Главная » Блоги Экспертов И ИТ-Компаний » DPI на службе облака

DPI на службе облака

p1

 

Тема реализации и обеспечения безопасности в последние годы не теряет своей популярности. Согласно многочисленным оценкам экспертов и сводкам аналитиков, активность различного рода угроз только возрастает. Облачные площадки хостинг-провайдеров, куда компании все чаще и чаще переносят свою инфраструктуру, становятся излюбленным объектом «нападения». Деструктивность целей очевидна: вывести из рабочего баланса жизненно важный сервис, приложение, систему, перекрыть доступ к рабочим площадкам и это далеко не всё. Именно поэтому игроки рынка облачных услуг озабочены вопросами выбора решений и технологий, способных минимизировать имеющиеся риски.

Еще одна трудность связана со стремительным ростом и активным распространением большого количества приложений, использующих динамически назначаемые порты. В такой ситуации традиционные подходы к идентификации формируемых соединений по статическим портам TCP/UDP становятся неактуальными. Закрытость и непрозрачность, применение различных механизмов шифрования, использование веб-интерфейса для доступа к приложениям, скрывающимся за протоколами HTTP/HTTPS, порождают сложность классификации сетевого трафика.

Не стоит забывать и о том, что при переходе в облако клиент консолидирует свои ресурсы на удаленной площадке хостинг-провайдера, попадая в зависимость от производительности и пропускной способности каналов связи. В идеале взаимодействие с облаком должно быть эффективным, отличаясь высокой степенью адекватности с точки зрения времени отклика. Для оценки происходящего, управления облачным трафиком и решения озвученных проблем необходимо применение соответствующих механизмов. Вопрос — каких?

В подобных случаях лучше всего использовать технологию глубокого исследования пакетов DPI (Deep Packet Inspection). Чем хороша технология и каковы ее возможности в облаке IaaS-провайдера, обсудим в этой статье.

# Глубокий анализ трафика

p2


Для начала отметим, что DPI может быть представлен в виде как устройства, так и программного комплекса, способного выполнять глубокий анализ трафика (вплоть до 7-го уровня модели OSI) и его классифицировать.

Таблица 1. Модель OSI и DPI
Уровень Модель OSI Объект управления Возможность обработки DPI
1 Прикладной Данные Да
2 Представления Данные Да
3 Сеансовый Данные Да
4 Транспортный Блоки Да
5 Сетевой Пакеты Да
6 Канальный Кадры Да
7 Физический Биты -

Особенность технологии заключается в реализуемых возможностях. Вот взять, например, простой механизм изучения пакетов по стандартным наборам правил — включая фильтрацию по формату заголовка, номеру порта, IP-адресу и прочим критериям. Такой метод однозначно и достаточно «топорно» определяет принадлежность пакета к какому-либо приложению. Грубость отсеивания в таком формате присуща большинству стандартных фаерволов, что свидетельствует о недостаточной гибкости подобных решений.

Природа DPI несколько разнообразнее, что сводится к возможностям не только фильтровать трафикстандартными способами, но также выполнять поведенческий анализ проходимых через «воронку DPI» пакетов. Этот метод имеет несложную логику, в основе которой лежит анализ протоколов, портов, сигнатур и т. д. На основании полученных результатов анализа происходит определение принадлежности пакета к соответствующему типу трафика, и в зависимости от заданных правил над ним происходит установленное действие.

Еще одна особенность DPI заключается в совместимости с системами типа VAS (Value Added Services), а также различными антивирусами, антиспам-приложениями и прочим аналогичным софтом. Такая «уживаемость» с другими решениями обеспечивает возможность передачи части трафика на сторонние устройства, что позволяет выполнять еще более глубокий анализ и обработку.

 

# Умное распределение канала между приложениями

p3


Еще одна задача, которую решает DPI, связана с распределением канала между различными приложениями (QOS). Такая особенность дает возможность облачным поставщикам распределять канал в соответствии с заданными условиями и критериями. Допустим, разрешать трафику какого-либо приложения забирать больше полосы в определенный момент времени или же разрешать работу нужных протоколов на пониженной скорости вместо полного их блокирования.

Очевидно, что DPI по-своему работает с правилами, согласно которым происходит блокировка или шейпинг полосы.

Конкретному приложению можно разрешить использование фиксированной полосы канала (режим работы per-service) либо организовать привязку приложения к полосе для отдельно взятого подписчика или группы подписчиков (режим работы per-subscriber).

В режиме per-subscriber контролируется используемый объем трафика по отдельно взятому пользователю. Допустим, подписчик за короткий промежуток времени с помощью некоторого приложения потребил месячный объем трафика. В случае режима per-subscriber клиент лимитируется по скорости скачивания определенного типа трафика указанным приложением. Другой пример: группа подписчиков использует пакет «бизнес без границ» для передачи группового видео и голоса через конференц-приложение. Трафик такого приложения не будет блокироваться ни при каких условиях, тогда как трафик другого типа может лимитироваться согласно заданным правилам.

 

# Статистика по используемым приложениям

p4


Есть выражение: «DPI — это нечто большее, чем просто порты и протоколы. Сделали выбор в пользу DPI — значит, отказались от черно-белого телевидения в пользу цветного HD». По сути, так и есть. Технология позволяет идентифицировать приложения по именам, а наличие информации об используемых приложениях в инфраструктуре дает яркое представление о происходящем. По полученной статистике можно понять, что именно делают пользователи и в какой момент происходит событие.

Кроме того, DPI можно использовать для устранения «неполадок» и определения ситуации на местности. Скажем, пользователи стали жаловаться на неадекватно медленный отклик используемого VoIP-приложения, запущенного на удаленной площадке в облаке по модели IaaS. Анализ ситуации с помощью DPI позволяет быстро установить первопричину. Результат проверки покажет, что, например, один из пользователей начал загрузку больших файлов, используя BitTorrent, и напрочь снизил производительность VoIP. Но, как упоминалось выше, можно выполнить правильное перераспределение мощностей, чтобы ни при каких условиях не страдал важный для рабочего процесса сервис.

 

# Защита от атак

p4


Атаки типа «отказ в обслуживании» DOS/DDOS до сих пор остаются привлекательными для злоумышленников, что ставит под угрозу как поставщиков облачного хостинга, так и иных игроков рынка. В радиус действий чаще всего попадают приложения, хосты, серверы, критически важные ресурсы, маршрутизаторы и иные устройства, обеспечивающие связность сети. Помимо вышесказанного, атаки зачастую направлены на ограничение пропускной способности, чтобы сделать передачу легитимного трафика максимально ограниченной либо вовсе невозможной. Ниже приведем наиболее распространенные виды атак и то, как с ними справляется DPI.

TCP Syn Flood

Особенность атаки заключается в нарушении «трехразового рукопожатия», когда узлу в облаке отсылается SYN-пакет, на который он отвечает пакетом SYN-ACK, но не получает обязательного обратного ACK-подтверждения, необходимого для установки сессии. В результате происходит открытие и подвисание огромного количества соединений, которые закрываются по истечении определенного времени. В случае превышения количества запросов/ответов, машина в облаке перестает принимать пакеты любого другого типа и становится недоступной. Отказ в обслуживании наступает при потоке SYN-flood 100 000–500 000 пакетов в секунду. В то же время даже гигабитный канал позволяет злоумышленнику направить на атакуемый объект поток до 1,5 миллионов пакетов в секунду.

Как с проблемой справляется DPI?

DPI перехватывает SYN-запросы, направленные к защищаемым ресурсам в облаке. В нормальном режиме работы устройства формируется белый список адресов, с которых поступают легитимные запросы. В случае атаки наблюдается превышение активности, превосходящей установленную норму. Такой трафик DPI перехватывает автоматически.

UDP Flood

В основе этой атаки лежит протокол UDP, который, как известно, не требует установки сессии и отправки какого-либо ответа. В случайном порядке атакуются порты удаленного узла в облаке и отсылается огромное количество пакетов данных. В результате узел начинает проверять, используется ли порт, на который приходит пакет, каким-либо приложением. Поскольку таких пакетов — масса, машина не справляется с задачей и перестает отвечать на запросы.

Как с проблемой справляется DPI?

DPI решает задачу путем отбрасывания неактуального для защищаемого источника набора протоколов c возможностью ограничения пропускной полосы. Для веб-сайтов, к примеру, рабочими протоколами будут HTTP, HTTPS, поэтому DPI обработает только их, отбросив остальные.

# Выполнение федеральных законов

Согласно нашумевшему закону 139 ФЗ, любой провайдер, в том числе и поставщик IaaS-услуг, должен мониторить трафик согласно установленным «черным спискам» и блокировать контент, запрещенный на территории Российской Федерации. Соблюдение федерального закона сводится к использованию технологии DPI, с помощью которой можно отследить любой тип трафика.

К слову сказать, инструментов, способных выполнять глубокий анализ трафика на основе DPI, сегодня предостаточно. Например, решение «СКАТ» российской компании VAS Experts уже успело зарекомендовать себя как многофункциональное DPI-устройство, способное решать огромный спектр задач, будь то фильтрация по реестру запрещенных сайтов, сбор информации по протоколам, приоритизация трафика и распределение канала доступа между абонентами, защита от DOS- и DDOS-атак и многое другое.

 

В завершение хочется отметить, что за DPI не только будущее, а уже вполне наступившее настоящее. Не зря еще несколько лет назад аналитическое агентство Gartner заявляло, что DPI — это следующая фаза эволюции фаерволов. По сути, так оно и есть.

Источник: http://iaas-blog.it-grad.ru/


Данный материал является частной записью члена сообщества Club.CNews.
Редакция CNews не несет ответственности за его содержание.
Комментарии
Другие публикации
RU, Санкт-Петербург
http://www.it-grad.ru, Директор по маркетингу
+7 (812) 386-00-99
Информационные технологии

Более 10 лет на рынке IaaS России и СНГ

«ИТ-ГРАД» – крупнейший облачный провайдер в России и СНГ по версии CNews Analytics. Облачные услуги предоставляются на базе собственного оборудования, размещённого в дата-центрах уровня TIER III в Москве, Санкт-Петербурге и Алматы (Казахстан). Помимо базовых сервисов (виртуальные дата-центры, гибридные облака и резервное копирование), крупным корпоративным клиентам доступны услуги по аренде виртуальной системы хранения данных NetApp, созданию виртуальных дата-центров для размещения сертифицированных систем по стандарту PCI DSS, хранению и обработке персональных данных в соответствии с требованиями законодательства, а также ряд востребованных SaaS, PaaS и DaaS-сервисов, включая решения для корпоративной разработки ПО.

В конце 2018 года состоялась сделка, в результате которой облачные активы компании «ИТ-ГРАД» перешли в собственность ПАО МТС. В январе 2019 года крупнейший телекоммуникационный оператор и провайдер цифровых услуг представил концепцию «Объединенного облачного провайдера», в структуру которого вошли бренды #CloudМТС, «ИТ-ГРАД», 1Cloud.




Забыл пароль?
Авторизоваться через
Зарегистрируйся сейчас!
Присоединяйся к нашему обществу для того чтобы познакомиться с новыми людьми, создать собственный блог, публиковать анонсы событий и объявления, а также участвовать в обсуждении публикаций CNews. Мы создали единое пространство для общения специалистов рынка информационных технологий и всех, кто интересуется современными технологиями. Регистрация =>