Évtizedének legnagyobb innovációival állt elő a Cisco

Az elmúlt évek a vállalati informatikában kétség kívül a szoftveresen meghatározott technológiák előretöréséről szóltak. Ez alapvető paradigmaváltás, amelyhez a gyártók már többé-kevésbé alkalmazkodni tudtak, az SDN és SDx termékek piacra dobásával pedig reagáltak a (jellemzően) startupok által behozott új trendre. Az új irányt felismerve a Cisco is lépett egy nagyot: a cég a különféle hardveres megoldásokról fokozatosan helyezte át a fókuszt a lényegesen nagyobb fejlesztési potenciállal kecsegtető, így komolyabb differenciáltságot nyújtó szoftveres fejlesztésekre.

A cég által intuitívnak hívott megközelítés alapjaiban változtatja meg a hálózattervezést. Az intuitív hálózat egy intelligens és biztonságos platform, amely szándék alapú, és az
összefüggésekre épül. A szándék alapú, azaz intent-based hálózat lényege, hogy a hagyományos, manuális folyamatok helyett automatizálja a hálózati beállításokat. Az adatok összefüggéseinek értelmezésével pedig új információk nyerhetők. A hálózatain áthaladó adatok felhasználásával és a beépített gépi tanulás révén a Cisco mélyebb betekintést nyújt a hálózatokba, így a felhasználók az így kapott információkat is felhasználhatják.

A vállalat hosszútávú tervei szerint hardveres fejlesztéseit elsősorban már a nagyméretű adatközpontokban használt eszközökre fókuszálja, és ahogy sok más óriásnál, a fő célpontot itt is a felhős felhasználási területek jelentik, de a biztonsági megoldások is igen komoly hangsúlyt kapnak a cég fokozatosan megújuló portfóliójában. A vállalat az elmúlt pár évben felvásárlások terén sem fogta vissza magát, bő két éve hivatalban lévő vezérigazgatója, Chuck Robbins vezénylete alatt már közel húsz akvizíció történt.

Ugyancsak a nagy felvásárlási láz eredményeként került a vállalat kötelékébe a Viptela. Az SD-WAN (Software-Defined WAN) megoldásokat fejlesztő céget 610 millió dollárért vásárolta fel a Cisco. Ezzel elsősorban felhős orkesztrációt, cloud-first hálózat menedzsmentet, és overlay technológiákat érintő különböző fejlesztésekre tett szert, amelyekkel az SD-WAN hálózatok telepítése és menedzselése jelentősen egyszerűsödik. A Cisco szerint az akvizícióval nyert sokrétű kompetencia remekül illeszkedik az új, intuitív megközelítésbe, legyen szó hatékonyabb routingról vagy biztonsági megoldásokról. A cég azt is ígéri, hogy komoly mérnöki erőforrásokat fordít a Viptela technológiáján alapuló új generációs SD-WAN megoldások fejlesztésére.

Az intuitív hálózatok részeként jelentette be Catalyst 9000 névre hallgató, vadiúj hálózati eszközeit a Cisco. A kvázi nulláról újratervezett hardverek kulcsjellemzője a minden korábbinál mélyebb programozhatóság - a switch-ek immár nem csak a hálózat működésére vonatkozó szabályokat és konfigurációkat képesek végrehajtani, hanem komplex adatforrásként is tudnak viselkedni. Első körben ez három szériát, a 9300-as, mind a 9400-as és 9500-as sorozatú termékeket érinti, az új alapok ugyanis ötvözik az Intel x86-os processzorát és a Cisco Unified Access Data Plane 2.0 (UADP 2.0) chipek képességeit. Az eredő egy programozható feldolgozó futószalagot, microengine-támogatást és igazi alkalmazások futtatását ötvöző hardveres platform lett, amelyhez külső fejlesztők is tetszőleges szoftvereket írhatnak. Ebből eredően az eszközökön futó rendszer teljesen modulárissá vált, aminek például a frissítés-újraindítás ciklus esetében lehet örülni: az egyes funkciókat ellátó szoftverrészek egyenként is újraindíthatóak, így az eszköz működőképes marad, így a tervezett leállások számát is szépen vissza lehet nyesni.

Azonnali csomagvizsgálat - a nagy dobás

A gyökeresen új megközelítés több új képességgel kecsegtet. Egy ilyen a mesterséges intelligenciával megtámogatott analitikát alkalmazó Encrypted Traffic Analytics rendszer, amely képes kiszúrni a kártékony (pl. malware-ekre jellemző) forgalmat titkosított adatkapcsolaton. A Cisco természetesen nem vállalkozik a titkosítás törésére, azonban állítja, hogy épp elegendő metaadat áll rendelkezésre ahhoz, hogy a hálózaton kommunikáló kártevőt azonosítani tudja a rendszer és fertőzés gyanúja esetében riasztani tudja az üzemeltetőket. Mindez első hallásra talán kissé utópisztikus, érdemes tehát megnézni, mit is mond erről pontosan a Cisco.

Az ETA (Encrypted Traffic Analytics) rengeteg metaadatot vesz figyelembe, amelyeket a statisztikai elemzésnél jelzésként használ. Az egyik legfontosabb, hogy a még titkosítatlan TLS-kézfogást elemzi, a titkosított adatfolyamot pedig ennek fényében vizsgálja tovább. Az adatok között olyan elemek vannak, mint az SPLT (a csomagok hossza, ideje és szekvenciája), ami gyakorlatilag a forgalom mintázatát jelenti. Ilyen még a bájtok statisztikai eloszlása, az első payload-csomag (amely az IP fejlécet is tartalmazza), a TLS-csomagok hossza, ideje, típusai, a kézfogás típusa és a felkínált titkosítási algoritmusok, stb. Ezeket az adatokat és számos más információforrást (például Cisco Stealthwatch és a Talos Threat Intelligence adatai) kombinálja az ETA.

A statisztikai modellezés pontossága a Cisco szerint igen jó, mintegy 99 százalékban találja meg a malware-t, a fals pozitívak aránya pedig mindössze 0,01 százalék. Ezek a mutatók nagyon jónak számítanak, kérdés, hogy ezeket a számokat teljesen valós környezetben is tudja-e produkálni az ETA - a mutatókat ugyanis kísérleti környezetben (de valós adatokon) sikerült elérni. Az már csak hab a tortán, hogy az ETA mellékállásban a nagyvállalati adatforgalom titkosításának minőségét is auditálja, így ellenőrzi például hogy az előírásoknak megfelelő protokollokat használ-e a forgalom és azokat megfelelően implementálja-e. Ez segíthet ellenőrizni, hogy a hálózat tényleg az elérhető legjobb, legbiztonságosabb megoldásokat használja, illetve azt, hogy aminek titkosítottnak kell lennie, az ténylegesen titkosított is.

Eső előtt köpönyeg

Egy korábbi akvizíciónak köszönhető Umbrella szolgáltatáscsomag, amelynek alapjait a bő két éve felvásárolt OpenDNS-sel szerzett meg a Cisco. Ez egy felhő-alapú, SaaS (szoftver mint szolgáltatás) modellben működő, választható biztonsági szintekkel kiegészített névszerver-szolgáltatás, amely DNS-szinten biztosít az ügyfelek számára különböző funkciókat a malware, botnet és phishing szűréstől kezdve a hálózati forgalom valós idejű elemzésén át a prediktív védelemig. Az Umbrella tehát blokkolja a rosszindulatú domainekhez, URL-ekhez, IP-címekhez és fájlokhoz való hozzáférést, mielőtt még a kapcsolat létrejönne, vagy a potenciális károkozó fájl letöltődne.

Az Umbrella védelme nem igényel összetett működési környezetet. A teljesen felhő alapú rendszer miatt nincs szükség hardverek telepítésére vagy a szoftverek manuális frissítésére, az Anycast routing révén minden adatközpont ugyanazt az IP címet kapja meg. Ily módon a Cisco több mint tízezer vállalati ügyfelet szolgál ki, saját bevallása szerint 100 százalékos rendelkezésre állási mutató mellett, világszerte két tucat adatközpontból, amelyeken napi szinten a globális DNS-forgalom 2 százaléka fut át. Az Umbrella naponta több mint 100 milliárd internetes kérést kezel, és az élő adatokat összeveti mintegy 11 milliárd korábbi (anonim) eseménnyel, amelynek gyakorlati hatása egy rövid regisztrációt követően ingyenesen is kipróbálható.

Vadonatúj menedzsment-megoldás

Az új hálózati eszközökkel párhuzamosan vadonatúj menedzsment-megoldás is érkezett, ez a Digital Network Architecture Center, amely a kontrollerre csatlakozik és ahhoz kínál egy új frontendet. Az új vezérlőszoftver sajátossága az intuitív kezelhetőség, a Cisco szerint a fejlesztés során ez kapta a legnagyobb fókuszt, ez teszi lehetővé, hogy a korábbiakhoz képest sokkal gyorsabban, több automatizációval lehessen a hálózatot kezelni, a mindenkori változó körülményekhez (például új alkalmazáshoz vagy új telephelyhez) igazítani, optimalizálni.

A DNA Center előnye az új generációs vezérlőfelületekhez hasonló: gyorsítani a beállításokat és konfigurációkat, egyszerűbbé tenni a hálózattal kapcsolatos munkafolyamatokat. Ebben persze nagy hangsúlyt kap az automatizáció is, amely egyrészt segít a tömegesen elvégzendő feladatokat felgyorsítani, másrészt segít kiküszöbölni a repetitív munkából adódó emberi hibákat. Hangsúlyt kapnak a sablonok is, amelyek szintén az ismétlődő munkák gyorsítását szolgálják.

A DNA Centerrel a teljes nagyvállalati szabályrendszerhez (network policy) és kapcsolati rendszerhez hozzáférés kapható, egyáltalán nem butított felületről van szó. Viszont megkönnyíti az olyan feladatok végrehajtását, amelyek egyébként sok apró és komplex módosítással járnának, önmagukban viszont meglehetősen egyszerűek: a hálózati szegmensek határának módosításai, az egyes, hálózatra kapcsolódó eszközök besorolása (vagy annak módosítása) akár tömegesen is. A kiadott parancsokat a DNA Center küldi le a kontrollernek, amely pedig a részletes konfigurációs módosításokat adja át az egyes hálózati eszközöknek.

A DNA Centerhez egyébként nyílt API-k tartoznak, vagyis erre a rétegre más szereplők is építhetnek, ráhúzhatják saját megoldásaikat. Ez a gyakorlatban azt jelenti, hogy nagyon komplex hálózati konfigurációs beállítások is kivezethetőek külső felületekre (akár egy mobilalkalmazásba), a megfelelő API-t hívva ezek a funkciók akár gombnyomásra is kivezethetőek lesznek.

[A Cisco megbízásából készített anyag]