Високопроизводителен защитен облак, отворени системи

системи

Днешната бизнес гъвкавост изисква подходящо мащабируеми и преконфигурируеми системи, но има предизвикателства при трансформирането на изолирани и статични корпоративни ИТ ресурси.

Съвременната бизнес гъвкавост изисква подходящи мащабируеми и преконфигурируеми системи, но има предизвикателства при трансформирането на изолирани и статични корпоративни ИТ ресурси поради „предимствата“ на съществуващите технологии за виртуализация и облачни услуги. Решението е възможно чрез автоматизиране на процесите на управление на инфраструктурата, създаване на динамична система за защита и подобряване на производителността на разнородни конфигурации.

Днес се проектират нови технически системи и обекти, като се използват все по-точни модели, които изискват висока производителност и големи количества обработени данни, което налага нови изисквания към ефективността на конфигурацията, мащабируемостта на изчислителните услуги и надеждността на защитата на данните, използвани на различни етапи от жизнения цикъл. В отговор на такива изисквания се появиха приложения, които могат да постигнат висока производителност на изпълнение на хетерогенна изчислителна инфраструктура, чиито компоненти могат да работят както в режими на виртуализация, така и под формата на клъстери, оптимизирани за паралелни изчисления. Суперкомпютърният център "Политехника", създаден в Националния изследователски университет на Санкт Петербургския държавен педагогически университет в рамките на Федералната програма на Министерството на образованието и науката на България за техническо преоборудване на университетите, е специално проектиран да гарантира висока скалируемост, производителност, хетерогенност и сигурност на ресурсите, докатоизвършване на индустриални приложения и научни изследвания.

Изисквания за облачна платформа

По правило облачните доставчици като Amazon, Rackspace, Heroku, Google предоставят различни услуги в моделите IaaS, PaaS или SaaS, чието интегриране в определена индустриална среда за разработка се извършва от висококвалифицирани инженери и ИТ специалисти. Досега, поради многомащабността и сложността на компютърните инженерни задачи, не са създадени универсални решения за използване на облаци за центрове за инженерно проектиране. Днес такива центрове се изграждат или на базата на специално разработени софтуерни и хардуерни платформи, което ограничава тяхната производителност и гъвкавост, или на базата на модела IaaS, който също не позволява еднакво ефективно решаване на различни инженерни проблеми.

  • разширява се обхватът на предоставяните информационни услуги, което дава възможност за осъществяване на мултидисциплинарни проекти в най-кратки срокове и с минимални разходи;
  • има възможности за мащабиране на ресурсите, за да се осигури висока производителност на процесите на проектиране на всички етапи от изпълнението на инженерните проекти;
  • осигурява автоматично конфигуриране на софтуерни и хардуерни компоненти, координиране на версиите на използваните приложения и контрол на целостта на изчислителната среда;
  • предимствата на мрежово-центричния подход се реализират при изпълнението на сложни инженерни проекти от географски и логически разпределени екипи от разработчици и специалисти;
  • прилага се единна политика за информационна сигурност.

системи
Фиг. 1. Функционален модел на използване на облачната платформа

Сигурностсигурност

Виртуализацията промени начина, по който корпоративните ресурси се внедряват, управляват и използват, предоставяйки нови възможности за скалируемост и консолидация на изчислителните ресурси, разпределени към приложенията, но въведе нови заплахи поради сложността и динамичния характер на процеса на предоставяне на ресурси. Тези заплахи могат да доведат до лавина от пробиви в сигурността, които оставят безсилни традиционните системи за защита на данните. Съществуващите подходи за сканиране и корекция, които обикновено се използват за контрол на уязвимостите, не работят добре в облаците - мрежовите скенери не могат да наблюдават промените в конфигурацията на ресурсите в реално време, което не позволява да се идентифицират точно промените в нивото на рисковете и да се предприемат мерки за блокиране на динамично възникващи заплахи.

За да се реши проблемът с контрола на достъпа в облачна среда, е необходимо постоянно да се наблюдават ресурсите, които не могат да бъдат осигурени без инструменти за автоматично генериране на правила за филтриране и анализ на регистрационните файлове на защитната стена. Продуктите за управление на информационната сигурност в динамична облачна среда трябва да включват механизми, които осигуряват: пълен контрол върху процесите на внедряване на виртуални машини; проактивно сканиране на виртуални машини за уязвимости и грешки в конфигурацията; проследяване на процесите на миграция на виртуална машина и конфигурация на системата за контрол на достъпа до ресурси. Ето защо платформата на Политехническия център предвижда цял набор от мерки за подобряване на информационната сигурност на ресурсите, а именно:

  • Контролиране на активирането на виртуални машини. Виртуалните машини, като активни компоненти на услуга за облачно приложение, се активират в произволни моменти,следователно администраторът не може да въвежда и изключва виртуалната машина, преди скенерът за сигурност да провери конфигурацията и да оцени рисковете за сигурността.
  • Автоматично откриване и сканиране. Услугите за информационна сигурност се управляват на ниво хипервайзор и разчитат на база данни с текущи конфигурации на виртуални машини, както и на доклади за потенциални заплахи от доверени източници, като сървъри за актуализиране на антивирусни подписи, за откриване на уязвимости.
  • Миграция на виртуални машини. Проактивната миграция на приложения е ефективен метод за контрол на сигурността.

В допълнение, за защита на облачната среда, има услуга за ограничаване на достъпа до изчислителни ресурси, чиято основна характеристика, предвид динамиката и мащабируемостта на инфраструктурата, е възможността да поддържа политика за сигурност без препратка към състава на ресурсите. Услугата, изградена върху технологията за защитна стена и софтуерно дефинирани мрежи, осигурява преконфигуриране на системата за контрол на достъпа в съответствие с текущото състояние на средата (въпросът за контрол на достъпа в облачни среди е разгледан подробно в [1]). Статичните сегменти на платформата са подчинени на принципа „отдаване под наем“, според който филтриращите правила за достъп до сегменти се формират само от потребители и услуги, работещи в определен момент от време. В платформи от този тип са редки ситуации, когато е необходима отделна виртуална машина, следователно се осигурява динамично създаване на защитени мрежи, към които са свързани виртуални машини, които решават проблемите на една изчислителна верига. Защитените мрежи са свързани със защитни стени, интегрирани със софтуерния ключ Open vSwitch.

Зафилтрирането изисква виртуална защитна стена във всеки сървър за виртуализация на средата, а за генериране на правила за филтриране за защитни стени и съхраняване на зададената политика за достъп е необходима отделна софтуерна услуга, разположена във вътрешната мрежа на облака и свързана към защитните стени чрез мрежа за предаване на данни за обмен на управляващи съобщения (фиг. 2).

системи
Фиг. 2. Организация на защитени сегменти в облачната изчислителна среда за високопроизводителни изчисления

Облачната система има специална мрежа за управление на облачни компоненти, отделена от виртуалните машини, така че тази мрежа се използва за обмен на информация между компонентите на системата за контрол на достъпа. За обмен на информация и получаване на данни за промените в състоянието на облачната среда беше използван отворен протокол за съобщения между системните компоненти AMQP (Advanced Message Queuing Protocol), по-специално неговата реализация под формата на услуга RabbitMQ, която обменя съобщения между компонентите на софтуерната система (Message Oriented Middleware) въз основа на стандарта AMQP.

Използването на обща шина за обмен на съобщения между компонентите на облачната среда направи възможно внедряването на бързо получаване на информация от подсистемата за защита и намаляване на режийните разходи, което е особено важно, тъй като изпълнението на функциите за контрол на достъпа изисква допълнителни изчислителни ресурси, а филтрирането на мрежовото взаимодействие използва ресурси на хипервайзор (при използване на типичен сървър за виртуализация, например от VMware, цената на филтрирането на трафика е около 10% от ресурсите на сървъра). Освен това са необходими допълнителни хардуерни ресурси, за да функционира услугата за управление на системата.контрол на достъпа.

Защитени сегменти за инженерни приложения

За решаване на проблеми, които изискват разнородни изчислителни ресурси, е необходимо автоматично да се създаде защитен сегмент, състоящ се от набор от логически комбинирани изчислителни ресурси. Към такъв сегмент трябва да се приложи определена политика за сигурност, която предоставя възможност за достъп до изчислителни ресурси за собственика на задачата, но затваря достъпа до включените ресурси за други потребители на инженерната платформа. След като задачата е изпълнена, резултатите трябва да бъдат заредени в хранилището на данни и изчислителните ресурси трябва да бъдат освободени. В същото време е изключително важно да се гарантира диференцирането на достъпа до изчислителните ресурси в условията на едновременно изпълнение на много задачи.

За създаване на групиране на виртуални машини в облачна среда е използвана услугата OpenStack Heat, която поддържа описанието на конфигурации във формата на Amazon Cloud Formation, което гарантира съвместимост с публичните услуги на Amazon AWS. Тази услуга ви позволява да създавате групи от виртуални машини според определени модели, виртуални мрежи, облачни рутери и други компоненти. Образите на виртуалната машина съдържат основен набор от услуги, а изчислителните пакети и приложният софтуер се инсталират с помощта на инструментариума, предоставен от софтуерния инструмент Opscode Chef, който осигурява автоматизирано внедряване на софтуерни конфигурации към виртуални машини и хардуерни решения. За защита на създадения облачен сегмент се използват защитни стени със софтуерно дефинирани мрежови технологии, по-специално услугата OpenStack Quantum и виртуалния комутатор Open vSwitch, който поддържа протокола OpenFlow. Когато създавате защитен сегмент за негоспециална облачна мрежа е разгърната със защитна стена, която контролира достъпа до облачни виртуални машини. След това изчислителният сегмент се конфигурира за решавания проблем и се зареждат първоначалните данни. След получаване на резултатите сегментът се изтрива, облачните ресурси се освобождават и резултатите от изчисленията се качват в облачното хранилище и стават достъпни за потребителя на услугата.

Изградената по този начин инфраструктура ви позволява динамично да създавате защитени сегменти за извършване на изчисления и по този начин ви позволява да организирате едновременното решаване на различни задачи на един и същ набор от хардуерни ресурси.

Създаването на инженерен център, базиран на високопроизводителна хетерогенна изчислителна платформа с динамично преконфигурируеми ресурси и инструменти за контрол на достъпа, отваря възможности за използване на облаци при решаване на мултидисциплинарни проблеми: преконфигуриране на хетерогенни изчислителни платформи, създаване на правила за достъп до използваните информационни ресурси, изтегляне на необходимия приложен софтуер за извършване на изчисления, тестване и анализ на резултатите. Въпреки това, практическото прилагане на предложената концепция за проектиране изисква разработването на нов клас системи за защитен достъп до информация и изчислителни ресурси, чиято основна функционалност се основава на методи за скрито филтриране на трафика.

Литература

  1. Лукашин А. А., Заборовски В. С. Система за защита на информационните услуги в облачна изчислителна среда // Информатизация на образованието и науката. - 2013. - № 2 (18).

Споделяйте материал с колеги и приятели