При расчете аппаратных требований к компоненту Sensor требуется учитывать, что максимальный объем обрабатываемого трафика составляет 10 Гбит/с. Для обработки трафика максимального объема можно использовать как один Sensor, установленный на отдельном сервере, так и несколько Sensor, установленных на отдельных серверах, которые подключены к одному Central Node. Суммарный объем передаваемого трафика от всех Sensor, подключенных к одному серверу Central Node, не должен превышать 10 Гбит/с.
При наличии в сети более одного сегмента с пропускной способностью 10 Гбит/с и при необходимости обрабатывать трафик в этих сегментах, вам необходимо использовать режим распределенного решения.
Вы можете использовать сервер Sensor в качестве прокси-сервера при обмене данными между рабочими станциями с Endpoint Agent и Central Node (при интеграции с функциональным блоком KEDR), чтобы упростить настройку сетевых правил. Например, если рабочие станции с Endpoint Agent находятся в отдельном сегменте сети, то будет достаточно настроить соединение между серверами Central Node и Sensor.
При использовании Sensor в качестве прокси-сервера при обмене данными между компонентами Endpoint Agent и компонентом Central Node учитывайте следующие ограничения:
Требуемая пропускная способность канала связи между серверами Central Node и Sensor зависит от объема обрабатываемого трафика и определяется по следующей формуле:
10% от трафика на SPAN-порте при обычной нагрузке или 20% от трафика на SPAN-порте при пиковой нагрузке + почтовый трафик + трафик по протоколу ICAP + требования к каналу связи между Central Node и Endpoint Agent
Аппаратные требования к серверу Sensor
Компонент Sensor может быть интегрирован с IT-инфраструктурой организации следующими способами:
Аппаратные требования к серверу Sensor приведены в таблицах ниже. Расчеты приведены для случая, когда Sensor обрабатывает сообщения электронной почты и зеркалированный трафик со SPAN-портов. Если Sensor используется в качестве прокси-сервера при обмене данными между рабочим станциями с Endpoint Agent и Central Node, следует также учитывать требования к каналам связи.
Тестирование компонента Sensor на виртуальных платформах проводилось с нагрузкой до 1000 Мбит/с включительно, однако виртуальные платформы поддерживают больший объем нагрузки. Если вы хотите развернуть компонент Sensor на виртуальной платформе и планируете обрабатывать трафик объемом до 1000 Мбит/с, для расчета аппаратных требований к серверу Sensor вы можете использовать таблицу ниже. Если вы планируете обрабатывать больший объем трафика, обратитесь за расчетами аппаратных требований к вашему аккаунт-менеджеру.
Аппаратные требования к серверу Sensor в зависимости от объема обрабатываемого трафика со SPAN-портов при использовании функциональности KATA и KEDR
Количество компонентов Endpoint Agent (интеграция с функциональным блоком KEDR) |
Объем обрабатываемого трафика (Мбит/c) |
Минимальный объем оперативной памяти (ГБ) |
Минимальное количество логических ядер |
|---|---|---|---|
10000 |
100 |
20 |
6 |
15000 |
500 |
24 |
10 |
15000 |
1000 |
32 |
14 |
15000 |
2000 |
48 |
20 |
15000 |
4000 |
56 |
30 |
15000 |
7000 |
128 |
44 |
15000 |
10000 |
160 |
60 |
Аппаратные требования к серверу Sensor в зависимости от объема обрабатываемого трафика со SPAN-портов при использовании функциональности KATA и NDR
Объем обрабатываемого трафика (Мбит/c) |
Минимальный объем оперативной памяти (ГБ) |
Минимальное количество логических ядер |
Минимальное количество логических ядер при сохранении дампов зеркалированного трафика |
|---|---|---|---|
100 |
28 |
6 |
8 |
500 |
32 |
12 |
14 |
1000 |
40 |
16 |
18 |
2000 |
64 |
24 |
26 |
4000 |
80 |
36 |
40 |
7000 |
160 |
52 |
56 |
10000 |
192 |
72 |
76 |
Если Sensor используется в качестве сервера для телеметрии NDR, которую отправляют не более чем 2000 хостов с компонентом Endpoint Agent, дополнительно потребуется 2 логических ядра и 4 ГБ оперативной памяти.
Центральный процессор должен поддерживать набор инструкций BMI2, AVX и AVX2.
Если вы хотите обрабатывать только сообщения электронной почты и не обрабатывать зеркалированный трафик со SPAN-портов, мы рекомендуем использовать Sensor, установленный на одном сервере с Central Node. Подробнее об аппаратных требованиях см. в разделе Расчеты для компонента Central Node → Аппаратные требования к серверу Central Node и Sensor.
Если один сервер Sensor обрабатывает трафик по нескольким протоколам, то для расчета конфигурации сервера необходимо учитывать, что при настроенной интеграции с почтовым сервером или почтовым сенсором необходимо выключить обработку трафика по протоколу SMTP.
Требования к дисковому пространству на сервере Sensor
Рекомендуется использовать дисковый массив RAID 1. Общий объем дискового пространства должен составлять не менее 600 ГБ.
Аппаратные требования к Sensor при сохранении дампов зеркалированного трафика со SPAN-портов
Если вы используете функционал сохранения дампов зеркалированного трафика со SPAN-портов, вам необходимо дополнительно увеличить следующие аппаратные характеристики сервера Sensor:
<пропускная способность дискового хранилища> = 3 * <максимальный объем записываемого трафика>