Подписаться
Читать в телеграм
/ При реализованной концепции антихрупкости система продолжает работать во время атак за счет разделения на множество независимых узлов
/ Балансировщики распределяют нагрузку только между «живыми» (работающими) элементами системы и дают возможность с легкостью ее расширять
/ Мишень, по которой стреляют хакеры, прикреплена именно к балансировщику, что говорит о важности модернизации его ПО в случае наличия в нем уязвимостей
Сегодняшние киберпреступники, используя самые продвинутые технологии, могут преодолеть любую защиту ИТ-инфраструктуры — даже самую современную и дорогую. Выход из положения остается один — построение архитектуры в соответствии с концепцией антихрупкости. Особую роль в работе такой структуры играют балансировщики. Они правильно распределяют нагрузку по слоям и элементам системы, чтобы повысить ее живучесть во время атак и облегчить масштабирование сервисов. О том, как правильно использовать эти устройства, JetInfo рассказали эксперты компании «Инфосистемы Джет».
На всех уровнях
Киберпреступники все чаще переходят от кражи данных к полному уничтожению ИТ-инфраструктуры компании, что может привести бизнес к краху.
«В прошлом году такие инциденты ИБ составляли уже 40% от их общего количества, и, судя по всему, эта доля в дальнейшем будет лишь расти. Единого защитного барьера при таких рисках недостаточно — защищать необходимо каждый узел в отдельности».
Александр Копылов,
руководитель группы сетевой безопасности компании «Инфосистемы Джет»
По словам эксперта, разделение системы на множество независимых узлов позволяет создать антихрупкую ИТ-архитектуру, дающую возможность продолжать работу во время атак. Те из узлов, что не пострадали от действий хакеров, возьмут на себя функции выбывших элементов, что обеспечит поддержку бизнес-процессов и целостность информации.
И речь здесь идет обо всех уровнях ИТ-инфраструктуры, а не просто о нескольких автономных ЦОД. Как пояснил Александр Копылов, в случае реализации этого подхода отказ любого из компонентов не сможет повлиять на функционирование конечных сервисов или приложений для пользователей.
Одно из основных условий работоспособности такой системы — связанность ее различных уровней друг с другом. Причем она должна сохраняться и в случаях масштабирования и модернизации, когда необходимо учитывать нюансы взаимодействия всех сопряженных между собой уровней. Фактически это означает, что даже при устранении небольшой проблемы ИТ-инфраструктура должна рассматриваться специалистами как единый механизм, все составляющие которого взаимосвязаны.
Архитектура самодостаточности
Сетевая инфраструктура обеспечивает корректное сопряжение и взаимодействие между различными сервисными слоями, в том числе выполняющими функции безопасности. В этом смысле балансировка нагрузки между защитными решениями дает возможность провести качественное масштабирование при выстраивании и расширении комплексной архитектуры в ИТ.
«Хотя сеть и балансировщики не выполняют функции безопасности, они позволяют оптимальным образом интегрировать инструменты ИБ в общую систему».
Павел Михайлик,
архитектор Центра сетевых решений компании «Инфосистемы Джет»
Идея антихрупкой ИТ-архитектуры состоит в том, что каждая точка присутствия вычислительных мощностей (такая как ЦОД, например) должна быть самодостаточной. И одно из необходимых условий для этого — распределение нагрузки между точками с учетом их мощности и текущего состояния.
Рядом с мишенью
Если российские разработчики балансировщиков не внедряют в них функции безопасности (за исключением базового файрволинга — например, L4), то в ряде иностранных решений эти опции присутствуют. Например, решение от F5 Networks в рамках единого шасси реализует совместную работу балансировщика с web application firewall, который защищает веб-приложения от внешних угроз, фильтруя трафик на сетевом уровне.
Это оправданно, поскольку злоумышленники в ходе атаки могут скомпрометировать и использовать балансировщик, как и любое другое сетевое устройство. Например, если в сетевом либо программном стеке имеется уязвимость, позволяющая провести неправомерную транзакцию. А если движок балансировщика при получении такого запроса позволит установить соединение и получить доступ, то для организации это станет проблемой, которую нужно будет срочно решать службе ИБ.
«Мишень, по которой стреляют хакеры, прикреплена именно к балансировщику, что говорит о значимости модернизации его ПО в случае наличия в нем каких-либо уязвимостей».
Павел Михайлик,
архитектор Центра сетевых решений компании «Инфосистемы Джет»
По словам эксперта, имеет смысл также совмещать балансировщики с Anti-DDoS-системами. Несмотря на то, что такие системы — это отдельные продукты, разрабатываемые другими вендорами, у них под капотом чаще всего работает WEB-сервер на базе Nginx, что позволяет интегрировать их с балансировщиками, которые работают на основе коммерческой доработки такого же движка (Nginx).
В настоящее время продукты на основе подобной коллаборации не представлены на нашем рынке, однако они могут появиться в будущем, если вендоры реализуют эту идею.
Впрочем, описанный подход может применяться далеко не в каждом случае, и требуется предварительная оценка для принятия решения о его использовании.
«При такой консолидации слоев возможно существенно упростить архитектуру, но, с другой стороны, данная связка элементов может оказаться нерациональной с точки зрения производительности —если на единицу процессорной мощности будет приходиться слишком много функционала. Поэтому в каждом конкретном случае заказчику потребуется взвешивать все за и против, выбирая оптимальный вариант именно для своей ИТ-инфраструктуры».
Павел Михайлик,
архитектор Центра сетевых решений компании «Инфосистемы Джет»
Расширяя слой
Средство балансировки, которое работает со слоем ИБ-решений, в первую очередь должно обеспечивать корректную сигнализацию о доступности того или иного сервиса безопасности, чтобы нагрузка на него распределялась, только когда он «живой» (работает). С другой стороны, чтобы правильно распределить нагрузку между сервисами для обеспечения отказоустойчивости, необходимо учитывать, что каждый узел этого слоя имеет собственную емкость.
«С помощью балансировщика мы можем отслеживать состояние каждого отдельного узла и вовремя переключать между ними нагрузку в случае какого-либо сбоя, что повышает общую надежность системы. А кроме того, у специалистов появляется возможность расширять этот сервисный слой, добавляя в его ресурсный пул дополнительные элементы и произвольно увеличивая емкость по мере роста нагрузки на инфраструктуру, причем не перестраивая ее архитектуру. Таким образом, упрощается процесс масштабирования инфраструктуры и улучшается ее адаптивность к различным условиям работы».
Павел Михайлик,
архитектор Центра сетевых решений компании «Инфосистемы Джет»
В качестве сервисов безопасности тут могут выступать решения широкого спектра — от универсальных межсетевых экранов до Anti-DDoS- и Anti-Bot-систем. Последние используются преимущественно в банковской сфере для защиты от атак, которые имитируют массовое поведение реальных пользователей, перегружающее сайты и приложения.
Симметрия трафика
«При грамотном применении инструментов балансировки на сетевом уровне и уровне приложений, специалисты имеют возможность в любой момент проводить модернизацию, заменять элементы и расширять их состав, не меняя общую архитектуру и не затрагивая сервисы как таковые. Кроме того, с помощью таких инструментов можно обеспечить различные дополнительные условия обработки трафика — в частности, его симметрию и предварительную дешифровку».
Александр Копылов,
руководитель группы сетевой безопасности компании «Инфосистемы Джет»
Вклад балансировщиков в киберустойчивость наблюдается и на уровне провайдеров мобильного и проводного интернета. Они используют технические средства противодействия угрозам (ТСПУ) как для защиты сети, так и для контроля доступов в собственных каналах передачи данных. Технически это реализуется с помощью отведения трафика на ферму (как правило, состоящую из DPI-устройств) с внутренними балансировщиками. Проходящий через нее трафик фильтруют, чтобы выявить попытки проведения DDoS-атак и отправки различных зловредных приложений. Здесь же реализуется возможность ограничить доступ пользователей к ряду интернет-ресурсов — в частности, мошеннических.
По словам экспертов компании «Инфосистемы Джет», именно правильная балансировка нагрузки сейчас выходит на первый план при создании антихрупкой ИТ-архитектуры на всех уровнях — от взаимодействия между ЦОД до процессов внутри сервисных слоев. При грамотном применении такого подхода компании имеют все шансы обеспечить отказоустойчивость своих систем, а также их масштабируемость и адаптивность к возрастающим нагрузкам.
