Назад | Перейти на главную страницу

Что является приемлемым безопасным источником времени в среде центра обработки данных?

GPS и NTP - два очень типичных источника времени, когда требуются точные часы. Однако у каждого из них есть важный недостаток. NTP не обеспечивает аутентификацию источника времени, поэтому может быть уязвим для спуфинга. GPS не очень хорошо работает в стенах дата-центра.

Точное время - это операционная проблема по любому количеству причин, а также проблема безопасности из-за таких вещей, как время жизни токена сеанса, истечение срока действия ключа, ограничение скорости, ограничения времени суток и анализ поведенческих паттернов в поддержку борьбы с мошенничеством. меры. Снижение времени работы часов приводит к нестабильности некоторых сетевых протоколов, что может создавать сценарии, которые можно использовать; Повышение привилегий IRC или выдача себя за другое лицо («сплит-райд») является типичным примером.

Также чрезвычайно важно, чтобы это время согласовывалось со временем, полученным из стандартных источников, чтобы избежать дрейфа во время сбоя сети (или эксплуатации из-за сбоя службы времени).

Соответственно, какую технологию или метод можно использовать для предоставления точного и достоверного времени (предпочтительно в пределах одной секунды) синхронно с UTC, когда GPS и другие радиочасы неэффективны, при этом избегая необходимости часто вручную корректировать источник времени?

NTP 4 обеспечивает аутентификацию и некоторые серверы предоставляют это.

Убедитесь, что ваши системы взаимодействуют друг с другом. Подтвердите общение между ними. Эта часть предназначена для того, чтобы злоумышленник не мог заставить ваши системы дрейфовать относительно друг друга.

Поставить заглушку на смену дрифта. Если бы все ваши системы синхронизировались друг с другом, но без внешнего источника, они, вероятно, дрейфовали бы медленно, но дрейф не сильно изменился бы. Компенсация, которую потребуется применить NTP, должна быть практически постоянной.

Предупреждать, если дрейф приближается к порогу.

Очевидно, что пороговые значения должны зависеть от необходимой вам точности. Хранение ваших собственных машин в пределах 1 мс друг от друга и в пределах 1 секунды от остального мира - это достаточно точный способ для большинства нужд.

GPS не очень хорошо работает в стенах дата-центра.

Вам просто нужно, чтобы антенна GPS находилась у окна или снаружи. Если это центр обработки данных, и точность времени так важна для вас, у вас должен быть бюджет, чтобы подрядчик проделал отверстие в крыше или стороне здания для установки антенны снаружи. Вы можете запустить антенну обратно внутрь через кабель / кабелепровод внутрь, где находится GPS-приемник / NTP-сервер (в вашей стойке или где-нибудь в шкафу).

Вы можете приобрести GPS NTP-сервер устройство по разумной цене, или вы можете собрать свое собственное из запасного ПК или сервера 1U, USB или последовательного порта GPS и дистрибутива Linux. Вам также понадобится внешняя антенна GPS.

Мы попросили подрядчика установить антенну на траве снаружи на простой столб и проложить провод в заглубленном трубопроводе. Это было не так уж и дорого.

Если у вас несколько сайтов, настройте сервер GPS NTP в каждом месте, чтобы у них был авторитетный источник, а также убедитесь, что серверы на каждом сайте взаимодействуют друг с другом по защищенному каналу VPN между двумя центрами обработки данных.

Бонусная паранойя: Если вас беспокоит целенаправленная атака с сигнал GPS чтобы нарушить ваш источник времени, вы также можете добавить в микс другие аппаратные источники времени (WWVB и CDMA).

Независимо от конкретной реализации, у вас также должны быть настроены максимальные / минимальные пороговые значения для всех источников времени ввода, чтобы, если что-то начинает транслировать крайне неточную временную метку, вы должны игнорировать ее. Там было инцидент в 2012 году, когда сервер NTP ВМФ откатывается к 2000 году и вызвал хаос.