Bilim DMZ Ağ Mimarisi - Science DMZ Network Architecture

Dönem Bilim DMZ bir bilgisayarı ifade eder alt ağ güvenli olacak şekilde yapılandırılmış, ancak aksi takdirde verilerin bir durum bilgisi olan güvenlik duvarı.[1][2] Science DMZ, tipik bilimsel ve bilimsel verilerle yüksek hacimli veri transferlerini işlemek yüksek performanslı bilgi işlem, özel bir DMZ bu transferleri karşılamak için.[3] Tipik olarak yerel ağ çevresinde veya yakınında konuşlandırılır ve genel amaçlı iş sistemleri veya genel amaçlı iş sistemleri yerine orta düzeyde yüksek hızlı akışlar için optimize edilmiştir. kurumsal Bilgi işlem.[4]

Dönem Bilim DMZ ABD Enerji Bakanlığı'nın işbirlikçileri tarafından icat edildi. ESnet 2010 yılında.[5]Bir dizi üniversite ve laboratuvar bir Science DMZ kurdu veya kuruyor. 2012 yılında Ulusal Bilim Vakfı Amerika Birleşik Devletleri'ndeki çeşitli üniversite kampüslerinde Bilim DMZ'lerinin oluşturulması veya iyileştirilmesi için finansman sağladı.[6][7][8]

Bilim DMZ[9]desteklemek için bir ağ mimarisidir Büyük veri. Sözde bilgi patlaması 1960'ların ortalarından beri tartışılıyor ve son zamanlarda veri baskını[10] birçok veri kümesindeki üstel büyümeyi tanımlamak için kullanılmıştır. Bu devasa veri kümelerinin, genellikle İnternet kullanılarak bir konumdan diğerine kopyalanması gerekir. Bu büyüklükteki veri setlerinin makul bir süre içinde taşınması modern ağlarda mümkün olmalıdır. Örneğin, 10 TeraByte verinin bir bilgisayara aktarılması yalnızca 4 saatten kısa sürmelidir. 10 Gigabit Ethernet ağ yolu, disk performansının yeterli olduğu varsayılarak[11] Sorun, bunun paket kaybı olmayan ağlar gerektirmesidir ve orta kutular gibi trafik şekillendiriciler veya güvenlik duvarları bu yavaş ağ performansı.

Durum bilgisi olan güvenlik duvarları

Ana makale: Durum bilgisi olan güvenlik duvarı

Çoğu işletme ve diğer kurum, iç ağlarını dışarıdan kaynaklanan kötü niyetli saldırılardan korumak için bir güvenlik duvarı kullanır. Dahili ağ ile harici İnternet arasındaki tüm trafik, muhtemelen zararlı olabilecek trafiği atan bir güvenlik duvarından geçmelidir.

Durum bilgisi olan bir güvenlik duvarı, durum üzerinden geçen her mantıksal bağlantının durumunu değiştirir ve bağlantı durumuna uygun olmayan veri paketlerini reddeder. Örneğin, bilgisayar istemediği sürece bir web sitesinin iç ağdaki bir bilgisayara sayfa göndermesine izin verilmez. Bu, yakın zamanda istenen sayfaların kaydını tutmak ve istekleri yanıtlarla eşleştirmek için bir güvenlik duvarı gerektirir.

Bir güvenlik duvarı, yönlendiriciler ve anahtarlar gibi diğer ağ bileşenlerine kıyasla ağ trafiğini çok daha ayrıntılı bir şekilde analiz etmelidir. Yönlendiriciler yalnızca ağ katmanı, ancak güvenlik duvarlarının da Ulaşım ve uygulama katmanları yanı sıra. Tüm bu ek işlemler zaman alır ve ağ verimini sınırlar. Yönlendiriciler ve diğer ağ bileşenlerinin çoğu saniyede 100 milyar bit (Gbps) hızları işleyebilse de, güvenlik duvarları trafiği yaklaşık 1 Gbit / sn ile sınırlar, bu da büyük miktarlarda bilimsel veri iletimi için kabul edilemez.

Modern güvenlik duvarları, özel donanımlardan (ASIC ) daha yüksek verim elde etmek için trafiği ve denetimi hızlandırmak. Bu, Science DMZ'lere bir alternatif sunabilir ve mevcut güvenlik duvarları aracılığıyla yerinde incelemeye izin verdiği sürece birleşik tehdit yönetimi (UTM) denetimi devre dışı bırakıldı.

Finansal kayıtlar, kredi kartları, istihdam verileri, öğrenci notları, ticari sırlar vb. Gibi kritik iş verileri için durum bilgili güvenlik duvarı gerekli olabilirken, fen bilgisi verileri daha az koruma gerektirir, çünkü kopyalar genellikle birden fazla yerde bulunur ve daha az ekonomik teşvik vardır. Kurcalamak.[4]

DMZ

Ana makale: DMZ (bilgi işlem)
Bir işletme tarafından kullanılacak geleneksel bir DMZ'nin şeması. DMZ'ye gelen tüm trafik, verimi sınırlayan bir güvenlik duvarından geçmelidir.

Bir güvenlik duvarı, iç ağa erişimi kısıtlamalı, ancak dahili ağdaki web sunucuları gibi halka sunulan hizmetlere harici erişime izin vermelidir. Bu genellikle, "askerden arındırılmış bölge" terimiyle oynanan, DMZ adı verilen ayrı bir dahili ağ oluşturularak gerçekleştirilir. Harici cihazların DMZ'deki cihazlara erişmesine izin verilir. DMZ'deki cihazlar, kötü amaçlı yazılımlara karşı güvenlik açıklarını azaltmak için genellikle daha dikkatli bir şekilde korunur . Sertleştirilmiş cihazlar bazen burç konakları.

Science DMZ, yüksek performanslı hesaplamayı kendi DMZ'sine taşıyarak DMZ fikrini bir adım öteye taşıyor.[12]Özel olarak yapılandırılmış yönlendiriciler, bilim verilerini doğrudan bir dahili ağdaki belirlenmiş cihazlara veya bu cihazlardan geçirerek sanal bir DMZ oluşturur. Güvenlik ayarlanarak sağlanır erişim kontrol listeleri Yönlendiricilerdeki (ACL'ler) yalnızca belirli kaynaklardan ve hedeflerden gelen / giden trafiğe izin verir. Güvenlik, bir saldırı tespit sistemi (IDS) trafiği izlemek ve saldırı belirtilerini aramak için. Bir saldırı algılandığında, IDS yönlendirici tablolarını otomatik olarak güncelleyerek bazılarının Uzaktan Tetiklemeli Kara Delik (RTBH) olarak adlandırdığı duruma neden olur.[1]

Meşrulaştırma

Science DMZ, yüksek performanslı veri hareketini destekleyen ağ, sistemler ve güvenlik altyapısı için iyi yapılandırılmış bir konum sağlar. Veri yoğun bilim ortamlarında, veri kümeleri taşınabilir medyayı aşmıştır ve birçok ekipman ve yazılım satıcısı tarafından kullanılan varsayılan yapılandırmalar yüksek performanslı uygulamalar için yetersizdir. Science DMZ'nin bileşenleri, yüksek performanslı uygulamaları desteklemek ve performans sorunlarının hızlı teşhisini kolaylaştırmak için özel olarak yapılandırılmıştır. Tahsis edilmiş altyapının konuşlandırılması olmadan, kabul edilebilir performans elde etmek çoğu zaman imkansızdır. Basitçe, ağ bant genişliğini artırmak genellikle yeterince iyi değildir, çünkü performans sorunlarına, güçsüz güvenlik duvarlarından kirli fiber optiklere ve uyumsuz işletim sistemlerine kadar pek çok faktör neden olmaktadır.

Science DMZ, bilimsel ağ ve sistem topluluğundan yıllar içinde geliştirilen bir dizi paylaşılan en iyi uygulamanın kodlanmış halidir. Science DMZ modeli, yüksek performanslı veri aktarım altyapısının temel bileşenlerini uzman olmayanların erişebileceği ve her boyutta kurum veya deneyde ölçeklenebilir bir şekilde açıklar.

Bileşenler

Science DMZ'nin temel bileşenleri şunlardır:

  • Yüksek performanslı bir Veri Aktarım Düğümü (DTN)[13] paralel veri aktarım araçlarını çalıştırmak GridFTP
  • Aşağıdakiler gibi bir ağ performansı izleme ana bilgisayarı perfSONAR
  • Yüksek performanslı bir yönlendirici / anahtar

İsteğe bağlı Science DMZ bileşenleri şunları içerir:

Ayrıca bakınız

Referanslar

  1. ^ a b Dan Goodin (26 Haziran 2012). "Bilim adamları, Bilim DMZ'leri ile güvenlik duvarının dışındaki hayatı deneyimliyorlar.""". Alındı 2013-05-12.
  2. ^ Eli Dart, Brian Tierney, Eric Pouyoul, Joe Breen (Ocak 2012). "Science DMZ'ye Ulaşmak" (PDF). Alındı 2015-12-31.CS1 Maint: yazar parametresini (bağlantı)
  3. ^ Dart, E .; Rotman, L .; Tierney, B .; Hester, M .; Zurawski, J. (2013). "Bilim DMZ". Uluslararası Yüksek Performanslı Hesaplama, Ağ Oluşturma, Depolama ve Analiz Konferansı Bildirileri - SC '13. s. 1. doi:10.1145/2503210.2503245. ISBN  9781450323789.
  4. ^ a b "Neden Bilim DMZ?". Alındı 2013-05-12.
  5. ^ Dart, Eli; Metzger, Joe (13 Haziran 2011). "Bilim DMZ". CERN LHCOPN / LHCONE atölyesi. Alındı 2013-05-26. Bu, Science DMZ'ye yapılan en eski alıntı yapılabilir referanstır. Konsept üzerindeki çalışmalar bundan birkaç yıldır devam etmekteydi.
  6. ^ "Bilimsel Uygulamalar için Yüksek Performanslı Veri Aktarımını Kolaylaştırmak için San Diego Eyalet Üniversitesinde Bilim DMZ'nin Uygulanması". Ulusal Bilim Vakfı. 10 Eylül 2012. Alındı 2013-05-13.
  7. ^ "SDNX - Uçtan Uca Dinamik Bilim DMZ'yi Etkinleştirme". Ulusal Bilim Vakfı. 7 Eylül 2012. Alındı 2013-05-13.
  8. ^ "Mevcut bir bilim DMZ'sini iyileştirme". Ulusal Bilim Vakfı. 12 Eylül 2012. Alındı 2013-05-13.
  9. ^ Dart, Eli; Rotman, Lauren (Ağu 2012). "Bilim DMZ: Büyük Veri için Ağ Mimarisi". LBNL raporu.
  10. ^ Brett Ryder (25 Şubat 2010). "Veri Tufanı". Ekonomist.
  11. ^ ."Ağ Gereksinimleri ve Beklentileri". Lawrence Berkeley Ulusal Laboratuvarı.
  12. ^ pmoyer (13 Aralık 2012). "Araştırma ve Eğitim Ağı (REN) Mimarisi: Bilim-DMZ". Alındı 2013-05-12.
  13. ^ "Science DMZ: Veri Aktarım Düğümleri". Lawrence Berkeley Laboratuvarı. 2013-04-04. Alındı 2013-05-13.

Dış bağlantılar