• Рефакторинг банковской ИТ-инфраструктуры и как мы дружили ИТ-команду с ИБ-командой
    0
    Тут все очень просто – есть ТЗ от Заказчика и есть Исполнитель, который обязуется выполнить работы по данному ТЗ. Доп. работы ведут к увеличению стоимости работ и Заказчик сам определяет для себя минимально необходимый объем работ для решения поставленной задачи. Если начать внедрять технологии, которые в ТЗ не прописаны, и они вдруг приведут к недопустимому простою, то виноват будет Исполнитель. Кроме того, Заказчик прекрасно осведомлен о таких возможностях в ходе наших бесед, и сказал что запомнит эту информацию до момента, когда приоритеты задач и бюджет позволят рассмотреть внедрение таких технологий.
  • Рефакторинг банковской ИТ-инфраструктуры и как мы дружили ИТ-команду с ИБ-командой
    0
    Подозреваю речь идет об аналогии продукта типа Cisco ISE или Huawei Agile Controller, но межсетевой экран этими функциями не обладает (да и не должен). На текущий момент VLANs статично прописаны на портах (благо у Заказчика была информация по портам и пользователям). Цели проекта в нашем случае были жестко регламентированы Заказчиком – сегментировать сеть (разнести пользователей по группам) на имеющемся оборудовании (у них нет ни ISE, ни Agile Controller) и обеспечить максимальный контроль трафика между сегментами сети в сжатые сроки (ограничиваясь фильтрацией на уровне IP-адресов).
  • Рефакторинг банковской ИТ-инфраструктуры и как мы дружили ИТ-команду с ИБ-командой
    0
    Нет. Не совсем понял откуда такой вывод. Было получено штатное расписание от отдела кадров и совместно с безопасниками были определены сети для каждой группы в штатном расписании (до этого был один большой сегмент под названием «пользователи»), на коммутаторах были созданы VLANs, на PaloAlto были созданы сети и привязаны к этим VLANs. Далее правила создавались по этим новым сетям.
  • Рефакторинг банковской ИТ-инфраструктуры и как мы дружили ИТ-команду с ИБ-командой
    0
    Напомню, что изначально проект направлен на сегментацию сети, то есть людей разнесли по сетям в соответствии с их ролями.
    Далее правила, да, были настроены по подсетям (уже новым) – это было требование заказчика для оперативного внедрения МСЭ в сеть. В ходе работ мы также внедрили сервер PaloAlto User Agent и интегрировали PaloAlto с AD. После этого мы выдали рекомендации заказчику в будущем перейти от системы правил по подсетям к системе правил по пользователям и группам пользователей, для этого мы провели демонстрацию как это делать.
  • Рефакторинг банковской ИТ-инфраструктуры и как мы дружили ИТ-команду с ИБ-командой
    +2
    За месяц после ввода в эксплуатацию – 2 обращения, но оба были по поводу трафика, который не должен иметь место по соображениям безопасности, поэтому решением было не включать их трафик (samba)
  • Рефакторинг банковской ИТ-инфраструктуры и как мы дружили ИТ-команду с ИБ-командой
    0
    Да, узкоспециализированный
  • Как мы перенесли дисковое пространство сотен филиалов банка в одну СХД в Москве без потери LAN-скоростей на местах
    0
    Вы имеете ввиду оптимизаторы bluecoat и citrix? Или citrix VDI? Это совсем другие решения. Идея вынести из филиалов/отделений данные приложений в ЦОД, а вычислительные мощности приложений оставить на периферии реализована только Riverbed-ом. Прямых аналогов этому решению нет.
  • Как мы перенесли дисковое пространство сотен филиалов банка в одну СХД в Москве без потери LAN-скоростей на местах
    0
    Прямых налогов нет. Это действительно уникальное решение. Недавно Riverbed обновили линейку подобных устройств. Теперь самая маленькая железка этого класса SFED-2100. Вы можете посмотреть её характеристики на картинке в посте. Чтобы подобрать подходящую железку недостаточно просто кол-ва пользователей. Нужны подробности: кол-во серверов которые требуется на ней запустить, требования по железу у каждой VM, количество данных которые ежедневно записываются на диски/СХД пользователями филиала, полоса пропускания канала связи, требования к IOPS, количество соединений которые нужно оптимизировать, полоса пропускания канала связи и тд.
  • Как мы перенесли дисковое пространство сотен филиалов банка в одну СХД в Москве без потери LAN-скоростей на местах
    +2
    Если Приватбанк полностью отказался от файловых шар, централизовал Exchange, переложил все бизнес приложения на WEB — это замечательно! Однако стоит сравнить размеры Украины и России, как станет понятно, что в России это будет практически невозможно. Задержки протяженных каналов связи настолько замедлят работу, что встанет вопрос о целесообразности данной миграции. Хотя с другой стороны обычные оптимизаторы трафика Riverbed отлично справляются с задачей ускорения HTTP на каналах с большими задержками (в том числе спутниковых). В общем вычислитель должен быть в LAN-сети, иначе LAN-скорости попросту не получить.

  • Оптимизация каналов связи для добычи полезных ископаемых на севере России
    0
    С точки зрения калькулятора, есть два варианта –
    1. В случае, если это приложение работает посредством «толстого» клиента, то эффекта от оптимизации будет мало. Т.к. будут выполняться короткие запросы-ответы, могу даже сделать сравнение такого приложения с работой telnet.
    2. Если представить, что это приложение работает на базе http (как большинство современных приложений), то эффект будет значительный.
    Во-первых за счет оптимизации http, который сжимается и оптимизируется очень хорошо – т.к. нужно как минимум загрузить web форму (того же калькулятора) в браузер клиента.
    Во-вторых, если представить, что в виде ответа от сервера на заполненные поля в web форме мы получаем некий объемный отчет, который как правило избыточный, то эффект от использования оптимизатора за счет де-дупликации будет так же значительный.

    Для каждого конкретного протокола прикладного уровня (из списка ускоряемых на L7) оптимизатор применяет свой специфический алгоритм оптимизации. Если мы говорим об SMTP, то здесь основной задачей является “вскрыть” шифрование. SMTP соединение устанавливается до SSL-соединения, таким образом, возникают сложности в определении момент запуска SSL-оптимизации. На помощь приходит L7 блейд оптимизатора, отвечающий за SMTP. Более того использование L7 блейда обеспечивает, что не нужно делать TLS-handshake для отправки каждого письма.
    За нашу практику не встречали ситуаций когда из-за оптимизатора пользователь мог скачать удаленный файл или посмотреть удаленное письмо:)
  • Оптимизация каналов связи для добычи полезных ископаемых на севере России
    0
    На задержках 700ms RDP тормозит… Шанс есть, все зависит от устойчивости Вашей нервной системы или правильных успокаивающих средств Шучу! Не все так плохо.
    Здесь многое будут зависеть от наличия потерь и доступной полосы пропускания.
    В случае с RDP оптимизатор может побороть тормоза связанные с потерями и полосой пропускания (за счет сжатия и прозрачного проксирования TCP), но не задержками.
  • Оптимизация каналов связи для добычи полезных ископаемых на севере России
    0
    В оптимизатор встроены декодеры. Словарь оптимизатора заполняется оригинальными данными после декодирования. Это не совсем кеширование (точнее совсем не кеширование). Это дедупликация данных за счет замены уже записанных паттернов оригинальных данных ссылками. Эффективность высокая. Конкретные цифры зависят от количества избыточности в передаваемых данных. Опыт показывает, что эта избыточность есть всегда.
  • Оптимизация каналов связи для добычи полезных ископаемых на севере России
    +1
    1. Да, все верно. Единственное добавлю, что сертификат импортируется только на один оптимизатор, установленный в ЦОД. Есть и другие варианты архитектуры, но эта в данной ситуации оптимальна.

    2. Дело в том, что оптимизатор не кеширует файлы целиком в прямом понимании этого слова. Оптимизатор хранит самые часто используемые сегменты данных в словаре (механизм SDR – Scalable Data Reference) и нет привязки к протоколу, по которому будет получен файл в филиале. Например, файл презентации PowerPoint передали по почте в филиал. А затем в случае загрузки этого же файла по FTP, но с небольшими изменениями, будет переданы только изменения, остальные данные будет переданы в виде коротких ссылок на сегменты данных. Т.е. весь файл передаваться полностью не будет. В случае, если файл >10 Мбайт и канал связи спутниковый, то это значительно экономит полосу пропускания.
  • Оптимизация каналов связи для добычи полезных ископаемых на севере России
    +1
    Реальная задержка на каналах связи = 600 — 700 мс RTT. И в зависимости от внешних факторов может ухудшаться.
    Если канал связи не загружен, то мы не увидим заметного ускорения работы RDP. Но с другой стороны, если канал связи сильно загружен, то оптимизаторы позволяют разгрузить канал связи, приоритезировать приложения и за счет этого повысить стабильность и ускорить RDP. В нашем случае мы добились заметного улучшение работы RDP.
  • Оптимизация каналов связи для добычи полезных ископаемых на севере России
    +1
    В первую очередь SSL в отчете — это OWA.
    Riverbed оптимизирует SMB с помощью нескольких техник:
    — дедупликация (сжатие)
    — ускорения на транспортном уровне TCP (спутниковый режим SCPS)
    — ускорение на уровне приложений
    Подобным образом выполняется оптимизация и других самых распространенных типов приложений.
  • Особенности отражения DDoS атак и история атаки на один крупный банк
    0
    Да, запись появится буквально через пару дней на странице вебинара на сайте.
  • Особенности отражения DDoS атак и история атаки на один крупный банк
    0
    «99% эффективности этих устройств в базе сигнатур, которая, неожиданно, скачивается из Америки чуть ли не ежечасно.» — это преувеличение. Сигнатуры – важная, но не единственная составляющая борьбы с DDoS-атаками. Очень много атак отбивается без сигнатур, с применением стандартных противомер. Недаром в статье упоминается, что «то же самое коллеги говорят и о сигнатурах – насколько велика не была бы сеть сенсоров и сколько бы трафика в ней не анализировалось, полагаться только на сигнатуры нельзя».
    Да, ATLAS создан и поддерживается американской компанией, однако содержит информацию о тенденциях и событиях в глобальной сети и фактически является уникальной базой данных и знаний. Использовать ли эти знания, каждый решает сам. Кроме того, начиная с версии ПО Pravail 5.6 автоматическое скачивание может быть отключено. Сигнатуры ATLAS могут быть загружены и установлены администратором системы вручную.
  • Особенности отражения DDoS атак и история атаки на один крупный банк
    0
    Сравнивать оборудование с сервисом не стоит. Одно другое не исключает, а дополняет. Именно поэтому в статье говорится о многоуровневой защите.
    Локальное оборудование ставят когда хотят:
    а) минимизировать простои и время задержки на активацию/переключение услуги;
    б) работы с SSL без отдачи приватных ключей сторонней организации;
    в) полного контроля над ходом очистки от атак до ширины канала без необходимости привлечения сторонней организации.
  • Сетевые детективы: ищем причины скачков трафика и нагрузки
    0
    Решение может быть полностью построено на виртуальной платформе, так и все компоненты могут быть в виде ПАК. Выбор решения, виртуальная платформа или ПАК, зависит от объемов анализируемого трафика. Конечно, производительность ПАК выше.

    В базовом варианте в сеть заказчика нужно установить следующие компоненты:
    1. Сенсор для съема и хранения копии пакетов — Shark Sensor. Устанавливается около серверов в ЦОДе.
    2. Коллектор NetFlow статистики — Gateway.
    3. Головное устройство консолидации статистики, построения отчетов и аналитики — Cascade Profiler. Место установки не имеет значение, главное IP connectivity до Shark Sensor и Gateway.

    Если нужно анализировать сетевые потоки внутри регионального офиса, то устанавливаем дополнительный Shark Sensor там.
  • Как делается оптимизация трафика
    0
    Главное преимущество WAAS в интеграции с продуктами Cisco. Понимаю вашу точку зрения — с учётом, что у вас написано в профиле про Cisco — но все же давайте обратимся к фактам. Факты таковы, что в сегменте WOC (Wan Optimization Controllers) Riverbed уже три года подряд занимает более 50% рынка. В 2013 году Riverbed остался единственным лидером сегмента по Gartner. Gartner не делает такие смелые заключения просто так. Это всегда очень серьезные исследования, которым очень и очень доверяют на рынке. Учитывая, то что Riverbed — нишевой игрок, и его возможности ограничены по сравнению с более крупными производителями, то получить больше половины рынка они смогли только за счет большей эффективности оптимизации и более широкого функционала, чем у конкурентов. Проще говоря, их решение банально лучше для большинства покупателей. По практике в России отмечу, что Riverbed очень и очень хорошо себя показал. Я не предлагаю ставить только его — мы интегрируем и решения Cisco, и других вендоров — но при полном расчёте кейса ситуация в РФ не отличается от мировой, описанной Gartner.
  • Как делается оптимизация трафика
    0
    Действительно, репликация – это один из самых показательных случаев. Действительно, за счет подкрутки TCP на серверах можно добиться лучшей утилизации канала. Если репликация происходит между несколькими серверами придется настраивать каждый сервер. Ставя оптимизаторы, вы настраиваете все на одной железке. Также нужно настроить QoS таким образом, чтобы репликации не вытесняли другой трафик. В случае использования оптимизаторов конкуренция за полосу будет равной для всего трафика, но можно настроить полнофункциональный QoS на riverbed.

    Судя по RTT в 200 мс, рассматриваемый канал достаточно протяженный (не собственность организации), а полоса пропускания огромная. Наверняка, аренда у него немаленькая. Трафик репликации жмется очень сильно. Если происходит полный backup то со второй прокачки к-т сжатия будет порядка 90%. Это означает, что можно арендовать уже не 10Gbps, а 1 Gpbs. Какая экономия за год? За три года? Плюс к этому на оптимизаторах можно настроить QoS по времени. Например, днем – репликации занимают 10%, ночью – 90%.

    Репликация и/или уменьшения загрузки каналов связи — хорошее применение, но основная задача оптимизаторов – это ускорение работы сетевых приложений, эффект который заметен пользователям и непосредственно влияет на их эффективность. Ускорение сетевых приложений главным образом происходит за счет адаптации TCP под канал связи и проксирования ряда основных протоколов. При этом, как правильно замечено, устраняется болтливость приложений.

    Так что если решать вопрос «заплатками» — да, можно в каждом отдельно взятом случае обойтись без них, но если говорить об обслуживании организации в целом в стабильной негомогенной среде приложений — они очень и очень востребованы на практике.
  • Как делается оптимизация трафика
    +2
    Расширение канала связи не всегда ведет к повышению скорости работы приложений. У каналов связи, тем более протяженных, такие параметры как «круговая задержка» (или RTT) и потери (пусть даже самые минимальные) гораздо выше чем в локальной сети. Именно это не позволят использовать TCP-приложениям всю доступную полосу пропускания канала связи. Два последних обращения к нам были как раз об этом.

    Первый случай. Наземный канал связи Москва — Новосибирск. Сервера располагались в Москве, но затем переехали в Новосибирск. Пользователи в Москве сразу почувствовали деградацию скорости приложений. Причем утилизация каналов не поднималась выше 30%. Потери в канале минимальны. Оптимизаторы успокоили пользователей, они опять работают с «локальной» скоростью.

    Второй случай. Оптический канал связи Москва — Хабаровск. Каждое соединение репликации между ЦОД проходит на скоростях менее 700 Кбит/c, а полоса пропускания канала 1 Гбит/c! Вопрос — за что платит организация?! За полосу которая недоступна. С оптимизаторами скорость соединений репликации возросла до 35 Мбит/c. Т.е. в 50 раз! Репликации проходят в 50 раз быстрее.
  • Как делается оптимизация трафика
    +2
    Отчасти вы правы, но давайте фантазировать. Для вашего примера – один удалённый офис с одним компьютером – нет смысла разворачивать такое решение. Я согласен.

    Если у вас офисов больше чем один, и все они маленькие (с 1 компьютером), то для этого решения мы предложим поставить в центр аппаратное решение, а для филиалов софтверный клиент устанавливаемый прямо на рабочее место. Это решение гораздо дешевле. И в тоже время позволит поднять эффективность работы приложений и пользователя.

    Если же у вас в офисе количество сотрудников приближается к 10 на точку – то в этом случае мы уже рекомендуем использовать минимальную аппаратную модель оптимизатора.

    Все познается в сравнении, возможно за 100 тысяч можно проложить оптику до ближайшего провайдера, но наверно это справедливо в городских условиях с высокой степенью проникновения провайдеров. А что делать производствам? Или тяжело доступным местам нахождения бизнеса?

    Кстати отличный пример – почти все глобальные корпорации, которые приходят в Россию, используют это оборудование для связи со своей штаб-квартирой или ЦОДом в Европе или Америке. Хотя не такая уж большая задержка между Москвой и Европой например.
  • Как делается оптимизация трафика
    0
    Стоит. Срок окупаемости решений варьируется от 6 до 24 месяцев. В зависимости от того какие статьи доходности используются при расчете обоснования. Кроме того для маленьких каналов используется советующие достаточно маломощные модели оборудования, никто из пушки по воробьям не стреляет. И, наоборот, для репликации данных между ЦОДами на разных концах нашей страны или мира, надо использовать уже высокопроизводительное оборудование.