Při stahování ISO souboru (700 Mbit/s) koukám, že to jedno jádro vytíží na 100 %, druhé 20 %, ostatní nic.
To se stává i v lepších rodinách. Obecně load balancing napříč "nějakými zdroji" (tradičně Eth porty v bundlu) nebývá per paket, ale per destination nebo per flow apod. Tady zrovna Vám konkrétní flow sežere celé CPU jádro. Ve vanilkovém linuxu (nebo OpenWRT) bych se případně zajímal, zda mám zapnutý irqbalance - a neslibuju, že zrovna ten by Váš případ měl řešit.
Začni tím, že si ověříš, že nebudete spadat pod NIS2 a osobně si myslím, že při této velikosti budete. Abys nevyhodil prachy a spoustu času za nějaký řešení, který se za rok buď bude muset rozšířit nebo úplně vyměnit.
Ze zvědavosti jsem mrknul, co se o NIS2 a
Zákonu o kybernetické bezpečnosti dá dočíst, a brodil jsem se víceméně spoustou meta-řečí okolo. Když pominu obsáhlou rovinu motivačně-řečnivou a trochu více k věci rovinu organizačních opatření, zajímá mě: už jsou jasné nějaké technické požadavky a konkrétní technická řešení, týkající se konkrétně firemního firewallu?
Co všechno logovat, musí to mít IDS/IPS, má se to bavit přes nějaká externí rozhraní s nějakým kolektivním systémem informování o hrozbách? Musí to mít povinně horkou zálohu (active+backup)? Co všechno na kterých vrstvách má FW filtrovat? Jsou nějaké best practices, co ještě dovolit a co zakázat? Konkrétní nároky na autentikaci admina? Na autentikaci remote VPN klientů, pokud FW slouží také jako VPN access server? Dovolené a zakázané šifry / tunelové technologie? Co smí přicestovat emailem / downloadem z webu? Je povinnost používat nějaké externí služby pro zjišťování, zda je zkoumaný vzorek čistý vs. závadný?
Zkusil jsem pogooglit, jestli na to téma uveřejnil nějaký názor třeba projekt Turris nebo CZ.NIC, a nevidím dohromady nic.
Nebo to stojí tak, že "na tyto otázky má dát jasnou odpověď analýza rizik a provozně-organizačního uspořádání, kterou je třeba za tím účelem v konkrétní organizaci pořídit, a závěry a doporučení přetavit v interní směrnici" ?
Pokud toto zatím není technicky detailně jasné, a ten firewall je třeba řešit teď, za mě o důvod víc pořídit něco otevřeného a přiměřeně silného za relativně málo peněz na open hardwaru :-) než si koupit od komerčního dodavatele slib, že tento dnešní produkt bude za rok-dva vyhovovat jakémusi politicko-legislativnímu prostředí, které se do té doby vyvine...
Ano potkal jsem v praxi některé svědomité firmy, kterých se NIS2 primárně týká, a zhruba vím, jak k tomuto zadání už několik let přistupují. Dělají maximum technicky možného. Ale když si představím, že bych byl správcem ve firmě, která pomalu roste k hranici 50 lidí, a oborem se možná okrajově dotýká záběru NIS2 resp. našeho domácího Zákona, tak bych se možná drbal na hlavě, do kolika všelijakých chomoutů chci dobrovolně strčit hlavu. Pokud správně chápu, zatím se zdá, že se ta věc nesnaží "vnutit určitou úroveň bezpečnostního cirkusu" rekurzivně i vnějším partnerům, kteří jsou mimo přímou působnost NIS2/Zákona. Zřejmě stačí, že tito "zůstanou venku před hradbami." (Srovnejte se systémem jakosti ISO a jeho pojmem "kvalifikovaných dodavatelů", nebo s mezinárodním hnutím proti krvavým minerálům apod.)
23 Odpovědí
10694 Zhlédnutí