ViPNet CLUSTER
Програмнный комплекс ViPNet Cluster
В современно бизнесе велика значимость ИТ инфраструктуры, как неотъемлемого инструмента ведения дел. Как и любой другой инструмент, ИТ инфраструктура компании должна быть «под рукой» в любое время дня и ночи. Современному бизнесу присуща быстротечность процессов, и время реакции со стороны сотрудников компании на изменения должно быть минимально. Еще одним из важнейших требований является обеспечение безопасности канала связи, используемого для доступа в ИТ инфраструктуру. В итоге перед сотрудниками ИТ служб и служб безопасности возникает задача - какими средствами обеспечить бесперебойный (24/7/365) защищенный и быстродействующий доступ к ИТ инфраструктуре компании и как минимизировать расходы на разворачивание и обслуживание этих средств.
Следуя современным потребностям бизнеса и, используя свой опыт в разработке и построении решений информационной безопасности, компания ИнфоТеКС разработала программный комплекс ViPNet Cluster, решающий проблему организации высоконадежных защищенных каналов связи.
Что такое ViPNet Cluster
Программный комплекс ViPNet Cluster - это программное обеспечение для ОС Windows XP/Vista/2003, основанное на принципах высокой доступности и распределения нагрузки.
Обеспечение высокой доступности
ПК ViPNet Cluster способен обрабатывать сетевой трафик, поступающий из нескольких сетей, непосредственно подключенных к нему. Количество сетей, подключаемых к ПК ViPNet Cluster, не ограничено. Все элементы кластера представлены в каждой из подключенных сетей одним и тем же IP-адресом, который одновременно активен на всех элементах кластера. Это обеспечивает моментальное перераспределений функций в кластере в случае отказа одного из элементов.
ПК ViPNet Cluster позволяет создать инфраструктуру, которая гарантирует бесперебойность передачи данных, до тех пор, пока хотя бы один из элементов кластера работоспособен.
Рекомендуется иметь в составе кластера не менее трех элементов кластера. В этом случае достигается максимальная эффективность контроля работоспособности каждого из элементов кластера.
Обеспечение высокой надежности посредством распределения нагрузки
Все элементы (серверы), входящие в состав ПК ViPNet Cluster, постоянно являются активными. Обработка трафика выполняется всеми элементами ПК ViPNet Cluster одновременно. Такой подход является наиболее надежным решением, потому что выход из строя одного или более элементов из состава ПК ViPNet Cluster не приводит к потере соединения, т.к. функции отказавшего элемента перераспределяются на оставшиеся элементы и ПК ViPNet Cluster в целом продолжает выполнять свои функции.
Обеспечение производительности кластера
Распределение нагрузки по шифрованию (расшифрованию) трафика на несколько элементов кластера снижает нагрузку с процессоров каждого из элементов, что позволяет использовать в составе ПК ViPNet Cluster серверы невысокой производительности и добиваться даже в этом случае практически абсолютной надежности и высокой производительности кластера в целом.
Архитектура текущей версии ПК ViPNet Cluster предполагает балансировку трафика в каждый данный момент только одним элементом кластера для всех подключенных сетей. В связи с этим суммарная пропускная способность текущей версии ПК ViPNet Cluster ограничивается пропускной способностью балансировщика (один из элементов кластера выполняет функции балансировщика нагрузки) и в зависимости от производительности элемента-балансировщика может достигать для TCP-трафика 250 Мбит/сек.
Как работает ПК ViPNet Cluster
В состав ПК ViPNet Cluster Windows входит следующее программное обеспечение:
- ПО ViPNet Coordinator (Win) - программное обеспечение, реализующее функции МСЭ, криптошлюза, сервера ip-адресов, сервера управляющих сообщений и почтовых сообщений системы «Деловая почта»;
- ПО ViPNet Cluster - сервис и программа управления, мониторинга состояния ПК ViPNet Cluster.
В архитектуре ПК ViPNet Cluster используются следующие понятия:
- Кластер - группа компьютеров (серверов), объединенных высокоскоростными каналами связи, и представляющая с точки зрения внешней сети и функциональности обычный ViPNet Coordinator.
- Элемент кластера (ЭК) - Любой из серверов, входящих в кластер.
- Внешняя сеть - Любая сеть, которая взаимодействует с кластером как с единым ViPNet Coordinator. Количество интерфейсов на ЭК для взаимодействия с внешними сетями не ограничивается. Интерфейсы всех ЭК со стороны соответствующей внешней сети имеют один и тот же внешний IP-адрес
- Частная сеть - Сеть класса C, объединяющая все ЭК со стороны одной из внешних сетей. Частная сеть служит для проверки работоспособности данного интерфейса ЭК и ЭК в целом, а также для перенаправления входящего трафика из внешней сети на обработку другим ЭК.
- Служебная сеть - Сеть класса C, объединяющая все ЭК. Служебная сеть служит для обмена между ЭК информацией, не предназначенной для внешних сетей (служебная информация, пакеты до шифрования и т.п.). Служебная сеть должна создаваться на коммутаторе, физически отделенном от каких-либо других сетей. В служебной сети рекомендуется использовать не менее чем гигабитные сетевые подключения.
Архитектура ПК ViPNet Cluster
Роли элементов кластера:
- Работник - любой ЭК, на который перенаправляется трафик для обработки.
- Представитель кластера (ПК) - ЭК, обрабатывающий трафик приложений на кластере и, на который направляется весь трафик, предназначенный непосредственно кластеру, как узлу защищенной сети ViPNet.
- Балансировщик - ЭК, который распределяет (балансирует) входящий трафик из данной внешней сети между работниками.
- Мастер - ЭК, обеспечивающий назначение балансировщика и Представителя кластера (ПК).
Конфигурация кластера:
- Рекомендуемое число элементов в кластере - три ЭК
- Для достижения максимальной производительности можно задавать для разных ЭК разные веса балансировки и запрещать отдельным ЭК, по-возможности, принимать на себя функции балансировки и представителя кластера
- Рекомендуемая платформа для ЭК - производительные многоядерных серверы с архитектурой x86 с ОС Microsoft Windows 2003 Server
- Экономичный состав кластера - три обычных персональных компьютера уровня Pentium 4 и выше с как минимум 3-мя сетевыми интерфейсами.
Система горячего резервирования
Система горячего резервирования, реализованная в ПК ViPNet Cluster,предназначена для непрерывного поддержания работоспособности кластера в случае сбоя или отказа любого из элементов кластера, а также автоматического подключения элемента в случае его восстановления.
Высокая отказоустойчивость кластера достигается благодаря следующему набору свойств:
- Дублирование функционала - каждый элемент кластера способен одновременно выполнять несколько ролей (функций);
- Мониторинг состояния соседних ЭК - каждый элемент кластера ведет постоянное наблюдение за работоспособностью других элементов кластера;
- Система самотестирования - каждый элемент кластера проводит самотестирование всех систем и в случае наличия сбоя в одной из тестируемых систем самостоятельно перезагружается;
- Синхронная система удаленного обновления ключей, справочников и ПО - обновление производится на всех работающих и вновь подключаемых ЭК в полностью автоматическом режиме;
- Синхронная система регистрации новых параметров доступа к удаленным узлам - ПК всю новую информацию о параметрах доступа широковещательными сообщениями передает на все ЭК;
- Синхронизация транспортного модуля MFTP - в случае назначения нового ПК все имеющиеся почтовые конверты на других ЭК немедленно передаются на новый ПК;
- Синхронизация ручных настроек на ЭК - достаточно выполнить настройки только на одном ЭК и после нажатия кнопки «Синхронизовать», все выполненные последние настройки применятся на всех остальных включенных ЭК, а также на вновь подключаемых ЭК;
- Минимальное время реакции на сбои и восстановление работоспособности кластера в целом - в течение нескольких секунд в случае отказа любого из ЭК его роли автоматически перераспределяются на действующие ЭК, при этом обработка трафика не прекращается;
- Идеальные условия для любых регламентных работ на компьютерах кластера - временное отключение или нарушение работоспособности одного из элементов ПК ViPNеt Cluster и его подключение обратно остаются практически незаметными для внешней среды.
Сценарий использования ПК ViPNet Cluster
ПК ViPNet Cluster разработан для организации круглосуточного бесперебойного защищенного доступа к ресурсам компании. Поэтому мы предлагаем использовать данное решение для защиты больших локальных сетей, серверов баз данных, online сервисов, банковских систем, автоматизированных систем класса CRM, ERP и т.д., т.е. тех сетей и отдельных систем, доступ к которым необходим пользователям круглосуточно.
Преимущества
- Возможность использования в качестве аппаратной платформы как надежных промышленных серверов типоразмера 19" или Blade-серверы с необходимым количеством лезвий, так и стандартных системных блоков, на процессорах класса Pentium-4 и выше
- Возможность построения решения на различных по своим возможностям аппаратных платформах - одновременное использование промышленных серверов и обычных персональных компьютеровБалансирование трафика позволяет максимально эффективно использовать существующие в распоряжении администратора безопасности аппаратные мощности
- Программное обеспечение создано на базе провереннего многолетней эксплуатацией ПО ViPNet Coordinator для ОС Windows и технологии защиты информации ViPNet
- Возможность организации бесперебойного (24/7/365) быстродействующего защищенного канала связи
- Поддержка работы в современных мультисервисных сетях связи с серверами DHCP, WINS, DNS и преобразованием адресов (NAT, PAT), поддержка различных систем IP-телефонии и видео конференций, использующих в своей работе протоколы SCCP (Cisco skinny), SIP, H.323
- Простота и удобство конфигурирования и обслуживания
- Использование в качестве центра генерации ключей шифрования сертифицированного ФСБ России ПО ViPNet Administrator из состава СКЗИ «Домен-КС2/КМ»
Сертификация
Программный комплекс ViPNet Cluster создан на базе сертифицированного ФСТЭК России комплекса ViPNet Custom 3.0 и сертифицированного ФСБ России СКЗИ ViPNet Coordinator (Win).