Да, есть. Текущие способности одной модели балансировщика сильно избыточны, для большинства, я думаю бизнесов, кроме крупного, нет таких потоков трафика. Большой интерес есть к виртуальным апплаенсам на базе специализированных аппаратных платформ аналогичных SDX Citrix, других решений особо как сегментировать сервисы согласно требований регуляторов нет и к 1U железкам обрабатывающим трафика на 50-100 Мбит\сек но с одновременной расшифровкой 10ков тысяч TLS соединений, с базовыми функциями балансировки L4-L7
В части вашего тестового стенда с DNAT я не про него конкретно выше а про использование только одного NAT, не дописал чутка. К слову у SW WAF есть же кластеризация и выдаваемый наружу VIP по VRRP, разве нет? Под балансировщики DS Proxima задач нет, они сильно избыточны под балансировщики вообще есть конечно задачи, которые решаются более экономически целесообразными решениями.
Но коли затронули сам продукт, явный недостаток его в том что есть только одна модель нет вариативности в отличии от зарубежных решений по производительности. Или что то поменялось?
Спасибо за информацию. Мой посыл не в том что DS Proxima хуже или лучше, это ваш как раз посыл, сравнить и сказать, зарубежное плохое, наше лучше. Я только об этом. Про FPGA вы правы, я ошибся.
По поводу того что вы на тестовом стенде реализовали только SNAT как один из вариантов встраивания балансировщиков в сеть, я и уточнил, что по стенду не понятно как реализовано. Решения балансировки только с SNAT малоприменимы к сожалению в сетях active - active ЦОД без L2 растягивания я писал исходя из этого постулата, для решений в пределах одного L2 домена на соответствующую часть сетевой инфраструктуры вполне да можно и без NAT вообще обойтись.
Из причин "Почему западные решения не подходят для защиты российских веб‑приложений", только одну и то с натяжкой можно назвать - несоответствие требованиям регулятора (а DS Proxima ГОСТ уже поддерживает?), две других притянуты за уши. Зарубежные балансировщики, тем более те с которыми идет сравнение в статье умеют балансировать все, включая и "особенные" приложения 1С, любой TCP трафик, с любыми критериями балансировки. Разбор TLS на большинстве из них происходит за счет специализированных ASIC процессоров а не за счет x86 core процессоров. Рекламируемое решение DS Proxima, если я верно прочитал их даташиты, сделала это на GPU, но до специализированных ASIC им далеко еще - потому сильная презакладка вычислительных ресурсов присутствует в отличии, как раз от зарубежных решений где есть баланс между мощностями и производительностью.
А схема тестового стенда вообще прекрасна. Говорится о том что зарубежные решения якобы на x86 и им не хватает ресурсов для работы с разбором HTTPS и WAF и что нужно в одном месте после разбора HTTPS проверять трафик на наличие вредоносов, но почему то DS Proxima не разбирает HTTPS трафик а шлет его на отдельную сущность WAF, который как раз и забирает на свои x86 процессора всю нагрузку - разбор TLS, анализ, сбор TLS и отправка уже шифрованного трафика на второй балансировщик. Упс.
Ну и самый сок, львиная доля функционала по защите веб приложений на стороне WAF работать не будет скорее всего (деталей стенда нет), по причине типовой схемы работы балансировщика - двойной NAT, то есть кластер WAF не будет знать реальных source IP того кто подключается, а это минус Geo IP минус черные и белые списки. Можно было бы на балансировщике первым в схеме разобрать HTTPS и добавить XFF\XRI заголовки, но кто так делает:) задача то рекламировать.
Безусловно, в отсутствии легальной, согласно регуляторной практики, схемы использования зарубежных решений балансировки, выбираем из того что есть, точнее вынуждены выбирать...
Сильная сторона импортных балансировщиков сетевого трафика, да и не только балансировщиков а целого скоупа сетевых решений, это заточенные под задачи ASICи, например тот же SSL offload у Citrix. Иными словами с железки 1U (размером с сетевой коммутатор DLink) 2015 года выпуска и слабенькими параметрами по процессору\памяти можно снимать достаточно хорошее количество одновременных TLS сессий (более 10 000), и без проблем их расшифровывать. А вот на рынке отечественных решений, начали реализовывать функционал балансировки и в частности SSL offload на x86 процессорах, как следствие для тех же 10 000 TLS сессий уже условно нужен какой то Intel Gold\Platinum, в силу отсутствия этих самых ASICов. А это уже если брать в расчет отказоустойчивость, полноценные сервера с хорошим энергопотреблением\тепловыделением и не гуманной стоимостью в первую очередь как раз из за процессоров. FPGA выглядит как более оптимальный, следующий шаг в этом развитии, но пока до совокупных бенефитов от импортных решений далековато. Опять же, все зависит от требований и специфики задач, где то вполне достаточно и NGINX или HAProxy.
Решений собственно не одно, например DistControlUSB, с резервированием БП, два порта Ethernet, физической защитой самих USB устройств, масштабируемостью. Проверено как минимум с парой топовых зарубежных платформ виртуализации. Этого производителя не рассматривали?
Помимо базовой эксплуатации, наличие ЗИП, возможность миграции ВМ как минимум между этими же хостами виртуализации на момент восстановления сервера сбойного, добавлю вопрос, а как же бэкап? Как минимум снэпшот\клон ВМ отложенный на сервер\схд\облачное хранилище после каждого изменения, отдельно бэкап БД. Переход на микросервисы никаким образом не решает проблем эксплуатации инфраструктуры, перекладывает их на мозолистые руки компетентных специалистов только по сути.
Девайс интересный. Но если идти далее и подумать не только про факт проветривания но и про чистоту воздуха (затягивать с улицы все что там летает в квартиру не всегда хочется), влажность воздуха, резкие перепады температуры в квартире, то видится решение в виде бризеров с фильтрами, подогревателем воздуха, датчиком температуры и уровня CO2. Они более интересны в составе умного дома и позволяют поддерживать качество воздуха в квартире не только по датчику температуры. К этому устройству есть возможность добавлять датчики СО2, влажности и температуры дабы более точно управлять уровнем открытия окна?
Есть подозрение, что дискуссия возникла из того что смешались в кучу два по сути различных процесса, с двумя различными ответственными за них.
1. Качественная и полноценная работа ОСС согласно законодательства, в вопросах обеспечения услугами связи клиентов, к которым относится выдача и замена SIM карт. Это зона ответственности ОСС и никого другого. Автор статьи рассказывает о своей практике именно в этом направлении, а то что к SIM картам могут быть привязаны мобильные банки, это следствие а не причина.
2. Работа банков в вопросах аутентификации пользователей на основе SIM карты и СМС сообщений на нее. Тут вы действительно правы, это зона ответственности банков и их задача внедрять у себя системы повышающие безопасность аутентификации пользователей.
Да, есть. Текущие способности одной модели балансировщика сильно избыточны, для большинства, я думаю бизнесов, кроме крупного, нет таких потоков трафика. Большой интерес есть к виртуальным апплаенсам на базе специализированных аппаратных платформ аналогичных SDX Citrix, других решений особо как сегментировать сервисы согласно требований регуляторов нет и к 1U железкам обрабатывающим трафика на 50-100 Мбит\сек но с одновременной расшифровкой 10ков тысяч TLS соединений, с базовыми функциями балансировки L4-L7
В части вашего тестового стенда с DNAT я не про него конкретно выше а про использование только одного NAT, не дописал чутка. К слову у SW WAF есть же кластеризация и выдаваемый наружу VIP по VRRP, разве нет? Под балансировщики DS Proxima задач нет, они сильно избыточны под балансировщики вообще есть конечно задачи, которые решаются более экономически целесообразными решениями.
Но коли затронули сам продукт, явный недостаток его в том что есть только одна модель нет вариативности в отличии от зарубежных решений по производительности. Или что то поменялось?
Спасибо за информацию. Мой посыл не в том что DS Proxima хуже или лучше, это ваш как раз посыл, сравнить и сказать, зарубежное плохое, наше лучше. Я только об этом. Про FPGA вы правы, я ошибся.
По поводу того что вы на тестовом стенде реализовали только SNAT как один из вариантов встраивания балансировщиков в сеть, я и уточнил, что по стенду не понятно как реализовано. Решения балансировки только с SNAT малоприменимы к сожалению в сетях active - active ЦОД без L2 растягивания я писал исходя из этого постулата, для решений в пределах одного L2 домена на соответствующую часть сетевой инфраструктуры вполне да можно и без NAT вообще обойтись.
Как то сильно "толсто".
Из причин "Почему западные решения не подходят для защиты российских веб‑приложений", только одну и то с натяжкой можно назвать - несоответствие требованиям регулятора (а DS Proxima ГОСТ уже поддерживает?), две других притянуты за уши. Зарубежные балансировщики, тем более те с которыми идет сравнение в статье умеют балансировать все, включая и "особенные" приложения 1С, любой TCP трафик, с любыми критериями балансировки. Разбор TLS на большинстве из них происходит за счет специализированных ASIC процессоров а не за счет x86 core процессоров. Рекламируемое решение DS Proxima, если я верно прочитал их даташиты, сделала это на GPU, но до специализированных ASIC им далеко еще - потому сильная презакладка вычислительных ресурсов присутствует в отличии, как раз от зарубежных решений где есть баланс между мощностями и производительностью.
А схема тестового стенда вообще прекрасна. Говорится о том что зарубежные решения якобы на x86 и им не хватает ресурсов для работы с разбором HTTPS и WAF и что нужно в одном месте после разбора HTTPS проверять трафик на наличие вредоносов, но почему то DS Proxima не разбирает HTTPS трафик а шлет его на отдельную сущность WAF, который как раз и забирает на свои x86 процессора всю нагрузку - разбор TLS, анализ, сбор TLS и отправка уже шифрованного трафика на второй балансировщик. Упс.
Ну и самый сок, львиная доля функционала по защите веб приложений на стороне WAF работать не будет скорее всего (деталей стенда нет), по причине типовой схемы работы балансировщика - двойной NAT, то есть кластер WAF не будет знать реальных source IP того кто подключается, а это минус Geo IP минус черные и белые списки. Можно было бы на балансировщике первым в схеме разобрать HTTPS и добавить XFF\XRI заголовки, но кто так делает:) задача то рекламировать.
Безусловно, в отсутствии легальной, согласно регуляторной практики, схемы использования зарубежных решений балансировки, выбираем из того что есть, точнее вынуждены выбирать...
Сильная сторона импортных балансировщиков сетевого трафика, да и не только балансировщиков а целого скоупа сетевых решений, это заточенные под задачи ASICи, например тот же SSL offload у Citrix. Иными словами с железки 1U (размером с сетевой коммутатор DLink) 2015 года выпуска и слабенькими параметрами по процессору\памяти можно снимать достаточно хорошее количество одновременных TLS сессий (более 10 000), и без проблем их расшифровывать. А вот на рынке отечественных решений, начали реализовывать функционал балансировки и в частности SSL offload на x86 процессорах, как следствие для тех же 10 000 TLS сессий уже условно нужен какой то Intel Gold\Platinum, в силу отсутствия этих самых ASICов. А это уже если брать в расчет отказоустойчивость, полноценные сервера с хорошим энергопотреблением\тепловыделением и не гуманной стоимостью в первую очередь как раз из за процессоров. FPGA выглядит как более оптимальный, следующий шаг в этом развитии, но пока до совокупных бенефитов от импортных решений далековато. Опять же, все зависит от требований и специфики задач, где то вполне достаточно и NGINX или HAProxy.
Решений собственно не одно, например DistControlUSB, с резервированием БП, два порта Ethernet, физической защитой самих USB устройств, масштабируемостью. Проверено как минимум с парой топовых зарубежных платформ виртуализации. Этого производителя не рассматривали?
Помимо базовой эксплуатации, наличие ЗИП, возможность миграции ВМ как минимум между этими же хостами виртуализации на момент восстановления сервера сбойного, добавлю вопрос, а как же бэкап? Как минимум снэпшот\клон ВМ отложенный на сервер\схд\облачное хранилище после каждого изменения, отдельно бэкап БД. Переход на микросервисы никаким образом не решает проблем эксплуатации инфраструктуры, перекладывает их на мозолистые руки компетентных специалистов только по сути.
Девайс интересный. Но если идти далее и подумать не только про факт проветривания но и про чистоту воздуха (затягивать с улицы все что там летает в квартиру не всегда хочется), влажность воздуха, резкие перепады температуры в квартире, то видится решение в виде бризеров с фильтрами, подогревателем воздуха, датчиком температуры и уровня CO2. Они более интересны в составе умного дома и позволяют поддерживать качество воздуха в квартире не только по датчику температуры. К этому устройству есть возможность добавлять датчики СО2, влажности и температуры дабы более точно управлять уровнем открытия окна?
1. Качественная и полноценная работа ОСС согласно законодательства, в вопросах обеспечения услугами связи клиентов, к которым относится выдача и замена SIM карт. Это зона ответственности ОСС и никого другого. Автор статьи рассказывает о своей практике именно в этом направлении, а то что к SIM картам могут быть привязаны мобильные банки, это следствие а не причина.
2. Работа банков в вопросах аутентификации пользователей на основе SIM карты и СМС сообщений на нее. Тут вы действительно правы, это зона ответственности банков и их задача внедрять у себя системы повышающие безопасность аутентификации пользователей.