По вашему запросу ничего не найдено :(
Убедитесь, что запрос написан правильно, или посмотрите другие
наши статьи:
Облачная инфраструктура обладает такими преимуществами, как гибкость, масштабируемость, высокая производительность и доступность. После подписки на такую услугу, как Google Cloud Platform (GCP), вам не придется беспокоиться о высоких капитальных затратах и затратах на обслуживание эквивалентного собственного центра обработки данных и связанной с ним инфраструктуры. Однако традиционные методы обеспечения безопасности физической инфраструктуры не обеспечивают достаточной и оперативной безопасности для виртуальных сред.
В отличие от собственного центра обработки данных, в котором защита периметра обеспечивает защиту всей установки и ресурсов, природа облачной среды с различными технологиями и местоположениями требует иного подхода. Обычно децентрализованный и динамический характер облачной среды приводит к увеличению поверхности атаки.
В частности, неправильные настройки на облачных платформах и компонентах открывают доступ к ресурсам, увеличивая скрытые риски безопасности. Иногда разработчики могут открыть хранилище данных при разработке программного обеспечения, но затем оставить его открытым при выпуске приложения на рынок.
Таким образом, в дополнение к передовым практикам в области безопасности необходимо обеспечить правильную конфигурацию, а также возможность обеспечения непрерывного мониторинга, видимости и соответствия нормативным требованиям.
Именно для таких целей существует несколько инструментов, помогающих повысить безопасность за счет обнаружения и предотвращения неправильных настроек, обеспечения видимости состояния безопасности GCP, а также выявления и устранения других уязвимостей.
1. Google Cloud SCC
Google Cloud SCC - это интегрированная система анализа рисков и инструментальной панели, которая позволяет клиентам GCP мониторить состояние безопасности своей инфрастурктуры и предпринять корректирующие действия для защиты облачных ресурсов и активов из единого окна.
Cloud SCC (Security Command Center) обеспечивает видимость ресурсов, работающих в облачной среде Google, а также неправильных настроек представляющих риск взлома, что позволяет командам снизить угроз. Кроме того, комплексный инструмент управления безопасностью и рисками данных помогает клиентам GCP применять передовые практики безопасности.
Базовый командный центр состоит из нескольких средств безопасности от Google. Однако это гибкая платформа, которая интегрируется с широким спектром сторонних инструментов для повышения безопасности и расширения охвата с точки зрения компонентов, рисков и практик.
Основные возможности Google Cloud SCC
Обнаружение и устранение неправильно настроенных, таких как брандмауэры, правила IAM и т.д.
Обнаружение, реагирование и предотвращение угроз и проблем соответствия нормативным требованиям
Выявление большинства уязвимостей вроде смешанного содержимого, флэш-инъекции и многих других, позволяя при этом легко исследовать результаты.
Определение общедоступных ресурсов, таких как виртуальные машины, экземпляры SQL, сегменты, наборы данных и т.д.
Обнаружение и инвентаризация активов, выявление уязвимостей, конфиденциальных данных и аномалий,
Интегрируется со сторонними инструментами для улучшения идентификации и адресации скомпрометированных конечных точек, сетевых атак, DDoS, нарушений политик и нормативно-правового соответствия, уязвимостей и угроз.
Как правило, центр управления безопасностью представляет собой гибкое решение, отвечающее потребностям каждой организации. Инструмент интегрируется с различными инструментами безопасности Google, такими как Cloud Data Loss Prevention, Web Security Scanner, а также с решениями сторонних производителей, такими как McAfee, Qualys, CloudGuard и другими.
2. Forseti
Forseti - это решение с открытым исходным кодом, который помогает получить представление о вашей среде GCP, устранить уязвимости, а также отслеживать и понимать политики и соответствие нормативным требованиям. Он состоит из различных базовых модулей, которые можно легко включать, настраивать и выполнять независимо.
Существует также несколько дополнительных модулей для расширения возможностей и настройки Forseti.
Основные возможности Forseti
Отслеживает ресурсы GCP, на наличие правильно настроенных функций безопасности, вроде контроля доступа и защищает их от несанкционированных изменений.
Выполняет инвентаризацию ресурсов и отслеживает среду GCP.
Разработка и применение политик и правил безопасности и межсетевого экрана
Оценка параметров на соответствие требованиям и отсутствие утечек и лишних доступов к ресурсам GCP.
Исследование политик Cloud Identity and Access Management (Cloud IAM), а также уровня доступов пользователей к ресурсам.
Имеет визуализатор, который помогает понять структуру безопасности GCP, а также выявить несоблюдение политик и нарушения.
3. Cloud Guard
CloudGuard - это облачное безагентное решение для обеспечения безопасности, которое оценивает и визуализирует состояние безопасности платформы GPC, тем самым позволяя группам защитить свои облачные ресурсы и среду. Решение анализирует различные ресурсы, включая вычислительный механизм, базы данных, виртуальные машины и другие службы, а также сетевые брандмауэры и многое другое.
Основные возможности Cloud Guard
Непрерывный мониторинг политик и событий безопасности, обнаружение изменений и проверку соответствия требованиям.
Выявление и устранение неправильных настроек, а также уязвимостей и связанных с ними угроз безопасности.
Укрепление безопасности и обеспечение соответствия нормативам и передовым практикам.
Мощная визуализация и безопасность сетевых ресурсов GCP
Легко интегрируется с GCP, а также с другими общедоступными облаками, такими как веб-службы Amazon и Microsoft Azure.
Применение политик управления, которые удовлетворяют уникальные потребности организации в безопасности.
4. Cloudsploit
Cloudsploit - это мощное решение, которое проверяет и автоматически обнаруживает проблемы конфигурации безопасности в Google Cloud Platform, а также в других общедоступных облачных сервисах, таких как Azure, AWS, Github и Oracle.
Решение безопасности подключается к проектам GCP, где обеспечивает мониторинг различных компонентов. Оно обеспечивает обнаружение неправильных настроек безопасности, вредоносных действий, незащищенных активов и других уязвимостей.
Особенности Cloudsploit
Простое развертывание и использование решения для мониторинга конфигурации безопасности с функцией оповещения
Быстрое и надежное сканирование точек и создание отчетов
Дает представление о состоянии безопасности и нормативно-правовом соответствии
Проверяет системы при анализе привилегий, ролей, сетей, сертификатов, тенденций использования, аутентификации и различных конфигураций.
Предоставляет обзоры уровня счета, которые позволяют просматривать и легко определять тенденции и относительные уровни риска с течением времени.
Конструкция на основе API, которая упрощает интеграцию инструмента с различными панелями мониторинга CISO и другими системами отчетности.
5. Prisma Cloud
Prisma cloud - интегрированное облачное решение, обеспечивающее надлежащее внедрение и поддержку безопасности и соответствия требованиям GCP-среды, приложений и ресурсов.
Комплексный инструмент имеет API-интерфейсы, которые легко интегрируются со службой GCP, обеспечивая непрерывную аналитику, защиту и отчетность в дополнение к обеспечению соответствия нормативным требованиям.
Особенности Prisma Cloud
Комплексное масштабируемое решение для обеспечения безопасности на основе API, обеспечивающее анализ, непрерывный мониторинг, обнаружение угроз и быстрое реагирование.
Полная видимость, позволяющая выявлять и устранять неправильные конфигурации, уязвимости рабочей нагрузки, сетевые угрозы, утечку данных, небезопасные действия пользователей и многое другое
Защищает рабочие нагрузки, контейнеры и приложения, работающие на облачной платформе Google.
Настраиваемое применение политик безопасности на основе приложений, пользователей или устройств.
Простое применение политик управления и соблюдение широкого спектра стандартов, включая, в частности, NIST, CIS (Центр интернет-безопасности), GDPR, HIPAA и PCI.
6. Cloud Custodian
Cloud custodian - это система правил с открытым исходным кодом, гибкая и легкая система управления облачной безопасностью и доступами. Решение позволяет безопасно управлять учетными записями и ресурсами GCP. В дополнение к безопасности интегрированное решение помогает оптимизировать затраты, управляя использованием ресурсов, что позволяет экономить средства.
Особенности Cloud Custodian
Обеспечение соблюдения политик безопасности и соответствия нормативным требованиям в реальном времени в таких областях, как управление доступом, правила межсетевого экрана, шифрование, теги, сбор мусора, автоматизированное управление ресурсами в нерабочее время и т.д.
Предоставляет унифицированные метрики и отчеты
Легко интегрируется с функциями Google Cloud Platform
Автоматическое предоставление GCP AuditLog и других функций без сервера.
7. McAfee MVISION
McAfee MVISION - это решение для обеспечения безопасности, которое интегрируется с Google Cloud SCC и позволяет командам получать информацию о состоянии безопасности ресурсов GCP, обнаруживать и устранять уязвимости и угрозы.
Кроме того, "облачное" решение обеспечивает аудит конфигурации, который позволяет группам безопасности выявлять скрытые риски и устранять их. Данный продукт имеет механизмы облачной политики, которые улучшают запросы GCP, что позволяет находить широкий спектр неправильных настроек безопасности в различных службах GCP.
Особенности McAfee MVISION
Предоставляет информацию, которая помогает группам выявлять и устранять проблемы безопасности и несоответствия нормативным требованиям.
Повышает эффективность и охват аудита конфигураций для обнаружения скрытых уязвимостей, что позволяет командам применять передовые практики.
Обеспечивает видимость, чтобы предоставить командам возможность расследовать инциденты, аномалии, нарушения и угрозы безопасности, что позволяет быстро выполнять действия по устранению неполадок в командном центре облачной безопасности.
Уведомления об угрозах безопасности или нарушениях политики.
Визуализация уязвимостей и угроз на панелях мониторинга Google Cloud SCC.
8. Netskope
Netskope позволяет быстро выявлять и устранять проблемы безопасности, угрозы и неправильные настройки, которые подвергают цифровые ресурсы угрозам атак.
В дополнение к GSCC в защите вычислительных экземпляров, объектного хранилища, баз данных и других ресурсов, Netskope углубляется и расширяется, чтобы получить представление о неправильных конфигурациях, расширенных угрозах и рисках.
Особенности Netskope
Предоставляет информацию об угрозах, уязвимостях, неправильных конфигурациях и нормативно-правовом несоответствии на облачной платформе Google в режиме реального времени.
Выявление и устранение любых уязвимостей, неправильных настроек, несоответствий нормативным требованиям и угроз безопасности.
Постоянно отслеживает настройки безопасности и проверяет их на соответствие передовым практикам. Выявляет проблемы и обеспечивает соблюдения стандартов на основе передовых практики и контрольных показателей CIS.
Отчетность по соответствию нормативным требованиям - выполняет инвентаризацию ресурсов GCP для определения и сообщения о неправильных конфигурациях и аномалиях.
9. Tripwire
Tripwire Cloud Cybersecurity - это комплексное решение, которое позволяет организациям внедрять эффективные конфигурации безопасности и средства управления, предотвращая тем самым раскрытие своих цифровых ресурсов. Она сочетает в себе функции управления конфигурациями, оценки управления облаком (CMA) и мониторинга целостности файлов для определения общедоступных ресурсов и данных в GCP.
Ключевые функции Tripwire
Обнаружение и обращение к общедоступным хранилищам GCP или экземплярам для обеспечения надлежащей конфигурации и безопасности данных.
Собирает, анализирует, а затем оценивает данные конфигурации GCP, что позволяет выявлять и устранять неправильные конфигурации.
Мониторинг изменений конфигурации, которые ставят под угрозу облако GCP или открывают ресурсы
Оценщик управления облаком Tripwire отслеживает работу облачной платформы Google Cloud Platform на предмет неправильных настроек, при которых она предупреждает группы безопасности о необходимости исправления.
10. Scout Suite
Scout Suite - инструмент аудита безопасности с открытым исходным кодом для GCP и других общедоступных облаков. Она позволяет группам безопасности оценивать состояние безопасности в средах GCP, выявлять неправильную конфигурацию и другие уязвимости.
Инструмент проверки конфигурации Scout Suite легко взаимодействует с API, которые предоставляет Google, для сбора и анализа данных о состоянии безопасности. Затем она выделяет все обнаруженные уязвимости.
11. Aqua Security
Aqua Security - это платформа, которая предоставляет организациям визуальное представление о GCP и других AWS, Oracle Cloud, Azure. Она упрощает обеспечение соответствия политикам и нормативам.
Aqua интегрируется с Cloud Security Command Center компании Google, другими решениями сторонних производителей, а также инструментами анализа и мониторинга. Это обеспечивает возможность просмотра и управления безопасностью, политиками и соответствием нормативным требованиям буквально через один центр.
Особенности Aqua Security
Сканирование образов, выявление и устранение неправильных настроек, вредоносных программ и уязвимостей
Обеспечение целостности образов в течение всего жизненного цикла приложения
Определение и обеспечение соблюдения привилегий и стандартов соответствия, таких как PCI, GDPR, HIPAA и т.д.
Обеспечивает расширенные меры по обнаружению угроз и их устранению для рабочих нагрузок контейнеров GCP.
Создание и применение политик безопасности на образы для предотвращения запуска скомпрометированных, уязвимых или неправильно настроенных образов в среде Google Kubernetes Engine
Платформа логирует все действия создавая аудиторскую траекторию для криминалистики.
Он обеспечивает непрерывное сканирование параметров для поиска уязвимостей и аномалий.
12. GCPBucketBrute
GCPBucketBrute - это настраиваемое и эффективное решение защиты с открытым исходным кодом для обнаружения открытых или неправильно настроенных сегментов Google Storage. Как правило, это сценарий, который перечисляет сегменты хранилища Google, чтобы установить наличие небезопасной конфигурации и эскалации привилегий.
Особенности GCPBucketBrute
Обнаруживает открытые сегменты GCP, а также опасные эскалации привилегий на запущенных экземплярах на платформе.
Проверяет привилегии в каждом обнаруженном сегменте и определяет, если ли риск несанкционированного повышения привилегий.
Подходит для тестирования на проникновение облачной инфраструктуры Google, участия красной команды и многого другого.
13. Cloud Security Suit
Security FTW Cloud Security Suite является еще одним открытым источником для аудита состояния безопасности инфраструктуры GCP. Решении "все в одном" позволяет проверять конфигурации и безопасность учетных записей GCP и выявлять широкий спектр уязвимостей.
Заключение
Облачная платформа Google предоставляет гибкую и масштабируемую ИТ-инфраструктуру. Однако, как и в других облачных средах, они могут иметь уязвимости, если не настроены должным образом, и злоумышленники могут использовать их для компрометации систем, кражи данных, заражения вредоносными программами или совершения других кибератак.
К счастью, компании могут защитить свои среды GCP, следуя передовым практикам обеспечения безопасности и используя надежные инструменты для непрерывной защиты, мониторинга и обеспечения видимости конфигураций и общего состояния безопасности.
Несмотря на доступ к все более эффективному и мощному оборудованию, операции, выполняемые непосредственно на традиционных физических (или «чистых») серверах, неизбежно сталкиваются со значительными практическими ограничениями. Стоимость и сложность создания и запуска одного физического сервера говорят о том, что эффективное добавление и удаление ресурсов для быстрого удовлетворения меняющихся потребностей затруднено, а в некоторых случаях просто невозможно. Безопасное тестирование новых конфигураций или полных приложений перед их выпуском также может быть сложным, дорогостоящим и длительным процессом.
Исследователи-первопроходцы Джеральд Дж. Попек и Роберт П. Голдберг в статье 1974 года («Формальные требования к виртуализируемым архитектурам третьего поколения» (“Formal Requirements for Virtualizable Third Generation Architectures”) - Communications of the ACM 17 (7): 412–421) предполагали, что успешная виртуализация должна обеспечивать такую среду, которая:
Эквивалента физическому компьютеру, поэтому доступ программного обеспечения к аппаратным ресурсам и драйверам должен быть неотличим от невиртуализированного варианта.
Обеспечивает полный контроль клиента над аппаратным обеспечением виртуализированной системы.
По возможности эффективно выполняет операции непосредственно на базовых аппаратных ресурсах, включая ЦП.
Виртуализация позволяет разделить физические ресурсы вычислений, памяти, сети и хранилища («основополагающая четверка») между несколькими объектами. Каждое виртуальное устройство представлено в своем программном обеспечении и пользовательской среде как реальный автономный объект. Грамотно настроенные виртуальные изолированные ресурсы могут обеспечить более защиту приложений приложений без видимой связи между средами. Виртуализация также позволяет создавать и запускать новые виртуальные машины почти мгновенно, а затем удалять их, когда они перестанут быть необходимыми.
Для больших приложений, поддерживающих постоянно меняющиеся бизнес-требования, возможность быстрого вертикального масштабирования с повышением или понижением производительности может означать разницу между успехом и неудачей. Адаптивность, которую предлагает виртуализация, позволяет скриптам добавлять или удалять виртуальные машины за считанные секунды, а не недели, которые могут потребоваться для покупки, подготовки и развертывания физического сервера.
Как работает виртуализация?
В невиртуальных условиях, архитектуры х86 строго контролируют, какие процессы могут работать в каждом из четырех тщательно определенных уровней привилегий (начиная с Кольца 0 (Ring 0) по Кольцо 3).
Как правило, только ядро операционной системы хоста имеет какой-либо шанс получить доступ к инструкциям, хранящимся в кольце под номером 0. Однако, поскольку вы не можете предоставить нескольким виртуальным машинам, которые работают на одном физическом компьютере, равный доступ к кольцу 0, не вызывая больших проблем, необходим диспетчер виртуальных машин (или «гипервизор»), который бы эффективно перенаправлял запросы на такие ресурсы, как память и хранилище, на виртуализированные системы, эквивалентные им.
При работе в аппаратной среде без виртуализации SVM или VT-x все это выполняется с помощью процесса, известного как ловушка, эмуляция и двоичная трансляция. На виртуализированном оборудовании такие запросы, как правило, перехватываются гипервизором, адаптируются к виртуальной среде и возвращаются в виртуальную машину.
Простое добавление нового программного уровня для обеспечения такого уровня организации взаимодействия приведет к значительной задержке практически во всех аспектах производительности системы. Одним из успешных решений было решение ввести новый набор инструкций в ЦП, которые создают, так называемое, «кольцо 1», которое действует как кольцо 0 и позволяет гостевой ОС работать без какого-либо влияния на другие несвязанные операции.
На самом деле, при правильной реализации виртуализация позволяет большинству программных кодов работать как обычно, без каких-либо перехватов.
Несмотря на то, что эмуляция часто играет роль поддержки при развертывании виртуализации, она все же работает несколько иначе. В то время как виртуализация стремится разделить существующие аппаратные ресурсы между несколькими пользователями, эмуляция ставит перед собой цель заставить одну конкретную аппаратную/программную среду имитировать ту, которой на самом деле не существует, чтобы у пользователей была возможность запускать процессы, которые изначально было невозможно запустить. Для этого требуется программный код, который имитирует желаемую исходную аппаратную среду, чтобы обмануть ваше программное обеспечение, заставив его думать, что оно на самом деле работает где-то еще.
Эмуляция может быть относительно простой в реализации, но она почти всегда несет за собой значительные потери производительности.
Согласно сложившимся представлениям, существует два класса гипервизоров: Type-1 и Type-2.
Bare-metal гипервизоры (исполняемые на «голом железе») (Type-1), загружаются как операционная система машины и – иногда через основную привилегированную виртуальную машину – сохраняют полный контроль над аппаратным обеспечением хоста, запуская каждую гостевую ОС как системный процесс. XenServer и VMWare ESXi – яркие примеры современных гипервизоров Type-1. В последнее время использование термина «гипервизор» распространилось на все технологии виртуализации хостов, хотя раньше оно использовалось только для описания систем Type-1. Первоначально более общим термином, охватывающим все типы систем, был «Мониторы виртуальных машин». То, в какой степени люди используют термин «мониторы виртуальных машин» все это время, наводит меня на мысль, что они подразумевают «гипервизор» во всех его интерпретациях.
Гипервизоры, размещенные на виртуальном узле (Type-2) сами по себе являются просто процессами, работающими поверх обычного стека операционной системы. Гипервизоры Type-2 (включая VirtualBox и, в некотором роде, KVM) отделяют системные ресурсы хоста для гостевых операционных систем, создавая иллюзию частной аппаратной среды.
Виртуализация: паравиртуализация или аппаратная виртуализация
Виртуальные машины полностью виртуализированы. Иными словами, они думают, что они обычные развертывания операционной системы, которые живут собственной счастливой жизнью на собственном оборудовании. Поскольку им не нужно взаимодействовать со своей средой как-то иначе, чем с автономной ОС, то они могут работать с готовыми немодифицированными программными стеками. Однако раньше за такое сходство приходилось платить, потому что преобразование аппаратных сигналов через уровень эмуляции занимало дополнительное время и циклы.
В случае с паравиртуализацией (PV – Paravirtualization) паравиртуальные гости хотя бы частично осведомлены о своей виртуальной среде, в том числе и том, что они используют аппаратные ресурсы совместно с другими виртуальными машинами. Эта осведомленность означает, что хостам PV не нужно эмулировать хранилище и сетевое оборудование, и делает доступными эффективные драйверы ввода-вывода. На первых порах это позволяло гипервизорам PV достигать более высокой производительности для операций, требующих подключения к аппаратным компонентам.
Тем не менее, для того, чтобы предоставить гостевой доступ к виртуальному кольцу 0 (т.е. кольцу -1), современные аппаратные платформы – и, в частности, архитектура Intel Ivy Bridge – представили новую библиотеку наборов инструкций ЦП, которая позволила аппаратной виртуализации (HVM – Hardware Virtual Machine) обойти узкое место, связанное с ловушкой и эмуляцией, и в полной мере воспользоваться преимуществами аппаратных расширений и немодифицированных операций ядра программного обеспечения.
Также значительно повысить производительность виртуализации может последняя технология Intel – таблицы расширенных страниц (EPT – Extended Page Tables).
В связи с этим, в большинстве случаев можно обнаружить, что HVM обеспечивает более высокую производительность, переносимость и совместимость.
Аппаратная совместимость
Как минимум, несколько функций виртуализации требуют аппаратную поддержку, особенно со стороны ЦП хоста. Именно поэтому вы должны убедиться, что на вашем сервере есть все, что вам необходимо для задачи, которую вы собираетесь ему дать. Большая часть того, что вам нужно знать, храниться в файле /proc/cpuinfo и, в частности, в разделе «flags» (флаги) каждого процессора. Однако вам нужно знать, то искать, потому что флагов будет очень много.
Запустите эту команду, чтобы посмотреть, что у вас под капотом:
$ grep flags /proc/cpuinfo
Контейнерная виртуализация
Как мы уже видели ранее, виртуальная машина гипервизора – это полноценная операционная система, чья связь с аппаратными ресурсами «основополагающей четверки» полностью виртуализирована – она думает, что работает на собственном компьютере.
Гипервизор устанавливает виртуальную машину из того же ISO-образа, который вы загружаете и используете для установки операционной системы непосредственно на пустой физический жесткий диск.
Контейнер в свою очередь фактически представляет собой приложение, запускаемое из скриптообразного шаблона, которое считает себя операционной системой. В контейнерных технологиях, таких как LXC и Docker, контейнеры – это не что иное, как программные и ресурсные (файлы, процессы, пользователи) средства, которые зависят от ядра хоста и представления аппаратных ресурсов «основополагающей четверки» (т.е. ЦП, ОЗУ, сеть и хранилище) для всего, то они делают.
Конечно, с учетом того, что контейнеры фактически являются изолированными расширениями ядра хоста, виртуализация Windows (или более старых или новых версий Linux с несовместимыми версиями libc), например, на хосте Ubuntu 16.04 будет сложна или невозможна. Но эта технология обеспечивает невероятно простые и универсальные вычислительные возможности.
Перемещение
Модель виртуализации также позволяет использовать широкий спектр операций перемещения, копирования и клонирования даже из действующих систем (V2V). Поскольку программные ресурсы, определяющие виртуальную машину и управляющие ею, очень легко идентифицировать, то обычно не требуется очень много усилий для дублирования целых серверных сред в нескольких местах и для разных целей.
Иногда это не сложнее, чем создать архив виртуальной файловой системы на одном хосте, распаковать его на другом хосте по тому же пути, проверить основные сетевые настройки и запустить. Большинство платформ предлагают единую операцию командной строки для перемещения гостей между хостами.
Перемещение развертываний с физических серверов на виртуализированные среды (P2V) иногда может оказаться немного сложнее. Даже создание клонированного образа простого физического сервера и его импорт в пустую виртуальную машину может сопровождаться определенными трудностями. И как только все это будет выполнено, вам, возможно, придется внести некоторые корректировки в системную архитектуру, чтобы можно было использовать возможности, предлагаемые виртуализацией, в полную силу. В зависимости от операционной системы, которую вы перемещаете, вам также может потребоваться использование паравиртуализированных драйверов для того, чтобы ОС могла корректно работать в своем «новом доме».
Как и в любых других ситуациях управления сервером: тщательно все продумывайте заранее.
Классификация сама по себе не приводит к определенному состоянию переадресации со стороны сетевого устройства. Скорее, классификация трафика - это первый необходимый шаг в создании основы для дифференцированного поведения пересылки. Другими словами, пакеты были классифицированы и дифференцированы, но это все. Выявление различий - это не то же самое, что дифференцированные действия с этими классами.
Наше обсуждение QoS теперь переходит в сферу политики. Как управлять перегруженными интерфейсами? Когда пакеты ожидают доставки, как сетевое устройство решает, какие пакеты будут отправлены первыми? Точки принятия решения основаны в первую очередь на том, насколько хорошо пользовательский интерфейс может выдерживать джиттер, задержку и потерю пакетов. Для решения этих проблем возникают различные проблемы и инструменты QoS.
Своевременность: организация очередей с малой задержкой
Сетевые интерфейсы пересылают пакеты как можно быстрее. Когда трафик проходит со скоростью, меньшей или равной пропускной способности выходного интерфейса, трафик доставляется по одному пакету за раз, без каких-либо проблем. Когда интерфейс может соответствовать предъявляемым к нему требованиям, перегрузки не возникает. Без перегрузок нет необходимости беспокоиться о дифференцированных типах трафика. Отметки на отдельных пакетах можно наблюдать в статистических целях, но политики QoS, которую нужно применять, нет. Трафик поступает на выходной интерфейс и доставляется.
Как было рассказано ранее в лекции "Коммутация пакетов", пакеты доставляются в кольцо передачи после коммутации. Физический процессор исходящего интерфейса удаляет пакеты из этого кольца и синхронизирует их с физической сетевой средой. Что произойдет, если будет передано больше пакетов, чем может поддерживать канал связи? В этом случае пакеты помещаются в очередь, выходную очередь, а не в кольцо передачи. Политики QoS, настроенные на маршрутизаторе, фактически реализуются в процессе удаления пакетов из очереди вывода на кольцо передачи для передачи. Когда пакеты помещаются в очередь вывода, а не в кольцо передачи, интерфейс считается перегруженным.
По умолчанию перегруженные сетевые интерфейсы доставляют пакеты в порядке очереди (FIFO). FIFO не принимает стратегических решений на основе дифференцированных классов трафика; скорее, FIFO просто обслуживает буферизованные пакеты по порядку настолько быстро, насколько это позволяет выходной интерфейс. Для многих приложений FIFO - неплохой способ удаления пакетов из очереди. Например, в реальном мире может быть небольшое влияние, если пакет протокола передачи гипертекста (HTTP, протокол, используемый для передачи информации World Wide Web) с одного веб-сервера передается раньше, чем пакет с другого веб-сервера.
Для других классов трафика большое внимание уделяется своевременности. В отличие от FIFO, некоторые пакеты следует переместить в начало очереди и отправить как можно быстрее, чтобы избежать задержки и влияния на работу конечного пользователя. Одно из последствий - это пакет, прибывающий слишком поздно, чтобы быть полезным. Другой удар заключается в том, что пакет вообще не поступает. Стоит рассмотреть каждый из этих сценариев, а затем несколько полезных инструментов QoS для каждого.
Голосовой трафик по IP (VoIP) должен вовремя. При рассмотрении голосового трафика подумайте о любом голосовом чате в реальном времени, который осуществляется через Интернет с помощью такого приложения, как Skype. В большинстве случаев качество связи приличное. Вы можете слышать другого человека. Этот человек может вас слышать. Разговор протекает нормально. С таким же успехом вы можете находиться в одной комнате с другим человеком, даже если он находится на другом конце страны.
Иногда качество звонков VoIP может снижаться. Вы можете услышать серию субсекундных заиканий в голосе человека, при этом скорость передачи голоса нерегулярна. В этом случае вы испытываете джиттер, что означает, что пакеты не поступают стабильно вовремя. Чрезмерно длинные промежутки между пакетами приводят к слышимому эффекту заикания. Хотя пакеты не были потеряны, они не были своевременно доставлены по сетевому пути. Где-то по пути пакеты задерживались достаточно долго, чтобы появились слышимые артефакты. На рисунке 5 показан джиттер при пакетной передаче.
Качество вызова VoIP также может пострадать из-за потери пакетов, когда пакеты на сетевом пути были сброшены по пути. Хотя существует множество потенциальных причин потери пакетов в сетевых путях, рассмотренный здесь сценарий - это "отбрасывание хвоста", когда поступило такое количество трафика, которое выходит за пределы возможностей выходного интерфейса, и в буфере не остается места для добавления в очередь дополнительных излишков. В результате отбрасываются самые последние поступления трафика; это падение называется хвостовым падением.
Качество вызова VoIP также может пострадать из-за потери пакетов, когда пакеты на сетевом пути были сброшены по пути. Хотя существует множество потенциальных причин потери пакетов в сетевых путях, рассмотренный здесь сценарий - это "отбрасывание хвоста", когда поступило такое количество трафика, которое выходит за пределы возможностей выходного интерфейса, и в буфере не остается места для добавления в очередь дополнительных излишков. В результате отбрасываются самые последние поступления трафика; это падение называется хвостовым падением.
Когда трафик VoIP отбрасывается, слушатель слышит результат потери. Есть пробелы, в которых голос говорящего полностью отсутствует. Отброшенные пакеты могут проходить в виде тишины, поскольку последний бит принятого звука зацикливается, чтобы заполнить пробел, продолжительное шипение или другой цифровой шум. На рисунке ниже показаны отброшенные пакеты через маршрутизатор или коммутатор.
Чтобы обеспечить стабильное качество вызовов даже в условиях перегруженности сетевого пути, необходимо применять схему приоритезации QoS. Эта схема должна соответствовать следующим критериям.
Трафик VoIP должен быть доставлен: потеря пакетов VoIP приводит к слышимому прерыванию разговора.
Трафик VoIP должен доставляться вовремя: задержка или прерывание пакетов VoIP приводит к слышимым заиканиям.
Трафик VoIP не должен ограничивать пропускную способность других классов трафика: так же важно, как и VoIP, хорошо написанные политики QoS уравновешивают своевременную доставку голосовых пакетов с необходимостью для других классов трафика также использовать канал.
Распространенной схемой, используемой для определения приоритетов трафика, чувствительного к потерям и jitter, является организация очередей с низкой задержкой (LLQ). Никакие RFC IETF не определяют LLQ; скорее, поставщики сетевого оборудования изобрели LLQ в качестве инструмента в наборе политик QoS для определения приоритетов трафика, требующего низкой задержки, jitter и потерь, например, голоса.
LLQ есть два ключевых элемента.
Трафик, обслуживаемый LLQ, передается как можно быстрее, чтобы избежать задержки и минимизировать джиттер.
Трафик, обслуживаемый LLQ, не может превышать определенный объем полосы пропускания (обычно рекомендуется не более 30% доступной полосы пропускания). Трафик, превышающий предел пропускной способности, скорее отбрасывается, чем передается. Этот метод позволяет избежать потери трафика других классов.
В этой схеме подразумевается компромисс для услуг классов трафика посредством LLQ. Трафик будет обслуживаться как можно быстрее, эффективно перемещая его в начало очереди, как только он обнаруживается на перегруженном интерфейсе. Загвоздка в том, что существует ограничение на то, сколько трафика в этом классе будет обрабатываться таким образом. Это ограничение налагается сетевым инженером, составляющим политику QoS.
В качестве иллюстрации предположим, что канал WAN имеет доступную пропускную способность 1024 Кбит/с. Этот канал соединяет головной офис с облаком WAN поставщика услуг, которое также соединяет несколько удаленных офисов с головным офисом. Это загруженный канал WAN, по которому проходит трафик VoIP между офисами, а также трафик веб-приложений и резервный трафик время от времени. Кроме того, предположим, что система VoIP кодирует голосовой трафик с помощью кодека, требующего 64 Кбит/с на разговор.
Теоретически, этот канал с пропускной способностью 1024 Кбит/с может обеспечить одновременные разговоры VoIP 16 × 64 Кбит/с. Однако это не оставит места для других типов трафика, которые присутствуют. Это занятое соединение WAN! Решение должно быть принято при написании политики QoS. Сколько голосовых разговоров будет разрешено LLQ, чтобы избежать нехватки оставшегося трафика полосы пропускания? Можно было бы сделать выбор, чтобы ограничить LLQ пропускной способностью только 512 Кбит/с, что было бы достаточно для обработки восьми одновременных разговоров, оставив остальную часть канала WAN для других классов трафика.
Предполагая, что канал перегружен, что произойдет с девятым разговором VoIP, если он должен находиться в ситуации, чтобы политика QoS была эффективной? Этот вопрос на самом деле наивен, потому что он предполагает, что каждый разговор обрабатывается отдельно политикой QoS. Фактически, политика QoS рассматривает весь трафик, обслуживаемый LLQ, как одну большую группу пакетов. После присоединения девятого разговора VoIP будет трафик на 576 Кбит/с, который будет обслуживаться LLQ, которому выделено только 512 Кбит/с. Чтобы найти количество отброшенного трафика, вычтите общий трафик, выделенный для LLQ, из общего предлагаемого трафика: 576 Кбит/с - 512 Кбит/с = 64 Кбит/с трафик LLQ будет отброшен в соответствии с ограничением полосы пропускания. Отброшенные 64 Кбит/с будут исходить от класса трафика LLQ в целом, что повлияет на все разговоры VoIP. Если десятый, одиннадцатый и двенадцатый разговор VoIP присоединиться к LLQ, проблема станет более серьезной. В этом случае 64 Кбит/с × 4 = 256 Кбит/с несоответствующего трафика, который будет отброшен из LLQ, что приведет к еще большим потерям во всех разговорах VoIP.
Как показывает этот пример, для управления перегрузкой необходимо знать состав приложений, время пиковой нагрузки, требования к полосе пропускания и доступные варианты сетевой архитектуры. Только после того, как будут учтены все моменты, можно найти решение, отвечающее бизнес-целям. Например, предположим, что 1024 Кбит/с - это максимальное значение, которое вы можете сделать для линии дальней связи из-за ограничений по стоимости. Вы можете увеличить ограничение полосы пропускания LLQ до 768 Кбит/с, чтобы обеспечить 12 разговоров со скоростью 64 Кбит/с каждый. Однако для другого трафика останется только 256 Кбит/с, чего, возможно, недостаточно для удовлетворения потребностей вашего бизнеса в других приложениях.
В этом случае можно согласовать с администратором системы голосовой связи использование голосового кодека, требующего меньшей полосы пропускания. Если новый кодек, требующий только 16 Кбит/с полосы пропускания на вызов, развернут вместо исходных 64 Кбит/с, 32 разговора VoIP могут быть перенаправлены без потерь через LLQ с выделенной полосой пропускания 512 Кбит/с. Компромисс? Качество голоса. Человеческий голос, закодированный со скоростью 64 Кбит/с, будет звучать более четко и естественно по сравнению с голосом, закодированным на скорости 16 Кбит/с. Также может быть лучше кодировать со скоростью 16 Кбит/с, чтобы отбрасывать меньше пакетов и, следовательно, общее качество лучше. Какое решение применить, будет зависеть от конкретной ситуации.
Через интерфейс может пройти больше трафика, чем указано в ограничении полосы пропускания LLQ. Если ограничение полосы пропускания для трафика, обслуживаемого LLQ, установлено на максимум 512 Кбит/с, возможно, что трафик класса более чем на 512 Кбит/с пройдет через интерфейс. Такое запрограммированное поведение проявляется только в том случае, если интерфейс не перегружен. В исходном примере, где используется кодек 64 Кбит/с, передача 10 разговоров со скоростью 64 Кбит/с по каналу приведет к передаче голосового трафика 640 Кбит/с по каналу пропускной способности 1024 Кбит/с (1024 Кбит/с - 640 Кбит/с = 384 Кбит/с осталось). Пока все другие классы трафика остаются ниже общего использования полосы пропускания 384 Кбит / с, канал не будет перегружен. Если канал не перегружен, политики QoS не вступают в силу. Если политика QoS не действует, то ограничение полосы пропускания LLQ в 512 Кбит/с не влияет на 640 Кбит/с агрегированного голосового трафика.
В этой статье о LLQ контекстом был голосовой трафик, но имейте в виду, что LLQ может применяться к любому желаемому виду трафика. Однако в сетях, где присутствует VoIP, VoIP обычно является единственным трафиком, обслуживаемым LLQ. Для сетей, в которых нет трафика VoIP, LLQ становится интересным инструментом, гарантирующим своевременную доставку с малой задержкой и дрожанием других видов трафика приложений. Однако LLQ - не единственный инструмент, доступный для составителя политики QoS. Также пригодятся несколько других инструментов.