Архитектура научной сети DMZ

Термин Science DMZ относится к компьютерной подсети , которая имеет безопасную структуру, но без ограничений производительности, которые в противном случае возникли бы в результате передачи данных через межсетевой экран с отслеживанием состояния . ^[1]^[2] Научная DMZ предназначена для обработки больших объемов данных, типичных для научных и высокопроизводительных вычислений , путем создания специальной DMZ для размещения этих передач. ^[3] Обычно он развертывается по периметру локальной сети или рядом с ним и оптимизирован для умеренного количества высокоскоростных потоков, а не для бизнес-систем общего назначения или корпоративных вычислений . ^[4]

Термин Science DMZ Министерства энергетики США был придуман сотрудниками ESnet в 2010 году. ^[5] Ряд университетов и лабораторий развернули или развертывают демилитаризованную зону науки. В 2012 году Национальный научный фонд профинансировал создание или улучшение научных демилитаризованных зон в нескольких университетских кампусах США. Штаты. ^[6]^[7]^[8]

Наука DMZ ^[9] — это сетевая архитектура для поддержки больших данных . Так называемый информационный взрыв обсуждается с середины 1960-х годов, а в последнее время появился термин « поток данных». ^[10] использовался для описания экспоненциального роста во многих типах наборов данных. Эти огромные наборы данных часто необходимо копировать из одного места в другое с помощью Интернета. Перемещение наборов данных такого размера за разумное время должно быть возможным в современных сетях. должна занимать менее 4 часов Например, передача 10 терабайт данных по сетевому пути 10 Gigabit Ethernet , при условии, что производительность диска достаточна. ^[11] Проблема в том, что для этого нужны сети, свободные от потери пакетов, и промежуточные устройства, такие как формирователи трафика или межсетевые экраны , которые замедляют производительность сети.

Брандмауэры с отслеживанием состояния

Большинство предприятий и других учреждений используют брандмауэр для защиты своей внутренней сети от вредоносных атак, исходящих извне. Весь трафик между внутренней сетью и внешним Интернетом должен проходить через брандмауэр, который отбрасывает потенциально опасный трафик.

Межсетевой экран с отслеживанием состояния отслеживает состояние каждого логического соединения, проходящего через него, и отклоняет пакеты данных, не соответствующие состоянию соединения. Например, веб-сайту не будет разрешено отправлять страницу на компьютер во внутренней сети, если компьютер не запросит этого. Для этого требуется, чтобы брандмауэр отслеживал недавно запрошенные страницы и сопоставлял запросы с ответами.

Межсетевой экран также должен анализировать сетевой трафик более детально по сравнению с другими сетевыми компонентами, такими как маршрутизаторы и коммутаторы. Маршрутизаторам приходится иметь дело только с сетевым уровнем должны обрабатывать транспортный и прикладной уровни , но брандмауэры также . Вся эта дополнительная обработка требует времени и ограничивает пропускную способность сети. В то время как маршрутизаторы и большинство других сетевых компонентов могут поддерживать скорость 100 миллиардов бит в секунду (Гбит/с), межсетевые экраны ограничивают трафик примерно до 1 Гбит/с. ^[12] что неприемлемо для передачи больших объемов научных данных.

Современные межсетевые экраны могут использовать специальное оборудование ( ASIC ) для ускорения трафика и проверки и достижения более высокой пропускной способности. Это может стать альтернативой научным DMZ и позволит осуществлять проверку на месте через существующие брандмауэры, если проверка унифицированного управления угрозами (UTM) отключена.

Хотя брандмауэр с отслеживанием состояния может быть необходим для критически важных бизнес-данных, таких как финансовые отчеты, кредитные карты, данные о занятости, студенческие оценки, коммерческая тайна и т. д., научные данные требуют меньшей защиты, поскольку копии обычно существуют в нескольких местах и существует меньше экономических стимулов. вмешиваться. ^[4]

ДМЗ

Брандмауэр должен ограничивать доступ к внутренней сети, но разрешать внешний доступ к общедоступным службам, таким как веб-серверы во внутренней сети. Обычно это достигается путем создания отдельной внутренней сети, называемой DMZ, играя на термине «демилитаризованная зона». Внешним устройствам разрешен доступ к устройствам в DMZ. Устройства в демилитаризованной зоне обычно обслуживаются более тщательно, чтобы снизить их уязвимость к вредоносному ПО. Защищенные устройства иногда называют хостами-бастионами .

Science DMZ развивает идею DMZ на шаг дальше, перемещая высокопроизводительные вычисления в собственную DMZ. ^[13] Специально настроенные маршрутизаторы передают научные данные непосредственно на назначенные устройства во внутренней сети или с них, создавая тем самым виртуальную демилитаризованную зону. Безопасность поддерживается за счет настройки списков управления доступом (ACL) на маршрутизаторах, позволяющих разрешать трафик только в/из определенных источников и пунктов назначения. Безопасность дополнительно повышается за счет использования системы обнаружения вторжений (IDS) для мониторинга трафика и поиска признаков атаки. При обнаружении атаки IDS может автоматически обновлять таблицы маршрутизации, что приводит к тому, что некоторые называют удаленно запускаемой черной дырой (RTBH). ^[1]

Обоснование

Science DMZ обеспечивает хорошо сконфигурированное место для сети, систем и инфраструктуры безопасности, которое поддерживает высокопроизводительное перемещение данных. В научных средах с интенсивным использованием данных наборы данных вышли за рамки портативных носителей, а конфигурации по умолчанию, используемые многими поставщиками оборудования и программного обеспечения, не подходят для высокопроизводительных приложений. Компоненты Science DMZ специально настроены для поддержки высокопроизводительных приложений и облегчения быстрой диагностики проблем с производительностью. Без развертывания выделенной инфраструктуры зачастую невозможно добиться приемлемой производительности. Простого увеличения пропускной способности сети обычно недостаточно, поскольку проблемы с производительностью вызваны многими факторами: от недостаточной мощности межсетевых экранов до грязного оптоволокна и ненастроенных операционных систем.

Научная DMZ — это систематизация набора общих передовых практик — концепций, которые разрабатывались на протяжении многих лет — научным сетевым и системным сообществом. Модель Science DMZ описывает основные компоненты высокопроизводительной инфраструктуры передачи данных таким образом, чтобы она была доступна неспециалистам и масштабируема для учреждений и экспериментов любого размера.

Компоненты

Основными компонентами научной DMZ являются:

Высокопроизводительный узел передачи данных (DTN) ^[14] запуск инструментов параллельной передачи данных, таких как GridFTP
Хост мониторинга производительности сети, например perfSONAR.
Высокопроизводительный маршрутизатор/коммутатор

Дополнительные компоненты Science DMZ включают в себя:

Поддержка виртуальных частных сетей (VPN) с многопротокольной коммутацией по меткам (MPLS) уровня 2.
Поддержка программно-определяемых сетей

См. также

Ссылки

^ Перейти обратно: ^а ^б Дэн Гудин (26 июня 2012 г.). «Ученые испытывают жизнь за пределами брандмауэра с помощью «научных демилитаризованных зон» » . Проверено 12 мая 2013 г.
^ Эли Дарт; Брайан Тирни; Эрик Пуйуль; Джо Брин (январь 2012 г.). «Достижение научной демилитаризованной зоны» (PDF) . Проверено 31 декабря 2015 г.
^ Дарт, Э.; Ротман, Л.; Тирни, Б.; Хестер, М.; Журавски, Дж. (2013). «Наука ДМЗ». Материалы Международной конференции по высокопроизводительным вычислениям, сетям, хранению и анализу - SC '13 . п. 1. дои : 10.1145/2503210.2503245 . ISBN 978-1-4503-2378-9 . S2CID 52861484 .
^ Перейти обратно: ^а ^б «Почему Science DMZ?» . Проверено 12 мая 2013 г.
^ Дарт, Эли; Мецгер, Джо (13 июня 2011 г.). «Наука DMZ» . Семинар CERN LHCOPN/LHCONE . Проверено 26 мая 2013 г. Это самая ранняя цитируемая ссылка на Science DMZ. До этого работа над концепцией велась несколько лет.
^ «Внедрение научной DMZ в Государственном университете Сан-Диего для облегчения высокопроизводительной передачи данных для научных приложений» . Национальный научный фонд. 10 сентября 2012 года . Проверено 13 мая 2013 г.
^ «SDNX — обеспечение сквозной динамической научной DMZ» . Национальный научный фонд. 7 сентября 2012 года . Проверено 13 мая 2013 г.
^ «Улучшение существующей научной демилитаризованной зоны» . Национальный научный фонд. 12 сентября 2012 года . Проверено 13 мая 2013 г.
^ Дарт, Эли; Ротман, Лорен (август 2012 г.). «Научная демилитаризованная зона: сетевая архитектура для больших данных» . LBNL-отчет.
^ Бретт Райдер (25 февраля 2010 г.). «Поток данных» . Экономист.
^ . «Требования и ожидания сети» . Национальная лаборатория Лоуренса Беркли.
^ «Сравнение производительности межсетевого экрана» (PDF) .
^ Пмойер (13 декабря 2012 г.). «Архитектура исследовательской и образовательной сети (REN): Наука-ДМЗ» . Проверено 12 мая 2013 г.
^ «Наука DMZ: Узлы передачи данных» . Лаборатория Лоуренса Беркли. 04.04.2013 . Проверено 13 мая 2013 г.

Внешние ссылки

[ars-1] Перейти обратно: ^а ^б Дэн Гудин (26 июня 2012 г.). «Ученые испытывают жизнь за пределами брандмауэра с помощью «научных демилитаризованных зон» » . Проверено 12 мая 2013 г.

[2] Эли Дарт; Брайан Тирни; Эрик Пуйуль; Джо Брин (январь 2012 г.). «Достижение научной демилитаризованной зоны» (PDF) . Проверено 31 декабря 2015 г.

[?-3] Дарт, Э.; Ротман, Л.; Тирни, Б.; Хестер, М.; Журавски, Дж. (2013). «Наука ДМЗ». Материалы Международной конференции по высокопроизводительным вычислениям, сетям, хранению и анализу - SC '13 . п. 1. дои : 10.1145/2503210.2503245 . ISBN 978-1-4503-2378-9 . S2CID 52861484 .

[motive-4] Перейти обратно: ^а ^б «Почему Science DMZ?» . Проверено 12 мая 2013 г.

[5] Дарт, Эли; Мецгер, Джо (13 июня 2011 г.). «Наука DMZ» . Семинар CERN LHCOPN/LHCONE . Проверено 26 мая 2013 г. Это самая ранняя цитируемая ссылка на Science DMZ. До этого работа над концепцией велась несколько лет.

[6] «Внедрение научной DMZ в Государственном университете Сан-Диего для облегчения высокопроизводительной передачи данных для научных приложений» . Национальный научный фонд. 10 сентября 2012 года . Проверено 13 мая 2013 г.

[7] «SDNX — обеспечение сквозной динамической научной DMZ» . Национальный научный фонд. 7 сентября 2012 года . Проверено 13 мая 2013 г.

[8] «Улучшение существующей научной демилитаризованной зоны» . Национальный научный фонд. 12 сентября 2012 года . Проверено 13 мая 2013 г.

[9] Дарт, Эли; Ротман, Лорен (август 2012 г.). «Научная демилитаризованная зона: сетевая архитектура для больших данных» . LBNL-отчет.

[10] Бретт Райдер (25 февраля 2010 г.). «Поток данных» . Экономист.

[11] . «Требования и ожидания сети» . Национальная лаборатория Лоуренса Беркли.

[performance-12] «Сравнение производительности межсетевого экрана» (PDF) .

[13] Пмойер (13 декабря 2012 г.). «Архитектура исследовательской и образовательной сети (REN): Наука-ДМЗ» . Проверено 12 мая 2013 г.

[14] «Наука DMZ: Узлы передачи данных» . Лаборатория Лоуренса Беркли. 04.04.2013 . Проверено 13 мая 2013 г.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]