Ochrona w dużej skali

Razem ze wzrostem skali wdrożenia środowiska IT rosną problemy związane z zapewnieniem bezpieczeństwa całej infrastrukturze. Przykładem bardzo poważnego wyzwania było wdrożenie zapór sieciowych dla nowego systemu dostarczania treści Yahoo! w Japonii.

Pod względem zabezpieczeń, sieć dystrybucji treści jest jednym z trudniejszych obiektów, gdyż charakteryzuje się olbrzymim transferem i wielką ilością połączeń z różnych urządzeń, a jednocześnie bywa narażona na ataki z zewnątrz. Z tymi problemami musiał się zmierzyć dział IT Yahoo! Japan, gdy rozpoczął rozwój swojej sieci dystrybucji treści (CDN – content distribution network). Rozwój CDN był związany z radykalnym wzrostem zapotrzebowania na dostarczenie treści na urządzenia przenośne, takie jak smartfony i tablety. Dzisiejsze portale informacyjne dostarczają coraz więcej zdjęć i materiałów multimedialnych, takich jak treści wideo. Razem ze wzrostem pasma, rośnie także liczba połączeń. Przy dużej skali wdrożenia zapewnienie bezpieczeństwa jest dość trudnym zadaniem i dlatego w 2013r. podjęta została decyzja o zabezpieczeniu całej sieci CDN Yahoo Japan za pomocą nowoczesnych zapór sieciowych.

Jak dostarczyć treść

Ponieważ Yahoo! Japan obsługuje popularne zdarzenia (między innymi mistrzostwa świata w piłce nożnej), sieć dystrybucji treści musi być wyskalowana do bardzo dużego obciążenia. Sumaryczne pasmo transmisji danych w starej sieci osiągało 40Gb/s. Obecnie notuje się także olbrzymi przyrost ruchu sieciowego, a zatem nowa sieć CDN została zaplanowana w modelu rozproszonym i zaprojektowana pod kątem o wiele większego obciążenia – wybudowano nową szerokopasmową sieć o przepustowości 200Gb/s, a zapory sieciowe obsłużą co najmniej 800 tysięcy połączeń na sekundę bez utraty zapisów ruchu w logach.

Zobacz również:

  • IDC CIO Summit – potencjał drzemiący w algorytmach
Szybka sieć

800 tysięcy połączeń na sekundę obsłuży system bezpieczeństwa chroniący sieć CDN Yahoo! Japan

Aby dobrze wykorzystać łącza z operatorami, serwery cache magazynujące statyczną treść zostały umieszczone w dwóch miejscach – w Kanto (obsługują wschodni region Japonii) oraz Kansai (dla zachodniego regionu). Rozproszenie geograficzne umożliwiło taki podział ruchu, by treść dla użytkowników z danego regionu była serwowana lokalnie z najbliższego zestawu serwerów, zapewniając najmniejsze opóźnienia i najkrótszy czas odpowiedzi. Jednocześnie rozproszenie geograficzne całej sieci umożliwiło zmniejszenie obciążenia pojedynczego datacenter. Część tej infrastruktury obsługuje także inne usługi, takie jak Yahoo! JAPAN News and Auction.

Nowe firewalle

Przy projektowaniu systemu zabezpieczeń rozważano zapory sieciowe różnych firm, ostatecznie wybrano FortiGate-3700D firmy Fortinet. Urządzenie to posiada cztery porty Ethernet o prędkości 40GB/s oraz 28 portów 10G Ethernet, a sumaryczna przepustowość osiąga 160Gb/s, umożliwiając przy tym przetworzenie 200 tys połączeń na sekundę bez utraty zapisów w logach zarówno przy protokole IPv4 i IPv6. Nawet tak duże urządzenie nie mogłoby samodzielnie obsłużyć ruchu CDN Yahoo! Japan, a zatem skonstruowano klaster z czterech zestawów po osiem urządzeń rozlokowanych w obu centrach przetwarzania danych. Na potrzeby przetwarzania ruchu rzędu 80Gb/s (uplink i downlink) zaalokowano porty na przełącznikach sieci szkieletowej. Następnym krokiem będzie wprowadzenie nowych firewalli przystosowanych do przepustowości 100Gb/s.

Ochrona w dużej skali

Schemat zabezpieczeń sieci CDN Yahoo! Japan.

Urządzenie tej klasy co Fortigate-3700D pracuje także u jednego z polskich operatorów telekomunikacyjnych w konfiguracji klastra wysokiej dostępności. Zabezpiecza ono systemy komunikacji oraz dostarczania treści tego operatora.

Ważne logi

Przy projektowaniu rozwiązań ochrony w każdej skali niezbędne jest zachowanie zapisów ruchu. Logi generowane przez zapory sieciowe i rozwiązania klasy IPS są niezbędne do analizy zdarzeń i wykrywania ataków. Właśnie dzięki analizie ruchu można wykryć ataki, które wykorzystują nieznane dotąd podatności aplikacji i systemów. W skali dużego CDN (obsługującego 800 tys połączeń na sekundę) jest to olbrzymi strumień informacji. Jeśli każde nawiązane połączenie generuje co najmniej dwa wiersze w logach, co sekundę powstaje nie mniej niż 1,6 miliona wierszy z zapisem aktywności sieciowej. Jeśli pojedynczy wiersz ma około 300 bajtów (taką wartość podaje raport Benchmarking Security Information Event Management opublikowanym przez instytut SANS), sam zapis logów wymaga pasma ponad 450 megabajtów na sekundę. Jest to minimalna wartość, gdyż zazwyczaj zapisy są o wiele bogatsze, umożliwiając późniejszą analizę ruchu. Zapisy różnych zdarzeń analizuje się zawsze w połączeniu z innymi zdarzeniami, a zatem systemy analizy zasilane logami z zapór sieciowych muszą magazynować dużo danych. Przy założeniu utrzymania maksymalnej przepustowości 800 tys połączeń na sekundę przez całą dobę i minimalnym poziomie logowania, zapory sieciowe wygenerują około 38 terabajtów danych dziennie.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200