Brocade: ochrona danych w fizycznej i wirtualnej sieci
Dzięki oprogramowaniu firmy Brocade możliwe staje się stworzenie bezpiecznej infrastruktury sieciowej.
Brocade 5600 vRouter to pierwszy wirtualny router o wysokiej wydajności oraz niezawodności i funkcjonalności (firewall, VPN i in.), z którymi dotychczas użytkownicy mieli do czynienia jedynie w przypadku klasycznych, fizycznych rozwiązań. Administratorzy mogą skalować jego wydajność, dobierając odpowiednią liczbę wirtualnych procesorów (vCPU), w zależności od ilości danych przetwarzanych przez przedsiębiorstwo. Oprogramowanie to może być zainstalowane w wirtualnej maszynie lub na klasycznym serwerze z procesorem Intel Xeon, pamięcią RAM o pojemności od 128 MB oraz co najmniej jedną kartą sieciową 1 Gb/s lub szybszą.
Wysoką wydajność wirtualnego routera uzyskano w wyniku zastosowania rozwiązania Brocade vPlane. Bazuje ono na udostępnionym przez Intela komponencie Data Plane Development Kit umożliwiającym przypisanie różnych warstw (ang. planes) odpowiedzialnych za przetwarzanie danych w wirtualnym routerze do poszczególnych fizycznych rdzeni w procesorze x86 serwera. Dzięki temu minimalizowana jest liczba koniecznych do wykonania obliczeń, co gwarantuje uzyskanie wydajności charakterystycznej dla klasycznych fizycznych routerów. Rekordową szybkość transferu danych – aż 80 Gb/s – uzyskano m.in. podczas testów w centrach danych hiszpańskiego operatora Telefónica.
Brocade vRouter zapewnia mechanizm kolejkowania QoS, dzięki któremu możliwe jest identyfikowanie danych pochodzących z konkretnych aplikacji oraz priorytetyzowanie ich ruchu. Administrowanie routerem może odbywać się przez interfejs linii komend (CLI), panel graficzny lub zewnętrzne systemy do zarządzania, łączące się przez API.
Licencja na Brocade 5600 vRouter aktualna jest przez rok lub trzy lata (można też wykupić licencje odnawiające). Użytkownicy nabywający to rozwiązanie muszą też wskazać oczekiwaną przez nich wydajność warstwy data plane (1, 2, 3 lub 24 wirtualne procesory vCPU). Dostępna jest również wersja „perpetual”, w ramach której użytkownik kupuje vRouter na stałe, a nie na założony okres.
Ochrona aplikacji w chmurze
Obok wirtualnego routera, Brocade oferuje też modularny firewall dla aplikacji sieci web Virtual Web Application Firewall (Brocade vWAF), który w prosty sposób można zintegrować ze środowiskiem chmurowym i dostosowywać jego wydajność do aktualnych potrzeb. Rozwiązanie działa jak klasyczny firewall – umożliwia filtrowanie ruchu sieciowego, blokowanie takich ataków jak wstrzykiwanie kodu SQL czy wykonywanie skryptów łączących z innymi stronami.
Firewall składa się z trzech skalowalnych komponentów: egzekutora (enforcer), decydenta (decider) i panelu administracyjnego. Egzekutor to mały element, który może być zainstalowany na różnego typu urządzeniach (serwerze web lub proxy) albo zintegrowany z firewallem sieciowym, rozwiązaniem do równoważenia ruchu w sieci (load balancer) lub kontrolerem aplikacyjnym (ADC), takim jak Brocade Virtual Traffic Manager. Jego zadaniem jest wysyłanie do decydenta żądań analizy danych z urządzeń, na których zainstalowany jest egzekutor.
Decydent natomiast przyjmuje dane od egzekutora i poddaje je analizie zgodnie z przyjętymi regułami polityki bezpieczeństwa. Obciążenie decydenta jest zależne od liczby zadań, które spłyną do przetworzenia, dlatego konieczne jest zapewnienie odpowiedniej mocy obliczeniowej. Jego unikalna architektura pozwala na skalowanie od jednego do wielu rdzeni procesora w serwerze.
Rozwiązanie Brocade vWAF świetnie sprawdza się w środowiskach chmury publicznej PaaS i SaaS. Jeśli obciążenie wirtualnej maszyny zawierającej decydenta przekroczy 80 proc. dostępnych zasobów, automatycznie zostanie stworzona druga wirtualna maszyna, aby odciążyć tę pierwszą. Natomiast jeśli w całym środowisku będzie funkcjonowało kilka wirtualnych maszyn wykorzystywanych w niewielkim stopniu, zostaną one zintegrowane w celu uwolnienia zasobów z powrotem do chmury. W podobny sposób może przebiegać skalowanie w środowisku IaaS, ale w tym przypadku vWAF może posłużyć także do ochrony zasobów chmury prywatnej.
Dodatkowe informacje:
Radosław Rafiński,
Channel Manager, Brocade,
radoslaw.rafinski@brocade.com
Artykuł powstał we współpracy z firmami Brocade i Avnet.
Podobne artykuły
Dane torują drogę do innowacji
W lutowej edycji konferencji Technology Live! wzięli udział czterej dostawcy: Keepit, Hammerspace, Nimbus Data oraz Own Company. Przedstawili kilka interesujących nowinek związanych z ochroną oraz przetwarzaniem danych.
G DATA: szkolenia zamiast krytyki
Faktem jest, że użytkownicy stanowią najsłabsze ogniwo w systemie bezpieczeństwa IT, ale na ich usprawiedliwienie przemawia to, iż bardzo rzadko są szkoleni pod tym kątem we właściwy sposób. Wyzwanie polegające na zmianie tej sytuacji podjęła G DATA.
Fudo Security: VPN już nie wystarcza
W dobie bardzo rygorystycznych przepisów wymuszających ochronę danych wrażliwych konieczne staje się m.in. ścisłe zarządzanie dostępem do nich w odniesieniu do użytkowników, ale też do osób z wyższymi uprawnieniami, np. administratorów.