Cisco Prime Infrastructure входит в раздел Cisco Prime for IT, который в свою очередь входит в Cisco Prime suite.
Cisco Prime suite довольно обширен и кроме Cisco Prime for IT также включает в себя отдельное портфолио Cisco Prime for Service Providers и Cisco Prime for Cloud, а те в свою очередь – собственные подразделы и продукты. Так, например, только Cisco Prime for IT включает в себя следующие продукты:
- Cisco Prime Infrastructure
- Cisco Prime Service Catalog
- Cisco Prime Network Analysis Module (NAM)
- Cisco Prime IP Express
- Cisco Prime Collaboration
- Cisco Prime Data Center Network Manager
Cisco Prime Infrastructure (также очень часто используется аббревиатура «PI») является наиболее распространённым и часто используемым заказчиками Network Management решением от Cisco Systems и используется для управления IT инфраструктурой предприятия Enterprise сектора. Основными преимуществами использования Cisco Prime Infrastructure являются:
- продуманный интерфейс и интуитивная настройка
- визуализация различной информации (например, Device 360 View)
- возможность кастомезировать профиль интерфейса (дашборды)
- простота и удобство эксплуатации
- поддержка огромного парка устройств Cisco Systems
К сожалению, есть и недостатки, система изначально нацелена на оборудование Cisco Systems и не является мультивендорной. Поддержка оборудования третьих производителей возможна, но только при наличии соответствующего MIB, чем обеспечивается контроль доступности.
Cisco Prime Infrastructure обладает модульной структурой, и в зависимости от набора модулей может обладать той или иной функциональностью. В состав Cisco Prime Infrastructure входят следующие программные компоненты (модули):
Lifecycle –основной модуль, помогает администраторам в решении ежедневных задач:
- мониторинг инфраструктуры, также включает возможность мониторинга и диагностики проблем беспроводной инфраструктуры
- гибкая настройка фильтров инцидентов
- создание резервных копий (ПО сетевых устройств, конфигурации)
- управление образами ПО
- статистика по работе устройств (uptime, состояние, инциденты и т.д.)
- инвентаризация устройств
- настройка оборудования, в т.ч. использование шаблонов
- базовый аудит сети
На сегодня наиболее актуальной версией Cisco Prime Infrastructure является версия 3.х. Интерфейс управления формируется с помощью необходимых администратору дашбордов (Dashboard) и позволяет вывести сразу всю наиболее важную и необходимую для администратора информацию (доступность устройств, алармы и инциденты, загрузка и т.д.)
Assurance – опциональный модуль:
- Информационная панель состояния услуг предоставляет обзорную информацию по состоянию важных приложений;
- Поддерживаеттехнологий Cisco AVC 2.0, NetFlow, Flexible NetFlow, NBAR2, Performance Agent, Medianet
- Контроль и диагностика приложений
- Настройка и мониторинг QoS на интерфейсах
- Поддержка NAM: Анализ трафика, Метрики по отклику приложений, Анализатор протоколов
Plug and Play – опциональный модуль, отвечает за возможность автоматической настройки оборудования без использования консольного доступа (используется механизм Automated Deployment Gateway). Улучшения в Cisco Prime Infrastructure 3.x
Cisco Prime Infrastructure доступен как в виде аппаратного решения (appliance), так и виртуального (может быть развернут на виртуальной машине). Ниже приведены требования к ресурсам для вариантов Express, Express Plus, Standard и Pro (виртуальная машина) и для appliance (в таблице соотв. EXP, EXP-Plus, STD, PRO и Gen2)
И в заключение немного предыстории, до 2011 года существовал довольно широкоизвестный портфель решений под названием Cisco Works, было большое количество инсталляций и у многих заказчиков он по-прежнему находится «в строю» и работает несмотря на то, что уже давно объявлен End of Life и End of Support. Cisco Works был переработан и составил основу Cisco Prime. Периодически, для устаревших продуктов вендор Cisco Systems запускает так называемую программу «trade in», которая позволяет существенно сэкономить на апгрейде устаревшего ПО и оборудования. Мы очень рекомендуем заказчикам, у которых остался и работает Cisco Works связаться с отделом продаж нашей компании и обсудить возможность апгрейда, т.к. Cisco Works не только морально устарел, но и претерпел довольно сильных изменений с точки зрения удобства эксплуатации, нового функционала, а также поддержки нового оборудования, появившегося в Cisco Prime.
Cisco Web Security Appliance (Cisco WSA)Cisco Web Security Appliance (Cisco WSA) обеспечивает исключительную веб-безопасность для организаций любого размера в одном устройстве.
Кроме того, устройство улучшает веб-безопасность для мобильных пользователей, смартфонов и устройств с помощью Cisco AnyConnect Secure Mobility Client. Богатый набор инструментов управления и отчетности позволяют организациям успешно справляться с растущими проблемами защиты и контроля интернет-трафика независимо от того, работают ли сотрудники в офисе, в корпоративной локальной сети или за пределами офиса на ноутбуке, смартфоне или планшете.
Обеспечивая Web безопасность, WSA опирается на следующие программные компоненты (Acceptable Use Policy, Malware Defense и Data Security), которые отвечают за работоспособность значительного набора функций.
Talos это интеллектуальная платформа для анализа аномалий и выявления угроз нулевого дня обеспечивает защиту продуктов Cisco. Предоставляя, для WSA, информацию о глобальной активности угроз и аномалий трафика каждые три-пять минут, Talos обеспечивает передовую защиту корпоративной сети 24 часа в сутки 7 дней в неделю.
URL filtering
Фильтрация URL необходима для контроля доступа пользователей в Интернет. Данная функция может быть настроена в соответствии политикой безопасности компании и направлена на разрешение/блокировку доступа к категориям или определенным Web-сайтам как для группы, так и для одного пользователя.
Web Reputation
Cisco Web Reputation – это функция безопасности, которая основывается на информации полученной от Talos, разрешает или запрещает посещение web ресурсов основываясь на рейтинге URL-адресов. Фильтры Web Reputation используют статистически значимые данные, как длительность регистрации домена, размещение веб-сайта или использование веб-сервера с динамическими IP-адресами, используются для оценки надежности доменов в Интернете и оценки репутации URL-адресов.
Традиционная антивирусная защита от Sophos, Webroot и McAfee real-time malware scanning
Malware сканирование обеспечивает быстрое сканирование веб-контента, на наличие вредоносных программ, элементов фишинга, фарминга, руткитов и т. д. и устранение самого широкого спектра известных и возникающих сетевых угроз.
Application Visibility and Control (AVC) позволяет создавать политики для управления деятельностью приложений в сети. Используя AVC, могут быть обнаружены и контролироваться как приложения в целом так и их компоненты, информация о которых динамически загружается с помощью регулярного обновления сигнатур от Cisco Talos. Механизм AVC поддерживает такие типы приложений, как совместные (collaborative), социальные сети, приложения совместного использования файлов и обмена мгновенными сообщениями и многие другие. Используя механизм AVC, есть возможность заблокировать, ограничить пропускную способность или разрешить для использования приложения определенного типа или конкретного приложения.
Third-party DLP integration via ICAP
Защита от утечек информации с помощью данной технологии позволяет внедрить контроль содержимого Web-трафика, на наличие признаков разглашения конфиденциальной информации, коммерческой тайны и прочих видов внутренних защищаемых данных. Возможность создания широкого спектра отчетов по любой интересующей пользователя информации.
Active Directory Integration
Настраиваемые политики фильтрации могут быть применены к пользователям или группам пользователей с использованием службы каталогов на основе протокола LDAP, в том числе Microsoft Active Directory.
CISCO EMAIL SECURITY APPLIANCE (ESA)Cisco Email Security Appliance (ESA) – это программно–аппаратный комплекс, который позволяет обеспечить полноценный контроль электронной почты и защиту корпоративных пользователей от атак распространяемых при помощи электронных сообщений.
Стандартная схема подключения Cisco ESA в локальной сети выглядит следующим образом:
ESA выступает в роли шлюза безопасности электронной почты который предоставляет следующие функции:
- Проверка репутации отправителя – позволяет проверить в режиме реального времени репутацию отправителя при помощи SBRS (Sender Base Reputation Score). Письма потенциально вредоносных отправителей могут быть заблокированы или подвергнуты дополнительной проверке. При помощи этой функции отсеивается более 80% нежелательных писем. Проверяется только заголовок сообщения, что позволяет снизить нагрузку на канал доступа в Интернет.
- Антиспам – производит контекстный анализ сообщения, который оценивает содержимое, порядок построения, наличие и проверку веб-ссылок в сообщении (при помощи SBRS). По результатам проверки, письма спама отбрасываются либо доставляются пользователю с соответствующей пометкой.
- Outbreak фильтры – позволяют защитить от атак нулевого дня, благодаря тому, что у Cisco Talos есть возможность анализа более 25% мирового интернет трафика. Этот анализ позволяет проверять аномалии почтового трафика (например, массовая рассылка сообщений с подозрительным содержанием или вложениями) и автоматически создавать и рассылать на шлюзы ESA правила, перенаправляющие аномальные сообщения в карантин.
- Классическая антивирус защита – производит сигнатурное сканирование содержимого сообщений. Базы антивирусных сигнатур предоставляются партнерами Sophos и McAfee.
- Защита от вредоносных программ (AMP) – проводит постоянный статический или динамический анализ файлов, проходящих и прошедших через ESA. Позволяет отслеживать траекторию распространения вредоносных файлов в сети при интеграции с другими продуктами Cisco поддерживающими AMP (WSA, NG Firewall, AMP for Endpoints).
- Предотвращение утечки данных (DLP) – выполняется проверка содержимого исходящей почты на наличие конфиденциальной пользовательской (паспортные данные, номер кредитной карты и т.д.) и/или корпоративной информации (внутренние документы).
- Шифрование – позволяет осуществлять шифрованную передачу сообщений с помощью технологии SSL/TLS, между шлюзами безопасности электронной почты, что делает невозможным прочтение сообщения, даже если оно было перехвачено по пути к получателю.
Cisco Email Security Appliance представлен в виде аппаратного или виртуального решения. Лицензирование осуществляется по количеству пользователей, необходимому функционалу и продолжительностью подписки.
Типы лицензий:
- Cisco Email Security Inbound (ESI) – обеспечивает защиту входящих сообщений при помощи функций антивируса, антиспама и Outbreak фильтров.
- Cisco Email Security Outbound (ESO) – защита исходящей почты при помощи функционала предотвращения утечки данных и шифрования.
- Cisco Email Security Premium (ESP) – объединяет в себе лицензии ESI и ESO.
- Cisco Email Security AMP – предоставляет функционал AMP и является дополнением к лицензиям ESI, ESO или ESP.
Cisco Identity Service Engine (ISE) – представляет собой высокопроизводительное и гибкое решение для контроля доступа с учетом контекста, которое объединяет сервисы аутентификации, авторизации и учета (AAA), оценки состояния, профилирования и управления гостевым доступом в рамках единой платформы.
ISE имеет следующий функционал:
- Проведение аутентификации корпоративных пользователей и конечных устройств – предоставляет возможность определить каким корпоративным пользователям и/или устройствам разрешено получить доступ к сети.
- Обеспечение авторизации корпоративных пользователей и конечных устройств – определяет к каким сетевым ресурсам разрешен доступ пользователю и/или устройству, которые успешно прошли аутентификацию.
- Предоставление гостевого доступа – создание временного гостевого аккаунта для гостей, заказчиков, посетителей и определение доступных им корпоративных сетевых ресурсов.
- Использование корпоративными пользователями личных устройств – позволяет пользователю регистрировать личные устройства, с которых будет разрешен ограниченный доступ к ресурсам компании.
- Профилирование устройств – поддержка встроенных профилей устройств, а также их создание для более гибкой настройки политик доступа.
- Оценка состояния подключаемых устройств – позволяет проверять устройства, подключенные к сети на соответствие требованиям (например, к установленной ОС, антивирусу, обновлениям антивируса, антишпионского ПО и т.д.) и в случае несоответствия, уведомлять пользователя об этом и предлагать необходимые действия для выполнения этих требований.
- Предоставление ААА для сетевого оборудования – обеспечение единого места аутентификации, авторизации и учета доступа администраторов к сетевому оборудованию, без необходимости создания многих локальных учетных записей и правил доступа на этих устройствах.
- Обмен данными между платформами (pxGrid) – используется для обмена контекстной информацией между платформами Cisco и партнеров, для повышения скорости реакции на угрозы.
Cisco ISE может быть представлен в виде аппаратного (на базе Secure Network Server) или виртуального решения. Лицензирование осуществляется по количеству устройств и функционалу.
Типы лицензий:
- Base – постоянная лицензия которая разрешает функционал аутентификации и авторизации корпоративных пользователей и устройств, гостевого доступа и использования корпоративными пользователями личных устройств.
- Plus – является подпиской и дополнением к лицензии Base, добавляет функционал профилирования устройств и обмена данными между платформами (pxGrid).
- Appex – является подпиской и дополнением к лицензии Base, добавляет функционал оценки состояния подключаемых устройств.
- Device Administration – постоянная лицензия включает возможность предоставления ААА для сетевого оборудования для активации необходимо Base лицензия минимум на 100 устройств.