Подписаться
Читать в телеграм
С точки зрения Cisco, свойства современной сети должны быть такими:
Указанным задачам отвечает концепция Cisco DNA (Digital Network Architecture), представленная в марте прошлого года. Новые технологии разработаны в рамках развития этой концепции и направлены на выполнение следующих требований:
- сеть должна строиться в соответствии с бизнес-задачами;
- сеть должна самообучаться на основании контекста (трафика, который через нее проходит) и реагировать на его изменения;
- сеть должна превентивно реагировать на проблемы. Обладая большим количеством накопленных данных, сеть создает «базу знаний», которая анализируется с помощью механизмов машинного обучения, и дает обратную связь управляющим системам, которые, в свою очередь, производят изменения на сетевом оборудовании.
Программно-определяемый доступ (SD-Access)
Идеология программно-определяемого доступа уже была воплощена в дата-центрах с технологией Cisco ACI. Теперь она распространяется и на сетевую часть корпоративной инфраструктуры. Технология SD-Access позволяет управлять сетью как единой защищенной фабрикой и обеспечивает автоматическую адаптацию к изменениям. Все подключения к сети контролируются на базе политик; разрешение на подключение любого устройства и контекст, в котором оно сможет работать, определяются автоматически, не требуя вмешательства обслуживающего персонала. Так, например, мобильный пользователь получит доступ ко всем ресурсам в рамках своих полномочий, подтвердив их теми методами, которые приняты в компании. А если устройство определяется как потенциально опасное (на основе анализа трафика или состава установленного на нем ПО), его подключить к сети не удастся. В случае незапланированных изменений на легитимном устройстве оно может быть переведено в карантин, о чем сообщается на консоль управления. Для снижения рисков обеспечивается также автоматическая сегментация сети: если даже несанкционированное подключение произошло, сегмент потенциального поражения остается узким.
В ходе тестовой эксплуатации SD-Access у нескольких крупных заказчиков были получены следующие результаты.
Система управления DNA Center
Система централизованного управления сетевой фабрикой DNA Center помогает проектировать сеть (на уровне этажа, здания или кампуса), и определять сетевые политики (группы пользователей, группы ресурсов и матрицы их взаимодействия). Политики автоматически выгружаются на контроллер управления и распределяются на все аппаратные комплексы в составе сетевой фабрики, не требуя ручного конфигурирования.
Кроме того, DNA Center позволяет в постоянном режиме собирать телеметрические данные с сетевого оборудования и анализировать их, определяя потенциальные проблемы и возможные механизмы реагирования.
Анализ зашифрованного трафика
41% современных атак используют зашифрованный трафик, который большинство средств мониторинга безопасности распознать не могут. С помощью ПО Encrypted Traffic Analytics, которое работает на новой серии коммутаторов Catalyst 9000, ставится барьер на пути таких атак.
Машинные алгоритмы анализа метаданных трафика позволяют без дешифровки потоков данных распознать паттерны, типичные для попыток общения кода-загрузчика с источником вредоносного ПО через зашифрованный туннель. Если в базе данных уже есть аналогичные образцы угроз, соединение будет блокировано, а точка в сети, которая пыталась установиться зашифрованное соединение, изолирована. При этом администратору может отправляться уведомление о необходимости разобраться в ситуации.
По данным вендора, полученным в ходе экспериментов, точность обнаружения известных атак, пытающихся скрыться в зашифрованных туннелях, составляет 99% при 0,1% ложных срабатываний.
Проактивное решение проблем
Платформа сетевых данных Network Data Platform позволяет обнаруживать возможные проблемы до того, как они начинают воздействовать на сеть. Для этого проводится анализ собираемых с элементов сети (сетевых и пользовательских устройств, приложений) телеметрических данных. На основании анализа предпринимаются действия по устранению потенциальных проблем с производительностью – даются либо команды на автоматическое переконфигурирование, либо рекомендации для обслуживающего персонала.
Catalyst 9000
Новая линейка коммутаторов Catalyst 9000 рассчитана на требования бизнеса цифровой эпохи и поддерживает все перечисленные технологии.
Модифицированная операционная система новых коммутаторов IOS-XE поддерживает Hotpatching: для установки обновлений не требуется ни перезагрузка оборудования, ни замена версии ОС, загружается только обновленный фрагмент кода.
Все ПО для линейки Catalyst 9000 может приобретаться как путем покупки постоянно действующих лицензий, так и по подписке.
