Тренинговым компаниям: Добавить тренингВойти
TRN.ua

Микросегментация: повышение информационной безопасности и упрощение операций в архитектуре Cisco ACI

12.12.2015

Блог старшего директора компании Cisco по маркетингу продуктов для ЦОД и облачных вычислений Шаши Кирана (Shashi Kiran).

Сегодня в проектах развертывания облаков и центров обработки данных (ЦОД) во главу угла ставится информационная безопасность, и развитие систем обеспечения безопасности архитектур идет в ногу с появлением в цифровом мире новых угроз. Для отражения современных изощренных атак администратору сети требуются самые разнообразные средства, одно из которых — сегментирование сети.

Традиционно для сегментирования сети и разделения и изоляции доменов администраторы выделяли разным приложениям отдельные подсети и отображали их на виртуальные сети VLAN. Такой классический подход был довольно прост в реализации и облегчал определение политик для подсетей с использованием списков контроля доступа (Access Control List, ACL) на границе уровня L3, которой обычно служили маршрутизатор первого транзитного участка или физический межсетевой экран. Но это приводило к нежелательному сопоставлению IP-подсетей и приложений. Кроме того, в результате со временем разбухали списки ACL (когда политик на базе подсетей оказывались недостаточно и, например, требовались списки ACL с указанием конкретных IP-адресов). Из-за этого, в свою очередь, затруднялась очистка списков ACL от неактуальных вхождений (более неиспользуемых приложений), что усложняло проблему управления списками ACL.

Так что, если общая концепция сегментации все еще актуальна, то требования современных приложений и информационной безопасности диктуют необходимость применения более тонких методов, способных обеспечить бОльшую безопасность, будучи при этом проще в эксплуатации.

Учитывая вышеизложенное, Cisco разработала принцип микросегментации, цели которого в общих чертах можно определить следующим образом:

  • программное определение как можно более дробных сегментов для повышения гибкости (например, для ограничения горизонтального распространения угрозы или помещения в карантин скомпрометированной оконечной точки обширной системы);
  • программная автоматизация управления сегментами и политиками на всем протяжении жизненного цикла приложений (от запуска до снятия с эксплуатации);
  • внедрение модели нулевого доверия (Zero-Trust) для гетерогенных задач с целью улучшения информационной безопасности и масштабирования.

Микросегментация в ориентированной на приложения инфраструктуре CiscoACI
В ориентированной на приложения инфраструктуре Cisco Application Centric Infrastructure (ACI) реализован весьма любопытный метод микросегментации, основанный на определении политик отделения сегментов от широковещательного домена. Здесь применяется новая концепция, учитывающая требования приложений и получившая название «группы оконечных точек» (End-Point Group, EPG). Ее суть в том, что разработчик приложений может определять оконечные точки в группах EPG вне зависимости от их IP-адресов и тех подсетей, к которым они принадлежат. Более того, сами оконечные точки нормализуются (оконечной точкой может быть физический сервер, виртуальная машина, Linux-контейнер или даже унаследованный мейнфрейм), т.е. их конкретное внутреннее содержание скрыто от внешнего мира, что существенно упрощает управление ими и делает его более гибким.

В Cisco ACI сохранилось понятие традиционного сегмента, который теперь называется мостовым доменом (Bridge Domain, BD), при этом таким доменам по-прежнему могут назначаться IP-подсети. Это дает возможность при необходимости сохранять любые действующие эксплуатационные модели, позволяя создавать домены BD с одной группой EPG, которая концептуально отображается на традиционную VLAN.

В архитектуре ACI эта модель получила свое дальнейшее развитие. Одному домену BD могут принадлежать несколько групп EPG, которые конфигурируются программно (как и всё внутри архитектуры ACI) с помощью открытых интерфейсов прикладного программирования API, предоставляемых контроллером Cisco Application Policy Infrastructure Controller (APIC). В двух словах, группы EPG в архитектуре ACI — это микросегменты домена BD. Суть вышеизложенного иллюстрирована ниже.

Сетевая Академия Cisco проводит авторизированные тренинги, практикумы Cisco, компьютерные курсы Cisco Киев (курсы ИТ Киев), ИТ тренинги - курсы Cisco (Cisco курсы), занимается подготовкой специалистов для реализации высокоинтеллектуальных проектов в области инфокоммуникационных технологий. У нас вы можете пройти курсы Cisco Москва, курсы Cisco СПб (Санкт-Петербург), курсы Linux, курсы Linux Киев, курсы Linux Москва, Linux курсы СПб.


Ответы на часто задаваемые вопросы: http://edu-cisco.org/docs/welcome.pdf


http://edu-cisco.org

http://vk.com/educisco

http://www.facebook.com/educisco

https://twitter.com/educisco

e-mail: info@edu-cisco.org

skype: edu-cisco.org

tel. +38-097-241-79-18

Автор: Старкова Елена Владимировна
Компания: Cisco, сетевая академия (все новости компании)
Добавить комментарий
Ваше имя, компания:
Комментарий:
не более 1000 символов (введено: 0)
Эл. почта:
Проверочный код:
5 английских букв:
 или Отменить
См. также
Специальная программа для специалистов по закупкам! Не пропустите «Тренинг-практикум для отдела закупок»!, 21.01.2017, Технологии роста
Планируйте участие в открытом семинаре-практикуме "Управление затратами". Он будет интересный всем, от кого руководство ждет действий по увеличению чистой прибыли, положительного чистого денежного потока и возврата от инвестиций, 21.01.2017, Технологии роста
Акция до 27 января, школа менеджеров по персоналу "New HR Generation", 30 выпуск, 21.01.2017, Profi-consulting
Клуб HR-мастерская с Дмитрием Ляховецким. Выступай-убеждай-влияй, 21.01.2017, Profi-consulting
Начало обучения в Школе коучинга 14 февраля, 21.01.2017, Астрохаус, ваш астропсихолог
Перейти к списку всех новостей
TRN.ua
Главная страница
Обратная связь
Помощь
Отправить страницу другу
Тренинговым компаниям
Тренинги и семинары
Тренинговые компании
Тренеры
Новости
Статьи
Услуги сайта
Статистика сайта
О проекте
Контакты
Условия использования
© TRN.ua — тренинги в Украине.
Сделано в компании «Реактор».