ATREX.RU
Пресс релизы коммерческих компаний и общественных организаций
ATREX.RU
» Пресс релизы сегодняшнего дня
» Архив пресс-релизов
» Авторам от редакции
» Добавить пресс-релиз

Самое-самое //
Пресс-релизы // » Добавить пресс-релиз

Микросегментация: повышение информационной безопасности и упрощение операций в архитектуре Cisco ACI

Блог старшего директора компании Cisco по маркетингу продуктов для ЦОД и облачных вычислений Шаши Кирана (Shashi Kiran)
Сегодня в проектах развертывания облаков и центров обработки данных (ЦОД) во главу угла ставится информационная безопасность, и развитие систем обеспечения безопасности архитектур идет в ногу с появлением в цифровом мире новых угроз. Для отражения современных изощренных атак администратору сети требуются самые разнообразные средства, одно из которых — сегментирование сети.
Традиционно для сегментирования сети и разделения и изоляции доменов администраторы выделяли разным приложениям отдельные подсети и отображали их на виртуальные сети VLAN. Такой классический подход был довольно прост в реализации и облегчал определение политик для подсетей с использованием списков контроля доступа (Access Control List, ACL) на границе уровня L3, которой обычно служили маршрутизатор первого транзитного участка или физический межсетевой экран. Но это приводило к нежелательному сопоставлению IP-подсетей и приложений. Кроме того, в результате со временем разбухали списки ACL (когда политик на базе подсетей оказывались недостаточно и, например, требовались списки ACL с указанием конкретных IP-адресов). Из-за этого, в свою очередь, затруднялась очистка списков ACL от неактуальных вхождений (более неиспользуемых приложений), что усложняло проблему управления списками ACL.
Так что, если общая концепция сегментации все еще актуальна, то требования современных приложений и информационной безопасности диктуют необходимость применения более тонких методов, способных обеспечить бОльшую безопасность, будучи при этом проще в эксплуатации.
Учитывая вышеизложенное, Cisco разработала принцип микросегментации, цели которого в общих чертах можно определить следующим образом:
• программное определение как можно более дробных сегментов для повышения гибкости (например, для ограничения горизонтального распространения угрозы или помещения в карантин скомпрометированной оконечной точки обширной системы);
• программная автоматизация управления сегментами и политиками на всем протяжении жизненного цикла приложений (от запуска до снятия с эксплуатации);
• внедрение модели нулевого доверия (Zero-Trust) для гетерогенных задач с целью улучшения информационной безопасности и масштабирования.

Микросегментация в ориентированной на приложения инфраструктуре Cisco ACI
В ориентированной на приложения инфраструктуре Cisco Application Centric Infrastructure (ACI) реализован весьма любопытный метод микросегментации, основанный на определении политик отделения сегментов от широковещательного домена. Здесь применяется новая концепция, учитывающая требования приложений и получившая название «группы оконечных точек» (End-Point Group, EPG). Ее суть в том, что разработчик приложений может определять оконечные точки в группах EPG вне зависимости от их IP-адресов и тех подсетей, к которым они принадлежат. Более того, сами оконечные точки нормализуются (оконечной точкой может быть физический сервер, виртуальная машина, Linux-контейнер или даже унаследованный мейнфрейм), т.е. их конкретное внутреннее содержание скрыто от внешнего мира, что существенно упрощает управление ими и делает его более гибким.
В Cisco ACI сохранилось понятие традиционного сегмента, который теперь называется мостовым доменом (Bridge Domain, BD), при этом таким доменам по-прежнему могут назначаться IP-подсети. Это дает возможность при необходимости сохранять любые действующие эксплуатационные модели, позволяя создавать домены BD с одной группой EPG, которая концептуально отображается на традиционную VLAN.
В архитектуре ACI эта модель получила свое дальнейшее развитие. Одному домену BD могут принадлежать несколько групп EPG, которые конфигурируются программно (как и всё внутри архитектуры ACI) с помощью открытых интерфейсов прикладного программирования API, предоставляемых контроллером Cisco Application Policy Infrastructure Controller (APIC). В двух словах, группы EPG в архитектуре ACI — это микросегменты домена BD.

Группы оконечных точек EPG как микросегменты
Связь между отдельными группами EPG разрешается только на уровне политик, которые определяются с применением контрактной модели, работающей с белыми и черными списками. Соответствующие группы EPG и контракты составляют часть сетевого профиля приложения (Application Network Profile, ANP), который представляет собой программную структуру, определяющую требования приложения.
Группы EPG, определенные в рамках ANP, инвариантны по отношению к гипервизору и функционируют в физической и виртуальной конфигурациях. Например, в vCenter они определяются соответствующими PortGroups, в Hyper-V — это VMnetworks и т.д. В чисто аппаратных серверах (bare metal servers) EPG отображаются на физические порты, соединяющие их с фабрикой.
Микросегментация находит себе и другое применение, выходящее за рамки приведенных выше примеров. Например, устройства хранения таких вендоров, как NetApp и др., которые подключаются к фабрике как чисто аппаратные узлы, представляют собой виртуальные серверы в пределах файлера. Для таких аппаратных узлов необходимы микросегменты IP/DNS и политики взаимодействия между этими микросегментами, реализуемые в архитектуре Cisco ACI.

Микросегментация на базе атрибутов
Архитектура ACI позволяет расширить концепцию микросегментации с включением интеллектуальной классификации, основанной на «атрибутах». Так, можно ассоциировать оконечные точки с микросегментами на основании административных меток, или атрибутов, которые идентифицируют эти точки безотносительно их IP-адресов. Такими атрибутами могут быть имя ВМ, имя ОС, имя хост-системы или имя домена (fully qualified domain name, FQDN). В этом случае администратор сможет, например, указать, что все Linux-хосты, в имени которых содержится «prod-web-app1-», должны принадлежать тому или иному микросегменту. Такая модель хорошо работает и при необходимости динамического присвоения оконечных точек группам EPG. Другим интересным и нужным применением, кроме микросегментации задач при разработке сетевого профиля приложения, может быть помещение скомпрометированной или злонамеренной оконечной точки в карантин.
Например, представим себе, что в профиле ANP указана необходимость перенаправлять копию трафика на систему IDS. В тот момент, когда IDS определит, что хост скомпрометирован, можно, используя IP или атрибут ВМ, поместить оконечную точку в отдельный микросегмент, которому разрешен доступ только к системам восстановления.

Управление микросегментами в гетерогенных конфигурациях
Заказчикам, работающим только с vSphere, не имеющим чисто аппаратных приложений и не рассматривающим в перспективе применение нескольких гипервизоров, вполне будет достаточно микросегментации на базе VMware NSX.
Тем же, кто в перспективе предполагает комплексную конфигурацию с множеством гипервизоров и единообразным применением политик в гетерогенной среде, больше подойдет инфраструктура Cisco ACI. Особенно ярко Cisco ACI проявляет себя, кардинально упрощая управление, там, где микросегменты охватывают аппаратные узлы, ВМ на разных гипервизорах и Linux-контейнеры.
Cisco ACI предлагает комплексную, инвариантную к гипервизорам модель, обеспечивающую единообразное применение по всей фабрике прикладных политик для микросегментов, которые могут создаваться на базе атрибутов IP, FQDN или VM.
Итак:
• инвариантная к гипервизорам микросегментация в Cisco ACI достигается путем разрешения различным гипервизорам отображать свои микросегментные структуры на группы EPG. Тот же принцип сохраняется в отношении контейнеров и аппаратных узлов.
• После завершения классификации политики применяются единообразно к микросегементным группам EPG, независимо от исходной ВМ, типа ВМ, аппаратного узла и т.п. Политики могут оказаться неоценимым средством определения и масштабирования структур информационной безопасности.
• Для виртуальных оконечных точек в одном хосте политика может быть реализована напрямую на уровне гипервизора. Это достигается применением открытого протокола OpFlex для прямой загрузки политик в Microsoft Hyper-V, KVM с Open vSwitch и в vSphere с Application Virtual Switch (AVS).

Доступность микросегментации в Cisco ACI
• Уже поставляется:
o микросегментация для VMware с использованием Cisco AVS.
• Планируется на конец 2015 г.:
o микросегментация для аппаратных узлов.
o Микросегментация для Hyper-V с применением Microsoft vSwitch и расширений ACI с такими открытыми протоколами, как OpFlex.
• Планируется на 2016 г.:
o микросегментация KVM/Xen
o Микросегментация контейнеров Linux

Заключение
Инфраструктура Cisco ACI позволяет реализовать более совершенный комплексный метод микросегментации, инвариантный к гипервизорам и действующий как для аппаратных узлов, так и для набирающих популярность контейнеров Linux. Рекомендуем провести оценку внедрения инфраструктуры ACI даже тем заказчикам, кто использует лишь один гипервизор, так как возможность интеграции политик для аппаратных серверов, унаследованных мэйнфреймов и физических устройств хранения существенно упрощает операции и облегчает согласованное обеспечение информационной безопасности в ЦОДах и облачных проектах.
Данная статья посвящена микросегментации, но это лишь один из множества инструментов системного администратора для обеспечения информационной безопасности. Cisco ACI предусматривает ряд комплексных функций защиты, в том числе зрелую технологию ввода сервисов (service insertion technology) для объединения передовых систем обеспечения информационной безопасности и управления угрозами. Стратегия обеспечения информационной безопасности должна также предусматривать отражение атак на всем временном континууме – до, после и во время атаки, включая ускоренное обнаружение, отражение и анализ.

Контактное лицо: Анастасия (написать письмо автору)
Компания: Cisco (все новости этой организации)
Добавлен: 14:44, 17.08.2015
Количество просмотров: 775
Страна: Россия

OkoCRM подключила сервис для интеграции с мессенджерами Whatcrm, Телфин, 04:38, 18.12.2024, Россия
83
Команда OkoCRM подключила к системе виджет Whatcrm для интеграции с мессенджерами в рамках создания единого омниканального решения связи, объединяющего голосовые и текстовые коммуникации внутри CRM.


BSS создала бота-инспектора, который контролирует работу виртуальных ассистентов, BSS, 04:31, 18.12.2024, Россия
25
Система контроля, разработанная компанией BSS, представляет собой бота, который имитирует действия реальных пользователей и проверяет работоспособность голосового помощника. Это помогает в режиме реального времени отслеживать возникающие проблемы и оперативно информировать об этом ответственных лиц.


mClouds представил новую облачную GPU-платформу для работы с AI, BIM и CAD на базе высокочастотных процессоров AMD EPYC и видеокарт NVIDIA, mClouds, 04:30, 18.12.2024,
27
mClouds запустил новую GPU-платформу на базе AMD EPYC 9374F и видеокарт NVIDIA L4, L40S и A16.платформу для высоконагруженных задач, таких как машинное обучение, анализ данных, проектирование и 3D-рендеринг.


Галэкс поддержал хакатон по робототехнике и программированию «СибРобоФест – 2024», Галэкс, 04:29, 18.12.2024, Россия
25
Компания Галэкс выступила одним из партнеров мероприятия, предоставив памятные подарки для награждения участников и победителей, поддерживая тем самым развитие подрастающего поколения в области робототехники и программирования.


Общими усилиями к устойчивому будущему ИБ: сотрудничество «Газинформсервиса» и Positive Technologies в 2024 году, ООО "Газинформсервис", 04:28, 18.12.2024, Россия
28
Компании «Газинформсервис» и Positive Technologies продолжают стратегическое партнёрство, сосредоточенное на подготовке квалифицированных кадров и обмене передовым опытом в области кибербезопасности.


DION занял второе место в рейтинге лучших ВКС-платформ, ИТ-холдинг Т1, 04:28, 18.12.2024, Россия
25
Платформа корпоративных коммуникаций DION (ИТ-холдинг Т1) заняла второе место в рейтинге российских ВКС-решений, опубликованном ИТ-маркетплейсом Market.CNews. Рейтинг был сформирован на основе балльной системы оценки по ряду критериев. К ним относятся функциональные возможности, максимальное число участников видеоконференции и аудиозвонка, продолжительность тестового периода, общее количество пользователей и стоимость лицензии на решение.


Сбер обучил МГСУ работе с искусственным интеллектом, C3 Solutions, 04:27, 18.12.2024, Россия
30
«Школа 21» обучила сотрудников МГСУ работе с ИИ


В сервисе ТУД появился новый удобный подбор полномочий, Такском, 04:25, 18.12.2024, Россия
23
Сервис «Такском – Управление Доверенностями» стал ещё удобнее: создание машиночитаемых доверенностей теперь занимает меньше времени благодаря обновлённому интерфейсу и улучшенной системе подбора полномочий


На участке федеральной трассы Р-21 «Кола» ускорили интернет, МегаФон, 04:24, 18.12.2024, Россия
21
МегаФон увеличил зону покрытия и улучшил скорость мобильного интернета на 20% для абонентов на участке федеральной трассы Р-21 «Кола» под Мурманском.


Вышло обновление 5.1 платформы «Триафлай», Триафлай, 04:20, 18.12.2024, Россия
21
В новой версии конструктора прикладных аналитических решений компания «Триафлай», продолжает развивать подход self-service, снижая зависимость бизнес-аналитиков от ИТ-отделов.


Разделы //


Новости по странам //
Сегодня у нас публикуются //
Разработано AVart.Стуdия © 2008-2024 atrex.ru
  Rambler's Top100