Криптозамками или, говоря бюрократическим языком, аппаратно-программными модулями доверенной загрузки (АПМДЗ), предназначенными для идентификации и аутентификации пользователей и защиты от несанкционированного доступа, никого не удивить. Как правило, выполнены они в виде PCI(e)-карт или M.2-модулей с тем или иным вариантом считывателя для токенов/смарт-карт/USB-ключей, датчиком вскрытия корпуса, «врезками» в линии PWR и RST и т.д. Основные функции их сводятся к определению, кто есть кто ещё до загрузки ОС, разграничению доступа к аппаратным ресурсам, контролю целостности самого модуля, BIOS/UEFI, настроек, ОС, реестра или отдельного ПО/файлов, автономному журналированию и блокировке системы в случае выявления неправомерного доступа.

Всё это замечательно работает до того момента, когда возникает потребность в хоть сколько-нибудь большом пуле серверов, да ещё и геораспределённых, а в худшем случае и вовсе установленных где-нибудь в разбросанных edge-локациях или на производстве. Обновлять конфигурации, прошивки да ключи, а то и просто перезагружать машины (иногда это всё-таки нужно) — не набегаешься. Для этого у любых приличных серверов есть BMC с выделенным сетевым портом для удалённого управления. Однако BMC как правило иностранного производства и не лишены уязвимостей, что без доступа к исходникам хотя бы прошивки усложняет процесс защиты системы.

Источник изображений: Fplus

Сегментация с вынесением BMC в отдельную подсеть (желательно физически изолированную от других) — подход верный, но не избавляющий от атак с участием неблагонадёжного системного администратора в случае размещения на сторонних площадках. BMC — это в принципе целый отдельный контур, который нужно или отключать на корню, или защищать, а вот игнорировать никак нельзя. Для множества решений СКЗИ доступен только первый путь, но Криптозамок Fplus реализует второй. И не только его — это не просто АПМДЗ, а многофункциональная система, которая больше напоминает модуль DC SCM для контроля над аппаратной частью сервера. Собственно говоря, разработчики и не скрывают, что развивают решение именно в этом направлении.

Криптозамок выполнен в виде HHHL-платы, которая, впрочем, к PCIe не подключается. Для защиты удалённого доступа модуль подключается к сетевому интерфейсу на самой плате, при этом внешний разъём для BMC отключается. Таким образом, весь трафик до BMC проходит исключительно через криптозамок. Этот трафик заворачивается в IPSec-туннель с ГОСТ’овскими шифрами. Ответной частью являются дешифратор (фактически микрокомпьютер) с двумя портам, один из которых «смотрит» в сеть, где находятся BMC, а второй нужен для подключения, например, к ноутбуку, откуда и будет доступ к интерфейсам BMC и UEFI. Для собственно защиты в криптозамке и дешифраторе прописываются ключи. Ключ совпал с обеих сторон — доступ есть.

За работу с ключами и шифрованием отвечает отдельный шифратор отечественного производства, что резко повышает стабильность цепочки поставок. Сам блок шифратора изначально был разработан российской компанией, которая впоследствии стала частью компании Fplus. Если точнее, то шифратора в криптозамке сразу два. Один отвечает за сетевое общение, а второй за более традиционные функции защиты UEFI, инвентаризации, доверенное флеш-хранилища и т.п. Криптозамок умеет проверять подлинность и целостность прошивки UEFI (до старта основного хоста), а также загрузчика и ядра ОС привычным путём расчёта контрольных сумм (с ГОСТ 34.11-2018). Кроме того, до старта хоста можно проверить сервер антивирусом.

Криптозамок также отслеживает изменения аппаратной конфигурации сервера и перехватывает управление джамперами, ответственными за сброс и возможность локального обновления UEFI. Естественно, есть и датчик вскрытия корпуса, который позволяет выключить и фактически заблокировать систему, равно как и при любых других нарушениях в отслеживаемых криптозамком программной или аппаратной составляющих. Решение в целом позволяет снизить необходимость физического доступа к оборудованию, что само по себе повышает защищённость.

Но этим функциональность криптозамка не ограничивается. В доверенное флеш-хранилище объёмом 32 или 64 Гбайт можно поместить ISO-образ LiveCD со средствами самодиагностики, инструментами удалённой поддержки или же использовать его в качестве вообще единственного накопителя для загрузки ОС и выполнения на сервере какого-то узкого списка задач. Криптозамок также обладает собственным аккумулятором (до двух месяцев автономной работы) и часами реального времени (RTC), что важно для автономного журналирования и отслеживания состояния сервера (например, не был ли он вскрыт) даже при отсутствии внешнего питания. Для контроля физических параметров среды также есть температурный датчик и лазерный датчик запылённости шасси с точностью измерения до 0,1 мкм. Последнее особенно актуально в случае edge-развёртывания.

В данный момент решение совместимо с серверами Fplus «Спутник», но компания уже работает над интеграцией новинки с другими сериями своих продуктов. А вот совместимости с серверами и СХД других вендоров ждать не стоит. Всё-таки в данном случае речь идёт о контроле над собственной цепочкой поставок, включая прошивки UEFI и BMC, что упрощает интеграцию и сертификацию — устройство относится к СКЗИ класса защиты КС3. В наличии у Fplus имеется уже более сотни устройства, а заказчики, которым важно защищать свою КИИ, уже проводят первые пилотные испытания новинки. В дальнейшем компания планирует целиком вынести TPM и RoT в модуль криптозамка, добавить дополнительные драйверы для его взаимодействия с ОС, упростить управление ключами, разрешить пользователям самостоятельно формировать цифровые подписи для защиты ПО и прошивок и т.д.

НАТО проводит эксперименты с оборудованием для формирования беспилотного «спецназа». По данным Stars and Stripes, речь идёт о беспилотных надводных судах (USV) для патрулирования берегов и защиты от атак подводных интернет-кабелей.

Участники альянса заинтересованы в таком оборудовании и намерены сформировать роботизированный флот уже в 2025 году, заявил один из высокопоставленных представителей НАТО. Недавно организация приняла участие в учениях Digital Talon 3.0, в ходе которых помимо прочего отрабатывалось использование вооружённых безэкипажных катеров и использование авианосцев для старта летающих БПЛА.

Подводные дроны для патрулирования интернет-кабелей уже разрабатываются Францией в рамках Martoc Project. У США же есть подразделение морских беспилотников Task Force 59 (TF 59), которое испытывает как полностью автономные аппараты, так и управляемые дистанционно. Считается, что подразделение — лишь первое в своём роде, формирующее облик будущего ВМФ. В НАТО ещё не придумали звучного названия новым силам, пока известных как USV Fleet, но уже известно, что они будут работать под управлением Командования военно-морских сил НАТО (MARCOM).

Источник изображения: Jacob Vernier/U.S. Navy

По данным военных, фактически флот беспилотников уже существует, силы Task Force 59 испытывают его на Ближнем Востоке. Закончить отладку роботизированного флота и представить его другим участникам альянса планируется к следующему саммиту НАТО в июне 2025 года.

Буквально на днях в Балтийском море произошёл обрыв кабелей, принадлежащих входящим в НАТО странам. Хотя подобные инциденты случаются довольно часто, датские военные задержали китайский сухогруз, имевший несчастье проходить во время инцидентов вблизи места происшествия.

Российский разработчик и производитель IT-оборудования Delta Computers сообщил о выпуске обновлённого программного комплекса Delta Sokol, предназначенного для мониторинга и управления корпоративной инфраструктурой в режиме реального времени.

Ключевой особенностью новой версии Delta Sokol стала поддержка централизованного мониторинга и управления рабочими станциями всех типов (персональные компьютеры, моноблоки, тонкие клиенты): системным администраторам доступна возможность выполнения массовых операций, сбор и экспорт инвентарной информации, а также получение различных уведомлений о состоянии парка устройств.

В числе прочих важных доработок Delta Sokol в части администрирования и эксплуатации серверного оборудования отмечается возможность создания и массового развёртывания образов дисков. Использование «золотого образа» значительно сокращает время, необходимое для установки и настройки новых систем.

Delta Sokol поддерживает работу с рабочими станциями, серверами, системами хранения данных и сетевым оборудованием по протоколам Redfish, SNMP, SSH и позволяет оптимизировать процесс администрирования IT-инфраструктуры. Программный комплекс зарегистрирован в реестре отечественного ПО и может использоваться для замещения зарубежных продуктов.

Компания Grafana Labs, специализирующаяся на решениях для мониторинга IT-инфраструктуры, сообщила о проведении очередного раунда финансирования: на развитие привлечено $270 млн в рамках расширенной программы Series D. При этом стартап получил оценку на уровне $6 млрд.

Grafana Labs, базирующаяся в Нью-Йорке, является создателем Grafana Cloud — популярной платформы с открытым исходным кодом для IT-мониторинга. Система собирает телеметрию и данные из многочисленных источников в составе инфраструктуры клиента, анализирует информацию и отображает её в виде диаграмм, графиков и таблиц.

Источник изображения: Grafana Labs

Платформа помогает отслеживать закономерности и тенденции, а также выявлять возможные технические проблемы ещё до того, как они приведут к серьёзным последствиям. При обнаружении потенциального сбоя генерируется предупреждение, которое отправляется профильному специалисту. Grafana Labs постоянно расширяет возможности своей системы. В частности, появилась функция Adaptive Metrics, которая помогает снижать затраты на облачную инфраструктуру путём анализа потребления ресурсов на основе ИИ-алгоритмов.

Сообщается, что новый раунд финансирования осуществлён под предводительством Lightspeed Venture Partners с участием всех существующих инвесторов, включая GIC, Sequoia Capital, Coatue, Lead Edge Capital, J.P. Morgan и K5 Global. Кроме того, в программе принял участие CapitalG — частный инвестиционный фонд Alphabet. Средства пойдут на ускорение разработки продуктов, а также возможные слияния и поглощения, направленные на укрепление рыночного положения.

Grafana Labs также отмечает, что база платящих клиентов компании расширяется: за последний год она превысила 5000 заказчиков. В их число входят Citigroup, Salesforce, Dell Technologies, ASOS и Microsoft.

В Huawei Cloud разработали собственный сверхточный инструмент сетевого мониторинга RD-Probe для обслуживания для своих облачных регионов. По данным The Register, он способен выявить проблемы, которые человек заметить не способен.

В докладе Huawei и представители Пекинского университета ссылаются на данные Amazon: лишь внутри одного облачного региона AWS имеется 10⁸⁷ возможных путей передачи данных и 10¹⁷⁶ — между регионами. В ЦОД Huawei Cloud используются более 100 тыс. коммутаторов и миллион серверов. Мониторинг всей этой инфраструктуры является чрезвычайно сложной задачей.

Источник изображения: Shivendu Shukla/unsplash.com

RD-Probe отслеживает состояние всех L2-портов во всей сетевой фабрике. Исследователи отмечают, что традиционно осуществляется именно мониторинг L3, что не даёт полной картины состояния сети. При этом инструмент Huawei воспринимает коммутаторы как «чёрные ящики» и не полагается исключительно на их внутреннюю телеметрию, благодаря чему легко интегрируется с уже существующей архитектурой системы мониторинга.

Инструмент сначала проводит зондирование случайным образом, потом — детерминированным. Подобная двухэтапная схема обеспечивает максимальное покрытие сети при проверках и вместе с тем не нагружает её. Для генерации трафика выделен кластер из 16 узлов, каждый из которых имеет неназванный восьмиядерный процессор с частотой 2,80 ГГц и 64 Гбайт оперативной памяти. Полученные данные в потоковом режиме обрабатывают 48 узлов (16-ядерный CPU и 32 Гбайт RAM).

Источник изображения: Huawei

Через месяц после начала использования RD-Probe в Huawei Cloud было найдено множество незамеченных ранее проблем. Конечно, большинство касалось небольших сбоев и эпизодических потерь пакетов, зато выявили их до того, как могли серьёзно пострадать пользователи. Например, инструмент помог определить сбойный чип в коммутаторе ядра сети, из-за которого периодически отбрасывался входящий трафик, но при этом отчёты об ошибках не генерировались. Также была выявлена ошибка в балансировке нагрузки, сбойное SerDes-подключение и проблема с некоторыми BGP-маршрутами.

Исследователи Huawei выразили удовлетворение тем, что RD-Probe улучшило покрытие мониторингом сети с 80,9 % до 99,5 %. В скором времени решение планируется применить в других облачных регионах Huawei. При этом авторы доклада подчёркивают, что RD-Probe оценивает только внутренний трафик и не может фильтровать сбои на серверной стороне. Отмечается, что ручной мониторинг не даёт таких хороших результатов.

SK Telecom (SKT) и Nokia договорились о разработке «чувствительных» оптоволоконных сетей. Технология будет использовать ИИ для мониторинга окружающей среды вокруг кабелей. На первом этапе компании намерены собрать с использованием машинного обучения данные с коммерческой сети SKT. Систему планируется использовать для распознавания землетрясений, климатических изменений и прочих ситуаций, например, инцидентов на близлежащих стройках. К концу года планируется внедрение технологии на территории всей Южной Кореи.

Прохождение сигнала по оптоволокну может меняться под влиянием различных факторов, включая перепады температуры, вибрации и т.д. На основе технологии, предусматривающей применение ИИ, SKT и Nokia намерены добиться более стабильной работы оптоволоконных сетей, изучая воздействие погодных условий и даже близлежащих строительных объектов на кабели. При этом никакой модификации самих кабелей не требуется, так что систему мониторинга можно быстро развернуть на существующей инфраструктуре.

Источник изображения: ulleo/pixabay.com

Идея использования ВОЛС в качестве сенсоров далеко не нова. Такие системы нередко используются в охранных целях, правда, в этом случае речи о передачи данных обычно не идёт. Но операторы пытаются найти новые применения своим сетям. В ноябре появилась новость об использовании кабелей в Японии для оценки снежного покрова, Güralp проложила в водах близ Италии кабель SMART для мониторинга сейсмической активности, а SMART-кабель TAM TAM между Новой Каледонией и Вануату предупредит о землетрясениях и цунами.

Российская производственная компания «Систэм Электрик» (Systême Electric, ранее Schneider Electric в России) объявила о выходе семейства продуктов для мониторинга и автоматизации инфраструктуры ЦОД, которое включает устройство мониторинга параметров окружающей среды SystemeBotz, решение для контроля доступа в ИТ-стойку SystemeBotzAC, а также ПО для централизованного мониторинга DCGuard. Решения являются полноценной заменой аналогичной продукции APC. Новинки будут доступны для проведения опытно-промышленной эксплуатации на объектах клиентов до 31 октября 2024.

SystemeBotz представляет собой масштабируемую систему активного мониторинга, призванную обеспечить защиту помещений, технологического и ИТ-оборудования от различных факторов риска. Это типовое решение сетевого мониторинга серверных комнат, узлов связи и ЦОД, которое устанавливается в стойку и позволяет подключить без надобности в предварительной настройке различные типы датчиков Systême Electric: температуры и влажности, точечных и ленточных протечек, положения двери, дыма и пожара, наличия напряжения, датчики типа «сухой контакт».

Источник изображения: «Систэм Электрик»

SystemeBotzAC — система контроля и управления доступом, разработанная для защиты стоек, позволяющая в режиме реального времени выполнять мониторинг факторов риска физического воздействия и несанкционированного доступа к ИТ-инфраструктуре. Система включает датчики положения дверей, ручки стоек со встроенными считывателями карт, коммуникационные блоков для передачи параметров, блоки питания и IP-камеры. Все компоненты системы совместимы с серверными шкафами Systême Electric, а также некоторыми стойками других производителей.

Программная платформа верхнего уровня DCGuard в режиме реального времени собирает, хранит и визуализирует параметры работы инженерной инфраструктуры объекта, оповещая пользователя об инцидентах и аварийных событиях. DCGuard обеспечивает сбор данных по промышленным протоколам для однофазных и трёхфазных ИБП, рядных и периметральных кондиционеров, PDU) устройств мониторинга параметров окружающей среды, систем холодоснабжения (чиллеров, драйкуллеров, частотно-регулируемых приводов и др.), систем мониторинга батарей, дизель-генераторных установок, а также распределительных щитов.

По данным Datacenter Dynamics, RTSys, Orange Marine, Mappem Geophysics и ENSTA Bretagne в рамках совместного проекта Martoc займутся созданием морских подводных дронов для мониторинга кабелей. Разрабатываемый компаниями автономный дрон Comet-3000 сможет выявлять проблемы на глубинах до 3000 м.

Машина оснащена магнитометром, камерами, электромагнитными сенсорами, фронтальным сонаром и другими датчиками. В Martoc Project заявляют, что дрон будет запускаться с надводного судна в рамках картографических миссий и мониторинга угроз. Кроме того, ведётся разработка систем запуска и извлечения беспилотника для установки, например, на судах, прокладывающих кабели.

Martoc Project стартовал в феврале 2024 года. Компания RTSys, занимающаяся разработкой подводных роботов и акустических технологий, расположена во Франции, но владеет базой и в Сингапуре. Orange Marine, подразделение оператора связи Orange, владеет более 15 % мирового флота судов для прокладки и починки кабелей. Компания уже проложила 264 тыс. км подводных оптоволоконных кабелей.

Источник изображения: RTSys

Французская же Mappem Geophysics специализируется на исследовании дна с помощью электромагнетизма, а ENSTA Bretagne представляет собой инженерную школу и исследовательский центр, базирующийся во французском Бресте. Там ведётся обучение и исследовательские работы, связанные с морскими прикладными задачами, оборонными проектами, транспортом, аэрокосмическими и цифровыми исследованиями.

Ранее в этом году итальянский сетевой оператор Terna и американская Terradepth уже запустили проект использования подводных дронов для инспекции морского дня с помощью подводных дронов для последующей прокладки морских кабелей.

Компания МТС по итогам 2023 года смогла повысить эффективность службы техподдержки и сократить количество инцидентов с маршрутизаторами Wi-Fi на 15 %. Этого удалось достичь благодаря внедрению новых функций удалённого обслуживания абонентских устройств через диагностическую платформу InetCore.

Сервис InetCore, запущенный МТС Digital, предназначен для дистанционной диагностики услуг фиксированной сети и мониторинга ресурсов. Система помогает уменьшить время обслуживания клиентов, которые пользуются услугами домашнего интернет-доступа.

В 2023 году на базе платформы была реализована возможность самостоятельной настройки абонентами Wi-Fi-роутеров через чат-бот или голосовой бот. Кроме того, появился интерфейс диагностики для специалистов контактных центров с интерактивными сценариями обслуживания. Ещё одно нововведение — инструмент автоматического прогнозирования утилизации портов. Система также научилась заранее генерировать предупреждения о необходимости замены оборудования.

Источник изображения: pixabay.com

Говорится, что, помимо снижения количества инцидентов с Wi-Fi-маршрутизаторами, нововведения также позволили на 17 % уменьшить среднее время консультаций. При этом успешность решения вопросов поднялась на 5 %, тогда как отказных заявок при подключении абонентов стало меньше на 10 %. Плюс к этому оптимизировано планирование расширения сети фиксированного доступа: оно теперь осуществляется автоматически, а выезд специалистов происходит на объекты с уже подготовленной инфраструктурой.

В целом, платформа InetCore дала возможность перенаправить ресурсы с решения рутинных задач на стратегическое развитие сервисов и услуг. Расширение функций InetCore также позволило ускорить обучение сотрудников техподдержки благодаря интерактивным сценариям диагностики, сохранению и автоматизированному анализу сетевых данных. Утверждается, что работники достигают показателей специалистов с опытом от полугода всего за месяц. При этом уровень удовлетворенности сервисных специалистов новыми функциями составляет 73 %.

Инфраструктурная компания Prima и Alcatel Submarine Networks объявили о намерении проложить передовой многоцелевой кабель SMART от островов Новой Каледонии до Вануату в рамках проекта TAM TAM. Блог IEEE Communication Society сообщает, что кабель свяжет Порт-Вила (Вануату) и остров Лифу (Новая Каледония) к 2026 году.

В проекте TAM TAM принимают участие власти Вануату, телеком-оператор OPT (Office des Postes et Télécommunications) Новой Каледонии и Французское правительство. Проект не только призван обеспечить прокладку кабеля в Новую Каледонию с дальнейшими магистралями в Австралию и Фиджи — жизненно важной целью проекта является мониторинг окружающей среды. Инновационная технология, как ожидается, обеспечит революцию в системах раннего предупреждения о стихийных бедствиях в тихоокеанском бассейне.

Кабель описывается, как «первый в мире», не только обеспечивающий телекоммуникации, но и оснащённый сенсорами для мониторинга различных природных явлений в режиме реального времени — включая сбор данных о цунами и землетрясениях. Ранее аналогичный экспериментальный SMART-кабель (Science Monitoring And Reliable Telecommunications) был проложен в водах Италии. Система датчиков, интегрированных в телекоммуникационные кабели, позволяет существенно сократить расходы на мониторинг морского ложа.

Источник изображения: IEEE ComSoc

По данным участников проекта, использование новой технологии в районе разлома Новые Гебриды обеспечит исследование сейсмоопасной зоны и защиту 650 тыс. жителей, подвергающихся рискам цунами и землетрясений. Полученная информация будет доступна без лицензий, собранные данные будут храниться в защищённом ЦОД в Новой Каледонии.