«Узкие горлышки» сетевой инфраструктуры: как не потерять деньги

Каким угрозам подвержен бизнес, какие проблемы совместимости могут всплыть при интеграции с новыми сервисами, чем грозит износ оборудования и почему даже самые мощные серверы и современные компьютеры могут не оправдать ожиданий из-за неправильно построенной сети. А главное — как построить все правильно? Разбирались с руководителем отдела технической экспертизы Axoft Михаилом Васютиным.

Многие компании в погоне за экономией или по незнанию продолжают эксплуатировать сетевое оборудование, которое давно снято с продажи и/или прекратило получать поддержку от производителя. Казалось бы, «работает — и ладно». Однако такой подход может обернуться серьезными рисками для стабильности и развития бизнеса: уязвимостями в виде безопасности на уровне ПО, проблемами совместимости с новым оборудованием и ограничениями, связанными с технологической зрелостью и производительностью «железа».

Обновляй и проверяй

Согласно оценке Positive Technologies, доля успешных хакерских атак на промышленные предприятия составила 17% и почти не уступает количеству нападений на госсектор. Далее в «виш-листе» киберпреступников — финансовые организации (11%), ИT-компании (9%), телеком-бизнес (7%). На торговлю и транспорт пришлось по 6% успешных кибератак. Главная причина такой уязвимости — отсутствие обновлений с 2022 года, то есть — с момента, когда иностранные разработчики прекратили поддержку своих продуктов.

Когда производитель больше не выпускает патчи для уязвимостей, которые со временем можно обнаружить, это делает оборудование потенциальной целью для атак, особенно если оно подключено к Интернету. Кроме того, в старом коде могут находиться «спящие» уязвимости: они не были обнаружены вами, но могут быть найдены злоумышленниками. Старое оборудование также может не поддерживать новые протоколы шифрования и аутентификации, что опять же делает сеть более уязвимой для нападения.

Старый друг — не лучше новых двух

«Железо» не существует в отрыве от инфраструктуры, и со временем начинает создавать проблемы всему вокруг. Например, «конфликтует» с новым оборудованием: при попытке подключить ранее не используемые компьютеры, IP-телефоны или Wi-FI-сети к устаревшему коммутатору могут возникать необъяснимые сбои, падения скорости и обрывы связи. Новые протоколы и стандарты просто могут не поддерживаться.

Нередко возникают конфликты и внутри уже существующей сети: из-за разных версий ПО и различия в реализации того или иного их функционала могут возникнуть ошибки и некорректная совместная работа оборудования. Такие моменты повышают нагрузку на ИТ-службы, которые вынуждены настраивать и поддерживать сеть, собранную из «зоопарка» устройств. А наличие в сети неуправляемых коммутаторов делают невозможным, например, реализацию протоколов по разделению и управлению приоритизацией трафика.

Внедрение современных сервисов, IoT-устройств или систем видеонаблюдения с большой пропускной способностью на устаревшем сетевом оборудовании может быть невозможно. «Старое железо» может также не справиться с возросшими нагрузками и новыми требованиями к трафику.

Не держись за то, что изжило себя

В качестве примера разберем один из кейсов из практики нашей команды технических специалистов. У российской отраслевой компании возникла потребность в организации высокопроизводительного кластера виртуализации с выделенной сетью хранения данных (SAN), которая уже была организована на базе «ветерана» — Brocade 300. Но требования к СХД оказались достаточно высокими по части производительности (All-Flash конфигурация) и пропускной способности (на уровне 100Гбит/сек).

В этом случае данную производительность нереально выдать даже на самых «топовых» системах хранения данных. И как ни старайся конфигурировать массивы и саму систему — все будет упираться в сетевой канал. Решение проблемы очевидно: нужно поставить новый SAN-Switch на более высокой скорости. И по нашим расчетам этого можно было добиться на 16G скорости — с учетом агрегации каналов. Тем не менее, встал логичный вопрос, что делать с Brocade 300? Если просто вывести коммутатор из эксплуатации, то все подключенное оборудование, на котором располагаются критичные для бизнеса сервисы, перестанут функционировать. А так как время его непрерывной работы после прекращения поддержки, составляло более двух лет, то при последней попытке вывода на обслуживание, «железо» ушло «в глубокую депрессию» на несколько месяцев, пока условный Василий и его «отвертка, в тандеме с паяльником» не перепаяли конденсатор на материнской плате.

Конечно же, заказчик хотел вывести это оборудование из эксплуатации, но сталкивался с другой проблемой — что делать с существующей SAN-сетью. Серверное оборудование и системы хранения данных, которые содержали важную информацию и текущие критичные сервисы, нельзя было оставить «безхозными». Вдобавок ко всему,  как для о «железа», установленного в существующей SAN-сети, так и для Brocade 300, уже более трех лет производитель не предоставлял обновления и техническую поддержку. А сетевые карты на оборудование по очень неудачному стечению обстоятельств имели барьер для замены поставщика.

Проблема, конечно, была решена, и это совсем другая история. Но это наглядный пример замедления развития в связи с устаревшим оборудованием, которое также отражает проблемы совместимости и тенденции развития информационных систем, где прогресс движется все быстрее от года к году.

Угрозы простоя и где они обитают

Ограничения, связанные с недостаточной производительностью оборудования, — это то самое «бутылочное горлышко» сетевой инфраструктуры. Старые коммутаторы не справляются с возросшим трафиком в сети, где уже давно работают 10-гигабитные серверы и компьютеры с высокой производительностью, что приводит к «затормаживанию» работы приложений и сервисов, в том числе бизнес-критичных (таких, как 1С). Физический износ компонентов неминуемо ведет к внезапным отказам. Выход из строя ключевого коммутатора или маршрутизатора может парализовать работу всего офиса на несколько часов или даже дней, что обернется прямыми финансовыми потерями в будущем. Где поджидают опасности?

• Физический износ — разбалтываемость проводов и разъемов. Происходит регулярно и в ненужный момент. При отсутствии резервных кабелей на складе грозит простоями.
• Физическое повреждение (задели, порезали, наступили и т.д.),  в первую очередь относится к оптическим кабелям. Если медный провод достаточно легко заменить собственными силами при наличии обжимки, витой пары и коннекторов 8P8C(Rj-45), то оптический патч-корд самостоятельно не сделать без дорогого профессионального оборудования, а именно без сварочных аппаратов оптоволокна и профессиональных специализированных навыков. Нужно ждать, когда он приедет от поставщика, а, учитывая разнородность инфраструктур, готовые патч-корды могут быть нужны нестандартной длины. Также, в 80% случаев, нет резервирования оптических патч-кордов хотя бы на уровне запасов на складе неподалеку. Сеть недоступна или работает на сниженной пропускной способности, на других проводах (медных).
• Выход из строя оборудования — также частая угроза. К примеру, блок питания выходит из строя, и все отключается, если нет резерва. Здесь необходимо иметь сравнительно недорогие активные и пассивные компоненты сетей. Для активного оборудования — иметь кластеры с взаиморезервированными устройствами, дублирующими друг друга, а для пассивного — резервировать с активным оборудованием на уровне соединений (технологии EtherChannel, LACP 802.3ad).
• Неблагоприятная внешняя среда для оборудования (выход из строя кондиционеров, влажное помещение, отказ комплексных системы охлаждения). Например, в случае стоек с высокопроизводительными серверами возрастает риск внезапных простоев и порчи оборудования без мониторинга и резервирования системы охлаждения. С учетом ограничений поставок зарубежных запчастей, ремонт может занять продолжительное время.
• Плохое документирование пассивных кабельных соединений — какой именно порт какого модуля сетевого оборудования и куда подключен. Лучше сразу же готовить необходимую документацию и оформлять ее надлежащим образом, поскольку в случае ухода ответственного за направление специалиста разобраться будет крайне сложно: при переключении проводов возникнет хаос и простой (в лучшем случае). В худшем варианте — возрастает риск утечки данных из-за непреднамеренного подключения соединения портов публичного сегмента сети с ее защищенным сегментом. Также всегда резервируйте каналы связи. Это действие хоть и влияет на удорожание решения, но незначительно в соотношении к тем убыткам, к которым может привести остановка сервисов.
• Во многих корпоративных сетях, разделенных на VLAN и/или L3 сегменты (OSPF area) и на зоны межсетевых экранов (NGFW), поскольку внеплановая прямая сетевая связность разных сегментов может создавать риски безопасности. Для того, чтобы предотвратить или минимизировать эти риски, необходимо соблюдать строгую иерархию и контроль точек входа, четко определяя единственные разрешенные пути для связи между критическими сегментами. Но это только «вершина айсберга». Не нужно забывать о жестком контроле на L2/L3-уровнях, использовании DAI, Ip Source Guard, контроле MAC-адресов, регулярном ведении документации (карта сети, матрицы доступа) — все это поможет организовать правильную и безопасную сеть.

Рецепт для целеустремленных

Итак, простой оборудования, которое не эксплуатируется должным образом или давно устарело, обойдется гораздо дороже, чем расходы на замену. Однако даже в случае закупки часто происходит перерасход ИТ-бюджета, который может достичь 20-30%, но только лишь потому, что чаще всего принимаются неэффективные решения в рамках выстраивания ИТ-инфраструктуры. Таковы данные Ассоциации российских разработчиков и производителей электроники (АРПЭ).

Какие действия будут верными? Как не заплатить больше, чем нужно? Что должно стать приоритетом? Ведь нельзя же «выкинуть» все и поставить только новое оборудование? Здесь нужен план поэтапной миграции в соответствии с выявленными рисками.

Проведение аудита ИТ-инфраструктуры

Необходимо составить полный перечень сетевого оборудования, схем коммутации, вести кабельный журнал. Также нужно указать серийные номера и версии прошивок, установленных на оборудовании. Главной целью является сбор информации о «железе», которое уже достигло конца жизненного цикла или срока поддержки обновлений и обслуживания со стороны производителя.

Планирование и приоритизация

На данном этапе создается дорожная карта по замене оборудования в соответствии с критериями приоритизации, которые актуальны для заказчика. Наиболее часто встречающиеся параметры:

• Критичность устройства: начать необходимо с тех устройств, которые находятся на границе сети (маршрутизаторы, файрволлы) и в ее ядре. Их отказ или взлом наиболее опасны.
• Уровень риска: устройства с известными критическими уязвимостями, для которых нет патчей, должны быть заменены в первую очередь.
• Влияние на бизнес-процессы: такое оборудование, от которого зависит работа ключевых отделов или производственных линий, требует замены без прерывания бизнес-процессов.

Закупка оборудования и поэтапное внедрение

После планирования выбирается производитель оборудования, который подходит под задачи и имеющиеся требования. При необходимости проводится пилотное тестирование.  Создается план-график замен, согласовывается техническое задание на миграцию, так как оборудование имеет свои нюансы по настройкам и работе протоколов в зависимости от производителя.

Время выбирать

В условиях глобальной неопределенности решение о покупке отечественного сетевого оборудования перестало быть сугубо техническим. Сегодня — это стратегический выбор, определяющий надежность и непрерывность бизнеса или работы государственного учреждения на годы вперед. И российские производители — это не просто соответствие текущему законодательству, хотя использование отечественного оборудования — прямой путь к выполнению нормативных требований импортозамещения в РФ и требований заказчиков к созданию защищенных контуров в рамках сертифицированных ФСТЭК решений.

В первую очередь, мы имеем дело с предсказуемостью и ответственностью: наши производители не «сбегут» завтра с рынка. И даже при таком маловероятном сценарии, когда с вендором что-то произойдет, государство в рамках политики импортозамещения защищает интересы заказчиков, обеспечивая преемственность и поддержку решений. Вы избавляете себя от рисков внезапных отзывов лицензий, блокировок обновлений и санкций. Дорожная карта развития продукта становится прозрачной и управляемой.

Отечественные разработчики предоставляют техническую поддержку напрямую и в разумные сроки, без многоуровневых бюрократических процедур международных корпораций: проблемы решаются быстрее, потому что между вами и инженерами, создавшими продукт, нет нескольких посредников. Российские коммутаторы и маршрутизаторы построены на отраслевых открытых стандартах (IEEE, IETF RFC), что гарантирует их бесшовную интеграцию в существующую инфраструктуру и взаимодействие с оборудованием других производителей. Приятное дополнение — понимание ваших потребностей, задач, вопросов с первого слова. Поддержка продуктов на русском языке, отечественные команды разработчиков, дистрибутора и интегратора — это исключает риски недопонимания и ошибок, неизбежные при работе с иностранным сервисом.

Воспринимайте импортозамещение не просто как выполнение госзадания, а как возможность построить надежную, безопасную и независимую ИТ-инфраструктуру, которая будет служить бизнесу долгие годы.