Kaspersky Anti Targeted Attack (KATA) Platform

Расчеты для компонента Sensor

14 мая 2024

ID 211923

Эти расчеты применимы также при развертывании приложения на виртуальной платформе.

При расчете аппаратных требований к компоненту Sensor требуется учитывать, что максимальный объем обрабатываемого трафика составляет 10 Гбит/с. Для обработки трафика максимального объема можно использовать как один Sensor, установленный на отдельном сервере, так и несколько Sensor, установленных на отдельных серверах, которые подключены к одному Central Node. Суммарный объем передаваемого трафика от всех Sensor, подключенных к одному серверу Central Node, не должен превышать 10 Гбит/с.

При наличии в сети более одного сегмента с пропускной способностью 10 Гбит/с и при необходимости обрабатывать трафик в этих сегментах, вам необходимо использовать режим распределенного решения.

Вы можете использовать сервер Sensor в качестве прокси-сервера при обмене данными между рабочими станциями с Endpoint Agent и Central Node, чтобы упростить настройку сетевых правил. Например, если рабочие станции с Endpoint Agent находятся в отдельном сегменте сети, то будет достаточно настроить соединение между серверами Central Node и Sensor.

При использовании Sensor в качестве прокси-сервера при обмене данными между компонентами Endpoint Agent и компонентом Central Node учитывайте следующие ограничения:

  • Максимальное количество рабочих станций с компонентом Endpoint Agent, подключенных к одному компоненту Central Node, составляет 15 000 шт.
  • Максимально допустимые потери пакетов, пересылаемых между серверами Sensor и Central Node, составляют 10% при задержке отправки пакетов до 100 мс.

Требуемая пропускная способность канала связи между серверами Central Node и Sensor зависит от объема обрабатываемого трафика и определяется по следующей формуле:

10% от трафика на SPAN-порте при обычной нагрузке или 20% от трафика на SPAN-порте при пиковой нагрузке + почтовый трафик + трафик по протоколу ICAP + требования к каналу связи между Central Node и Endpoint Agent

Аппаратные требования к серверу Sensor

Компонент Sensor может быть интегрирован с IT-инфраструктурой организации следующими способами:

Аппаратные требования к серверу Sensor приведены в таблице ниже. Расчеты приведены для случая, когда Sensor обрабатывает сообщения электронной почты и зеркалированный трафик со SPAN-портов. Если Sensor используется в качестве прокси-сервера при обмене данными между рабочим станциями с Endpoint Agent и Central Node, следует также учитывать требования к каналам связи.

Аппаратные требования к серверу Sensor в зависимости от объема обрабатываемого трафика со SPAN-портов

Количество компонентов Endpoint Agent

Объем обрабатываемого трафика (Мбит/c)

Минимальный объем оперативной памяти (ГБ)

Минимальное количество логических ядер

10000

100

16

4

15000

500

24

8

15000

1000

32

12

15000

2000

64

20

15000

4000

92

32

15000

7000

128

52

15000

10000

160

72

Центральный процессор должен поддерживать набор инструкций BMI2.

Если вы хотите обрабатывать только сообщения электронной почты и не обрабатывать зеркалированный трафик со SPAN-портов, мы рекомендуем использовать Sensor, установленный на одном сервере с Central Node. Подробнее об аппаратных требованиях см. в разделе Расчеты для компонента Central Node → Аппаратные требования к серверу Central Node и Sensor.

Если один сервер Sensor обрабатывает трафик по нескольким протоколам, то для расчета конфигурации сервера необходимо учитывать, что при настроенной интеграции с почтовым сервером или почтовым сенсором необходимо выключить обработку трафика по протоколу SMTP.

Требования к дисковому пространству на сервере Sensor

Рекомендуется использовать дисковый массив RAID 1. Общий объем дискового пространства должен составлять не менее 500 ГБ.

Аппаратные требования к Sensor при использовании сохранения сырого сетевого трафика

Если вы используете функционал сохранения сырого сетевого трафика, вам необходимо дополнительно увеличить следующие аппаратные характеристики сервера Sensor:

  • 0,5 CPU для каждого 1 Гбит/c сетевого трафика.
  • 6 ГБ оперативной памяти, если скорость сетевого трафика менее 2 Гбит/с или 12 ГБ оперативной памяти, если скорость сетевого трафика 2 Гбит/с и более.
  • Установить отдельное дисковое хранилище в виде пула RAID-массива или DAS с максимальной пропускной способностью, определяемой по формуле:

    <пропускная способность дискового хранилища> = 3 * <максимальный объем записываемого трафика>

  • Емкость дискового хранилища определяется от желаемого времени хранения и максимального объема сохраняемого трафика с учетом фильтров. По примерным расчетам, для хранения записанного трафика максимальным объемом 10 Гбит/с в течении 7 дней, необходимо дисковое хранилище емкостью 750 ТиБ.

Вам помогла эта статья?
Что нам нужно улучшить?
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!