Интеллектуальная, защищенная платформа Cisco для бизнеса в эпоху цифровизации

Интеллектуальная, защищенная платформа Cisco для бизнеса в эпоху цифровизации

Что нужно бизнесу от сети?


Руководители бизнеса современных компаний редко интересуются тонкостями IT и нюансами сетевых технологий. Это неудивительно: бизнесу важен результат.


Но нужный бизнес-результат получается благодаря слаженной работе множества бизнес-процессов. Большинство из них связано с передачей информации. И большая часть таких бизнес-процессов опирается на сетевые приложения, работающие поверх сети.


В современной корпоративной среде без сети и приложений бизнес работать уже не может. Более того, в эпоху цифровизации и Интернета вещей (IoT) зависимость бизнеса от IT только увеличивается, потому что появляется все больше критичных для бизнеса приложений, работающих поверх сети.


Таким образом, обеспечить надлежащую работу сетевых приложений и, соответственно, сети — критически важно для современных компаний.


Как же это сделать?


Для решения этой задачи необходимо выполнить множество рекомендаций, описанных в руководствах по дизайну и в специальной литературе. Но в конечном счете на их основе можно сформулировать три ключевых направления:


  1. Надежный транспорт.
  2. Сквозные политики.
  3. Сквозная оркестрация.

При этом важнейшей и необходимой составляющей каждого направления является информационная безопасность, в идеале по модели нулевого доверия или "белого списка", в рамках которой доступ к конкретному ресурсу предоставляется только тем пользователям, для которых есть такая бизнес-необходимость.


Рассмотрим перечисленные направления подробнее.


Задача 1: надежный транспорт


Фундаментальный и очевидный пункт. Сеть должна работать и передавать информацию из точки А в точку Б всегда, когда это нужно бизнесу. В противном случае бизнес-процессы не смогут работать, а бизнес будет нести прямые или косвенные потери.


Задача 2: сквозные политики


Передавать информацию из точки А в точку Б необходимо, но не достаточно. Правильная работа бизнес-процессов возможна только при выполнении разного рода политик. Например, для обеспечения конфиденциальности, целостности, аутентичности информации необходимо реализовать политики безопасности. Другой пример — надлежащее качество работы бизнес-приложений требует соблюдения нужных значений задержек, джиттера и потерь пакетов. В свою очередь, для этого может потребоваться реализация политики качества обслуживания (QoS).


Особенность реализации политик заключается в том, что эффект от них силен настолько, насколько сильно самое слабое звено. Это означает, что для достижения нужного бизнес-результата необходима сквозная (end-to-end) реализация политик, охватывающая всю корпоративную сеть.


Кроме того, отсутствие политик или ненадлежащая их реализация может приводить к проблемам в выполнении базового пункта — обеспечении связи. Например, неэффективная реализация политики безопасности может пропустить атаку на сетевую инфраструктуру или сервисы, а сложность конфигураций оборудования в сочетании с "человеческим фактором" может привести к ошибкам в настройке оборудования. Любой из этих примеров создает предпосылки к сбоям в передаче трафика и к недоступности сервисов.


Задача 3: сквозная оркестрация


Реализация политик может быть эффективной только тогда, когда политики согласованы друг с другом и могут оперативно обновляться в темпе, нужном бизнесу.


Реалии современного бизнеса диктуют необходимость оперативного обновления этих сквозных политик. Это обычно происходит при запуске новых бизнес-процессов, изменениях в существующих процессах или при выполнении работ по оптимизации их поддержки со стороны сети. Задержки в обновлении политик неприемлемы, так как будут задерживать запуск новых бизнес-инициатив или повышать риски для бизнеса. Поэтому скорость очень важна, а в условиях цифровизации становится еще важнее. Выигрыш в скорости может приводить к существенным финансовым результатам. В некоторых случаях скорость настолько критична, что от нее полностью зависит успех всей бизнес-инициативы.


Для выполнения этих условий и надлежащей реализации политик необходимы средства оркестрации, действующие по всему маршруту передачи информации — например, начиная от компьютера сотрудника удаленного офиса до сервера в корпоративном ЦОД.


Средства оркестрации становятся всё более важным и необходимым функционалом современной корпоративной сети. Ведь без них реализовать сквозные политики на большом количестве элементов сетевой инфраструктуры, а потом еще и оперативно их обновлять, на практике просто невозможно.


Решение первых двух задач — обеспечение надежного транспорта и сквозных политик — является предварительными условиями для оркестрации. Очевидно, что любые сервисы опираются на транспорт. Также ясно, что оркестрация возможна только тогда, когда есть эффективные, гибкие механизмы реализации политик. Таким образом, оркестрация находится "на вершине пирамиды" из рассмотренных трех задач.


Трудности корпоративных сетей сегодняшнего дня


Как же обстоят дела с точки зрения обозначенных задач в типовых корпоративных сетях сегодняшнего дня?


Теоретически, типовая корпоративная сеть легко может выполнить задачу 1 и обеспечить надежный транспорт, ведь для этого существуют необходимые технические средства — например, динамические протоколы маршрутизации, инструментарий высокой доступности и т.д.


На практике же решение этой задачи значительно сложнее. Помимо передачи пакетов из точки А в точку Б необходимо еще реализовать политики. А любая нетривиальная политика влияет и на транспорт. Проявляются взаимозависимости между функционалом, реализующим политики, и функционалом, решающим задачи транспорта. Конфигурации сетевых устройств значительно усложняются. Как следствие, усложняются и эксплуатация сети, поиск и устранение неисправностей. Технологические окна становятся дольше, вероятность ошибки — выше. В конечном счете снижается доступность сети, а значит, и бизнес-процессов. И это все реже устраивает бизнес.


Не лучше обстоят дела и с политиками. Стек протоколов TCP/IP не имеет средств, предназначенных для обозначения принадлежности пакетов какой-либо группе пользователей или хостов и применения к таким пакетам политик. Поэтому на практике администраторам приходится искать замену и в качестве такой замены практически повсеместно используется IP-адрес, хотя он и не предназначен для этого. Тем не менее, именно IP-адрес обычно используется как критерий принадлежности пакета определенной группе пользователей.


Такой способ применения IP-адресов порождает взаимозависимость между двумя разными функциями — адресацией и применением политик. И изменения, желательные для одной функции, неизбежно отражаются на другой. В результате сеть лишается гибкости. Например, оптимизация адресации, а также другие существенные изменения в IP-адресах корпоративной сети часто становятся практически невозможными, потому что в результате нарушится действие политик.


Но это только часть проблем. Работа с адресами, как правило, происходит вручную, и основанные на них политики становятся весьма сложными, громоздкими и очень уязвимыми к "человеческому фактору". В результате страдают скорость и качество применения политик, а также значительно увеличиваются риски сбоев бизнес-процессов из-за проблем в сети.


Что касается сквозной оркестрации сервисов, то в типовой корпоративной сети она отсутствует. Реальная корпоративная сеть редко бывает однородной. Скорее, она построена на базе набора оборудования с разнородным функционалом, от разных производителей, с разными реализациями не только интерфейсов командной строки, но и сетевых протоколов и стандартов. Не на всех устройствах такой функционал присутствует в нужном виде и объеме. Кроме того, конфигурации сетевого оборудования реальной сети неконсистентны и сложны, а со временем сложность и неконсистентность имеют тенденцию к росту. Оркестрация сервисов в такой сети не только труднореализуема, но и с большой вероятностью приведет к сбоям из-за конфликтов между автоматизированным и ручным подходами к управлению сетью. В результате реализовать сквозную оркестрацию сервисов в такой сети практически невозможно.


Еще одна проблема связана с координацией. Прежде чем бизнес-намерение получит свое воплощение в конкретных командах сетевого оборудования, необходимо пройти цепочку людей из разных департаментов, с совершенно разными специализациями и менталитетами — например, от руководителей бизнеса через цепочку менеджеров к техническим специалистам в области приложений и ЦОД, сетевых технологий, безопасности. Такие люди "говорят на разных языках". При трансляции задачи по цепочке не всегда сохраняется ее смысл в точном виде и полном объеме. Кроме того, ситуация нередко осложняется еще и особенностями междепартаментного взаимодействия, характерными для многих организаций.


Сложности внедрения в конечном счете часто приводят к тому, что нужная бизнесу инициатива внедряется с недостаточным качеством, не в полном объеме, не в срок. Иногда внедрение настолько растягивается, что инициатива устаревает еще до завершения внедрения. Или внедрение вообще не доводится до конца.


Что предлагает Cisco


Как мы увидели в предыдущем разделе, в типовой современной корпоративной сети по фундаментальным причинам не всегда удовлетворительно решаются даже задачи обеспечения надежного транспорта и построения сквозных политик, не говоря уже про сквозную оркестрацию.


Но для эффективной поддержки бизнес-процессов требуется решение всех трех задач — причем с высоким качеством и в полном объеме.


Понимая это, Cisco целенаправленно разрабатывает не просто новые продукты и технологии, а целостные архитектуры, такие как Cisco DNA, направленные на эффективную поддержку бизнеса.


Создание таких архитектур требует сквозной реализации политик и средств оркестрации. В свою очередь, для этого производителю необходимо иметь портфель продуктов и глубокую экспертизу во всех технологических областях, охватываемых архитектурой. Для современной корпоративной сети такими областями являются локальные вычислительные проводные и беспроводные сети (LAN/WLAN) на центральной площадке и в филиалах, сети центров обработки данных, территориально-распределенные сети (WAN), а также сквозные решения информационной безопасности. Кроме того, эффективная реализация решения требует дополнительных средств в области мониторинга трафика и его анализа до уровня приложений, подкрепленных мощными средствами аналитики.


На сегодняшний день Cisco является единственным производителем, способным охватить все эти области. Более того, Cisco уже реализовала решения в каждой из областей. Рассмотрим их подробнее.


Сетевые фабрики: транспортная инфраструктура нового поколения


Современные решения Cisco для построения транспортной инфраструктуры корпоративной сети основаны на концепции сетевой фабрики. Сетевая фабрика включает в себя две сетевые топологии: опорную IP-сеть, решающую задачу передачи информации из точки А в точку Б, и работающую поверх этой IP-сети оверлейную сетевую топологию, на базе которой реализуются политики. По сложившейся терминологии, говоря "сетевая фабрика", часто подразумевают оверлей, работающий поверх опорной сети.


Традиционно в кампусных сетях и транспорт, и политики реализовывались на базе единственной сетевой топологии. Практика показала, что попытки решить задачи и транспорта, и политик в одной и той же сетевой топологии обычно приводят к тому, что не получается эффективно решить ни первую, ни вторую задачу. Происходит это оттого, что эти задачи предъявляют к сети противоречивые требования. Надежный транспорт требует высокой доступности сети и, в свою очередь, ее стабильности, минимума изменений. С другой стороны, применение политик и поддержание их в актуальном состоянии требует внесения изменений в сеть и нарушает ее стабильность.


Более того, на практике при совмещении функций транспорта и политик в единой топологии возникают взаимозависимости. Изменения в функционале, связанном с решением одной задачи, меняют решение другой. Это усложняет сеть, затрудняет внедрение сервисов и политик, замедляет реализацию бизнес-инициатив.


Концепция сетевой фабрики позволяет преодолеть эти противоречия. Единая сложная задача одновременной реализации и транспорта, и политик, характерная для сети на базе единой топологии, делится две более простых задачи — отдельной реализации транспорта и политик в опорной IP-сети и оверлее сетевой фабрики.


Такое разделение логик абстрагирует задачи друг от друга, сводит взаимозависимости к минимуму и создает оптимальные условия для решения этих задач. Вот почему в сетевой фабрике гораздо легче реализовать сквозные политики, автоматизацию и оркестрацию и, в конечном счете, обеспечить быструю реакцию сети на бизнес-инициативы.


Такова главная идея сетевой фабрики, реализованная в современных решениях Cisco для корпоративной сети, включая LAN, WAN и ЦОД.


Сетевые фабрики для LAN и WAN: Cisco SD-Access и SD-WAN


Сетевая фабрика кампусной сети реализована в решении Cisco Software-Defined Access (SD-Access). SD-Access позволяет построить программно-определяемую кампусную сеть. Такая сеть управляется с помощью контроллера Cisco DNA Center. Контроллер также предоставляет графический интерфейс, позволяющий значительно ускорить процесс планирования и внедрения сети, задания и автоматизированного выполнения политик, а также мониторинга, поиска и устранения неисправностей.


SD-Access реализует рассмотренную выше идею разделения логик, что позволяет решить задачу транспорта и сквозных политик в рамках всей кампусной сети. Кроме того, разделение логик и применение контроллера DNA Center позволяет быстро внедрять новые политики и адаптировать существующие политики к новым требованиям бизнеса.


DNA Center также предоставляет интерфейс REST API для интеграции с системами оркестрации более высокого уровня, приложениями сторонних разработчиков и штатных специалистов заказчика. API абстрагирует сеть и дает возможность реализовать масштабируемую оркестрацию сервисов в терминах, релевантных для приложений и бизнеса. API также обеспечивает доступ к результатам аналитики и анализа трендов, проведенных средствами Assurance контроллера DNA Center.


API позволяет получить оркестрацию сервисов не только внутри сетевой фабрики на центральной площадке, но и интегрировать эту фабрику с остальными частями корпоративной сети, включая WAN и локальные сети филиалов.


Оверлейные сетевые топологии как таковые уже давно пришли в WAN в решениях Cisco. Они уже применялись в технологии DMVPN, далее получили развитие в решении Cisco IWAN, опирающемся на DMVPN. Решения WAN сегодняшнего и завтрашнего дня в портфеле Cisco — это сети SD-WAN, управляемые с помощью контроллера DNA Center и включающие в себя технологии Viptela.


Cisco предлагает концепцию сетевой фабрики и для филиалов. В рамках этой концепции сетевая фабрика охватывает маршрутизаторы, коммутаторы и инфраструктуру беспроводной ЛВС филиалов, также управляемые с помощью контроллера DNA Center.


Применение концепции сетевой фабрики в кампусной сети, в WAN и в филиалах открывает путь к построению однородной транспортной среды с гибкими сквозными политиками и возможностями оркестрации.


В результате SD-Access и SD-WAN обеспечивают эффективное решение всех трех задач — от надежного транспорта до сквозной оркестрации политик и сервисов в сетевой фабрике с возможностью расширения оркестрации на всю корпоративную сеть.


Сетевая фабрика для ЦОД: Cisco ACI


Реализация сетевой фабрики в корпоративной сети была бы неполной без охвата сетевой инфраструктуры ЦОД. Cisco решила эту задачу еще в 2013 г., выпустив решение Cisco Application Centric Infrastructure (ACI).


Как и SD-Access, ACI включает в себя опорную IP-сеть, решающую задачи транспорта, и оверлей, реализующий политики. Сетевая фабрика Cisco ACI управляется кластером контроллеров APIC, с помощью которого администратор задает политики и решает остальные задачи управления и мониторинга сети ЦОД.


В конечном счете ЦОД создается для работы корпоративных бизнес-приложений, реализующих нужные бизнесу сервисы. Ландшафт таких приложений, как правило, довольно сложен. Обеспечение работы даже одного бизнес-сервиса может потребовать сложного взаимодействия групп серверов разных типов. Информация передается между ними и обрабатывается в определенной последовательности, выполняя требуемую бизнес-логику.


Принципиальная разница между традиционными сетями ЦОД и ACI заключается в подходе к реализации такой бизнес-логики. В традиционной сети необходимо сначала транслировать бизнес-логику из терминов мира приложений в термины мира сетевых технологий, а потом собрать ее из "низкоуровневых" сетевых конструкций, таких как VLAN, VRF и т.п. Этот процесс предусматривает плотную совместную работу людей с разными областями компетенции, таких как специалисты в области сети, приложений и т.п., требует существенных затрат времени и усилий. А Cisco ACI позволяет изначально задать требуемую логику взаимодействия, реализуя ее в сети автоматически средствами контроллера APIC.


Другое принципиальное отличие заключается в скорости реализации этой логики. Традиционный подход предполагает настройку элементов сетевой инфраструктуры через CLI или в лучшем случае с использованием системы управления. Такой подход адекватен для статических конфигураций сети, но работает тем хуже, чем динамичнее среда и чем чаще нужно вносить изменения в настройки транспорта и политики. А ведь именно это и нужно делать, чтобы реализовать новые сервисы и приложения, особенно в современных ЦОД с виртуализацией.


ACI решает эту задачу благодаря возможностям контроллера APIC в области автоматизации и программируемости. Контроллер предлагает весьма богатую объектную модель, доступную через интерфейс REST API. API принимает и возвращает сообщения, заданные в форматах JSON или XML. Помимо API, Cisco предоставляет дополнительный инструментарий, такой как ACI Toolkit, Cobra SDK, Arya и т.д., а также автоматизацию с помощью Puppet и Ansible.


ACI также предлагает высокий уровень информационной безопасности. Для передачи информации через инфраструктуру ACI необходимо явно задать группы взаимодействующих хостов с опциональным указанием видов разрешенного трафика. Такой подход удобен для реализации политик безопасности по модели нулевого доверия ("белого списка").


Сетевые фабрики Cisco SD-Access и ACI интегрируются друг с другом, обеспечивая трансляцию политик и сквозное их действие по всей корпоративной сети — от персонального компьютера пользователя в филиале до сервера в корпоративном ЦОД.


Таким образом, Cisco ACI предлагает возможности для решения всех трех задач.


Политики безопасности и программно-определяемая сегментация: Cisco TrustSec и ISE


В предыдущих разделах мы затронули важность реализации политик и решения Cisco для сетевой инфраструктуры корпоративной сети, включая ЦОД.


Ключевое место среди политик занимает политика безопасности. С учетом непрекращающегося роста активности злоумышленников и изобилия векторов атак, проникновение злоумышленников внутрь корпоративной сети является лишь делом времени. Это требует применения эффективных мер защиты в условиях, когда атака уже состоялась и злоумышленники "проникли" внутрь сети (по данным ZK Research, порядка 80% проникновений злоумышленников происходит изнутри защищаемого периметра.}.


Эффективной мерой безопасности в подобных условиях является сегментация пользователей и ресурсов на изолированные друг от друга группы, между которыми разрешен обмен только трафиком, необходимым для решения бизнес-задач. А если бизнес-задачи не предполагают обмен трафиком между группами, то он полностью блокируется. Такой подход (по модели нулевого доверия или "белого списка") позволяет существенно ограничить ущерб от состоявшихся атак, а также затруднить или предотвратить их дальнейшее продвижение по корпоративной сети. Цитаты:


  • Digital Guardian: “Eataly’s network segmentation prevented a POS compromise at one store from compromising systems at the chain’s 26 other locations across the globe”.
  • US-CERT: “Effective network segmentation… reduces the extent to which an adversary can move across the network”.
  • Australian Government, Department of Defense, Intelligence and Security: “Network segmentation… is one of the most effective controls an agency can implement to mitigate the second stage of a network intrusion, propagation or lateral movement”.

Традиционно задача сегментации решалась путем создания в сети статичных виртуальных топологий и списков контроля доступа, использующих IP-адрес в качестве критерия для принятия решения. Но как показывает практика, такой подход требует больших трудозатрат, лишает сеть гибкости и связан с существенными рисками реализации. В целом, традиционный подход работает тем хуже, чем динамичнее среда сегментации и чем разнообразнее группы сегментируемых пользователей и ресурсов. Эффективное решение задачи сегментации требует средств, позволяющих централизованно задавать и автоматически применять политики контроля доступа по всей сети.


Cisco разработала технологию TrustSec для решения этой задачи. TrustSec использует в качестве критерия для применения политики контроля доступа не IP-адреса, а специализированные метки SGT (Scalable Group Tag). Метки автоматически назначаются группам пользователей на границе домена TrustSec сервером Cisco ISE по результатам аутентификации и авторизации пользователя или устройства, а дальше сетевая инфраструктура применяет политики контроля доступа исходя из значения меток и основанных на метках правил. Эти правила задаются администратором централизованно на сервере Cisco ISE и автоматически загружаются на элементы сетевой инфраструктуры в виде списков контроля доступа SGACL. Правила могут задавать также в интерфейсе контроллера DNA Center, в этом случае они синхронизируются с Cisco ISE и далее распространяются по сетевой инфраструктуре.


Метки SGT применяются в качестве критерия для реализации политик контроля доступа как на элементах сетевой инфраструктуры, таких как коммутаторы и маршрутизаторы, так и на межсетевых экранах Cisco Firepower, серверах контроля веб-трафика Cisco Web Security Appliance и других устройствах.


Cisco ISE может использоваться в качестве единого источника идентификационной (identity) информации в кампусной сети SD-Access и ЦОД на базе ACI. В таком случае ISE содержит соответствия IP-адресов групп меткам SGT в кампусной сети и группам хостов EPG в среде ACI. Это позволяет создавать сквозные политики в корпоративной IT-инфраструктуре.


Кроме того, Cisco реализовала в ISE интерфейсы REST API и Cisco Platform Exchange Grid (pxGrid), предлагающие автоматизацию и возможности интеграции решений информационной безопасности в единую систему, действующую с учетом контекста и максимально использующую возможности входящих в систему компонентов.


В результате бизнес получает гибкие, масштабируемые и мощные средства сегментации, подходящие для автоматизации политик контроля доступа. Такие средства необходимы для решения задач реализации политик и оркестрации.


Средства аналитики и телеметрии


Требования современного бизнеса к доступности IT-инфраструктуры, а также оперативной и эффективной реализации политик приводят к потребности в новом инструментарии. Администраторам важно убедиться в том, что инфраструктура действует так, как нужно, и при необходимости принять меры для скорейшего приведения инфраструктуры в целевое состояние. Вот почему Cisco уделяет пристальное внимание средствам аналитики и телеметрии. Рассмотрим некоторые из них.


Аналитика и телеметрия в кампусной сети: DNA Center Assurance


Традиционно в процессе эксплуатации сети, поиска и устранения неисправностей администраторы используют обширный набор разнородных инструментов и источников информации, пытаясь обеспечить непрерывность бизнес-процессов. Но как показывает практика, это имеет, как минимум, три серьезных недостатка.


Во-первых — реактивный, а не проактивный подход к эксплуатации. Имеющиеся средства слабо помогают заниматься профилактикой. В большинстве случаев администраторы решают проблемы, а не предотвращают их.


Во-вторых, многочисленные разнородные инструменты усложняют эксплуатацию и траблшутинг и не дают целостной картины происходящего.


В-третьих, изобилие данных, требующих обработки и осмысления, приводят к перегрузке и не ускоряют решение проблем. Администраторам нужны не данные как таковые, им нужны выводы.


Для решения этих трудностей Cisco реализовала функционал аналитики Assurance на базе контроллера DNA Center. Он предлагает возможности повышения доступности бизнес-процессов за счет проактивного выявления и решения проблем в сетевой инфраструктуре.


Принцип работы Assurance основан на сборе служебных данных, потоковой телеметрии и контекстной информации с сетевой инфраструктуры, клиентских устройств и служебных серверов, таких как Cisco ISE, а также систем ITSM (IT Services Management) и IPAM (IP Address Management).


Assurance анализирует и коррелирует собранную информацию в реальном времени, используя средства аналитики и машинного обучения. На основе полученных выводов Assurance предоставляет администратору целостную картину происходящего, включая выводы о состоянии элементов сетевой инфраструктуры и клиентских устройств, проблемах и тенденциях, а также конкретные рекомендации и шаги для поиска и устранения неисправностей. Кроме того, Assurance предлагает помощь в решении инцидентов путем автоматизированного выполнения выданных рекомендаций.


В результате Assurance позволяет убедиться в надлежащей работе IT-инфраструктуры и в случае необходимости немедленно предпринять конкретные меры к решению инцидентов, тем самым помогая администраторам обеспечить непрерывность бизнес-процессов.


Аналитика и телеметрия ЦОД: Cisco Tetration Analytics


Эффективная разработка политик требует обязательного понимания потоков информации, для которых эти политики разрабатываются. Получить такое понимание в корпоративной сети можно путем анализа бизнес-процессов, работающих поверх сети. Такой анализ позволяет выявить ключевые приложения, необходимые для бизнеса, протоколы, поверх которых работают эти приложения, расположение источников и потребителей потоков информации.


Эта задача, и без того непростая в корпоративной сети, становится особо сложной в условиях современного ЦОД. Происходит это оттого, что ландшафт современных приложений, реализующих нужные бизнесу сервисы, весьма сложен. Приложения могут иметь распределенную архитектуру со множеством взаимозависимостей. С распространением микросервисов картина становится еще сложнее. А с учетом динамики прикладной среды ЦОД и мобильности современных виртуализированных нагрузок задача выявления и анализ потоков информации в современном ЦОД превращается в быстро движущуюся мишень. На практике такая мишень недостижима "ручных" методов анализа ввиду колоссального объема потоков информации и их динамики. Не помогает решить задачу с должным качеством и автоматизация с применением сторонних приложений из-за нехватки нужных входных данных и недостаточной производительностью имеющихся средств для подобного анализа.


Для решения этой задачи Cisco предлагает платформу Tetration Analytics, включающую в себя средства сбора данных и аналитики. Сбор данных реализуется компактными программными сенсорами на уровне операционных систем серверов, аппаратными сенсорами на базе интегральных микросхем (ASIC) соответствующих коммутаторов Cisco Nexus серии 9000, а также сенсорами, обрабатывающими трафик ERSPAN и NetFlow. Аналитика реализуется программным обеспечением, работающим на базе высокопроизводительного кластера серверов.


Кластер серверов получает от сенсоров высокоточную информацию о потоках информации в ЦОД каждые 100 мс. Система анализирует потоки информации в реальном времени с точностью до пакета на скорости канала связи, при этом в настоящее время решение масштабируется до 25,000 серверов (виртуализированных и физических). Наличие таких источников данных делает Tetration Analytics уникальным решением на рынке.


Применяя средства поведенческого анализа и машинного обучения, Cisco Tetration Analytics предоставляет точные и актуальные выводы о потоках информации в ЦОД, взаимозависимостях приложений, возможности ретроспективного анализа и анализа в реальном времени. В результате служба IT получает глубокое понимание потоков информации, позволяющее предпринимать конкретные действия, в частности, формировать эффективные политики. Кроме того, на базе полученных данных и средств машинного обучения Tetration Analytics предлагает функционал поведенческого анализа. Расширение возможностей обнаружения и предотвращения угроз также реализуемо через интеграцию со специализированной системой поведенческого анализа Cisco Stealthwatch, а также в будущем — через взаимодействие с облачной службой безопасности Cisco Talos (в планах).


Tetration Analytics предлагает возможность автоматически распространять политики безопасности на хосты в ЦОД и поддерживать их в актуальном виде с помощью предустановленных программных агентов. Агенты транслируют политики в правила системного межсетевого экрана (IP Tables, IP Set, Windows FW) и позволяют реализовать наносегментацию сервисов путем изоляции служб и приложений непосредственно на уровне хоста и операционной системы, до их выхода в сеть. Кроме того, за счет интеграции с сервером контроля доступа Cisco ISE обеспечивается передача меток Scalable Group Tag (SGT) для дальнейшего использования при определении политик, аннотации и т.д.


В результате существенно облегчается внедрение в ЦОД политики безопасности по модели "белого списка", для которой очень важно полное понимание потоков информации и интеграция со специализированными решениями информационной безопасности.


Tetration Analytics позволяет реализовать в ЦОД оркестрацию политик с помощью открытых REST API.


Таким образом, Tetration Analytics является ключевым средством для решения задач внедрения политик и оркестрации в ЦОД.


Мониторинг и управление производительностью программных сред: Cisco AppDynamics


Поскольку современные бизнес-процессы все больше опираются в своей работе на сетевые приложения и IT-инфраструктуру, обеспечить надлежащую производительность бизнес-приложений становится критически важно. Особенно это касается крупных компаний, в которых сбои или даже просто неоптимальная работа бизнес-процессов может приводить к потерям миллионов долларов.


Выполнение даже одной бизнес-транзакции, как правило, охватывает многочисленные серверы и программные процессы, распределенные и взаимосвязанные. Поэтому мониторинг и управление производительностью бизнес-приложений представляет собой весьма трудную задачу и требует специальных средств.


Решить эту задачу позволяет платформа Cisco AppDynamics. Она обеспечивает сквозные мониторинг и управление производительностью целым ландшафтом приложений, от браузера на компьютере пользователя или приложения на мобильном устройстве до backend серверов приложений или баз данных.


Ключевыми компонентами решения являются контроллер и программные агенты, устанавливаемые на хостах. Агенты могут интегрироваться в широкий спектр программных сред, в том числе C/C++, Java, .NET, Python, PHP, Node.js и т.д. Далее, они собирают релевантную информацию, в том числе метрики производительности, условия и ошибки выполнения программного кода и многое другое. Агенты отправляют эту информацию на контроллер для дальнейшего анализа и принятия решений.


AppDynamics автоматически вычисляет базовые значения метрик производительности, "нормальные" для данной среды. Используя эти метрики, заданные администратором политики и полученные от агентов данные, система выявляет аномалии производительности и помогает локализовать источник проблемы.


В результате система позволяет обеспечить сквозной мониторинг и управление производительностью бизнес-транзакций и приложений, от браузера на компьютере пользователя или приложения на мобильном устройстве до backend серверов приложений или баз данных, а также мониторинг производительности аппаратных средств IT-инфраструктуры, включая серверы и сетевое оборудование.


Более того, в рамках функционала Business iQ система предоставляет динамические, обширные данные о каждой бизнес-транзакции, предлагая анализ бизнес-метрик, коррелированных с метриками производительности приложений. В результате AppDynamics может дать ответы на бизнес-вопросы, например о влиянии инцидентов или изменений в IT-инфраструктуре на выручку компании.


AppDynamics также обеспечивает широкие возможности интеграции с другими системами с помощью расширений (extensions) и REST API. Это делает продукт подходящим инструментом при решении задачи сквозной оркестрации.


Поведенческий анализ сетевого трафика: Cisco Stealthwatch


Средства безопасности в архитектуре Cisco не ограничиваются контролем доступа, а включают в себя целый комплекс интегрированных друг с другом средств защиты.


Важнейшим средством защиты, работающим внутри периметра корпоративной сети, является Cisco Stealthwatch Enterprise.


Stealthwatch позволяет задать поведенческие политики, соответствующие нормальному профилю трафика сети. Политики могут быть как высокоуровневые, так и весьма детальные. Далее, используя средства сетевой телеметрии, такие как NetFlow, IPFIX и т.д., Stealthwatch анализирует проходящий по сети трафик на предмет соответствия заданным политикам и выявляет аномалии. Источниками информации могут быть как элементы сетевой инфраструктуры, включая маршрутизаторы, коммутаторы, межсетевые экраны, так и персональные компьютеры пользователей, с программным клиентом Cisco AnyConnect Network Visibility Module (NVM).


Анализ охватывает все области сети, с которых Stealthwatch принимает телеметрию, и все направления движения трафика. В результате администраторы получают детальное понимание картины безопасности в сети, на основе которого можно предпринять конкретные действия.


Stealthwatch также можно интегрировать с сервером контроля доступа Cisco ISE с помощью pxGrid. Это позволяет реализовать динамические политики контроля доступа устройств с учетом их "поведения", например заблокировать доступ злоумышленнику или перевести его в карантинную сеть на основании данных поведенческого анализа от Stealthwatch. Это решение называется Cisco Rapid Threat Containment и включает в себя целый набор продуктов безопасности Cisco.


Кроме того, Stealthwatch позволяет выявлять угрозы даже в зашифрованном трафике (без его расшифрования) путем анализа ряда метаданных, таких как последовательность и тайминг пакетов, распределение байтов, а также анализа процесса установления зашифрованного соединения TLS. Этот функционал называется Encrypted Traffic Analytics (ETA) и доступен при получении телеметрии Enhanced NetFlow с современных элементов сетевой инфраструктуры Cisco.


Собирая всё вместе


Работая совместно, рассмотренные компоненты образуют целостную, интегрированную систему, позволяющую решить все три задачи: обеспечить надежный транспорт, реализовать сквозные политики и их оркестрацию.


Отдельные технологии и компоненты уже давно разработаны Cisco и присутствуют на рынке не первый год. Наступает время, подходящее для их объединения и разработки целостного решения.


Основой такого решения является концепция сетевой фабрики, охватывающая всю сеть. Именно сетевая фабрика дает возможности для эффективного решения задач реализации сквозных политик и оркестрации, недоступные в классических сетях на базе одной сетевой топологии.


Управляя оверлеем сетевой фабрики, контроллеры Cisco автоматически задают политики, прозрачные для опорной сети. Такая прозрачность придает реализации политик гибкость и отличает архитектуру сетей нового поколения от классических сетей, в которых крайне затруднительно реализовать политики, не повлияв при этом на транспорт.


Сквозная сетевая фабрика по всей компании, а также компоненты, разработанные и интегрированные единым производителем, переводят на новый уровень и возможности оркестрации, на практике отсутствующие в корпоративных сетях.


Дополняют решение рассмотренные в предыдущих разделах сервисы мониторинга и аналитики, интегрированные с сетевой фабрикой. Они автоматизируют решение многих эксплуатационных задач и помогают значительно улучшить уровень безопасности, производительности и, в конечном счете, доступности бизнес-процессов компании.


На сегодняшний день для отдельных компонентов корпоративной IT-инфраструктуры, например кампусных сетей и сетей ЦОД, уже доступны "коробочные" решения оркестрации на базе контроллеров DNA Center и APIC.


Некоторые крупные корпорации внедряют решение Cisco Network Services Orchestrator (NSO) как средство оркестрации, охватывающее кампусную сеть, территориально-распределенную сеть и сеть ЦОД через интерфейсы API сетевой инфраструктуры. Например, NSO обеспечивает оркестрацию решения SD-Access через API контроллера DNA Center.


Интерфейсы API IT-инфраструктуры Cisco позволяют заказчикам не только интегрировать готовые продукты от Cisco и других производителей, но и внедрять собственные разработки, учитывающие особенности и индивидуальные потребности бизнеса.


Решение Cisco является уникальным на сегодняшний день, потому что компания Cisco — не только единственный производитель, охватывающий все рассмотренные области, но и лидер в этих областях. Более того, Cisco стремится быть не просто ведущим производителем IT-оборудования, а бизнес-партнером своих заказчиков.


Ценность для бизнеса


Какие же преимущества получает бизнес от внедрения решения Cisco?


Рассмотрим эти преимущества на примере двух условных сетей.


Первая сеть — "классическая", или сеть AS-IS, представляющая собой корпоративную сеть без решений на базе сетевой фабрики, с единой сетевой топологией, в которой решаются задачи транспорта и применения политик. Сеть имеет средства централизованного управления, но не имеет контроллеров и средств оркестрации.


Вторая сеть — сеть Cisco, или сеть TO-BE, построенная на базе сквозной сетевой фабрики с контроллерами и средствами оркестрации. Это решение, рассмотренное в разделе "Что предлагает Cisco".


Бизнес-преимущества можно классифицировать по трем ключевым направлениям:


  1. Повышение выручки;
  2. Снижение издержек;
  3. Снижение рисков.

Рассмотрим подробнее, каким образом решение Cisco может помочь бизнесу по каждому из этих направлений.


Повышение выручки


Корпоративные сети, в отличие от сетей операторов связи, по своей природе связаны с выручкой компании не напрямую, а косвенно, за счет обслуживания бизнес-процессов.


Новые бизнес-процессы часто требуют от сети новых индивидуальных политик, а существующие — изменений и обновлений политик в результате изменений в бизнес-среде.


Разница между классической корпоративной сетью и сетью Cisco заключается в том, что сеть Cisco позволяет более оперативно внедрять новые политики и обновлять имеющиеся, а значит, быстрее получать нужный бизнес-результат.


Разница весьма значительная. Сеть Cisco позволяет достигать за минуты того, что в классической сети требовало дни или недели.


Происходит это потому, что в сети Cisco внедрение и обновление политик происходит автоматически в оверлее. Оно избавлено от трудностей, характерных для классической сети. Например, благодаря оверлею минимизированы взаимозависимости с транспортными функциями. Благодаря оверлею также решена проблема неконсистентности конфигураций, затрудняющая автоматизацию. Кроме того, благодаря оверлею и оркестрации значительно облегчена трансляция бизнес-намерений в конфигурации сети, сведено к минимуму время, необходимое для координации внедрения политик между департаментами.


Время — деньги. В условиях цифровизации влияние IT на скорость выполнения бизнес-инициатив становится все заметнее. Ведь в современном мире новые бизнес-идеи обычно реализуются новыми приложениями и начало получения выручки от этих идей напрямую зависит от скорости их внедрения. В результате выигрыш в скорости может приводить к существенным финансовым результатам. В конечном счете, он способствует получению конкурентного преимущества и расширению занимаемой доли рынка.


Снижение издержек


По данным внутреннего исследования Cisco, в 2016 г. в корпоративных сетях более 90% изменений до сих пор производилось вручную, даже несмотря на широкий выбор систем управления. Значительная часть рабочего времени IT-персонала тратится просто на поддержание сети в работоспособном состоянии.


Компаниям в любом случае необходимы квалифицированные IT-специалисты для эксплуатации сети — как классической, так и сети SDA. Но последняя дает возможность значительно снизить затраты времени на работу с низкой добавленной ценностью, например на выполнение рутинных операций.


Компания была бы в выигрыше, если бы сеть позволяла перенаправить время и усилия IT-персонала с рутины на решение более важных, стратегических задач, на оптимизацию поддержки существующих бизнес-процессов и помощь в запуске новых, на получение новых результатов.


Сотрудники были бы в выигрыше, если бы использовали рабочее время не на рутинные операции, мало помогающие повысить квалификацию и ценность на рынке труда, а на изучение новых технологий, внедрение новых решений и, в конечном счете, помощь работодателю в достижении конкретных бизнес-результатов.


Сеть Cisco предоставляет такие возможности и компании, и сотрудникам. Оркестрация и автоматизация, ориентация на внедрения политик и "бизнес-намерений", возможности быстрого внедрения элементов сетевой инфраструктуры и клиентских устройств по всей компании, функционал аналитики экономят время и силы, позволяют использовать их максимально продуктивно.


Снижение рисков


Сеть Cisco позволяет существенно снизить риски компании, связанные с недоступностью бизнес-процессов и угрозами информационной безопасности.


По данным Gartner, стоимость часа простоя бизнес-процессов в корпоративной среде может составлять сотни тысяч долларов США.


Наиболее распространенная причина сбоев в кампусной сети и, как следствие, недоступности бизнес-процессов — "человеческий фактор". А по данным Cisco, по этой же причине также происходит порядка 70% нарушений корпоративных политик.


Это неудивительно, потому что современные сети сложны. Дополнительную сложность представляет собой координация действий между бизнесом и департаментами ИТ и ИБ, когда каждый из этих трех "говорит на своем языке".


Решение Cisco берет на себя значительную часть рутины, скрывает сложность сети, предоставляя человеку возможность сосредоточиться на задании политик и "бизнес-намерений".


Каждая классическая сеть уникальна с точки зрения комбинации настроенных функций, набора оборудования и программного обеспечения, топологии. Хотя производители и прилагают значительные усилия по тестированию новых продуктов и контролю их качества, но существует очень высокая вероятность того, что подобная "уникальная" конфигурация окажется не протестированной в точно таком виде, как внедрена. Это повышает риски внедрения.


В случае автоматического внедрения конфигураций и оркестрации сервисов картина выглядит иначе. В сеть будут внедряться конфигурации, созданные в результате совместной работы разработчиков элементов сетевой инфраструктуры и контроллера, архитекторов лучших практик внедрения. Количество комбинаций функций в таких конфигурациях, степень их уникальности будут значительно ниже, чем в классической сети. Такие конфигурации разработчикам гораздо проще протестировать. Кроме того, подобные "типовые" конфигурации будут не уникальны, как в случае классической сети, а внедрены во многих сетях по всему миру. Это снижает риски внедрения.


Другая проблема классических сетей заключается в неполном внедрении нужного функционала, не следовании или неполном следовании рекомендациям и лучшим практикам. Т.е. имеющееся оборудование и ПО могут иметь функционал безопасности, высокой доступности и т.п., необходимый для снижения рисков. Но совсем необязательно такой функционал реально внедрен из-за перегруженности сотрудников IT рутинными операциями и опасениями, связанными со сложностями внедрения. В результате бизнес не получает пользу от оплаченных, но не внедренных функций, не снижает риски для функционирования бизнес-процессов.


Кроме того, в условиях нехватки времени IT-персонала консистентность конфигураций устройств классической сети имеет тенденцию к снижению, а реализация "временных" полумер вместо системных решений — к повышению. Это увеличивает сложность сети. Также страдают качество и объем выполненных работ. В результате риски сбоев и нарушений политики безопасности нарастают.


Сеть Cisco предлагает решение этих проблем за счет автоматизации внедрения нужного функционала и внесения дальнейших изменений.


Кроме того, возможности контроллера в области оркестрации и автоматизации дополняются функционалом аналитики. Сеть Cisco обеспечивает IT-персонал полной и детальной информацией об инцидентах, происходящих в сети, выводами об их влиянии на сеть и пользователей. Эти выводы помогают быстро предпринять конкретные действия, направленные на устранение инцидента.


Сеть Cisco имеет интегрированный функционал сегментации пользователей за счет технологии TrustSec, а также средства поведенческого анализа и автоматизированного реагирования на угрозы.


В результате сеть Cisco предлагает бизнесу инструментарий для значительного снижения рисков сбоев бизнес-процессов — как из-за "человеческого фактора", так и из-за угроз информационной безопасности.


Подводя итоги


Бизнес организации корпоративного сегмента заключается не в построении сетей, а в ее профильной деятельности. Сеть — это инструмент, необходимый для достижения бизнес-результатов.


Вероятно, будет продуктивно сосредоточиться не на минимизации капитальных затрат, а рассмотреть внедрение или модернизацию сети как инвестиционный проект, сопоставить отдачу от проекта с пороговой ставкой доходности организации, требуемым сроком окупаемости и другими финансовыми показателями.


При анализе рисков такого проекта есть смысл оценить не только риски действия, но и риски бездействия, стоимость упущенных возможностей, характерных для "классических" IT-инфраструктур.


Можно ожидать, что решение Cisco будет особенно эффективно для организаций, в которых:


  • Динамичная бизнес-среда;
  • Большое количество бизнес-процессов, требующих индивидуальных политик;
  • Большое количество пользователей и масштабная сеть.

Цифровизация, а также сетевые фабрики, автоматизация, программируемость — тенденции, заметные в IT-отрасли уже сейчас. По мере развития этих тенденций всё больше компаний будут получать связанные с ними преимущества. Как следствие, они будут получать преимущества и в конкурентной борьбе, отбирая долю рынка у других компаний.


Решение Cisco позволяет получить эти преимущества уже сегодня.


Ссылки


Network Architecture — Cisco DNA
Software-Defined Access
DevNet: Cisco DNA Center API
SD-WAN Solution
Cisco Application Centric Infrastructure
DevNet: Application Centric Infrastructure
DevNet: Find all resources you need for ACI
Cisco Tetration
Cisco AppDynamics
AppDynamics APIs
Cisco TrustSec
Cisco Identity Services Engine
Cisco Platform Exchange Grid (pxGrid)
Network Visibility and Enforcement
Cisco Stealthwatch Enterprise
Cisco Rapid Threat Containment
Encrypted Traffic Analytics (ETA)
Network Services Orchestrator (NSO) Solutions
Cisco DevNet: APIs, SDKs, Sandbox, and Community for Cisco Developers

Alt text

Ваш провайдер знает о вас больше, чем ваша девушка?

Присоединяйтесь и узнайте, как это остановить!