Журнал "Information Security/ Информационная безопасность" #1, 2026

Второй момент, который обычно про- является именно в ЦОД, связан с включением различных механизмов ана- лиза трафика. В корпоративной сети IPS и контроль приложений чаще всего работают на границе инфраструктуры и обслуживают относительно ограничен- ный поток соединений. В дата-центре эти же функции нередко применяются внутри сети, между сервисными сегмен- тами. В результате объем трафика, про- ходящий через механизмы инспекции, оказывается значительно выше, чем было бы при классической модели пери- метровой защиты, но система должна по-прежнему обрабатывать его без поте- ри пропускной способности. Со временем становится заметна и еще одна особенность. В крупных инфраструктурах политика безопасно- сти начинает играть роль не только инструмента контроля доступа, но и механизма описания самой сетевой архитектуры. Через нее фактически фиксируются связи между сервисами, зонами и технологическими контурами. Это означает, что любое изменение политики должно происходить аккурат- но и предсказуемо, без влияния на текущие соединения и без риска вре- менной деградации системы. Таким образом, межсетевой экран в ЦОД постепенно перестает быть просто набором функций и начинает играть роль элемента, который формирует саму структуру сети. Становится важно не только и не столько наличие IPS или контроля приложений как таковых, сколько то, каким образом устройство обрабатывает большие политики, ведет себя при высокой плотности соединений и сохраняет стабильность работы по мере роста инфраструктуры. Подходит ли NGFW для ЦОД? На практике можно довольно быстро отсеять часть решений, задав несколько простых вопросов. Первый из них каса- ется масштаба политики безопасности, с которым система способна работать без ухудшения характеристик. Для инфраструктуры ЦОД вполне типичны политики на 30–70 тыс. правил, а в крупных средах и больше. Если про- изводитель уверенно говорит лишь о нескольких тысячах записей, есть риск, что при росте конфигурации устройство начнет заметно терять про- изводительность. Второй ориентир – пропускная спо- собность. В дата-центрах рабочий тра- фик нередко находится в диапазоне 40–100 Гбит/с, поэтому важно смотреть не на максимальный Throughput при базовой фильтрации, а на показатели при включенных механизмах IPS, ана- лиза приложений и других сервисах без- опасности. Именно этот режим ближе всего к реальной эксплуатации. Третий показатель – способность системы работать с большим числом соединений. Для современных сервис- ных архитектур вполне нормальны десят- ки миллионов одновременных сессий и сотни тысяч новых соединений в секунду. Если устройство рассчитано на суще- ственно меньшие значения, оно может начать ограничивать инфраструктуру по мере роста нагрузки. При этом есть параметры, которые сами по себе важны, но при выборе NGFW для ЦОД обычно не становятся решающими. Поддержка VPN, NAT, базовой фильтрации уровня L3–L4 или стандартных функций контроля прило- жений присутствует практически во всех корпоративных межсетевых экранах. Эти возможности давно стали базовыми и редко являются фактором, который отли- чает решение для дата-центра от обыч- ного NGFW. UserGate DCFW: специализированный межсетевой экран для ЦОД Одним из примеров NGFW для ЦОД является UserGate DCFW 1 – межсетевой экран, разработанный специально для эксплуатации в среде высоконагружен- ных корпоративных сетей и дата-цент- ров. При проектировании этого решения основной задачей было обеспечить устойчивую работу системы при боль- шом количестве правил и высокой плот- ности соединений. Для этого в продукте используется собственная технология UserGate для векторного межсетевого экранирования (а не общедоступная тех- нология VPP, как у большинства рос- сийских вендоров), которая позволяет обрабатывать крупные политики доступа без линейного роста времени обработ- ки. Устройство способно работать с поли- тиками, содержащими до 130 тыс. пра- вил, при этом производительность не зависит от их положения или сложности. UserGate DCFW рассчитан на обра- ботку трафика на скоростях свыше 100 Гбит/с, что позволяет использовать его не только на границе инфраструкту- ры, но и в сегментах, где проходят значительные внутренние потоки дан- ных. Помимо прочих, в состав системы входит модуль IPS. Отдельного внимания заслуживает аппаратная платформа, на которой может работать решение. Для раскрытия потенциала архитектуры используются специализированные устройства User- Gate серий E и F, обладающие большим объемом оперативной памяти и рассчи- танные на обработку интенсивных пото- ков соединений. В дальнейшем плани- руется поддержка платформы FG с аппа- ратным ускорением на базе FPGA, что должно расширить возможности систе- мы при работе с высокоскоростными потоками и сложными сценариями инспекции трафика. Заключение Практика эксплуатации крупных инфраструктур постепенно показывает, что сетевую безопасность в среде дата- центра уже трудно рассматривать как набор отдельных функций. По мере роста сети на первый план выходит архитектура решения и его способность устойчиво работать в условиях, где поли- тика доступа может насчитывать десятки тысяч правил, а трафик измеряется десятками и сотнями гигабит в секунду. Поэтому можно уверенно говорить о формировании отдельного класса реше- ний – межсетевых экранов, ориентиро- ванных именно на инфраструктуру ЦОД. Их ключевая особенность заключается не столько в расширенной функцио- нальности, сколько в архитектурных принципах, которые позволяют системе сохранять стабильные характеристики по мере роста числа политики и услож- нения сетевых взаимодействий. Это дает предсказуемое поведение системы и меньшую зависимость производитель- ности от структуры конфигурации. Логика развития решений UserGate как раз соответствует этому подходу. Межсетевой экран UserGate DCFW изна- чально проектировался как система для защиты высоконагруженных корпора- тивных сетей и дата-центров. l • 37 ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ ДЛЯ ЦОД www.itsec.ru Ваше мнение и вопросы присылайте по адресу is@groteck.ru 1 https://usergate.com/products/data-center-firewall На правах рекламы