Naujas žvilgsnis į tinklo saugumą: išmanieji „Cisco“ komutatoriai atliepia modernaus verslo poreikius

Šiuolaikiniai verslai gyvena greitai hibridiniame IT pasaulyje, kuriame efektyvus duomenų valdymas, saugumas ir automatizacija tampa ne pasirinkimu, o būtinybe. Tokia skaitmenizacijos plėtra kelia ir iššūkių. Daugėjant įrenginių, valdymo konsolių, brangsta IT eksploatacija, o kartu auga architektūros sudėtingumas, tampa sunku nuosekliai įgyvendinti saugumo politikas.

„Augant duomenų srautams, išryškėja poreikis turėti naujos kartos tinklo infrastruktūrą. Ji turi būti ne tik spartesnė, bet ir iš esmės pažangesnė, saugesnė, gebanti prisitaikyti prie greitai besikeičiančių poreikių, situacijų. Tradiciniai komutatoriai ir maršrutizatoriai, kurie sudaro dabartinės tinklo infrastruktūros pagrindą, nebesugeba išspręsti šiandienos saugumo iššūkių ir patenkinti verslo poreikių“, – dėsto Konstantinas Stonkus, kibernetinio saugumo sprendimų bendrovės „Santa Monica Networks“ (SMN) Tinklų ir saugumo sprendimų pardavimo vadovas.

Kodėl įprastų tinklo sprendimų nebeužtenka

Įprastai tinklas dažniausią būna sudarytas iš komutatorių, maršrutizatorių, ugniasienių ir kitų sprendimų bei įrangos. Šiai gremėzdiškai infrastruktūrai kuo toliau, tuo sunkiau pavyksta atliepti verslo reikalavimus. Pavyzdžiui, norint užtikrinti infrastruktūros saugumą, reikia instaliuoti atskirus saugumo įrenginius. Tačiau didėjantis ugniasienių, IDS/IPS/NDR įrenginių, DDoS apsaugos dėžučių kiekis didina ir infrastuktūros kompleksiškumą, jos sudėtingumą, daugėja užlaikymų tinkle, auga verslo išlaidos.

Siekiant geresnio pralaidumo augant informacijos srautams, galima rinktis galingesnius, greitesnius komutatorius. Pralaidumas padidės, tačiau saugumo lygis nepaaugs: įprastas komutatorius, net ir pats galingiausias, tik sujungia tinklo elementus ir užtikrina greitį, tačiau neanalizuoja duomenų keliaujančių per jį. Jis – tarsi autostrada duomenims laisvai tekėti. Vis dėlto šiuolaikiniams kibernetinio saugumo iššūkiams nepaliaujamai augant, šią „autostradą“ būtina aprūpinti patruliais, radarais ir automatinėmis užtvaromis, kurie ne tik stebėtų, bet ir iš karto sustabdytų pažeidėjus.

Tad nusistovėjęs požiūris į tinklo saugumą ir jo užtikrinimą keičiasi. Organizacijos, siekiančios užtikrinti aukštą duomenų centro saugumą dinamiškoje IT aplinkoje, pereina prie savaime apsisaugančio tinklo koncepcijos (angl. self-defending networks (SDN)). Jos esmė – savarankiškai apsisaugoti gebantis kompiuterių tinklas, kuris automatiškai aptinka, analizuoja, reaguoja į saugumo grėsmes ir prisitaiko prie jų realiuoju laiku su minimaliu žmogaus įsikišimu. Protingas, autonomiškai veikiantis tinklas ne tik pats aptinka grėsmes, bet ir automatiškai nuo jų ginasi.

SDN yra esminis pokytis saugumo valdyme: nuo „pasyvių“ ugniasienių pereinama prie aktyvios ir  protingos saugumo architektūros, kurioje apsauga – ne vien įrankis, o dinamiška, išmani ir besimokanti sistema. Ji atspindi šiuolaikinį požiūrį į kibernetinį saugumą, ypač debesijos, IoT ir sparčiai besikeičiančių grėsmių kontekste.

Būtent tokį požiūrį atstovauja pirmaujantis pasaulinis kibernetinio saugumo sprendimų gamintojas „Cisco“, sukūręs vieną pirmųjų tokių koncepcijų pasaulyje – „Cisco Self-Defending Network“. Šįmet kompanija pristatė naujos kartos sprendimą šių dienų kibernetiniams iššūkiams atremti: išmanius (smart switch) komutatorius su „Hypershield“ technologija.

Gynyba ir duomenys viename

Komutatoriai yra pagrindinė IT infrastruktūros dalis. Jie paskirsto apkrovas tarp serverių ir įrenginių bei užtikrina greitą ir stabilų vidinį duomenų srautą. Šiandien įprasti komutatoriai transformuojasi į kur kas sudėtingesnius ir išmanius įrenginius, gebančius atlikti funkcijas, kurias iki šiol galėjo atlikti tik keli skirtingi įrenginiai. Su „Cisco“ N9300 serijos komutatoriais tinklas tampa ne tik duomenų perdavimo, bet ir aktyvios gynybos platforma. Esminė naujovė – sprendimų priėmimas perkeliamas tiesiai ten, kur vyksta srautas – į pačią duomenų centro šerdį.

„Tai yra naujos kartos sprendimas, nes gynybos mechanizmai atsiranda arčiau duomenų – pačiame komutatoriuje. Iki šiol saugumas buvo atskirtas ugniasienėmis, papildomais įrenginiais. „Cisco“ integravo saugumą tiesiai į tinklo įrangos architektūrą ir sujungė šiuos du elementus: saugumas ir tinklas tapo viena visuma, o ne atskirais vienas kitą papildančiais sluoksniais.  Tai leidžia pasiekti granuliarią ir lanksčią kontrolę dinamiškoje IT infrastruktūroje. Be to, saugumas užtikrinamas ne tik tarp infrastruktūros segmentų, bet ir jų viduje. Tradiciniai sprendimai paprastai to nedaro arba net negali padaryti“, – paaiškina K. Stonkus.

„Cisco“ naujos kartos išmanusis komutatorius turi įdiegtą stateful ugniasienę, kuri gali filtruoti srautą pagal kontekstą; siunčia šifruotą L3 srautą  tarp duomenų centrų; naudoja DPU, leidžiantį analizuoti srautą tiesiogiai įrenginyje nedidinant srauto vėlavimo ir yra sujungtas su „Hypershield“, užtikrinančia saugumo politikų sinergiją. Ši sąjunga ne tik užtikrina mažesnę delsą, geresnį našumą bei mažesnį energijos suvartojimą, bet ir siūlo įdiegtą saugumą – be papildomos įrangos, atskiro „next-gen firewall“ kiekviename tinkle.

Todėl tinklo infrastuktūra tampa ne tokia kompleksiška, atitinkamai mažėja sąnaudos, susijusios su įrangos  priežiūra ir valdymu, mažėja rizikos, susijusios su įrangos gedimais, didėja saugumas, nes atliekama kontrolė yra detalesnė, kruopštesnė. „Paprastai tariant, saugumas vykdomas tiesiogiai „online“, – sako ekspertas.

Integruotos supergalios

Viena svarbiausių „Cisco“ sprendimo stiprybių yra „Hypershield“ technologijos integracija į komutatoriaus veiklą. „Hypershield“ – debesijoje veikiantis saugumo valdymo įrankis – yra tarsi „smegenys“, centralizuotai valdančios visą infrastruktūrą ir saugumo politikas. Būtent ši supergalia paverčia komutatorių ne tik išmaniu, bet ir revoliuciniu sprendimu, keičiančiu tinklo saugumo sampratą.

„Dirbtinio intelekto pagrindu veikianti „Hypershield“ sistema automatiškai aptinka anomalijas tinklo sraute, reaguoja į jas ir izoliuoja grėsmes. Apsaugo ir nuo „Zero-Day“ atakų, nes DI gali aptikti anomalijas dar prieš pasirodant grėsmių apraiškoms (angl. signatures). Visa tai daroma be žmogaus įsikišimo. Tai – tarsi virtualus, komutatoriuje veikiantis saugumo operacijų centras (SOC) orientuotas į tinklo lygio grėsmes“, – aiškina SMN ekspertas.

Ne mažiau svarbu, kad „Hypershield“ mokosi iš milijardų „Cisco Talos“ stebimų atakų visame pasaulyje. Taigi turint komutatorių su integruota „Hypershield“ technologija iš tiesų naudojamasi globalios kolektyvinės apsaugos privalumais, nes kiekvienas įrenginys gauna žinias apie naujausias grėsmes iš viso pasaulio. Aptikus grėsmę, DI pagalba taisyklės automatiškai kuriamos, testuojamos ir  diegiamos visame tinkle, o ne atskiroje ugniasienėje. Ši technologija pasižymi ir mikrosegmentacija – leidžia riboti prieigą net tarp vidinių serverių ir aplikacijų.

Naujos kartos „Cisco“ komutatoriai yra aprūpinti ir DPU (angl. Distributed Processing Unit) – atskiru procesoriumi, kuris skirtas saugumo ir tinklo užduotims atlikti realiuoju laiku, neapkraunant pagrindinio procesoriaus. DPU tikrina keliaujančius duomenis tame pačiame įrenginyje, o ne siunčia į ugniasienę kaip įprasti komutatoriai, todėl sumažėja srauto vėlavimai.

„DPU naudojimas leidžia atlikti specializuotus, daug skaičiavimų reikalaujančius uždavinius (pavyzdžiui, saugumo analizę) nenaudojant  komutatoriaus pagrindinio procesoriaus ir nemažinant  komutatoriaus našumo. Tokiu būdu tinkle atsiranda papildomas saugumo funkcionalumas, kuris realiu laiku apdoroja perduodamus duomenis ir įgyvendina saugumo kontrolės priemones, nepaveikdamas perduodamų duomenų greičio. Kitaip tariant, šalia komutatoriaus atsiranda wirespeed saugumo funkcionalumas“, – dėsto K. Stonkus.

Pažangus požiūris

„Cisco“ išmanūs komutatoriai yra racionaliausias pasirinkimas dideliems duomenų centrams, finansų bei sveikatos sektoriaus įstaigoms, bankams, valstybinėms institucijoms, kritinės infrastruktūros įmonėms ir visoms organizacijoms, kurios turi atitikti griežtus saugumo reikalavimus. Ten, kur reikia ne tik didelio duomenų pralaidumo, bet ir aukštesnio saugumo lygio dirbant su jautria informacija.   

Šis sprendimas leidžia organizacijai jaustis ramesnei, nes DI rūpinasi grėsmių prevencija realiuoju laiku ir proaktyviai jas neutralizuoja. Saugumas tampa tinklo dalimi, nebe atskiru sluoksniu, tad jo valdymas paprastesnis. Mažėja ir kaštai, nes nebereikia atskirų saugumo sprendimų kiekviename tinklo segmente.

K. Stonkaus teigimu, duomenų centrų infrastruktūra šiandien susiduria su vis sudėtingesniais saugumo, valdymo ir efektyvumo iššūkiais. Vien greitesnės ar galingesnės infrastruktūros nebeužtenka – reikalingas tiesiog kitoks požiūris į saugumą. Sprendimas, kuris sujungia tinklą ir jo gynybą į vieningą ir protingą sistemą. Tokiu principu ir sukurti „Cisco“ N9300 serijos išmanieji komutatoriai su „Hypershield“ technologija: saugumas, palaikomas DI, automatizuotas politikų valdymas ir lankstumas augančiam verslui.

„IT tinklai šiandien panašūs į judrius miestus – jie nuolat auga, keičiasi, atsiranda nauji „keliai“ ir „pastatai“. Tradiciniai saugumo sprendimai tokioje aplinkoje tampa tarsi seni vartai, kurie arba stabdo judėjimą, arba nebesugeba apsaugoti nuo naujų pavojų. Todėl vis aktualesni tampa savaime apsisaugantys tinklai – „miestai“ su įmontuota apsaugos sistema, kuri pati pastebi ir neutralizuoja grėsmes. Tokią apsaugą siūlo „Cisco“ naujos kartos sprendimas, įgyvendinamas išmanių komutatorių pagalba. Tai platforma, kuri ne tik atlaiko šiandienos krūvius, bet ir yra pasirengusi rytojui“, – apibendrina „Santa Monica Networks“ Tinklų ir saugumo sprendimų pardavimo vadovas. 

„Santa Monica Networks“ yra oficialus „Cisco“ partneris, 2008 m. įgijęs „Gold Certified Partner“ statusą – aukščiausią galimą „Cisco „įvertinimą. SMN buvo pirmoji įmonė Lietuvoje, 1996 m. pradėjusi tiekti „Cisco“ įrangą.

Bendrovė teikia pilną „Cisco“ sprendimų portfelį ir aktyviai dirba su jais: projektuoja, diegia, prižiūri ir konsultuoja klientus įvairiose srityse, nuo tinklo infrastruktūros iki kibernetinio saugumo, debesijos, ir duomenų centrų.

SMN tikslas – ne tik įdiegti technologiją (sprendimą), bet ir užtikrinti, kad ši technologija (sprendimas) realiai didintų saugumą, mažintų rizikas ir kurtų vertę verslui.