과학 DMZ 네트워크 아키텍처

Science DMZ Network Architecture

Science DMZ라는 용어는 보안이 유지되도록 구성되었지만, 그렇지 않으면 스테이트풀 [1][2]방화벽을 통해 데이터가 전달될 경우 성능 제한이 없는 컴퓨터 하위 네트워크를 의미합니다.Science DMZ는 과학적이고 고성능 컴퓨팅에서 전형적으로 대량의 데이터 전송을 처리하기 위해 설계되었으며,[3] 이러한 전송에 대응할 수 있는 특별한 DMZ를 만듭니다.일반적으로 로컬 네트워크 경계 부근에 배치되며 범용 비즈니스 시스템이나 엔터프라이즈 [4]컴퓨팅이 아닌 적당한 수의 고속 흐름에 맞게 최적화되어 있습니다.

Science DMZ라는 용어는 2010년 [5]미국 에너지부 ESnet의 협력자들에 의해 만들어졌습니다.많은 대학과 연구소가 과학 DMZ를 도입했거나 도입하고 있습니다.2012년 미국 국립과학재단은 미국[6][7][8]여러 대학 캠퍼스에 과학 DMZ를 조성하거나 개선하는 데 자금을 지원했다.

Science[9] DMZ는 빅데이터를 지원하는 네트워크 아키텍처입니다.이른바 정보 폭발은 1960년대 중반부터 논의되어 왔으며, 최근에는 데이터 홍수라는[10] 용어가 여러 유형의 데이터 집합에서 기하급수적으로 증가하는 현상을 설명하기 위해 사용되고 있다.이러한 대용량 데이터 세트는 인터넷을 사용하여 한 위치에서 다른 위치로 복사해야 하는 경우가 많습니다.최신 네트워크에서는 이 규모의 데이터 세트를 적절한 시간 내에 이동할 수 있어야 합니다.예를 들어 디스크 퍼포먼스가[11] 적절하다고 가정할 경우 10기가비트 이더넷 네트워크 경로에서 10TB의 데이터를 전송하는 데 걸리는 시간은 4시간 미만입니다.이 때문에 패킷 손실이 없는 네트워크와 트래픽쉐이퍼방화벽 미들박스가 필요하게 됩니다.

스테이트풀 방화벽

주요 기사:스테이트풀 방화벽

대부분의 기업 및 기타 기관은 방화벽을 사용하여 외부로부터의 악의적인 공격으로부터 내부 네트워크를 보호합니다.내부 네트워크와 외부 인터넷 간의 모든 트래픽은 방화벽을 통과해야 합니다. 방화벽은 유해할 가능성이 높은 트래픽을 폐기합니다.

스테이트풀 방화벽은 이 방화벽을 통과하는 각 논리 접속의 상태를 추적하여 접속 상태에 부적절한 데이터 패킷을 거부합니다.예를 들어 웹 사이트는 컴퓨터가 요청하지 않는 한 내부 네트워크의 컴퓨터에 페이지를 보낼 수 없습니다.이를 위해서는 방화벽이 최근에 요청된 페이지를 추적하고 요청을 응답과 일치시켜야 합니다.

또한 방화벽은 라우터나 스위치 등의 다른 네트워킹컴포넌트에 비해 네트워크트래픽을 훨씬 상세하게 분석해야 합니다.라우터는 네트워크 레이어만 처리할 필요가 있지만 방화벽은 트랜스포트 레이어와 애플리케이션레이어도 처리할 필요가 있습니다.이 모든 추가 처리에는 시간이 걸리고 네트워크의 throughput이 제한됩니다.라우터 및 기타 대부분의 네트워크 컴포넌트는 1,000억 비트/초(Gbps)의 속도를 처리할 수 있지만 방화벽은 트래픽을 약 1 기가비트/초로 제한합니다.이는 대량의 과학 데이터를 전달하는 데 적합하지 않습니다.

최신 방화벽에서는 커스텀하드웨어(ASIC)를 이용하여 트래픽과 검사를 고속화할 수 있어 throughput을 높일 수 있습니다.이는 Science DMZ를 대체할 수 있으며 Unified Threat Management(UTM; 통합위협관리) 검사가 디세블로 되어 있는 한 기존 방화벽을 통한 검사가 가능합니다.

재무 기록, 신용카드, 고용 데이터, 학생 성적, 영업 비밀 등과 같은 중요한 비즈니스 데이터에는 상태 저장 방화벽이 필요할 수 있지만, 일반적으로 복사본이 여러 곳에 존재하고 [4]변조할 경제적 동기가 적기 때문에 과학 데이터는 보호가 덜 필요합니다.

DMZ

주요 기사: DMZ(컴퓨팅)
기업에서 사용되는 기존 DMZ의 다이어그램입니다.DMZ에 대한 모든 트래픽은 방화벽을 통과해야 하며, 이로 인해 throughput이 제한됩니다.

방화벽은 내부 네트워크에 대한 액세스를 제한하되 내부 네트워크상의 웹 서버 등 일반인에게 제공되는 서비스에 대한 외부 액세스를 허용해야 합니다.이것은 보통 "비무장지대"라는 용어에 대한 놀이인 DMZ라고 불리는 별도의 내부 네트워크를 만들어서 이루어진다.외부 디바이스는 DMZ 내의 디바이스에 액세스할 수 있습니다.DMZ 내의 디바이스는 일반적으로 말웨어에 대한 취약성을 줄이기 위해 보다 신중하게 유지관리됩니다.강화 디바이스는 바스티온호스트라고 불리기도 합니다.

Science DMZ는 고성능 컴퓨팅을 자체 DMZ로 [12]이동시킴으로써 DMZ 아이디어를 한 단계 더 발전시켰습니다.특별히 설정된 라우터는 내부 네트워크상의 지정된 디바이스 간에 과학 데이터를 직접 주고받음으로써 가상 DMZ를 만듭니다.라우터에서 Access Control List(ACL; 접근컨트롤 리스트)를 설정하여 특정 송신원 및 수신처와의 트래픽만 허용함으로써 보안이 유지됩니다.Intrusion Detection System(IDS; 침입검출시스템)을 사용하여 트래픽을 감시하고 공격 징후를 검색함으로써 보안이 더욱 강화됩니다.공격이 검출되면 IDS는 라우터 테이블을 자동으로 갱신할 수 있으며, 그 결과 일부에서는 Remote Triggered Black이라고 부릅니다.홀(RTBH)[1]

정당성

Science DMZ는 고성능 데이터 이동을 지원하는 네트워킹, 시스템 및 보안 인프라스트럭처를 위한 적절하게 구성된 위치를 제공합니다.데이터 집약적인 과학 환경에서 데이터 세트는 휴대용 미디어를 능가하며 많은 기기 및 소프트웨어 벤더가 사용하는 기본 구성은 고성능 애플리케이션에 적합하지 않습니다.Science DMZ의 컴포넌트는 고성능 애플리케이션을 지원하고 성능 문제의 신속한 진단을 용이하게 하도록 특별히 구성되어 있습니다.전용 인프라스트럭처를 도입하지 않으면 허용 가능한 퍼포먼스를 달성할 수 없는 경우가 많습니다.네트워크 대역폭을 단순히 늘리는 것만으로는 불충분한 것이 보통입니다.이는 방화벽의 전력 부족, 광섬유의 오염, operating system에 이르기까지 많은 요인에 의해 퍼포먼스 문제가 발생하기 때문입니다.

Science DMZ는 과학 네트워킹 및 시스템 커뮤니티에서 수년간 개발되어 온 일련의 공유된 베스트 프랙티스를 코드화한 것입니다.Science DMZ 모델은 고성능 데이터 전송 인프라의 필수 구성 요소를 비전문가도 쉽게 액세스할 수 있고 기관 또는 실험 규모에 관계없이 확장할 수 있는 방식으로 설명합니다.

구성 요소들

Science DMZ의 주요 컴포넌트는 다음과 같습니다.

  • GridFTP 등의 병렬 데이터 전송 도구를 실행하는 고성능 데이터 전송 노드(DTN)[13]
  • perfSONAR 등의 네트워크 퍼포먼스 감시 호스트
  • 고성능 라우터/스위치

옵션의 Science DMZ 컴포넌트는 다음과 같습니다.

「 」를 참조해 주세요.

레퍼런스

  1. ^ a b Dan Goodin (June 26, 2012). "Scientists experience life outside the firewall with "Science DMZs."". Retrieved 2013-05-12.
  2. ^ Eli Dart, Brian Tierney, Eric Pouyoul, Joe Breen (January 2012). "Achieving the Science DMZ" (PDF). Retrieved 2015-12-31.{{cite web}}: CS1 maint: 작성자 파라미터 사용(링크)
  3. ^ Dart, E.; Rotman, L.; Tierney, B.; Hester, M.; Zurawski, J. (2013). "The Science DMZ". Proceedings of the International Conference for High Performance Computing, Networking, Storage and Analysis on - SC '13. p. 1. doi:10.1145/2503210.2503245. ISBN 9781450323789.
  4. ^ a b "Why Science DMZ?". Retrieved 2013-05-12.
  5. ^ Dart, Eli; Metzger, Joe (June 13, 2011). "The Science DMZ". CERN LHCOPN/LHCONE workshop. Retrieved 2013-05-26. This is the earliest cite-able reference to the Science DMZ. Work on the concept had been going on for several years prior to this.
  6. ^ "Implementation of a Science DMZ at San Diego State University to Facilitate High-Performance Data Transfer for Scientific Applications". National Science Foundation. September 10, 2012. Retrieved 2013-05-13.
  7. ^ "SDNX - Enabling End-to-End Dynamic Science DMZ". National Science Foundation. September 7, 2012. Retrieved 2013-05-13.
  8. ^ "Improving an existing science DMZ". National Science Foundation. September 12, 2012. Retrieved 2013-05-13.
  9. ^ Dart, Eli; Rotman, Lauren (Aug 2012). "The Science DMZ: A Network Architecture for Big Data". LBNL-report.
  10. ^ Brett Ryder (Feb 25, 2010). "The Data Deluge". The Economist.
  11. ^ 를 클릭합니다."Network Requirements and Expectations". Lawrence Berkeley National Laboratory.
  12. ^ pmoyer (Dec 13, 2012). "Research & Education Network (REN) Architecture: Science-DMZ". Retrieved 2013-05-12.
  13. ^ "Science DMZ: Data Transfer Nodes". Lawrence Berkeley Laboratory. 2013-04-04. Retrieved 2013-05-13.

외부 링크