Mikroszegmentálás növelve a biztonságot és egyszerűsítve műveletek építészet cisco aci
Ma, a projekt kiépítési felhő és adatfeldolgozó központok (DPC) információ biztonsága mindennél fontosabb, és a fejlesztés a biztonsági rendszer felépítését lépést tart az Advent a digitális világban az új fenyegetések. Ahhoz, hogy az tükrözze a mai kifinomult támadásokat hálózati rendszergazda igényel a különböző eszközöket, melyek közül az egyik - a szegmentáció a hálózat.
Tehát, ha a teljes szegmentáció fogalma még mindig fontos, a mai kor követelményeinek alkalmazások és informatikai biztonság diktálják, hogy szükség van egy finomabb módszerek, amelyek nagyobb biztonságot, miközben könnyebben használható.
Tekintettel a fentiekre, a Cisco kidolgozott mikroszegmentálás elv célja ami általánosságban lehet meghatározni az alábbiak szerint:
- programszerű meghatározása a lehető frakcionált szegmensek rugalmasság növelése (például, korlátozására vízszintes terjedésének veszélye vagy karanténba veszélybe végpont kiterjedt rendszert);
- szoftver automatizálási szegmens szabályozás és politika az egész alkalmazás-életciklus (a kezdéstől a leszerelés);
- végrehajtása, a nulla bizalom modell (Zero-Trust) heterogén feladatok javítása érdekében a biztonság és a skálázhatóság.
A Cisco ACI megőrizte a koncepció a hagyományos szegmensben, amely most hívott a híd domain (Bridge Domain, BD), míg az ilyen domének hozzá lehet még az IP-alhálózat. Ez lehetővé teszi, hogy szükség esetén megőrzi a meglévő működési modellek, amely lehetővé teszi, hogy hozzon létre domének egyetlen BD EPG csoport fogalmilag mutatja a hagyományos VLAN.
Az ACI építészet, ezt a modellt fejlesztettek tovább. Egy domain tartozhat több BD EPG csoportok által konfigurált szoftver (mint minden mást az építészet ACI) nyílt API alkalmazásprogramozási felületeket által biztosított vezérlő Cisco Application Policy Infrastruktúra Controller (APIC). Röviden összefoglalva, az EPG csoport architektúra ACI - BD domain mikro-szegmensek. A lényege a fenti az alábbiakban mutatjuk be.
Csoportok EPG terminális pontot mikro-szegmensek
Közötti kommunikáció az egyes EPG csoportok csak akkor engedélyezett szinten politikák, melyek segítségével meghatároztuk a szerződés modell, amely együttműködik a fehér és a fekete listákat. Az egyes csoportok EPG szerződések és részét képezik a hálózati alkalmazás profil (Application Network Profile, ANP), ami egy lágy szerkezet, amely meghatározza az alkalmazási követelményeknek.
EPG csoportok belül meghatározott ANP, invariáns tekintetében a hypervisor és működő fizikai és virtuális konfigurációk. Például, a meghatározás a megfelelő vCenter PortGroups, egy Hyper-V - jelentése VMnetworks stb Egy tisztán hardver szerverek (bare metal szerverek) EPG jelenik meg a fizikai portok, amelyek összekötik őket a gyárba.
Mikroszegmentálás talál egy másik felhasználása, amely túllép a fenti példák. Például tároló eszközök, mint például a gyártók NetApp és mtsai. Is csatlakozik a gyár, mint egy tisztán hardver csomópontok virtuális szerverek belül kiszűrte. Az ilyen hardver szükséges egységek mikro-szegmensek IP / DNS és a politika közötti kölcsönhatás ezen microsegment végre az építészet Cisco ACI.
Tegyük fel például, hogy az ANP profil jelezte annak szükségességét, hogy a forgalom átirányítása egy példányát az IDS rendszer. Egy olyan időszakban, amikor az IDS észleli, hogy a fogadó veszélybe került, lehetőség van arra, IP használatával vagy IM attribútum helyezni a végpont egy külön microsegment, amely lehetővé tette a hozzáférést csak a rendszer visszaállítani.
microsegment kezelése heterogén konfigurációk
Az ügyfelek dolgozik csak a vSphere, amely nem pusztán hardver alkalmazások, és nem tekinthetők a hosszú távú használata több hypervisor, hogy elég lesz mikroszegmentálás alapú VMware NSX.
Azok, akik hosszú távon igényel bonyolult konfiguráció több hypervisor és egységes alkalmazásának politika heterogén környezetben, több alkalmas Cisco ACI infrastruktúra. Élénken Cisco ACI manifesztálódik, így sokkal egyszerűbbé kezelése, ahol a mikro-szegmensek tartalmaznak hardverkomponensekről a VM különböző hypervisor és a Linux-alapú konténerek.
Cisco ACI kínál teljes invariáns a hypervisor modell, amely biztosítja egységes alkalmazását az egész növényben alkalmazott microsegments politikák lehet létrehozni alapján IP attribútumok, vagy teljesen minősített tartománynév VM.
- invariáns hypervisorok mikroszegmentálás Cisco ACI által elért lehetővé teszi a különböző hypervisorok megjelenítéséhez mikrosegmentnye ezek szerkezete EPG-csoport. Ugyanez az elv érvényes a konténerek és a hardver csomópontok.
- Befejezése után az osztályozás politika egységesen alkalmazzák az EPG mikrosegementnym csoportok, függetlenül az eredeti VM, BM típus, hardver, csomópont, stb Házirendje lehet felbecsülhetetlen értékű eszköz azonosítására és méretezési információt biztonsági struktúrák.
- Virtuális végpontok egy fogadó, a politika lehet végrehajtani közvetlenül a hypervisor szinten. Ezt úgy érjük el, nyitott protokoll OpFlex a közvetlen letöltés politika Microsoft Hyper-V, KVM Open vSwitch és vSphere Application Virtual Switch (AVS).
Elérhetőség mikroszegmentálás Cisco ACI
A Cisco cég
Cisco, a vezető ezen a téren az információs technológia segíti a vállalatokat kihasználhatja a jövőben, és saját példáján bizonyítja, hogy összekötő összefüggéstelen, akkor érheti el lenyűgöző eredményeket.
Cisco, a Cisco embléma a Cisco Systems és a Cisco Systems logó bejegyzett védjegyek a Cisco Systems, Inc. az USA-ban # 1040; és más országokban. Minden más védjegy szerepel ebben a dokumentumban az ingatlan saját tulajdonát képezi.
További információ:
További információt örömmel ad
# 1040; leksandr Palladin, a fejét a sajtószolgálat Cisco Oroszország / FÁK
tel. (985) 226-3950