Bezpečnost sítě je pro nás i zákazníky klíčová, říká CTO Martin Žídek
Technický ředitel MasterDC Martin Žídek nechává nahlédnout do zákulisí provozu datových center. Co máme letos za sebou? A jaký je výhled na rok 2022?
V Masteru jsme navýšili kapacitu sítě, zlepšili DDoS ochranu a technický tým pracuje třeba na nasazení RPKI. „Nenudíme se,“ přibližuje dění ze světa datacenter Martin Žídek, technický ředitel MasterDC.
Martine, je známo, že s technickým týmem v datacentrech neustále inovujete. Jakými novinkami se můžeš pochlubit teď, na podzim 2021?
Je jich dost, to je pravda. Koncem léta jsme dokončili kompletní upgrade sítě na platformu 100 GE. Využíváme v ní nově routery od velmi dynamické, a řekl bych až průkopnické, firmy Arista. Nemají modulární šasi a běží na moderní ASIC platformě Broadcom Jericho2, která je známá tím, že na rozdíl od svých předchůdců poskytuje kompletní funkce routingu bez snížení výkonu. Vše jsme zautomatizovali přes Ansible, což ulehčilo práci hlavně našemu admin týmu. Obě datacentra v Praze a Brně jsou teď propojena linkami o kapacitě 200 Gb/s a i tranzitní konektivita je díky posílení odolnější proti útokům.
Problematiku DDoS útoků řešíme v Masteru dlouhodobě. Jako jedni z prvních jsme nasadili platformu, která umí odfiltrovat nežádoucí provoz v reálném čase. Podnikli jste s týmem nějaké další kroky i v této oblasti?
Ochrana zákazníků před útoky a konzultace bezpečnostních řešení jsou jednou z našich priorit. A taky jednou z nejčastějších otázek zákazníků. K blokaci nežádoucího provozu jsme se v nové síti rozhodli využívat BGP Flowspec. O Flowspecu se v poslední době hodně mluví a dnes už je celkem běžně podporován routery napříč výrobci. Jedná se vlastně o takové rozšíření protokolu BGP. Jeho výhodou je maximální přesnost při filtrování nežádoucího provozu. Velice dobře si s mitigací přes BGP Flowspec umí poradit DDoS Defender od Flowmonu, jehož sondy jsme v naší síti nasadili.
Chraňte se před DDoS útoky
V MasterDC nabízíme specializovanou anti-DDoS ochranu, která odrazí útoky o síle až několika desítek Gbps. Zařízení Radware DefensePro útoky odfiltruje v reálném čase a vy si jich ani nevšimnete.
S brněnským Flowmonem máme dlouhodobou spolupráci. A Flowmon je i naším zákazníkem, že?
Flowmon je jedním z řady příkladů, kdy původní vztah dodavatel–odběratel přerostl do partnerství. Jako provozovatel autonomního systému jsme už dříve implementovali řešení od Flowmonu do naší sítě. Zákazníkovi tak vypomáháme při vývoji bezpečnostních produktů a sami jsme se stali jeho zákazníkem. Klasická win-win situace.
Když je řeč o BGP, ten sehrál roli i při nedávném globálním výpadku Facebooku. Vzal sis ty jako expert na BGP a hlavní síťař z tohoto incidentu nějaké ponaučení, respektive vyplývá z toho doporučení pro ostatní?
Jednalo se o typickou ukázku, jak si pod sebou uříznout větev. Myslím, že bez nadsázky se to opravdu může stát každému adminovi. Ale za zmínku stojí celkem spolehlivá a ve své podstatě jednoduchá metoda, která podobné situaci může zabránit. Mám na mysli funkcionalitu commit & confirm. Pokud admin nepotvrdí novou konfiguraci, systém provede automatický rollback na předchozí funkční verzi konfigurace. Jestli to vaše systémy podporují, určitě ji využívejte.
Podzim a předvánoční doba je typická zvyšující se frekvencí a intenzitou DDoS útoků. Pozoruješ v této oblasti nějaký trend?
Počet a frekvence DDoS útoků je zhruba stejná jako v předešlých letech. Co se naopak mění, je jejich intenzita a typ útoků. Často se teď setkáváme s burst útoky, známými také jako hit-and-run. Typické jsou sérií krátkých útoků v náhodných intervalech. Jednotlivý útok obvykle nepřesáhne pár vteřin, ale celá série může trvat hodiny, dny, v extrémních případech i týdny. Protože jsou útoky často multivektorové a zaměřují se na více protokolových vrstev najednou, je teď ještě víc než kdy dřív důležitá vícevrstevnatá ochrana na straně poskytovatelů. To je ostatně i náš cíl, o kterém jsem ale už mluvil.
Prozradíš, co dalšího se ještě v Masteru letos chystá?
Neměl bych zapomenout na implementaci kryptografického upgradu RPKI. Tu jsme se jako členové FENIX zavázali stihnout do ledna 2022. V současné době je to jedna z nejlepších cest, jak se vyhnout route hijackingu. RPKI totiž ověří původ informace a pomáhá zajistit bezpečnou síť pro nás i naše zákazníky.
Když mluvíš o kryptografickém protokolu, jak jsme na tom vlastně s protokolem IPv6?
Navzdory tomu, že IPv6 provozujeme a aktivně propagujeme od roku 2007, tak přes něj u nás v síti proudí asi jen desetina celkového trafficu. Většina zákazníků preferuje IPv4 a opatrně přechází na dual-stack řešení. Celosvětově ale podpora IPv6 roste. Většina internetového obsahu je dostupná přes IPv6 a pro weby státní správy dokonce platí povinnost tuto verzi protokolu nasadit. Věřím, že se nám na osvětě podaří zapracovat. A snad i díky tomu, že v Masteru IPv6 přidělujeme ke službám automaticky, uvidíme ve statistikách provozu příští rok o něco optimističtější čísla…
Letošní rok se pomalu chýlí ke konci. Máš nějaká očekávání, co přinese 2022?
Nerad bych si hrál na vizionáře, ale vypíchnu trendy, které určitě přetrvají i do dalších let. Hybridní cloud a hybridní řešení obecně. Dnes a denně vidíme, že čistě veřejná nebo jen privátní řešení jsou na ústupu. Firmy si berou to nejlepší z obou světů. Bohužel se obávám že i příští rok se ponese ve znamení nedostatku čipů a dlouhých dodacích lhůt u low-end platforem. I když uvidíme, jak s tím vším zahýbe nizozemská společnost ASML. Určitě se vyplatí ji sledovat.
S technickým ředitelem Martinem Žídkem vyšel otevřený rozhovor také v roce 2017 na portálu Lupa.cz.