Je vám jedno, když si vaše bankovní data někdo prohlíží?

Radware DefensPro

ProficommsAsi takových lidí, nazval bych je slušnou mluvou filantropy-masochisty, nebude mnoho. Ale proč taková neinteligentní otázka místo nadpisu? Některé finanční instituce tuto otázku mají vyřešenou, jiné se tak tváří. Podívejme se společně na to, jak se mají potenciální zvědavci nedívat…

Na tom, že nikomu po vašich soukromých, tím méně finančních, informacích nic není, se velmi pravděpodobně shodneme. Známou skutečností je, že banky, pojišťovny, burzy a další finanční instituce potřebují mít zajištěnou zálohu dat. Geograficky oddělenou zálohu dat. A kolik těch dat mezi primárním a záložním úložištěm teče? Ani se neptejte!

Geografické oddělení dat v různých datových centrech je podmínkou. Nicméně jaké jsou požadavky na síť (jinou než optickou nehledejte), která přelévání dat mezi datovými centry umožňuje, kladené?

Bezpečnost

Lépe bezpečnost na druhou. Tato osobní a firemní data jsou více než cenná. Zamknete optické vlákno do trezoru v podobě pancéřového tubusu délky 20 km a zajistíte v reálném čase její nedotknutelnost? Jen tak na okraj, to by byl boom pro naše železárny, kdyby měly poskytnout tisíce kilometrů nejkvalitnějšího železa pro takovou aplikaci. A jaký by byl šrumec ve sběrných surovinách; opusťme bujnou fantazii…

Jinak než kryptováním přenášených dat, si to nedokážu představit. To se děje prostřednictvím šifrování GCM-AES-256. samotnému procesu šifrování je pak jedno, jestli mezi datovými centry protéká Ethernet, Fiber Channel, STM provoz nebo třeba OTU datové rámce. A jestli jsou přenášená data pomalejší data o rychlosti 1 Gb/s, 16 Gb/s anebo třeba 200 Gb/s? Kryptovacímu procesu je to jedno – o kapacitu ať se staré hardware! Důležité je, aby proces kryptování zajistil důvěrnost dat, jejich celistvost a ověření hodnověrnosti komunikujících stran.

PL-2000T - 800G Optical Transport Platform
PL-2000T – 800G Optical Transport Platform

Nízká latence

Dalším požadavkem je nízká latence. Stejně jako v prohlížeči nikoho nebude bavit čekat čtvrt minuty na potvrzení objednávky na e-shopu, tak dramaticky méně času mají k dispozici transakce, o kterých tu uvažujeme. Velmi krátké prodlevy jsou nutné i z hlediska synchronizace dat v obou lokalitách v duchu zahazování včerejších novin.

Anebo si představte pohyby na burze: Úředník v klotových rukávech mává v ruce papíry a křičí něco do telefonu? Ano, krásná filmová romantika nemající nic společného s dneškem. Serverové farmy provádějící statistické výpočty chrlí příkazy k prodejům a koupím po kvantech. Stylem „kdo dřív přijde, ten dřív mele“ jsou obslouženi ti rychlejší. Blízkost burzy a datového centra je krok číslo jedna. Tento krok ale všichni udělali, tak uděláme krok číslo dva a použijeme zařízení s nízkou latencí.

Spolehlivost

Spolehlivost je nutným dalším požadavkem. Uprostřed relace vypadlé spojení není jen nepotvrzením zboží v e-shopovém košíku. To je katastrofou v reálném světě s červeně blikající kontrolkou $$$. Tedy nešetříme na ventilátorech, chlazení, napájecích zdrojích, zdvojené komunikační trase, čtyřnásobném posílení komunikačních nástrojů; všechny úrovně ochrany jsou podstatné.

Škálovatelnost

Divné soudobé slovo – co s ním? Máte zajištěný jeden datový tok mezi vašimi lokalitami? Dobrá. Ale až bude potřeba rozšířit o druhý, třetí, padesátý – jak to zařídíte? Vyhodíte první box, dáte druhý, vyhodíte druhý, dáte třetí atd. atd. atd.? Ani ti nejbohatší to tak nedělají. Nepřipraví se o předchozí komunikační kanály a zároveň plynule přidávají další. Zkrátka škálují, rozšiřují své komunikační kanály dál bez přerušení provozu, bez velkých investic. Přidávají kanály vedle sebe a nad sebe v reálném čase a současně zabírají minimum prostoru ve vyhrazených (a drahých) prostorách datového centra.

Cenová efektivita

Tento požadavek často zní až na prvním místě. Však kdo myslí na předchozí čtyři požadavky ruku v ruce, tak má dobře nakročeno ke kýžené akceptovatelné nákladovosti. Řeším TCO, takže nevidím jen prvoplánový CapEx, ale sleduji i OpEx a jeho pravděpodobný vývoj v čase své investice.

Nicméně bezpečnost není jen kryptování…

Fenoménem doby jsou DDoS útoky. Nejsou nic nového a jejich princip je jednoduchý. Útočník se snaží „zahltit“ službu (aplikaci, servery, infrastrukturu atd.). Poslední dobou lze však zaznamenat výrazný nárůst těchto útoků. Roste nejen jejich četnost, ale i trvání a komplexnost. Lze říci, že dnes neexistuje firma nebo segment trhu, který by se nemohl stát obětí.

Mezi nejcitlivější dopady na zákazníky patří nedostupnost služby, v lepším případě jen její zpomalení, přímá finanční ztráta (především u online služeb), anebo ztráta reputace/důvěry a následná ztráta zákazníků.

Důležité je uvědomit si, že běžné bezpečnostní produkty jako firewally, primárně před tímto rizikem nechrání. Ne, že by byly špatné, jsou prostě navrženy na jiná bezpečnostní rizika. To, že DDoS ochrana nefunguje, pozná zákazník prakticky okamžitě; služba je okamžitě nedostupná. Pro zákazníka, který „musí“ být online, je specializované DDoS řešení jedinou logickou volbou.

radware logoTakovým řešením může být Radware DefensPro. S čím efektivně pomůže?

  • Detekce a blokování všech možných útoků (ať už síťové nebo aplikační, šifrované/SSL, volumetrické, známé i neznámé).
  • Okamžitá a automatická reakce. Detekce a blokování v řádu sekund bez ohledu na typ útoků.
  • Velký výkon a hardwarová akcelerace. Ochrana veškeré infrastruktury, včetně firewallu, IPS, ADC, serverů atd.
  • Čištění provozu, nikoliv jen blokování na základě IP adresy, která může být falešná.
  • Vizualizace provozu z pohledu bezpečnosti, generování reportů.
  • Možnost obrátit se během útoku na ERT Emergency Response Team výrobce.

Radware řada DefensePro kombinuje více technologií (NBA, Syn protection, IPS, IP Reputation, SSL mitigation – viz úvodní obrázek) s možností kdykoliv se obrátit na ERT (https://www.radware.com/products/ert/). Lze doplnit o Radware DDoS Cloud ochranu s kapacitou více než 5 Tb/s.

Závěr

PacketLight logoA je z toho nějaký závěr? Můžete, ale nemusíte být pojišťovna, banka, burza, abyste měli zájem na bezpečné komunikaci mezi vašimi velkými i malými datovými uzly nebo přímo centry. Kladete si otázky spojené i s nastíněnými požadavky? Upřednostňujete více některý z požadavků? Chcete znát názor designérů, techniků, zákazníků nebo koncových uživatelů takových systémů? Proč ne, pojďme si o nástrojích PacketLight popovídat… Jedním z průvodců (další může doporučit) vám může být Roman K. Onderka ze společnosti PROFIcomms s.r.o. na emailu onderka@proficomms.cz nebo na telefonu +420 776 176 462.

 

Související příspěvky

Leave a Comment