Cisco Prime Infrastructure

Cisco Prime Infrastructure входит в раздел Cisco Prime for IT, который в свою очередь входит в Cisco Prime suite.

Cisco Prime suite довольно обширен и кроме Cisco Prime for IT также включает в себя отдельное портфолио Cisco Prime for Service Providers и Cisco Prime for Cloud, а те в свою очередь – собственные подразделы и продукты. Так, например, только Cisco Prime for IT включает в себя следующие продукты:

  • Cisco Prime Infrastructure
  • Cisco Prime Service Catalog
  • Cisco Prime Network Analysis Module (NAM)
  • Cisco Prime IP Express
  • Cisco Prime Collaboration
  • Cisco Prime Data Center Network Manager

 

Cisco Prime Infrastructure (также очень часто используется аббревиатура «PI») является наиболее распространённым и часто используемым заказчиками Network Management решением от Cisco Systems и используется для управления IT инфраструктурой предприятия Enterprise сектора. Основными преимуществами использования Cisco Prime Infrastructure являются:

  • продуманный интерфейс и интуитивная настройка
  • визуализация различной информации (например, Device 360 View)
  • возможность кастомезировать профиль интерфейса (дашборды)
  • простота и удобство эксплуатации
  • поддержка огромного парка устройств Cisco Systems

 

К сожалению, есть и недостатки, система изначально нацелена на оборудование Cisco Systems и не является мультивендорной. Поддержка оборудования третьих производителей возможна, но только при наличии соответствующего MIB, чем обеспечивается контроль доступности.

Cisco Prime Infrastructure обладает модульной структурой, и в зависимости от набора модулей может обладать той или иной функциональностью. В состав Cisco Prime Infrastructure входят следующие программные компоненты (модули):

 

Lifecycle –основной модуль, помогает администраторам в решении ежедневных задач:

  • мониторинг инфраструктуры, также включает возможность мониторинга и диагностики проблем беспроводной инфраструктуры
  • гибкая настройка фильтров инцидентов
  • создание резервных копий (ПО сетевых устройств, конфигурации)
  • управление образами ПО
  • статистика по работе устройств (uptime, состояние, инциденты и т.д.)
  • инвентаризация устройств
  • настройка оборудования, в т.ч. использование шаблонов
  • базовый аудит сети

 

На сегодня наиболее актуальной версией Cisco Prime Infrastructure является версия 3.х. Интерфейс управления формируется с помощью необходимых администратору дашбордов (Dashboard) и позволяет вывести сразу всю наиболее важную и необходимую для администратора информацию (доступность устройств, алармы и инциденты, загрузка и т.д.)

 

 

Assurance – опциональный модуль:

  • Информационная панель состояния услуг предоставляет обзорную информацию по состоянию важных приложений;
  • Поддерживаеттехнологий Cisco AVC 2.0, NetFlow, Flexible NetFlow, NBAR2, Performance Agent, Medianet
  • Контроль и диагностика приложений
  • Настройка и мониторинг QoS на интерфейсах
  • Поддержка NAM: Анализ трафика, Метрики по отклику приложений, Анализатор протоколов

 

 

Plug and Play – опциональный модуль, отвечает за возможность автоматической настройки оборудования без использования консольного доступа (используется механизм Automated Deployment Gateway). Улучшения в Cisco Prime Infrastructure 3.x

 

 

Cisco Prime Infrastructure доступен как в виде аппаратного решения (appliance), так и виртуального (может быть развернут на виртуальной машине). Ниже приведены требования к ресурсам для вариантов Express, Express Plus, Standard и Pro (виртуальная машина) и для appliance (в таблице соотв. EXP, EXP-Plus, STD, PRO и Gen2)

 

* ESXi 4.x больше не поддерживается.

 

И в заключение немного предыстории, до 2011 года существовал довольно широкоизвестный портфель решений под названием Cisco Works, было большое количество инсталляций и у многих заказчиков он по-прежнему находится «в строю» и работает несмотря на то, что уже давно объявлен End of Life и End of Support. Cisco Works был переработан и составил основу Cisco Prime. Периодически, для устаревших продуктов вендор Cisco Systems запускает так называемую программу «trade in», которая позволяет существенно сэкономить на апгрейде устаревшего ПО и оборудования. Мы очень рекомендуем заказчикам, у которых остался и работает Cisco Works связаться с отделом продаж нашей компании и обсудить возможность апгрейда, т.к. Cisco Works не только морально устарел, но и претерпел довольно сильных изменений с точки зрения удобства эксплуатации, нового функционала, а также поддержки нового оборудования, появившегося в Cisco Prime.

Cisco Web Security Appliance (Cisco WSA)

Cisco Web Security Appliance (Cisco WSA) обеспечивает исключительную веб-безопасность для организаций любого размера в одном устройстве.

Кроме того, устройство улучшает веб-безопасность для мобильных пользователей, смартфонов и устройств с помощью Cisco AnyConnect Secure Mobility Client. Богатый набор инструментов управления и отчетности позволяют организациям успешно справляться с растущими проблемами защиты и контроля интернет-трафика независимо от того, работают ли сотрудники в офисе, в корпоративной локальной сети или за пределами офиса на ноутбуке, смартфоне или планшете.

Обеспечивая Web безопасность, WSA опирается на следующие программные компоненты (Acceptable Use Policy, Malware Defense и Data Security), которые отвечают за работоспособность значительного набора функций.

 

 

Talos это интеллектуальная платформа для анализа аномалий и выявления угроз нулевого дня обеспечивает защиту продуктов Cisco. Предоставляя, для WSA, информацию о глобальной активности угроз и аномалий трафика каждые три-пять минут, Talos обеспечивает передовую защиту корпоративной сети 24 часа в сутки 7 дней в неделю.

 

Cisco Talos

 

 

URL filtering

Фильтрация URL необходима для контроля доступа пользователей в Интернет. Данная функция может быть настроена в соответствии политикой безопасности компании и направлена на разрешение/блокировку доступа к категориям или определенным Web-сайтам как для группы, так и для одного пользователя.
Web Reputation

Cisco Web Reputation – это функция безопасности, которая основывается на информации полученной от Talos, разрешает или запрещает посещение web ресурсов основываясь на рейтинге URL-адресов. Фильтры Web Reputation используют статистически значимые данные, как длительность регистрации домена, размещение веб-сайта или использование веб-сервера с динамическими IP-адресами, используются для оценки надежности доменов в Интернете и оценки репутации URL-адресов.

Традиционная антивирусная защита от Sophos, Webroot и McAfee real-time malware scanning
Malware сканирование обеспечивает быстрое сканирование веб-контента, на наличие вредоносных программ, элементов фишинга, фарминга, руткитов и т. д. и устранение самого широкого спектра известных и возникающих сетевых угроз.

 

Application Visibility and Control (AVC) позволяет создавать политики для управления деятельностью приложений в сети. Используя AVC, могут быть обнаружены и контролироваться как приложения в целом так и их компоненты, информация о которых динамически загружается с помощью регулярного обновления сигнатур от Cisco Talos. Механизм AVC поддерживает такие типы приложений, как совместные (collaborative), социальные сети, приложения совместного использования файлов и обмена мгновенными сообщениями и многие другие. Используя механизм AVC, есть возможность заблокировать, ограничить пропускную способность или разрешить для использования приложения определенного типа или конкретного приложения.

 

 

 

Third-party DLP integration via ICAP

Защита от утечек информации с помощью данной технологии позволяет внедрить контроль содержимого Web-трафика, на наличие признаков разглашения конфиденциальной информации, коммерческой тайны и прочих видов внутренних защищаемых данных. Возможность создания широкого спектра отчетов по любой интересующей пользователя информации.

 

Reporting

 

Active Directory Integration

Настраиваемые политики фильтрации могут быть применены к пользователям или группам пользователей с использованием службы каталогов на основе протокола LDAP, в том числе Microsoft Active Directory.

CISCO EMAIL SECURITY APPLIANCE (ESA)

Cisco Email Security Appliance (ESA) – это программно–аппаратный комплекс, который позволяет обеспечить полноценный контроль электронной почты и защиту корпоративных пользователей от атак распространяемых при помощи электронных сообщений.

 

Стандартная схема подключения Cisco ESA в локальной сети выглядит следующим образом:

 

ESA выступает в роли шлюза безопасности электронной почты который предоставляет следующие функции:

  • Проверка репутации отправителя – позволяет проверить в режиме реального времени репутацию отправителя при помощи SBRS (Sender Base Reputation Score). Письма потенциально вредоносных отправителей могут быть заблокированы или подвергнуты дополнительной проверке. При помощи этой функции отсеивается более 80% нежелательных писем. Проверяется только заголовок сообщения, что позволяет снизить нагрузку на канал доступа в Интернет.
  • Антиспам – производит контекстный анализ сообщения, который оценивает содержимое, порядок построения, наличие и проверку веб-ссылок в сообщении (при помощи SBRS). По результатам проверки, письма спама отбрасываются либо доставляются пользователю с соответствующей пометкой.
  • Outbreak фильтры – позволяют защитить от атак нулевого дня, благодаря тому, что у Cisco Talos есть возможность анализа более 25% мирового интернет трафика. Этот анализ позволяет проверять аномалии почтового трафика (например, массовая рассылка сообщений с подозрительным содержанием или вложениями) и автоматически создавать и рассылать на шлюзы ESA правила, перенаправляющие аномальные сообщения в карантин.
  • Классическая антивирус защита – производит сигнатурное сканирование содержимого сообщений. Базы антивирусных сигнатур предоставляются партнерами Sophos и McAfee.
  • Защита от вредоносных программ (AMP) – проводит постоянный статический или динамический анализ файлов, проходящих и прошедших через ESA. Позволяет отслеживать траекторию распространения вредоносных файлов в сети при интеграции с другими продуктами Cisco поддерживающими AMP (WSA, NG Firewall, AMP for Endpoints).
  • Предотвращение утечки данных (DLP) – выполняется проверка содержимого исходящей почты на наличие конфиденциальной пользовательской (паспортные данные, номер кредитной карты и т.д.) и/или корпоративной информации (внутренние документы).
  • Шифрование – позволяет осуществлять шифрованную передачу сообщений с помощью технологии SSL/TLS, между шлюзами безопасности электронной почты, что делает невозможным прочтение сообщения, даже если оно было перехвачено по пути к получателю.

 

Cisco Email Security Appliance представлен в виде аппаратного или виртуального решения. Лицензирование осуществляется по количеству пользователей, необходимому функционалу и продолжительностью подписки.

 

Типы лицензий:

  • Cisco Email Security Inbound (ESI) – обеспечивает защиту входящих сообщений при помощи функций антивируса, антиспама и Outbreak фильтров.
  • Cisco Email Security Outbound (ESO) – защита исходящей почты при помощи функционала предотвращения утечки данных и шифрования.
  • Cisco Email Security Premium (ESP) – объединяет в себе лицензии ESI и ESO.
  • Cisco Email Security AMP – предоставляет функционал AMP и является дополнением к лицензиям ESI, ESO или ESP.
Cisco Identity Service Engine (ISE)

Cisco Identity Service Engine (ISE) – представляет собой высокопроизводительное и гибкое решение для контроля доступа с учетом контекста, которое объединяет сервисы аутентификации, авторизации и учета (AAA), оценки состояния, профилирования и управления гостевым доступом в рамках единой платформы.

 

ISE имеет следующий функционал:

  • Проведение аутентификации корпоративных пользователей и конечных устройств – предоставляет возможность определить каким корпоративным пользователям и/или устройствам разрешено получить доступ к сети.
  • Обеспечение авторизации корпоративных пользователей и конечных устройств – определяет к каким сетевым ресурсам разрешен доступ пользователю и/или устройству, которые успешно прошли аутентификацию.
  • Предоставление гостевого доступа – создание временного гостевого аккаунта для гостей, заказчиков, посетителей и определение доступных им корпоративных сетевых ресурсов.
  • Использование корпоративными пользователями личных устройств – позволяет пользователю регистрировать личные устройства, с которых будет разрешен ограниченный доступ к ресурсам компании.
  • Профилирование устройств – поддержка встроенных профилей устройств, а также их создание для более гибкой настройки политик доступа.
  • Оценка состояния подключаемых устройств – позволяет проверять устройства, подключенные к сети на соответствие требованиям (например, к установленной ОС, антивирусу, обновлениям антивируса, антишпионского ПО и т.д.) и в случае несоответствия, уведомлять пользователя об этом и предлагать необходимые действия для выполнения этих требований.
  • Предоставление ААА для сетевого оборудования – обеспечение единого места аутентификации, авторизации и учета доступа администраторов к сетевому оборудованию, без необходимости создания многих локальных учетных записей и правил доступа на этих устройствах.
  • Обмен данными между платформами (pxGrid) – используется для обмена контекстной информацией между платформами Cisco и партнеров, для повышения скорости реакции на угрозы.

 

Cisco ISE может быть представлен в виде аппаратного (на базе Secure Network Server) или виртуального решения. Лицензирование осуществляется по количеству устройств и функционалу.

 

Типы лицензий:

  • Base – постоянная лицензия которая разрешает функционал аутентификации и авторизации корпоративных пользователей и устройств, гостевого доступа и использования корпоративными пользователями личных устройств.
  • Plus – является подпиской и дополнением к лицензии Base, добавляет функционал профилирования устройств и обмена данными между платформами (pxGrid).
  • Appex – является подпиской и дополнением к лицензии Base, добавляет функционал оценки состояния подключаемых устройств.
  • Device Administration – постоянная лицензия включает возможность предоставления ААА для сетевого оборудования для активации необходимо Base лицензия минимум на 100 устройств.