Расчеты для компонента Central Node

При развертывании приложения на виртуальной платформе требуется на 10 процентов больше ресурсов процессора, чем в случае развертывания приложения на физическом сервере. В параметрах виртуального диска должен быть выбран тип диска Thick Provision.

Чтобы избежать возможного снижения производительности при развертывании приложения на виртуальной платформе, рекомендуется выполнить следующие действия:

Аппаратные требования к серверу с компонентами Central Node и Sensor

Аппаратные требования к серверу, на котором установлены компоненты Central Node и Sensor, зависят от следующих условий:

При объеме обрабатываемого трафика более 1 Гбит/с необходимо устанавливать компоненты Central Node и Sensor на отдельных серверах.

Аппаратные требования к серверу с компонентом Central Node в зависимости от используемой функциональности представлены в таблице ниже.

Для работы Kaspersky Anti Targeted Attack Platform на базе операционной системы Astra Linux вам необходимо настроить приложение.

Аппаратные требования к серверу с компонентом Central Node при использовании функциональности KEDR

Максимальное количество хостов с компонентом Endpoint Agent

Минимальный объем оперативной памяти (ГБ)

Минимальное количество логических ядер с частотой 3 ГГц

Первая дисковая подсистема (RAID 1 или RAID 10)

Вторая дисковая подсистема (RAID 10)

ROPS (чтение, операций в секунду)

WOPS (запись, операций в секунду)

Объем дискового массива (ТБ)

Количество дисков в массиве

ROPS (чтение, операций в секунду)

WOPS (запись, операций в секунду)

Объем дискового массива (ТБ)

1000

64

8

100

1000

1

4

300

200

Не более 7.2 Тб

3000

80

12

100

1000

1

4

700

500

5000

96

16

100

1000

1

4

1000

600

10 000

144

24

100

1000

1

4

2000

800

15 000

192

32

100

1000

1

4

2000

800

Аппаратные требования к серверу с компонентом Central Node при использовании функциональности КАТА и KEDR

Максимальное количество хостов с компонентом Endpoint Agent

Максимальное количество сообщений электронной почты в секунду

Максимальный объем трафика со SPAN-портов на сервере с компонентом Central Node

Максимальный объем трафика со SPAN-портов на серверах с компонентом Sensor (Мбит/с)

Минимальный объем оперативной памяти (ГБ)

Минимальное количество логических ядер с частотой 3 ГГц

Первая дисковая подсистема (RAID 1 или RAID 10)

Вторая дисковая подсистема (RAID 10)

ROPS (чтение, операций в секунду)

WOPS (запись, операций в секунду)

Объем дискового массива (ТБ)

Количество дисков в массиве

ROPS (чтение, операций в секунду)

WOPS (запись, операций в секунду)

1000

1

200

Не обрабатывается

96

16

100

1000

1,9

4

300

300

2000

2

500

Не обрабатывается

128

24

100

1000

2

4

500

500

5000

1

1000

Не обрабатывается

160

36

100

1000

2

4

1000

600

10 000

2

1000

Не обрабатывается

224

48

100

1000

2

4

2000

800

5000

5

Не обрабатывается

2000

144

32

100

1000

1,9

4

1000

600

10 000

20

Не обрабатывается

4000

224

56

100

1000

1,9

4

2000

800

15 000

20

Не обрабатывается

4000

256

64

100

1000

1,9

4

2000

800

15 000

20

Не обрабатывается

7000

320

104

100

1000

1,9

4

2000

800

15 000

20

Не обрабатывается

10 000

320

144

100

1000

1,9

4

2000

800

Аппаратные требования к серверу с компонентом Central Node при использовании функциональности КАТА

Максимальное количество сообщений электронной почты в секунду

Максимальный объем трафика со SPAN-портов на сервере с компонентом Central Node

Максимальный объем трафика со SPAN-портов на серверах с компонентом Sensor (Мбит/с)

Минимальный объем оперативной памяти (ГБ)

Минимальное количество логических ядер с частотой 3 ГГц

Первая дисковая подсистема (RAID 1 или RAID 10)

ROPS (чтение, операций в секунду)

WOPS (запись, операций в секунду)

Объем дискового массива (ТБ)

Количество дисков в массиве

2

500

Не обрабатывается

64

20

100

1000

2

4

2

1000

Не обрабатывается

80

28

100

1000

2

4

5

Не обрабатывается

2000

64

20

100

1000

2

4

20

Не обрабатывается

4000

80

40

100

1000

2

2

20

Не обрабатывается

7000

128

72

100

1000

2

2

20

Не обрабатывается

10 000

128

112

100

1000

2

2

Kaspersky Anti Targeted Attack Platform не поддерживает работу с программным RAID-массивом.

Центральный процессор должен поддерживать набор инструкций BMI2.

Примеры расчета требуемой конфигурации серверов с компонентами Kaspersky Anti Targeted Attack Platform

Если вы хотите:

  • обрабатывать трафик с сетевого устройства с пропускной способностью до 4 Гбит/с;
  • обрабатывать 20 сообщений электронной почты в секунду;
  • использовать 15 000 хостов с Kaspersky Endpoint Security для Windows или 5000 хостов с Kaspersky Endpoint Security для Linux или Kaspersky Endpoint Security для Mac,

то вам требуется два сервера со следующими аппаратными характеристиками:

  • сервер с компонентом Central Node: не менее 256 ГБ оперативной памяти и 64 логических ядер процессора;
  • сервер с компонентом Sensor: не менее 92 ГБ оперативной памяти и 32 логических ядер процессора.

Указанные расчеты справедливы также для инфраструктуры с 5000 хостов с Kaspersky Endpoint Security для Linux или при совместном использовании приложений (например, 9000 хостов с Kaspersky Endpoint Security для Windows и 2000 хостов с Kaspersky Endpoint Security для Linux).

Требования к дисковому пространству на сервере Central Node

На сервере с компонентом Central Node должно быть не менее 2000 ГБ свободного пространства на первой дисковой подсистеме и не менее 2400 ГБ на второй дисковой подсистеме. Объем требуемого пространства на второй дисковой подсистеме зависит от желаемой политики хранения данных и может быть вычислен по следующей формуле:

150 ГБ + <количество хостов с Kaspersky Endpoint Agent или Kaspersky Endpoint Security для Windows>/15000 * (400 ГБ + 240 ГБ * <срок, за который требуется хранить данные, в днях>)/0.65, но не более 12 ТБ.

Эта формула может быть использована для примерной оценки требуемого дискового пространства. Реальный объем хранимых данных зависит от профиля трафика организации и может отличаться от полученного результата вычислений.

Если вы установили компонент Central Node и Sensor не в виде отказоустойчивого кластера, вам необходимо рассчитать объем на диске для параметров База событий, ГБ и Хранилище, ГБ по следующей формуле:

A = F - R, ГБ.

где

Если количество подключенных к компоненту Central Node хостов находится в диапазоне между значениями, используйте в расчетах большее число.

Зарезервированное количество свободного пространства в зависимости от количества хостов с компонентом Endpoint Agent

Количество хостов с компонентом Endpoint Agent

Зарезервированное количество свободного пространства (ГБ)

1000

1000

3000

1200

5000

1400

10 000

1900

15 000

2400

Если вы настроили интеграцию для проверки объектов внешней системы с помощью REST API, вам необходимо увеличить аппаратные характеристики сервера Central Node. Дополнительные аппаратные требования приведены в таблице ниже.

Дополнительные аппаратные требования к серверу с компонентом Central Node при наличии интегрированных внешних систем

Максимальное количество обрабатываемых объектов в секунду

Количество дополнительных логических ядер

Количество дополнительных серверов с компонентом Sandbox

8

2

1

16

4

2

24

7

3

Если вы настроили интеграцию для отправки событий во внешнюю систему с помощью REST API, вам необходимо увеличить аппаратные характеристики сервера Central Node на 1 логическое ядро и 6 ГБ оперативной памяти.

Если вы используете функциональность сохранения сетевого трафика, вам необходимо увеличить аппаратные характеристики сервера Cental Node. Подробнее об аппаратных требованиях см. в разделе Расчеты для компонента Sensor → Аппаратные требования к Sensor при использовании сохранения сырого сетевого трафика.

Требования к серверу PCN в режиме распределенного решения

Если вы используете режим распределенного решения, при расчете аппаратных требований необходимо учитывать, что аппаратные требования к серверу PCN на 10% выше для минимального объема оперативной памяти и для минимального количества логических ядер, чем к серверу с компонентом Central Node. Аппаратные требования к серверу с компонентом Central Node указаны в таблицах Аппаратные требования к серверу с компонентом Central Node при использовании функциональности KEDR, Аппаратные требования к серверу с компонентом Central Node при использовании функциональности KATA+KEDR, Аппаратные требования к серверу с компонентом Central Node при использовании функциональности KATA (см. выше).

Вы можете подключить к одному серверу PCN до 30 серверов SCN.

Требования к каналам связи

Необходимо обеспечить пропускную способность канала связи между сервером с компонентом Central Node и каждым сегментом сети в зависимости от количества хостов с компонентом Endpoint Agent в сегменте. Пропускная способность в зависимости от количества хостов с компонентом Endpoint Agent приведена в таблице ниже.

Пропускная способность канала связи в зависимости от количества хостов с компонентом Endpoint Agent

Максимальное количество хостов с компонентом Endpoint Agent

Требуемая пропускная способность канала связи, зарезервированная для компонентов Endpoint Agent (Мбит/с)

10

1

50

2

100

3

1000

20

10 000

200

Минимальные требования к каналу связи между серверами PCN и SCN в режиме распределенного решения приведены в таблице ниже.

Минимальные требования к каналу связи между серверами PCN и SCN

Максимальное количество хостов с компонентом Endpoint Agent

Максимальное количество сообщений электронной почты в секунду

Максимальный объем трафика со SPAN-портов (Мбит/с)

Требуемая пропускная способность канала связи (Мбит/с)

5000

5

2000

20

10 000

20

4000

30

Аппаратные требования к серверам кластера Central Node

Кластер должен включать минимум 4 сервера: 2 сервера хранения и 2 обрабатывающих сервера. При подключении до 15 000 хостов с компонентом Endpoint Agent, вам нужно минимум 2 сервера хранения и 2 обрабатывающих сервера. При подключении от 15 000 до 30 000 хостов с компонентом Endpoint Agent вам требуется не менее 2 серверов хранения и 3 обрабатывающих серверов.

Каждый сервер кластера должен иметь два сетевых адаптера для настройки кластерной и внешней подсети. Кластерная подсеть должна функционировать со скоростью 10 Гбит/с.

Для кластерной подсети также должны выполняться следующие требования:

Аппаратные требования к серверам кластера при использовании функциональности KEDR приведены в таблице ниже.

Аппаратные требования к обрабатывающим серверам при использовании функциональности KEDR

Минимальный объем оперативной памяти (ГБ)

Минимальное количество логических ядер

Тип массива RAID

Количество дисков в массиве RAID

Объем одного жесткого диска (ГБ)

256

48

RAID 1

2

1200

Аппаратные требования к серверам хранения при использовании функциональности KEDR

Минимальный объем оперативной памяти (ГБ)

Минимальное количество логических ядер

Первая дисковая подсистема

Вторая дисковая подсистема

Тип массива RAID

Количество дисков в массиве RAID

Объем одного жесткого диска (ГБ)

Количество дисков

Объем одного жесткого диска (ГБ)

128

16

RAID 1

2

1200

не менее 6

не менее 1200

Рекомендуется использовать для двух дисковых подсистем диски одинакового объема. Для второй дисковой подсистемы используются диски, не объединенные в RAID-массив.

Требования к скорости дисковых подсистем аналогичны требованиям, указанным в таблице Аппаратные требования к серверу с компонентом Central Node при использовании функциональности KEDR (см. выше).

См. также

Расчеты для компонента Sensor

Расчеты для компонента Sandbox

Расчеты для компонента Central Node, развернутого на платформе виртуализации KVM

В начало