Главная  > Решения  > Комплексные решения  > Защита iSCSI-трафика

Защита iSCSI-трафика


Скачать статью в PDF

Системы хранения данных (СХД) представляют собой неотъемлемый элемент современных центров обработки данных (ЦОД). Они обеспечивают надежное централизованное хранение данных и высокую скорость доступа к ним. Кроме того, СХД хорошо масштабируются и экономически чрезвычайно эффективны в условиях постоянно растущего количества данных. Для управления системами хранения и их взаимодействия стандартно используется протокол iSCSI, работающий в рамках стека протоколов TCP/IP.

В некоторых случаях каналы к СХД являются недоверенными. Так, например, СХД может быть расположена в одном ЦОД, а потребители данных – в другом ЦОД. В таком случае остро встает вопрос обеспечения защиты канала связи: большие объемы пользовательских или корпоративных данных почти всегда имеют серьезную коммерческую ценность и привлекают злоумышленников. При этом существует ряд специфичных сложностей при защите СХД-трафика. Они связаны с повышенными требованиями к вносимым задержкам и потерям, а также с большим общим объемом передаваемых данных.

Кроме того, важно учесть, что если в информационной системе компании обрабатывается информация, подлежащая обязательной защите в соответствии с российским законодательством (например, персональные данные), то необходимо использовать сертифицированные средства защиты, прошедшие процедуру оценки регуляторами – ФСБ России и ФСТЭК России.

ПРЕИМУЩЕСТВА
РЕШЕНИЯ:

  • Высокая производительность
  • Сертификация компонентов
  • Надежность

Защита канала связи между СХД может быть осуществлена разными способами. Так, например, можно обеспечить физическую защиту канала. Это обычно возможно в тех случаях, когда канал находится в защищенном периметре. Однако, организовать такой защищенный периметр далеко не всегда возможно, например, если объекты географически разнесены на дальние расстояния. В таких случаях на помощь могут прийти криптографические решения, которые, помимо защиты канала, могут предоставить и дополнительные возможности, такие как гарантия целостности данных и гибкое управление доступом (в том числе – на основе ролевой модели доступа), построение эшелонированной, иерархической защиты.

Компания «С-Терра СиЭсПи» предлагает уникальное для российского рынка сертифицированное решение по защите iSCSI-трафика. Оно разработано с учетом особых повышенных требований СХД к сетевым задержкам и качеству сервиса в целом. Решение может быть построено как на базе классических программно-аппаратных комплексов С-Терра Шлюз или С-Терра Шлюз 10G, так и на базе продукта С-Терра Виртуальный Шлюз, который может работать во всех популярных системах виртуализации.

Предлагаемое решение основано на технологии IPsec с интегрированными механизмами межсетевого экранирования, приоритетной обработки трафика, высокопроизводительной реализацией ГОСТ‑алгоритмов шифрования и контроля целостности передаваемых данных. Решение позволяет эффективно защищать взаимодействие сетевых хранилищ данных как между собой, так и с потребителями данных, а также резервное копирование и репликацию.

Оценить технические характеристики решения можно на примере результатов тестирования решения с СХД от компании Kraftway – Kraftway Storage 100-12 KS102. Для шифрования использовались четыре пары С-Терра Виртуальный Шлюз, работающие под управлением ESXi на платформе с двумя процессорами Intel E5-2643v3. Таким образом, на одном процессоре E5-2643v3 работало одновременно четыре Виртуальных Шлюза С-Терра. В таких условиях решение показало следующие результаты:

Параметр Без шифрования С шифрованием
Средняя скорость одной сессии, MB/s
(предел физической среды: 1Gbit/s, т.е. ~116MB/s)
115,5 101,9
Среднее время доступа одной сессии, мс 0,305 0,436
Суммарная производительность 4 сессий, (4 пары виртуальных шлюзов, 4 канала), MB/s 461,2 407,6

Несколько пар Виртуальных Шлюзов С-Терра были использованы с целью продемонстрировать линейную масштабируемость их производительности.

Также, на практике была протестирована защита СХД-трафика через оптико-волоконную линию длиной 25 км. Среднее время доступа во всех тестах с использованием шифрования не превышало 0,875 мс.

Пример реализации

Исходные данные: требуется защитить канал, по которому осуществляется доступ к СХД по протоколу iSCSI. Ширина канала – до 10 Гбит/с. При этом, оборудование и MTU позволяет использовать пакеты размером ~9000 байт на всех участках защищаемой сети.

Предлагаемое решение:

Для решения данной задачи предлагается использовать 2 пары продуктов С-Терра Виртуальный Шлюз, работающих на одной паре серверов, соответствующие следующим требованиям: два процессорами E5-2643v3 (или аналогичные), 2 сетевых интерфейса 10Gbit/s с поддержкой SR-IOV. Для балансировки нагрузки используются маршрутизаторы, поддерживающие GRE.

Схема решения представлена на рисунке:


primer-realizacii-zaschity-iscsi-trafika.jpg


Настройка оборудования и стоимость решения

Подробную информацию по настройке компонентов, выбору оборудования и стоимости решения для Вашей СХД Вы можете получить у наших специалистов:
– по адресу: presale@s-terra.ru.
– или по телефону +7 499 940-90-61
Вам обязательно помогут!