Как "подружить" Anycast маршрутизацию в ЦОД с ГОСТ-криптошлюзами

Архитектура

Доклад принят в программу конференции

Мнение Программного комитета о докладе

Большинство криптошлюзов не совместимо с Anycast, и это становится проблемой для привычной и удобной топологии датацентра. Спикер расскажет, какие варианты рассматривала команда, почему выбрали AnyCast поверх Overlay-VPN и как решение зарекомендовало себя в распределнной сети ЦОД.

Целевая аудитория

Архитекторы, SRE, инженеры по сетевой безопасности, сетевые инженеры

Тезисы

В сетях ЦОД и в Интернет часто используется Anycast маршрутизация трафика для распределения нагрузки на уровне сети, это удобно и масштабируемо, позволяет экономнее расходовать IPv4 адреса.

Сервисы для B2B-клиентов/партнеров, размещаемые в ЦОД, имеют дело с конфиденциальной информацией (например, персданные), которую нужно защищать по закону. Требования ИБ "закрываются" шифрованием с применением туннелей на базе российских ГОСТ-алгоритмов. И тут нас подстерегает проблема совместимости Anycast и VPN-криптошлюзов.

Архитекторы и сетевые инженеры вынуждены чем-то жертвовать, и как результат, старадает масштабируемость, не оптимальная утилизация производительности, "растянутые" между ЦОД кластеры и/или ручная схема обеспечения отказоустойчивости.

Поговорим о возможностях, которые появляются в результате применения AnyCast поверх Overlay-туннелей в связке с российскими криптошлюзами. А также, о том, как удобнее обеспечивать соответствие требованиям по эксплуатации криптографических средств в такой схеме.

Руководитель команды развития и эксплуатации B2B/B2G сетей NOC
Работаю на стыке сетевых технологий и инфобеза.

Видео

Другие доклады секции

Архитектура