Связаться с нами по телефону +7 (495) 967 66 57
Написать нам сообщение IT@lanit.ru
Наши координаты г. Москва
Новости

Физическая сегментация локальных вычислительных сетей: за и против

  • Дата публикации: 2020-03-25

В журнале "Цифровая подстанция" в рубрике Коллективный разум редакция задала ведущим IT-специалистам вопросы, касающиеся физической сегментации локальных вычислительных сетей на цифровой подстанции.

1. Как вы считаете, целесообразна ли физическая сегментация локальных вычислительных сетей̆ на цифровой подстанции?

2. Какие факторы в пользу / против этого решения вы можете назвать?

3. Если да, то по какому принципу, на ваш взгляд, должна быть выполнена такая сегментация (например, по видам трафика, по географическому расположению, по типам подключаемого оборудования)?

4. Если сегментация сетей выполняется, то следует ли делать связь между сегментами с помощью межсетевых экранов для обеспечения доступа к каждому из сегментов из одной точки?

5. Должны ли подходы к сегментации отличаться в зависимости от класса напряжения присоединений, устройства которых включены в локальную сеть, и какие различия вы бы предложили?

6. Какую роль при выборе принципов сегментации сетей должен играть вопрос информационной безопасности?

Руководитель отдела телекоммуникаций компании "ЛАНИТ-Интеграция" Иван Скрыпник развернуто ответил на каждый вопросов:

1. Однозначного ответа на этот вопрос не существует. Сегментацию локальных вычислительных сетей вполне можно выполнить как физически, так и логически без какого-либо ущерба для функционала.

Существуют и давно используются техники сегментации ЛВС, основанные на виртуализации, которые позволяют это сделать и на канальном уровне модели OSI – VLAN, и на сетевом уровне – VRF.

2. "За" физическую сегментацию локальных вычислительных сетей есть следующие факторы:

·        высокая отказоустойчивость. Если вдруг начинаются аппаратные проблемы на активном сетевом оборудовании или канале связи, то, конечно, они способны повлиять на все логические сегменты. Физическое разделение оборудования и каналов связи снимает эту проблему;

·        упрощается внедрение, поддержка и модернизация. На этапе пуско-наладки требуемая настройка сетевого оборудования проще, чем в случае, когда требуется планирование виртуальных сущностей. Персоналу в целом проще поддерживать такие системы, ниже требуемый̆ экспертный уровень специалистов сопровождения. То же самое применимо и в случае модернизации ЛВС;

·        ниже цена ошибок. Человеческий̆ фактор часто является причиной̆ сбоев работы систем. Это могут быть ошибки дизайна сети, конфигурации сетевого оборудования или обнаруженные уязвимости в коде устройств. В случае логического сегментирования возрастают риски.

Но есть факторы, которые указывают на то, что более предпочтительна логическая сегментация:

·        ниже стоимость. Конечно, в случае логической сегментации, совместно используется общее сетевое оборудование, не требуется прокладка дополнительных, иногда очень дорогостоящих, линий связи, что очень снижает стоимость, поддержку и эксплуатацию ЛВС. Меньше оборудования – меньше обслуживающего персонала, ниже затраты на оплату труда, электроэнергии, ниже стоимость модернизации;

·        ниже нагрузка на обслуживающий персонал. Из-за меньшего количества оборудования и "окон" управления;

·        гибкие возможности адаптации. Проще реализуются возможности внесения изменений. Например, изменение существующих сегментов: расширение, объединение, дробление, добавления новых сегментов. Задача касается только изменения конфигурации устройств, не требуя долгих и дорогостоящих действий вроде закупки нового оборудования, прокладки новых кабелей и т.д.

3. Обычно сегментация делается по функционалу, то есть по назначению подсистемы. Но это не аксиома. В каждом индивидуальном случае могут быть факторы, влияющие на выбор архитектора.

4. Безусловно, с точки зрения удобства эксплуатации и администрирования удобнее, чтобы связь между сегментами была, хотя бы для целей администрирования и мониторинга состояния ЛВС "из одного окна". Индустрия сейчас предлагает богатый выбор межсетевых экранов, способных обеспечить очень тонкую настройку правил взаимодействия между сегментами. Но опять-таки в каждом индивидуальном случае архитектура решения может быть продиктована наличием дополнительных факторов, которые требуется учитывать.

5. Логическая и физическая сегментации эквивалентны, если используется качественное оборудования зарекомендовавших себя вендоров, резервирование оборудования и каналов связи, а также при отсутствии руководящих требований.

6. С точки зрения информационной̆ безопасности физическая сегментация иногда бывает необходима. Если такого требования нет, то современные инструменты обеспечения ИБ на сети позволяют обеспечить очень высокие показатели защиты. Межсетевые экраны последнего поколения, системы предотвращения вторжений, DPI (глубокое инспектирование пакетов), профилирование подключенных устройств, системы поведенческого анализа и другие инструменты позволяют обнаруживать и блокировать даже самые сложные сетевые угрозы. Окончательное решение всегда остается за архитектором, который, как правило, учитывает весь спектр доступной информации и способен оценить риски.

 

Источник: издание «Цифровая подстанция»