Kaspersky Anti Targeted Attack (KATA) Platform

Расчеты для компонента Central Node

14 мая 2024

ID 247136

При развертывании приложения на виртуальной платформе требуется на 10 процентов больше ресурсов процессора, чем в случае развертывания приложения на физическом сервере. В параметрах виртуального диска должен быть выбран тип диска Thick Provision.

Аппаратные требования к серверу с компонентами Central Node и Sensor

Аппаратные требования к серверу, на котором установлены компоненты Central Node и Sensor, зависят от следующих условий:

  • объем обрабатываемого трафика;

    Объем обрабатываемого расшифрованного трафика для расчета нагрузки на сервер определяется по следующей формуле:

    <объем расшифрованного трафика, передаваемого приложением ArtX TLSProxy 1.9.1> = 5 * <объем незашифрованного трафика>

    Объем обрабатываемого на ICAP-сервере трафика для расчета нагрузки на сервер определяется по следующей формуле:

    <объем трафика, обрабатываемого на ICAP-сервере> = 5 * <объем трафика, который не обрабатывается на ICAP-сервере>

  • количество обрабатываемых сообщений электронной почты в секунду;
  • количество хостов с компонентом Endpoint Agent.

    Компонент Endpoint Agent может быть установлен на рабочую станцию, терминальный сервер, файловый сервер или в сетевое хранилище (NAS).

    Совместимость версий приложений, которыми представлен компонент Endpoint Agent, c версиями Kaspersky Anti Targeted Attack Platform см. в следующих разделах справки: Kaspersky Endpoint Agent для Windows, Kaspersky Endpoint Security для Windows, Kaspersky Endpoint Security для Linux, Kaspersky Endpoint Security для Mac.

    Приложение Kaspersky Endpoint Agent для Windows также может быть установлено на сервер SCADA.

    Эффективное количество хостов с компонентом Endpoint Agent для расчета нагрузки на сервер определяется по следующей формуле:

    K = A+3*B+20*C

    где

    • "K" – эффективное количество хостов с компонентом Endpoint Agent.
    • "A" – количество рабочих станций и пользователей терминальных серверов под управлением операционной системы Windows с установленным компонентом Endpoint Agent.
    • "B" – количество рабочих станций и пользователей терминальных серверов под управлением операционной системы Linux или macOS с установленным компонентом Endpoint Agent.
    • "C" – количество серверов.

При объеме обрабатываемого трафика более 1 Гбит/с необходимо устанавливать компоненты Central Node и Sensor на отдельных серверах.

Аппаратные требования к серверу с компонентом Central Node в зависимости от используемой функциональности представлены в таблице ниже.

Для работы Kaspersky Anti Targeted Attack Platform на базе операционной системы Astra Linux вам необходимо настроить приложение.

Аппаратные требования к серверу с компонентом Central Node при использовании функциональности KEDR

Максимальное количество хостов с компонентом Endpoint Agent

Минимальный объем оперативной памяти (ГБ)

Минимальное количество логических ядер с частотой 3 ГГц

Первая дисковая подсистема (RAID 1 или RAID 10)

Вторая дисковая подсистема (RAID 10)

ROPS (чтение, операций в секунду)

WOPS (запись, операций в секунду)

Объем дискового массива (ТБ)

Количество дисков в массиве

ROPS (чтение, операций в секунду)

WOPS (запись, операций в секунду)

1000

64

8

100

1000

1

4

300

200

3000

80

12

100

1000

1

4

700

500

5000

96

16

100

1000

1

4

1000

600

10 000

144

24

100

1000

1

4

2000

800

15 000

192

32

100

1000

1

4

2000

800

Аппаратные требования к серверу с компонентом Central Node при использовании функциональности КАТА и KEDR

Максимальное количество хостов с компонентом Endpoint Agent

Максимальное количество сообщений электронной почты в секунду

Максимальный объем трафика со SPAN-портов на сервере с компонентом Central Node

Максимальный объем трафика со SPAN-портов на серверах с компонентом Sensor (Мбит/с)

Минимальный объем оперативной памяти (ГБ)

Минимальное количество логических ядер с частотой 3 ГГц

Первая дисковая подсистема (RAID 1 или RAID 10)

Вторая дисковая подсистема (RAID 10)

ROPS (чтение, операций в секунду)

WOPS (запись, операций в секунду)

Объем дискового массива (ТБ)

Количество дисков в массиве

ROPS (чтение, операций в секунду)

WOPS (запись, операций в секунду)

1000

1

200

Не обрабатывается

96

16

100

1000

1,9

4

300

300

2000

2

500

Не обрабатывается

128

24

100

1000

2

4

500

500

5000

1

1000

Не обрабатывается

160

36

100

1000

2

4

1000

600

10 000

2

1000

Не обрабатывается

224

48

100

1000

2

4

2000

800

5000

5

Не обрабатывается

2000

144

32

100

1000

1,9

4

1000

600

10 000

20

Не обрабатывается

4000

224

56

100

1000

1,9

4

2000

800

15 000

20

Не обрабатывается

4000

256

64

100

1000

1,9

4

2000

800

15 000

20

Не обрабатывается

7000

320

104

100

1000

1,9

4

2000

800

15 000

20

Не обрабатывается

10 000

320

144

100

1000

1,9

4

2000

800

Аппаратные требования к серверу с компонентом Central Node при использовании функциональности КАТА

Максимальное количество сообщений электронной почты в секунду

Максимальный объем трафика со SPAN-портов на сервере с компонентом Central Node

Максимальный объем трафика со SPAN-портов на серверах с компонентом Sensor (Мбит/с)

Минимальный объем оперативной памяти (ГБ)

Минимальное количество логических ядер с частотой 3 ГГц

Первая дисковая подсистема (RAID 1 или RAID 10)

ROPS (чтение, операций в секунду)

WOPS (запись, операций в секунду)

Объем дискового массива (ТБ)

Количество дисков в массиве

2

500

Не обрабатывается

64

20

100

1000

2

4

2

1000

Не обрабатывается

80

28

100

1000

2

4

5

Не обрабатывается

2000

64

20

100

1000

2

4

20

Не обрабатывается

4000

80

40

100

1000

2

2

20

Не обрабатывается

7000

128

72

100

1000

2

2

20

Не обрабатывается

10 000

128

112

100

1000

2

2

Kaspersky Anti Targeted Attack Platform не поддерживает работу с программным RAID-массивом.

Центральный процессор должен поддерживать набор инструкций BMI2.

Примеры расчета требуемой конфигурации серверов с компонентами Kaspersky Anti Targeted Attack Platform

Если вы хотите:

  • обрабатывать трафик с сетевого устройства с пропускной способностью до 4 Гбит/с;
  • обрабатывать 20 сообщений электронной почты в секунду;
  • использовать 15 000 хостов с Kaspersky Endpoint Security для Windows или 5000 хостов с Kaspersky Endpoint Security для Linux или Kaspersky Endpoint Security для Mac,

то вам требуется два сервера со следующими аппаратными характеристиками:

  • сервер с компонентом Central Node: не менее 256 ГБ оперативной памяти и 64 логических ядер процессора;
  • сервер с компонентом Sensor: не менее 92 ГБ оперативной памяти и 32 логических ядер процессора.

Указанные расчеты справедливы также для инфраструктуры с 5000 хостов с Kaspersky Endpoint Security для Linux или при совместном использовании приложений (например, 9000 хостов с Kaspersky Endpoint Security для Windows и 2000 хостов с Kaspersky Endpoint Security для Linux).

Требования к дисковому пространству на сервере Central Node

На сервере с компонентом Central Node должно быть не менее 2000 ГБ свободного пространства на первой дисковой подсистеме и не менее 2400 ГБ на второй дисковой подсистеме. Объем требуемого пространства на второй дисковой подсистеме зависит от желаемой политики хранения данных и может быть вычислен по следующей формуле:

150 ГБ + <количество хостов с Kaspersky Endpoint Agent или Kaspersky Endpoint Security для Windows>/15000 * (400 ГБ + 240 ГБ * <срок, за который требуется хранить данные, в днях>)/0.65, но не более 12 ТБ.

Эта формула может быть использована для примерной оценки требуемого дискового пространства. Реальный объем хранимых данных зависит от профиля трафика организации и может отличаться от полученного результата вычислений.

Если вы установили компонент Central Node и Sensor не в виде отказоустойчивого кластера, вам необходимо рассчитать объем на диске для параметров База событий, ГБ и Хранилище, ГБ по следующей формуле:

A = F - R, ГБ.

где

  • А – объем, используемый для базы событий и Хранилища.
  • F – объем жесткого диска, на котором установлен компонент Central Node.
  • R – зарезервированное количество свободного пространства (ГБ), соответствующее количеству подключенных хостов с компонентом Endpoint Agent, приведенное в таблице ниже.

Если количество подключенных к компоненту Central Node хостов находится в диапазоне между значениями, используйте в расчетах большее число.

Зарезервированное количество свободного пространства в зависимости от количества хостов с компонентом Endpoint Agent

Количество хостов с компонентом Endpoint Agent

Зарезервированное количество свободного пространства (ГБ)

1000

1000

3000

1200

5000

1400

10 000

1900

15 000

2400

Если вы настроили интеграцию для проверки объектов внешней системы с помощью REST API, вам необходимо увеличить аппаратные характеристики сервера Central Node. Дополнительные аппаратные требования приведены в таблице ниже.

Дополнительные аппаратные требования к серверу с компонентом Central Node при наличии интегрированных внешних систем

Максимальное количество обрабатываемых объектов в секунду

Количество дополнительных логических ядер

Количество дополнительных серверов с компонентом Sandbox

8

2

1

16

4

2

24

7

3

Если вы настроили интеграцию для отправки событий во внешнюю систему с помощью REST API, вам необходимо увеличить аппаратные характеристики сервера Central Node на 1 логическое ядро и 6 ГБ оперативной памяти.

Если вы используете функциональность сохранения сетевого трафика, вам необходимо увеличить аппаратные характеристики сервера Cental Node. Подробнее об аппаратных требованиях см. в разделе Расчеты для компонента Sensor → Аппаратные требования к Sensor при использовании сохранения сырого сетевого трафика.

Требования к серверу PCN в режиме распределенного решения

Если вы используете режим распределенного решения, при расчете аппаратных требований необходимо учитывать, что аппаратные требования к серверу PCN на 10% выше для минимального объема оперативной памяти и для минимального количества логических ядер, чем к серверу с компонентом Central Node. Аппаратные требования к серверу с компонентом Central Node указаны в таблицах Аппаратные требования к серверу с компонентом Central Node при использовании функциональности KEDR, Аппаратные требования к серверу с компонентом Central Node при использовании функциональности KATA+KEDR, Аппаратные требования к серверу с компонентом Central Node при использовании функциональности KATA (см. выше).

Вы можете подключить к одному серверу PCN до 30 серверов SCN.

Требования к каналам связи

Необходимо обеспечить пропускную способность канала связи между сервером с компонентом Central Node и каждым сегментом сети в зависимости от количества хостов с компонентом Endpoint Agent в сегменте. Пропускная способность в зависимости от количества хостов с компонентом Endpoint Agent приведена в таблице ниже.

Пропускная способность канала связи в зависимости от количества хостов с компонентом Endpoint Agent

Максимальное количество хостов с компонентом Endpoint Agent

Требуемая пропускная способность канала связи, зарезервированная для компонентов Endpoint Agent (Мбит/с)

10

1

50

2

100

3

1000

20

10 000

200

Минимальные требования к каналу связи между серверами PCN и SCN в режиме распределенного решения приведены в таблице ниже.

Минимальные требования к каналу связи между серверами PCN и SCN

Максимальное количество хостов с компонентом Endpoint Agent

Максимальное количество сообщений электронной почты в секунду

Максимальный объем трафика со SPAN-портов (Мбит/с)

Требуемая пропускная способность канала связи (Мбит/с)

5000

5

2000

20

10 000

20

4000

30

Аппаратные требования к серверам кластера Central Node

Кластер должен включать минимум 4 сервера: 2 сервера хранения и 2 обрабатывающих сервера. При подключении до 15 000 хостов с компонентом Endpoint Agent, вам нужно минимум 2 сервера хранения и 2 обрабатывающих сервера. При подключении от 15 000 до 30 000 хостов с компонентом Endpoint Agent вам требуется не менее 2 серверов хранения и 3 обрабатывающих серверов.

Каждый сервер кластера должен иметь два сетевых адаптера для настройки кластерной и внешней подсети. Кластерная подсеть должна функционировать со скоростью 10 Гбит/с.

Для кластерной подсети также должны выполняться следующие требования:

  • В кластерную подсеть должны входить только серверы кластера и сетевые коммутаторы.
  • Кластерная подсеть должна быть изолированной.
  • Серверы кластера должны находиться в одном L1- или L2-сегменте. Для этого вы можете подключить все серверы кластера к одному коммутатору или использовать программное туннелирование. Например, L2TPv3 или Overlay Transport Virtualization (OTV).
  • Значение сетевой задержки ("network latency") должно удовлетворять требованию "single digit latency", то есть в миллисекундах значение должно быть менее 10.

Аппаратные требования к серверам кластера при использовании функциональности KEDR приведены в таблице ниже.

Аппаратные требования к обрабатывающим серверам при использовании функциональности KEDR

Минимальный объем оперативной памяти (ГБ)

Минимальное количество логических ядер

Тип массива RAID

Количество дисков в массиве RAID

Объем одного жесткого диска (ГБ)

256

48

RAID 1

2

1200

Аппаратные требования к серверам хранения при использовании функциональности KEDR

Минимальный объем оперативной памяти (ГБ)

Минимальное количество логических ядер

Первая дисковая подсистема

Вторая дисковая подсистема

Тип массива RAID

Количество дисков в массиве RAID

Объем одного жесткого диска (ГБ)

Количество дисков

Объем одного жесткого диска (ГБ)

128

16

RAID 1

2

1200

не менее 6

не менее 1200

Рекомендуется использовать для двух дисковых подсистем диски одинакового объема. Для второй дисковой подсистемы используются диски, не объединенные в RAID-массив.

Требования к скорости дисковых подсистем аналогичны требованиям, указанным в таблице Аппаратные требования к серверу с компонентом Central Node при использовании функциональности KEDR (см. выше).

См. также

Расчеты для компонента Sensor

Расчеты для компонента Sandbox

Расчеты для компонента Central Node, развернутого на платформе виртуализации KVM

Вам помогла эта статья?
Что нам нужно улучшить?
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!