Cisco занимает первое место на рынке средств защиты центров обработки данных

Месяц назад я написал заметку о защите центров обработки данных и виртуализированных сред. И вот доказательство того, что наши подходы действительно отражают не только текущие тенденции в области построения надежных и защищенных ЦОДов, но и удовлетворяют потребности заказчики, которые и признали решения Cisco лучшими среди прочих. В марте 2013-го года компания Infonetics Research опубликовала отчет «Data Center Security Strategies and Vendor Leadership Survey», в котором были опубликованы результаты опроса 104 крупных организации (с числом сотрудников выше 1000). Первый заданный вопрос касался имен трех самых-самых поставщиков решений по защите центров обработки данных для каждого из 10 основных критериев приобретения соответствующих решений. Лидирующие позиции по всем 10-ти критериям заняла компания Cisco. Среди других компаний, позиции которых отражены на графике, — VMware, McAfee, Juniper, HP TippingPoint и Trend Micro.

Лидирующие позиции Cisco в области защиты ЦОДов

Лидирующие позиции Cisco в области защиты ЦОДов

Среди других результатов данного отчета вопрос, касающийся планов респондентов по приобретению в этом и 2014-м году решений по безопасности ЦОДов. Cisco оказалась единственным производителем в тройке лидеров, чьи решения не только используются сейчас, но и число желающих их установить в 2014-м году будет только расти, в то время как у других игроков, встречавшихся в ответах респондентов, позитивного роста не наблюдается и число желающих использовать решения бывших лидеров рынка ЦОДов снижается.

Как Cisco защищает современные центры обработки данных и виртуализированные среды

04 апреля 2013 мы провели специализированное мероприятие для наших заказчиков – участников клуба CiscoExpo Learning Club, посвященное вопросам защиты современных центров обработки данных (ЦОД). В рамках данного семинара мы подробно остановились на стратегии Cisco в области защиты ЦОДов, конкретных технических решениях и рекомендациях по построению и дизайну защищенного ЦОДа. Мы рассмотрели как высокопроизводительные решения для межсетевого экранирования и предотвращения вторжений Cisco ASA 5585-X и Cisco IPS 4500, так и специализированные межсетевые экраны для виртуализированных сред Cisco Virtual Security Gateway и Cisco ASA 1000V Cloud Firewall. Мы рассмотрели примеры использования Cisco ISE для контроля доступа к ресурсам ЦОД, включая и виртуальные машины, а также непростой вопрос с сегментацией внутри ЦОД (в т.ч. и с помощью Cisco Fabric Interconnect). И конечно мы не могли обойти вниманием вопросы взаимодействия виртуальных рабочих мест (VDI) с ЦОДов в контексте информационной безопасности. Все материалы с этого семинара, а также запись Webex вы можете найти на сайте CiscoExpo Learning Club.

Также хотим сообщить вам, что в конце марта мы подготовили и опубликовали целый набор русскоязычных документов по защите центров обработки данных:

  • Три необходимых компонента для обеспечения безопасности при осуществлении преобразования ЦОД (на SlideShare и на сайте Cisco)
  • Обеспечение безопасности корпоративной сети в среде Web 2.0 и при использовании социальных сетей (на SlideShare и на сайте Cisco)
  • Безопасная сегментация в унифицированной архитектуре центров обработки данных Cisco (на SlideShare и на сайте Cisco)
  • Решения Cisco для защищенного ЦОД снижают риск при переходе к частному облаку (на SlideShare и на сайте Cisco)
  • Обеспечение безопасности для виртуальных серверов и приложений (на SlideShare и на сайте Cisco)
  • Решения Cisco Secure Data Center для защиты виртуальных и частных облачных сред. Ответы на часто задаваемые вопросы (на SlideShare и на сайте Cisco)
  • Решения Cisco для защищенного центра обработки данных. Краткий обзор (на сайте Cisco)

Если после изучения указанных материалов у вас останутся какие-либо вопросы по теме защиты центров обработки данных, виртуализированных сред, облачных вычислений, то вы можете задать все свои вопросы по адресу: security-request@cisco.com.

Интеллектуальная облачная сеть

В последнее время многие предприятия и организации рассматривают облачную модель, как одну из возможностей снижения своих расходов, повышения эффективности и развития новой инновационной бизнес-модели. Согласно исследованиям различных аналитиков, к 2014 году более 50% трафика будет составлять трафик облачных сервисов, и 60% предприятий к 2015 году осуществит миграцию и консолидацию своих сервисов и приложений в облачных средах.

Какие бывают облачные сервисы и для чего они нужны? Наиболее известный облачный сервис – это ваша электронная почта на публичном сервере (yandex.ru, mail.ru, gmail.ru и прочие). Используя любое устройство (любой подключенный к Интернету компьютер, мобильный телефон, планшет), находясь в любой точке мира, вы можете войти в свою почту и подключиться к данным своей учетной записи, которые хранятся на удалённом сервере. Ещё один пример востребованных облачных сервисов – публичные ресурсы для резервного копирования и хранения данных (iCloud, Dropbox, Windows SkyDrive, Amazon Cloud Drive и другие). Для организаций и предприятий наибольшей популярностью среди публичных сервисов пользуются  хостинг инфраструктуры, веб-присутствие, облачные решения для коммуникаций и совместной работы, а также бизнес-приложения. Однако многие компании не готовы доверять обработку и хранение информации третьей стороне, беспокоясь за сохранность своих данных. Другая проблема – это конфиденциальность. К облачным сервисам компании потенциально можно подключиться с любого компьютера, имеющего доступ в интернет.

Многие крупные организации начинают строить и использовать собственные частные облачные инфраструктуры, что позволяет им более гибко предоставлять услуги и ресурсы для своих сотрудников, а также снижать свои расходы на IT-поддержку и сопровождение.

Частное облако может находиться в собственности, управлении и обслуживании у самой организации, у третьей стороны и располагаться как на территории предприятия, так и за его пределами. Многие облачные провайдеры предлагают виртуальные частные облака, выделяя ресурсы единственному заказчику, но исключая совместное использование этой виртуальной инфраструктуры несколькими клиентами.

Из каких компонент может состоять облачная инфраструктура? Можно выделить две основные компоненты – это пользовательская и облачная инфраструктуры. На стороне пользователя располагается традиционная сеть организации с подключенными к ней пользовательскими конечными устройствами. Для подключения к облаку пользователи могут использовать любое устройство, подключенное к корпоративной сети или Интернету для доступа к ресурсам и сервисам. Помимо маршрутизаторов и других сетевых устройств, в корпоративной сети организации могут использоваться средства мониторинга, контроля и оптимизации работы приложений.

Облачная же инфраструктура представляет из себя центр обработки данных с собственной сетью, объединяющей системы хранения, сервера с поддержкой виртуализации, которые обеспечивают работу приложений и сервисов. Облачная инфраструктура подключается к внешним сетям (Интернет или корпоративная сеть предприятия) при помощи маршрутизаторов.

Многие существующие распределенные WAN-сети построены на устаревшем оборудовании, которое не может обеспечить эффективное взаимодействие пользовательской и облачной инфраструктур и внедрение облачных сервисов по причине невысокой производительности, отсутствия возможностей для безопасной и надежной передачи облачных приложений, а также недостатка средств для мониторинга и управления облачным трафиком.

В рамках концепции компании Cisco Cloud Intelligent Network (“Интеллектуальная облачная сеть”) реализованы возможности для решения большинства этих сетевых проблем, позволяя организациям эффективно и прозрачно подключить своих пользователей ко всем типам облачных сред (публичным, частным, гибридным), обеспечивая при этом высокий уровень производительности сервисов и безопасности частных сетей. При этом, также как и в традиционных сетях, обеспечиваются богатые возможности по идентификации и мониторингу приложений в облачной среде, а также управлению всей инфраструктурой облачной сети.

Маршрутизирующие платформы Cisco ASR 1000 и ISR G2 предоставляют широкий выбор интерфейсов (медный и оптический Ethernet, Serial, E1, DSL и т.д.) и возможности для подключения к облачной среде центральных офисов и филиалов организаций, а также конечных пользователей.

Маршрутизаторы ISR G2 (Integrated Services Router Generation 2) серий Cisco 800, 1900, 2900, 3900 обеспечивают гибкость за счет интеллектуальной интеграции сервисов безопасности, коммутации, унифицированных коммуникаций, видео, беспроводной связи, оптимизации работы приложений в глобальных сетях и прикладных сервисов.

Анонсированная в 2012 году новая платформа Cisco ASR 1002-x с операционной системой IOS XE позволяет наращивать производительность платформы (с 5 до 36 Гбит/с) по мере необходимости с использованием лицензий и модели сервисов по требованию, что позволяет значительно снизить операционные расходы и обеспечить защиту капиталовложенНовый виртуальный маршрутизатор Cisco Cloud Services Router (CSR 1000v), с помощью которого организации могут обеспечить подключение к частным виртуальным сетям (VPN) в облаках, позволяет использовать широкий спектр сервисов Cisco, предназначенных для работы в сети и обеспечения безопасности, в форм-факторе виртуального устройства для развертывания в облачных средах. CSR 1000v анонсирован в 2012 году и представляет из себя операционную систему IOS XE, работающую на базе виртуальной машины гипервизоров (VMware ESXi 5.0, Citrix XenServer 6.0 и других) для серверных платформ Cisco UCS (Unified Computing System). Операционная система IOS XE для CSR 1000v поддерживает технологии FlexVPN, протоколы маршрутизации OSPF/EIGRP/BGP, функциональность MPLS/VRF, механизмы NAT/HSRP/DHCP и многое другое.  Возможности нового маршрутизатора CSR 1000v позволяют организациям осуществлять управление сетевыми ресурсами корпоративной сети при миграции в облачные среды, а провайдерам  облачных услуг обеспечивают возможность получать дополнительную прибыль путем применения гибкой модели по запросу «сеть как услуга». Предприятия и организации получают возможность расширить свои WAN-сети до уровня виртуальных частных облаков (virtual Private Cloud, vPC) внутри публичной multi-tenant среды облачного провайдера.

Маршрутизатор CSR 1000v является дополнением к богатому портфелю решений компании Cisco для облачных сред, таким как виртуальный коммутатор Nexus 1000v, межсетевой экран ASA 1000v для защиты периметра частной облачной среды, виртуальный шлюз безопасности VSG для реализации политик безопасности на уровне виртуальных машин, а также vWAAS для WAN-оптимизации трафика в облачной среде.

Помимо необходимости обеспечения безопасного подключения пользователей к облачной сети появляется необходимость обеспечить эффективную доставку приложений. При миграции к облачной модели возникает зависимость от качества и пропускной способности канала связи. Появляется необходимость оптимизировать передачу трафика, исключить передачу трафика нежелательных приложений, сильно загружающих полосу пропускания и влияющих на производительность канала связи.

Набор интегрированных средств AVC (Application Visibility and Control) для маршрутизаторов Cisco ASR 1000/ISR G2/CSR 1000v, позволяет понять, какие приложения работают в облачной среде, обеспечить их мониторинг и контроль передачи по каналам связи. С использованием протокола NBAR2 и механизмов глубокой инспекции пакетов (Deep Packet Inspection, DPI) можно идентифицировать около 1500 различных приложений, в том числе работающих через web-приложения с использованием протоколов HTTP/HTTPS. Интеграция технологий NBAR2 и Flexible Netflow предоставляет возможности для реализации мониторинга и анализа трафика от 2 до 7 уровней модели OSI. В отличие от традиционного Netflow, технология Flexible Netflow позволяет явно указать необходимые для мониторинга ключевые поля кэша потока данных (Netflow-записи) и передавать кэш на несколько различных коллекторов Netflow посредством экспорта Netflow version 9 (RFC 3954) или IPFIX (RFC 5101). Возможность использовать тип приложения, идентифицированного при помощи NBAR2, в качестве поля Netflow-записи позволяет получить детальную статистику по использованию приложений в облачной среде.

При доставке облачных приложений и сервисов необходимо понимать, насколько эффективно используется полоса пропускания, трафик каких приложений передаются  через каналы связи, кто является основным потребителем этого трафика. NBAR2 и Flexible Netflow позволяют получить ответы на эти вопросы и обеспечить гибкий мониторинг IPv4 и IPv6 трафика. В качестве коллекторов Netflow для экспортируемых данных могут быть использованы решения Cisco Prime Infrastructure с лицензией Assurance для всестороннего мониторинга и управления сетью, аппаратные платформы Cisco для сетевого анализа NAM (Network Analysis Module) и системы некоторых сторонних производителей.

Определив нежелательные приложения (bittorrent, youtube и т.д.), которые сильно загружают каналы связи,  организации могут блокировать их трафик с использованием традиционных механизмов QoS. С другой стороны организации могут не только блокировать нежелательные приложения в облачной среде, но и оптимизировать трафик самих бизнес-критичных приложений (SAP, Oracle, виртуальные десктопы и т.д.), используя решение для оптимизации приложений Cisco Wide Area Application Services (WAAS). Cisco WAAS снижает количество передаваемого трафика по каналам связи, ускоряет работу приложений, оптимизирует пропускную способность и сокращает задержки, что повышает качество обслуживания конечных пользователей в глобальных сетях. В решении WAAS реализованы технологии оптимизации TCP-соединений, кэширования и сжатия данных, устранения избыточности при передаче трафика. Функции автоматического обнаружения устройств оптимизации существенно ускоряют процесс прозрачного внедрения этого решения в существующие сети. Решение Cisco WAAS доступно как в виде отдельных аппаратных устройств, так и в виртуальном форм-факторе (virtual WAAS) для серверных платформ Cisco UCS (Unified Computing System).

Технология Cisco AppNav, анонсированная в 2012 году, обеспечивает гибкое управление оптимизацией глобальной сети по мере ее расширения, а также организацию работы и администрирование кластеров WAAS с балансировкой и распределением нагрузки. Для крупных центров обработки данных AppNav позволяет объединить несколько физических или виртуальных платформ WAAS в единый пул ресурсов Cisco WAAS, управляемый с помощью центрального контроллера.

Для более эффективного использования существующих каналов связи можно использовать технологию PfR (Performance Routing), которая позволяет расширить методы традиционной маршрутизации за счёт учёта информации о состоянии и метриках производительности каналов связи (потери пакетов, загрузка канала, задержки и jitter) в режиме реального времени. PfR позволяет обеспечить адаптивную динамическую маршрутизацию и балансировку нагрузки с распределением трафика через каналы связи  с различной пропускной способностью. Таким образом предприятия могут обеспечить защиту трафика облачных бизнес-критичных приложений от потерь пакетов и повысить качество работы приложений для удалённых пользователей и подразделений.

Таким образом, интегрированные решения для идентификации (NBAR2), мониторинга (Flexible Netflow) и контроля приложений (QoS, PfR) для маршрутизаторов Cisco ISR G2 и ASR 1000 позволяют обеспечить более эффективную доставку облачных сервисов через каналы связи с низкой производительностью. Однако, причиной плохого качества работы приложений может являться не только сетевая часть облачной инфраструктуры. Проблема может заключаться в низком времени отклика самих серверов центров обработки данных. В таких случаях организациям трудно определить истинный источник проблем и “узкое место” при доставке облачных сервисов.

Маршрутизаторы Cisco ISR G2 с активированной функциональностью Performance Agent (IOS PA) могут обеспечить мониторинг времени отклика TCP-приложений для каждого сегмента  (рис. 1) с использованием более 40 метрик, таких как время TCP-транзакции, время отклика сервера, сетевая задержка на стороне клиента, сетевая задержка на стороне сервера и т.д..

Рисунок 1

Рис. 1

Маршрутизатор ISR G2 вычисляет значения метрик, располагаясь на пути прохождения трафика и  инициализации TCP-сессий между сервером и клиентом (рис. 2).

Рисунок 2

Рис. 2

Агрегированные отчёты от одного или нескольких таких маршрутизаторов посредством Netflow-экспорта передаются системам мониторинга Cisco Prime Infrastructure с лицензией Assurance или Cisco NAM, которые позволяют получить общую информацию о временных метриках работы и доставки облачных приложений, классифицированных при помощи NBAR2.

Ещё одна задача, с которой сталкиваются организации, внедряющие облачные технологии – это обеспечение локальной устойчивости облачного приложения для удаленного подразделения или филиала. Качественная работа облачных сервисов сильно зависит от качества, надежности и производительности канала связи. Если возникают какие-то проблемы с WAN-каналом и удаленные ресурсы и сервисы становятся недоступны, то как обеспечить работу облачных приложений в этом случае? Новые серверные платформы Cisco UCS E для маршрутизаторов Cisco ISR G2  серий 2900 и 3900, анонсированные в 2012 году, позволяют обеспечить консолидацию сервисов и ресурсов и их резервирование на локальном уровне в случае их недоступности из облака. UCS E представляют из себя модули одинарной или двойной ширины для маршрутизаторов Cisco ISR G2, которые обеспечивают интегрированную вычислительную мощность при помощи собственных аппаратных ресурсов (рис. 3).

Серверные модули UCS E

Рис. 3

В UCS E установлены современные 4-х или 6-ти ядерные процессоры Intel Xeon серий E3/E5 Sandy Bridge, поддерживается оперативная память DRAM до 48 Гб, память для хранения до 3 Тб с поддержкой RAID0/RAID1/RAID5. Эти серверные блейды отличаются низким энергопотреблением (до 130 Вт) по сравнению с отдельностоящими серверами и получают питание непосредственно от маршрутизатора. Все модули бесплатно комплектуются Cisco Integrated Management Controller (CIMC) для полноценного мониторинга состояния системы,  удаленного управления электропитанием и аппаратными параметрами (в том числе BIOS), виртуальной KVM. Особенности UCS E позволяют решить ещё одну непростую проблему — обеспечить раздельное и независимое управление между сетевыми и серверными IT-администраторами. Аппаратные платформы UCS E поддерживают установку различных операционных систем (Windows Server 2008, Red Hat Enterprise Linux, SUSE Linux, Oracle Linux) и гипервизоров (Microsoft Hyper-V, VMware vSphere 5.0, Citrix XenServer 6.0). Таким образом на базе этих интегрированных в маршрутизаторы модулей можно обеспечить локальные архивы и сервисы облачных приложений в случае отказа WAN-канала связи и доступа к сервисам через облако. Интеграция UCS E в маршрутизаторы позволяет снизить совокупную стоимость владения, посредством уменьшения объема серверного оборудования, снижения операционных расходов на энергопотребление, охлаждение, пространство и место в стойке.  Вдобавок ко всему, очевидно, что проще управлять одним устройством, консолидирующим все сервисы для филиала в рамках одной платформы.  Возможность управлять всеми сервисами удаленно из центрального офиса позволяет организациям решить вопрос нехватки квалифицированных специалистов в региональных подразделениях и филиалах и снизить затраты IT-специалистов на командировки.

В рамках концепции Cloud Intelligent Network (“Интеллектуальная облачная сеть”) компанией Cisco был представлен так называемый Cloud Connector — программный компонент, улучшающий производительность, безопасность и доступность облачных приложений для филиалов и удаленных предприятий организаций. Наиболее известным примером реализации Cloud Connector на сегодняшний день является решение ScanSafe для защиты от интернет-угроз и проникновения вредоносных программ в корпоративную сеть, которая обеспечивает более эффективный контроль и безопасный доступ в Интернет. Это решение анализирует каждый запрос к интернет-ресурсам, допустимость этого запроса в соответствии с заданной политикой безопасности, и обращается к облаку ScanSafe для проверки вредоносности. Таким образом обеспечивается защита прямого доступа из удаленных узлов в облако организации или сеть Интернет. Преимуществом этого решения является то, что конечному пользователю не требуется производить никаких дополнительных настроек своей системы и web-браузера — функциональность ScanSafe интегрирована в программный код Cisco IOS для маршрутизаторов и активируется при помощи лицензии. Cloud Connector может быть реализован, как функциональность, встроенная в операционную систему IOS маршрутизатора, так и работать на базе аппаратной платформы UCS E для маршрутизатора ISR G2. UCS E позволяет реализовать как хостинг сервисов Cisco, так и собственные приложения облачных провайдеров и организаций.

Управлению всей инфраструктурой облачной сети Cisco реализовано на базе унифицированной системы управления Cisco Prime Infrastructure, которая содержит решения для управления доступом, настройки конфигурации, мониторинга, поиска и устранения неполадок. При помощи дополнительной лицензии Assurance, Cisco Prime обеспечивает согласованный контроль и мониторинг производительности облачных приложений.

Заключение

Компания Cisco продолжает наращивать богатый портфель решений для построения интеллектуальных облачных сетей.

В дополнение к существовавшим ранее маршрутизаторам серии ASR 1000 и ISR G2, в 2012 году был анонсирован маршрутизатор ASR 1002-x, который может использоваться не только в центрах обработки данных и центральных офисах, но также и в крупных филиалах компаний.

Новый виртуальный облачный маршрутизатор CSR 1000v, с помощью которого организации могут обеспечить подключение к частным виртуальным сетям (VPN) в облаках, является дополнением к линейке маршрутизаторов ASR 1000 для использования в облачных средах и центрах обработки данных.

Новые серверные модули UCS E-серии для маршрутизаторов ISR G2 позволяют обеспечить локальное хранилище данных и сервисов для филиалов, а также работу специализированных программных компонент (Cloud Connector) для взаимодействия с облачными сервисами на базе интегрированных аппаратных ресурсов.

В дополнение к широкой линейке устройств оптимизации WAAS, как физических (WAVE 294, 594, 694, 7541, 7571, 8541), так и виртуальных (vWAAS), в 2012 году было анонсированно новое решение AppNav для управления и распределения нагрузки в рамках кластеров WAAS для крупных центров обработки данных.

Широкий портфель решений и платформ Cisco (рис.4), позволяет построить интеллектуальные облачные сети в соответствии с современными тенденциями.

Продукты Cisco для построения интеллектуальных облачных сетей

Рис. 4

А готова ли Ваша сеть к внедрению облачных технологий?

 Ссылки и дополнительная информация:

  1. Cisco Cloud Intelligent Network
  2. Why Cloud Computing Needs a Cloud-Intelligent Network
  3. Designing the Network for the Cloud
  4. Get Your Network Ready for Cloud
  5. A Guide to Cloud-Ready Branch Office Network
  6. Cisco Cloud Intelligent Network: Prepare Your Network for the Cloud
  7. Cisco Cloud Connectors: Bringing Intelligence to the Cloud Cisco

Cisco WebEx в своем ЦОДе

Сервис Cisco WebEx как услуга в формате SaaS хорошо известна и популярна как в мире, так и в странах СНГ. Согласно исследования Synergy Research в 2011 году занимала 52%  всего рынка web-конференций.

В ноябре 2012 года компания Cisco предложила на рынок новый продукт — Cisco WebEx Meetings Server (CWMS).

CWMS — построен на том же движке что и SaaS, но размещается не в облаке Cisco Collaboration Cloud, а на серверах Cisco UCS частном облаке (ЦОДе) компании в виде VMWare имиджей.

Интерфейс пользователя сохранен таким же как и в SaaS, то есть поддерживается подключение участников web-конференции со стационарных и мобильных устройств под управлением различных операционных систем. Так же как и в SaaS возможно подключение в режиме голосовой связи как с компьютера (VoIP), так и с помощью обычного телефона (Call-In или call-out). И так же как и в SaaS поддерживается совместная работа с документами и приложениями, web-видеоконфренеции, запись и другие возможности.

Cisco WebEx Meetings Server полноценно поддерживает русский язык: локализован интерфейс пользователя, голосовые сообщения голосового меню и руководства пользователя и администратора. В зависимости от модели развертывания один экземпляр продукта может поддерживать до 50, до 250, до 800 или до 2000 одновременных подключений (в терминах CWMS это называется порты, порты НЕ лицензируются). Лицензируются только организаторы конференций (host), в то время как для обычных участников лицензии не требуются. В зависимости от интенсивности проведения  web-конференций в компании один экземпляр продукта CWMS может «охватить» от 50 до 400 000 сотрудников.

К особенности продукта следует отнести то, что в течении 180 дней продукт функционирует «бесплатно». Это сделано для того чтобы корпоративные пользователи могли на практике понять какое количество лицензий организаторов им необходимо приобрести для своей компании (дополнительно к первичному заказу — 50 лицензий организаторов).

Более подробную информацию о Cisco WebEx Meetings Server можно найти по ссылке.

Руководства пользователей и адмнистраторов на русском языке можно загрузить здесь.

Для быстрой оценки бюджета стоимости оборудования и программного обеспечения Cisco WebEx Meetings Server можно воспользоваться калькулятором по этой ссылке.

Новая серия систем предотвращения вторжений Cisco IPS 4500

Не успели мы в марте анонсировать системы предотвращения вторжений Cisco IPS 4300 (бюллетень), а затем и системы предотвращения вторжений для систем управления технологическими процессами (АСУ ТП), как новый анонс — новая линейка средств по отражению атак — Cisco IPS 4500. Эта мультигигабитная система нейтрализации вторжений ориентирована на защиту центров обработки данных, предъявляющих особые требования к системам защиты — высокую производительность, надежность, поддержку специфических протоколов, в т.ч. и прикладных.

Cisco IPS 4500

Cisco IPS 4500 представлена двумя моделями — Cisco IPS4510 и 4520, отличающихся производительностью (5 и 10 Гбит/сек соответственно), а также максимальным числом соединений (3.800.000 и 8.400.000 соответственно). Каждая модель оснащена 6-тью портами 10/100/1000 Мбит/сек и 4-мя портами на 1 или 10 Гбит/сек.  На следующих иллюстрациях показаны основные отличия этих двух моделей.

Программное обеспечение Cisco IPS 4500 не отличается от всех остальных моделей систем предотвращения вторжений. Они могут обнаруживать несанкционированные действия по сигнатурам и по подозрительному поведению, отслеживать атаки на приложения и на сетевые сервисы, включая и атаки APT. Cisco IPS 4500 может быть полностью автономной, а может быть активно вовлечена в систему глобальной корреляции. Для снижения нагрузки на подсистему идентификации атак Cisco IPS умеет отсекать лишнее, используя репутационные технологии или черные списки адресов, которые можно блокировать со 100%-ой уверенностью. Для борьбы с попытками обхода системы предотвращения вторжений используются спецализированные подхода (Anti-Evasion), а за счет механизма пассивного определения ОС и поддержки рейтинга рисков и рейтинга угроз нагрузка на оператора системы IPS снижается многократно путем многократного снижения числа ложных срабатываний. Для облегчения внедрения используется механизм профилей, которые содержат предустановленные наборы угроз (для ЦОДов, для периметра, для высокоагрессивных сред и т.д.).

После анонса 12 сентября портфолио Cisco в области средств предотвращения вторжений выглядит следующим образом:

Cisco ASA 1000V Cloud Firewall доступен для заказа

Год назад, 31 августа, я уже писал про анонсированный нами межсетевой экран для виртуализированных сред — Cisco ASA 1000V Cloud Firewall. Межсетевой экран для облачных сред Cisco® ASA 1000V представляет собой виртуальное устройство обеспечения безопасности, которое расширяет возможности платформы многофункциональных устройств безопасности Cisco ASA для адекватной защиты не только физических, но и виртуальных, а также облачных инфраструктур.

Межсетевой экран для облачных сред Cisco ASA 1000V дополняет средства разграничения доступа и контроля сетевого трафика между виртуальными машинами, реализованные в устройстве Cisco Virtual Security Gateway (VSG), и обеспечивает безопасность в многопользовательских средах, поддержку базовой функциональности шлюзов безопасности и защиту от сетевых атак. Таким образом, устройство Cisco ASA 1000V позволяет формировать комплексное решение для обеспечения безопасности облачной среды. Кроме того, устройство Cisco ASA 1000V интегрируется с коммутатором Cisco Nexus® серии 1000V, который поддерживает несколько гипервизоров, чтобы исключить привязку к определенному поставщику, и позволяет одному экземпляру ASA1000V защищать несколько хостов
ESX для обеспечения гибкости развертывания и простоты управления. Динамическое управление многопользовательской средой на основе политик реализуется с помощью системы управления Cisco VNMC.

За этот год очертания только-только анонсированного продукта обрели конкретную форму — стала известна его функциональность, цена, варианты внедрения, модель управления и многие другие моменты. Но самое главное — Cisco ASA 1000V Cloud Firewall стал доступен к заказу. Более подробная информация о Cisco ASA 1000V доступна в русскоязычном бюллетене (pdf), а также на официальной странице продукта на сайте Cisco.

Экономия в облаках

Популярность облачных технологий на рабочем месте растет, так как с их помощью можно повысить гибкость, масштабируемость, эффективность работы, платя только за то, что действительно используется.

Cisco UCS. Инфографик

Рынок блейд-серверов x86

Растущий интерес к инновационным решениям в области центров обработки данных сделал объединенную вычислительную систему Cisco Unified Computing System (Cisco UCS) одним из самых популярных продуктов динамично развивающегося сегмента рынка серверов x86.

Рост облачных вычислений

В соответствии с прогнозами в период 2010 – 2015 гг. общий трафик центров обработки данных (ЦОД) возрастет в четыре раза, причем трафик, связанный с облачными вычислениями, увеличится в 12 раз.

Лидеры ведущих ИТ компаний об инновационной матрице коммутации ЦОД для предприятий

EMC, Джош Кан, вице-президент по маркетингу решений компании EMC:
«Решения Cisco Unified Fabric и EMC Storage вместе представляют собой комплексную, масштабируемую, эффективную и надежную решение для хранения данных. Наши общие клиенты могут с уверенностью внедрять проверенные и надежные решения Cisco/EMC».

Broadcom, Грегори Шерер, Вице-президент по стратегическому развитию систем хранения данных:
«Сегодня Broadcom в тесном сотрудничестве с Cisco закладывают основу для готовых к облачным вычислениям средам, что послужит дальнейшему продвижению 10 GbE на массовый рынок».

NetApp, Крис Каммингс, вице-президент по маркетингу продуктов и решений:
«Решение Cisco Unified Fabric дополняет архитектуру унифицированной системы хранения данных NetApp. Вместе мы помогаем нашим клиентам увеличивать гибкость и при этом облегчать работу в их центрах обработки данных».

Emulex, Шон Уэлш, вице-президент по маркетингу:
«Совершенствование портфеля решений Cisco Unified Fabric является важным шагом в создании экосистемы для масштабируемых конвергентных сетей».

Intel, Том Свинфорд, вице-президент Intel Architecture Group, генеральный менеджер LAN Access Division:
«Благодаря нашим совместным решениям в сфере унифицированных матриц коммутации, Cisco и Intel успешно сочетают экономичность Ethernet с надежностью Fibre Channel, позволяя клиентам внедрять мультипротокольные технологии нового поколения на уровнях сервернов, сети, уровне систем хранения данных».

QLogic, Амит Ваши, Вице-президент по маркетингу, Host Solutions Group:
«Cisco и QLogic уже на протяжении долгого времени совместно работают над модернизацией в области центров обработки данных с целью обеспечения сквозной конвергенции, а также, создания инновационных средств для распределенных вычислений и виртуализированных центрах обработки данных».

Hitachi Data Systems, Брайан Хаузхолдер, старший вице-президент по маркетингу и развитию бизнеса в мире:
«HDS и Cisco вместе претворяют в жизнь концепцию Cisco Data Center Business Advantage, и предоставляют клиентам значительные конкурентные бизнес-преимущества при использовании как традиционных, так и виртуальных ЦОД».

Узнать больше о Cisco Unified Fabric: http://csc0.ly/6033R5st

Унифицированная коммутационная структура Cisco (Cisco Unified Fabric)

Самая масштабируемая коммутационная структура на планете объединяет локальную сеть центра обработки данных и сеть хранения данных и образует единую конвергированную, расширяемую и интеллектуальную сеть с высоким уровнем доступности.

Virtual ASA — новый межсетевой экран для виртуализированных сред

Совсем недавно я уже писал про руководство Cisco по безопасности операционной систем NX-OS для коммутаторов виртуализированных сред Cisco Nexus. В той заметке я упомянул и про наш межсетевой экран для защиты взаимодействия между виртуальными машинами — Cisco Virtual Security Gateway. И вот уже на этой неделе, на конференции VMworld в Лас-Вегасе компания Cisco анонсировала свое новое решение в рамках стратегии защищенных центров обработки данных — предварительную версию Virtual ASA.

Предварительную потому, что еще рано говорить о ее стоимости и сроках выхода, но уже сейчас можно говорить о ее функциональности и стратегии развития. Собственно, говорить о данном продукте, как о чем-то новом не приходится — история Cisco ASA насчитывает свыше 15 лет и более 1 миллиона инсталляций. Virtual ASA — это просто новый форм-фактор хорошо зарекомендовавшего себя на рынке продукта.

Единственное, что можно сказать по поводу данного продукта, — это четко разделить Cisco VSG и Cisco Virtual ASA. Если первый продукт ориентирован на защиту трафика между виртуальными машинами и приложениями, работающими на них, то Virtual ASA предназначен для защиты периметра виртуальной среды и ЦОД, активно использующего виртуализацию. Иными словами, эти два продукта будут дополнять друг друга, а не конкурировать между собой.

Разумеется, управление Virtual ASA будет осуществляться также, как и всеми другими типами межсетевых экранов Cisco — Cisco ASA, Cisco FWSM, Cisco Pix, Cisco IOS Firewall, Cisco ASA Services Module for Catalyst 6500, — при помощи Cisco Security Manager. При этом единое управление позволяет использовать и унифицированную политику разграничения доступа на всем протяжении движения трафика — от самых удаленных уголков корпоративной или ведомственной сети до самого центра виртуализированного центра обработки данных.

Руководство по безопасности NX-OS

Cisco Nexus — это одна из самых распространенных платформ для построения надежных, эффективных и современных центров обработки данных. Сердцем любого Cisco Nexus является операционная система NX-OS, от работы которой зависит бесперебойность и защищенность хранимых в ЦОД данных, которые могут принадлежать как владельцу ЦОД, так и его клиентам, арендующим в ЦОД вычислительные ресурсы.

Компания Cisco всегда уделяла серьезное внимание безопасности своих продуктов; поэтому для специалистов не стало сюрпризом появление руководства по защите NX-OS — «Cisco NX-OS Hardening Guide«. В условиях растущей угрозы, появления новых способов проникновения в корпоративные, ведомственные или облачные информационные пространства, ИТ-специалистам и специалистам по информационной безопасности очень важны простые, понятные и конкретные рекомендации по настройке используемого оборудования, повышающей общий уровень защиты ЦОД. Опубликованное руководство как раз и дает такие рекомендации.

Заложенные еще в начале 2000-х годов принципы построенния защищенных сетей Cisco SAFE, нашли свое отражение и в руководстве Cisco NX-OS Hardening Guide. Мониторинг и управление логами, аутентификация и авторизация доступа, использование защищенных протоколов и NetFlow, защищенное управление и аудит… Все эти принципы применены к возможностям операционной системы NX-OS.

Использование данного руководства, наряду с отдельными продуктами Cisco по безопасности виртуализированных сред (как например, Cisco Virtual Security Gateway, получивший недавно награду от Virtualization Security Group Russia), и общими принципами построения защищенных сетей, позволят нашим заказчикам получить защищенный центр обработки данных, удовлетворяющий требованиям самых взыскательных пользователей.