SlideShare a Scribd company logo

Cистема сетевой аналитики для ЦОД Cisco Tetration Analytics

Cisco Russia , profile picture
Cisco Russia

Документ описывает системы сетевой аналитики и политику управления в центрах обработки данных на платформе Cisco Tetration Analytics. Основное внимание уделено вопросам цифровизации, автоматизации, безопасности и управлению приложениями в гибридных облаках. Документ также рассматривает методы картографирования зависимостей приложений и механизмы обеспечения соблюдения регуляторных требований.

Technology
Related topics:
Data Center Overview
1 of 63
Downloaded 13 times
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
Cisco Connect Москва, 2017 Цифровизация: здесь и сейчас
Система сетевой аналитики для ЦОД Cisco Tetration Analytics Алексей Бронников Ведущий менеджер по продвижению технологий ЦОД © 2017 Cisco and/or its affiliates. All rights reserved.
Подход Cisco к ЦОД – это работает Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 3 Сеть / L4-7 Серверы Безопасность 1 Модернизировать и сделать ЦОД проще в обслуживании ЦОД 3 Построить свое частное облако Частное облако Интегрированная инфраструктура ПубличноеЧастное4 … и использовать публичные облака, появляется гибридное облако Создать общую модель политик 6 Простота использования для бизнеса 7 Безопасно перемещать нагрузки 5 СХД Политики2 Я хочу чтобы была автоматизация и открытость Безопасность везде 9 Аналитика везде 10 Граница: Применять модель политик 8 Публичное
Настоящее значение имеют бизнес и операционная прозрачность Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 4 Анализ приложений (сеть ЦОД) • Картографирование зависимостей (Безопасность) • Картографирование зависимостей (Миграция) Наглядность • Поиск потоков • Обнаружение отклонений • Сравнение задержек – сетевой и приложения Управление политиками • Моделирование и оценка влияния • Соответствие регуляторным требованиям и требованиям аудиторов Обеспечение политик безопасности • Аудит • Обеспечение безопасности • Проверка политик ~ ‘что если’ • Обнаружение угроз / DDOS / … Повышенная наглядность Прозрачные данные Политики/ Обнаружение/ Обеспечение/ Управление
Приложения также становятся немного сложнее…. Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 5
Почему обычный подход уже не достаточен? Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 6 СравнитьСобрать Проанализировать • Недостаток масштабируемости подхода к сбору телеметрии • Неоднородные телеметрические данные • Слепые пятна в сети • Недостаточная масштабируемость ЦОД для анализа телеметрии • Поддерживается только в сценариях с изоляцией • Нет возможности для длительного хранения данных • Требует серьезной разработки с нуля или доработки под себя • Сложно и дорого • Громоздко в поддержке Высокая фрагментированность – Нет широкой применимости
Cisco Tetration Analytics сценарии применения Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 7 Анализ приложений и выявление зависимостей Расследование происшествий: каждый пакет, каждый поток, на любой скорости Соответствие регуляторным требованиям и требованиям аудиторов Моделирование политик и оценка их влияния Автоматическое создание политик «белого списка» Новое Сегментация приложений (Автоматическое применение политик) Новое Отслеживание ресурсов в реальном времени
Обзор архитектуры Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 8 Сбор данных Программный сенсор и агент применения политик Встроенный сетевой сенсор (только телеметрия) Сторонние источники (информация о конфигурациях) Аналитический движок Cisco Tetration Analytics Cluster Открытый доступ Web GUI REST API Event Notification Tetration Apps  Самодостаточный кластер  Разворачивание в одно касание  Легкая интеграция посредством открытых интерфейсов  Открытое озеро данных (через Tetration Apps)  Не нужно знание Hadoop / Data Science  Не нужно внешнее хранилище данных
Источники данных Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 9  Низкие накладные расходы на CPU (применяется SLA)  Низкие сетевые накладные расходы (применяется SLA)  New! Место где применяются политики (программные агенты)  Высочайшая безопасность (код подписан и имеет проверку на подлинность)  Каждый поток (без сэмплирования), БЕЗ ПОЛЬЗОВАТЕЛЬСКИХ ДАННЫХ *Note: No per-packet Telemetry, Not an enforcement point Программные сенсоры Universal* (Basic Sensor for other OS) Linux VM Windows Server VM Bare Metal (Linux and Windows Server) Nexus 9200-X Nexus 9300-EX Сетевые сенсоры Коммутаторы серии N9K нового поколения Сторонние источники данных Тэггирование ресурсов Балансировщики нагрузки Системы управление IP адресами CMDB …
Функционал сенсоров Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 10 • Не находится на пути передачи данных • Не оставляет следов (не может быть обнаружен) • Не снижает производительность • Не вносит задержки • Полная информация о потоке • Без сэмплирования • Все пакеты • Собирает информацию основываясь на извлеченных из заголовка данных (не заглядывает внутрь и не собирает пользовательские данные)
Управление сенсорами и безопасность • Управляются централизованно • Обновление и конфигурация осуществляются Tetration Cluster • Безопасность • Взаимная проверка сертификатов подлинности • Кластер помещает сертификат в инсталлятор сенсора • Сенсор может передавать данные только конкретному кластеру Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 11
Программный сенсор Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 12 • Произведение искусства • Располагается в User Space • Не нагружает CPU (< 3%) • Спроектирован разработчиками ядра • Безопасен • Код подписан • Применяется внутренний SLA с интеллектуальным QoS • Защита CPU NIC Driver Network Stack Application libpcap Tetration Sensor
Какие ОС поддерживаются? Программные сенсоры LINUX • RedHat (5.1+, 6.x, 7.x) • CentOS (5.1+, 6.x, 7.x) • Ubuntu (12.04, 14.04, 14.10) • Suse Linux (11.2+, 12+) • Oracle Linux (6.5) WINDOWS • Windows 2008 (x64) • Windows 2008 R2 • Windows 2012 • Windows 2012 R2 Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 14
(НОВОЕ) Универсальные программные сенсоры Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 15 • Поддерживают любую устаревшую операционную систему … • AIX • Solaris • Windows Server 2003 • Процессы и соединения отслеживаются с меньшей точностью • Обеспечивает точное сопоставление зависимостей приложений и создание политик • Не поддерживает попакетную телеметрию и не может применять политики
Сегментация приложений с помощью Tetration Рекомендации по созданию политик Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 16 Cisco Tetration Analytics™ Рабочие пространства приложений Политика сегментации приложений Публичное облако Частное облако
Где могут располагаться сенсоры Tetration Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 17 HYPERVISORHYPERVISOR HYPERVISOR Программные сенсоры Процессы и сокеты События с пакетами и потоками Аппаратные сенсоры События с пакетами и потоками Состояние буфера памяти и коммутатора
Заглядывая глубже чем просто связь Процессы и сокеты приложения Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 18 Provider/Service ProcessConsumer Process Socket = 443Socket > 1023 Chrome NGINX • Разработчики приложений реализуют бизнес логику в коде, который выполняется как процессы и потоки • TCP/IP, который формирует основу Интернета, был разработан, чтобы позволить этим прикладным процессам взаимодействовать через сокеты • Логику приложения можно рассматривать на одном уровне как взаимодействие между группой процессов и связанными с ними сокетами • Понимание взаимодействия между процессами и отображение этого непосредственно на инфраструктуру, обеспечивает прямое соответствие между приложением и инфраструктурой Прочие решения определяют приложение только по протоколу и порту
Данные с сенсора Информация о процессе Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 19 • Программный сенсор собирает информацию о процессах потребителя (consumer) и поставщика (provider) • /proc • Системная информация (например, системная память, монтируемые устройства, аппаратная конфигурация и т.д.)
Границы применения и RBAC Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 20
Как определяются границы применения Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 21 Tetration определяет области действия, используя сетевые и пользовательские аннотации И это дает большую гибкость. Service MAC EPG Network Annotations Location Lifecycle IP + OS 32 choices…
Области действия имеют иерархию Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 22 Доступ ко всему Доступ к SJC Доступ к приложению Доступ только к HRMS RTP SJC Cisco DB App Oracle iExpense HRMS
Определение области действия Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 23 21 3
Модель ролевого доступа (RBAC) Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 24 User User User Roles Roles Scope Scope Scope Permitted Actions Permitted Actions Permitted Actions Permitted Actions Workloads Workloads Workloads Workloads R, Modify, ADM, Enforce, etc.
Ресурсы и фильтры Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 25
Контроль ресурсов в реальном времени Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 26 Сетевой канал Атрибуты сенсора Информация о пользователе Оркестраторы* (vCenter…) Программные ресурсы* Active Directory (API) Объединенная инвентарная информация о ресурсах в реальном времени и с трендами в историческом срезе Tetration * = СкороIdentity Services Engine ISE*
Как это происходит? Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 27 Сервер: X IP: 1.1.1.1 Ingestion Pipeline Телеметрические данные Репозитарий ресурсов IP 1.1.1.1 Метка управления жизненным циклом: “Prod” Сервер: X IP: 1.1.1.1 Lifecycle: Prod
Забудьте об IP адресах – фильтры инвентаризованных ресурсов Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 28 Определяйте группы в естественной форме
Инвентаризация и пользовательские метаданные Все потоки помечены пользовательскими метаданными • Можно делать поиск среди потоков по пользовательским метаданным • Политики могут быть определены в терминах пользовательских метаданных Зачем? 1. Формулировать запросы в виде «Покажи потоки резервного копирования между DB-RTP и DB-SJC?» 2. Задавать декларативные политики • «Запретить взаимодействие между Prod и Non Prod» • Что позволит Prod и Non Prod изменяться со временем 3. Контролировать кто и что может видеть • Сотрудники отдела Eng Apps не могут видеть серверы Finance App хотя они и используют один и тот же Tetration кластер Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 29
Определение политик безопасности и контроль их выполнения Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 31
Понимание приложений Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 32 PrimaryInfosec Dev Production Restricted Internet PrimaryHRMS - Prod • Рабочие области приложений могут содержать • Карты зависимостей приложения • Определения политик • Гибрид из обоих • Рабочие области приложений могут быть взаимосвязаны • Интерфейсы определяются администратором приложения • Контроль над тем как другие могут потреблять приложение • Интерфейсы могут быть настроены как «Требуется подтверждение» или просто «Уведомить»
Взаимодействие приложений Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 33 Oracle - Dev PrimaryOracle - Prod Интерфейсы Показать Oracle VIP Показать DNS VIP PrimaryDNS PrimaryHRMS - Prod
Цель – описать Намерение Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 34 • Блокировать непродуктивные приложения от взаимодействия с продуктивными • Позволить приложениям отдела кадров использовать базу данных содержащую всех сотрудников • Блокировать все HTTP соединения, которые не направлены на веб серверы • Разрешить и уведомить меня когда новое приложение запросит DNS сервер • Блокировать и уведомить меня когда новое приложение запросит доступ к серверу AD Я хочу…
Обеспечение применения политик на хосте Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 35 VLANs Списки доступа Любая сеть Подсеть Сервер EPGs ACI Контракты BDs Сервер Группы безопасности Любой гипервизор Группы портов Правила безопасности Сервер Правила безопасности Любое облако Группы безопасности Интерфейсы Сервер Доверенный модуль внутри сервера обеспечивает выполнение вашего намерения
Безопасность Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 36 Единый уровень безопасности на любой инфраструктуре Application Инфраструктура Отклонить Разрешить Процесс Сервер Намерение преобразуется в правила безопасности собственного МСЭ хоста
Мобильность Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 37 Правила безопасности Облако Группы безопасности ИнтерфейсыVLANs Списки доступа 7K 5K 2K Подсети Сервер Сервер Переработать VLAN в группы безопасности Нужно ли изменить адресацию серверов? Соответствуют ли списки доступа правилам безопасности? Должно ли ваше намерение следовать за сервером вне зависимости от того, где он находится?
Как это работает? Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 38 Tetration автоматически преобразует ваше намерение в правила «черного- белого списка» Намерение Правила ALLOW SOURCE 128.0.10.0/16 DEST 128.0.11.0/16 DENY SOURCE 10.0.0.0/8 DEST 128.0.0.0/8Блокировать непродуктивные приложения от взаимодействия с продуктивными Разрешить приложениям отдела кадров использовать базу данных сотрудников Блокировать все HTTP соединения, которые направлены не на веб серверы ALLOW SOURCE * DEST 128.0.100.0/16 PORT = 80 DENY SOURCE * DEST * PORT = 80
Порядок обработки правил Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 39 • Владельцы приложений должны иметь определенный уровень автономности, чтобы быстро вносить изменения в приложения • Отделы безопасности и управления сетью должны контролировать глобальные аспекты взаимодействия приложений и общих служб • Tetration выстраивает намерения в детерминированном порядке, приоритезируя намерения пользователей с большим влиянием над владельцами приложения Правила отдела безопасности Правила отдела управления сетью Правила владельцев приложений
Сегментация приложений на основе профиля и контекста Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 41 Публичное облако Физический сервер Виртуальный сервер Cisco ACITM Обычная сеть Мониторинг соответствия 1.Тегирование ресурсов в реальном времени 2. Политика сегментации приложения 3. Объединение политик (основанных на ролях и иерархии) • Сенсор Tetration • Определяемый самостоятельно Cisco Tetration Application Insights (ADM) Tag/Label-Based Add-on Policy (Ex. Mail Filters) Нет необходимости связывать политики с IP адресами и портами Tetration выполняет необходимую конвертацию Применение политик + • Сторонний источник
Практические примеры использования Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 42 • Высокая наглядность • Миграция ЦОД • Переход на услуги предоставляемые из облака • Слияния, поглощения и отчуждения • Безопасность • Микросегментация с контролем применения • Проверка соответствия • Изоляция устаревших приложений • Поиск • Проверка потоков Картографирование зависимостей приложений Автоматическое создание политик «белого списка» Проверка соответствия политиками и моделирование Расследование событий (пример: поиск потока и аномалии потока) Обеспечение соблюдения политик
Анализ приложений Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 44
Что дает анализ приложений? Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 45 Гипервизор VM VM VM VM VM VM Получить понимание связей различных компонент приложений Реализовать последовательную сегментацию Мигрировать между ЦОД на различной инфраструктуре Использовать для слияний и поглощений Перейти на сервисы предоставляемые из облака
Картографирование зависимостей приложений Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 46 • Рабочая область на основе границ применения • Взаимодействие между рабочими областями
Визуализация взаимодействия приложений Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 47 Визуализация взаимодействия кластеров приложений Детали политики
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 48
Обзор зависимостей - c точки зрения потоков Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 49 Анализируемое приложение Потоки к другим приложениям (внутри ЦОД) Потоки в пределах внутренней сети Потоки в / из Интернета
Обзор зависимостей С точки зрения группировки Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 50
Показать «все потоки в лаборатории» Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 51
Безопасность С точки зрения деталей потоков Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 52
Некорректная настройка сервера Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 53 Слушающие, но никогда не получающие трафик порты
Соблюдение и проверка политик Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 54 Все потоки сортируются по 4 видам • Permitted, двусторонние потоки, соответствующие политике безопасности • Misdropped, разрешенный трафик в котором мы отбросили пакет • Escaped, двусторонние потоки не соответствующие политике безопасности • Rejected, односторонние потоки не соответствующие политике безопасности
Как насчет не разрешенных потоков? Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 55
Производительность Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 56
Производительность и поиск проблем Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 57
Открытость платформы Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 58
Tetration Analytics: открытая платформа Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 59 Внешние приложения Kafka Broker Внешние потребители Внешние потребители Программный интерфейс Отправка сообщений Tetration Apps REST API • Поиск потоков с Tetration • Управление сенсорами Отправка уведомлений • Преднастроенные события • События задаваемые пользователем Tetration Apps • Доступ к озеру данных • Создание собственных приложений Платформа Cisco Tetration Analytics Kafka
Программируемость Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 60 • Tetration Apps • API • Уведомления Kafka (во вне)
API Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 61 • Доступ к данным платформы извне • Больше возможностей в следующих релизах
Приложения для Cisco Tetration Analytics Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 62 • Исследуйте данные, используя свой браузер, разрабатывайте свои модели • Основано на Jupyter Notebooks • Дает легкие возможности для разработки приложений
Приложения для Cisco Tetration Analytics Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 63 • Как вы определяете «интересные» события? • Cisco Tetration Analytics™ имеет список встроенных событий • Преднастроенных, не модифицируемых • Для любых отличающихся запросов, используйте пользовательские приложения • Уведомить обо всех пакетах идущих к DNS серверу не в моей сети • Уведомить о любых потоках размером больше X байт • Уведомить о любом пользователе скачивающем более X байт с защищенного файл сервера
Приложения и автоматизация политик Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 64 Разворачивается за несколько часов; автоматически предложенная политика на основе данных в реальном времени менее чем через неделю Возможность промоделировать результат применения политики на реальном историческом трафике до внедрения Традиционный TETRATION 1 2 3 4 Нанять консультанта Собрать логи, побеседовать с командами … Выявить зависимости приложения Проверить с каждой группой пользователей Стоимость $1M-$5M; несколько месяцев 70% сокращения расходов и времени (Cisco IT) 5 Статичная карта, запросы на изменения 6 Применить политику, убедиться, что приложения после этого работают
Платформа построенная для масштабируемости и гибкости Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 67 Масштабируемая и работающая в реальном времени Каждый пакет, каждый поток Сегментация приложений для тысяч приложений Хранение данных длительный период времени Избирательное применение политик Последовательное применение политик Обнаружение отклонение от политик в режиме близком к реальному времени Поддержка мобильности серверов Простота использования Развертывание в одно касание Само-мониторинг Самодиагностика Открытость Стандартный Web UI REST API (Pull) Event Pub/Sub (Push) Tetration Apps
Tetration Analytics: варианты развертывания Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 68 Cisco Tetration Analytics (Large Form Factor) • Подходит для внедрений с более чем 1000 серверов • Встроенная отказоустойчивость • Масштабируется до 10 000 серверов Включает в себя: • 36 серверов UCS C-220 • 3 коммутатора Nexus 9300 Cisco Tetration-M (Small Form Factor) • Подходит для внедрений с не более чем 1000 серверов Включает в себя: • 6 серверов UCS C-220 • 2 коммутатора Nexus 9300 Cisco Tetration Cloud • Платформа располагается в облаке Amazon AWS • Подходит для внедрений с менее чем 1000 серверов • Ресурсы используемые в облаке AWS принадлежат заказчику Варианты размещения на месте В публичном облаке
#CiscoConnectRu#CiscoConnectRu Спасибо за внимание! Оцените данную сессию в мобильном приложении конференции © 2017 Cisco and/or its affiliates. All rights reserved. Контакты: Тел.: +7 495 9611410 www.cisco.com www.facebook.com/CiscoRu www.vk.com/cisco www.instagram.com/ciscoru www.youtube.com/user/CiscoRussiaMedia

More Related Content

PDF
Гиперконвергентное решение Cisco HyperFlex
Cisco Russia
 
PDF
Инновации Cisco для коммутации в корпоративных сетях
Cisco Russia
 
PDF
Cisco Enterprise NFV
Cisco Russia
 
PDF
Cisco Nexus 7700 и Cisco Catalyst 6800. Особенности применения в корпоративно...
Cisco Russia
 
PDF
Маршрутизаторы Cisco - от чего зависит производительность или как получить ма...
Cisco Russia
 
PDF
Развитие семейства коммутаторов для ЦОД Cisco Nexus
Cisco Russia
 
PDF
Сетевой инженер 2.0. Что нужно знать о программируемости в корпоративной сети?
Cisco Russia
 
PDF
Technological aspects and prospective of optical networking
Cisco Russia
 
Гиперконвергентное решение Cisco HyperFlex
Cisco Russia
 
Инновации Cisco для коммутации в корпоративных сетях
Cisco Russia
 
Cisco Enterprise NFV
Cisco Russia
 
Cisco Nexus 7700 и Cisco Catalyst 6800. Особенности применения в корпоративно...
Cisco Russia
 
Маршрутизаторы Cisco - от чего зависит производительность или как получить ма...
Cisco Russia
 
Развитие семейства коммутаторов для ЦОД Cisco Nexus
Cisco Russia
 
Сетевой инженер 2.0. Что нужно знать о программируемости в корпоративной сети?
Cisco Russia
 
Technological aspects and prospective of optical networking
Cisco Russia
 

What's hot (20)

PDF
DNA Security. Безопасность, встроенная в сетевую инфраструктуру
Cisco Russia
 
PDF
Инновации Cisco для маршрутизации в корпоративных сетях
Cisco Russia
 
PDF
Развитие Wi-Fi на публичных площадках. Опыт реализации Wi-Fi высокой плотности
Cisco Russia
 
PDF
Да! Цифровой трансформации - масштабируемая сетевая инфраструктура на базе те...
Cisco Russia
 
PDF
7 способов «провалиться» в качестве Wi-Fi эксперта
Cisco Russia
 
PDF
Обновление продуктовой линейки защиты от DDOS Arbor Networks
Cisco Russia
 
PDF
Новые возможности IOS-XR 6 контейнеры, программируемость и телеметрия
Cisco Russia
 
PDF
Методики и инструменты для самостоятельного решения проблем в сети
Cisco Russia
 
PDF
Программируемость коммутаторов для ЦОД Cisco Nexus
Cisco Russia
 
PDF
Инновационное SDN решение для ЦОД Cisco ACI Anywhere
Cisco Russia
 
PDF
Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...
Cisco Russia
 
PDF
Безопасность для цифровой экономики. Развитие продуктов и решений Cisco
Cisco Russia
 
PDF
ETegro: решения для ЦОД
Mirantis IT Russia
 
PDF
Подходы к мониторингу информационных систем
Cisco Russia
 
PDF
Виртуальные устройства и наложенные сети - новый подход к организации абонент...
Cisco Russia
 
PDF
Обзор новых продуктов и решений Cisco для для сетевой инфраструктуры ЦОД
Cisco Russia
 
PDF
AT Consulting: внедрение OpenStack в корпоративной среде
Mirantis IT Russia
 
PDF
Архитектура Cisco ACI и обеспечение безопасности в современном ЦОД
Cisco Russia
 
PDF
Готовые решения Cisco для построения «частного облака»
Cisco Russia
 
PDF
ASD Technologies: внедрение enterprise-grade облака для Softbank
Mirantis IT Russia
 
DNA Security. Безопасность, встроенная в сетевую инфраструктуру
Cisco Russia
 
Инновации Cisco для маршрутизации в корпоративных сетях
Cisco Russia
 
Развитие Wi-Fi на публичных площадках. Опыт реализации Wi-Fi высокой плотности
Cisco Russia
 
Да! Цифровой трансформации - масштабируемая сетевая инфраструктура на базе те...
Cisco Russia
 
7 способов «провалиться» в качестве Wi-Fi эксперта
Cisco Russia
 
Обновление продуктовой линейки защиты от DDOS Arbor Networks
Cisco Russia
 
Новые возможности IOS-XR 6 контейнеры, программируемость и телеметрия
Cisco Russia
 
Методики и инструменты для самостоятельного решения проблем в сети
Cisco Russia
 
Программируемость коммутаторов для ЦОД Cisco Nexus
Cisco Russia
 
Инновационное SDN решение для ЦОД Cisco ACI Anywhere
Cisco Russia
 
Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...
Cisco Russia
 
Безопасность для цифровой экономики. Развитие продуктов и решений Cisco
Cisco Russia
 
ETegro: решения для ЦОД
Mirantis IT Russia
 
Подходы к мониторингу информационных систем
Cisco Russia
 
Виртуальные устройства и наложенные сети - новый подход к организации абонент...
Cisco Russia
 
Обзор новых продуктов и решений Cisco для для сетевой инфраструктуры ЦОД
Cisco Russia
 
AT Consulting: внедрение OpenStack в корпоративной среде
Mirantis IT Russia
 
Архитектура Cisco ACI и обеспечение безопасности в современном ЦОД
Cisco Russia
 
Готовые решения Cisco для построения «частного облака»
Cisco Russia
 
ASD Technologies: внедрение enterprise-grade облака для Softbank
Mirantis IT Russia
 
Ad

Viewers also liked (8)

PPTX
British Medical Journal: Refine Your Metrics For Digital Success - AppD Summi...
AppDynamics
 
PPTX
Webinar - Building Custom Extensions With AppDynamics
Todd Radel
 
PDF
Cisco Tetration Analytics
Cisco do Brasil
 
PDF
TechWiseTV Workshop: Tetration Analytics
Robb Boyd
 
PPTX
AppDynamics VS New Relic – The Complete Guide
Takipi
 
PPTX
Forrester Research: How To Organise Your Business For Digital Success - AppD ...
AppDynamics
 
PDF
Business Transactions with AppDynamics
AppDynamics
 
PPTX
Cisco and AppDynamics: Redefining Application Intelligence - AppD Summit Europe
AppDynamics
 
British Medical Journal: Refine Your Metrics For Digital Success - AppD Summi...
AppDynamics
 
Webinar - Building Custom Extensions With AppDynamics
Todd Radel
 
Cisco Tetration Analytics
Cisco do Brasil
 
TechWiseTV Workshop: Tetration Analytics
Robb Boyd
 
AppDynamics VS New Relic – The Complete Guide
Takipi
 
Forrester Research: How To Organise Your Business For Digital Success - AppD ...
AppDynamics
 
Business Transactions with AppDynamics
AppDynamics
 
Cisco and AppDynamics: Redefining Application Intelligence - AppD Summit Europe
AppDynamics
 
Ad

Similar to Cистема сетевой аналитики для ЦОД Cisco Tetration Analytics (20)

PDF
Аналитика в ЦОД
Cisco Russia
 
PDF
Система сетевой аналитики для ЦОД Cisco Tetration Analytics
Cisco Russia
 
PDF
Cisco DNA Campus Fabric
Cisco Russia
 
PDF
Платформа Cisco Tetration Analytics. Краткий обзор.
Cisco Russia
 
PDF
Next Generation Campus Architecture
Cisco Russia
 
PDF
SDN в корпоративных сетях
Cisco Russia
 
PDF
Каталог решений Cisco для малого и среднего бизнеса
Cisco Russia
 
PDF
Новая эра управления и работы корпоративной сети с Cisco DNA
Cisco Russia
 
PDF
Архитектура безопасности современных центров обработки данных
Cisco Russia
 
PDF
Управление гибридным ландшафтом с помощью Cisco CloudCenter
Cisco Russia
 
PDF
Защита центров обработки данных. Механизмы безопасности для классической фабр...
Cisco Russia
 
PDF
ЦОД нового поколения: автоматизация, упрощение, аналитика и безопасность
Cisco Russia
 
PDF
Архитектура Cisco SD-Access для беспроводных корпоративных сетей
Cisco Russia
 
PDF
Тенденции в развитии сетей операторов связи
Cisco Russia
 
PDF
Cisco ACI - инфраструктура, ориентированная на приложения: решаемые задачи, п...
Cisco Russia
 
PDF
Инновации беспроводных решений Cisco на службе Вашего бизнеса
Cisco Russia
 
PDF
Облачные приложения и построение платформ для них на базе Openstack Дмитрий Х...
Cisco Russia
 
PDF
Стратегия развития услуг на глобальном облачном рынке. Взгляд Cisco.
Cisco Russia
 
PDF
Виртуализация в опорной сети мобильного оператора
Cisco Russia
 
PPTX
алексей лукацкий 1
Positive Hack Days
 
Аналитика в ЦОД
Cisco Russia
 
Система сетевой аналитики для ЦОД Cisco Tetration Analytics
Cisco Russia
 
Cisco DNA Campus Fabric
Cisco Russia
 
Платформа Cisco Tetration Analytics. Краткий обзор.
Cisco Russia
 
Next Generation Campus Architecture
Cisco Russia
 
SDN в корпоративных сетях
Cisco Russia
 
Каталог решений Cisco для малого и среднего бизнеса
Cisco Russia
 
Новая эра управления и работы корпоративной сети с Cisco DNA
Cisco Russia
 
Архитектура безопасности современных центров обработки данных
Cisco Russia
 
Управление гибридным ландшафтом с помощью Cisco CloudCenter
Cisco Russia
 
Защита центров обработки данных. Механизмы безопасности для классической фабр...
Cisco Russia
 
ЦОД нового поколения: автоматизация, упрощение, аналитика и безопасность
Cisco Russia
 
Архитектура Cisco SD-Access для беспроводных корпоративных сетей
Cisco Russia
 
Тенденции в развитии сетей операторов связи
Cisco Russia
 
Cisco ACI - инфраструктура, ориентированная на приложения: решаемые задачи, п...
Cisco Russia
 
Инновации беспроводных решений Cisco на службе Вашего бизнеса
Cisco Russia
 
Облачные приложения и построение платформ для них на базе Openstack Дмитрий Х...
Cisco Russia
 
Стратегия развития услуг на глобальном облачном рынке. Взгляд Cisco.
Cisco Russia
 
Виртуализация в опорной сети мобильного оператора
Cisco Russia
 
алексей лукацкий 1
Positive Hack Days
 

More from Cisco Russia (20)

PDF
Service portfolio 18
Cisco Russia
 
PDF
История одного взлома. Как решения Cisco могли бы предотвратить его?
Cisco Russia
 
PDF
Об оценке соответствия средств защиты информации
Cisco Russia
 
PDF
Обзор Сервисных Услуг Cisco в России и странах СНГ.
Cisco Russia
 
PDF
Клиентские контракты на техническую поддержку Cisco Smart Net Total Care
Cisco Russia
 
PDF
Cisco Catalyst 9000 series
Cisco Russia
 
PDF
Cisco Catalyst 9500
Cisco Russia
 
PDF
Cisco Catalyst 9400
Cisco Russia
 
PDF
Cisco Umbrella
Cisco Russia
 
PDF
Cisco Endpoint Security for MSSPs
Cisco Russia
 
PDF
Cisco FirePower
Cisco Russia
 
PDF
Профессиональные услуги Cisco для Software-Defined Access
Cisco Russia
 
PDF
Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...
Cisco Russia
 
PDF
Промышленный Интернет вещей: опыт и результаты применения в нефтегазовой отрасли
Cisco Russia
 
PDF
Полугодовой отчет Cisco по информационной безопасности за 2017 год
Cisco Russia
 
PDF
Годовой отчет Cisco по кибербезопасности за 2017 год
Cisco Russia
 
PDF
Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...
Cisco Russia
 
PDF
Новое поколение серверов Сisco UCS. Гиперконвергентное решении Cisco HyperFle...
Cisco Russia
 
PDF
Новая эра корпоративных сетей с Cisco Catalyst 9000 и другие инновации для ма...
Cisco Russia
 
PDF
Как развернуть кампусную сеть Cisco за 10 минут? Новые технологии для автомат...
Cisco Russia
 
Service portfolio 18
Cisco Russia
 
История одного взлома. Как решения Cisco могли бы предотвратить его?
Cisco Russia
 
Об оценке соответствия средств защиты информации
Cisco Russia
 
Обзор Сервисных Услуг Cisco в России и странах СНГ.
Cisco Russia
 
Клиентские контракты на техническую поддержку Cisco Smart Net Total Care
Cisco Russia
 
Cisco Catalyst 9000 series
Cisco Russia
 
Cisco Catalyst 9500
Cisco Russia
 
Cisco Catalyst 9400
Cisco Russia
 
Cisco Umbrella
Cisco Russia
 
Cisco Endpoint Security for MSSPs
Cisco Russia
 
Cisco FirePower
Cisco Russia
 
Профессиональные услуги Cisco для Software-Defined Access
Cisco Russia
 
Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...
Cisco Russia
 
Промышленный Интернет вещей: опыт и результаты применения в нефтегазовой отрасли
Cisco Russia
 
Полугодовой отчет Cisco по информационной безопасности за 2017 год
Cisco Russia
 
Годовой отчет Cisco по кибербезопасности за 2017 год
Cisco Russia
 
Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...
Cisco Russia
 
Новое поколение серверов Сisco UCS. Гиперконвергентное решении Cisco HyperFle...
Cisco Russia
 
Новая эра корпоративных сетей с Cisco Catalyst 9000 и другие инновации для ма...
Cisco Russia
 
Как развернуть кампусную сеть Cisco за 10 минут? Новые технологии для автомат...
Cisco Russia
 

Cистема сетевой аналитики для ЦОД Cisco Tetration Analytics

  • 2. Система сетевой аналитики для ЦОД Cisco Tetration Analytics Алексей Бронников Ведущий менеджер по продвижению технологий ЦОД © 2017 Cisco and/or its affiliates. All rights reserved.
  • 3. Подход Cisco к ЦОД – это работает Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 3 Сеть / L4-7 Серверы Безопасность 1 Модернизировать и сделать ЦОД проще в обслуживании ЦОД 3 Построить свое частное облако Частное облако Интегрированная инфраструктура ПубличноеЧастное4 … и использовать публичные облака, появляется гибридное облако Создать общую модель политик 6 Простота использования для бизнеса 7 Безопасно перемещать нагрузки 5 СХД Политики2 Я хочу чтобы была автоматизация и открытость Безопасность везде 9 Аналитика везде 10 Граница: Применять модель политик 8 Публичное
  • 4. Настоящее значение имеют бизнес и операционная прозрачность Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 4 Анализ приложений (сеть ЦОД) • Картографирование зависимостей (Безопасность) • Картографирование зависимостей (Миграция) Наглядность • Поиск потоков • Обнаружение отклонений • Сравнение задержек – сетевой и приложения Управление политиками • Моделирование и оценка влияния • Соответствие регуляторным требованиям и требованиям аудиторов Обеспечение политик безопасности • Аудит • Обеспечение безопасности • Проверка политик ~ ‘что если’ • Обнаружение угроз / DDOS / … Повышенная наглядность Прозрачные данные Политики/ Обнаружение/ Обеспечение/ Управление
  • 5. Приложения также становятся немного сложнее…. Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 5
  • 6. Почему обычный подход уже не достаточен? Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 6 СравнитьСобрать Проанализировать • Недостаток масштабируемости подхода к сбору телеметрии • Неоднородные телеметрические данные • Слепые пятна в сети • Недостаточная масштабируемость ЦОД для анализа телеметрии • Поддерживается только в сценариях с изоляцией • Нет возможности для длительного хранения данных • Требует серьезной разработки с нуля или доработки под себя • Сложно и дорого • Громоздко в поддержке Высокая фрагментированность – Нет широкой применимости
  • 7. Cisco Tetration Analytics сценарии применения Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 7 Анализ приложений и выявление зависимостей Расследование происшествий: каждый пакет, каждый поток, на любой скорости Соответствие регуляторным требованиям и требованиям аудиторов Моделирование политик и оценка их влияния Автоматическое создание политик «белого списка» Новое Сегментация приложений (Автоматическое применение политик) Новое Отслеживание ресурсов в реальном времени
  • 8. Обзор архитектуры Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 8 Сбор данных Программный сенсор и агент применения политик Встроенный сетевой сенсор (только телеметрия) Сторонние источники (информация о конфигурациях) Аналитический движок Cisco Tetration Analytics Cluster Открытый доступ Web GUI REST API Event Notification Tetration Apps  Самодостаточный кластер  Разворачивание в одно касание  Легкая интеграция посредством открытых интерфейсов  Открытое озеро данных (через Tetration Apps)  Не нужно знание Hadoop / Data Science  Не нужно внешнее хранилище данных
  • 9. Источники данных Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 9  Низкие накладные расходы на CPU (применяется SLA)  Низкие сетевые накладные расходы (применяется SLA)  New! Место где применяются политики (программные агенты)  Высочайшая безопасность (код подписан и имеет проверку на подлинность)  Каждый поток (без сэмплирования), БЕЗ ПОЛЬЗОВАТЕЛЬСКИХ ДАННЫХ *Note: No per-packet Telemetry, Not an enforcement point Программные сенсоры Universal* (Basic Sensor for other OS) Linux VM Windows Server VM Bare Metal (Linux and Windows Server) Nexus 9200-X Nexus 9300-EX Сетевые сенсоры Коммутаторы серии N9K нового поколения Сторонние источники данных Тэггирование ресурсов Балансировщики нагрузки Системы управление IP адресами CMDB …
  • 10. Функционал сенсоров Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 10 • Не находится на пути передачи данных • Не оставляет следов (не может быть обнаружен) • Не снижает производительность • Не вносит задержки • Полная информация о потоке • Без сэмплирования • Все пакеты • Собирает информацию основываясь на извлеченных из заголовка данных (не заглядывает внутрь и не собирает пользовательские данные)
  • 11. Управление сенсорами и безопасность • Управляются централизованно • Обновление и конфигурация осуществляются Tetration Cluster • Безопасность • Взаимная проверка сертификатов подлинности • Кластер помещает сертификат в инсталлятор сенсора • Сенсор может передавать данные только конкретному кластеру Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 11
  • 12. Программный сенсор Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 12 • Произведение искусства • Располагается в User Space • Не нагружает CPU (< 3%) • Спроектирован разработчиками ядра • Безопасен • Код подписан • Применяется внутренний SLA с интеллектуальным QoS • Защита CPU NIC Driver Network Stack Application libpcap Tetration Sensor
  • 13. Какие ОС поддерживаются? Программные сенсоры LINUX • RedHat (5.1+, 6.x, 7.x) • CentOS (5.1+, 6.x, 7.x) • Ubuntu (12.04, 14.04, 14.10) • Suse Linux (11.2+, 12+) • Oracle Linux (6.5) WINDOWS • Windows 2008 (x64) • Windows 2008 R2 • Windows 2012 • Windows 2012 R2 Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 14
  • 14. (НОВОЕ) Универсальные программные сенсоры Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 15 • Поддерживают любую устаревшую операционную систему … • AIX • Solaris • Windows Server 2003 • Процессы и соединения отслеживаются с меньшей точностью • Обеспечивает точное сопоставление зависимостей приложений и создание политик • Не поддерживает попакетную телеметрию и не может применять политики
  • 15. Сегментация приложений с помощью Tetration Рекомендации по созданию политик Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 16 Cisco Tetration Analytics™ Рабочие пространства приложений Политика сегментации приложений Публичное облако Частное облако
  • 16. Где могут располагаться сенсоры Tetration Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 17 HYPERVISORHYPERVISOR HYPERVISOR Программные сенсоры Процессы и сокеты События с пакетами и потоками Аппаратные сенсоры События с пакетами и потоками Состояние буфера памяти и коммутатора
  • 17. Заглядывая глубже чем просто связь Процессы и сокеты приложения Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 18 Provider/Service ProcessConsumer Process Socket = 443Socket > 1023 Chrome NGINX • Разработчики приложений реализуют бизнес логику в коде, который выполняется как процессы и потоки • TCP/IP, который формирует основу Интернета, был разработан, чтобы позволить этим прикладным процессам взаимодействовать через сокеты • Логику приложения можно рассматривать на одном уровне как взаимодействие между группой процессов и связанными с ними сокетами • Понимание взаимодействия между процессами и отображение этого непосредственно на инфраструктуру, обеспечивает прямое соответствие между приложением и инфраструктурой Прочие решения определяют приложение только по протоколу и порту
  • 18. Данные с сенсора Информация о процессе Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 19 • Программный сенсор собирает информацию о процессах потребителя (consumer) и поставщика (provider) • /proc • Системная информация (например, системная память, монтируемые устройства, аппаратная конфигурация и т.д.)
  • 19. Границы применения и RBAC Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 20
  • 20. Как определяются границы применения Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 21 Tetration определяет области действия, используя сетевые и пользовательские аннотации И это дает большую гибкость. Service MAC EPG Network Annotations Location Lifecycle IP + OS 32 choices…
  • 21. Области действия имеют иерархию Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 22 Доступ ко всему Доступ к SJC Доступ к приложению Доступ только к HRMS RTP SJC Cisco DB App Oracle iExpense HRMS
  • 22. Определение области действия Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 23 21 3
  • 23. Модель ролевого доступа (RBAC) Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 24 User User User Roles Roles Scope Scope Scope Permitted Actions Permitted Actions Permitted Actions Permitted Actions Workloads Workloads Workloads Workloads R, Modify, ADM, Enforce, etc.
  • 24. Ресурсы и фильтры Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 25
  • 25. Контроль ресурсов в реальном времени Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 26 Сетевой канал Атрибуты сенсора Информация о пользователе Оркестраторы* (vCenter…) Программные ресурсы* Active Directory (API) Объединенная инвентарная информация о ресурсах в реальном времени и с трендами в историческом срезе Tetration * = СкороIdentity Services Engine ISE*
  • 26. Как это происходит? Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 27 Сервер: X IP: 1.1.1.1 Ingestion Pipeline Телеметрические данные Репозитарий ресурсов IP 1.1.1.1 Метка управления жизненным циклом: “Prod” Сервер: X IP: 1.1.1.1 Lifecycle: Prod
  • 27. Забудьте об IP адресах – фильтры инвентаризованных ресурсов Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 28 Определяйте группы в естественной форме
  • 28. Инвентаризация и пользовательские метаданные Все потоки помечены пользовательскими метаданными • Можно делать поиск среди потоков по пользовательским метаданным • Политики могут быть определены в терминах пользовательских метаданных Зачем? 1. Формулировать запросы в виде «Покажи потоки резервного копирования между DB-RTP и DB-SJC?» 2. Задавать декларативные политики • «Запретить взаимодействие между Prod и Non Prod» • Что позволит Prod и Non Prod изменяться со временем 3. Контролировать кто и что может видеть • Сотрудники отдела Eng Apps не могут видеть серверы Finance App хотя они и используют один и тот же Tetration кластер Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 29
  • 29. Определение политик безопасности и контроль их выполнения Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 31
  • 30. Понимание приложений Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 32 PrimaryInfosec Dev Production Restricted Internet PrimaryHRMS - Prod • Рабочие области приложений могут содержать • Карты зависимостей приложения • Определения политик • Гибрид из обоих • Рабочие области приложений могут быть взаимосвязаны • Интерфейсы определяются администратором приложения • Контроль над тем как другие могут потреблять приложение • Интерфейсы могут быть настроены как «Требуется подтверждение» или просто «Уведомить»
  • 31. Взаимодействие приложений Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 33 Oracle - Dev PrimaryOracle - Prod Интерфейсы Показать Oracle VIP Показать DNS VIP PrimaryDNS PrimaryHRMS - Prod
  • 32. Цель – описать Намерение Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 34 • Блокировать непродуктивные приложения от взаимодействия с продуктивными • Позволить приложениям отдела кадров использовать базу данных содержащую всех сотрудников • Блокировать все HTTP соединения, которые не направлены на веб серверы • Разрешить и уведомить меня когда новое приложение запросит DNS сервер • Блокировать и уведомить меня когда новое приложение запросит доступ к серверу AD Я хочу…
  • 33. Обеспечение применения политик на хосте Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 35 VLANs Списки доступа Любая сеть Подсеть Сервер EPGs ACI Контракты BDs Сервер Группы безопасности Любой гипервизор Группы портов Правила безопасности Сервер Правила безопасности Любое облако Группы безопасности Интерфейсы Сервер Доверенный модуль внутри сервера обеспечивает выполнение вашего намерения
  • 34. Безопасность Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 36 Единый уровень безопасности на любой инфраструктуре Application Инфраструктура Отклонить Разрешить Процесс Сервер Намерение преобразуется в правила безопасности собственного МСЭ хоста
  • 35. Мобильность Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 37 Правила безопасности Облако Группы безопасности ИнтерфейсыVLANs Списки доступа 7K 5K 2K Подсети Сервер Сервер Переработать VLAN в группы безопасности Нужно ли изменить адресацию серверов? Соответствуют ли списки доступа правилам безопасности? Должно ли ваше намерение следовать за сервером вне зависимости от того, где он находится?
  • 36. Как это работает? Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 38 Tetration автоматически преобразует ваше намерение в правила «черного- белого списка» Намерение Правила ALLOW SOURCE 128.0.10.0/16 DEST 128.0.11.0/16 DENY SOURCE 10.0.0.0/8 DEST 128.0.0.0/8Блокировать непродуктивные приложения от взаимодействия с продуктивными Разрешить приложениям отдела кадров использовать базу данных сотрудников Блокировать все HTTP соединения, которые направлены не на веб серверы ALLOW SOURCE * DEST 128.0.100.0/16 PORT = 80 DENY SOURCE * DEST * PORT = 80
  • 37. Порядок обработки правил Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 39 • Владельцы приложений должны иметь определенный уровень автономности, чтобы быстро вносить изменения в приложения • Отделы безопасности и управления сетью должны контролировать глобальные аспекты взаимодействия приложений и общих служб • Tetration выстраивает намерения в детерминированном порядке, приоритезируя намерения пользователей с большим влиянием над владельцами приложения Правила отдела безопасности Правила отдела управления сетью Правила владельцев приложений
  • 38. Сегментация приложений на основе профиля и контекста Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 41 Публичное облако Физический сервер Виртуальный сервер Cisco ACITM Обычная сеть Мониторинг соответствия 1.Тегирование ресурсов в реальном времени 2. Политика сегментации приложения 3. Объединение политик (основанных на ролях и иерархии) • Сенсор Tetration • Определяемый самостоятельно Cisco Tetration Application Insights (ADM) Tag/Label-Based Add-on Policy (Ex. Mail Filters) Нет необходимости связывать политики с IP адресами и портами Tetration выполняет необходимую конвертацию Применение политик + • Сторонний источник
  • 39. Практические примеры использования Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 42 • Высокая наглядность • Миграция ЦОД • Переход на услуги предоставляемые из облака • Слияния, поглощения и отчуждения • Безопасность • Микросегментация с контролем применения • Проверка соответствия • Изоляция устаревших приложений • Поиск • Проверка потоков Картографирование зависимостей приложений Автоматическое создание политик «белого списка» Проверка соответствия политиками и моделирование Расследование событий (пример: поиск потока и аномалии потока) Обеспечение соблюдения политик
  • 40. Анализ приложений Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 44
  • 41. Что дает анализ приложений? Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 45 Гипервизор VM VM VM VM VM VM Получить понимание связей различных компонент приложений Реализовать последовательную сегментацию Мигрировать между ЦОД на различной инфраструктуре Использовать для слияний и поглощений Перейти на сервисы предоставляемые из облака
  • 42. Картографирование зависимостей приложений Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 46 • Рабочая область на основе границ применения • Взаимодействие между рабочими областями
  • 43. Визуализация взаимодействия приложений Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 47 Визуализация взаимодействия кластеров приложений Детали политики
  • 44. Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 48
  • 45. Обзор зависимостей - c точки зрения потоков Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 49 Анализируемое приложение Потоки к другим приложениям (внутри ЦОД) Потоки в пределах внутренней сети Потоки в / из Интернета
  • 46. Обзор зависимостей С точки зрения группировки Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 50
  • 47. Показать «все потоки в лаборатории» Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 51
  • 48. Безопасность С точки зрения деталей потоков Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 52
  • 49. Некорректная настройка сервера Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 53 Слушающие, но никогда не получающие трафик порты
  • 50. Соблюдение и проверка политик Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 54 Все потоки сортируются по 4 видам • Permitted, двусторонние потоки, соответствующие политике безопасности • Misdropped, разрешенный трафик в котором мы отбросили пакет • Escaped, двусторонние потоки не соответствующие политике безопасности • Rejected, односторонние потоки не соответствующие политике безопасности
  • 51. Как насчет не разрешенных потоков? Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 55
  • 52. Производительность Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 56
  • 53. Производительность и поиск проблем Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 57
  • 54. Открытость платформы Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 58
  • 55. Tetration Analytics: открытая платформа Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 59 Внешние приложения Kafka Broker Внешние потребители Внешние потребители Программный интерфейс Отправка сообщений Tetration Apps REST API • Поиск потоков с Tetration • Управление сенсорами Отправка уведомлений • Преднастроенные события • События задаваемые пользователем Tetration Apps • Доступ к озеру данных • Создание собственных приложений Платформа Cisco Tetration Analytics Kafka
  • 56. Программируемость Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 60 • Tetration Apps • API • Уведомления Kafka (во вне)
  • 57. API Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 61 • Доступ к данным платформы извне • Больше возможностей в следующих релизах
  • 58. Приложения для Cisco Tetration Analytics Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 62 • Исследуйте данные, используя свой браузер, разрабатывайте свои модели • Основано на Jupyter Notebooks • Дает легкие возможности для разработки приложений
  • 59. Приложения для Cisco Tetration Analytics Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 63 • Как вы определяете «интересные» события? • Cisco Tetration Analytics™ имеет список встроенных событий • Преднастроенных, не модифицируемых • Для любых отличающихся запросов, используйте пользовательские приложения • Уведомить обо всех пакетах идущих к DNS серверу не в моей сети • Уведомить о любых потоках размером больше X байт • Уведомить о любом пользователе скачивающем более X байт с защищенного файл сервера
  • 60. Приложения и автоматизация политик Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 64 Разворачивается за несколько часов; автоматически предложенная политика на основе данных в реальном времени менее чем через неделю Возможность промоделировать результат применения политики на реальном историческом трафике до внедрения Традиционный TETRATION 1 2 3 4 Нанять консультанта Собрать логи, побеседовать с командами … Выявить зависимости приложения Проверить с каждой группой пользователей Стоимость $1M-$5M; несколько месяцев 70% сокращения расходов и времени (Cisco IT) 5 Статичная карта, запросы на изменения 6 Применить политику, убедиться, что приложения после этого работают
  • 61. Платформа построенная для масштабируемости и гибкости Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 67 Масштабируемая и работающая в реальном времени Каждый пакет, каждый поток Сегментация приложений для тысяч приложений Хранение данных длительный период времени Избирательное применение политик Последовательное применение политик Обнаружение отклонение от политик в режиме близком к реальному времени Поддержка мобильности серверов Простота использования Развертывание в одно касание Само-мониторинг Самодиагностика Открытость Стандартный Web UI REST API (Pull) Event Pub/Sub (Push) Tetration Apps
  • 62. Tetration Analytics: варианты развертывания Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 68 Cisco Tetration Analytics (Large Form Factor) • Подходит для внедрений с более чем 1000 серверов • Встроенная отказоустойчивость • Масштабируется до 10 000 серверов Включает в себя: • 36 серверов UCS C-220 • 3 коммутатора Nexus 9300 Cisco Tetration-M (Small Form Factor) • Подходит для внедрений с не более чем 1000 серверов Включает в себя: • 6 серверов UCS C-220 • 2 коммутатора Nexus 9300 Cisco Tetration Cloud • Платформа располагается в облаке Amazon AWS • Подходит для внедрений с менее чем 1000 серверов • Ресурсы используемые в облаке AWS принадлежат заказчику Варианты размещения на месте В публичном облаке
  • 63. #CiscoConnectRu#CiscoConnectRu Спасибо за внимание! Оцените данную сессию в мобильном приложении конференции © 2017 Cisco and/or its affiliates. All rights reserved. Контакты: Тел.: +7 495 9611410 www.cisco.com www.facebook.com/CiscoRu www.vk.com/cisco www.instagram.com/ciscoru www.youtube.com/user/CiscoRussiaMedia