Расчеты для компонента Central Node
При развертывании приложения на виртуальной платформе требуется на 10 процентов больше ресурсов процессора, чем в случае развертывания приложения на физическом сервере. В параметрах виртуального диска должен быть выбран тип диска Thick Provision.
Чтобы избежать возможного снижения производительности при развертывании приложения на виртуальной платформе, требуется выполнить следующие действия:
- Установить параметры High Latency Sensitivity.
- Зарезервировать всю оперативную память.
- Зарезервировать всю частоту процессора.
Аппаратные требования к серверу Central Node со встроенным Sensor
Аппаратные требования к серверу Central Node со встроенным Sensor зависят от следующих условий:
- объем обрабатываемого трафика;
Объем обрабатываемого расшифрованного трафика для расчета нагрузки на сервер определяется по следующей формуле:
<объем расшифрованного трафика, передаваемого приложением ArtX TLSProxy 1.9.1> = 5 * <объем незашифрованного трафика>Объем обрабатываемого на ICAP-сервере трафика для расчета нагрузки на сервер определяется по следующей формуле:
<объем трафика, обрабатываемого на ICAP-сервере> = 5 * <объем трафика, который не обрабатывается на ICAP-сервере> - количество обрабатываемых сообщений электронной почты в секунду;
- количество хостов с компонентом Endpoint Agent.
Компонент Endpoint Agent может быть установлен на рабочую станцию, терминальный сервер, файловый сервер или в сетевое хранилище (NAS).
Совместимость версий приложений, которыми представлен компонент Endpoint Agent, c версиями Kaspersky Anti Targeted Attack Platform см. в следующих разделах справки: Kaspersky Endpoint Agent для Windows, Kaspersky Endpoint Security для Windows, Kaspersky Endpoint Security для Linux, Kaspersky Endpoint Security для Mac.
Приложение Kaspersky Endpoint Agent для Windows также может быть установлено на сервер SCADA.
Эффективное количество хостов с компонентом Endpoint Agent для расчета нагрузки на сервер определяется по следующей формуле:
K = A+3*B+20*Cгде
- "K" – эффективное количество хостов с компонентом Endpoint Agent.
- "A" – количество рабочих станций и пользователей терминальных серверов под управлением операционной системы Windows с установленным компонентом Endpoint Agent.
- "B" – количество рабочих станций и пользователей терминальных серверов под управлением операционной системы Linux или macOS с установленным компонентом Endpoint Agent.
- "C" – количество серверов.
При объеме обрабатываемого трафика более 1 Гбит/с необходимо устанавливать компоненты Central Node и Sensor на отдельных серверах.
Аппаратные требования к серверу Central Node в зависимости от используемой функциональности представлены в таблицах ниже.
Обратите внимание: при использовании функции проверки цепочек событий аппаратные требования к серверу Central Node меняются. Вы можете ознакомиться с ними в разделе Аппаратные требования к серверу Central Node при включенной проверке цепочек событий.
Аппаратные требования к серверу Central Node при использовании функциональности KEDR
Максимальное количество хостов с компонентом Endpoint Agent |
Минимальный объем оперативной памяти (ГБ) |
Минимальное количество логических ядер с частотой 3 ГГц |
Первая дисковая подсистема (RAID 1 или RAID 10) |
Вторая дисковая подсистема (RAID 10) |
|||||
|---|---|---|---|---|---|---|---|---|---|
ROPS (чтение, операций в секунду) |
WOPS (запись, операций в секунду) |
Объем дискового массива (ТБ) |
Количество дисков в массиве |
ROPS (чтение, операций в секунду) |
WOPS (запись, операций в секунду) |
Объем дискового массива (ТБ) |
|||
1000 |
80 |
10 |
100 |
250 |
1 |
4 |
300 |
250 |
Не более 12 ТБ |
3000 |
96 |
16 |
100 |
500 |
1 |
4 |
500 |
500 |
|
5000 |
112 |
20 |
100 |
500 |
1 |
4 |
700 |
600 |
|
10 000 |
160 |
32 |
100 |
500 |
1 |
4 |
1000 |
800 |
|
15 000 |
208 |
44 |
100 |
500 |
1 |
4 |
1500 |
1000 |
|
Аппаратные требования к серверу с компонентом Central Node при использовании функциональности КАТА и KEDR
Максимальное количество хостов с компонентом Endpoint Agent |
Максимальное количество сообщений электронной почты в секунду |
Максимальный объем трафика со SPAN-портов на сервере с компонентом Central Node |
Максимальный объем трафика со SPAN-портов на серверах с компонентом Sensor (Мбит/с) |
Минимальный объем оперативной памяти (ГБ) |
Минимальное количество логических ядер с частотой 3 ГГц |
Первая дисковая подсистема (RAID 1 или RAID 10) |
Вторая дисковая подсистема (RAID 10) |
||||
|---|---|---|---|---|---|---|---|---|---|---|---|
ROPS (чтение, операций в секунду) |
WOPS (запись, операций в секунду) |
Объем дискового массива (ТБ) |
Количество дисков в массиве |
ROPS (чтение, операций в секунду) |
WOPS (запись, операций в секунду) |
||||||
1000 |
1 |
200 |
Не обрабатывается |
128 |
24 |
100 |
1000 |
1,9 |
4 |
300 |
300 |
2000 |
2 |
500 |
Не обрабатывается |
144 |
32 |
100 |
1000 |
2 |
4 |
500 |
500 |
5000 |
1 |
1000 |
Не обрабатывается |
192 |
48 |
100 |
1000 |
2 |
4 |
1000 |
600 |
10 000 |
2 |
1000 |
Не обрабатывается |
240 |
60 |
100 |
1000 |
2 |
4 |
2000 |
800 |
5000 |
5 |
Не обрабатывается |
2000 |
176 |
60 |
100 |
1000 |
1,9 |
4 |
1000 |
600 |
10 000 |
20 |
Не обрабатывается |
4000 |
240 |
96 |
100 |
1000 |
1,9 |
4 |
2000 |
800 |
15 000 |
20 |
Не обрабатывается |
4000 |
288 |
108 |
100 |
1000 |
1,9 |
4 |
2000 |
800 |
15 000 |
20 |
Не обрабатывается |
7000 |
320 |
144 |
100 |
1000 |
1,9 |
4 |
2000 |
800 |
15 000 |
20 |
Не обрабатывается |
10 000 |
336 |
180 |
100 |
1000 |
1,9 |
4 |
2000 |
800 |
Если вы хотите установить компонент Central Node на виртуальной платформе ПК СВ "Брест" или "РЕД Виртуализация" и использовать функциональность KEDR или KATA+KEDR, вам нужно увеличить минимальное количество логических ядер на 20%. Если вы хотите устранить уязвимости типа Spectre и Meltdown на уровне операционной системы гипервизора, то вам нужно дополнительно увеличить минимальное количество логических ядер в 1,5 раза. Остальные требования к аппаратному обеспечению для виртуальных серверов аналогичны требованиям для физических серверов, приведенным в таблицах выше.
Аппаратные требования к серверу с компонентом Central Node при использовании функциональности КАТА
Максимальное количество сообщений электронной почты в секунду |
Максимальный объем трафика со SPAN-портов на сервере с компонентом Central Node |
Максимальный объем трафика со SPAN-портов на серверах с компонентом Sensor (Мбит/с) |
Минимальный объем оперативной памяти (ГБ) |
Минимальное количество логических ядер с частотой 3 ГГц |
Первая дисковая подсистема (RAID 1 или RAID 10) |
|||
|---|---|---|---|---|---|---|---|---|
ROPS (чтение, операций в секунду) |
WOPS (запись, операций в секунду) |
Объем дискового массива (ТБ) |
Количество дисков в массиве |
|||||
2 |
500 |
Не обрабатывается |
72 |
24 |
100 |
1000 |
2 |
4 |
2 |
1000 |
Не обрабатывается |
88 |
36 |
100 |
1000 |
2 |
4 |
5 |
Не обрабатывается |
2000 |
80 |
44 |
100 |
1000 |
2 |
4 |
20 |
Не обрабатывается |
4000 |
96 |
72 |
100 |
1000 |
2 |
2 |
20 |
Не обрабатывается |
7000 |
128 |
108 |
100 |
1000 |
2 |
2 |
20 |
Не обрабатывается |
10 000 |
144 |
144 |
100 |
1000 |
2 |
2 |
Если вы хотите установить компонент Central Node на виртуальной платформе ПК СВ "Брест" или "РЕД Виртуализация" и использовать функциональность KATA, вам нужно увеличить минимальное количество логических ядер на 30%. Если вы хотите устранить уязвимости типа Spectre и Meltdown на уровне операционной системы гипервизора, то вам нужно дополнительно увеличить минимальное количество логических ядер в 1,5 раза. Остальные требования к аппаратному обеспечению для виртуальных серверов аналогичны требованиям для физических серверов, приведенным в таблице выше.
Аппаратные требования к серверу с компонентом Central Node при использовании функциональности КАТА, KEDR и NDR
Максимальное количество хостов с компонентом Endpoint Agent (интеграция с функциональным блоком KEDR) |
Максимальное количество сообщений электронной почты в секунду |
Максимальный объем трафика со SPAN-портов на сервере с компонентом Central Node |
Максимальный объем трафика со SPAN-портов на серверах с компонентом Sensor (Мбит/с) |
Минимальный объем оперативной памяти (ГБ) |
Минимальное количество логических ядер с частотой 3 ГГц |
Первая дисковая подсистема (RAID 1 или RAID 10) |
Вторая дисковая подсистема (RAID 10) |
||||
|---|---|---|---|---|---|---|---|---|---|---|---|
ROPS (чтение, операций в секунду) |
WOPS (запись, операций в секунду) |
Объем дискового массива (ТБ) |
Количество дисков в массиве |
ROPS (чтение, операций в секунду) |
WOPS (запись, операций в секунду) |
||||||
1000 |
1 |
200 |
Не обрабатывается |
160 |
28 |
100 |
1000 |
2 |
4 |
400 |
500 |
2000 |
2 |
500 |
Не обрабатывается |
176 |
40 |
100 |
1000 |
2 |
4 |
600 |
800 |
5000 |
1 |
1000 |
Не обрабатывается |
224 |
56 |
100 |
1200 |
2 |
4 |
1200 |
1000 |
10 000 |
2 |
1000 |
Не обрабатывается |
272 |
68 |
100 |
1200 |
2 |
4 |
2200 |
1200 |
5000 |
5 |
Не обрабатывается |
2000 |
208 |
64 |
100 |
1200 |
2 |
4 |
1200 |
1000 |
10 000 |
20 |
Не обрабатывается |
4000 |
272 |
104 |
100 |
1500 |
2 |
4 |
2200 |
1200 |
15 000 |
20 |
Не обрабатывается |
4000 |
320 |
116 |
100 |
1500 |
2 |
4 |
2200 |
1200 |
15 000 |
20 |
Не обрабатывается |
7000 |
352 |
152 |
200 |
2000 |
2 |
4 |
2300 |
1200 |
15 000 |
20 |
Не обрабатывается |
10 000 |
384 |
188 |
200 |
2000 |
2 |
4 |
2300 |
1200 |
Расчеты применимы, если в рамках интеграции с функциональным блоком NDR к одному компоненту Central Node подключается до 1000 компонентов Endpoint Agent. Для расчета аппаратных требований к серверу Central Node при использовании большего количества компонентов Endpoint Agent NDR обратитесь в Службу технической поддержки.
Аппаратные требования к серверу с компонентом Central Node при использовании функциональности КАТА и NDR
Максимальное количество сообщений электронной почты в секунду |
Максимальный объем трафика со SPAN-портов на сервере с компонентом Central Node |
Максимальный объем трафика со SPAN-портов на серверах с компонентом Sensor (Мбит/с) |
Минимальный объем оперативной памяти (ГБ) |
Минимальное количество логических ядер с частотой 3 ГГц |
Первая дисковая подсистема (RAID 1 или RAID 10) |
|||
|---|---|---|---|---|---|---|---|---|
ROPS (чтение, операций в секунду) |
WOPS (запись, операций в секунду) |
Объем дискового массива (ТБ) |
Количество дисков в массиве |
|||||
2 |
500 |
Не обрабатывается |
96 |
32 |
100 |
1000 |
2 |
4 |
2 |
1000 |
Не обрабатывается |
128 |
44 |
200 |
2000 |
2 |
4 |
5 |
Не обрабатывается |
2000 |
112 |
52 |
200 |
2000 |
2 |
4 |
20 |
Не обрабатывается |
4000 |
128 |
80 |
200 |
2000 |
2 |
4 |
20 |
Не обрабатывается |
7000 |
160 |
116 |
300 |
2500 |
2 |
4 |
20 |
Не обрабатывается |
10 000 |
192 |
152 |
300 |
2500 |
2 |
4 |
Расчеты применимы, если в рамках интеграции с функциональным блоком NDR к одному компоненту Central Node подключается до 1000 компонентов Endpoint Agent. Для расчета аппаратных требований к серверу Central Node при использовании большего количества компонентов Endpoint Agent NDR обратитесь в Службу технической поддержки.
Kaspersky Anti Targeted Attack Platform не поддерживает работу с программным RAID-массивом.
Центральный процессор должен поддерживать наборы инструкций BMI2, AVX and AVX2.
Требования к дисковому пространству на сервере Central Node
На сервере Central Node рекомендуется иметь 2000 ГБ свободного пространства на первой дисковой подсистеме и 2400 ГБ на второй дисковой подсистеме. Объем требуемого пространства на второй дисковой подсистеме зависит от желаемой политики хранения данных и может быть вычислен по следующей формуле:
150 ГБ + <количество хостов с Kaspersky Endpoint Agent или Kaspersky Endpoint Security для Windows>/15000 * (400 ГБ + 460 ГБ * <срок, за который требуется хранить данные, в днях>)/0.65, но не более 12 ТБ.
Если вы хотите использовать функцию проверки цепочек событий, объем требуемого пространства на второй дисковой подсистеме вычисляется по следующей формуле:
150 ГБ + <количество хостов с Kaspersky Endpoint Agent или Kaspersky Endpoint Security для Windows>/15000 * (600 ГБ + 460 ГБ * <срок, за который требуется хранить данные, в днях>)/0.65, но не более 12 ТБ.
При использовании функциональности NDR на второй дисковой подсистеме требуется выделить дополнительное пространство согласно следующей формуле:
(<количество компонентов Endpoint Agent, подключенных к функциональному блоку NDR> * 0.02 ГБ + <объем трафика со SPAN-портов (Гб/с)> * 10 ГБ ) * <срок, за который требуется хранить данные, в днях>.
Эти формулы могут быть использованы для примерной оценки требуемого дискового пространства. Реальный объем хранимых данных зависит от профиля трафика организации и может отличаться от полученного результата вычислений.
Если вы установили Central Node не в виде отказоустойчивого кластера, вам необходимо рассчитать объем на диске для параметров База событий, ГБ и Хранилище, ГБ по следующей формуле:
A = F - R, ГБ.
где
- А – объем, используемый для базы событий и Хранилища.
- F – объем жесткого диска, на котором установлен компонент Central Node.
- R – зарезервированное количество свободного пространства (ГБ) на второй дисковой подсистеме, соответствующее количеству подключенных хостов с компонентом Endpoint Agent, приведенное в таблице ниже.
Если количество подключенных к Central Node хостов находится в диапазоне между значениями, используйте в расчетах большее число.
Если вы настроили интеграцию для проверки объектов внешней системы с помощью REST API, вам необходимо увеличить аппаратные характеристики сервера Central Node. Дополнительные аппаратные требования приведены в таблице ниже.
Дополнительные аппаратные требования к серверу Central Node при наличии интегрированных внешних систем
Максимальное количество обрабатываемых объектов в секунду |
Количество дополнительных логических ядер |
Количество дополнительных серверов Sandbox |
|---|---|---|
8 |
2 |
1 |
16 |
4 |
2 |
24 |
7 |
3 |
Если вы настроили интеграцию для отправки событий во внешнюю систему с помощью REST API, вам необходимо увеличить аппаратные характеристики сервера Central Node на 1 логическое ядро и 6 ГБ оперативной памяти.
Если вы используете функциональность сохранения сетевого трафика, вам необходимо увеличить аппаратные характеристики сервера Central Node. Подробнее об аппаратных требованиях см. в разделе Расчеты для компонента Sensor → Аппаратные требования к Sensor при использовании сохранения сырого сетевого трафика.
Требования к серверу PCN в режиме распределенного решения
Если вы используете режим распределенного решения, при расчете аппаратных требований необходимо учитывать, что аппаратные требования к серверу PCN на 10% выше для минимального объема оперативной памяти и для минимального количества логических ядер, чем к серверу с компонентом Central Node. Аппаратные требования к серверу Central Node указаны в таблицах Аппаратные требования к серверу Central Node при использовании функциональности KEDR, Аппаратные требования к серверу Central Node при использовании функциональности KATA+KEDR, Аппаратные требования к серверу Central Node при использовании функциональности KATA (см. выше).
Вы можете подключить к одному серверу PCN до 150 серверов SCN.
Требования к каналам связи
Необходимо обеспечить пропускную способность канала связи между сервером Central Node и каждым сегментом сети в зависимости от количества хостов Endpoint Agent в сегменте. Пропускная способность в зависимости от количества хостов Endpoint Agent приведена в таблице ниже.
Пропускная способность канала связи в зависимости от количества хостов Endpoint Agent
Максимальное количество хостов Endpoint Agent |
Требуемая пропускная способность канала связи, зарезервированная для хостов Endpoint Agent (Мбит/с) |
|---|---|
10 |
1 |
50 |
2 |
100 |
3 |
1000 |
20 |
10 000 |
200 |
Минимальные требования к каналу связи между серверами PCN и SCN в режиме распределенного решения приведены в таблице ниже.
Минимальные требования к каналу связи между серверами PCN и SCN
Максимальное количество хостов Endpoint Agent |
Максимальное количество сообщений электронной почты в секунду |
Максимальный объем трафика со SPAN-портов (Мбит/с) |
Требуемая пропускная способность канала связи (Мбит/с) |
|---|---|---|---|
5000 |
5 |
2000 |
20 |
10 000 |
20 |
4000 |
30 |
Аппаратные требования к серверам кластера Central Node
Кластер должен включать минимум 4 сервера: 2 сервера хранения и 2 обрабатывающих сервера. При подключении до 15 000 хостов Endpoint Agent вам нужно минимум 2 сервера хранения и 2 обрабатывающих сервера. При подключении от 15 000 до 30 000 хостов Endpoint Agent вам требуется не менее 2 серверов хранения и 3 обрабатывающих серверов.
Каждый сервер кластера должен иметь два сетевых адаптера для настройки кластерной и внешней подсети. Кластерная подсеть должна функционировать со скоростью 10 Гбит/с.
Для кластерной подсети также должны выполняться следующие требования:
- В кластерную подсеть должны входить только серверы кластера и сетевые коммутаторы.
- Кластерная подсеть должна быть изолированной.
- Серверы кластера должны находиться в одном L1- или L2-сегменте. Для этого вы можете подключить все серверы кластера к одному коммутатору или использовать программное туннелирование. Например, L2TPv3 или Overlay Transport Virtualization (OTV).
- Значение сетевой задержки ("network latency") должно удовлетворять требованию "single digit latency", то есть в миллисекундах значение должно быть менее 10.
Аппаратные требования к серверам кластера при использовании функциональности KEDR приведены в таблице ниже.
Аппаратные требования к обрабатывающим серверам при использовании функциональности KEDR
Минимальный объем оперативной памяти (ГБ) |
Минимальное количество логических ядер |
Тип массива RAID |
Количество дисков в массиве RAID |
Объем одного жесткого диска (ГБ) |
|---|---|---|---|---|
256 |
48 |
RAID 1 |
2 |
1200 |
Аппаратные требования к серверам хранения при использовании функциональности KEDR
Минимальный объем оперативной памяти (ГБ) |
Минимальное количество логических ядер |
Первая дисковая подсистема |
Вторая дисковая подсистема |
|||
|---|---|---|---|---|---|---|
Тип массива RAID |
Количество дисков в массиве RAID |
Объем одного жесткого диска (ГБ) |
Количество дисков |
Объем одного жесткого диска (ГБ) |
||
128 |
16 |
RAID 1 |
2 |
1200 |
не менее 6 |
не менее 1200 |
Рекомендуется использовать для двух дисковых подсистем диски одинакового объема. Для второй дисковой подсистемы используются диски, не объединенные в RAID-массив.
Требования к скорости дисковых подсистем аналогичны требованиям, указанным в таблице Аппаратные требования к серверу Central Node при использовании функциональности KEDR (см. выше).