Cisco CATALYST 9000

Новое поколение коммутаторов Catalyst 9к на данный момент состоит из серии Catalyst 93xx, 94xx, 95xx и представляет собой линейку устройств, разработанных с учетом новых реалий цифровой эпохи и обеспечивающих новый уровень безопасности, программируемости и производительности, реализованный на основе инноваций Cisco Systems в области аппаратного и программного обеспечения.

Так, например, если сравнивать наиболее распространённый сейчас коммутатор фиксированного ядра Cisco Catalyst 4500Х и 9500 (рекомендуемая замена для 4500Х), то линейка 9500 обладает в 3 раза большей производительностью и пропускной способностью, в 5 раз большей буферизацией и скоростью CPU, в 4 раза большим объёмом памяти, флеш и скорости работы портов, в 2.4 раза большей плотностью портов 10G. Но и это ещё не всё, поддерживается UADP 2.0, Perpetual/fast PoE, SD-Access, x86 CPU и контейнеры (containers), ETA, AES256/MACSEC256, StackWise Virtual, IEEE1588 и AVB, NBAR2,Model-driven programmability, Patching/GIR, Streaming telemetry:

 

 

Функционал SD-Access и ETA хотелось бы отметить отдельно. SD-Access, он же Software-Defined Access (программно определяемый доступ) представляет собой технологию автоматизации применения политик и сегментации сети, используется для существенного упрощения доступа к сети со стороны пользователей, устройств и других объектов. Благодаря Cisco DNA Center и SD-Access (программно-определяемому доступу) платформа коммутации Catalyst 9к способна работать как часть единой интеллектуальной сетевой фабрики, что значительно ускоряет выполнение задач проектирования сети, выделение ресурсов и обслуживание. Больше нет необходимости копировать, модифицировать и вставлять настройки для каждого коммутатора по отдельности. Автоматизация и контроль за соблюдением политик через единый интерфейс Cisco DNA Center позволяют создать настройки всего один раз и применить их ко всей сети.

ETA (Encrypted Traffic Analytics, анализ зашифрованного трафика).

 

 

Эта технология является дальнейшим развитием идеологии Cisco «Сеть как Сенсор», когда интегрируясь с ISE (Identity Services Engine) и Stealthwatch сеть способна не только обнаружить угрозу, но и автоматически её изолировать:

 

 

 

Только данное решение Cisco позволяет выявлять угрозы в зашифрованном трафике с точностью 99% при уровне ложных срабатываний менее 0,01%:

  • 6 лет сбора статистики + машинное обучение + аналитика
  • 180 патентов
  • Множество методов и техник
  • Точность 99%
  • Ложных срабатываний 0,01%

 

Большинство кибератак сегодня маскируются в зашифрованном трафике, и численность их постоянно растет. Благодаря использованию Cisco Talos и машинному обучению, появилась возможность определять сигнатуры известных атак даже в зашифрованном трафике:

 

 

 

Пример обнаружения инцидента с помощью ETA в зашифрованном трафике показан на рисунке ниже:

 

 

 

Поведенческая аналитика зашифрованного трафика на основе паттернов позволяет обеспечить безопасность без ущерба для конфиденциальности, быстро обнаружить аномалию в трафике, а также избежать довольно ресурсоёмкую нагрузку на оборудование, связанную с процессом дешифрования. К тому же – во многих случаях это может быть практически невозможно.

 

 

 

Комплексная безопасность сокращает возможность атаки на сеть, и фактически защищает сеть ещё на этапе возникновения атаки, применяя активную аналитику для обнаружения вредоносного ПО и угроз во время атаки, а также обеспечивая быстрое автоматическое реагирование на угрозу и предотвращение ее распространения после атаки.

Cisco Catalyst 9k как платформа сетевых данных и обеспечение исполнения (Network Data Platform and Assurance).

 

 

 

Коммутаторы Cisco Catalyst 9k нового поколения выступают как мощная аналитическая платформа оперативно выполняющая классификацию и корреляцию больших объемов передаваемых по сети данных и с помощью машинного обучения трансформирующая их в проактивную аналитику, бизнес-информацию и оперативную информацию, выдавая результаты с помощью сервиса DNA Center Assurance.

Cisco FirePower

Включая в себя Next Generation Firewall, Next Generation IPS, URL-фильтрации, Advanced Malware Protection и VPN, FirePower позволяет раскрывать угрозы усиливать политики безопасности, обнаруживать, блокировать, защищать сеть от атак, устранять пробелы в безопасности и предотвращать будущие атаки, предоставляя комплексную защиту до, во время, и после атаки.

 

 

  1. Автоматической подстройки сигнатурного набора

Порой для качественного отслеживания инцидентов и адекватной реакции на них человеческих ресурсов бывает недостаточно. Собирая следующую информацию у FirePower появляется возможность автоматически подстраивать наборы сигнатур для отдельных элементов сети:

  • Актуальный список хостов/систем;
  • перечень операционных систем с версиями и патчами на конечных устройствах;
  • версиями и наличием клиентского ПО;
  • список пользователей, находящихся за хостами;
  • перечень возможных уязвимостей;
  • наличие обмена данными между хостами в пассивном режиме.
  1. Next-Generation Firewall (NGFW)

Межсетевой экран нового поколения, использует сигнатуры определения типов приложений и теперь способен производить фильтрацию вплоть до 7-го уровня, позволяя контролировать не только приложения, но и их функции.

При формировании политики фильтрации и политики обнаружения вторжений мы можем указать множество условий:

  • Зоны, и/или сети и/или VLAN между которыми будет производиться фильтрация;
  • интересующие нас пользователи AD, трафик которых хотим фильтровать;
  • приложения, доступ к которым хотим ограничить/разрешить;
  • порты tcp/udp, обращения с/на которые будем фильтровать;
  • URL, разбитые по категориям и репутации.

Каждая запись ACL может быть усилена политиками предотвращения вторжений, политиками файловой фильтрации и защиты от Malware и/или политиками логирования.

 

  1. Функция защиты Advanced Malware Protection

Эта технология включает защиту от Malware на уровне сети. Файлы, проходящие через устройство FirePower, подвергаются анализу с использованием облачных решений. Процедура выглядит следующим образом: инспектируемого файла снимается хэш SHA-256 и производится запрос в базу данных для выяснения диспозиции этого файла (является ли этот файл чистым). Если диспозицию файла выяснить не удается. То файл посылается в песочницу, для анализа его поведения. Дополнением к этому присутствует ретроспективный анализ, при котором запоминаются все пути распространения файлов и их атрибуты. В случае, если файл оказался-таки зловредом, система с легкостью его может отследить и заблокировать на уровне сети и показать все дополнительные компоненты, Malware программы и обращения к процессам, которые дали возможность заразить и дали начало распространения угрозы.

 

  1. Функция Compliance Whitelist

Функция позволяет указать перечень хостов, с определенными операционными системами, наборами патчей, клиентскими приложениями, мы разрешаем видеть в сети. Если хост не соответствует критериям, система уведомит администратора и использует методы корреляции.

  1. Функция профилей трафика

Функция отслеживания параметров соединений, устанавливаемых хостами сети. Основываясь на статистических данных, система собирает параметры соединения и создает базовый профиль соединений для каждого хоста.

  1. Функция корреляции событий

Функция по отслеживанию, эскалации и реагированию на события предоставляет возможность по событию выставлять наборы условий с логическими их связками для генерации реактивного воздействия.

Система мониторинга и отчетности

Функция предоставляет статистическую информацию как по системе в целом, так и по каждой активности любого трафика. Например:

  • активность пользователей, приложений (учитывая уровень рисков), операционных систем;
  • оценка событий безопасности по уровню воздействия и уровню приоритета;
  • статистика обнаружения активности зловредов и передачи зараженных файлов;
  • местоположение хостов, реализующих враждебную активность и/или наиболее интенсивный информационный обмен;
  • статистику наиболее часто посещаемых категорий сайтов, в том числе по репутации и самых посещаемых URL.

Каждое событие или инцидент детально изучается вплоть до содержимого пакета. Система так же содержит информацию о сработавшей сигнатуре и текста этой сигнатуры.  По необходимости можно сформировать отчет как по заранее подготовленным, так и по персональным шаблонам. Шаблон может включать графики таблицы, а также содержимое пакетов.

 

 

  1. Система предотвращения вторжений (IPS) нового поколения

Система IPS следующего поколения устанавливает новый стандарт защиты от угроз благодаря интеграции функций учета контекста в реальном времени, интеллектуальной автоматизации и обеспечению непревзойденной производительности систем предотвращения вторжений. Возможности IPS:

  • Учет контекста в реальном времени: возможность просмотра и сопоставления больших объемов данных событий, связанных с элементами ИТ – среды — приложениями, пользователями, устройствами, операционными системами, уязвимостями, службами, процессами, поведением сети, файлами и угрозами.
  • Усовершенствованная защита от угроз: защита от современных угроз благодаря передовой технологии предотвращения угроз, эффективность которой подтверждена независимым тестированием и опытом использования тысячами заказчиков по всему миру.
  • Интеллектуальная автоматизация: значительное сокращение совокупной стоимости владения и обеспечения соответствия меняющимся потребностям бизнеса благодаря автоматизации оценки влияния событий, настройки политик IPS, управления политиками, анализа поведения сети и идентификации пользователей.
  1. URL-фильтрация

Опция фильтрации URL-адресов, с помощью которой организации могут применить фильтрацию веб-адресов на основе категорий и репутации, чтобы внедрить политики допустимого использования и сократить риск вторжения или заражения.

  1. Система управления Defense Center

Полноценное управление всеми функциями FirePower осуществляется посредством Defense Center. Локально производится, только первоначальная конфигурация FirePower которая позволяет подключить устройство в сеть и настроить связь с центром управления.