امنیت زیرساخت سیسکو با Cisco ACI Security

Cisco Application Centric Infrastructure یا به اختصار Cisco ACI، معماری جدید و خلاقانه‌ای است که به طور کلی موجب تسهیل، بهینه‌سازی و تسریع چرخه پیاده‌سازی برنامه می‌گردد.

Cisco ACI از یک رویکرد جامع مبتنی بر سیستم استفاده نموده که دارای ویژگی‌هایی مانند یکپارچه ‏سازی کامل میان اجزاء فیزیکی و مجازی، مدل Open Ecosystem و نوآوری جدید ICهای خاص برنامه‌های کاربردی تحت عنوان ASIC ، سخت‌افزار و نرم‌افزار جدید می‌باشد. این رویکرد منحصربفرد از مدل عملیاتی مبتنی بر Policy مشترک در سراسر شبکه و اجزاء امنیتی‌ای که از Cisco ACI و همچنین اجزاء Computing و Storage در آینده نزدیک پشتیبانی می‌کنند، استفاده نماید، علاوه بر آن موجب تسلط بر Siloهای IT و کاهش قابل ملاحظه هزینه‌ها و پیچیدگی فرایند، می‌گردد.

مزایای استفاده از Cisco ACI در رفع مشکلات امنیتی

Cisco ACI به چالش‌های امنیتی و تطبیق‏ پذیری دیتاسنترهای نسل بعدی (Next-Generation Data Center) و محیط‌های Cloud می‌پردازد. درواقع با انتقال سازمان‌ها به نسل جدید دیتاسنترها و محیط‌های Cloud، خودکارسازی Policyهای امنیتی مستلزم پشتیبانی از شرایط آماده‌سازی برحسب تقاضا و مقیاس‌پذیری دینامیکِ برنامه‌های کاربردی می‌باشد و از طرفی مدیریت امنیت بصورت دستی و مبتنی بر تجهیزات، مستعد بروز خطا و ناامنی است. هنگامی که حجم کاری برنامه در یک محیط دیتاسنتری اضافه، اصلاح و یا جابجا می‌شوند، Policyهای امنیت می‌بایست با Endpointهای برنامه‌کاربردی تطابق یابند زیرا ایجاد و حذف Policyهای پویا برای تضمین ترافیک سراسری و کنترل تحرک‌پذیری (Mobility) برنامه‌کاربردی ضروری می‌باشد. اصولا قابلیت دید نسبت به ترافیک، به منظور شناسایی و کاهش حملات پیشرفته‌ی هدفمند و ایمن‌سازی Tenantها، بسیار مهم می‌باشد.

Cisco ACI Security برای نسل جدید  دیتاسنترها و Cloud

Cisco ACI جهت رفع نیازهای امنیتی Data Centerهای نسل بعدی و محیط‌های Cloud از یک رویکرد جامع مبتنی بر سیستم استفاده می‌نماید که برخلاف راهکارهای جایگزین امنیتی شبکه‌های مجازی‌سازی شده مبتنی بر Overlay ، که قابلیت دید و مقیاس‌پذیری محدودی ارائه می‌دهند و نیازمند مدیریت جداگانه تجهیزات شبکه Underlay (زیرلایه) و Overlay (هم‌پوشانی) و Policyهای امنیت می‌باشد. راهکار امنیتی Cisco ACI علاوه بر تطابق‌پذیری، کاهش خطر منافذ امنیتی را تضمین می‌نماید و با استفاده از یک رویکرد برنامه‌محور و مدل مشترک عملیاتی مبتنی بر Policy، بطور ویژه‌ای نیازهای امنیتی Data Centerهای نسل بعدی را برآورده می‌نماید.

فراهم نمودن امکان مدیریت یکپارچه امنیت Policy توسط Cisco ACI Security، از طریق به اجرا درآوردن پالیسی‌ها در هر ج از دیتاسنتر و بر روی تمامی  WorkLoadهای واقعی و مجازی ایجاد شده است. این راهکار، روند خودکارسازیِ کاملی را از لایه 4 تا 7 پالیسی‌های امنیت ارائه داده و همزمان با فراهم نمودن قابلیت دید عمیق، تطابق خودکار Policy و تشخیص سریع و کاهش تهدیدات، از استراتژی Defense-In-Depth نیز پشتیبانی می‌نماید. Cisco ACI تنها رویکردی است که با ارائه بخش‏بندی که Dynamic بوده و برنامه‌محور می‌باشد، بر برنامه‌کاربردی تمرکز دارد.

برآورده نمودن نیازهای امنیتی Data Centerهای نسل بعدی و Cloud توسط Cisco ACI

مزایای اصلی Cisco ACI Security

در ادامه به بررسی بیشتر ویژگی‌ها و مزایای اصلی Cisco ACI Security می‌پردازیم:

• ارائه مدل Policy برنامه‌محور

فراهم نمودن دیدکلی سطح بالا توسط Cisco ACI، با استفاده از گروه‌های Endpoint یا به اختصار EPG صورت می‌گیرد و برای انجامPolicy های ساده‌تر، نسبت به توپولوژی شبکه باید از زبان برنامه‌های کاربردی بیشتری استفاده نماید. رویکرد Policy  مبتنی بر Whitelist  در Cisco ACI  مسدود نمودن ترافیک میان EPGها از مدل Zero-Trust پشتیبانی می‌نماید مگر اینکه یک Policy دقیقا اجازه ترافیک میان EPGها را صادر نماید.

• یکپارچه‌سازی مدیریت Policy امنیتی لایه‌های 4 تا 7

Cisco ACI، پالیسی‌های امنیتی لایه‌های 4 تا 7 را در ساختار یک برنامه‌کاربردی، بصورت مرکزی مدیریت و خودکارسازی می‌نماید و این کار را با استفاده از یک مدل Policy مبتنی بر برنامه‌ و بصورت یکپارچه و از طریق مرزهای واقعی و مجازی و همچنین تجهیزات Third-Party، انجام می‌دهد. این رویکرد موجب کاهش پیچیدگی عملیاتی و افزایش چابکی IT، بدون ایجاد تهدیدات امنیتی می‌شود.

• بخش‌بندی مبتنی بر Policy

Cisco ACI  بخش‌بندی (Segmentation) دقیق و منعطف Endpointهای فیزیکی و مجازی را براساس Policy Groupها  فراهم نموده و در نتیجه موجب کاهش محدوده‌ی تطبیق‌پذیری و خطرات امنیتی می‌گردد.

• تطبیق‌پذیری خودکار

Cisco ACI  تضمین می‌نماید که پیکربندی در این ساختار همیشه با Policyهای امنیتی مطابقت داشته باشد و Cisco APIها بتوانند برای استخراج Policy و Audit Logها از Application Policy Infrastructure Controller یا به اختصار APIC استفاده نموده و گزارشات تطبیق‏پذیری را ایجاد نمایند که به عنوان مثال می‌توان به گزارش تطبیق‏پذیری PCI اشاره نمود. این ویژگی موجب ارزیابی ریسک در IT به صورت Real-Time شده و خطر عدم تطابق‌پذیری برای سازمان‌ها را کاهش می‌دهد.

• امنیت یکپارچه در لایه 4 برای ترافیک‌های درون دیتاسنتر بین سرورها

ساختار Cisco ACI  شامل یک فایروال Stateless لایه 4 توزیعی به صورت Built-In می‌باشد تا ترافیک بین سرورها رادرون یک دیتاسنتر میان اجزاء برنامه کاربردی و تمامی Tenantها در یک دیتاسنتر ایمن نماید.

• چارچوب Open Security

Cisco ACI  به منظور پشتیبانی از درج سرویس‌های پیشرفته برای خدمات امنیتی لایه‌های حساس 4 تا 7 در جریان ترافیکی برنامه‌کاربردی، صرف‌نظر از مکان آن‌ها در دیتاسنتر، چارچوب Open Security (شامل APIs و پروتکل OpFlex) ارائه می‌دهد.

این سرویس‌ها شامل موارد زیر می‌باشد:

• Intrusion Detection Systems یا به اختصار IDS
• Intrusion Prevention Systems یا به اختصار IPS
• سرویس‌های فایروال نسل بعدی یا به اختصار NGFW (مانندCisco Adaptive Security Virtual Appliance یا به اختصار ASAv،Cisco ASA 5585-X Adaptive Security Appliance و تجهیزات امنیت Third-Party) می‌باشند.

لازم به ذکر است این ویژگی موجب استراتژی امنیتی Defense-In-Depth و حفاظت از سرمایه‌گذاری خواهد شد.

• قابلیت دید عمیق و تشخیص سریع حملات

با استفاده از این قابیلت Cisco ACI می‌تواند داده‌های زمان بروز ترافیک شبکه را جمع‌آوری نمود و از شمارنده‌های اتمی به منظور ارائه هوشمندی در شبکه به صورت Real-Time و فراهم نمودن قابلیت دید عمیق به تمامی مرزهای فیزیکی و مجازی شبکه، پشتیبانی می‌نماید. این ویژگی موجب تشخیص سریع حملات در اوایل چرخه حمله می‌شود.

• پاسخ خودکار به مشکلات

Cisco ACI  از قابلیت پاسخ‌گویی خودکار به تهدیدات شناسایی شده در شبکه پشتیبانی می‌نماید و این کار را با استفاده از Northbound APIها انجام می‌دهد که امکان ادغام با پلتفرم‌های امنیتی را فراهم می‌سازد.