česky english Vítejte, dnes je čtvrtek 21. listopad 2024

Zařízení pro ochranu vysokorychlostních sítí budoucnosti

DPS 3/2015 | Články
Autor: Petr Kaštovský

CESNET vyvíjí společně s Invea-Tech zařízení pro ochranu vysokorychlostních sítí budoucnosti

Málokdo ví, že v České republice existuje skupina vědců, která již přes deset let vytváří specializovaný síťový hardware na světové úrovni založený na technologii FPGA (Field-programmable Gate Array). Je zastřešena zájmovým sdružením CESNET a na výzkumu a vývoji úzce spolupracuje s partnerskou společností Invea-Tech. Tento tým od února letošního roku odstartoval projekt zaštítěný Technologickou agenturou České republiky, jehož cílem je vývoj unikátního zařízení, které v budoucnu pomůže ochránit vysokorychlostní 400G sítě datových center.

Projekt s názvem „Technologie pro ochranu vysokorychlostních sítí“ reaguje na postupující trend polarizace IT. Na jedné straně stojí obrovské množství rozmanitých klientských zařízení, na straně druhé stojí relativně malý počet rozsáhlých datových center, která jim současně poskytují velký počet služeb a aplikací. Tento stav má vedle mnoha výhod také své nevýhody. Zatímco selhání či útok na uživatelské zařízení ovlivní pouze malou skupinu obyvatel, výpadek služeb datového centra může znamenat rozsáhlé finanční ztráty a bezpečnostní rizika. Spolehlivost přenosových sítí a datových center se tak stává mimořádně důležitou, a to v situaci, kdy nároky na přenosovou kapacitu těchto celků rostou mimořádně rychle.

Zařízení pro ochranu vysokorychlostních sítí budoucnosti

Tradiční přístup ochrany sítí přestává stačit

Cílem projektu je „podchytit“ výše zmíněný trend a vyvinout zařízení, které přispěje k zabezpečení sítí datových center, a to pomocí technologie pro vysokorychlostní filtrování provozu na aplikační vrstvě.

Filtrování síťového provozu je jedním ze základních pilířů zabezpečení sítě. V posledních letech se ukazuje, že tradiční přístup založený na filtraci TCP/IP toků nestačí ve všech případech a že efektivní filtrace kybernetických hrozeb v síťovém provozu naráží na řadu principiálních překážek. Pro zdokonalení schopností ochrany sítě a služeb je nezbytné rozšířit filtraci o zpracování dodatečných informací.

Těmi mohou být informace o hlavičkách protokolů aplikačních vrstev (např. HTTP, DNS, SIP) nebo informace o výskytu podezřelých sekvencí v datech. Existující nástroje pro zpracování a filtraci na úrovni aplikačních protokolů však nedosahují rychlostí dnešních páteřních sítí, a proto zde tedy existuje prostor pro zaplnění mezery na trhu pomocí nové technologie využívající hardwarovou akceleraci.

Filtrace na základě informací z aplikační vrstvy bude klíčovou vlastností řešení. Zatímco současná vysokorychlostní řešení jsou obvykle omezena na filtraci na úrovni síťové a transportní vrstvy, vyvíjená technologie umožní podstatně rozšířit sémantiku filtračních pravidel. To by mělo správcům sítí poskytnout kvalitativně nový nástroj.

Základem bude programovatelný hardwarový akcelerátor

Cílem projektu je vytvořit zařízení, které bude schopno zpracovávat a filtrovat provoz vysokorychlostních sítí, a to s následujícími parametry:

  1. filtrace paketů až na rychlosti 400 Gb/s,
  2. podpora analýzy aplikačních protokolů v HW i SW,
  3. modularita umožňující přidávání vlastních aplikací (pluginů).

Aby bylo možné dosáhnout vysoké rychlosti zpracování síťového provozu, bude zařízení vybaveno jednou (nebo několika) hardwarově akcelerovanou síťovou kartou s technologií FPGA. Právě ve využití FPGA technologie, která vyniká kombinací výkonnosti, flexibility, ceny a spotřeby, spočívá jedinečnost celého řešení. Programovatelný hardwarový akcelerátor bude provádět časově kritické a spíše jednodušší operace především nad provozem, u kterého už jsme rozpoznali, jestli je bezpečný či nebezpečný. Naopak software běžící na běžném CPU bude analyzovat neznámý a podezřelý provoz a bude k tomu používat sofistikovanější metody.

S vývojem takovýchto zařízení mají přitom CESNET i Invea-Tech bohaté zkušenosti. Společnými silami například vyvinuli jako vůbec první na světě FPGA adaptér podporující technologii 100G Ethernetu, který je již dnes nasazován v prostředí datových center. Tento hardwarový akcelerátor je součástí rodiny produktů COMBO, která už od svého počátku vzniká v Brně a zahrnuje hardware, firmware pro akcelerátor a obslužný software CPU.

Akcelerátory budou poskytovat ethernetová rozhraní s celkovou propustností 400 Gb/s v každém směru. Současně bude softwarová vrstva technologie plně připravena na použití s běžnými síťovými adaptéry, které sice mají nižší výkonnost a neposkytují možnost hardwarového urychlení, ale mají nižší pořizovací cenu a mohou tak být v některých případech vhodnější.

Unikátní bezpečnostní řešení

Podle plánu má být 400G standard pro datové sítě schválen v únoru roku 2017. Lze očekávat, že stejně jako v případě 100G technologie nějaký čas potrvá, než se rozšíří. První adopce 400G technologie tak můžeme očekávat pravděpodobně v průběhu roku 2018. Načasování projektu je tedy ideální a dává prostor pro to přetavit výstupy z fáze prototypu do formy jeho funkčního produktu.

Výsledky projektu budou uplatněny na globálním ICT trhu se zaměřením především na bezpečnost, výkonnost a správu vysokorychlostních sítí. Lze očekávat, že zařízení bude vhodné pro nasazení ve firmách, které poskytují služby na internetu, pronájem výpočetních a úložných kapacit i ve státních a nestátních organizacích provozujících rozsáhlé sítě.

V souvislosti s přechodem linek na technologii 100G, zvyšujícím se počtem datových center a současně rostoucím objemem bezpečnostních incidentů se očekává značná poptávka po navrhovaném systému. Invea-Tech využije výsledky projektu v kombinaci se svými existujícími produkty, zejména s jejím řešením pro detekci anomálií a nežádoucího chování v datové síti, které je založeno na unikátní technologii tzv. behaviorální analýzy a permanentním vyhodnocování statistik o provozu v síti. Takové řešení bude dalším důkazem toho, že v České republice vznikají světově unikátní a konkurenceschopné technologie.

O autorovi

Petr Kaštovský působí jako ředitel oddělení FPGA ve společnosti Invea-Tech, která je předním výrobcem a poskytovatelem řešení pro vysokorychlostní sítě.