распознавания. Даже при обнаружении мощной атаки встроенные средства фильтрации ищут компромисс между желанием полностью заблокировать вредоносный трафик и необходимостью «не навредить» легитимным коммуникациям.

Технологии, основанные на проверке потоков данных, которые проходят через канал, сложно применять при наличии шифрованных туннелей. Кроме того, возникают вопросы масштабируемости, поскольку пропускная способность сетей постоянно увеличивается.

Защитные методы должны быть применимы к транзакционным сервисам, работающим в реальном времени, а также к облачным вычислениям. Технологий, которые оказываются полезны только для защиты хранимых и распространяемых квазистатических данных, уже недостаточно.

— Майкл Куни,

Network World, США