Безпечна ІТ-інфраструктура. Частина 2: Обчислювальна інфраструктура

Компанія АМ Інтегратор продовжує цикл статей про безпечну ІТ-інфраструктуру підприємства. У першій частині наші фахівці представили хмарні рішення для програмного середовища, здатні забезпечити контроль параметрів безпеки на рівнях від клієнтського пристрою до центральних ІТ-сервісів. У цій статті ми розкриємо безпеку обчислювальної інфраструктури.

 

Безпека понад усе

Коли мова йде про безпеку та надзвичайну захищеність, все повинно починатися з «нульового рівня». Іншими словами, безпека повинна бути вродженою, вбудованої з вашу інфраструктуру, а не існувати як окреме рішення та рівень. Вбудована безпека гіперконвергентного (програмно- визначеного) рішення найкращим чином відповідає завданням швидкого реагування, а також протидії вишуканим методам та хвилям атак.

HC Infrastructure АМ Інтегратор Груп є партнером виробників і постачальником найновіших та прогресивних рішень на основі гіперконвергенціі. Рішення лідера в цій сфері Nutanix займають пріоритетне місце в портфелі продуктів компанії АМ Інтегратор, тому за основу візьмемо технології Nutanix для опису того, як можна створити стійку до відмов ІТ-інфраструктуру. Але, всі описані моменти є концептуальними та застосовні для будь-яких середовищ незалежно від виробника.

Почнемо з архітектури. Це web-scale архітектура, що масштабується, – Shared Out Shared Nothing, яка забезпечує більшу гнучкість і можливість до самовідновлення. Навіть найменший кластер з 5-ти вузлів з налаштуванням надмірності N+2 здатний самовідновитися після фізичного відмови декількох вузлів. Після відмови першого вузла-сервера відновлення (без участі адміністратора) до стабільного стану відбувається по всіх рівнях обчислення (процесор-пам’ять) і рівнях зберігання даних. Весь процес займає хвилини або десятки хвилин (залежить від розмірів кластера та обсягу інформації). Після цього кластер може перенести наступну відмову та точно також відновитися до стабільного стану. Після виходу з ладу двох вузлів-серверів кластер продовжує бути повністю стійким і може відпрацьовувати наступні відмови.

В описаному варіанті розглянута програмно-визначена ІТ-інфраструктура втратила 40% фізичних ресурсів, але як і раніше забезпечує цілісність, надійність зберігання даних і забезпечення сервісів, тобто безперервність для нашого бізнесу.

Якщо в такому стані відмовить ще один, третій з п’яти серверів, наше обчислювальне середовище продовжить функціонувати, забезпечувати безперервність виконання завдань та підтримувати цілісність даних. Фактично, після стількох відмов кластер виродиться до стану роботи всіх завдань на одному сервері. Як не сумно це констатувати, але такий рівень не рідкість для українських ІТ, коли вся надія тільки на зовнішні резервні копії, архіви та майстерність адміністраторів.

У цьому простому прикладі ІТ-середовище здатне втратити до 60% фізичних серверів. Але навіть в таких жорстких умовах сервіси та бізнес будуть продовжувати функціонувати.

Важливо відзначити, що для описаних ситуацій всі процеси самовідновлення відбуваються без будь-якого втручання та контролю адміністраторів, в повністю автоматичному режимі. Точно також в автоматичному режимі буде приходити й відновлення кластера до вихідного стану N+2, після заміни несправних компонент на нові.

З точки зору бізнесу та безперервності сервісів обчислювальне середовище Nutanix може бути налаштована таким чином, що автоматичне відновлення буде відбуватися за лічені хвилини, а не години або дні.

Ключовий момент: Сучасний рівень розвитку ІТ-технологій дозволяє бізнесу ставити жорстку вимогу для інфраструктури, яка будується або оновлюється. Всі відновлення до стабільного стану після одного або декількох відмов, а також при заміні обладнання повинні відбуватися автоматично, БЕЗ втручання людини.

Таким чином, хороша новина для клієнтів АМ Інтегратор Груп та Nutanix в тому, що ваша інфраструктура здатна до самовідновлення. Навіть якщо потенційно і можуть статися затримки з замінами апаратних складових або тимчасова нестача кваліфікованого персоналу, це навряд чи вплине на безперервність бізнес-процесів.

 

Другий аспект забезпечення безпеки вашого ЦОД – це своєчасне оновлення програмного забезпечення інфраструктури (прошивки апаратного забезпечення та базових ОС всіх пристроїв, серверів, СЗД, активного мережевого обладнання, ПЗ віртуалізації тощо).

Оскільки рішення Nutanix є програмно-визначеним ЦОД, то вже включає вбудовані механізми забезпечення безпеки інфраструктури:

  1. Network segmentПочинається все з системи самоперевірки та звіту про дотримання правил безпеки після початкової інсталяції кластера, яка автоматично налаштовує та перевіряє понад 700 параметрів вашого ЦОД.
  2. Продовження – це повністю автоматизований процес оновлення.
  3. На довершення – автоматизація самовідновлення елементів інфраструктури до безпечного стану, комплексна система безпеки всього віртуального середовища обчислень, мікросегментація віртуальних мереж та безпека, що орієнтована на додатки (Application Centric security).

Безпека, яка орієнтована на додатки в єдиній захищеній платформі, значно знижує складність використання мікросегментації для захисту від внутрішніх та зовнішніх загроз, які не виявляються продуктами безпеки, орієнтованими на периметр.

Порада: Де це можливо, використовуйте стандартні класичні компоненти (сервери х86) і програмно-визначену інфраструктуру для всіх ІТ-сервісів (в тому числі BC / DR, DP / DR, Archive) та ваших робочих навантажень (віртуалізації баз даних і корпоративних додатків).

На замітку CIO та ІТ-керівникам: Проєктуючи інфраструктуру з’ясуйте кілька ключових моментів з архітектором:

  1. Опис сценаріїв відмов компонент інфраструктури та їх вплив на стабільність.
  2. Опис модернізації для забезпечення більш високих рівнів стійкості.
  3. Задокументуйте цільовий показник часу відновлення (RTO) та точки відновлення (RPO), наскільки обчислювальне середовище буде задовольняти або перевершувати потреби бізнесу.
  4. Опишіть обставини, при яких обчислювальне середовище не зможе відповідати необхідним RTO / RPO.
  5. Запитайте опис масштабування, наприклад «Масштабованість та повторюваність», яке дозволить розширювати ІТ-інфраструктуру без капітальних перепроєктувань архітектури або заміни інфраструктурних елементів в разі непередбаченого зростання робочих навантажень (наприклад, збільшення кількості співробітників, які будуть працювати з дому).
  6. Уникайте непотрібної різнорідності апаратних компонент інфраструктури (не тільки від різних виробників, але й одного).

У більшості випадків, набагато дешевше впровадити стійке до відмов рішення, аніж щороку переживати хоча б одне повне відключення ІТ-систем.

 

Якщо Вас зацікавила інформація про те, що інфраструктура може забезпечувати необхідний вам рівень безперервності, рекомендую зв’язатися з нашими фахівцями, переглянути і задокументувати сценарії відмов та їх вплив на безперервність, а також терміни відновлення до повністю стабільного стану. Переосмисліть і дайте оцінку відповідності ваших очікувань реальному стану забезпечення безперервності бізнесу. У гіршому випадку ви визначитеся з тими недоліками, які вимагають уваги, але це буде хорошим початком активного вирішення проблем.

Безпечна ІТ-інфраструктура. Частина 2: Обчислювальна ...

03.09.2021

Компанія АМ Інтегратор продовжує цикл статей про безпечну ІТ-інфраструктуру підприємства. У першій частині наші фахівці представили хмарні рішення для програмного...