Эта система обеспечивает постоянную защиту приложений, пользователей и инфраструктуры, помогая при этом соответствовать стандартам безопасности.
Статью подготовили инженеры внедрения и технической поддержки Группа компаний «TS Solution» решает задачи по проектированию и внедрению комплексных проектов в сфере ИТ и ИБ на основе отечественных и зарубежных решений.Основные направления деятельности: – Аудит, соответствие требованиям регуляторов, категорирование объектов КИИ; – Полный спектр работ по построению системы ИБ; – Построение IT-инфраструктуры;– Проектирование и внедрение инфраструктурных решений, серверные технологии и системы хранения данных; – Работы требующие аттестации ФСТЭК и ФСБ; – Предоставление 1-й и 2-й линии технической поддержки и полное техническое сопровождение проектов; – Проведение авторизованных и авторских курсов и программ обучения |
Основные преимущества PT AF PRO в сравнении с другими средствами защиты веб-приложений:
- Высокий уровень защиты с минимальным количеством ложных срабатываний;
- Высокий уровень автоматизации;
- Блокирование современных атак (таких как HPP, HPC и XXE);
- Гибкие модели развертывания, включая программно-аппаратный комплекс и виртуальный комплекс;
- Возможность создания отказоустойчивой конфигурации active — active с поддержкой горизонтального масштабирования без потери производительности и остановки сервиса;
- Мультиарендность, встроенная в архитектуру системы;
- Возможность подключения нескольких площадок с использованием внешних агентов или дополнительных серверов обработки трафика.
В оболочке WSC выполняются основная (сетевая) и кластерная настройки PT AF PRO:
- настройка интерфейсов;
- маршрутов;
- таблиц и правил маршрутизации;
- виртуальных IP-адресов и параметров сборки и реконфигурации кластера Kubernetes
Существует множество команд, которые подробно расписаны в руководстве пользователя. Чтобы перейти в WSC, достаточно ввести в командной строке sudo wsc и ввести пароль пользователя.
Примеры некоторых команд:
- config. Позволяет просмотреть текущую конфигурацию wsc;
- config commit. Необходимо исполнять после любых изменений в wsc, иначе они не сохранятся;
- exit. Позволяет выйти из wsc;
- admin. Позволяет непривилегированному пользователю перейти в командную оболочку Linux;
- help Без аргументов будет показан список доступных команд той секции, в которой она выполнена
Архитектура
В состав PT AF PRO входят:
- веб-интерфейс для взаимодействия с пользователем (UI);
- интерфейс для взаимодействия с внешними системами автоматизации (REST API);
- внутренние сервисы для управления конфигурацией, выполнения периодических задач, мониторинга и поддержания работы всех составляющих системы;
- базы данных и системы хранения для конфигурации, информации о событиях безопасности и действиях пользователей системы, отчётов и резервных копий данных;
- сервисы, отвечающие за обработку защищаемого трафика.
В основе PT AF PRO лежат 5 микросервисов, обеспечивающих работу и взаимодействие между собой всех функций устройства:
- Border. Обеспечивает взаимодействие с сервисами обработки трафика;
- Incident Manager. Обеспечивает сохранение и выборку событий безопасности в СУБД ClickHouse;
- Configuration Manager. Отвечает за параметры безопасности и сохранение конфигурации в СУБД PostgreSQL;
- Report Manager. Backup Manager. Используются для размещения в файловом хранилище MinIO крупных бинарных объектов, таких как резервные копии и отчеты;
- REST Proxy. Используется для отправки запросов к REST API и UI
Сам переход на микросервисы с предыдущей версии позволяет:
- Горизонтально масштабировать продукт на произвольное качество вычислительных узлов;
- Устанавливать продукт в распределенной инфраструктуре, при этом собирая информацию в едином окне;
- Независимо настраивать, обновлять и масштабировать каждый компонент под любую нагрузку
Для более качественной работы при масштабировании PT AF PRO позволяет за счёт микросервисов использовать изолированные пространства, так называемые тенанты (англ. tenant).
Параметры каждого изолированного пространства являются индивидуальными. Защищаемые веб-приложения и политики безопасности также являются индивидуальными для каждого пространства. Поэтому при повышении нагрузки на одном из изолированных пространств увеличение количества обработчиков произойдет автоматически, независимо от других пространств. Естественно, пока позволяют системные ресурсы.
PT AF PRO поддерживает работу в режиме нескольких центров обработки данных. В этом случае внутренние сервисы и базы данных останутся в основном ЦОД, а трафик дополнительного ЦОД останется в его пределах.
Кластер в PT AF PRO собирается исключительно из 3 элементов и масштабируется нечетным количеством: 3, 5, 7 и т. д.
Кроме этого, может быть использовано агентное масштабирование. Внешний агент может быть развёрнут как в дополнительном центре обработки данных, так и в той же сети, что и базовые узлы кластера. Развертывание может быть выполнено как на виртуальной машине, так и на физическом сервере. Взаимодействие агента и основного PT AF PRO будет осуществляться по отдельному каналу связи, получая обновление по настройкам политик и передавая сведения о событиях безопасности.
Kubernetes позволяет строить сложные схемы взаимодействия между запущенными в нём сервисами. Минимальной рабочей единицей приложения в Kubernetes является под.
Под представляет собой несколько контейнеров, тесно связанных между собой. Они работают за счёт распределения трафика Ingress’ом, который маршрутизирует запросы на нужное приложение.
Помимо подов, в Kubernetes есть распределительный сервис. Сервис — внутренняя сущность Kubernetes, позволяющая обращаться к приложению независимо от количества доступных подов. Так же он оперирует информацией о них в своем приложении для распределения нагрузки. Если одно приложение в Kubernetes обращается к другому, то запрос попадет на сервис второго приложения и дальше уже распределится на один из подов.
Система реализована таким образом, что запросы из любых источников к защищаемому приложению будут проверяться. При этом выбрав, где это нужно и перед какими приложениями, а не как классический обратный прокси-сервер перед всеми приложениями. Т. е даже если запрос отправляет другое защищаемое приложение, то он также будет перепроверен.
Внешняя балансировка
Помимо агента и кластеризации, PT AF PRO позволяет настроить внешний балансировщик, который будет распределять трафик между элементами кластера. Осуществляет он это посредством отправки запросов HealthCheck и анализируя ответы на них.
Как и при масштабируемости, внешний балансировщик может быть развернут в дополнительном ЦОД или в той же сети, что и базовые узлы кластера, а также может быть выполнено как на виртуальной машине, так и на физическом сервере.
Лицензирование
Лицензии делятся на срочные и бессрочные. После отключения программного ключа или по окончании действия срочной лицензии PT AF PRO продолжит обработку трафика, но перестанет доставлять обработчикам параметры конфигурации, используемые для защиты приложений (в том числе параметры правил и исключений). Кроме того, станут недоступными все разделы веб-интерфейса, не связанные с загрузкой и активацией лицензии.
Бессрочная лицензия ограничена только сроком технической поддержки Positive Technologies и возможностью обновлять базу знаний через веб-интерфейс. После отключения поддержки PT AF продолжает обработку трафика. Веб-интерфейс системы не блокируется.
Лицензии различаются по производительности системы и по количеству узлов. Производительность учитывается для всей системы в целом, включая все подключенные агенты.
Минимальное количество базовых узлов для кластерной установки: 3.
Для крупных инсталляций требуется большее количество узлов. Общее количество базовых узлов всегда может быть только нечётным, как упоминалось ранее. Однако количество дополнительных узлов обработки трафика в кластере может быть любым.
Основным параметром лицензирования является полоса пропускания трафика в Мбит/с. По нему же происходит категоризирование лицензий. Полоса пропускания трафика — это сумма всего трафика, проходящего через все обработчики трафика PT AF PRO (включая внешние агенты).
Полоса распределяется между подключенными обработчиками трафика динамически. Если через один из обработчиков трафик не проходит, то и полоса пропускания на него не расходуется.
Возможная полоса пропускания системы в стандартном варианте поставки: 100, 300, 500, 1000, 2000, 5000, 10 000, 15 000 Мбит/с и далее с шагом 5000 Мбит/с. Максимально допустимый объем трафика для установки на одном узле — 1000 Мбит/с.
Самой простой является лицензия на один сервер (Standalone) через который идет трафик и на котором находятся сервисы для параметров безопасности и хранения атак.
Если от PT AF PRO требуется повышенная отказоустойчивость, рекомендуется приобрести расширенную лицензию на кластер из трех узлов. Отказоустойчивый кластер продолжит полноценную работу даже при выходе из строя одного из узлов. Максимальная полоса пропускания для кластера из трех узлов — 2000 Мбит/с.
В следующей статье мы рассмотрим варианты установки PT AF PRO и на примере с esxi покажем его развертывание.
До встречи на TS University!
TS University делает большой шаг в сторону доступности знаний. Мы самые популярные статьи портала для вас.Теперь вы можете свободно изучать и делиться понравившимися материалами с коллегами без регистрации на сайте!
