SpaceVM 7
c первым в России интегрированным проприетарным
SDN-стеком
Отечественная альтернатива VMware vSphere+ NSX
Что такое SDN Flow
SDN Flow — это встроенная централизованная сетевая подсистема в новом релизе платформы SpaceVM 7, которая управляет маршрутизацией, политиками безопасности и логикой взаимодействия между узлами и сетями. Она позволяет строить сетевую инфраструктуру без внешнего SDN-продукта.
SDN Flow — главное отличие SpaceVM 7
Традиционный подход
- Сетевой слой вынесен в отдельные решения, лицензии и команды администрирования
- Растёт число интеграций, а вместе с ним — сложность сопровождения и риск ошибок
- Высокий TCO из-за множества лицензий и специализированных компетенций
Что даёт SpaceVM 7
- SDN Flow встроен в платформу — не нужна отдельная интеграция и лицензирование SDN-продукта
- L3-сервисы — маршрутизация, NAT, DHCP, BGP, Floating IP — доступны как базовые возможности
- Сети, сервисы и политики управляются из того же контура, что и виртуальные машины
Эффект для инфраструктуры
Новое в SpaceVM 7
Бесшовная интеграция с существующей ИТ‑инфраструктурой
Встраивание в существующую сеть предприятия (VxLAN)
- Гибкая настройка точек окончания туннелей VxLAN
- Полноценные изолированные маршрутизируемые сети на базе VxLAN
Динамическое управление маршрутами (BGP)
- Управление анонсами — контроль за тем, какие сети анонсируются во внешнюю инфраструктуру
- Multihoming — несколько активных подключений для повышения доступности
- Динамическое резервирование — автоматическое переключение L3‑сетей кластера при отказах
Три типа виртуальных сетей для всех сетевых сценариев
L2 без связности
- Прямой выход в сеть пользователя с каждого узла
- Коммутация между сетью пользователя и ВМ
- Прокидывание VLAN до виртуальной машины
L2 со связностью
- Встраивание в существующую VxLAN-сеть предприятия
- Ручное указание соседей (VTEP)
- Полноценные изолированные маршрутизируемые сети на базе VxLAN
L3 с маршрутизацией
- Собственная IP-подсеть и шлюз для виртуальных машин
- Статическая маршрутизация — для простых конфигураций
- NAT/DNAT — организация доступа к ВМ из внешних сетей
- BGP — управление анонсами и автоматическое резервирование
Продвинутая микросегментация на всех уровнях
и DPI для полной видимости сети
Микросегментация
Локализация инцидентов вместо распространения угроз
До 100 000 правил без потери эффективности
Автоматический перенос политик
Правила ACL на портах ВМ
Контроль трафика на границах сетей и портах каждой виртуальной машины
Глобальные и индивидуальные политики
Гибкое управление — от общих правил до политик на уровне каждой ВМ
Изоляция сегментов внутри одной сети
Атака не распространяется — проблема локализуется без остановки кластера
Для ИТ-директора
Контролируемая архитектура: критичные сервисы, пользовательский контур, бухгалтерия и ДБО изолированы в рамках одной платформы
Для ИБ
Инструмент сдерживания инцидента: атака или ошибка конфигурации не распространяется по всей инфраструктуре
Для бизнеса
Снижение риска масштабного простоя: изоляция сегментов позволяет локализовать проблему без остановки всего кластера
Доступные типы политик
Глобальные, индивидуальные, шаблоны ролей
DPI — анализ и диагностика
Полная видимость сети в режиме реального времени
Снижение времени на диагностику
Рост прозрачности для сложных нагрузок
Инспекция трафика
Зеркалирование интерфейсов виртуальных машин
Захват пакетов
PCAP-фильтры и сохранение дампов для расследований
Активные сессии
Просмотр состояния активных сетевых соединений
Генератор пакетов
Трассировка правил для точной диагностики
ИТ и ИБ-командам доступен анализ внутри платформы
Не только во внешнем контуре мониторинга. Снижается время на поиск причины сетевого инцидента
Новый уровень безопасности платформы
Более 100 изменений — безопасность встроена в платформенный уровень, а не является внешней надстройкой
Улучшения ИБ
Устранены ключевые уязвимости
Закрыты критические CVE, повышена общая защищённость платформы на системном уровне
TLS‑шифрование межсервисного трафика
Весь служебный трафик между компонентами платформы зашифрован по современным стандартам
Аутентификация SCRAM‑SHA‑256
Переход на безопасный механизм аутентификации вместо устаревших методов
Усилены права доступа к каталогам
Применён sticky bit для общих каталогов — минимизация рисков несанкционированного изменения
Ядро ИСП РАН
Совместимость с современными платформами
Актуальное ядро обеспечивает работу на новейшем аппаратном обеспечении
Закрытие уязвимостей
Российское сертифицированное ядро с оперативным исправлением CVE‑уязвимостей
Новые возможности библиотек Linux
Доступны актуальные версии библиотек и исправления старых ошибок
Аудит и мониторинг
Парольные политики до 16 символов
Блокировки аккаунтов, IP‑адресов и тайм‑ауты сессий настраиваются централизованно
Журналирование изменений ролей
Все изменения параметров и ролей фиксируются, включая неуспешные API‑запросы
Передача событий в SIEM
Интеграция в формате CEF без дублирования — поддержка Kaspersky, Dr.Web, КОД Безопасности
Отказоустойчивость
Повышенная устойчивость к отказам ВМ на пулах GFS2
Виртуальные машины продолжают работу при отказах узлов хранилища — минимизация простоев
Оптимизация потребления памяти при нагрузке
Механизм ballooning оптимизирован для работы при высокой нагрузке — стабильная производительность
Переключение контроллеров
Непрерывность управления инфраструктурой
При отказе контроллера управление автоматически переходит к резервному без ручного вмешательства
Отказоустойчивость системы
Архитектура исключает единую точку отказа на уровне управляющего слоя
Снижение нагрузки на администраторов
Переключение происходит автоматически — команда не тратит время на ручное восстановление
Безопасность — часть платформы, а не внешняя надстройка
100+
изменений в области
защиты и устойчивости
защиты и устойчивости
Проблемы рынка
Почему SpaceVM 7 нужен рынку именно сейчас
Что изменилось
на рынке
на рынке
- Компании замещают зарубежный гипервизор, но сетевой контур остаётся фрагментированным
- Раздельные продукты для виртуализации, SDN и ИБ усложняют архитектуру
- Каждая такая интеграция повышает стоимость владения и риски
Риски для ИТ- инфраструктуры
- Больше точек отказа и зависимостей между командами
- Дольше запуск новых сервисов, площадок и сегментов
- Сложнее обеспечивать единые политики контроля и ИБ
Риски для бизнеса
- Бюджет проекта становится менее предсказуемым
- Срок вывода новых ИТ-сервисов растёт
- Простои негативно влияют на операционную деятельность компании
SpaceVM 7 решает проблемы на каждом уровне —
от инфраструктуры до бюджета:
от инфраструктуры до бюджета:
SpaceVM 7 — ценность для каждой группы
ИТ-директор
- Упрощение архитектуры
- Снижение TCO за счёт отказа от отдельных лицензий
- Ускорение запуска новых сервисов (time-to-service)
- Предсказуемость затрат и сроков внедрения
- Независимость от зарубежных вендоров
Директор по ИБ
- Микросегментация и локализация инцидентов
- DPI, аудит и интеграция с SIEM
- Централизованный контроль сетевых политик
- Журналирование всех изменений конфигураций
- Снижение рисков масштабных простоев
Где SpaceVM 7 создает максимальную ценность
SpaceVM 7 закрывает потребности в виртуализации, сетевой сегментации и контроле ИБ в одном решении для госсектора и бизнеса
Промышленность и ТЭК
- Изоляция производственных и корпоративных контуров
- Минимизация простоев
- Возможность централизованного управления виртуальной ИТ-инфраструктурой
Банки и финсектор
- Изоляция систем дистанционного банковского обслуживания (ДБО), фронт‑офиса (рабочие места и приложения для клиентов) и бэк‑офиса (учёт, отчётность, внутренние системы)
- Контроль горизонтального (east‑west) трафика между внутренними сервисами
- Поддержка высоких требований по информационной безопасности и отказоустойчивости за счёт микросегментации и встроенных средств защиты
Госсектор
- Единый отечественный стек
- Контролируемая архитектура
- Снижение зависимости от зарубежных решений
Крупный бизнес
- Распределённая ИТ-среда и разные площадки
- Единая модель управления сетью
- Разные сервисные зоны под единым управлением