Пора пересмотреть подход к зонам безопасности и архитектуре сетей
Круг обязанностей, возлагаемых на IT-специалистов, все расширяется, и в этих условиях многие забывают о фундаментальных принципах обеспечения безопасности, которые становится намного проще реализовать благодаря многочисленным уровням абстракции, визуализации и управления. IT-гуру Рик Вановер (Rick Vanover) считает, что пришла пора пересмотреть подход к зонам безопасности.
В конструкции современных центров управления данных насчитывается несколько уровней абстракции, визуализации и управления сетями и серверами. По результатам нашего недавнего разговора с Эдвардом Холетки (Edward Haletky), независимым экспертом в сфере информационной безопасности, я пришел к выводу, что нам уже давно пора пересмотреть привычные представления о зонах безопасности в новой и существующей сетевой инфраструктуре.
По наблюдениям Холетки, многие администраторы, включая меня, сами того не осознавая смешивают зоны безопасности при использовании принципов многоуровневого управления и абстракции. Под зонами безопасности я имею в виду классы обслуживания на разных уровнях сетевой инфраструктуры.
Возьмем, к примеру, стандартный сервер, являющийся базой для виртуальной машины, в современном ЦОД. Допустим, этот сервер обладает следующими сетевыми атрибутами: аппаратный интерфейс управления типа управляющего процессора HP Integrated Lights-Out, интерфейс управления операционной системы, интерфейс миграции виртуализированной среды, интерфейс хранения данных типа iSCSI и ряд виртуальных машин в разных сетях VLAN. В этом примере одна единица оборудования взаимодействует сразу с пятью зонами безопасности, и это еще не считая самих систем.
Под впечатлением от этого разговора я пришел к убеждению, что сегодня, при наличии технологий типа VLAN и прочих возможностей виртуализации, мы нуждаемся в пересмотре организационной структуры сетей. Даже если оставить вопросы обеспечения безопасности в стороне, нужно развести эти точки присутствия сети там, где они образуют зоны безопасности. Производительность от этого тоже только выиграет.
А как вы подходите к проблеме управления зонами безопасности в своей сети? Достаточно ли для вас VLAN или вы нуждаетесь в полностью самостоятельных средах коммутации? Вопрос очень сложный и непосредственно зависит от потребностей каждой конкретной компанией. Поделитесь своим опытом в комментариях — может быть, вместе мы найдем оптимальное решение проблемы.
