Решение для защиты ЦОД

Проблема

Потребности бизнеса растут с каждым днем. Новые требования к доступности приложений изменили подходы к проектированию ЦОДов. На сегодняшний день одной из актуальных задач является построение эффективной ИТ-инфраструктуры.

Изначально виртуализация серверов позволила обеспечить сокращение затрат на обслуживание и резервирование. Впоследствии виртуализация дополнительно обеспечила масштабируемость и гибкость при построении ЦОДов. Появились эластичные ЦОДы — группа географически распределённых ЦОДов, объединенных высокоскоростными каналами связи (WAN) в единую ЛВС с единым адресным пространством. ЛВС эластичных ЦОДов представляет собой масштабируемую структуру как внутри географически распределённых ЦОДов, так и между ними.

При этом, как правило, WAN каналы берутся в аренду у операторов связи. Это накладывает дополнительные обязательства на владельца эластичного ЦОДа — требуется обеспечить защиту конфиденциальной информации, циркулирующей по ним.

Чтобы обеспечить непрерывность функционирования такой системы, недостаточно просто дублирования систем. Требуется отказоустойчивость — возможность решения «приспособиться» к последствиям отказа. И требование «приспособиться» напрямую относится и к системе защиты каналов связи WAN.

Итак, мы выявили требования к системам защиты информации эластичных ЦОДов:

• Обеспечение конфиденциальности и целостности данных, передаваемых по каналам связи;
• Поддержка единого адресного пространства для защищаемой ЛВС ЦОД;
• Быстродействие и производительность;
• Масштабируемость;
• Отказоустойчивость;
• Соответствие требованиям регулятора.

Решение

Для реализации защиты каналов связи между географически распределёнными ЦОДами рекомендуется использовать технологию VPN (виртуальные защищенные сети). Классические технологии VPN, широко представленные на рынке (IPsec, SSL VPN, ViPNet VPN), разработаны для построения защиты каналов связи в тех случаях, когда в ЦОДе используется различное адресное пространство и общение серверов, объектов сети производится посредством маршрутизации данных. Особенностью эластичных ЦОДов является то, что общение всех объектов ЛВС ЦОД происходит напрямую без использования маршрутизации данных. Достигается этот эффект благодаря использованию специализированного оборудования, объединяющего ЛВС всех ЦОДов в единый домен общения. В такой ситуации классические технологии построения VPN пасуют.

Для решения поставленной задачи компания ИнфоТеКС разработала технологию L2OverIP. L2OverIP — это технология построения VPN, которая позволяет организовать защиту распределенных сегментов ЛВС ЦОД, использующих единое адресное пространство, на канальном уровне модели OSI. В результате узлы из разных сегментов могут взаимодействовать друг с другом так, как если бы они находились в одном сегменте с прямой видимостью.

Функционал L2OverIP позволяет объединить несколько сегментов сети, в том числе сегменты, разделенные на виртуальные локальные сети (VLAN). При этом возможны различные варианты объединения:

• Объединение сегментов без VLAN;
• Объединение нескольких или одной из используемых VLAN в разных сегментах;
• Объединение одного из используемых VLAN сегмента с сегментами без VLAN.

Для обеспечения масштабируемости и отказоустойчивости компания ИнфоТеКС предлагает воспользоваться технологией EtherChannel, которая реализована во всех современных коммутаторах.

EtherChannel — технология агрегации каналов, позволяющая объединять несколько физических каналов Ethernet в один логический канал для увеличения пропускной способности и повышения надёжности соединения.

Таким образом, технология EtherChannel обеспечивает распределение потоков данных на узлы кластера, повышает надежность соединения и отказоустойчивость.

В то же время технология L2OverIP позволяет обеспечить беспрепятственную работу технологии EtherChannel и защиту данных, передаваемых по открытым каналам связи.

Инженеры компании ИнфоТеКС провели стендовые испытания, которые подтвердили теоретические выводы о том, что совместное использование технологий L2OverIP и EtherChannel решает задачу передачи данных на скорости 10 Гбит/сек.

На стенде, созданном компанией, достигнуты следующие результаты:

Преимущества:

• Совместимость технологий L2OverIP и EtherChannel;
• Масштабируемость кластера ViPNet Coordinator HW;
• Высокая производительность скорости передачи данных при их шифровании — до 9,2 Гбит/сек;
• Высокая удельная производительность — до 3Гбит/сек на одну пару ViPNet Cooridnator HW;
• Низкая стоимость по сравнению с конкурирующими решениями.