`

СПЕЦИАЛЬНЫЕ
ПАРТНЕРЫ
ПРОЕКТА

Архив номеров

Что для вас является метрикой простоя серверной инфраструктуры?

Best CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

Форум Cisco 2018 - о сетях на основе намерений

+33
голоса

Для успешной работы в цифровом мире организации используют множество разных технологий. Сети на основе намерений (intent-based), построенные на принципах архитектуры Cisco DNA, помогут справиться со сложными задачами, возникающими на пути цифровой трансформации бизнеса. Эта концепция была объявлена на Cisco Forum 2018.

В сетях на основе намерений используются принципиально новые подходы к их построению и управлению. Это существенный шаг вперед по сравнению с традиционными технологиями, требующими постоянного внимания со стороны служб поддержки и не защищенными от ошибок при ручном управлении. Теперь эти сети подстраиваются под бизнес-цели и транслируют их в сетевые политики. Таким образом, сеть может быть автоматически сконфигурирована в течение нескольких минут.

Форум Cisco 2018 - о сетях на основе намерений
Алексей Бессараб: «Принципы, на основе которых сегодня управляются сети, через 3—5 лет будут полностью другими»

 

Форум открылся выступлением технического директора Cisco Украина Алексея Бессараба. Он отметил, что отрасль находится на пороге фундаментальных изменений. Принципы, на основе которых сегодня управляются сети, через 3—5 лет будут полностью другими.

Далее он перешел к обзору рынка, вызовов, которые стоят перед сетевыми технологиями, и каким образом Cisco отвечает на эти вызовы.

На протяжении последних 30-ти лет компания была довольно успешной, отметил Алексей Бессараб. Однако за эти годы сетевые технологии эволюционировали и усложнились. И Cisco как лидер в этой области поставила перед собой цель сделать их проще для пользователей и клиентов с тем, чтобы максимально раскрыть потенциал новых технологий. Для этого компания разработала концепцию интуитивной сети. Она базируется на определенном оборудовании, которое в отличие от привычной командной строки управляется намерениями. В данном случае намерения – это потребность организовать работу какого-нибудь сетевого сервиса. В отличие от классических способов управления сетями на основе CLI, намерения используют другую группу атрибутов для управления сетями, которые распространяются на сетевые устройства централизованно и одновременно на всю платформу. Будет использоваться другой высокоуровневый способ взаимодействия с устройствами, который позволит получить больше информации о состоянии устройства, и применить такие методы, как МО и аналитика, чтобы принимать правильные решения в нужное время. Это позволит раскрыть новые возможности, которые раньше не были доступны. Например, в будущем появится возможность давать ответ на вопрос, что же произошло вчера, что не позволило финансовому директору получить доступ к системе финансовой отчетности.

Этот путь был начат с представления Application Centric Infrastructure (ACI) для ЦОД, и ACI по сути является интуитивной сетью, но в конкретном домене – ЦОД. Компания переносит сейчас эти принципы на другие домены: локальные сети, филиальные сети и глобальные сети. При этом безопасность является встроенным атрибутом в каждой из этих архитектур.

Сегодня компании хотят обеспечить непрерывный доступ пользователей к приложениям. Вчера это происходило следующим образом. Пользователи подключались к корпоративной сети и получали доступ к приложениям. В этом случае всегда сохранялся контроль взаимодействия пользователей и приложений. Был периметр безопасности, через который обеспечивался доступ к Интернету и другим сервисам, зачастую не бизнес-критическим. Сегодня пользователей становится все больше, и они могут находиться в любом месте. Изменилась инфраструктура, на которой обрабатываются приложения. Все чаще для этого используются облачные инфраструктуры. Основная их характеристика заключается в динамике. Уже нельзя контролировать весь маршрут передачи трафика между пользователями и устройствами, с одной стороны, и приложениями – с другой. Это затрудняет обеспечение качественной работы и обслуживания приложений и пользователей. Нужна такая сетевая инфраструктура, которая позволяет динамически адаптироваться к требованиям пользователей, понимает требования приложений, готова обеспечить надлежащее качество пользовательского опыта и помогает адаптировать все возможности облачных сервисов к потребностям компаний.

Затем докладчик перешел к примерам компонентов такой инфраструктуры. Новая линейка коммутаторов среднего и высокого уровней Catalyst 9000 с самого начала проектировалась для использования в интуитивной сети. Это значит, что их аппаратная платформа базируется на программируемых микросхемах, которые способны предоставлять телеметрию для дальнейшего анализа. Эти микросхемы готовы поддерживать различные протоколы, в том числе и будущие. Оборудование управляется модульной ОС Cisco ISE, поддерживающей обновление ПО без остановки сервисов. Коммутаторы серии 9200 позиционируются как устройства начального уровня. Они призваны заменить Catalyst 2960.

Для беспроводного доступа разработана серия Catalyst 9800. Особенностью этих контроллеров заключается в том, что они наследуют все принципы, заложенные в интеллектуальную сеть. Устройство может быть реализовано также в виртуальном исполнении либо как сервис, предоставляемый коммутатором Catalyst 9000 или облаком.

 

Форум Cisco 2018 - о сетях на основе намерений

Павел Родионов: «В конце ноября вышла новая версия Email Security v.12.0, которая принесла множество улучшений»

Современные распределенные сети не готовы использовать все преимущества облачных сервисов и инфраструктур. Сети Cisco SD-WAN – это сочетание маршрутизаторов, устройств, управляющего и аналитического ПО. Компания встроила полный спектр средств безопасности в устройства маршрутизации. Устройства предоставляют функциональность брандмауэра корпоративного класса, IDS/IPS, фильтрацию веб-адресов, Advance Malware Protection (AMP). Эти функции активируются вместе с системой управления.

Cisco намеревается привлечь другие компании к разработке новых продуктов и систем. Поэтому компания использует принципы открытости и программируемости. Все платформы, которые сегодня находятся в разработке, имеют API. Для привлечения разработчиков создана программа DevNet, в рамках которой предоставляются описания открытых интерфейсов, возможность использовать песочницы, виртуализированные системы.

В последнее время Cisco сделала очень много для того, чтобы выпустить новые продукты, новые системы, которые позволяют эффективно давать ответы на вызовы, которые встают сегодня. Для этого, в частности, компания разрабатывает кросс-доменную архитектуру, способную объединить пользователей и устройства, с одной стороны, и приложения и данные – с другой, отметил выступающий.

Можно начать с автоматического предотвращения утечки данных. Во многих случаях это означает понимание в общих чертах, что значит угроза. Сегодня у Cisco есть продукт в сфере безопасности и аналитики, который называется Talos. Здесь основная идея в том, что Cisco в данный момент является крупнейшей аналитической организацией на планете, что позволяет ей использовать множество инструментов для нового брандмауэра. Компания получает данные от электронной почты, WWW, облачных хранилищ, конечных точек. Все эти инструменты дают брандмауэру дополнительную аналитику.

Электронная почта по-прежнему остается излюбленным объектом атак злоумышленников. Это основной и, наверное, самый простой способ проникнуть в сеть. Что предлагает в связи с изменившимся ландшафтом угроз для ее защиты Cisco, рассказал системный инженер Павел Родионов.

Электронная почта появилась в те времена, когда еще никто не думал о безопасности Интернета. Тем не менее изменения в этой службе произошли минимальные. Изменились разве что форматы отображения писем и их размеры. В то же время размываются границы между традиционным спамом и письмами, несущими угрозы безопасности.

Решения для защиты электронной почты появились у Cisco еще в 2007 г., когда была куплена компания IronPort. В то время IronPort уже была лидером в системах обработки электронных сообщений. С тех пор Cisco внедрила очень много инноваций в эту систему, к примеру, обработку рикошетных сообщений, репутационную фильтрацию, интегрированные механизмы защиты от вирусов, были запущены облачные сервисы, добавлен механизм АМР, защита от утечки данных и ряд других возможностей.

Система может быть развернута в виде отдельного устройства на границе сети, как ВМ или как облачный сервис. При этом независимо от модели развертывания функциональность остается той же.

В конце ноября вышла новая версия Email Security v.12.0, которая принесла множество улучшений. Одно из наиболее видимых – другой пользовательский интерфейс. К примеру, была упрощена навигация, исключено дублирование информации, реализована поддержка протокола интернет-безопасности DANE (DNS-based Authentication of Named Entities), а также формата STIX и протокола TAXII, входящих в систему обмена информацией об угрозах. Сделан ряд расширений. Самое большое из них – возможность поддержки кластеров серверов Threat Grid.

Форум Cisco 2018 - о сетях на основе намерений

Уильям Янг: «SAFE – это комбинация моделей, того, как мы представляем безопасность, и методов построения этих моделей»

Cisco выпустила также два новых продукта. Первый, DMARC (Domain-based Message Authentication, Reporting & Conformance), по сути представляет собой систему аутентификации электронной почты, которая позволяет защититься от возможности отправки поддельных сообщений. Она объединяет два механизма: SPF (Sender Policy Framework) говорит, кто может отправлять сообщения от имени вашего домена, а DKIM (DomenKeys Identified Mail) аутентифицирует отправленное сообщение.

DMARC защищает от большого количества фишинговых атак и поддельных писем, но не решает всех проблем. В то же время существует четыре вида фишинговых атак. При прямом спуфинге домена злоумышленник подключается к почтовому серверу и непосредственно пытается сказать, что он отправляет письмо от имени этого домена. Подделка отображаемого имени в поле From также является распространенным приемом. Далее, использование схожих доменов и взлом учетной записи. Эти атаки не могут быть обнаружены с помощью традиционных технологий и требуют использования других методик безопасности.

Проблему решает Cisco Advanced Phishing Protection (CAPP). Это облачный сервис анализа сообщений, который узнает и аутентифицирует отправителей и использует поведенческий анализ для расширенной безопасности. Он определяет, какое письмо несет целевую фишинг-атаку, и разрешают доставку только легитимных писем. Таким образом САРР позволяет добавить еще один уровень безопасности к электронной почте.

Если САРР защищает пользователей от того, что к ним приходит, то Cisco Domain Protection защищает компании от нелегитимного использования их домена. Это некий дополнительный облачный сервис, который помогает компаниям правильно создать записи DMARC для выполнения анализа всех отчетов электронной почты и показывает общую информацию о том, как выглядит почта извне.

По мнению докладчика, эти механизмы могут быть очень полезными для компаний с точки зрения анализа трафика, дополнительного анализа угроз и построения нового уровня защиты электронных сообщений.

Архитектор систем безопасности Уильям Янг (William Young) из Cisco занимается тем, что помогает клиентам проектировать их сети и обеспечивать безопасность. Это, по его словам, не просто, и долгое время Уильям Янг использует процесс, который называется SAFE (Security Architecture For an Enterprise). Это способ для построения безопасных новых сетей или улучшения уже существующих. И здесь вопрос не в том, будут ли вас атаковать. Исходим из предположения, что вас уже взломали.

Многие поставщики предлагают отдельные решения, но ни один для всеобъемлющей защиты. Необходимо подумать, как сложить из всех этих кубиков крепость. Cisco старается упростить подход к этой проблеме в целом.

Форум Cisco 2018 - о сетях на основе намерений

Здесь нужно сказать, что SAFE – это комбинация моделей, того, как мы представляем безопасность, и методов построения этих моделей. Для этого необходимо собрать информацию. И начать нужно с формулировки целей, которые ставит перед собой бизнес. Тогда к ним можно подстраивать требования к ИТ. Далее, выявляются риски, те вещи, которые могут помешать достижению этих целей. Затем разбиваются на различные группы пользователи, сотрудники, процессы, оборудование, если это предприятие, и т. д. Необходимо обеспечить систему защиты на стороне пользователя, на стороне сервера и какие-то инструменты для безопасности самой сети. Следующий шаг – оценка недостатков, документирование, что есть, что работает, что не работает, и расстановка приоритетов. В соответствии с ними формируются блоки функций, например, средства борьбы с вредоносным кодом, IPS, контроль приложений и т. п. Выбираем, с помощью каких продуктов можно обеспечить все функции. Возможно, есть брандмауэр, который предоставляет все нужное.

Однако существует и модульный подход. Он проходит в три фазы: функциональная фаза, разработка архитектуры и проектирование. На первой фазе рассматриваются функции, а не продукты. Например, нужны только функции брандмауэра. Для реализации этих функций в сети необходимо рассмотреть, какие объекты могут быть скомпрометированы. В первую очередь это люди, затем устройства, сама сеть и, наконец, приложения, сервисы и инструменты, которые используются.

В отношение людей, нужно определить, насколько каждый из них лоялен к компании, использовать многофакторную аутентификацию. Свои устройства нужно периодически сканировать на присутствие вредоносного кода. Поверхность атаки должна быть скомпенсирована средствами защиты. При их установке нужно всегда смотреть, какие есть процессы и бизнес-потоки. Например, может быть сотрудник, который подключается к какому-нибудь сайту. Нужно убедиться, есть ли у него защищенный доступ, безопасна ли сеть, которую он использует, и безопасен ли сам сайт. Все подобные вопросы можно объединить и сформулировать в виде требований к обеспечению безопасного доступа сотрудников. И это уже будут бизнес-требования.

На этой же функциональной фазе нужно рассмотреть, как все эти потоки могут быть атакованы. Нужно разбить все эти потоки на три группы. В первую войдут потоки со стороны устройства, далее, в самой сети и в направлении приложений. Затем нужно построить соответственную защиту для всех трех групп.

Следующая фаза – это архитектура. Нужно объединить все распределенные системы безопасности, такие как защита периферии сети, безопасность филиалов, защита облака и т. д., в единую архитектуру.

Наконец, проектирование. Здесь нужно знать топологию сети, и основываясь на ней, можно протестировать проект. Рассмотреть, например, где нужно установить брандмауэр с IPS, и на основе подобного анализа делать выбор продукта.

Все эти методы и описываются в SAFE.

Что касается форума в целом, то доклады проходили в трех потоках: корпоративные сети, информационная безопасность и ЦОД и унифицированные коммуникации. Рассматривались такие темы, как автоматизация работы сети, контроль доступа в сеть, оптимизация работы WAN, сдерживание киберугроз.

На площадке форума были развернуты стенды компаний-партнеров Cisco, на которых участники могли ознакомиться с продуктами и технологиями Cisco.

+33
голоса

Напечатать Отправить другу

Читайте также

 
 
IDC
Реклама

  •  Home  •  Рынок  •  ИТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Сети  •  Безопасность  •  Наука  •  IoT