Точка зрения / май 2014
Видимая экономика

Владислав Морозов, руководитель департамента специальных решений компании "Телеком-Защита"
© ComNews
15.05.2014

Надежные и управляемые средства обеспечения "видимости" данных – новая и нетривиальная задача для многих компаний, владеющих собственной ИТ-инфраструктурой и развивающих средства контроля за ней. Каким образом обеспечить средства безопасности или мониторинга полными и достоверными данными о событиях, происходящих в вашей сети, приложениях, сервисах, директору по продажам COMNEWS Ирине Глуховой рассказал руководитель департамента специальных решений компании "Телеком-Защита" Владислав Морозов.

- Средства обеспечения "видимости" данных – есть ли для этого какой-то выработанный термин, устоявшееся название?

- "Видимость" данных или "видимость" трафика – это прямой перевод с английского словосочетания Traffic Visibility. Данный термин охватывает всю инфраструктуру, которая расположена между вашим сетевым оборудованием (коммутаторы, маршрутизаторы, межсетевые экраны, виртуальные машины, облачные платформы и т.п.) и вашими средствами мониторинга или безопасности.

Как развивались продукты для решений Traffic Visibility?

- Эта ниша возникла более 10 лет назад на рынках сетевых решений и безопасности. В начале и середине 2000-х годов телеком-операторы переживали бурный рост объемов трафика и в какой-то момент столкнулись с тем, что расширение сетевой инфраструктуры намного опережает возможности развития и роста их собственных системы мониторинга сетей связи, систем контроля качества и т.п. Таким образом, на рынке возник спрос на недорогие, производительные и эффективные решения, которые бы осуществляли агрегацию и базовую фильтрацию трафика. Выгода операторов была как в уменьшении количества точек подключения для систем мониторинга, так и в снижении на порядки объемов трафика, поступающего на вход систем мониторинга: как правило, системе мониторинга "интересен" только сигнальный трафик с заголовками и "не интересно" содержание пользовательского трафика, так называемый payload.

Позднее решения по "видимости" трафика начали появляться и в других сегментах. Организации стали предъявлять более строгие требования к безопасности ИТ, защите от вторжений, защите данных, обеспечению устойчивых сервисов. Прежде всего, конечно, это сервис-провайдеры, операторы дата-центров, финансовые структуры и крупные вертикально-интегрированные компании.

Зачем нужна инфраструктура Traffic Visibility и из чего она состоит?

- Давайте перечислим несколько базовых задач, которые решаются путем развертывания системы "видимости" трафика в вашей сети. Прежде всего, вы экономите бюджет ваших ИТ-подразделений. Решение по "видимости" трафика существенно дешевле, чем эквивалентное по мощности (например, по количеству узлов и портов) расширение систем мониторинга и безопасности.

Во-вторых, вы разгружаете ваше сетевое оборудование от нетиповых задач "зеркалирования" трафика. Высвобождаются дополнительные порты, которые будут использоватся по прямому назначению, то есть для передачи данных.

В-третьих, нет необходимости согласовывать типы интерфейсов сетевых устройств и средств мониторинга. Например, ваша сеть построена с использованием оптических соединений 10Gbps, а ваше средство мониторинга имеет только несколько медных портов 1Gbps. Конвертация интерфейсов выполняется средствами "видимости" трафика.

В-четвертых, ваши средства мониторинга больше не привязаны к определенным площадкам. Например, ваши ЦОД и РЦОД разнесены по разным зданиям кампуса, а вам требуется обеспечить доступность всего трафика для IDS в единой точке.

Кроме этого, облегчается или уходит в прошлое большое количество административных задач, сокращается нагрузка на ИТ-инженеров. Например, ваша система анализа поведения NBA (Network Behavior Analysis) имеет три порта по 1Gbps. Потребуется выбор и постоянное поддержание конфигурации сетевых коммутаторов со SPAN-портами так, чтобы только нужный трафик поступал на эти три порта равномерно и без дублирования. Данная задача легко решается в два-три клика мышкой с использованием функционала Load Balancing на NPB (Network Packet Broker).

В свою очередь инфраструктура "видимости" трафика состоит из нескольких составляющих. Сбор трафика начинается с ответвителей трафика: тапов (TAPs) и сплиттеров (optical splitters). Для работы с виртуальными платформами используются агенты или agent-free-решения. Ядром являются устройства, обеспечивающие агрегацию, фильтрацию, регенерацию, балансировку и многие другие функции по отношению к трафику. В различных источниках они называются по-разному: data monitoring switch, network packet broker, network tool optimizer и т.п., для простоты будем называть все такие устройства NPB. А централизованная консоль является единой точкой управления всей инфраструктурой "видимости" трафика.

Какие еще преимущества есть у продуктов обеспечения "видимости" трафика?

- Есть ряд неочевидных, но существенных преимуществ решений "видимости" трафика перед классическими решениями съема трафика с каналов связи. NPB позволяют осуществлять базовую деперсонификацию данных. Например, системе мониторинга мобильного оператора нужно получить данные о каких-то параметрах сигнального протокола, но не нужно знать телефонный номер абонента. Для соблюдения законодательства и конфиденциальности такие идентификаторы могут быть заменены устройствами "видимости" трафика по маске перед отправкой трафика в сторону такой системы мониторинга.

NPB умеет разделять и затем собирать обратно трафик от различных средств мониторинга или безопасности, а также строить каскадные перенаправления, передавая трафик последовательно от системы DDoS к системе антивирусной защиты и только затем к конечному получателю. Устройства позволяют настроить широкий набор фильтров и разветвленный алгоритм обработки.

NPB может обеспечить данными вашу Big Data или другие средства анализа трафика, минуя все промежуточные устройства. Расширенный функционал некоторых NPB позволяет формировать дампы трафика и передавать их напрямую получателю в режиме реального времени. Таким образом, вы можете мгновенно получить дамп трафика из любой точки вашей сети, где имеются NPB.

В современных решениях широко используется виртуализация, часто трафик не выходит за пределы виртуальной машины. Каким образом обеспечивается "видимость" трафика в этом случае?

- У всех вендоров NPB есть то или иное решение для работы с виртуальными платформами. Как правило, agent-free-взаимодействие обеспечивается через API-платформы виртуализации, далее интересующий трафик попадает на ближайший NPB и там обрабатывается так же, как и полученный с обычных сетевых соединений.

- Какие системы могут получать трафик от NPB?

- Это любые активные или пассивные системы мониторинга, безопасности, оптимизации. И вообще все, что может управлять вашим трафиком.

Во-первых, это средства сетевой безопасности: IDS (Intrusion Detection Systems), NBA (Network Behavior Analysis), сетевые анализаторы, IPS (Intrusion Prevention System), DLP (Data Loss Prevention), DDoS prevention, DPI (Deep Packet Inspection), защищенные Web-шлюзы и т.п.

Во-вторых, это пассивные и активные средства сетевого мониторинга и производительности: непосредственно средства мониторинга сети, средства мониторинга трафика приложений, системы мониторинга Unified communication (вплоть до пассивной записи голосовых переговоров и конференций), средства кэширования и балансировки нагрузки приложений и т.п.

В чем разница между NPB и DPI?

- Если кратко, то DPI – это много функционала при ограниченной производительности, а NPB – это строго ограниченный функционал при очень высокой производительности. Нужно понимать, что NPB – это средство доставки трафика до потребителя, который хочет с ним работать, но не средство работы с трафиком само по себе.

За счет специализированных аппаратных решений NPB может обеспечить производительность в 500Gbps и более неблокируемой обработки трафика на платформе размером в 1 rack unit, осуществляя при этом агрегацию, деинкапсуляцию, репликацию, фильтрацию по стандартным полям IP-, TCP- и UDP-протоколов, обработку по маске и смещению (offset).

Вы несколько раз говорили о SPAN-портах и нежелательности использования функций зеркалирования на сетевых устройствах. Можете остановиться на этом моменте подробнее?

- Несмотря на то что функционал SPAN (Switch Port Analyzer) был создан как раз для задач мониторинга и анализа трафика, он имеет ряд ограничений.

Во-первых, вы отнимаете порты у вашего оборудования, которое предназначено для передачи данных, а не для мониторинга. Например, если у вас пять средств мониторинга – это уже пять занятых портов на вашем коммутаторе.

Во-вторых, как правило, SPAN не имеет функций фильтрации и функций балансировки трафика – это значит, что все ваши средства мониторинга будут видеть один и тот же трафик.

В-третьих, коммутаторы не обеспечивают работу SPAN на скорости порта. Если у вас 10Gbps порт настроен в SPAN, то вы вряд ли увидите на нем загрузку больше 60-70% - остальное будет теряться.

В-четвертых, процесс зеркалирование является нагрузкой на коммутатор и при этом имеет не самый высокий приоритет. Это значит, что в тот момент, когда в вашей сети начались неполадки и перегрузки и мониторинг вам нужен больше всего, ваш коммутатор будет стараться прежде всего коммутировать IP-пакеты. Что он, в принципе, и должен делать. И только потом, по остаточному принципу, коммутатор будет пытаться наполнить SPAN-порт.

В-пятых, SPAN не защищен от мини-всплесков трафика (micro-burst). Данный эффект всегда проявляется, когда в один destination-порт направляется трафик из нескольких source-портов. В этом случае трафик, выходящий за границу "всплеска", будет потерян.

В сухом остатке можно сказать, что SPAN как технология доставки трафика до средств мониторинга подходит, только либо если у вас небольшая и не сильно нагруженная сеть, либо если вам нужно обеспечить видимость трафика прямо сейчас и любой ценой. В долгосрочном плане строить систему мониторинга и безопасности на SPAN-портах нетехнологично и бесперспективно.

В качестве примера можно привести крупнейшего европейского телеком-оператора, в котором стратегически принято решение не использовать функционал SPAN-портов для каких бы то ни было целей. Все функции мониторинга реализованы через тапы и NPB.

Ведь можно сказать, что средство безопасности, которое получает 100% трафика, работает на 100%. Средство безопасности, которое получает 99% трафика, работает на 1%. А средство безопасности, которое получает 90% трафика, не работает вообще.

- Каким образом обеспечивается надежность и отказоустойчивость NPB?

- Для ответа на этот вопрос давайте разделим все решения по обеспечению "видимости" на два полюса: первые устанавливаются в разрыв (inline), вторые подключаются только на прием трафика для дальнейшей агрегации, фильтрации, регенерации и т.п.

Устройства, которые подключаются в разрыв, бывают пассивными (оптические сплиттеры) и активными (тапы или NPB). Надежность пассивных элементов обеспечивается высоким и стабильным качеством продукции и тестированием на каждом этапе. В этом контексте сплиттеры похожи на всю систему оптических линий связи – после монтажа и проверки вероятность выхода из строя крайне низка. Все активные тапы и включающиеся в разрыв NPB имеют защиту от потери питания или сбоя – в случае нештатных ситуаций в течение нескольких миллисекунд устройство отключает внутренние ответвители трафика и восстанавливает "прямой" канал между сетевыми портами.

NPB, которые включаются только на прием, имеют те же обеспечения средства надежности, что и любое сетевое оборудование, – по два блока питания, возможность использования питания постоянным током, out-of-band management порты, широкий набор возможностей для удаленного мониторинга. Особо требовательные пользователи могут купить модели NPB с сертификацией NEBS (Network Equipment-Building System).

- Существуют ли различия между решениями "видимости" трафика для телеком-операторов и для корпоративных заказчиков?

- С точки зрения аппаратных платформ или базового функционала отличий в решениях "видимости" трафика для этих двух рынков нет.

Однако есть расширенный функционал, который вендоры предоставляют за дополнительную плату, что позволяет оптимизировать стоимость решений и обеспечить сохранность инвестиций. Например, функции корреляции GTP-трафика будут востребованы и оплачены только операторами мобильной связи.

Кроме этого, существует набор специфичных устройств, которые вряд ли будут востребованы в Enterprise-секторе. Например, оборудование для работы с TDM-трафиком (E1, STM), или управляемые оптические сплиттеры высокой плотности,  или модульные шасси емкостью до 100 портов 40Gbps и производительностью до 4Tbps.

Кто является типовыми заказчиками средств "видимости" трафика внутри организации?

- Заказчиками средств "видимости" трафика могут быть как департаменты и отделы, отвечающие за безопасность, так и департаменты развития и эксплуатации ИТ-инфраструктуры, в случае с телеком-операторами – развития или эксплуатации сетей связи. Выбор внутреннего "заказчика" зависит прежде всего от того, внедряются NPB в составе какого-либо проекта по мониторингу или безопасности или проектирование инфраструктуры "видимости" трафика происходит совместно с проектированием архитектуры сети передачи данных.

Какие изменения могут коснуться ИТ-службы компании с точки зрения эксплуатации решений по "видимости" трафика? К чему нужно быть готовым руководителям ИТ-подразделений?

- В этом контексте NPB похожи на любые другие устройства сети передачи данных. Если у заказчика типовая архитектура КСПД или имеется сильная инженерная команда, то в большинстве случаев прохождения обучения, изучения best practices, технических описаний и руководств пользователя будет достаточно для проектирования и внедрения решения "видимости" трафика.

Если же речь идет о большой распределенной сети или дополнительном функционале NPB, вендор и партнер помогут сделать proof of concept, выполнить проектирование, внедрение и поддержку всего решения.

- Каковы перспективы рынка NPB в Росси и в мире?

-  Рынок решений по "видимости" трафика растет примерно на 100% в год. Основными драйверами роста являются, как ни странно, не конечные заказчики, а производители систем мониторинга и безопасности, о которых мы говорили ранее. Они включают оборудование NPB в состав своих предложений для оптимизации стоимости и архитектуры своих собственных решений.

В обозримом будущем мы ожидаем, что элементы "видимости" трафика станут обязательной частью сетевой инфраструктуры и точки "видимости" трафика будут закладываться на этапе проектирования и строительства сети.

Текущий объем рынка NPB в России, по нашей оценке, составляет порядка $15-20 млн в год. Оборудование "видимости" трафика имеется в каждом из крупных телеком-операторов и большинстве крупных банков.

В ближайшие два года основными сегментами роста для средств "видимости" трафика будут два направления. Это операторы мобильной связи, активно развивающие сети LTE и нуждающиеся в решениях "видимости" трафика для эффективной реализации систем мониторинга сети. И крупные компании коммерческого и государственного сектора, формализующие и усиливающие свои требования к системам безопасности.