В первый раз посетил митап Linkmeetup, в этот раз проходивший на площадке Soluxe Hotel в Москве. Это конференция, созданная ИТ-инженерами для ИТ-инженеров, что сильно отличает её от обычных бизнес-мероприятий, направленных в первую очередь на продажу решений и услуг.
Несмотря на серьёзную площадку Soluxe, где проходят конференции крупных вендоров, Linkmeetup ощущался совсем по-другому. Конкурсы по обжимке витухи и сварки оптики, зона с ретро-игровыми приставками, стол с дошираком и растворимым кофе, бесконечная раздача пива, ведущий в килте и минимум строгих пиджаков. Окунулся в старый добрый мир одминов.
Стенды от привычных спонсоров, конечно, тоже были - иначе, несмотря на платные билеты участников, окупить конференцию такого высокого уровня организации было бы невозможно.
При этом в докладах практически отсутствовал маркетинг и упор был больше на обмен практическим опытом, чем продажу каких-то решений или услуг. Отметил для себя несколько моментов.
- Разбор архитектуры и принципов реализации подхода Network as Code в OzonTech. Отказались от Ansible, Terraform и т.п. в пользу своей CI/CD реализации. В открытом доступе доступна ctreepo для преобразования конфигурации сетевых устройств в дерево, поиска/фильтрации и вычисления разницы (diff) между конфигурациями.
- Т-Банк, не удовлетворившись существующими решениями в области управления политиками межсетевых экранов тоже разработал свою систему для согласования и выдачи огромного количества сетевых доступов в инфраструктуре (300000+ уникальных запросов src/dst/port и 5000+ заявок). При запросе доступа до распределённого сервиса автору заявки нужно знать конкретные хосты чужого сервиса, а обычно он знает только несколько из всего необходимого пула серверов. При горизонтальном масштабировании сервиса (добавления хостов) владельцу сервиса нужно найти и обновить все правила, для которых ранее заказывались доступы. Для решения этих проблем перешли на модель service2service, т.е. заказа доступа не до конкретных хостов, а между описанными сервисами.
- Доклад с налётом маркетинга, но при этом о необычном продукте, Hadal Project - новой системе класса цифровой двойник сети (Network Digital Twin). Собирает конфигурации с сетевого оборудования, приводит в нормализованный вид и строит топологию сетевых связей. Решение позволяет автоматизировать документирование сетевой инфраструктуры, контролировать изменения в сети и проверять конфигурации на эталонные конфигурации.
- Главный конструктор АО «НИЦ» рассказал, что при тестировании сетевых аппаратных платформ оказалось, что популярные генераторы трафика типа iPerf, TRex на базе стандартных ОС вносят много артефактов в трафик на разных уровнях и не дают воспроизводимости тестов, вплоть до разброса результатов более 50% от теста к тесту.
Чтобы получить достоверные результаты требуется тщательная настройка параметров сетевого стека и предварительная калибровка специализированным оборудованием уровня Ixia. Это привело к разработке собственных аппаратных платформ для воспроизведения и фиксации трафика на FPGA.
Из-за требований происхождения из РФ и доверия неприменимы технологии SmartNIC и DPDK, поэтому в НИЦ для разработки доверенных аппаратных платформ для КИИ выбран RISC V и FPGA. На сайте нашёлся хакатон «NeedForFWSpeed» на максимальную производительность межсетевого экрана (уточню, не NGFW) на архитектуре RISC-V.
#️⃣ Технически мероприятие получилось достаточно плотным и интересным, все презентации доступны по ссылке https://t.me/linkmeup_podcast/9645
#мероприятия@oscar_cybersec
