Вопрос — ответ
Как защищаются ЦОД или где взять высокопроизводительные межсетевые экраны?
Отвечает ведущий эксперт отдела продвижения продуктов компании «Код безопасности» Дмитрий Лебедев:
— Сетевая безопасность центров обработки данных (ЦОД) строится вокруг двух компонентов. Первый — внутренняя сегментация, которая заключается в логическом разделении приложений виртуальных машин с разным уровнем чувствительности или принадлежащих разным отделам. Есть пять способов сегментации сети виртуальных машин ЦОД: физическое разделение гипервизоров, использование виртуальных коммутаторов, использование виртуальных межсетевых экранов, использование VLAN, оверлейная сеть.
Второй компонент — защита виртуальных машин с помощью межсетевых экранов (МЭ). Этот сценарий использования — один из самых сложных, потому что в ЦОД обрабатываются большие объемы трафика и нужна соответствующая пропускная способность МЭ. К тому же необходимо фильтровать трафик как для выхода виртуальных машин в интернет (паттерн север-юг), так и трафик между виртуальными машинами (паттерн запад-восток).
Выделяют три варианта использования МЭ в ЦОД: физический межсетевой экран, виртуальный межсетевой экран уровня сети и виртуальный межсетевой экран уровня гипервизора. Каждый из этих вариантов имеет свои плюсы и минусы. Так, главное преимущество физического МЭ — простота разворачивания, но недостатков больше: задержки трафика при обработке, необходимость в горизонтальном масштабировании, поскольку на рынке нет высокопроизводительных NGFW для ЦОД, и, как следствие, высокие затраты.
Виртуальные МЭ уровня сети имеют гораздо больше плюсов: отсутствие задержек при обработке трафика, простота развертывания, относительная дешевизна. Из недостатков — сложность при миграции виртуальных машин на другой хост и нестабильная работа кластера отказоустойчивости.
Для устранения этих недостатков был разработан виртуальный МЭ уровня гипервизора, где отсутствует понятие пропускной способности. При этом для фильтрации трафика в дополнение к классическим IP-адресам и доменам используются абстракции облачных/виртуальных сетей, например, по имени виртуальной машины. Главный минус такого МЭ — отсутствие сервисов NGFW для защиты: контроль приложений, IPS, антивирус.
Исходя из вышесказанного, есть следующие рекомендации по выбору МЭ для паттерна запад — восток в ЦОД. Если имеются чувствительные к задержкам приложения, выбирайте виртуальный межсетевой экран или межсетевой экран уровня гипервизора. При наличии высоконагруженных приложений требуется МЭ уровня гипервизора. Межсетевой экран уровня гипервизора рекомендуется выбирать и тогда, когда нужна интеграция с платформой управления виртуализацией.
