Обновление аппаратного обеспечения CSW-кластера на базе M6

Новинки в аппаратуре для платформы Cisco Secure Workload на локальных установках включают в себя серверы UCS и коммутаторы Nexus. Обновление этих устройств следует производить в соответствии с циклами EOL (End Of Life), чтобы обеспечить наилучшую производительность и безопасность системы. Аппаратная платформа M6 выделяется своими ключевыми преимуществами, предлагая улучшенную производительность, повышенную надежность и оптимизированное энергопотребление. Эти аспекты делают платформу M6 идеальным выбором для развертывания в критически важных приложениях, где требуется высокая доступность и эффективное управление ресурсами.

Cisco Secure Workload представляет собой решение компании Cisco для обеспечения безопасности, предлагающее микросегментацию и защиту приложений в средах мультиоблака, доступное как в виде SaaS, так и в локальных версиях. Обе версии имеют идентичные функции, и наблюдается тенденция к предпочтению SaaS-решений с использованием On-prem кластеров по причине специфических требований, предъявляемых к корпоративным сетям, особенно в секторах банковского дела и производства. Рассмотрим подробнее микросегментацию и ее значение для аппаратного кластера безопасности рабочих нагрузок.

Микросегментация является ключевой стратегией защиты для многих компаний, следующих принципу нулевого доверия. Эта методика обеспечивает защиту приложений и данных, предотвращая распространение атак внутри сети и сужая потенциальную область угрозы. Внедрение микросегментации основано на строгом контроле доступа: каждой рабочей нагрузке назначаются свои правила доступа, и любой неавторизованный трафик блокируется.

Вот ключевые аспекты этого процесса:

1. Принцип нулевого доверия: Основывается на идее, что внутренние сети не являются автоматически доверенными. Вместо этого доступ разрешается только проверенным и необходимым подсистемам, что помогает предотвратить несанкционированный доступ и ограничить потенциальный ущерб от атак.
2. Жизненный цикл политики: Управление политиками безопасности усложняется постоянным изменением требований к сетевым приложениям. Обновления, исправления безопасности и добавление новых функций требуют регулярной корректировки правил доступа, что без автоматизации может стать непосильной задачей.
3. Создание микро-периметров: Реализация микросегментации включает формирование изолированных зон безопасности вокруг каждой рабочей нагрузки. Это позволяет точно контролировать, какие ресурсы доступны каждому приложению, и блокировать весь ненужный трафик.
4. Автоматизация политик: Из-за постоянных изменений в требованиях к сетевым приложениям и рабочим нагрузкам, автоматическое определение и корректировка политик безопасности становятся необходимостью. Это обеспечивает адаптацию системы безопасности к новым угрозам и изменениям в инфраструктуре без прямого вмешательства администраторов.
5. Операционные расходы: Несмотря на то, что микросегментация значительно повышает уровень безопасности, она также влечет за собой увеличение операционных расходов из-за сложности управления и необходимости постоянного обновления политик безопасности.

Внедрение микросегментации требует значительных усилий и ресурсов, но предлагает комплексный подход к защите сетевой инфраструктуры, ограничивая возможности атакующих и минимизируя риски безопасности.

Безопасные рабочие нагрузки в кластере prem предлагаются в двух размерах: компактные (8U) и объемные (39U) модели. Основание выбора Cisco для решений на основе prem-оборудования обусловлено гарантией производительности и предсказуемостью. Часто встречается, что поставщики предлагают аппаратуру, работающую на виртуальных машинах, соответствующую необходимым требованиям, однако сложность использования виртуальных машин заключается в возможном снижении производительности из-за общего использования аппаратуры с другими приложениями. Дополнительно, диагностика проблем производительности становится запутанной, особенно когда дело касается приложений, работающих с большими объемами данных через AI / ML. Эти устройства оснащены предустановленными стойками с серверами и коммутаторами nexus 9k для обеспечения безопасности. Таким образом, можно с уверенностью оценить возможности и объем поддерживаемых рабочих нагрузок, а также другие аспекты производительности.
С обновлением до версии программного обеспечения 3.8 улучшена эффективность устройств, что позволяет поддерживать на 50-100% больше рабочих нагрузок на том же оборудовании. Это дает возможность текущим клиентам с устройствами M5 увеличить количество обслуживаемых рабочих нагрузок вдвое без дополнительных вложений в аппаратуру. Так, общая стоимость владения для действующих клиентов уменьшается благодаря улучшенной пропускной способности. Ниже представлены данные о новом и старом количестве поддерживаемых рабочих нагрузок.

Все современные устройства построены на базе Cisco UCS C-220 M5 серии Gen 2. В мае 2023 года было объявлено о прекращении продаж серверов M5, а 17 августа 2023 года был анонсирован EOS/EOL для кластера безопасной рабочей нагрузки M5. Хотя поддержка кластера M5 продолжится еще несколько лет, переход на M6 предлагает ряд преимуществ.

В Cisco Secure Workload (CSW) микросегментация и применение политик работают следующим образом:

1. Сбор сетевой телеметрии: CSW собирает данные о трафике со всех рабочих нагрузок, включая те, которые работают с агентами и без них. Это позволяет получать полную картину взаимодействия приложений в сети.
2. Анализ данных с помощью AI/ML: Используя собранные данные, алгоритмы искусственного интеллекта и машинного обучения анализируют, как приложения взаимодействуют друг с другом. Это помогает выявлять необходимые политики микросегментации для обеспечения безопасности данных и приложений.
3. Применение политик: Рассчитанные политики затем автоматически отправляются рабочим нагрузкам и применяются через встроенные функции брандмауэра операционной системы. Это обеспечивает защиту данных и приложений в соответствии с выявленными требованиями безопасности.
4. Вычислительные ресурсы: Для обработки большого объема данных и формирования политик требуются значительные вычислительные мощности. Инструменты AI/ML, в частности, требуют высокой производительности процессора для быстрой обработки информации.
5. Необходимость высокоскоростной сети: Поскольку приложения распределены по всему кластеру, для обмена данными между узлами требуется высокоскоростная сеть. Это обеспечивает своевременную и эффективную коммуникацию между компонентами системы.
6. Обновление оборудования: С релизом версии 3.8 вводится поддержка нового оборудования M6 Gen 3 для платформ размером 8U и 39U. Эти устройства оснащены последними серверами Cisco серии C Gen3 с передовыми процессорами Intel и обновленными коммутаторами N9k, что обеспечивает улучшенные вычислительные возможности благодаря большему количеству ядер на процессор. Это позволяет более эффективно обрабатывать анализ зависимостей приложений на основе AI/ML и повышает общую производительность кластера.

Таким образом, CSW обеспечивает высокоэффективную защиту данных и приложений через микросегментацию, используя передовые технологии и обновленное оборудование для улучшения производительности и безопасности.

Сложность обновления оборудования в ИТ-сфере признана значительной, поэтому процесс миграции с M4/M5 на M6 был упрощен благодаря детальному руководству, разработанному специалистами. В нем описаны все необходимые шаги миграции, включая проверки до и после переноса данных для их корректного копирования. С помощью инструмента DBR (резервное копирование и восстановление) обеспечивается полная передача всех настроек и потоков данных из исходной конфигурации кластера, что гарантирует их безупречное восстановление на новом кластере. Агенты имеют возможность автоматически переподключаться к новому кластеру, устраняя необходимость в их ручной переустановке.

В контексте улучшения безопасности особое внимание уделяется сокращению времени обнаружения и реагирования на угрозы (MTTD/MTTR). Переход на M6 способствует более быстрому выявлению угроз и применению мер реагирования, что ведет к уменьшению показателей MTTD/MTTR и повышению общей защищенности системы.