Масштабируемся как привыкли - шифруем как требуется. Как "подружить" Anycast маршрутизацию в ЦОД с "ГОСТовыми» криптошлюзами.

Архитектура

Доклад принят в программу конференции

Целевая аудитория

Архитекторы, SRE, инженеры по сетевой безопасности, сетевые инженеры

Тезисы

В сетях ЦОД и в Интернет часто используется Anycast маршрутизация трафика для распределения нагрузки на уровне сети, это удобно и масштабируемо, позволяет экономнее расходовать IPv4 адреса.

Сервисы для B2B-клиентов/партнеров, размещаемые в ЦОД, имеют дело с конфиденциальной информацией (например, персданные), которую нужно защищать по закону. Требования регуляторов "закрываются" шифрованием с применением туннелей на базе российских ГОСТ-алгоритмов. И тут нас подстерегает проблема совместимости Anycast и VPN-криптошлюзов.
Архитекторы и сетевые инженеры вынуждены чем-то жертвовать, и как результат, старадает масштабируемость, не оптимальная утилизация производительности, "растянутые" между ЦОД кластеры и/или ручная схема обеспечения отказоустойчивости.

Поговорим о возможностях, которые появляются в результате применения AnyCast поверх Overlay-туннелей в связке с российскими криптошлюзами. А также, о том, как удобнее обеспечивать соответствие требованиям ФСБ по эксплуатации криптографических средств в такой схеме.

Руководитель команды развития и эксплуатации B2B/B2G сетей NOC
Работаю на стыке сетевых технологий и инфобеза.

Видео

Другие доклады секции

Архитектура