Главная  > Решения  > Комплексные решения  > Защита виртуальной инфраструктуры

Защита виртуальной инфраструктуры одновременно с физическими компонентами системы


Скачать статью в PDF

Задача

Технология виртуализации позволяет более эффективно и рационально использовать вычислительные ресурсы. При этом сохраняется привычная функциональность устройств и появляются преимущества по сравнению с традиционной физической средой.

ПРЕИМУЩЕСТВА
ВИРТУАЛИЗАЦИИ:

  • Сокращение капитальных и эксплуатационных расходов
  • Быстрое и удобное масштабирование
  • Экономия места в стойке
  • Экономия электропитания и охлаждения
  • Дополнительные инструменты отказоустойчивости

Современные технологии виртуализации в своем составе содержат компоненты защиты, но они неспособны нейтрализовать весь спектр современных угроз, в частности, несанкционированный доступ к информации при ее передаче по недоверенным каналам связи, а также не могут полностью выполнить требования законодательства в области обеспечения информационной безопасности.

Решить задачу защиты виртуальной инфраструктуры компании и безопасного доступа к ней можно одним из следующих способов:

Использовать традиционные программно-аппаратные комплексы (ПАК)

Это проверенное временем аппаратное решение, подходящее для защиты физических компонентов, применимо и к обеспечению безопасности виртуальных систем. Оно используется для защиты филиальной сети и удаленного доступа сотрудников компании. Предложений сертифицированных продуктов на рынке более чем достаточно, но построение систем защиты на их основе имеет ряд недостатков. Во-первых, возможности ПАК ограничены характеристиками платформ и имеют сложность с масштабированием и отказоустойчивостью. Во-вторых, выделение под каждый сервис отдельного сервера влечет за собой увеличение места в стойках, расходов на электропитание, охлаждение и т.д. В-третьих, большое количество разнообразных серверов увеличивает расходы на сервисное обслуживание. Все это приводит к возникновению некоторых неудобств при организации защиты виртуальной инфраструктуры программно-аппаратными комплексами.

Использовать специальные средства защиты, предназначенные для работы в виртуальной среде

Непосредственное встраивание в виртуальную среду позволяет в полной мере использовать основные преимущества технологии виртуализации: экономичность, масштабируемость, отказоустойчивость, а также позволяет избежать неудобств, возникающих при эксплуатации программно-аппаратных комплексов. Средства защиты, выполненные в виде виртуальных программных комплексов, имеют аналогичную функциональность, не уступающую традиционным программно-аппаратным решениям, при этом повышая удобство пользования сетевыми сервисами и упрощая администрирование средств защиты информации.

Решение с использованием специализированных средств защиты для виртуальной среды

Уникальный продукт для защиты сетевой инфраструктуры, в том числе виртуальной среды – С-Терра Виртуальный Шлюз. Решения на его основе легко интегрируются в инфраструктуру популярных систем виртуализации – VMware ESX, Citrix XenServer, Parallels и KVM.

ПРЕИМУЩЕСТВА
РЕШЕНИЯ:

  • Выполнение требований регуляторов
  • Высокая производительность
  • Высокая экономическая эффективность
  • Быстрая доставка и установка

Применение данного решения позволяет:

  • выполнить требования российского законодательства в отношении защиты конфиденциальной информации и персональных данных
  • организовать предоставление услуг в области защиты информации, таких как Security-as-a-Service или VPN-as-a-Service.

Для безопасного удаленного доступа на конечные устройства пользователей устанавливаются программные средства защиты: С-Терра Клиент (если сотрудник использует устройство под управлением ОС Windows) или С-Терра Клиент-М (для ОС Android).

Для защиты филиальной сети и/или ЦОД может также использоваться С-Терра Виртуальный Шлюз, а при отсутствии виртуальной инфраструктуры – традиционный ПАК С-Терра Шлюз.

Компоненты решения реализуют криптографическую защиту информации и функции межсетевого экранирования. Благодаря использованию международных стандартов IKE/IPsec и применению отечественных криптоалгоритмов передаваемый трафик шифруется по ГОСТ 28147-89, а также производится усиленная аутентификация по ГОСТ Р 34.10.

Все компоненты сертифицированы ФСБ России и ФСТЭК России для защиты конфиденциальной информации и персональных данных (см. таблицу 1).

С-Терра Виртуальный Шлюз встраивается непосредственно в виртуальную среду и позволяет организовать защиту привычных пользовательских сервисов без ущерба удобству и функциональности. Продукт сочетает в себе широкий набор функций по защите данных при их передаче по открытым каналам связи и позволяет оперативно решать поставленные задачи.

Преимущества:

  • Возможность перехода к полностью виртуальной инфраструктуре компании.
  • Полная функциональность аппаратного VPN-шлюза С-Терра Шлюз.
  • Быстрая доставка компонентов решения заказчику, разворачивание и ввод в эксплуатацию.
  • Независимость от аппаратной платформы.
  • Эффективное использование вычислительных ресурсов.
  • Высокая производительность шифрования трафика: порядка 300 Мбит/c на 1 ядро процессора.
  • Быстрая адаптация решения к меняющимся задачам и требованиям сетевых приложений.
  • Легкое сохранение, резервное копирование и восстановление, обновление, в т.ч. с использованием образов виртуальных машин (Snapshot).

Таблица 1. Параметры решения по защите виртуализации с применением С-Терра Виртуальный Шлюз

Возможности решения Описание
Высокая производительность Производительность шифрования трафика порядка 300 Мбит/с на 1 ядро процессора
Масштабирование Лицензионно (без обновления аппаратной части)
Надежность и Отказоустойчивость Возможность кластеризации любых компонентов
Интеграция с инфраструктурой компании Встраивание Виртуального Шлюза в существующую инфраструктуру
Поддержка любых виртуальных сред Поддерживаются Citrix, VMware, Parallels, KVM и другие. В том числе возможно встраивание в Citrix Netsacaler SDX
Механизмы защиты Проверка целостности при запуске.
Усиленная аутентификация, в т.ч. возможность работы с Radius-сервером.
Межсетевое экранирование с контролем состояния соединений.
Шифрование и имитозащита трафика.
Криптографические алгоритмы Шифрование: ГОСТ28147-89
Электронная подпись: ГОСТ Р 34.10-2001/2012
Контроль целостности: ГОСТ Р 34.11-94/2012
Сертификация ФСБ России СКЗИ КС1 и МЭ 4
Сертификация ФСТЭК России НДВ 3, МЭ 3, ОУД 4+, АС 1В, ГИС до 1 кл. включительно, ПДн до 1-4 ур.

Выбор продуктов

Выбор конкретных продуктов для использования в решении зависит от структуры сети, необходимого класса защиты, объема и типа передаваемого трафика, а также требований по надежности и резервированию. Рекомендации приведены в таблице 2.

Таблица 2. Рекомендации по выбору продуктов С-Терра для защиты виртуальной среды

Структура компании Криптографические средства защиты информации
Центральный офис/ЦОД С-Терра Виртуальный Шлюз
Система управления С-Терра КП
Удаленные офисы С-Терра Виртуальный Шлюз (при наличии системы виртуализации)
или ПАК С-Терра Шлюз
Удаленные пользователи СЗН С-Терра «Пост»
или С-Терра Клиент
или С-Терра Клиент-М

С-Терра Виртуальный Шлюз предлагается в нескольких вариантах исполнения – с разным количеством используемых ядер процессора и числом возможных туннелей. В таблице 3 приведены данные по производительности С-Терра Виртуальный Шлюз на базе гипервизоров компании VMware ESXi.

Выбор модели виртуального шлюза зависит от типа и комплектации аппаратной платформы (сервера), на которую он будет установлен. Производительность пропорциональна частоте процессора и количеству используемых для шифрования ядер, ограничивающихся лицензионно. При подборе модели виртуального шлюза необходимо учитывать размер и тип передаваемых данных, так как трафик целевых приложений для различных информационных систем может различаться в зависимости от прикладных задач.

Таблица 3. Производительность С-Терра Виртуальный Шлюз в режиме шифрования ГОСТ 28147 с проверкой целостности с помощью имитовставки

Количество ядер процессора Частота процессора, ГГц Производительность шифрования
TCP (mono), Мбит/с
Производительность шифрования
IMIX (mono), Мбит/с
Под управлением гипервизора VMware ESXi
1 1 70 40
1,7 140 80
3 250 140
4 1 255 150
1,7 550 340
3 1050 600
12 (НТ1, драйвер SR-IOV) 3 2000 1150
Под управлением гипервизора KVM (драйвер virtio)
1 3 130 70
4 3 700 250
Под управлением гипервизора KVM (драйвер SR-IOV)
1 3 190 80
4 3 950 530
12 3 2000 1200

1При использовании технологии HT – HyperThreading.

Примечания:
1. Mono – однонаправленный поток данных, т.е. генератор трафика расположен только со стороны одного из шлюзов; IMIX – методика тестирования среднестатическим интернет трафиком, представляющая собой набор пакетов разной длины.
2. Значения производительности, указанные в таблице, являются ориентировочными, поскольку зависят от параметров виртуальной среды.

Настройка оборудования и стоимость решения

Подробные инструкции по настройке компонентов размещены на сайте компании «С-Терра СиЭсПи»:

Развертывание виртуального шлюза на VMWare ESXi.

Развертывание виртуального шлюза на Citrix XenServer.

Развертывание виртуального шлюза на KVM.

Развертывание виртуального шлюза на Parallels Virtuozzo.

После развертывания виртуальной машины и установки необходимых настроек выполните инициализацию С-Терра Шлюза.

Далее настройте политику безопасности согласно подходящему сценарию применения:

Типовые сценарии применения продуктов С-Терра

Примеры дополнительных возможностей продуктов C-Терра

Получить помощь в выборе продуктов и оборудования, а также расчет стоимости решения для вашей организации Вы можете, обратившись к нашим менеджерам:
– по телефону +7 499 940-90-61
– или по электронной почте: sales@s-terra.ru
Вам обязательно помогут!

Пример защиты виртуальной инфраструктуры с обеспечением отказоустойчивости и балансировки нагрузки на базе продуктов компаний «С-Терра СиЭсПи» и «Citrix»

Для создания эффективной высокопроизводительной и масштабируемой виртуальной сети и защиты ее компонентов компаниями «Citrix» и «С-Терра СиЭсПи» разработано совместное решение, которое позволяет организовать защиту виртуальной инфраструктуры в соответствии с требованиями российского законодательства. В предлагаемом варианте решения виртуальная инфраструктура компании заказчика построена на базе Citrix Xen Desktop и Citrix Netscaler, а система защиты реализована VPN-продуктами компании «С-Терра СиЭсПи».

citrix-ready-logo.png

Преимущества совместного решения:

  • Соответствие требованиям законодательства.
  • Возможность использовать уже существующую инфраструктуру Citrix.
  • Интеграция сертифицированного VPN-шлюза С-Терра Виртуальный Шлюз и межсетевого экрана непосредственно в виртуальную среду Citrix Xen Server.
  • Балансировка нагрузки средствами Citrix NetScaler.
  • Поддержка качества обслуживания и нормализация трафика средствами Citrix Cloud Bridge.
  • Гибкая масштабируемость производительности средств защиты (за счет наращивания шлюзов безопасности в кластере).
  • Высокая степень отказоустойчивости.

Данный подход применим как для защиты удаленного доступа сотрудников компании, так и для защищенного взаимодействия территориально распределенных площадок (например, филиалы и/или ЦОДы).

 

pict-zaschita-virtualizacii-2.jpg

Рисунок 1. Защита передаваемых данных с обеспечением принципов отказоустойчивости и масштабирования.

 

Для реализации защиты отдельных серверов и приложений использован высокопроизводительный кластер из шлюзов безопасности в виде виртуальных машин С-Терра Виртуальный Шлюз под управлением гипервизора Citrix XenServer. На конечных устройствах пользователей для безопасного доступа к информационным активам компании установлено программное средство защиты: С-Терра Клиент (если сотрудник использует устройство под управлением ОС Windows) или С-Терра Клиент-М (для ОС Android).

Для оптимизации большого количества передаваемого трафика данных между центральным офисом и филиалами, а также для обеспечения оптимального защищенного доступа к веб-сервисам и приложениям компании используется продукт Citrix NetScaler. Он выполняет задачу ускорения загрузки приложений посредством кэширования и сжатия HTTP пакеты данных и обеспечивает улучшенное управление трафиком с балансировкой нагрузки (Layer 4-7 модели OSI). NetScaler способствует повышению доступности приложений.

pict-zaschita-virtualizacii-3.png

Рисунок 2. Защита передаваемых данных с обеспечением оптимизации трафика данных.

 

Таблица 4. Производительность С-Терра Виртуальный Шлюз в режиме шифрования ГОСТ 28147 с проверкой целостности с помощью имитовставки под управлением гипервизора Citrix XenServer

Количество ядер процессора Частота процессора, ГГц Производительность шифрования
TCP (mono), Мбит/с
Производительность шифрования
IMIX (mono), Мбит/с
1 3 180 90
4 3 530 470

Примечания:
1. Mono – однонаправленный поток данных, т.е. генератор трафика расположен только со стороны одного из шлюзов; IMIX – методика тестирования среднестатическим интернет трафиком, представляющая собой набор пакетов разной длины.
2. Значения производительности, указанные в таблице, являются ориентировочными, поскольку зависят от параметров виртуальной среды.

Получить помощь в выборе продуктов и оборудования, а также расчет стоимости решения для вашей организации Вы можете, обратившись к нашим менеджерам:
– по телефону +7 499 940-90-61
– или по электронной почте: sales@s-terra.ru
Вам обязательно помогут!

Полезные ссылки: