Журнал "Information Security/ Информационная безопасность" #6, 2023

По ряду причин техноло- гического характера россий- ские NGFW зачастую сильно отстают от западных систем, и повышение производи- тельности в обработке сете- вого трафика является глав- ным вызовом для отече- ственных разработчиков. Vector Packet Processing (VPP) – это высокопроизво- дительная сетевая платфор- ма для работы с трафиком за счет использования век- торного подхода. Требования к NGFW в больших сетях и дата- центрах часто сводятся к трем главным пара- метрам: производитель- ности, производительно- сти и производительно- сти. Особенно это про- является при выборе российского решения класса NGFW. По ряду причин технологиче- ского характера российские NGFW зачастую сильно отстают от западных систем, и повыше- ние производительности в обра- ботке сетевого трафика является главным вызовом для отече- ственных разработчиков. В ответ на этот вызов разработчики Ideco предложили высокопроизводи- тельную версию Ideco NGFW VPP, реализующую новый под- ход к обработке трафика. Ядро и пространство пользователя Основной продукт Ideco NGFW, как многие российские решения, разработан на базе ядерного стека Linux, где архи- тектура разделена на два основ- ных пространства: ядро (kernel space) и пользовательское про- странство (user space). Ядро Linux работает в приви- легированном режиме и имеет прямой доступ к аппаратному обеспечению компьютера. Ядро обеспечивает основные функ- ции операционной системы: управление памятью, планиро- вание задач, обработку систем- ных вызовов и взаимодействие с аппаратным обеспечением. Пространство пользователя – это область, в которой работают прикладные программы и про- цессы. В этом контексте про- граммы выполняются в непри- вилегированном режиме и не имеют прямого доступа к аппа- ратному обеспечению. Все взаи- модействия с аппаратурой и ресурсами осуществляются через системные вызовы, пре- доставляемые ядром. Некоторые модули Ideco NGFW, например межсетевой экран, работают на уровне ядра, а другие, такие как IPS и конт- роль приложений, работают в пользовательском простран- стве, и в ядре их реализовать достаточно сложно. Таким обра- зом, получается, что одна часть обработки трафика происходит на уровне ядра, а другая – в пользовательском простран- стве. Переключение между этими контекстами непременно ведет к снижению производи- тельности. Дело в том, что ядро по своей природе является основой для операционной системы, предо- ставляя ей базовые функции. И никто изначально не задумы- вался о создании на его основе систем обработки трафика, подобных современным межсе- тевым экранам нового поколе- ния. Помимо прочего, разработка для ядерного стека затрудняет отладку и оптимизацию, посколь- ку любое изменение функцио- нальности приводит к большим правкам в коде. Впрочем, существует техно- логия kernel-bypass, которая позволяет приложению из поль- зовательского пространства напрямую общаться с аппарат- ным обеспечением, минуя слой ядра операционной системы. Разработаны фреймворки, кото- рые реализуют такой подход, – DPDK и VPP. DPDK и VPP DPDK (Data Plane Development Kit) и VPP (Vector Packet Pro- cessing) являются проектами с открытым исходным кодом, в их разработке и поддержке участвует множество компаний. Однако можно выделить двух ключевых участников. l Компания Intel играет важную роль в разработке и поддержке как DPDK, так и VPP. Проект DPDK был инициирован ком- панией Intel с целью предо- ставления высокопроизводи- тельных библиотек и драйверов для обработки сетевых пакетов на аппаратном уровне. Этот проект стал ключевым компо- нентом для оптимизации сете- вых приложений на процессо- рах Intel. l Проект VPP был запущен компанией Cisco и позднее передан в сообщество с откры- тым исходным кодом. Проект активно используется в сетевых решениях Cisco, и компания продолжает поддерживать и развивать VPP в рамках сообщества. Компания Intel также вносит свой вклад в раз- работку VPP: архитектурные и технические решения от Intel, разработанные для DPDK, часто используются и в VPP. Важно отметить, что обе тех- нологии, DPDK и VPP, сегодня развиваются как проекты с открытым исходным кодом с широким участием сообще- ства разработчиков, и многие другие организации внесли свой вклад в их развитие. При планировании произво- дительной архитектуры Ideco NGFW выбор был сделан в пользу применения VPP, и это дало старт развитию Ideco 24 • СПЕЦПРОЕКТ Ideco NGFW VPP: новый высокопроизводительный подход к обработке трафика омпания Ideco помогает защититься от современных угроз безопасности с помощью своего продукта, межсетевого экрана Ideco NGFW. К обычной версии в 2023 г. добавилась высокоскоростная версия Ideco NGFW VPP. Рассмотрим, за счет чего удалось резко повысить производительность решения. К Дмитрий Хомутов, директор компании Ideco