Безаварийные защитные решения

Сценарий

По данным «Лаборатории Касперского», около 90% компаний когда-либо пострадали от инцидентов информационной безопасности. При этом на ликвидацию последствий одного такого инцидента компании тратят в среднем 551 тыс. долл. Организация защиты сети — это больше, чем просто установка новейших средств обеспечения информационной безопасности. От того, как будет реализована система безопасности в целом, зависят ее производительность и надежность.

Внедрение в сеть любого inline-устройства (в том числе защитного) несет в себе риск того, что данное устройство станет точкой отказа сети. Если inline-устройство перестанет функционировать, оно может нарушить работу контролируемого сетевого канала, и тогда важная часть сети станет недоступной для пользователей, что сократит время безотказной работы сети. Чтобы избежать этого риска, заказчики должны использовать безаварийное решение, способное защищать сеть от сбоев в работе inline-устройства и при этом обеспечивать последнему возможность защищать сеть от в входящих угроз.
Безаварийность защитных решений основана на использовании надежных обходных коммутаторов и интеллектуальном распределении пакетов по защитным inline-устройствам.

Решения Ixia

Подсистема безопасности (Security Fabric) в составе архитектуры Ixia Visibility Architecture гарантирует, что каждое средство безопасности находится в рабочем состоянии и функционирует с максимальной производительностью. Для реализации безаварийных защитных решений компания Ixia выпускает широчайший ассортимент обходных коммутаторов, фильтры, уменьшающие поверхность атаки сети, и интеллектуальные брокеры сетевых пакетов Vision.

Простое безаварийное решение
Простым решением для уменьшения риска вынужденного простоя в работе сети является подключение каждого межсетевого экрана или другого защитного inline-устройства через обходной коммутатор. Последний постоянно контролирует подсоединенное к нему inline-устройство, чтобы «знать», способно ли оно принимать трафик. Если inline-устройство вдруг откажет, обходной коммутатор будет пересылать трафик в обход него до тех пор, пока данное устройство не вернется в рабочее состояние. Это устраняет риск возникновения сбоя в работе сети из-за отказа одного inline-устройства.

Таким образом, благодаря обходному коммутатору, при отказе подсоединенного к нему inline-устройства сеть в целом будет продолжать функционировать, а ее трафик может контролироваться всеми другими защитными устройствами. Лучшие обходные коммутаторы работают на линейной скорости и не влияют на доступность сети. Кроме того, при использовании обходного коммутатора плановые работы по техническому обслуживанию защитного решения (например, переконфигурирование inline-устройства, установка нового inline-устройства или модернизация имеющегося) могут быть выполнены без влияния на работу сети, поскольку обходной коммутатор будет пересылать трафик в обход отключенного inline-устройства. Это может значительно увеличить время работы сети, поскольку 70–90% всего времени простоя сети приходятся на техническое обслуживание.

Будучи очень полезным для уменьшения времени простоя сети, обходной коммутатор является компромиссным решением между обеспечением доступности сети и контролем трафика для ее защиты, поскольку трафик просто пропускается в обход отказавшего защитного устройства. К счастью, существуют более эффективные защитные решения.

Решение высокой готовности
Для еще большего уменьшения времени простоя и максимального увеличения надежности сети можно реализовать защитное решение высокой готовности (HA) с использованием зарезервированных обходных коммутаторов и брокеров сетевых пакетов. Если вы используете брокеры сетевых пакетов, которые могут быть задействованы в режиме работы с резервированием типа «активный — активный», вы получите мгновенное автоматическое восстановление функций любого отказавшего устройства в вашей архитектуре информационной безопасности.

В максимально отказоустойчивой архитектуре информационной безопасности два обходных коммутатора и два брокера сетевых пакетов гарантируют полное восстановление функций любого отказавшего inline-устройства. Обходные коммутаторы, задействованные в режиме «активный — резервный», контролируют состояние всех устройств, включая брокеры сетевых пакетов, и перенаправляют трафик от одного устройства к другому при обнаружении отказа. В случае отказа в одной из частей данной архитектуры защита сети поддерживается на прежнем уровне, а пользователи не ощущают перерыва в обслуживании или работе приложений.

Максимально отказоустойчивая архитектура информационной безопасности

Брокеры сетевых пакетов, сконфигурированные для обеспечения HA с полной синхронизацией в режиме «активный — активный», балансируют нагрузку в нормальных условиях и настроены на сохранение передачи всего трафика, если один из брокеров выходит из строя. При этом пользователи также не замечают перерывов в работе сервисов и приложений. И это никак не влияет на мониторинг трафика с целью обеспечения информационной безопасности.

К достоинствам Security Fabric компании Ixia относятся:

• Высокая готовность сети за счет устранения простоев в ее работе из-за технического обслуживания, модернизации и отказов защитных inline-устройств.
• Оптимальная производительность, благодаря фильтрации и равномерному распределению трафика по нескольким защитным устройствам.
• Операционная эффективность за счет сокращения числа тревожных оповещений о событиях информационной безопасности.
• Значительная отдача от инвестиций (ROI) в устройства безопасности за счет повышения эффективности использования их производительности.

С помощью Security Fabric создавать самовосстанавливающуюся высоконадежную систему безопасности сегодня проще, чем когда-либо ранее.

Предлагаемые платформы
iBypass 40G		Интеллектуальный обходной коммутатор для сетей 40G. Имеет порты мониторинга типа QSFP+
iBypass VHD		12-сегментный 10-гигабитный интеллектуальный обходной коммутатор
10/100/1Gb Copper Bypass Switch		Обходной коммутатор с медными Ethernet-интерфейсами пропускной способностью до 1 Гбит/с
Vision xStream 40		Брокер сетевых пакетов, обеспечивающий контроль трафика сети 40GE посредством устройств мониторинга с волоконно-оптическими интерфейсами
Vision E40, Vision E100		Брокеры сетевых пакетов с пропускной способностью портов до 40 или 100 Гбит/с соответственно, предназначены для построения масштабируемых систем контроля трафика аппаратных стоек
Vision ONE		Универсальный брокер сетевых пакетов для контроля сети с помощью inline- и out-of-band-устройств мониторинга. Снабжен интуитивно понятным графическим пользовательским интерфейсом

• Тестирование широкополосных доступа и услуг
• Тестирование сетей Carrier Ethernet
• Тестирование ЦОДов и облачных решений
• Тестирование разрабатываемого ПО
• Тестовые решения, поддерживающие более скоростной Ethernet
• Тестирование устройств Интернета вещей
• Оценка работы IP-сети и ее диагностика
• Тестирование совместимости с IPv6
• Тестирование устройств и сетей MPLS
• Тестирование мультисервисных сетей
• Тестирование сетевых решений с помощью Network Emulator II
• Аттестационные испытания реализаций протоколов
• Тестирование маршрутизаторов и коммутаторов
• Тестирование SDN
• Тестирование внутриавтомобильных сетей Ethernet
• Тестирование устройств и сетей Industrial Ethernet
• Тестирование моделей микросхем
• Тестирование систем передачи видео
• Тестирование виртуализированных сред
• Тестирование систем голосовой связи
• Тестирование устройств и сетей Wi-Fi
• Тестирование беспроводных сетей
• Безаварийные защитные решения
• Тестирование устройств защиты сетей
• Усиление защиты сети
• Архитектура систем сетевого мониторинга
• Функционал мониторинговых решений Ixia
• Решения для доступа устройств мониторинга к сети
• Решения для inline-подключения устройств мониторинга
• Решения для out-of-band-подключения устройств мониторинга
• Решения для мониторинга облаков
• Hawkeye: активный мониторинг и оценка работы сети