Новое поколение коммутаторов Catalyst 9к на данный момент состоит из серии Catalyst 93xx, 94xx, 95xx и представляет собой линейку устройств, разработанных с учетом новых реалий цифровой эпохи и обеспечивающих новый уровень безопасности, программируемости и производительности, реализованный на основе инноваций Cisco Systems в области аппаратного и программного обеспечения.
Так, например, если сравнивать наиболее распространённый сейчас коммутатор фиксированного ядра Cisco Catalyst 4500Х и 9500 (рекомендуемая замена для 4500Х), то линейка 9500 обладает в 3 раза большей производительностью и пропускной способностью, в 5 раз большей буферизацией и скоростью CPU, в 4 раза большим объёмом памяти, флеш и скорости работы портов, в 2.4 раза большей плотностью портов 10G. Но и это ещё не всё, поддерживается UADP 2.0, Perpetual/fast PoE, SD-Access, x86 CPU и контейнеры (containers), ETA, AES256/MACSEC256, StackWise Virtual, IEEE1588 и AVB, NBAR2,Model-driven programmability, Patching/GIR, Streaming telemetry:
Функционал SD-Access и ETA хотелось бы отметить отдельно. SD-Access, он же Software-Defined Access (программно определяемый доступ) представляет собой технологию автоматизации применения политик и сегментации сети, используется для существенного упрощения доступа к сети со стороны пользователей, устройств и других объектов. Благодаря Cisco DNA Center и SD-Access (программно-определяемому доступу) платформа коммутации Catalyst 9к способна работать как часть единой интеллектуальной сетевой фабрики, что значительно ускоряет выполнение задач проектирования сети, выделение ресурсов и обслуживание. Больше нет необходимости копировать, модифицировать и вставлять настройки для каждого коммутатора по отдельности. Автоматизация и контроль за соблюдением политик через единый интерфейс Cisco DNA Center позволяют создать настройки всего один раз и применить их ко всей сети.
ETA (Encrypted Traffic Analytics, анализ зашифрованного трафика).
Эта технология является дальнейшим развитием идеологии Cisco «Сеть как Сенсор», когда интегрируясь с ISE (Identity Services Engine) и Stealthwatch сеть способна не только обнаружить угрозу, но и автоматически её изолировать:
Только данное решение Cisco позволяет выявлять угрозы в зашифрованном трафике с точностью 99% при уровне ложных срабатываний менее 0,01%:
- 6 лет сбора статистики + машинное обучение + аналитика
- 180 патентов
- Множество методов и техник
- Точность 99%
- Ложных срабатываний 0,01%
Большинство кибератак сегодня маскируются в зашифрованном трафике, и численность их постоянно растет. Благодаря использованию Cisco Talos и машинному обучению, появилась возможность определять сигнатуры известных атак даже в зашифрованном трафике:
Пример обнаружения инцидента с помощью ETA в зашифрованном трафике показан на рисунке ниже:
Поведенческая аналитика зашифрованного трафика на основе паттернов позволяет обеспечить безопасность без ущерба для конфиденциальности, быстро обнаружить аномалию в трафике, а также избежать довольно ресурсоёмкую нагрузку на оборудование, связанную с процессом дешифрования. К тому же – во многих случаях это может быть практически невозможно.
Комплексная безопасность сокращает возможность атаки на сеть, и фактически защищает сеть ещё на этапе возникновения атаки, применяя активную аналитику для обнаружения вредоносного ПО и угроз во время атаки, а также обеспечивая быстрое автоматическое реагирование на угрозу и предотвращение ее распространения после атаки.
Cisco Catalyst 9k как платформа сетевых данных и обеспечение исполнения (Network Data Platform and Assurance).
Коммутаторы Cisco Catalyst 9k нового поколения выступают как мощная аналитическая платформа оперативно выполняющая классификацию и корреляцию больших объемов передаваемых по сети данных и с помощью машинного обучения трансформирующая их в проактивную аналитику, бизнес-информацию и оперативную информацию, выдавая результаты с помощью сервиса DNA Center Assurance.
Cisco FirePowerВключая в себя Next Generation Firewall, Next Generation IPS, URL-фильтрации, Advanced Malware Protection и VPN, FirePower позволяет раскрывать угрозы усиливать политики безопасности, обнаруживать, блокировать, защищать сеть от атак, устранять пробелы в безопасности и предотвращать будущие атаки, предоставляя комплексную защиту до, во время, и после атаки.
- Автоматической подстройки сигнатурного набора
Порой для качественного отслеживания инцидентов и адекватной реакции на них человеческих ресурсов бывает недостаточно. Собирая следующую информацию у FirePower появляется возможность автоматически подстраивать наборы сигнатур для отдельных элементов сети:
- Актуальный список хостов/систем;
- перечень операционных систем с версиями и патчами на конечных устройствах;
- версиями и наличием клиентского ПО;
- список пользователей, находящихся за хостами;
- перечень возможных уязвимостей;
- наличие обмена данными между хостами в пассивном режиме.
- Next-Generation Firewall (NGFW)
Межсетевой экран нового поколения, использует сигнатуры определения типов приложений и теперь способен производить фильтрацию вплоть до 7-го уровня, позволяя контролировать не только приложения, но и их функции.
При формировании политики фильтрации и политики обнаружения вторжений мы можем указать множество условий:
- Зоны, и/или сети и/или VLAN между которыми будет производиться фильтрация;
- интересующие нас пользователи AD, трафик которых хотим фильтровать;
- приложения, доступ к которым хотим ограничить/разрешить;
- порты tcp/udp, обращения с/на которые будем фильтровать;
- URL, разбитые по категориям и репутации.
Каждая запись ACL может быть усилена политиками предотвращения вторжений, политиками файловой фильтрации и защиты от Malware и/или политиками логирования.
- Функция защиты Advanced Malware Protection
Эта технология включает защиту от Malware на уровне сети. Файлы, проходящие через устройство FirePower, подвергаются анализу с использованием облачных решений. Процедура выглядит следующим образом: инспектируемого файла снимается хэш SHA-256 и производится запрос в базу данных для выяснения диспозиции этого файла (является ли этот файл чистым). Если диспозицию файла выяснить не удается. То файл посылается в песочницу, для анализа его поведения. Дополнением к этому присутствует ретроспективный анализ, при котором запоминаются все пути распространения файлов и их атрибуты. В случае, если файл оказался-таки зловредом, система с легкостью его может отследить и заблокировать на уровне сети и показать все дополнительные компоненты, Malware программы и обращения к процессам, которые дали возможность заразить и дали начало распространения угрозы.
- Функция Compliance Whitelist
Функция позволяет указать перечень хостов, с определенными операционными системами, наборами патчей, клиентскими приложениями, мы разрешаем видеть в сети. Если хост не соответствует критериям, система уведомит администратора и использует методы корреляции.
- Функция профилей трафика
Функция отслеживания параметров соединений, устанавливаемых хостами сети. Основываясь на статистических данных, система собирает параметры соединения и создает базовый профиль соединений для каждого хоста.
- Функция корреляции событий
Функция по отслеживанию, эскалации и реагированию на события предоставляет возможность по событию выставлять наборы условий с логическими их связками для генерации реактивного воздействия.
Система мониторинга и отчетности
Функция предоставляет статистическую информацию как по системе в целом, так и по каждой активности любого трафика. Например:
- активность пользователей, приложений (учитывая уровень рисков), операционных систем;
- оценка событий безопасности по уровню воздействия и уровню приоритета;
- статистика обнаружения активности зловредов и передачи зараженных файлов;
- местоположение хостов, реализующих враждебную активность и/или наиболее интенсивный информационный обмен;
- статистику наиболее часто посещаемых категорий сайтов, в том числе по репутации и самых посещаемых URL.
Каждое событие или инцидент детально изучается вплоть до содержимого пакета. Система так же содержит информацию о сработавшей сигнатуре и текста этой сигнатуры. По необходимости можно сформировать отчет как по заранее подготовленным, так и по персональным шаблонам. Шаблон может включать графики таблицы, а также содержимое пакетов.
- Система предотвращения вторжений (IPS) нового поколения
Система IPS следующего поколения устанавливает новый стандарт защиты от угроз благодаря интеграции функций учета контекста в реальном времени, интеллектуальной автоматизации и обеспечению непревзойденной производительности систем предотвращения вторжений. Возможности IPS:
- Учет контекста в реальном времени: возможность просмотра и сопоставления больших объемов данных событий, связанных с элементами ИТ – среды — приложениями, пользователями, устройствами, операционными системами, уязвимостями, службами, процессами, поведением сети, файлами и угрозами.
- Усовершенствованная защита от угроз: защита от современных угроз благодаря передовой технологии предотвращения угроз, эффективность которой подтверждена независимым тестированием и опытом использования тысячами заказчиков по всему миру.
- Интеллектуальная автоматизация: значительное сокращение совокупной стоимости владения и обеспечения соответствия меняющимся потребностям бизнеса благодаря автоматизации оценки влияния событий, настройки политик IPS, управления политиками, анализа поведения сети и идентификации пользователей.
- URL-фильтрация
Опция фильтрации URL-адресов, с помощью которой организации могут применить фильтрацию веб-адресов на основе категорий и репутации, чтобы внедрить политики допустимого использования и сократить риск вторжения или заражения.
- Система управления Defense Center
Полноценное управление всеми функциями FirePower осуществляется посредством Defense Center. Локально производится, только первоначальная конфигурация FirePower которая позволяет подключить устройство в сеть и настроить связь с центром управления.