Successfully reported this slideshow.
Cisco
Connect
Москва, 2017
Цифровизация:
здесь и сейчас
Система сетевой
аналитики для ЦОД
Cisco Tetration
Analytics
Алексей Бронников
Ведущий менеджер по продвижению
технологий Ц...
Подход Cisco к ЦОД – это работает
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 3
Сеть / L4-...
Настоящее значение имеют бизнес и
операционная прозрачность
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rig...
Приложения также становятся немного
сложнее….
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 5
Почему обычный подход уже не достаточен?
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 6
Сра...
Cisco Tetration Analytics
сценарии применения
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. ...
Обзор архитектуры
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 8
Сбор данных
Программный се...
Источники данных
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 9
 Низкие накладные расходы ...
Функционал сенсоров
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 10
• Не находится на пути ...
Управление сенсорами и безопасность
• Управляются централизованно
• Обновление и конфигурация осуществляются Tetration Clu...
Программный сенсор
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 12
• Произведение искусства...
Какие ОС поддерживаются?
Программные сенсоры
LINUX
• RedHat (5.1+, 6.x, 7.x)
• CentOS (5.1+, 6.x, 7.x)
• Ubuntu (12.04, 14...
(НОВОЕ) Универсальные программные
сенсоры
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 15
•...
Сегментация приложений с помощью Tetration
Рекомендации по созданию политик
Cisco Connect 2017 © 2017 Cisco and/or its aff...
Где могут располагаться
сенсоры Tetration
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 17
H...
Заглядывая глубже чем просто связь
Процессы и сокеты приложения
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All...
Данные с сенсора
Информация о процессе
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 19
• Пр...
Границы применения и RBAC
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 20
Как определяются границы применения
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 21
Tetrati...
Области действия имеют иерархию
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 22
Доступ ко в...
Определение области действия
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 23
21
3
Модель ролевого доступа (RBAC)
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 24
User
User
Us...
Ресурсы и фильтры
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 25
Контроль ресурсов в реальном времени
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 26
Сетево...
Как это происходит?
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 27
Сервер: X
IP: 1.1.1.1
I...
Забудьте об IP адресах – фильтры
инвентаризованных ресурсов
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rig...
Инвентаризация и пользовательские
метаданные
Все потоки помечены пользовательскими метаданными
• Можно делать поиск среди ...
Определение политик безопасности и
контроль их выполнения
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All right...
Понимание приложений
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 32
PrimaryInfosec
Dev Pro...
Взаимодействие приложений
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 33
Oracle - Dev
Prim...
Цель – описать Намерение
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 34
• Блокировать непр...
Обеспечение применения политик на
хосте
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 35
VLA...
Безопасность
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 36
Единый уровень безопасности на...
Мобильность
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 37
Правила
безопасности
Облако
Гру...
Как это работает?
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 38
Tetration автоматически п...
Порядок обработки правил
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 39
• Владельцы прилож...
Сегментация приложений на основе
профиля и контекста
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights res...
Практические примеры использования
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 42
• Высока...
Анализ приложений
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 44
Что дает анализ приложений?
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 45
Гипервизор
VM V...
Картографирование
зависимостей приложений
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 46
•...
Визуализация взаимодействия
приложений
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 47
Визу...
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 48
Обзор зависимостей - c точки зрения потоков
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 49...
Обзор зависимостей
С точки зрения группировки
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. ...
Показать «все потоки в лаборатории»
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 51
Безопасность
С точки зрения деталей потоков
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 52
Некорректная настройка сервера
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 53
Слушающие, н...
Соблюдение и проверка политик
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 54
Все потоки со...
Как насчет не разрешенных потоков?
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 55
Производительность
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 56
Производительность и поиск проблем
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 57
Открытость платформы
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 58
Tetration Analytics: открытая платформа
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 59
Вне...
Программируемость
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 60
• Tetration Apps
• API
• ...
API
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 61
• Доступ к данным платформы извне
• Бол...
Приложения для Cisco Tetration Analytics
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 62
• ...
Приложения для Cisco Tetration Analytics
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 63
• ...
Приложения и автоматизация политик
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 64
Разворач...
Платформа построенная для
масштабируемости и гибкости
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights re...
Tetration Analytics: варианты
развертывания
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 68...
#CiscoConnectRu#CiscoConnectRu
Спасибо за внимание!
Оцените данную сессию в мобильном приложении
конференции
© 2017 Cisco ...
Próximos SlideShares
Carregando em…5
×

Cистема сетевой аналитики для ЦОД Cisco Tetration Analytics

43 visualizações

Publicada em

Алексей Бронников
Ведущий менеджер по продвижению технологий ЦОД

Publicada em: Tecnologia
  • Seja o primeiro a comentar

  • Seja a primeira pessoa a gostar disto

Cистема сетевой аналитики для ЦОД Cisco Tetration Analytics

  1. 1. Cisco Connect Москва, 2017 Цифровизация: здесь и сейчас
  2. 2. Система сетевой аналитики для ЦОД Cisco Tetration Analytics Алексей Бронников Ведущий менеджер по продвижению технологий ЦОД © 2017 Cisco and/or its affiliates. All rights reserved.
  3. 3. Подход Cisco к ЦОД – это работает Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 3 Сеть / L4-7 Серверы Безопасность 1 Модернизировать и сделать ЦОД проще в обслуживании ЦОД 3 Построить свое частное облако Частное облако Интегрированная инфраструктура ПубличноеЧастное4 … и использовать публичные облака, появляется гибридное облако Создать общую модель политик 6 Простота использования для бизнеса 7 Безопасно перемещать нагрузки 5 СХД Политики2 Я хочу чтобы была автоматизация и открытость Безопасность везде 9 Аналитика везде 10 Граница: Применять модель политик 8 Публичное
  4. 4. Настоящее значение имеют бизнес и операционная прозрачность Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 4 Анализ приложений (сеть ЦОД) • Картографирование зависимостей (Безопасность) • Картографирование зависимостей (Миграция) Наглядность • Поиск потоков • Обнаружение отклонений • Сравнение задержек – сетевой и приложения Управление политиками • Моделирование и оценка влияния • Соответствие регуляторным требованиям и требованиям аудиторов Обеспечение политик безопасности • Аудит • Обеспечение безопасности • Проверка политик ~ ‘что если’ • Обнаружение угроз / DDOS / … Повышенная наглядность Прозрачные данные Политики/ Обнаружение/ Обеспечение/ Управление
  5. 5. Приложения также становятся немного сложнее…. Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 5
  6. 6. Почему обычный подход уже не достаточен? Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 6 СравнитьСобрать Проанализировать • Недостаток масштабируемости подхода к сбору телеметрии • Неоднородные телеметрические данные • Слепые пятна в сети • Недостаточная масштабируемость ЦОД для анализа телеметрии • Поддерживается только в сценариях с изоляцией • Нет возможности для длительного хранения данных • Требует серьезной разработки с нуля или доработки под себя • Сложно и дорого • Громоздко в поддержке Высокая фрагментированность – Нет широкой применимости
  7. 7. Cisco Tetration Analytics сценарии применения Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 7 Анализ приложений и выявление зависимостей Расследование происшествий: каждый пакет, каждый поток, на любой скорости Соответствие регуляторным требованиям и требованиям аудиторов Моделирование политик и оценка их влияния Автоматическое создание политик «белого списка» Новое Сегментация приложений (Автоматическое применение политик) Новое Отслеживание ресурсов в реальном времени
  8. 8. Обзор архитектуры Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 8 Сбор данных Программный сенсор и агент применения политик Встроенный сетевой сенсор (только телеметрия) Сторонние источники (информация о конфигурациях) Аналитический движок Cisco Tetration Analytics Cluster Открытый доступ Web GUI REST API Event Notification Tetration Apps  Самодостаточный кластер  Разворачивание в одно касание  Легкая интеграция посредством открытых интерфейсов  Открытое озеро данных (через Tetration Apps)  Не нужно знание Hadoop / Data Science  Не нужно внешнее хранилище данных
  9. 9. Источники данных Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 9  Низкие накладные расходы на CPU (применяется SLA)  Низкие сетевые накладные расходы (применяется SLA)  New! Место где применяются политики (программные агенты)  Высочайшая безопасность (код подписан и имеет проверку на подлинность)  Каждый поток (без сэмплирования), БЕЗ ПОЛЬЗОВАТЕЛЬСКИХ ДАННЫХ *Note: No per-packet Telemetry, Not an enforcement point Программные сенсоры Universal* (Basic Sensor for other OS) Linux VM Windows Server VM Bare Metal (Linux and Windows Server) Nexus 9200-X Nexus 9300-EX Сетевые сенсоры Коммутаторы серии N9K нового поколения Сторонние источники данных Тэггирование ресурсов Балансировщики нагрузки Системы управление IP адресами CMDB …
  10. 10. Функционал сенсоров Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 10 • Не находится на пути передачи данных • Не оставляет следов (не может быть обнаружен) • Не снижает производительность • Не вносит задержки • Полная информация о потоке • Без сэмплирования • Все пакеты • Собирает информацию основываясь на извлеченных из заголовка данных (не заглядывает внутрь и не собирает пользовательские данные)
  11. 11. Управление сенсорами и безопасность • Управляются централизованно • Обновление и конфигурация осуществляются Tetration Cluster • Безопасность • Взаимная проверка сертификатов подлинности • Кластер помещает сертификат в инсталлятор сенсора • Сенсор может передавать данные только конкретному кластеру Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 11
  12. 12. Программный сенсор Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 12 • Произведение искусства • Располагается в User Space • Не нагружает CPU (< 3%) • Спроектирован разработчиками ядра • Безопасен • Код подписан • Применяется внутренний SLA с интеллектуальным QoS • Защита CPU NIC Driver Network Stack Application libpcap Tetration Sensor
  13. 13. Какие ОС поддерживаются? Программные сенсоры LINUX • RedHat (5.1+, 6.x, 7.x) • CentOS (5.1+, 6.x, 7.x) • Ubuntu (12.04, 14.04, 14.10) • Suse Linux (11.2+, 12+) • Oracle Linux (6.5) WINDOWS • Windows 2008 (x64) • Windows 2008 R2 • Windows 2012 • Windows 2012 R2 Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 14
  14. 14. (НОВОЕ) Универсальные программные сенсоры Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 15 • Поддерживают любую устаревшую операционную систему … • AIX • Solaris • Windows Server 2003 • Процессы и соединения отслеживаются с меньшей точностью • Обеспечивает точное сопоставление зависимостей приложений и создание политик • Не поддерживает попакетную телеметрию и не может применять политики
  15. 15. Сегментация приложений с помощью Tetration Рекомендации по созданию политик Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 16 Cisco Tetration Analytics™ Рабочие пространства приложений Политика сегментации приложений Публичное облако Частное облако
  16. 16. Где могут располагаться сенсоры Tetration Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 17 HYPERVISORHYPERVISOR HYPERVISOR Программные сенсоры Процессы и сокеты События с пакетами и потоками Аппаратные сенсоры События с пакетами и потоками Состояние буфера памяти и коммутатора
  17. 17. Заглядывая глубже чем просто связь Процессы и сокеты приложения Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 18 Provider/Service ProcessConsumer Process Socket = 443Socket > 1023 Chrome NGINX • Разработчики приложений реализуют бизнес логику в коде, который выполняется как процессы и потоки • TCP/IP, который формирует основу Интернета, был разработан, чтобы позволить этим прикладным процессам взаимодействовать через сокеты • Логику приложения можно рассматривать на одном уровне как взаимодействие между группой процессов и связанными с ними сокетами • Понимание взаимодействия между процессами и отображение этого непосредственно на инфраструктуру, обеспечивает прямое соответствие между приложением и инфраструктурой Прочие решения определяют приложение только по протоколу и порту
  18. 18. Данные с сенсора Информация о процессе Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 19 • Программный сенсор собирает информацию о процессах потребителя (consumer) и поставщика (provider) • /proc • Системная информация (например, системная память, монтируемые устройства, аппаратная конфигурация и т.д.)
  19. 19. Границы применения и RBAC Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 20
  20. 20. Как определяются границы применения Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 21 Tetration определяет области действия, используя сетевые и пользовательские аннотации И это дает большую гибкость. Service MAC EPG Network Annotations Location Lifecycle IP + OS 32 choices…
  21. 21. Области действия имеют иерархию Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 22 Доступ ко всему Доступ к SJC Доступ к приложению Доступ только к HRMS RTP SJC Cisco DB App Oracle iExpense HRMS
  22. 22. Определение области действия Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 23 21 3
  23. 23. Модель ролевого доступа (RBAC) Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 24 User User User Roles Roles Scope Scope Scope Permitted Actions Permitted Actions Permitted Actions Permitted Actions Workloads Workloads Workloads Workloads R, Modify, ADM, Enforce, etc.
  24. 24. Ресурсы и фильтры Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 25
  25. 25. Контроль ресурсов в реальном времени Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 26 Сетевой канал Атрибуты сенсора Информация о пользователе Оркестраторы* (vCenter…) Программные ресурсы* Active Directory (API) Объединенная инвентарная информация о ресурсах в реальном времени и с трендами в историческом срезе Tetration * = СкороIdentity Services Engine ISE*
  26. 26. Как это происходит? Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 27 Сервер: X IP: 1.1.1.1 Ingestion Pipeline Телеметрические данные Репозитарий ресурсов IP 1.1.1.1 Метка управления жизненным циклом: “Prod” Сервер: X IP: 1.1.1.1 Lifecycle: Prod
  27. 27. Забудьте об IP адресах – фильтры инвентаризованных ресурсов Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 28 Определяйте группы в естественной форме
  28. 28. Инвентаризация и пользовательские метаданные Все потоки помечены пользовательскими метаданными • Можно делать поиск среди потоков по пользовательским метаданным • Политики могут быть определены в терминах пользовательских метаданных Зачем? 1. Формулировать запросы в виде «Покажи потоки резервного копирования между DB-RTP и DB-SJC?» 2. Задавать декларативные политики • «Запретить взаимодействие между Prod и Non Prod» • Что позволит Prod и Non Prod изменяться со временем 3. Контролировать кто и что может видеть • Сотрудники отдела Eng Apps не могут видеть серверы Finance App хотя они и используют один и тот же Tetration кластер Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 29
  29. 29. Определение политик безопасности и контроль их выполнения Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 31
  30. 30. Понимание приложений Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 32 PrimaryInfosec Dev Production Restricted Internet PrimaryHRMS - Prod • Рабочие области приложений могут содержать • Карты зависимостей приложения • Определения политик • Гибрид из обоих • Рабочие области приложений могут быть взаимосвязаны • Интерфейсы определяются администратором приложения • Контроль над тем как другие могут потреблять приложение • Интерфейсы могут быть настроены как «Требуется подтверждение» или просто «Уведомить»
  31. 31. Взаимодействие приложений Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 33 Oracle - Dev PrimaryOracle - Prod Интерфейсы Показать Oracle VIP Показать DNS VIP PrimaryDNS PrimaryHRMS - Prod
  32. 32. Цель – описать Намерение Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 34 • Блокировать непродуктивные приложения от взаимодействия с продуктивными • Позволить приложениям отдела кадров использовать базу данных содержащую всех сотрудников • Блокировать все HTTP соединения, которые не направлены на веб серверы • Разрешить и уведомить меня когда новое приложение запросит DNS сервер • Блокировать и уведомить меня когда новое приложение запросит доступ к серверу AD Я хочу…
  33. 33. Обеспечение применения политик на хосте Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 35 VLANs Списки доступа Любая сеть Подсеть Сервер EPGs ACI Контракты BDs Сервер Группы безопасности Любой гипервизор Группы портов Правила безопасности Сервер Правила безопасности Любое облако Группы безопасности Интерфейсы Сервер Доверенный модуль внутри сервера обеспечивает выполнение вашего намерения
  34. 34. Безопасность Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 36 Единый уровень безопасности на любой инфраструктуре Application Инфраструктура Отклонить Разрешить Процесс Сервер Намерение преобразуется в правила безопасности собственного МСЭ хоста
  35. 35. Мобильность Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 37 Правила безопасности Облако Группы безопасности ИнтерфейсыVLANs Списки доступа 7K 5K 2K Подсети Сервер Сервер Переработать VLAN в группы безопасности Нужно ли изменить адресацию серверов? Соответствуют ли списки доступа правилам безопасности? Должно ли ваше намерение следовать за сервером вне зависимости от того, где он находится?
  36. 36. Как это работает? Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 38 Tetration автоматически преобразует ваше намерение в правила «черного- белого списка» Намерение Правила ALLOW SOURCE 128.0.10.0/16 DEST 128.0.11.0/16 DENY SOURCE 10.0.0.0/8 DEST 128.0.0.0/8Блокировать непродуктивные приложения от взаимодействия с продуктивными Разрешить приложениям отдела кадров использовать базу данных сотрудников Блокировать все HTTP соединения, которые направлены не на веб серверы ALLOW SOURCE * DEST 128.0.100.0/16 PORT = 80 DENY SOURCE * DEST * PORT = 80
  37. 37. Порядок обработки правил Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 39 • Владельцы приложений должны иметь определенный уровень автономности, чтобы быстро вносить изменения в приложения • Отделы безопасности и управления сетью должны контролировать глобальные аспекты взаимодействия приложений и общих служб • Tetration выстраивает намерения в детерминированном порядке, приоритезируя намерения пользователей с большим влиянием над владельцами приложения Правила отдела безопасности Правила отдела управления сетью Правила владельцев приложений
  38. 38. Сегментация приложений на основе профиля и контекста Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 41 Публичное облако Физический сервер Виртуальный сервер Cisco ACITM Обычная сеть Мониторинг соответствия 1.Тегирование ресурсов в реальном времени 2. Политика сегментации приложения 3. Объединение политик (основанных на ролях и иерархии) • Сенсор Tetration • Определяемый самостоятельно Cisco Tetration Application Insights (ADM) Tag/Label-Based Add-on Policy (Ex. Mail Filters) Нет необходимости связывать политики с IP адресами и портами Tetration выполняет необходимую конвертацию Применение политик + • Сторонний источник
  39. 39. Практические примеры использования Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 42 • Высокая наглядность • Миграция ЦОД • Переход на услуги предоставляемые из облака • Слияния, поглощения и отчуждения • Безопасность • Микросегментация с контролем применения • Проверка соответствия • Изоляция устаревших приложений • Поиск • Проверка потоков Картографирование зависимостей приложений Автоматическое создание политик «белого списка» Проверка соответствия политиками и моделирование Расследование событий (пример: поиск потока и аномалии потока) Обеспечение соблюдения политик
  40. 40. Анализ приложений Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 44
  41. 41. Что дает анализ приложений? Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 45 Гипервизор VM VM VM VM VM VM Получить понимание связей различных компонент приложений Реализовать последовательную сегментацию Мигрировать между ЦОД на различной инфраструктуре Использовать для слияний и поглощений Перейти на сервисы предоставляемые из облака
  42. 42. Картографирование зависимостей приложений Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 46 • Рабочая область на основе границ применения • Взаимодействие между рабочими областями
  43. 43. Визуализация взаимодействия приложений Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 47 Визуализация взаимодействия кластеров приложений Детали политики
  44. 44. Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 48
  45. 45. Обзор зависимостей - c точки зрения потоков Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 49 Анализируемое приложение Потоки к другим приложениям (внутри ЦОД) Потоки в пределах внутренней сети Потоки в / из Интернета
  46. 46. Обзор зависимостей С точки зрения группировки Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 50
  47. 47. Показать «все потоки в лаборатории» Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 51
  48. 48. Безопасность С точки зрения деталей потоков Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 52
  49. 49. Некорректная настройка сервера Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 53 Слушающие, но никогда не получающие трафик порты
  50. 50. Соблюдение и проверка политик Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 54 Все потоки сортируются по 4 видам • Permitted, двусторонние потоки, соответствующие политике безопасности • Misdropped, разрешенный трафик в котором мы отбросили пакет • Escaped, двусторонние потоки не соответствующие политике безопасности • Rejected, односторонние потоки не соответствующие политике безопасности
  51. 51. Как насчет не разрешенных потоков? Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 55
  52. 52. Производительность Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 56
  53. 53. Производительность и поиск проблем Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 57
  54. 54. Открытость платформы Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 58
  55. 55. Tetration Analytics: открытая платформа Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 59 Внешние приложения Kafka Broker Внешние потребители Внешние потребители Программный интерфейс Отправка сообщений Tetration Apps REST API • Поиск потоков с Tetration • Управление сенсорами Отправка уведомлений • Преднастроенные события • События задаваемые пользователем Tetration Apps • Доступ к озеру данных • Создание собственных приложений Платформа Cisco Tetration Analytics Kafka
  56. 56. Программируемость Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 60 • Tetration Apps • API • Уведомления Kafka (во вне)
  57. 57. API Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 61 • Доступ к данным платформы извне • Больше возможностей в следующих релизах
  58. 58. Приложения для Cisco Tetration Analytics Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 62 • Исследуйте данные, используя свой браузер, разрабатывайте свои модели • Основано на Jupyter Notebooks • Дает легкие возможности для разработки приложений
  59. 59. Приложения для Cisco Tetration Analytics Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 63 • Как вы определяете «интересные» события? • Cisco Tetration Analytics™ имеет список встроенных событий • Преднастроенных, не модифицируемых • Для любых отличающихся запросов, используйте пользовательские приложения • Уведомить обо всех пакетах идущих к DNS серверу не в моей сети • Уведомить о любых потоках размером больше X байт • Уведомить о любом пользователе скачивающем более X байт с защищенного файл сервера
  60. 60. Приложения и автоматизация политик Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 64 Разворачивается за несколько часов; автоматически предложенная политика на основе данных в реальном времени менее чем через неделю Возможность промоделировать результат применения политики на реальном историческом трафике до внедрения Традиционный TETRATION 1 2 3 4 Нанять консультанта Собрать логи, побеседовать с командами … Выявить зависимости приложения Проверить с каждой группой пользователей Стоимость $1M-$5M; несколько месяцев 70% сокращения расходов и времени (Cisco IT) 5 Статичная карта, запросы на изменения 6 Применить политику, убедиться, что приложения после этого работают
  61. 61. Платформа построенная для масштабируемости и гибкости Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 67 Масштабируемая и работающая в реальном времени Каждый пакет, каждый поток Сегментация приложений для тысяч приложений Хранение данных длительный период времени Избирательное применение политик Последовательное применение политик Обнаружение отклонение от политик в режиме близком к реальному времени Поддержка мобильности серверов Простота использования Развертывание в одно касание Само-мониторинг Самодиагностика Открытость Стандартный Web UI REST API (Pull) Event Pub/Sub (Push) Tetration Apps
  62. 62. Tetration Analytics: варианты развертывания Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 68 Cisco Tetration Analytics (Large Form Factor) • Подходит для внедрений с более чем 1000 серверов • Встроенная отказоустойчивость • Масштабируется до 10 000 серверов Включает в себя: • 36 серверов UCS C-220 • 3 коммутатора Nexus 9300 Cisco Tetration-M (Small Form Factor) • Подходит для внедрений с не более чем 1000 серверов Включает в себя: • 6 серверов UCS C-220 • 2 коммутатора Nexus 9300 Cisco Tetration Cloud • Платформа располагается в облаке Amazon AWS • Подходит для внедрений с менее чем 1000 серверов • Ресурсы используемые в облаке AWS принадлежат заказчику Варианты размещения на месте В публичном облаке
  63. 63. #CiscoConnectRu#CiscoConnectRu Спасибо за внимание! Оцените данную сессию в мобильном приложении конференции © 2017 Cisco and/or its affiliates. All rights reserved. Контакты: Тел.: +7 495 9611410 www.cisco.com www.facebook.com/CiscoRu www.vk.com/cisco www.instagram.com/ciscoru www.youtube.com/user/CiscoRussiaMedia

×