Архитектура сети Science DMZ
Type of computer network

Термин Science DMZ относится к компьютерной подсети , которая структурирована так, чтобы быть безопасной, но без ограничений производительности, которые в противном случае возникли бы при передаче данных через межсетевой экран с отслеживанием состояния . [1] [2] Science DMZ предназначена для обработки больших объемов передачи данных, типичных для научных и высокопроизводительных вычислений , путем создания специальной DMZ для размещения этих передач. [3] Обычно она развертывается на периметре локальной сети или вблизи него и оптимизирована для умеренного количества высокоскоростных потоков, а не для универсальных бизнес-систем или корпоративных вычислений . [4]

Термин Science DMZ был придуман сотрудниками ESnet Министерства энергетики США в 2010 году. [5] Ряд университетов и лабораторий развернули или разворачивают Science DMZ. В 2012 году Национальный научный фонд профинансировал создание или улучшение Science DMZ в нескольких университетских городках в Соединенных Штатах. [6] [7] [8]

Science DMZ [9] — это сетевая архитектура для поддержки больших данных . Так называемый информационный взрыв обсуждается с середины 1960-х годов, а в последнее время термин «поток данных » [10] используется для описания экспоненциального роста многих типов наборов данных. Эти огромные наборы данных часто необходимо копировать из одного места в другое с помощью Интернета. Перемещение наборов данных такого масштаба за разумное время должно быть возможным в современных сетях. Например, для передачи 10 терабайт данных по сетевому пути 10 Gigabit Ethernet должно потребоваться менее 4 часов , предполагая, что производительность диска достаточна [11]. Проблема в том, что для этого требуются сети, свободные от потери пакетов и промежуточных устройств, таких как формирователи трафика или брандмауэры , которые снижают производительность сети.

Межсетевые экраны с отслеживанием состояния

Большинство предприятий и других учреждений используют брандмауэр для защиты своей внутренней сети от вредоносных атак извне. Весь трафик между внутренней сетью и внешним Интернетом должен проходить через брандмауэр, который отбрасывает трафик, который может быть вредоносным.

Файрвол с отслеживанием состояния отслеживает состояние каждого логического соединения, проходящего через него, и отклоняет пакеты данных, не соответствующие состоянию соединения. Например, веб-сайту не будет разрешено отправлять страницу на компьютер во внутренней сети, если только компьютер не запросил ее. Для этого требуется, чтобы файрвол отслеживал недавно запрошенные страницы и сопоставлял запросы с ответами.

Брандмауэр также должен анализировать сетевой трафик гораздо более подробно по сравнению с другими сетевыми компонентами, такими как маршрутизаторы и коммутаторы. Маршрутизаторы должны иметь дело только с сетевым уровнем , но брандмауэры должны также обрабатывать транспортный и прикладной уровни . Вся эта дополнительная обработка занимает время и ограничивает пропускную способность сети. В то время как маршрутизаторы и большинство других сетевых компонентов могут обрабатывать скорость в 100 миллиардов бит в секунду (Гбит/с), брандмауэры ограничивают трафик примерно до 1 Гбит/с, [12] что неприемлемо для передачи больших объемов научных данных.

Современные брандмауэры могут использовать пользовательское оборудование ( ASIC ) для ускорения трафика и проверки, чтобы достичь более высокой пропускной способности. Это может представлять альтернативу Science DMZ и позволяет проводить проверку на месте через существующие брандмауэры, пока отключена проверка унифицированного управления угрозами (UTM).

В то время как межсетевой экран с отслеживанием состояния может быть необходим для критически важных бизнес-данных, таких как финансовые записи, кредитные карты, данные о занятости, оценки студентов, коммерческие тайны и т. д., научные данные требуют меньшей защиты, поскольку копии обычно существуют в нескольких местах, и существует меньше экономических стимулов для их несанкционированного вмешательства. [4]

ДМЗ

Схема обычной DMZ, которая будет использоваться бизнесом. Весь трафик в DMZ должен проходить через брандмауэр, что ограничивает пропускную способность.

Брандмауэр должен ограничивать доступ к внутренней сети, но разрешать внешний доступ к услугам, предлагаемым для общественности, таким как веб-серверы во внутренней сети. Обычно это достигается путем создания отдельной внутренней сети, называемой DMZ, игра слов с термином «демилитаризованная зона». Внешним устройствам разрешен доступ к устройствам в DMZ. Устройства в DMZ обычно обслуживаются более тщательно, чтобы снизить их уязвимость к вредоносному ПО. Защищенные устройства иногда называют хостами-бастионами .

Science DMZ продвигает идею DMZ на один шаг дальше, перемещая высокопроизводительные вычисления в свою собственную DMZ. [13] Специально настроенные маршрутизаторы передают научные данные напрямую на или с назначенных устройств во внутренней сети, тем самым создавая виртуальную DMZ. Безопасность поддерживается путем настройки списков контроля доступа (ACL) в маршрутизаторах, чтобы разрешать трафик только к/из определенных источников и пунктов назначения. Безопасность дополнительно повышается за счет использования системы обнаружения вторжений (IDS) для мониторинга трафика и поиска признаков атаки. При обнаружении атаки IDS может автоматически обновлять таблицы маршрутизатора, что приводит к тому, что некоторые называют удаленно запускаемой черной дырой (RTBH). [1]

Оправдание

Science DMZ обеспечивает хорошо настроенное местоположение для сетей, систем и инфраструктуры безопасности, которая поддерживает высокопроизводительное перемещение данных. В научных средах с интенсивным использованием данных наборы данных переросли портативные носители, а конфигурации по умолчанию, используемые многими поставщиками оборудования и программного обеспечения, недостаточны для высокопроизводительных приложений. Компоненты Science DMZ специально настроены для поддержки высокопроизводительных приложений и для облегчения быстрой диагностики проблем с производительностью. Без развертывания выделенной инфраструктуры часто невозможно достичь приемлемой производительности. Простого увеличения пропускной способности сети обычно недостаточно, поскольку проблемы с производительностью вызваны многими факторами, начиная от недостаточно мощных брандмауэров и заканчивая грязной оптоволоконной связью и ненастроенными операционными системами.

Science DMZ — это кодификация набора общих лучших практик — концепций, которые разрабатывались на протяжении многих лет — научным сообществом сетевых и системных технологий. Модель Science DMZ описывает основные компоненты высокопроизводительной инфраструктуры передачи данных таким образом, чтобы она была доступна неспециалистам и масштабировалась в рамках любого размера учреждения или эксперимента.

Компоненты

Основными компонентами научной демилитаризованной зоны являются:

  • Высокопроизводительный узел передачи данных (DTN) [14], на котором запущены параллельные инструменты передачи данных, такие как GridFTP
  • Хост мониторинга производительности сети, например perfSONAR
  • Высокопроизводительный маршрутизатор/коммутатор

Дополнительные компоненты Science DMZ включают:

Смотрите также

Ссылки

  1. ^ ab Дэн Гудин (26 июня 2012 г.). «Ученые знакомятся с жизнью за пределами брандмауэра с помощью «научных демилитаризованных зон» . Получено 12 мая 2013 г.
  2. ^ Эли Дарт; Брайан Тирни; Эрик Пуйул; Джо Брин (январь 2012 г.). «Достижение научной DMZ» (PDF) . Получено 31 декабря 2015 г.
  3. ^ Дарт, Э.; Ротман, Л.; Тирни, Б.; Хестер, М.; Журавски, Дж. (2013). "The Science DMZ". Труды Международной конференции по высокопроизводительным вычислениям, сетевым технологиям, хранению и анализу на - SC '13 . стр. 1. doi :10.1145/2503210.2503245. ISBN 978-1-4503-2378-9. S2CID  52861484.
  4. ^ ab "Почему Science DMZ?" . Получено 2013-05-12 .
  5. ^ Дарт, Эли; Мецгер, Джо (13 июня 2011 г.). "The Science DMZ". Семинар CERN LHCOPN/LHCONE . Получено 2013-05-26 . Это самая ранняя ссылка на Science DMZ, которую можно цитировать. Работа над концепцией велась в течение нескольких лет до этого.
  6. ^ «Внедрение научной демилитаризованной зоны в Университете штата Сан-Диего для облегчения высокопроизводительной передачи данных для научных приложений». Национальный научный фонд. 10 сентября 2012 г. Получено 13 мая 2013 г.
  7. ^ "SDNX - Обеспечение сквозной динамической научной DMZ". Национальный научный фонд. 7 сентября 2012 г. Получено 13 мая 2013 г.
  8. ^ «Улучшение существующей научной DMZ». Национальный научный фонд. 12 сентября 2012 г. Получено 13 мая 2013 г.
  9. ^ Дарт, Эли; Ротман, Лорен (август 2012 г.). «Научная DMZ: сетевая архитектура для больших данных». LBNL-отчет.
  10. Бретт Райдер (25 февраля 2010 г.). «Потоп данных». The Economist.
  11. ^ . «Требования и ожидания к сети». Национальная лаборатория Лоуренса в Беркли.
  12. ^ «Сравнение производительности межсетевых экранов» (PDF) .
  13. ^ pmoyer (13 декабря 2012 г.). "Архитектура исследовательской и образовательной сети (REN): Science-DMZ" . Получено 12 мая 2013 г.
  14. ^ "Science DMZ: Data Transfer Nodes". Лаборатория Лоуренса в Беркли. 2013-04-04 . Получено 2013-05-13 .
  • Страницы веб-сайта ESnet, описывающие Science DMZ
  • Программа NSF, финансирующая научные демилитаризованные зоны
  • "science_dmz"_internet Объявление на сайте Ohio State University Science DMZ
  • Ходатайство NSF о финансировании строительства научных демилитаризованных зон
  • Научная демилитаризованная зона Университета штата Юта
Retrieved from "https://en.wikipedia.org/w/index.php?title=Science_DMZ_Network_Architecture&oldid=1220812991"