previous up next index search
Previous: 4.7.10 Большие объемы данных (big data)    UP: 4.7 Прикладные сети Интернет
    Next: 4.7.12 Мета язык программирования

4.7.11 Информационные центры

Семенов Ю.А. (ИТЭФ-МФТИ)
Yu. Semenov (ITEP-MIPT)

Правила использования сетевых и вычислительных ресурсов в ИТЭФ

Информационные центры появились задолго до компьютеров. Это были картотеки библиотек, больниц, школ и т.д., но главная их задача оставалась неизменной - сохранение данных и предоставление оперативного доступа к информации. Появление компьютеров сделало доступ к информации более оперативным. Базы данных открыли небывалые прежде возможности - поиск по совокупности параметров.

Информационные серверы могут варьироваться по архитектуре в зависимости от решаемых ими задач (Web-сервер, сервер баз данных, депозитарий документации). Часто функции информационного и вычислительного центра совмещаются.

Разработка компанией IBM компьютера Watson, способного распознавать контекст, позволила обрабатывать огромные объемы текстовой информации, выявляя тенденции и незаметные на первый взгляд закономерности (аналитика, когнитивный компьютинг).

Информационные центры стали обязательным атрибутом любых компаний и организаций, породив и новые проблемы. Это, прежде всего, задача сохранения персональных и технологических данных. Так как большинство информационных центров имеют секцию персонала компании или организации, именно эта секция становится объектом атак. Причем наибольшую опасность представляют инсайдеры - лица, работающие в организации и имеющие легальный доступ к информационному центру.

Информационные центры потребляют в США около 2% всей производимой электрической энергии. Ожидается, что к 2030 году эта доля составит 20% (см. Суперкомпьютеры и Watson, а также Направления и тенденции развития ИТ-технологий). Понятно, что проблема энергоэффективности становится критической. Данные, приведенные ниже взят из обзора "Data center2025. Exploring the Possibilities" [1] (смотри также обзор на портале http://EmersonNetworkPower.com/DataCenter2025)). Растет энергопотребление и отдельных информационных центров, а вместе с ним и проблемы охлаждения. На рис. 1 показано распределение для разных методов охлаждения вычислительной техники.

Рис. 1. Методы охлаждения

Информационные центры становятся все более сложными системами, требующими высококвалифицированного обслуживания. Не все организации располагают персоналом требуемой квалификации. Это обстоятельство послужило одной из причин возникновения и быстрого роста популярности облачных технологий. На рис. 2 представлен прогноз для доли вычислений осуществляемых в "облаках" в 2025 году.

Рис. 2. Доля (%) вычислений в облаке

На рис. 3 показано энергопотребление проектируемых информационных центров в 2015 году. Эксперты считают, что внешние питание центра переменным током должно быть трехфазным.

Рис. 3. Проектируемое энергопоребление информационного центра

На рис. 4 показано сопоставление усредненного потребления информационного центра сегодня с ожидаемым в 2025 году.

Рис. 4. Потребляемая мощность центра по сравнению с проектируемой (2013-25гг)

Информационный центр содержит модули, решающие разные функции:

Состав информационного центра варьируется в широких пределах в зависимости от стоящих задач и многие из названных выше систем в конкретном центре могут отсутствовать.

Решению многих задач информационного центра будет способствовать использование технологии SDN [3,4], которая, кроме прочего, позволяет динамически изменять сетевую архитектуру центра. Поможет это решить и проблему сетевой безопасности, связанную с BYOD (Bring Your Own Device).

Поскольку проблема обепечения информационной безопасности становится все актуальнее ото дня ко дню, рассмотрим возможный вариант решения такой проблемы (рис. 5). Здесь защита от опасностей Интернет осуществляется с помощью Firewall'а нового поколения (NGFW [7]). Такие Firewall способны выполнять анализ пакетов с привлечением техники DPI (Deep Packet Inspection - анализ не только заголовков пакетов но и поля данных), кроме того, NGFW обеспечивают надежную аутентификацию пользователей и безопасную работу с мобильными устройствами.

Но как известно, наибольший вред наносят инсайдеры, сотрудники организации, имеющие официальный доступ ко многим ресурсам предприятия (информационные серверы, серверы баз данных и пр.). Для защиты от инсайдеров можно использовать переключатель на основе технологии SDN (Software Defined Network [6]). Этот переключатель может фильтровать как внешние, так и внутрениие запросы. Для таких фильтров используются ACL (Access Control List), а также репутационные списки. Для формирования ACL можно использовать IDS (Intrusion Detection System, например SNORT), а для создания репутационного списка, помимо IDS обычно применяются ANTISPAM-серверы. Именно узлы рассылки SPAM чаще всего являются источниками атак типа phishing, и даже APT (Advanced Persistant Threat). Компьютеры защищенной зоны не должны разрешать транзитного доступа в Интернет от BYOD (Bring Your Own Device). Все случаи попытки доступа к запрещенным объектам фиксируются SDN-переключателем и NGFW и заносятся в журнальные файлы, содержимое которых анализируется программно. Результаты этого анализа доступны только администратору системы. SDN-SRV - управляющий сервер SDN-переключателя. Компьютеры, непосредственно подключенные к SDN-переключателю могут группироваться в кластеры, которые полностью изолированы друг от друга. Такая кластеризация позволит существенно повысить безопасность сети, в том числе в отношении атак инсайдеров. Такие кластеры могут формироваться, если требуется, и по подписке. Следует также понимать, что техника SDN позволяет менять конфигурацию безопасности со временем, адаптируя ее под задачи текущего момента.

Рис. 5. Возможный вариант создания безопасной зоны в пределах локальной субсети

Довольно часто требуется предоставить сотрудникам возможность работы с программами и документами не только в офисе, но и дома (а иногда и из какого-то транспортного средства). Приемелемое решение с хорошим уровнем безопасности может дать схема, показанная на рис. 6. Желательно, чтобы внешние компьютеры имели стационарные IP-адреса, тогда доступ от объектов вне разрешенного списка адресов легко блокировать на уровне ОС сервера. В любом случае доступ к серверам должен выполняться посредством протоколов SSH, SSL или TLS. Для удаленных компьютеров сертификаты должны быть обязательными. Функции защиты здесь также будут распределены между NGFW и SDN-переключателем. Функцию стационарного IP-адреса может выполнять код-идентификактор компьютера или специальная флэшка.

Рис. 6. VLAN с машинами за пределами локальной сети

Некоторые узлы в защитной зоне могут быть серверами. Доступ к этим серверам может осуществляться только с определенных IP-адресов и заданных портов переключателя по протоколам SSH и SSL. Попытки войти с других адресов будут восприниматься как атака и фиксироваться в журнальных файлах.

Возможные коммерческие дополнения

Некоторые модули информационного центра могут иметь коммерческое применение. Таким может быть система резервного копирования (Backup). Внутри информационного центра может быть созданы "Облачные" структуры, как внутреннего, так и внешнего использования. В облаке может функционировать система резервного копирования, внешний и внутренний хостинг и некоторые другие сервисы. Например, сканирование удаленных компьютеров и сетей на уязвимости.

Литература

  1. Data center 2025. Exploring the Possibilities (19 стр; 2014г; в каталоге "Data_center" депозитария содержится 13 статей)
  2. Six data center trends to expect in 2015, Meredith Courtemanche, 05 Jan 2015
  3. Software-Defined Data Center (19 стр., 2013г)
  4. Openflow - SDN (23 статьи)и Сетевая технология OpenFlow (SDN), 48 стр
  5. Power company plugs data center directly into high-voltage grid
  6. Power Management in data centres
  7. Data center, cloud, SDN driving Ethernet switch market to $25B
  8. NGFW benefits include identity awareness, secure mobile access
  9. Vulnerability scanner tools in the data center
Previous: 4.7.10 Большие объемы данных (big data)    UP: 4.7 Прикладные сети Интернет
    Next: 4.7.12 Мета язык программирования