Картинка

БЛОГ про

все цікаве у світі телекомунікацій

Інтелектуальна, захищена платформа Cisco для бізнесу в епоху цифровізації

2018-10-19
Автор: Телесфера

Що потрібно бізнесу від мережі?

Керівники бізнесу сучасних компаній не часто цікавляться тонкощами IT і нюансами мережевих технологій. Це не дивно: бізнесу важливий результат.

Але потрібний бізнес-результат виходить завдяки злагодженій роботі безлічі бізнес-процесів. Більшість з них пов'язано з передачею інформації. І велика частина таких бізнес-процесів спирається на мережеві додатки, що працюють поверх мережі.

У сучасному корпоративному середовищі без мережі і додатків бізнес працювати вже не може. Більш того, в епоху цифровізації і Інтернету речей (IoT) залежність бізнесу від IT тільки збільшується, тому що з'являється все більше критичних для бізнесу додатків, що працюють поверх мережі.

Таким чином, забезпечити належну роботу мережевих додатків і, відповідно, мережі - критично важливо для сучасних компаній.

Як же це зробити?

Для вирішення цього завдання необхідно виконати безліч рекомендацій, описаних в інструкціях по дизайну і в спеціальній літературі. Але в кінцевому рахунку на їх основі можна сформулювати три ключових напрямки:

  1. Надійний транспорт.
  2. Наскрізні політики.
  3. Наскрізна оркестрація.

При цьому найважливішою і необхідною складовою кожного напряму є інформаційна безпека, в ідеалі по моделі нульової довіри або "білого списку", в рамках якої доступ до конкретного ресурсу надається тільки тим користувачам, для яких є така бізнес-необхідність.

Розглянемо перераховані напрями докладніше.

Задача 1: надійний транспорт

Фундаментальний і очевидний пункт. Мережа повинна працювати і передавати інформацію з точки А в точку Б завжди, коли це потрібно бізнесу. В іншому випадку бізнес-процеси не зможуть працювати, а бізнес буде нести прямі або непрямі втрати.

Задача 2: наскрізні політики

Передавати інформацію з точки А в точку Б необхідно, але не достатньо. Правильна робота бізнес-процесів можлива тільки при виконанні різного роду політик. Наприклад, для забезпечення конфіденційності, цілісності, автентичності інформації необхідно реалізувати політики безпеки. Інший приклад - належну якість роботи бізнес-додатків вимагає дотримання потрібних значень затримок, джиттера і втрат пакетів. У свою чергу, для цього може знадобитися реалізація політики якості обслуговування (QoS).

Особливість реалізації політик полягає в тому, що ефект від них сильний настільки, наскільки сильна найслабша ланка. Це означає, що для досягнення потрібного бізнес-результату необхідна наскрізна (end-to-end) реалізація політик, що охоплює всю корпоративну мережу.

Крім того, відсутність політик або неналежна їх реалізація може призводити до проблем у виконанні базового пункту - забезпеченні зв'язку. Наприклад, неефективна реалізація політики безпеки може пропустити атаку на мережеву інфраструктуру або сервіси, а складність конфігурацій обладнання в поєднанні з "людським фактором" може привести до помилок в налаштуванні обладнання. Будь-який з цих прикладів створює передумови до збоїв в передачі трафіку і до недоступності сервісів.

Задача 3: наскрізна оркестрація

Реалізація політик може бути ефективною тільки тоді, коли політики узгоджені між собою і можуть оперативно оновлюватися в темпі, потрібному бізнесу.

Реалії сучасного бізнесу диктують необхідність оперативного оновлення цих наскрізних політик. Це зазвичай відбувається при запуску нових бізнес-процесів, зміни в існуючих процесах або при виконанні робіт по оптимізації їх підтримки з боку мережі. Затримки в оновленні політик неприйнятні, так як будуть затримувати запуск нових бізнес-ініціатив або підвищувати ризики для бізнесу. Тому швидкість дуже важлива, а в умовах цифровізації стає ще важливіше. Виграш в швидкості може призводити до суттєвих фінансових результатів. У деяких випадках швидкість настільки критична, що від неї повністю залежить успіх всієї бізнес-ініціативи.

Для виконання цих умов і належної реалізації політик необхідні засоби оркестрації, що діють по всьому маршруті передачі інформації - наприклад, починаючи від комп'ютера співробітника віддаленого офісу до сервера в корпоративному ЦОД.

Засоби оркестрації стають все більш важливим і необхідним функціоналом сучасної корпоративної мережі. Адже без них реалізувати наскрізні політики на великій кількості елементів мережевої інфраструктури, а потім ще й оперативно їх оновлювати, на практиці просто неможливо.

Рішення перших двох завдань - забезпечення надійного транспорту і наскрізних політик - є попередніми умовами для оркестрації. Очевидно, що будь-які сервіси спираються на транспорт. Також ясно, що оркестрація можлива тільки тоді, коли є ефективні, гнучкі механізми реалізації політик. Таким чином, оркестрація знаходиться "на вершині піраміди" з розглянутих трьох завдань.

Труднощі корпоративних мереж сьогоднішнього дня

Як же йдуть справи з точки зору означених завдань в типових корпоративних мережах сьогоднішнього дня?

Теоретично, типова корпоративна мережа легко може виконати завдання 1 і забезпечити надійний транспорт, адже для цього існують необхідні технічні засоби - наприклад, динамічні протоколи маршрутизації, інструментарій високої доступності і т.д.

На практиці ж рішення цієї задачі значно складніше. Крім передачі пакетів з точки А в точку Б необхідно ще реалізувати політики. А будь-яка нетривіальна політика впливає і на транспорт. Виявляються взаємозалежності між функціоналом, які реалізують політики, і функціоналом, вирішальним завдання транспорту. Конфігурації мережевих пристроїв значно ускладнюються. Як наслідок, ускладнюються і експлуатація мережі, пошук і усунення несправностей. Технологічні вікна стають довше, ймовірність помилки - вище. В кінцевому рахунку знижується доступність мережі, а значить, і бізнес-процесів. І це все рідше влаштовує бізнес.

Не краще йдуть справи і з політиками. Стек протоколів TCP/IP не має засобів, призначених для позначення приналежності пакетів якої-небудь групи користувачів або хостів і застосування до таких пакетів політик. Тому на практиці адміністраторам доводиться шукати заміну і в якості такої заміни практично повсюдно використовується IP-адреса, хоча він і не призначений для цього. Проте, саме IP-адреса зазвичай використовується як критерій приналежності пакета певної групи користувачів.

Такий спосіб застосування IP-адрес породжує взаємозалежність між двома різними функціями - адресацією і застосуванням політик. І зміни, бажані для однієї функції, неминуче відбиваються на іншій. У результаті мережа позбавляється гнучкості. Наприклад, оптимізація адресації, а також інші істотні зміни в IP-адресах корпоративної мережі часто стають практично неможливими, бо в результаті порушиться дія політик.

Але це тільки частина проблем. Робота з адресами, як правило, відбувається вручну, і засновані на них політики стають дуже складними, громіздкими і дуже вразливими до "людського фактору". В результаті страждають швидкість і якість застосування політик, а також значно збільшуються ризики збоїв бізнес-процесів через проблеми в мережі.

Що стосується наскрізної оркестрації сервісів, то в типовій корпоративній мережі вона відсутня. Реальна корпоративна мережа рідко буває однорідною. Швидше, вона побудована на базі набору обладнання з різнорідним функціоналом, від різних виробників, з різними реалізаціями не тільки інтерфейсів командного рядка, але і мережевих протоколів і стандартів. Чи не на всіх пристроях такий функціонал присутній в потрібному вигляді і обсязі. Крім того, конфігурації мережевого устаткування реальної мережі неконсистентні і складні, а згодом складність і неконсистентність мають тенденцію до зростання. Оркестрація сервісів в такій мережі не тільки важкореалізуєма, але і з великою ймовірністю призведе до збоїв через конфлікти між автоматизованим і ручним підходами до управління мережею. В результаті реалізувати наскрізну оркестрацію сервісів в такій мережі практично неможливо.

Ще одна проблема пов'язана з координацією. Перш ніж бізнес-намір отримає своє втілення в конкретних командах мережевого обладнання, необхідно пройти ланцюжок людей з різних департаментів, з абсолютно різними спеціалізаціями і менталітетом - наприклад, від керівників бізнесу через ланцюжок менеджерів до технічних фахівців в області додатків і ЦОД, мережевих технологій, безпеки. Такі люди "розмовляють різними мовами". При трансляції завдання по ланцюжку не завжди зберігається її сенс в точному вигляді і повному обсязі. Крім того, ситуація нерідко ускладнюється ще й особливостями міждепартаментної взаємодії, характерними для багатьох організацій.

Складнощі впровадження в кінцевому рахунку часто призводять до того, що потрібна бізнесу ініціатива впроваджується з недостатньою якістю, не в повному обсязі, не в строк. Іноді впровадження настільки розтягується, що ініціатива застаріває ще до завершення впровадження. Або впровадження взагалі не доводиться до кінця.

Що пропонує Cisco

Як ми побачили в попередньому розділі, в типовій сучасній корпоративній мережі з фундаментальних причин не завжди задовільно вирішуються навіть завдання забезпечення надійного транспорту та побудови наскрізних політик, не кажучи вже про наскрізну оркестрацію.

Але для ефективної підтримки бізнес-процесів потрібно рішення всіх трьох завдань - причому з високою якістю і в повному обсязі.

Розуміючи це, Cisco цілеспрямовано розробляє не просто нові продукти і технології, а цілісні архітектури, такі як Cisco DNA, спрямовані на ефективну підтримку бізнесу.

Створення таких архітектур вимагає наскрізної реалізації політик і засобів оркестрації. У свою чергу, для цього виробнику необхідно мати портфель продуктів і глибоку експертизу в усіх технологічних питаннях, які охоплюються архітектурою. Для сучасної корпоративної мережі такими галузями є локальні обчислювальні провідні та безпровідні мережі (LAN / WLAN) на центральному майданчику та у філіях, мережі центрів обробки даних, територіально-розподілені мережі (WAN), а також наскрізні рішення інформаційної безпеки. Крім того, ефективна реалізація рішення потребує додаткових коштів в області моніторингу трафіку і його аналізу до рівня додатків, підкріплених потужними засобами аналітики.

На сьогоднішній день Cisco є єдиним виробником, здатним охопити всі ці області. Більш того, Cisco вже реалізувала рішення в кожній з областей. Розглянемо їх докладніше.

Мережеві фабрики: транспортна інфраструктура нового покоління

Сучасні рішення Cisco для побудови транспортної інфраструктури корпоративної мережі засновані на концепції мережевої фабрики. Мережева фабрика включає в себе дві мережеві топології: опорну IP-мережу, що вирішує завдання передачі інформації з точки А в точку Б, а також працюючу поверх цієї IP-мережі оверлейну мережеву топологію, на базі якої реалізуються політики. За сформованою термінологією, кажучи "мережева фабрика", часто мають на увазі оверлей, що працює поверх опорної мережі.

Традиційно в кампусних мережах і транспорт, і політики реалізовувалися на базі єдиної мережевої топології. Практика показала, що спроби вирішити завдання і транспорту, і політик в одній і тій же мережевій топології зазвичай призводять до того, що не виходить ефективно вирішити ні першу, ні другу задачу. Відбувається це через те, що ці завдання пред'являють до мережі суперечливі вимоги. Надійний транспорт вимагає високої доступності мережі та, в свою чергу, її стабільності, мінімуму змін. З іншого боку, застосування політик і підтримання їх в актуальному стані вимагає внесення змін до мережі та порушує її стабільність.

Більш того, на практиці при поєднанні функцій транспорту і політик в єдиній топології виникають взаємозалежності. Зміни у функціоналі, пов'язаному з рішенням однієї задачі, змінюють рішення іншої. Це ускладнює мережу, ускладнює впровадження сервісів і політик, уповільнює реалізацію бізнес-ініціатив.

Концепція мережевої фабрики дозволяє подолати ці протиріччя. Єдине складне завдання одночасної реалізації і транспорту, і політик, характерне для мережі на базі єдиної топології, ділиться на два простіших завдання - окремої реалізації транспорту і політик в опорній IP-мережі і оверлеї мережевий фабрики.

Такий поділ логік абстрагує завдання одне від одного, зводить взаємозалежності до мінімуму і створює оптимальні умови для вирішення цих завдань. Ось чому в мережевій фабриці набагато легше реалізувати наскрізні політики, автоматизацію і оркестрацію і, в кінцевому рахунку, забезпечити швидку реакцію мережі на бізнес-ініціативи.

Ось така головна ідея мережевої фабрики, реалізована в сучасних рішеннях Cisco для корпоративної мережі, включаючи LAN, WAN і ЦОД.

Мережеві фабрики для LAN і WAN: Cisco SD-Access і SD-WAN

Мережева фабрика кампусової мережі реалізована в рішенні Cisco Software-Defined Access (SD-Access). SD-Access дозволяє побудувати програмно-визначаєму кампусну мережу. Така мережа керується за допомогою контролера Cisco DNA Center. Контролер також надає графічний інтерфейс, що дозволяє значно прискорити процес планування і впровадження мережі, завдання та автоматизованого виконання політик, а також моніторингу, пошуку та усунення несправностей.

SD-Access реалізує розглянуту вище ідею поділу логік, що дозволяє вирішити задачу транспорту і наскрізних політик в рамках всієї кампусової мережі. Крім того, поділ логік і застосування контролера DNA Center дозволяє швидко впроваджувати нові політики і адаптувати існуючі політики до нових вимог бізнесу.

DNA Center також надає інтерфейс REST API для інтеграції з системами оркестрації більш високого рівня, додатками сторонніх розробників і штатних фахівців замовника. API абстрагує мережу і дає можливість реалізувати маштабовану оркестрацію сервісів в термінах, релевантних для додатків і бізнесу. API також забезпечує доступ до результатів аналітики і аналізу трендів, проведених засобами Assurance контролера DNA Center.

API дозволяє отримати оркестрації сервісів не тільки всередині мережевої фабрики на центральному майданчику, а й інтегрувати цю фабрику з іншими частинами корпоративної мережі, включаючи WAN і локальні мережі філій.

Оверлейні мережеві топології як такі вже давно прийшли в WAN в рішеннях Cisco. Вони вже застосовувалися в технології DMVPN, далі отримали розвиток в рішенні Cisco IWAN, що спирається на DMVPN. Рішення WAN сьогоднішнього і завтрашнього дня в портфелі Cisco - це мережі SD-WAN, керовані за допомогою контролера DNA Center і включають в себе технології Viptela.

Cisco пропонує концепцію мережевої фабрики і для філій. В рамках цієї концепції мережева фабрика охоплює маршрутизатори, комутатори і інфраструктуру з бездротовою мережею філій, також керовані за допомогою контролера DNA Center.

Застосування концепції мережевої фабрики в кампусній мережі, в WAN і в філіях відкриває шлях до побудови однорідного транспортного середовища з гнучкими наскрізними політиками і можливостями оркестрації.

В результаті SD-Access і SD-WAN забезпечують ефективне вирішення всіх трьох завдань - від надійного транспорту до наскрізної оркестрації політик і сервісів в мережевій фабриці з можливістю розширення оркестрації на всю корпоративну мережу.

Мережева фабрика для ЦОД: Cisco ACI

Реалізація мережевий фабрики в корпоративній мережі була б неповною без охоплення мережевої інфраструктури ЦОД. Cisco вирішила цю задачу ще в 2013 р, випустивши рішення Cisco Application Centric Infrastructure (ACI).

Як і SD-Access, ACI включає в себе опорну IP-мережу, що вирішує завдання транспорту, і оверлей, який реалізує політики. Мережева фабрика Cisco ACI управляється кластером контролерів APIC, за допомогою якого адміністратор задає політики і вирішує інші завдання управління і моніторингу мережі ЦОД.

В кінцевому рахунку ЦОД створюється для роботи корпоративних бізнес-додатків, що реалізують потрібні бізнесу сервіси. Ландшафт таких додатків, як правило, досить складний. Забезпечення роботи навіть одного бізнес-сервісу може зажадати складної взаємодії груп серверів різних типів. Інформація передається між ними і обробляється в певній послідовності, виконуючи необхідну бізнес-логіку.

Принципова різниця між традиційними мережами ЦОД і ACI полягає в підході до реалізації такої бізнес-логіки. У традиційній мережі необхідно спочатку транслювати бізнес-логіку з термінів світу додатків в терміни світу мережевих технологій, а потім зібрати її з "низькорівневих" мережевих конструкцій, таких як VLAN, VRF і т.п. Цей процес передбачає щільну спільну роботу людей з різними областями компетенції, таких як фахівці в області мережі, додатків і т.п., вимагає істотних витрат часу і зусиль. А Cisco ACI дозволяє спочатку задати необхідну логіку взаємодії, реалізуючи її в мережі автоматично засобами контролера APIC.

Інша принципова відмінність полягає в швидкості реалізації цієї логіки. Традиційний підхід передбачає настройку елементів мережевої інфраструктури через CLI або в кращому випадку з використанням системи управління. Такий підхід адекватний для статичних конфігурацій мережі, але працює тим гірше, чим динамічніше середовище та чим частіше потрібно вносити зміни в налаштування транспорту і політики. Адже саме це і потрібно робити, щоб реалізувати нові сервіси і додатки, особливо в сучасних ЦОД з віртуалізацією.

ACI вирішує цю задачу завдяки можливостям контролера APIC в області автоматизації і програмованості. Контролер пропонує вельми багату об'єктну модель, доступну через інтерфейс REST API. API приймає і повертає повідомлення, задані в форматах JSON або XML. Крім API, Cisco надає додатковий інструментарій, такий як ACI Toolkit, Cobra SDK, Arya і т.д., а також автоматизацію за допомогою Puppet і Ansible.

ACI також пропонує високий рівень інформаційної безпеки. Для передачі інформації через інфраструктуру ACI необхідно явно задати групи взаємодіючих хостів з опціональним зазначенням видів дозволеного трафіку. Такий підхід зручний для реалізації політик безпеки за моделлю нульової довіри ( "білого списку").

Мережеві фабрики Cisco SD-Access і ACI інтегруються один з одним, забезпечуючи трансляцію політик і наскрізну їх дію по всій корпоративній мережі - від персонального комп'ютера користувача в філії до сервера в корпоративному ЦОД.

Таким чином, Cisco ACI пропонує можливості для вирішення всіх трьох завдань.

Політики безпеки і програмно-обумовлена сегментація: Cisco TrustSec і ISE

У попередніх розділах ми торкнулися важливості реалізації політик і рішення Cisco для мережевої інфраструктури корпоративної мережі, включаючи ЦОД.

Ключове місце серед політик займає політика безпеки. З урахуванням зростаючого росту активності зловмисників і великої кількості векторів атак, проникнення зловмисників всередину корпоративної мережі є лише справою часу. Це вимагає застосування ефективних заходів захисту в умовах, коли атака вже відбулася і зловмисники "проникли" всередину мережі (за даними ZK Research, близько 80% проникнень зловмисників відбувається зсередини периметру, що захищається.).

Ефективним заходом безпеки в подібних умовах є сегментація користувачів і ресурсів на ізольовані одна від одної групи, між якими дозволено обмін тільки трафіком, необхідним для вирішення бізнес-завдань. А якщо бізнес-завдання не передбачають обмін трафіком між групами, то він повністю блокується. Такий підхід (за моделлю нульової довіри або "білого списку") дозволяє істотно обмежити збитки від атак, що відбулися, а також ускладнити або запобігти їх подальше просування по корпоративній мережі. Цитати:

  • Digital Guardian: "Eataly's network segmentation prevented a POS compromise at one store from compromising systems at the chain's 26 other locations across the globe".
  • US-CERT: "Effective network segmentation ... reduces the extent to which an adversary can move across the network".
  • Australian Government, Department of Defense, Intelligence and Security: "Network segmentation ... is one of the most effective controls an agency can implement to mitigate the second stage of a network intrusion, propagation or lateral movement".

Традиційно завдання сегментації вирішувалася шляхом створення в мережі статичних віртуальних топологій і списків контролю доступу, що використовують IP-адреси в якості критерію для прийняття рішення. Але як показує практика, такий підхід вимагає великих трудовитрат, позбавляє мережу гнучкості і пов'язаний з істотними ризиками реалізації. В цілому, традиційний підхід працює тим гірше, чим динамічнішеу середовище сегментації і чим різноманітніше групи сегментуємих користувачів і ресурсів. Ефективне вирішення завдання сегментації потребує коштів, що дозволяють централізовано задавати і автоматично застосовувати політики контролю доступу по всій мережі.

Cisco розробила технологію TrustSec для вирішення цього завдання. TrustSec використовує в якості критерію для застосування політики контролю доступу не IP-адреси, а спеціалізовані мітки SGT (Scalable Group Tag). Мітки автоматично призначаються групам користувачів на кордоні домену TrustSec сервером Cisco ISE за результатами аутентифікації і авторизації користувача або пристрою, а далі мережева інфраструктура застосовує політики контролю доступу виходячи з значення міток і заснованих на мітках правил. Ці правила задаються адміністратором централізовано на сервері Cisco ISE і автоматично завантажуються на елементи мережевої інфраструктури у вигляді списків контролю доступу SGACL. Правила можуть задавати також в інтерфейсі контролера DNA Center, в цьому випадку вони синхронізуються з Cisco ISE і далі поширюються по мережевій інфраструктурі.

Мітки SGT застосовуються в якості критерію для реалізації політик контролю доступу як на елементах мережевої інфраструктури, таких як комутатори і маршрутизатори, так і на міжмережевих екранах Cisco Firepower, серверах контролю веб-трафіку Cisco Web Security Appliance і інших пристроях.

Cisco ISE може використовуватися в якості єдиного джерела ідентифікаційної (identity) інформації в кампусовій мережі SD-Access і ЦОД на базі ACI. В такому випадку ISE містить відповідності IP-адрес груп мітках SGT в кампусовії мережі і групам хостів EPG в середовищі ACI. Це дозволяє створювати наскрізні політики в корпоративній IT-інфраструктурі.

Крім того, Cisco реалізувала в ISE інтерфейси REST API і Cisco Platform Exchange Grid (pxGrid), що пропонують автоматизацію і можливості інтеграції рішень інформаційної безпеки в єдину систему, що діє з урахуванням контексту і яка максимально використовує можливості, що входять в систему компонентів.

В результаті бізнес отримує гнучкі, масштабовані і потужні засоби сегментації, які підходять для автоматизації політик контролю доступу. Такі засоби необхідні для вирішення завдань реалізації політик і оркестрації.

Засоби аналітики і телеметрії

Вимоги сучасного бізнесу до доступності IT-інфраструктури, а також оперативної і ефективної реалізації політик призводять до потреби в новому інструментарії. Адміністраторам важливо переконатися в тому, що інфраструктура діє так, як потрібно, і при необхідності вжити заходів для якнайшвидшого приведення інфраструктури в цільовий стан. Ось чому Cisco приділяє пильну увагу засобів аналітики і телеметрії. Розглянемо деякі з них.

Аналітика та телеметрія в кампусовій мережі: DNA Center Assurance

Традиційно в процесі експлуатації мережі, пошуку та усунення несправностей адміністратори використовують великий набір різнорідних інструментів і джерел інформації, намагаючись забезпечити безперервність бізнес-процесів. Але як показує практика, це має, як мінімум, три серйозні недоліки.

По-перше - реактивний, а не проактивний підхід до експлуатації. Наявні засоби слабо допомагають займатися профілактикою. У більшості випадків адміністратори вирішують проблеми, а не запобігають їм.

По-друге, численні різнорідні інструменти ускладнюють експлуатацію і траблшутинг і не дають цілісної картини того, що відбувається.

По-третє, налдлишок даних, що вимагають обробки і осмислення, призводять до перевантаження і не прискорюють рішення проблем. Адміністраторам потрібні не дані як такі, їм потрібні висновки.

Для вирішення цих труднощів Cisco реалізувала функціонал аналітики Assurance на базі контролера DNA Center. Він пропонує можливості підвищення доступності бізнес-процесів за рахунок проактивного виявлення і вирішення проблем в мережевій інфраструктурі.

Принцип роботи Assurance заснований на зборі службових даних, потокової телеметрії і контекстної інформації з мережевої інфраструктури, клієнтських пристроїв і службових серверів, таких як Cisco ISE, а також систем ITSM (IT Services Management) і IPAM (IP Address Management).

Assurance аналізує і корелює зібрану інформацію в реальному часі, використовуючи засоби аналітики і машинного навчання. На основі отриманих висновків Assurance надає адміністратору цілісну картину того, що відбувається, включаючи висновки про стан елементів мережевої інфраструктури і клієнтських пристроїв, проблеми та тенденції, а також конкретні рекомендації і кроки для пошуку та усунення несправностей. Крім того, Assurance пропонує допомогу у вирішенні інцидентів шляхом автоматизованого виконання виданих рекомендацій.

В результаті Assurance дозволяє переконатися в належній роботі IT-інфраструктури та в разі потреби негайно вжити конкретних заходів до вирішення інцидентів, тим самим допомагаючи адміністраторам забезпечити безперервність бізнес-процесів.

Аналітика та телеметрія ЦОД: Cisco Tetration Analytics

Ефективна розробка політик вимагає обов'язкового розуміння потоків інформації, для яких ці політики розробляються. Отримати таке розуміння в корпоративнії мережі можна шляхом аналізу бізнес-процесів, що працюють поверх мережі. Такий аналіз дозволяє виявити ключові програми, необхідні для бізнесу, протоколи, поверх яких працюють ці програми, розташування джерел і споживачів потоків інформації.

Це завдання, і без того непросте в корпоративній мережі, стає особливо складним в умовах сучасного ЦОД. Відбувається це через те, що ландшафт сучасних додатків, що реалізують потрібні бізнесу сервіси, вельми складний. Додатки можуть мати розподілену архітектуру з безліччю взаємозалежностей. З поширенням мікросервісів картина стає ще складніше. А з урахуванням динаміки прикладного середовища ЦОД і мобільності сучасних віртуалізованих навантажень завдання виявлення і аналіз потоків інформації в сучасному ЦОД перетворюється в швидко рухому мішень. На практиці така мішень недосяжна "ручних" методів аналізу з огляду колосального обсягу потоків інформації і їх динаміки. Не допомагає вирішити задачу з належною якістю і автоматизація із застосуванням сторонніх додатків через брак потрібних вхідних даних і недостатньою продуктивністю наявних коштів для подібного аналізу.

Для вирішення цього завдання Cisco пропонує платформу Tetration Analytics, що включає в себе засоби збору даних і аналітики. Збір даних реалізується компактними програмними сенсорами на рівні операційних систем серверів, апаратними сенсорами на базі інтегральних мікросхем (ASIC) відповідних комутаторів Cisco Nexus серії 9000, а також сенсорами, що обробляють трафік ERSPAN і NetFlow. Аналітика реалізується програмним забезпеченням, що працює на базі високопродуктивного кластеру серверів.

Кластер серверів отримує від сенсорів високоточну інформацію про потоки інформації в ЦОД кожні 100 мс. Система аналізує потоки інформації в реальному часі з точністю до пакету на швидкості каналу зв'язку, при цьому в даний час рішення масштабується до 25,000 серверів (віртуалізованих і фізичних). Наявність таких джерел даних робить Tetration Analytics унікальним рішенням на ринку.

Застосовуючи засоби поведінкового аналізу і машинного навчання, Cisco Tetration Analytics надає точні і актуальні висновки про потоки інформації в ЦОД, взаємозв’язках додатків, можливості ретроспективного аналізу та аналізу в реальному часі. В результаті служба IT отримує глибоке розуміння потоків інформації, що дозволяє робити конкретні дії, зокрема, формувати ефективні політики. Крім того, на базі отриманих даних і засобів машинного навчання Tetration Analytics пропонує функціонал поведінкового аналізу. Розширення можливостей виявлення і запобігання загрозам також піддається реалізації через інтеграцію зі спеціалізованою системою поведінкового аналізу Cisco Stealthwatch, а також в майбутньому - через взаємодію з хмарною службою безпеки Cisco Talos (в планах).


Tetration Analytics пропонує можливість автоматично поширювати політики безпеки на хости в ЦОД і підтримувати їх в актуальному вигляді за допомогою встановлених програмних агентів. Агенти транслюють політики в правила системного брандмауера (IP Tables, IP Set, Windows FW) та дозволяють реалізувати наносегментацію сервісів шляхом ізоляції служб і додатків безпосередньо на рівні хоста і операційної системи, до їх виходу в мережу. Крім того, за рахунок інтеграції з сервером контролю доступу Cisco ISE забезпечується передача міток Scalable Group Tag (SGT) для подальшого використання при визначенні політик, анотації і т.д.

В результаті істотно полегшується впровадження в ЦОД політики безпеки за моделлю "білого списку", для якої дуже важливо повне розуміння потоків інформації і інтеграція зі спеціалізованими рішеннями інформаційної безпеки.

Tetration Analytics дозволяє реалізувати в ЦОД оркестрацію політик за допомогою відкритих REST API.

Таким чином, Tetration Analytics є ключовим засобом для вирішення завдань впровадження політик і оркестрації в ЦОД.

Моніторинг та управління продуктивністю програмних середовищ: Cisco AppDynamics

Оскільки сучасні бізнес-процеси все більше спираються в своїй роботі на мережеві додатки і IT-інфраструктуру, забезпечити належну продуктивність бізнес-додатків стає критично важливо. Особливо це стосується великих компаній, в яких збої або навіть просто неоптимальна робота бізнес-процесів може приводити до втрат мільйонів доларів.

Виконання навіть однієї бізнес-транзакції, як правило, охоплює численні сервери і програмні процеси, розподілені і взаємозалежні. Тому моніторинг і управління продуктивністю бізнес-додатків являє собою досить важке завдання і вимагає спеціальних засобів.

Вирішити це завдання дозволяє платформа Cisco AppDynamics. Вона забезпечує наскрізні моніторинг і управління продуктивністю цілим ландшафтом додатків, від браузера на комп'ютері користувача або додатку на мобільному пристрої до backend серверів додатків або баз даних.

Ключовими компонентами рішення є контролер і програмні агенти, що встановлюються на хостах. Агенти можуть інтегруватися в широкий спектр програмних середовищ, в тому числі C/C ++, Java, .NET, Python, PHP, Node.js і т.д. Далі, вони збирають релевантну інформацію, в тому числі метрики продуктивності, умови і помилки виконання програмного коду і багато іншого. Агенти відправляють цю інформацію на контролер для подальшого аналізу і прийняття рішень.

AppDynamics автоматично обчислює базові значення метрик продуктивності, "нормальні" для даного середовища. Використовуючи ці метрики, задані адміністратором політики та отримані від агентів дані, система виявляє аномалії продуктивності і допомагає локалізувати джерело проблеми.

В результаті система дозволяє забезпечити наскрізний моніторинг і управління продуктивністю бізнес-транзакцій і додатків, від браузера на комп'ютері користувача або додатку на мобільному пристрої до backend серверів додатків або баз даних, а також моніторинг продуктивності апаратних засобів IT-інфраструктури, включаючи сервери і мережеве обладнання.

Більш того, в рамках функціоналу Business iQ система надає динамічні, великі дані про кожну бізнес-транзакцію, пропонуючи аналіз бізнес-метрик, корелюємих з метриками продуктивності додатків. В результаті AppDynamics може дати відповіді на бізнес-питання, наприклад про вплив інцидентів або змін в IT-інфраструктурі на виручку компанії.

AppDynamics також забезпечує широкі можливості інтеграції з іншими системами за допомогою розширень (extensions) і REST API. Це робить продукт придатним інструментом при вирішенні завдання наскрізної оркестрації.

Поведінковий аналіз мережевого трафіку: Cisco Stealthwatch

Засоби безпеки в архітектурі Cisco не обмежуються контролем доступу, а включають в себе цілий комплекс інтегрованих один з одним засобів захисту.

Найважливішим засобом захисту, що працюють всередині периметра корпоративної мережі, є Cisco Stealthwatch Enterprise.

Stealthwatch дозволяє задати поведінкові політики,що відповідаюсь нормальному профілю трафіку мережі. Політики можуть бути як високорівневі, так і вельми детальні. Далі, використовуючи засоби мережевий телеметрії, такі як NetFlow, IPFIX і т.д., Stealthwatch аналізує трафік, що проходить по мережі на предмет відповідності заданим політикам і виявляє аномалії. Джерелами інформації можуть бути як елементи мережевої інфраструктури, включаючи маршрутизатори, комутатори, міжмережеві екрани, так і персональні комп'ютери користувачів, з програмним клієнтом Cisco AnyConnect Network Visibility Module (NVM).

Аналіз охоплює всі області мережі, з яких Stealthwatch приймає телеметрію, і всі напрямки руху трафіку. В результаті адміністратори отримують детальне розуміння картини безпеки в мережі, на основі яко] можна зробити конкретні дії.

Stealthwatch також можна інтегрувати з сервером контролю доступу Cisco ISE за допомогою pxGrid. Це дозволяє реалізувати динамічні політики контролю доступу пристроїв з урахуванням їх "поведінки", наприклад заблокувати доступ зловмиснику або перевести його в карантинну мережу на підставі даних поведінкового аналізу від Stealthwatch. Це рішення називається Cisco Rapid Threat Containment і включає в себе цілий набір продуктів безпеки Cisco.

Крім того, Stealthwatch дозволяє виявляти загрози навіть в зашифрованому трафіку (без його розшифрування) шляхом аналізу ряду метаданих, таких як послідовність і таймінг пакетів, розподіл байтів, а також аналізу процесу встановлення зашифрованого з'єднання TLS. Цей функціонал називається Encrypted Traffic Analytics (ETA) і доступний при отриманні телеметрії Enhanced NetFlow з сучасних елементів мережевої інфраструктури Cisco.

Збираючи все разом

Працюючи спільно, розглянуті компоненти утворюють цілісну, інтегровану систему, що дозволяє вирішити всі три завдання: забезпечити надійний транспорт, реалізувати наскрізні політики і їх оркестраці..

Окремі технології і компоненти вже давно розроблені Cisco і присутні на ринку не перший рік. Настає час, відповідний для їх об'єднання і розробки цілісного рішення.

Основою такого рішення є концепція мережевої фабрики, що охоплює всю мережу. Саме мережева фабрика дає можливості для ефективного вирішення завдань реалізації наскрізних політик і оркестрації, недоступні в класичних мережах на базі однієї мережевої топології.

Керуючи оверлеєм мережевої фабрики, контролери Cisco автоматично ставлять політики, прозорі для опорної мережі. Така прозорість надає реалізації політик гнучкість і відрізняє архітектуру мереж нового покоління від класичних мереж, в яких вкрай важко реалізувати політики, які не вплинувши при цьому на транспорт.

Наскрізна мережева фабрика по всій компанії, а також компоненти, розроблені та інтегровані єдиним виробником, переводять на новий рівень і можливості оркестрації, на практиці відсутні в корпоративних мережах.

Доповнюють рішення розглянуті в попередніх розділах сервіси моніторингу та аналітики, інтегровані з мережевою фабрикою. Вони автоматизують вирішення багатьох експлуатаційних завдань і допомагають значно поліпшити рівень безпеки, продуктивності і, в кінцевому рахунку, доступності бізнес-процесів компанії.

На сьогоднішній день для окремих компонентів корпоративної IT-інфраструктури, наприклад кампусних мереж і мереж ЦОД, вже доступні "коробкові" рішення оркестрації на базі контролерів DNA Center і APIC.

Деякі великі корпорації впроваджують рішення Cisco Network Services Orchestrator (NSO) як засіб оркестрації, що охоплює кампусну мережу, територіально-розподілену мережу та мережу ЦОД через інтерфейси API мережевої інфраструктури. Наприклад, NSO забезпечує оркестрації рішення SD-Access через API контролера DNA Center.

Інтерфейси API IT-інфраструктури Cisco дозволяють замовникам не тільки інтегрувати готові продукти від Cisco і інших виробників, але і впроваджувати власні розробки, що враховують особливості і індивідуальні потреби бізнесу.

Рішення Cisco є унікальним на сьогоднішній день, тому що компанія Cisco - не тільки єдиний виробник, який охоплює всі розглянуті області, а й лідер в цих областях. Більш того, Cisco прагне бути не просто провідним виробником IT-обладнання, а бізнес-партнером своїх замовників.

Цінність для бізнесу

Які ж переваги отримує бізнес від впровадження рішення Cisco?

Розглянемо ці переваги на прикладі двох умовних мереж.

Перша мережа - "класична", або мережа AS-IS, що представляє собою корпоративну мережу без рішень на базі мережевої фабрики, з єдиною мережевою топологією, в якій вирішуються завдання транспорту і застосування політик. Мережа має кошти централізованого управління, але не має контролерів та засобів оркестрації.

Друга мережа - мережа Cisco, або мережа TO-BE, побудована на базі наскрізної мережевої фабрики з контролерами і засобами оркестрації. Це рішення, розглянуте в розділі "Що пропонує Cisco".

Бізнес-переваги можна класифікувати за трьома ключовими напрямками:

  1. Підвищення виручки;
  2. Зниження витрат;
  3. Зниження ризиків.

Розглянемо докладніше, яким чином рішення Cisco може допомогти бізнесу по кожному з цих напрямків.

Підвищення виручки

Корпоративні мережі, на відміну від мереж операторів зв'язку, за своєю природою пов'язані з виручкою компанії не безпосередньо, а опосередковано, за рахунок обслуговування бізнес-процесів.

Нові бізнес-процеси часто вимагають від мережі нових індивідуальних політик, а існуючі - змін і оновлень політик в результаті змін в бізнес-середовищі.

Різниця між класичною корпоративною мережею і мережею Cisco полягає в тому, що мережа Cisco дозволяє більш оперативно впроваджувати нові політики і оновлювати наявні, а значить, швидше отримувати потрібний бізнес-результат.

Різниця дуже велика. Мережа Cisco дозволяє досягати за хвилини того, що в класичній мережі вимагало дні або тижні.

Відбувається це тому, що в мережі Cisco впровадження та оновлення відбувається автоматично в оверлеї. Воно позбавлене труднощів, характерних для класичної мережі. Наприклад, завдяки оверлею мінімізовані взаємозалежності з транспортними функціями. Завдяки оверлею також вирішена проблема неконсистентності конфігурацій, що ускладнює автоматизацію. Крім того, завдяки оверлею і оркестрації значно полегшена трансляція бізнес-намірів в конфігурації мережі, зведено до мінімуму час, необхідний для координації впровадження політик між департаментами.

Час - гроші. В умовах цифровізації вплив IT на швидкість виконання бізнес-ініціатив стає дедалі помітнішим. Адже в сучасному світі нові бізнес-ідеї зазвичай реалізуються новими програмами та початок отримання виручки від цих ідей безпосередньо залежить від швидкості їх впровадження. В результаті виграш в швидкості може призводити до суттєвих фінансових результатів. В кінцевому рахунку, він сприяє отриманню конкурентної переваги і розширенню займаної частки ринку.

Зниження витрат

За даними внутрішнього дослідження Cisco, в 2016 р в корпоративних мережах понад 90% змін до сих пір виконувалося вручну, навіть незважаючи на широкий вибір систем управління. Значна частина робочого часу IT-персоналу витрачається просто на підтримку мережі в працездатному стані.

Компаніям в будь-якому випадку необхідні кваліфіковані IT-фахівці для експлуатації мережі - як класичної, так і мережі SDA. Але остання дає можливість значно знизити витрати часу на роботу з низькою доданою цінністю, наприклад на виконання рутинних операцій.

Компанія була б у виграші, якби мережа дозволяла перенаправити час і зусилля IT-персоналу з рутини на рішення більш важливих, стратегічних завдань, на оптимізацію підтримки існуючих бізнес-процесів і допомогу в запуску нових, на отримання нових результатів.

Співробітники були б у виграші, якщо б використовували робочий час не на рутинні операції, які мало допомагають підвищувати кваліфікацію і цінність на ринку праці, а на вивчення нових технологій, впровадження нових рішень і, в кінцевому рахунку, допомогу роботодавцю в досягненні конкретних бізнес-результатів.

Мережа Cisco надає такі можливості і компанії, і співробітникам. Оркестрація і автоматизація, орієнтація на впровадження політик і "бізнес-намірів", можливості швидкого впровадження елементів мережевої інфраструктури і клієнтських пристроїв по всій компанії, функціонал аналітики економлять час і сили, дозволяють використовувати їх максимально продуктивно.

Зниження ризиків

Мережа Cisco дозволяє істотно знизити ризики компанії, пов'язані з недоступністю бізнес-процесів і загрозами інформаційній безпеці.

За даними Gartner, вартість години простою бізнес-процесів в корпоративному середовищі може становити сотні тисяч доларів США.

Найбільш поширена причина збоїв в кампусовій мережі і, як наслідок, недоступності бізнес-процесів - "людський фактор". А за даними Cisco, з цієї ж причини також відбувається близько 70% порушень корпоративних політик.

Це не дивно, тому що сучасні мережі складні. Додаткову складність представляє собою координація дій між бізнесом і департаментами ІТ та ІБ, коли кожен з цих трьох "говорить своєю мовою".

Рішення Cisco бере на себе значну частину рутини, приховує складність мережі, надаючи людині можливість зосередитися на завданні політик і "бізнес-намірів".

Кожна класична мережа унікальна з точки зору комбінації налаштованих функцій, набору обладнання та програмного забезпечення, топології. Хоча виробники і докладають значних зусиль з тестування нових продуктів і контролю їх якості, але існує дуже висока ймовірність того, що подібна "унікальна" конфігурація виявиться не протестованою в точно такому вигляді, як впроваджена. Це підвищує ризики впровадження.

У разі автоматичного впровадження конфігурацій і оркестрації сервісів картина виглядає інакше. У мережу будуть впроваджуватися конфігурації, створені в результаті спільної роботи розробників елементів мережевої інфраструктури і контролера, архітекторів кращих практик впровадження. Кількість комбінацій функцій в таких конфігураціях, ступінь їх унікальності будуть значно нижче, ніж в класичній мережі. Такі зміни розробникам набагато простіше протестувати. Крім того, подібні "типові" конфігурації будуть не унікальні, як у випадку класичної мережі, а впроваджені в багатьох мережах по всьому світу. Це знижує ризики впровадження.

Інша проблема класичних мереж полягає в неповному впровадженні потрібного функціоналу, не дотриманню або неповному дотриманню рекомендаціям і кращим практикам. Тобто наявне обладнання і ПЗ можуть мати функціонал безпеки, високої доступності тощо, необхідний для зниження ризиків. Але зовсім необов'язково такий функціонал реально впроваджений через перевантаженість співробітників IT рутинними операціями і побоюваннями, пов'язаними зі складнощами впровадження. В результаті бізнес не отримує користь від оплачених, але не впроваджених функцій, не знижує ризики для функціонування бізнес-процесів.

Крім того, в умовах браку часу IT-персоналу консистентність конфігурацій пристроїв класичної мережі має тенденцію до зниження, а реалізація "тимчасових" півзаходів замість системних рішень - до підвищення. Це збільшує складність мережі. Також страждають якість і обсяг виконаних робіт. В результаті ризики збоїв і порушень політики безпеки наростають.

Мережа Cisco пропонує рішення цих проблем за рахунок автоматизації впровадження потрібного функціоналу та внесення подальших змін.

Крім того, можливості контролера в області оркестрації і автоматизації доповнюються функціоналом аналітики. Мережа Cisco забезпечує IT-персонал повною і детальною інформацією про інциденти, що відбуваються в мережі, висновками про їх вплив на мережу і користувачів. Ці висновки допомагають швидко зробити конкретні дії, спрямовані на усунення інциденту.

Мережа Cisco має інтегрований функціонал сегментації користувачів за рахунок технології TrustSec, а також засоби поведінкового аналізу і автоматизованого реагування на загрози.

У результаті мережа Cisco пропонує бізнесу інструментарій для значного зниження ризиків збоїв бізнес-процесів - як через "людський фактор", так і через загрози інформаційній безпеці.

Підбиваючи підсумки

Бізнес організації корпоративного сегмента полягає не в побудові мереж, а в її профільній діяльності. Мережа - це інструмент, необхідний для досягнення бізнес-результатів.

Ймовірно, буде продуктивно зосередитися не на мінімізації капітальних витрат, а розглянути впровадження або модернізацію мережі як інвестиційний проект, порівняти віддачу від проекту з пороговою ставкою прибутковості організації, необхідним терміном окупності та іншими фінансовими показниками.

При аналізі ризиків такого проекту є сенс оцінити не тільки ризики дії, але і ризики бездіяльності, вартість втрачених можливостей, характерних для "класичних" IT-інфраструктур.

Можна очікувати, що рішення Cisco буде особливо ефективно для організацій, в яких:

  • Динамічне бізнес-середовище;
  • Велика кількість бізнес-процесів, що вимагають індивідуальних політик;
  • Велика кількість користувачів і масштабна мережа.

Цифровізація, а також мережеві фабрики, автоматизація, програмуємість - тенденції, помітні в IT-галузі вже зараз. У міру розвитку цих тенденцій все більше компаній будуть отримувати пов'язані з ними переваги. Як наслідок, вони будуть отримувати переваги і в конкурентній боротьбі, відбираючи частку ринку у інших компаній.

Рішення Cisco дозволяє отримати ці переваги вже сьогодні.

Джерело: https://habr.com/company/cisco/blog/426917/


Про компанію Телесфера Інтеграція.

Телесфера Інтеграція заснована в 2012 році та являється інтегратором новітніх технологічних рішень для бізнесу.  Ми розробляємо рішення, що роблять Ваш бізнес успішним.

Основні напрямки роботи компанії:

  • Побудова локальних обчислювальних мереж;
  • Налаштування мережевого обладнання передових виробників (Cisco Systems, Aruba Networks та інших);
  • Продаж телекомунікаційного обладнання;
  • Аудит локальних обчислювальних мереж;

e-mail: office@telesphera.net
Телефон: (093) 198-11-82

КОММЕНТАРІ ДО СТАТТІ

Cisco VNI: в найближчі п'ять років інтернет-трафік продемонструє вибухове зростання

Cisco VNI: в найближчі п'ять років інтернет-трафік продемонструє вибухове зростання
Cisco,Cisco Network,Cisco Wi-Fi,Wi-Fi,wi-fi,cisco vni,cisco,Налаштування Cisco,новини

У компанії Cisco пророкують, що в найближчі п'ять років через IP буде передано більше даних, ніж за всю попередню історію інтернету. Інтернет складається з тисяч відкритих і приватних мереж, які охопили весь світ. І з моменту зародження інтернету в 1984 році через нього було передано понад 4.7 зетабайтів IP-трафіку. Цей обсяг можна порівняти з передачею за хвилину через світові IP-мережі всіх кінофільмів, знятих за історію людства.

Cisco HyperFlex в дії

Cisco HyperFlex в дії
Cisco,Cisco Network,cisco,cisco безпека,Блог Телесфера,Налаштування Cisco

Cisco HyperFlex - це новітня гіперконвергентна система, яка вирішує проблему високої складності відмовостійких систем ЦОД-ів і корпоративних інфраструктур.

Комутатори Cisco Catalyst 9000 розширять доступність інтенційно-орієнтованих мереж на середні компанії

Комутатори Cisco Catalyst 9000 розширять доступність інтенційно-орієнтованих мереж на середні компанії
Cisco,Cisco Network,cisco,cisco безпека,Налаштування Cisco,новини

Cisco розширила лінійку комутаторів для інтенційно-орієнтованих мереж Catalyst 9000, представлену в минулому році. Нові моделі розширять застосування цих інноваційних мереж на проекти будь-якого масштабу, і більше замовників зможуть отримати побудовані на їх основі більш «розумні», прості і захищені мережі, відзначають в компанії.