معرفی قابلیت های Cisco Tetration Platform – قسمت اول

پلتفرم Cisco Tetration با فراهم نمودن دیدگاه برنامه‌‌های کاربردی مبتنی بر رفتار، خودکارسازی فرآیند ایجاد Whitelist Policy و فعال‌سازی امنیت Zero-Trust با استفاده از بخش‌بندی برنامه، به چالش‌های مهم عملیاتی و امنیتی دیتاسنترها می‌پردازد.

بررسی Cisco Tetration Platform

امروزه برنامه‌ها داینامیک بوده و به طراحی زیرساخت دیتاسنترها جهت می‌دهند و همچنین از مجازی‌سازی، Containerسازی، میکروسرویس‌ها و تکنولوژی‌های تحرک‌پذیری Workload استفاده کرده و الگوهای ارتباطی بین اجزای آنها دائماً در حال تغییر می‌باشد. در حال حاضر ۷۶ درصد ترافیک دیتاسنترها در قالب ساختار East-West می‌باشد، که این موضوع در قیاس با الگوهای ترافیکی گذشته تغییری اساسی محسوب می‌گردد. این دگرگونی در تکنولوژی، منجر به افزایش نقاط ضعف در برابر حملات (Attack Surface) و خلاءهایی در اعمال Policy شده است. این محیط پویا، چالش‌های متفاوتی در سازمان‌ها ایجاد کرده که باید توسط مدیران شبکه رفع گردد:

• مدل‌ امنیتی ایستا (Static) که سابقا در محیط شبکه پیاده‌سازی می‌شد، کفایت نمی‌کند.
• سازمان‌ها باید قابلیت دید فراگیری به ارتباطات و وابستگی‌های برنامه‌ها به دست آورده و یک Whitelist Policy برای مرزبندی شبکه‌ی خود ایجاد نمایند.
• سازمان‌ها می‌بایست برای برنامه‌ها در محیطی ناهمگون یک مدل Zero-Trust سازگار پیاده‌سازی کنند که در نهایت Policy را به صورت داینامیک بروز نگه دارد.

پلتفرم Cisco Tetration با این هدف طراحی شده که با استفاده از داده‌های جامع سنجش ترافیک (Traffic Telemetry)، که هم از سرورها و هم از Switchهای Cisco Nexus جمع‌آوری می‌شوند، به طور کامل به این چالش‌های بپردازد. این پلتفرم با رویکردی مبتنی بر الگوریتم، تجزیه و تحلیل پیشرفته‌ای را انجام می‌دهد و یک Whitelist Policy ثابت برای برنامه‌ها اعمال می‌کند. این رویکرد مبتنی بر الگوریتم بوده و شامل تکنیک‌های یادگیری ماشینی (Machine-Learning) بدون نظارت و همچنین تجزیه و تحلیل رفتاری می‌باشد و راهکار مناسب برای استفاده ارائه می‌دهد.

• این پلتفرم قابلیت دید کاملی به اجزا، ارتباطات و وابستگی‌های برنامه فراهم می‌کند تا پیاده‌سازی یک مدل Zero-Trust در دیتاسنتر ممکن شود.
• برچسب‌زنی منابع (Asset Tagging) را به صورت Real-Time اجرا می‌نماید و در نتیجه به مدیران این توانایی را می‌دهد که ساختار‌های کسب‌و‌کاری خود را با داده‌های سنجش ترافیک و بارهای کاری مرتبط سازند.
• به طور خودکار، بر اساس رفتار برنامه یک Policy برای بخش‌بندی ایجاد می‌نماید و همچنین مکانیزمی برای در بر گرفتن تمام Policyهای امنیتی موجود، بر اساس الزامات کسب‌و‌کار فراهم می‌کند.
• سازمان‌ها می‌توانند این Policy‌های مرزبندی را در زیرساخت‌های ناهمگون به صورت سازگار اعمال نمایند تا مرزبندی برنامه پیاده‌سازی گردد.

برای فعال‌سازی تمامی این ویژگی‌ها، داده‌های سنجش جامع Cisco Tetration با استفاده از سنسور‌هایی که به طور سفارشی توسعه یافته‌اند، جمع‌آوری می‌گردند. این سنسورها در انواع مختلف سنسور‌های نرم‌افزاری، سنسور‌های سخت‌افزاری و سنسور‌های Encapsulated Remote Switched Port Analyzer یا به اختصار ERSPAN هستند و وجود انواع مختلف این سنسورها، موجب می‌شود که این راهکار هم از دیتاسنتر‌های موجود (Brownfield) و هم دیتاسنتر‌های جدید (Greenfield) و همچنین از تمام زیرساخت‌های Public Cloud پشتیبانی کند. شکل زیر نشان دهنده‌ی معماری سطح بالای پلتفرم Cisco Tetration است.

معماری پلتفرم Cisco Tetration

لایه های کاربردی  Cisco Tetration

پلتفرم Cisco Tetration دارای چهار لایه‌ی کاربردی اصلی زیر است:

1- لایه‌ی جمع‌آوری داده‌ها: این لایه عمدتاً شامل عملکردهای سنسور می‌باشد. سنسور‌ها همچون گوش و چشم پلتفرم Cisco Tetration Analytics عمل کرده و در این بخش دو نوع سنسور مورد استفاده قرار می‌گیرد:

• سنسورهای نرم‌افزاری: این سنسور‌ها که فضای کمی اشغال می‌کنند به عنوان عملیات کاربر اجرا می‌شوند و می‌توان آن‌ها را روی هر سرور مجازی یا Bare Metal که روی دیتاسنتر‌های On-Premise یا هر Cloud عمومی اجرا می‌شوند، نصب نمود. این سنسور‌های نرم‌افزاری می‌توانند داده‌های بررسی‌شده را جمع‌آوری کرده و همچنین نقش Enforcement Pointها را ایفا نمایند.
• سنسورهای سخت‌افزاری: این سنسورها در سوئیچ‌های Cisco Nexus 93180YC-EX، 93108TC-EX، 93180YC-FX و 93108TC-FX کار گذاشته شده‌اند.
• سنسورهای ERSPAN: این سنسور‌های Out-Of-Band طراحی شده‌اند تا داده‌های سنجش‌شده مربوط به Cisco Tetration را با استفاده از کپی‌هایی از Packetهای شبکه ایجاد نمایند. این Packetهای کپی شده با استفاده از ERSPAN به این سنسورها ارائه می‌شوند.

این سنسورها طراحی شده‌اند تا تمامی Packetهای هر جریانی را مانیتور نمایند درحالیکه آن‌ها هیچ اطلاعاتی از Payloadها جمع‌آوری نمی‌کنند و فرآیند Sampling انجام نمی‌شود.

2- لایه‌ی تجزیه و تحلیل: داده‌هایی که از سنسور‌ها دریافت می‌گردد به پلتفرم Cisco Tetration فرستاده می‌شود، این پلتفرم کلان داده (Big Data) به عنوان هوشی عمل می‌نماید که تمام تجزیه و تحلیل‌ها را اجرا کرده و دارای چندین Node است که اطلاعات دریافت شده از سنسورها را پردازش کرده و از یادگیری ماشینی بدون نظارت و هدایت‌شده، تجزیه و تحلیل رفتاری و الگوریتم‌های هوشمند برای فراهم کردن راهکاری آماده‌ برای استفاده در Use Caseهای زیر استفاده می‌نماید:

• اطلاعات دقیق در مورد ارتباطات اجزای برنامه بر اساس رفتارهای مشاهده شده
• گروه‌بندی خودکار Endpointهای مشابه (برای مثال کلاسترهای سرورهای وب و کلاسترهای پایگاه‌داده)
• پیشنهادهای سازگار در مورد Whitelist Policy برای برنامه‌ها و مانیتورینگ تضادهای موجود در تطبیق‌پذیری در عرض چند دقیقه
• تجزیه و تحلیل تأثیر Policy برای آزمایش یک Policy قبل از اعمال آن در شبکه
• اعمال خودکار Policy که توانایی مرزبندی سازگار برنامه را فراهم می‌آورد
• مانیتورینگ برای ردیابی تضادهای موجود در تطبیق‌پذیری Policy و بروزرسانی Policy به صورت Real-Time
• قابلیت دید فراگیر به صورت Real-Time بر روی زیرساخت دیتاسنتر
• مانیتورینگ و تشخیص عملکرد جریان TCP
• نگهداری دراز مدت داده‌ها برای تجزیه و تحلیل پیشین (Historical) بدون از دست رفتن جزئیات
• جرم‌شناسی عمیق با استفاده از فیلترهای جستجوی قدرتمند و Queryهای بصری

3- Enforcement Layer: سنسورهای نرم‌افزاری با قابلیت دید کامل، نقش Enforcement Point برای Policy مرزبندی که توسط پلتفرم ایجاد می‌شود را دارند و به فعال‌سازی مرزبندی برنامه کمک می‌کنند. پلتفرم Cisco Tetration با استفاده از سنسورهای نرم‌افزاری و قابلیت‌های سیستم عامل، Enforcement Stateful و دائمی را در پیاده‌سازی‌های عمومی، اختصاصی و On-Premise فراهم می‌کند. همچنین حتی زمانی که یکی از اجزای برنامه از یک سرور Bare Metal به محیطی مجازی منتقل شده باشد، این لایه به اطمینان از همراستایی Policy و Workload کمک می‌نماید. همچنین Enforcement Layer با Policy ثابتی که برای هزاران برنامه در ده‌ها هزار بارِکاری (Workload) پیاده‌سازی شده، به اطمینان حاصل کردن از قابلیت مقیاس‌پذیری کمک می‌کند.

4- لایه‌ی دسترسی: پلتفرم Cisco Tetration مصرف این داده‌ها را از طریق یک GUI وبِ مقیاس‌پذیر و Easy-To-Navigate و همچنین از طریق APIهای Representational State Transfer یا به اختصار REST ممکن می‌سازد. به علاوه، اطلاع‌رسانی (Push Notification) مبتنی بر Apache Kafka را فراهم می‌کند که سیستم‌های Northbound می‌توانند مشترک آن‌ها شده و اعلان‌هایی در مورد انحراف از تطبیق‌پذیری Policy، اختلالات جریان (Flow) و غیره دریافت نمایند. کاربران حرفه‌ای قادر خواهند بود به Hadoop Data Lake دسترسی داشته و می‌توانند با استفاده از زبان‌های برنامه‌نویسی مانند Python و Scala که با استفاده از منابع محاسباتی قدرتمند که روی پلتفرم اجرا می‌شوند، برنامه‌های سفارشی‌سازی‌شده‌ای را بنویسند.

دیگر منابع داده‌: علاوه‌ بر سنسور‌ها، اطلاعات پیکربندی بیشتری از منابع Third-Party مثل تعدیل‌کننده‌های بار (Load Balancerها)، رکورد‌های سرور DNS و دیتابیس مدیریت آدرس IP، جمع‌آوری می‌شود. این داده‌های پیکربندی برای افزایش اطلاعاتی که توسط پلتفرم تجزیه و تحلیل فراهم می‌شود، استفاده می‌گردند. این پلتفرم همچنین از قابلیت داده‌های سنجش‌شده‌ی Streaming که از منابع دیگر برای تجزیه و تحلیل و همبستگی (Correlation) جمع‌آوری می‌گردند، پشتیبانی می‌کند.

ــــــــــــــــــــــــــــــــــــــــــ

معرفی قابلیت های Cisco Tetration Platform – قسمت اول

معرفی قابلیت های Cisco Tetration Platform – قسمت دوم (پایانی)