V Masteru navýšili kapacitu sítě, zlepšují DDoS ochranu a pracují třeba na nasazení RPKI. „Nenudíme se,“ přibližuje dění ze světa datacenter Martin Žídek, technický ředitel MasterDC.
Martine, je známo, že v datacentrech neustále inovujete. Jakými novinkami se můžete pochlubit teď, na podzim 2021?
Je jich dost, to je pravda. Koncem léta jsme dokončili kompletní upgrade sítě na platformu 100 GE. Využíváme v ní nově routery od velmi dynamické, a řekl bych až průkopnické, firmy Arista. Nemají modulární šasi a běží na moderní ASIC platformě Broadcom Jericho2, která je známá tím, že na rozdíl od svých předchůdců poskytuje kompletní funkce routingu bez snížení výkonu. Vše jsme zautomatizovali přes Ansible, což ulehčilo práci hlavně našemu admin týmu. Obě datacentra v Praze a Brně jsou teď propojena linkami o kapacitě 200 Gb/s a i tranzitní konektivita je díky posílení odolnější proti útokům.
Problematiku DDoS útoků řešíte dlouhodobě. Jako jedni z prvních jste nasadili platformu, která umí odfiltrovat nežádoucí provoz v reálném čase. Podnikli jste nějaké další kroky i v této oblasti?
Ochrana zákazníků před útoky a konzultace bezpečnostních řešení jsou jednou z našich priorit. A taky jednou z nejčastějších otázek zákazníků. K blokaci nežádoucího provozu jsme se v nové síti rozhodli využívat BGP Flowspec. O Flowspecu se v poslední době hodně mluví a dnes už je celkem běžně podporován routery napříč výrobci. Jedná se vlastně o takové rozšíření protokolu BGP. Jeho výhodou je maximální přesnost při filtrování nežádoucího provozu. Velice dobře si s mitigací přes BGP Flowspec umí poradit DDoS Defender od Flowmonu, jehož sondy jsme v naší síti nasadili.
S brněnským Flowmonem máte dlouhodobou spolupráci. A Flowmon je i vaším zákazníkem, že?
Flowmon je jedním z řady příkladů, kdy původní vztah dodavatel–odběratel přerostl do partnerství. Jako provozovatel autonomního systému jsme už dříve implementovali řešení od Flowmonu do naší sítě. Zákazníkovi tak vypomáháme při vývoji bezpečnostních produktů a sami jsme se stali jeho zákazníkem. Klasická win-win situace.
Když je řeč o BGP, ten sehrál roli i při nedávném globálním výpadku Facebooku. Vzal jste si vy jako expert na BGP a hlavní síťař Masteru z tohoto incidentu nějaké ponaučení, respektive vyplývá z toho doporučení pro ostatní?
Jednalo se o typickou ukázku, jak si pod sebou uříznout větev. Myslím, že bez nadsázky se to opravdu může stát každému adminovi. Ale za zmínku stojí celkem spolehlivá a ve své podstatě jednoduchá metoda, která podobné situaci může zabránit. Mám na mysli funkcionalitu commit & confirm. Pokud admin nepotvrdí novou konfiguraci, systém provede automatický rollback na předchozí funkční verzi konfigurace. Jestli to vaše systémy podporují, určitě ji využívejte.
Podzim a předvánoční doba je typická zvyšující se frekvencí a intenzitou DDoS útoků. Pozorujete v této oblasti nějaký trend?
Počet a frekvence DDoS útoků je zhruba stejná jako v předešlých letech. Co se naopak mění, je jejich intenzita a typ útoků. Často se teď setkáváme s burst útoky, známými také jako hit-and-run. Typické jsou sérií krátkých útoků v náhodných intervalech. Jednotlivý útok obvykle nepřesáhne pár vteřin, ale celá série může trvat hodiny, dny, v extrémních případech i týdny. Protože jsou útoky často multivektorové a zaměřují se na více protokolových vrstev najednou, je teď ještě víc než kdy dřív důležitá vícevrstevnatá ochrana na straně poskytovatelů. To je ostatně i náš cíl, o kterém jsem ale už mluvil.
O MasterDC
MasterDC pomáhá zákazníkům s péčí o firemní servery a IT infrastrukturu. Už více než 20 let provozuje vlastní datová centra v Praze a Brně a patří mezi klíčové hráče českého IT. Kromě server hostingu sestavuje složitá clusterová, bezpečnostní nebo síťová řešení. Aktuálně hlavně v hybridní variantě. Jeho technologiím důvěřují přední české firmy a instituce. Dlouhodobě spolupracuje s dodavateli špičkového hardware a softwarových technologií. MasterDC je Gold partnerem společnosti Dell, mezi jeho další partnery patří VMware, Cisco, Microsoft, Proxmox a další.
Prozradíte, co dalšího se ještě v Masteru letos chystá?
Neměl bych zapomenout na implementaci kryptografického upgradu RPKI. Tu jsme se jako členové FENIX zavázali stihnout do ledna 2022. V současné době je to jedna z nejlepších cest, jak se vyhnout route hijackingu. RPKI totiž ověří původ informace a pomáhá zajistit bezpečnou síť pro nás i naše zákazníky.
Když mluvíte o kryptografickém protokolu, jak jste na tom vlastně s protokolem IPv6?
Navzdory tomu, že IPv6 provozujeme a aktivně propagujeme od roku 2007, tak přes něj u nás v síti proudí asi jen desetina celkového trafficu. Většina zákazníků preferuje IPv4 a opatrně přechází na dual-stack řešení. Celosvětově ale podpora IPv6 roste. Většina internetového obsahu je dostupná přes IPv6 a pro weby státní správy dokonce platí povinnost tuto verzi protokolu nasadit. Věřím, že se nám na osvětě podaří zapracovat. A snad i díky tomu, že v Masteru IPv6 přidělujeme ke službám automaticky, uvidíme ve statistikách provozu příští rok o něco optimističtější čísla…
Letošní rok se pomalu chýlí ke konci. Máte nějaká očekávání, co přinese 2022?
Nerad bych si hrál na vizionáře, ale vypíchnu trendy, které určitě přetrvají i do dalších let. Hybridní cloud a hybridní řešení obecně. Dnes a denně vidíme, že čistě veřejná nebo jen privátní řešení jsou na ústupu. Firmy si berou to nejlepší z obou světů. Bohužel se obávám že i příští rok se ponese ve znamení nedostatku čipů a dlouhých dodacích lhůt u low-end platforem. I když uvidíme, jak s tím vším zahýbe nizozemská společnost ASML. Určitě se vyplatí ji sledovat.
