Blog

Nova generacija internet gateway mreže: sigurnost i visoka raspoloživost

Dizajn izlaza na internet (internet gateway) u organizacijskim mrežama gotovo uvek se svodi na 2 zahteva: sigurnost i visoka raspoloživost.

Sigurnosni tretman mrežnog prometa se u pravilu postiže sa (sve) više sigurnosnih inline uređaja kroz koji prolazi promet: firewall, secure web gateway (web proxy), secure mail gateway (mail proxy), ATP inspekcija, DLP, IPS/IDS, SSL inspekcija, Deep Packet Inspection (DPI), itd.

Na „papiru“ inline topologija može izgledati npr. ovako:

Tradicionalno, visoka raspoloživost u inline scenariju može se postići redundancijom mrežnog puta koristeći Spanning Tree Protocol (STP) kako bi se konstruirao alternativni mrežni put do gateway routera, uz često kombinaciju Cisco HSRP protokola za ostvarenje redundantnog default gateway-a. Tipičan prikaz ovakog rešenja je prikazan na slici niže:

Problem ovakve legacy arhitekture leži u novijim zahtevima sigurnosti, poglavito u pojavi ATP inspection&mitigation uređaja (npr. Trend Micro ili Fireeye) i zahtevima za vidljivošću SSL kriptovanih komunikacija: dakle, mrežni put od LAN-a do routera i interneta mora da prođe sve veći broj mogućih tačaka ispada. Dodatni nedostaci ovakvog pristupa su:

  • podržana samo Active/Passive visoka dostupnost, tj. u svakom trenutku je samo pola mrežne opreme iskorišćeno (Master/Slave način rada). Dakle, reč je o ulaganju u hladni pogon.
  • Skalabilnost pati, tj. kada postoji potreba za širenjem kapaciteta, nije jednostavno dodati novu opremu u lanac prometa.
  • Svi uređaji primaju ukupni promet, iako možda nisu zainteresovani za sve pakete; zato sizing svakog uređaja mora da bude dimenzioniran tako da zadovolji ukupnu propusnost.
  • održavanje i administracija mreže postaje vrlo kompleksna, a STP protokol je poznat po izuzetno teškom troubleshootingu kada dođe do problema.

Uz  Gigamon packet broker tehnologiju, dizajn internet gateway-a je moguće izmeniti i ostvariti potpunu skalabilnost i fleksibilnost u doba sve većih zahteva sigurnosti i sve više mrežnih uređaja na putu prema internet gatewayu. Prednosti ovakve packet broker arhitekture su višestruke:

  • drastično pojednostavljeno održavanje i skalabilnost mreže: dodavanje, gašenje ili nadogradnje različitih uređaja moguće je raditi bez ispada mreže;
  • veća efikasnost i iskorištenje mrežnih uređaja odnosno svi uređaji ne moraju obrađivati sav promet: npr. upitna je potreba za obradom SIP i audio video media sadržaja na ATP rešenju. Sa ovim je moguće bitno revidirati zahteve za kapacitetom na pojedinim mrežnim uređajima i uz veću efikasnost ostvariti znatne uštede.
  • smanjen broj tačaka ispada i mogućnost inline bypass-a (failopen);
  • integracija sa inline ali i out-of-band rešenjima kao što su SIEM, Netflow, IDS, itd.
  • mogućnost inteligentnog usmeravanja prometa na različite alate tj. potrošače paketa: npr. SMTP promet samo na mail scanning rešenje ili samo meta podatke na SIEM (podaci o TCP sesiji, URL u http zahtevu, vrsta sadržaja u odgovoru, podaci iz ssl sertifikata i slično). Ovime mrežni alati postaju brži, posebno kada je reč o mrežnoj analitici i sl.

Zanima vas više informacija?

Pre

Legacy topology

Posle

Gigamon topology

Share on LinkedInShare on FacebookShare on Google+Tweet about this on Twitter