Форум | Новинки | Объявления | iMag | Подписка | Публикации журнала | Материалы

Новости проекта

Отраслевые новости

Угрозы

Преступления

Наказания

Партнеры


Журнал "Information Security"

Каталог "IT-Security"

Рекламодателям

Сотрудничество


Материалы

Форум

ITSec Weekly

Календарь

Публикации

Подписка

Контакты

Ссылки

Партнеры

Мероприятия

 
    Диоды данных. Решение задачи обеспечения отказоустойчивости

В рубрику "Защита информации" | К списку рубрик  |  К списку авторов  |  К списку публикаций

Диоды данных.
Решение задачи обеспечения отказоустойчивости

Создание большинства средств защиты носит реактивный характер. Реализации средств защиты практически всегда предшествует появление угроз. Одним из исключений является такой класс СЗИ, как однонаправленные шлюзы: их архитектура априори исключает возможность реализации внешних угроз.
Олег Карих
Ведущий инженер департамента АМТ- информационной безопасности ГРУП

В то же время наличие гарантированной однонаправленности передачи данных накладывает ряд ограничений и трудностей при реализации дополнительных функций. Например, это очень усложняет решение задачи обеспечения отказоустойчивости в том виде, как это решается в традиционных средствах защиты. Необходимы в каком-то смысле инновационные подходы, применение которых позволит вывести однонаправленные шлюзы на новый уровень.

В последние годы развитие отечественных однонаправленных шлюзов резко набирает обороты. Это обусловлено ростом количества хорошо подготовленных таргетированных атак и реакцией на них регуляторов. (Приказы 17, 21, 31 ФСТЭК России.) Добавление новых функций по передаче данных, администрированию, интеграции с системами ИБ и отказоустойчивости позволяют найти применение однонаправленным шлюзам практически во всех секторах экономики, оборонной промышленности и банковской сфере.

Однонаправленные шлюзы обеспечивают изоляцию критичных сегментов сети с сохранением возможности передачи информационных потоков. Изоляция сегмента достигается за счет гарантированной однонаправленной передачи данных через аппаратные компоненты с гальванической развязкой. Логика передачи информационных потоков ложится на прокси-серверы, расположенные по разные стороны от аппаратной компоненты.

При построении современной ИT-инфраструктуры одним из основных параметров является минимизация времени простоя ИT-процессов благодаря использованию решений, поддерживающих функцию кластера высокой доступности (High-Avail-ability-кластеров). HA-кластеризация позволяет минимизировать время простоя за счет аппаратной избыточности и автоматического переключения информационных потоков на работоспособные компоненты в случае аппаратного или программного сбоя и/или дублирования этих информационных потоков на несколько устройств одновременно. Обмен информацией о состоянии компонент HA-кластера чаще всего происходит по выделенному физическому каналу, объединяющему компоненты.

Серверы однонаправленных шлюзов устанавливаются по обе стороны от аппаратной компоненты. Таким образом, обмен информацией о состоянии серверов между приемной и передающей сторонами HA-кластера невозможен. Этот факт накладывает серьезное ограничение и одновременно означает, что традиционные механизмы организации кластера могут применяться только в ограниченном объеме. При этом для реализации именно полноценной функции HA-кластера очевидно нужны иные подходы.

На сегодняшний день из отечественных решений только АПК "InfoDiode" обеспечивает возможность HA-кластеризации с сохранением полной изолированности сегментов.

На рисунке представлена схема организации HA-кластера АПК "InfoDiode". Со стороны InProxy-серверов трафик принимается на Virtual IP-адресе и обрабатывается активным узлом HA-кластера. Активный и пассивный узлы связаны между собой выделенным служебным каналом, обеспечивающим обмен информацией о состоянии серверов. После обработки данных активным InProxy-сервером две копии трафика одновременно передаются через специально разработанные аппаратные компоненты, обеспечивающие дублирование трафика. Таким образом, с помощью дублирования трафика на отрезке от InProxy до OutProxy достигается "нулевая сходимость" (по аналогии с протоколом резервирования PRP (Parallel Redundancy Protocol)).


Дублирование трафика приводит к передаче на другую сторону идентичных копий трафика: как на активный Out-Proxy-сервер, так и на пассивный. По аналогии с InProxy-серверами OutProxy-серверы находятся в режиме "Active-Passive". Однако оба OutProxy-сервера принимают свои копии трафика и обрабатывают его, но только активный OutProxy-сервер передает данные дальше.

Иными словами, решение выглядит как два независимых отказоустойчивых HA-кластера, с дублированием трафика с принимающей стороны на передающую. Такой подход обеспечивает полноценное функционирование HA-кластера и минимизирует время простоя.

Помимо этого, в АПК "Info-Diode" применяется еще два механизма повышения надежности передачи данных: проверка на передающей стороне контрольных сумм данных (вернувшихся обратно с диода данных) и помехоустойчивое кодирование с обнаружением и коррекцией ошибок на приемной стороне.

В комплексе данные технологии выводят АПК "InfoDiode" на новый уровень, позволяя решать поставленные для него задачи с минимальными рисками потери данных и беспрецедентной для этого класса решений отказоустойчивостью.

АМТ-ГРУП
115162, Москва,
ул. Шаболовка, 31, корп. Б, под. 3
Тел.: (495) 725-7660
Факс: (495) 725-7663
E-mail: info@amt.ru
www.amt.ru

Опубликовано: Журнал "Information Security/ Информационная безопасность" #5, 2017
Посещений: 781


  Автор
Олег Карих

Олег Карих

Ведущий инженер департамента АМТ- информационной безопасности ГРУП

Всего статей:  1

В рубрику "Защита информации" | К списку рубрик  |  К списку авторов  |  К списку публикаций


Добавить комментарий

Автор:
Компания:
E-mail:
Уведомлять о новых сообщениях в этой теме да
нет
Текст сообщения:
Введите код:









Реклама на сайте

ПОИСК

СВЕЖИЙ НОМЕР
ПОДПИСКА НА НОВОСТИ

 

 

 

 

Рейтинг@Mail.ru

Яндекс цитирования

Форум | Новинки | Объявления | iMag | Подписка | Публикации журнала | Материалы

Бесплатная подписка | Форум | Контакты | Ссылки | О чем этот сайт

Copyright © 2003-2013, ООО "Гротек"
Использование материалов сайта возможно при указании активной гиперссылки на главную страницу этого сайта. Ссылка должна выглядеть так: Itsec.Ru.