З упором на безпеку: побудова керованої з хмари мережі за допомогою обладнання Cisco Meraki MX

При побудові сучасної мережі на перше місце все частіше виходять питання не пропускної здатності, а безпеки і надійності роботи. Як один з варіантів побудови такої мережі, з багатим набором функцій, що забезпечують безпеку і стабільність роботи, пропонуємо розглянути систему безпеки Cisco Meraki MX.



Система безпеки Cisco Meraki MX надає готовий набір інструментів і рішень для більшості ситуацій прямо з коробки. Це означає, що купуючи цей продукт, не потрібно буде здійснювати інших покупок і нести додаткові витрати. Розгортається мережа дуже просто. Закуплене обладнання доставляються і монтуються на об'єкті. Після установки пристрій автоматично підключаються до хмари Cisco Meraki по протоколу SSL, реєструють мережу і скачують конфігурації для неї. Таким чином утворюється SD-WAN — ваша окрема програмно-конфігурована мережа у складі глобальної обчислювальної мережі (Wide Area Network) Cisco. Це дозволяє мати доступ до адміністрування всієї мережі через Інтернет, а також проводити настройку, діагностику за допомогою декількох клацань миші завдяки високому рівню автоматизації системи.



Безпека
Головний функція системи Meraki MX – забезпечення комплексної безпеки побудованої мережі. Для цього у неї є безліч програмних засобів, які разом з хмарою Cisco Meraki дозволяють легко налаштовувати мережу і управляти системою. Рішення, що надаються в рамках MX Security Appliances включають в себе:

Надійний брандмауер. З поширенням сучасних програм і мереж змішаного типу, вже недостатньо системи безпеки ґрунтується на контролі за хостами і портами. Мережевий екран Cisco Meraki дає надає адміністратору повний контроль над діями користувачів, включаючи контент і додатки. Він глибоко аналізує мережевий трафік, визначаючи тип переданих даних, а також програми і користувачів, які за цей мережевий трафік відповідають. На підставі цих даних застосовуються різноманітні фільтри, які адміністратор налаштував раніше. Таким чином, наприклад, можна з одного боку заблокувати передачу даних з онлайн-кінотеатрів, а з іншого — дати найвищий пріоритет трафіку системи відеоконференцій. Фірмовий брандмауер може працювати навіть з трафіком peer-to-peer додатків, перед якими пасують багато інші мережеві екрани. При цьому налаштування системи досить проста — у відповідному вікні потрібно просто вибрати тип даних або конкретні ресурси і додатки, які будуть заблоковані або навпаки можна.



Для запобігання мережевих атак в мережному екрані Cisco Meraki використовується движок на основі одного з найпоширеніших захисних засобів з відкритим вихідним кодом — Sourcefire Snort. Безпека забезпечується на основі комбінації різних інструментів — перевірки сигнатур, аналізу протоколів, системи пошуку аномалій і т. д.

Також у мережному екрані використовується розпізнавання пристроїв. Він в автоматичному режимі визначає пристрою на базі iOS, Android, Windows, Mac OS і інших операційних систем і може застосовувати до них правила на основі заздалегідь заданих адміністратором параметрів. Конкретні правила можуть застосовуватися як до всіх підключається девайсів, так і до конкретного типу пристроїв. Наприклад, всі планшети iPad автоматично отримувати рівень доступу «Тільки читання».

Просунута захист від шкідливого ПЗ. В Meraki MX є просунута система захисту від шкідливих програм — Cisco Advanced Malware Protection. Вона надає надійний антивірусний захист, використовуючи всі сучасні методи. Серед них сканування файлів по сигнатурах. В базі присутні понад 500 млн відомих файлів, причому кожен день у неї додається близько 15, мільйони нових об'єктів. Також використовується контекстний аналіз файлів, пісочниця, ретроспективний аналіз і інші інструменти.

Всі завантажувані через мережу файли скануються в режимі реального часу. Звітність надходить адміністраторам, щоб вони могли бачити основні джерела загроз на даний момент і оперативно реагувати на них. А система ретроспективного аналізу дозволяє дізнатися про шкідливих файлів, навіть якщо вони пройшли через мережу і опинилися на пристрої. Таке буває дуже рідко, коли файл скачується до того, як різноманітні системи безпеки визначають його як шкідливий.

Запобігання вторгнень. Кожна мережа — це потенційна мішень для вторгнень і шкідливих атак. У MX Security Appliances є різноманітні легконастраиваемые засоби для протидії їм. Система запобігання вторгнень (IPS, Intrusion prevention system) працює з допомогою наборів правил, які виконуються на движку Sourcefire Snort. Це комбінація зумовлених політик безпеки, які визначають необхідний рівень захисту і працюють повністю в автономному режимі. Їх оновлення виходять щодня і автоматично встановлюються на ваші пристрої протягом години після публікації. Таким чином забезпечується цілодобова захист від різноманітних загроз — руткітів, вірусів, експлойтів і т. д.

Всі дані по роботі системи безпеки надаються в реальному часі через веб-панель управління Meraki. Інформація показується у вигляді звітів і графіків як за системою в цілому, так і по конкретних мереж, пристроїв і додатків. На основі цієї інформації адміністратор приймає рішення про необхідність прийняття тих чи інших заходів, може вносити зміни в налаштування і проводити інші необхідні операції, а також оцінювати загальну уразливість системи.



Ще один плюс для адміністраторів — це легкість розгортки системи запобігання вторгнень. Коли для цього використовується цілий комплекс засобів, які налаштовуються вручну, може вкрастися людський фактор, з-за якого безпека буде поставлена під загрозу. У випадку з Meraki MX система запобігання вторгнень розгортається в лічені секунди і кілька кліків на відповідних панелях управління. Ці кліки потрібні для включення і вибору необхідного набору правил движка Sourcefire.

Автоматична VPN. Використовуючи MX Security Appliances ви отримаєте надійний віртуальну мережу між вашими пристроями, яка буде самостійно налаштовуватися, моніторитися і підтримуватися. При розгортанні система автоматично налаштує параметри VPN, необхідні для створення і підтримки VPN-сесій. Всі бенкети і маршрути автоматично зв'язуються через захищену WAN (Wide Area Network) і підтримуються в актуальному стані в динамічних IP-середовищах. Всі функції безпеки, наприклад, обмін ключами, аутентифікація і політики безпеки, реалізуються автоматично через VPN-бенкети MX Security. А за допомогою низки інструментів адміністратор може спостерігати в режимі реального часу за станом мережі.

У системі є повна підтримка конфігурації роздільного тунелювання (split-tunneling) і повного тунелювання (full-tunneling), яка настроюється в один клік. Підтримується створення і використання зіркоподібних (Hub-and-spoke) і повноз'вязних (full mesh) топологій мережі для більш простого та гнучкого розгортання. А вбудований мережевий екран і політики безпеки дозволяють легко управляти всією VPN-мережею.



Фільтрація контенту. Система блокування вмісту в Cisco Meraki дозволяє користувачам вашої мережі серфіть по інтернету абсолютно безпечно, залишаючись при цьому захищеними від сайтів з небажаним, шкідливим чи шокуючим змістом. Різноманітні політики можуть бути застосовані до конкретних груп користувачів скрізь, де використовується Active Directory. Для цього є білі списки з можливістю виключень для конкретних користувачів. Політики груп Active Directory регулюються через панель управління, також є можливість відправляти прямі запити на сервер Active Directory. При цьому все інтуїтивно зрозуміло і немає необхідності установки різних Active Directory-агентів, що спрощує роботу з системою.

Фільтрація контенту сайтів відбувається таким чином: коли пристрій хоче відвідати той чи інший ресурс, його адреса звіряється з наявною базою даних URL. Він перевіряється в кілька етапів на відповідність різним параметрам. Таким чином, наприклад, на одному сайті деякі сторінки можуть бути доступні для відвідування, а інші — ні. Конкретні URL-адреси можуть бути додані в білий список — тоді вони будуть мати пріоритет над фільтром і зможуть обходити його. Фільтрація контенту в системі відбувається більш ніж за 80 категоріям, які можуть бути заблоковані для всіх користувачів, крім тих, хто внесений в білий список.

MX Security Appliances синхронізується з хмарою Cisco Meraki у фоновому режимі, так що всі бази, політики, підписки і категорії завжди залишаються в актуальному стані, позбавляє адміністратора від необхідності ручного оновлення.

Відмовостійкість. Cisco Meraki MX Security Appliances підтримують кілька рівнів резервування, що забезпечує постійне підключення до WAN, безперебійний доступ до пристроїв і безшовний перехід на резервні ресурси у разі збою. Кожне пристрій Meraki MX підтримує подвійне підключення до WAN, що дозволяє в разі атаки або обриву з'єднання моментально переключиться на інший ресурс. Якщо це сталося, вбудована пріоритезація трафіку перенаправить і розподілить потоки потужності по новим пристроям, що забезпечить стабільну роботу мережі в аварійних ситуаціях. Таке підключення WAN підтримується як за гігабітного Ethernet-протоколу, так і за допомогою стільникового зв'язку — включаючи протоколи WCDMA, HSPA (3G), LTE і WiMAX (4G).

Адміністратор може вказати, який датацентр використовувати в якості основного ресурсу для загальних підмереж, а також визначити перелік інших пріоритетних вузлів, які будуть використовуватися у разі відмови основного датацентру при відключенні електроенергії або в разі атаки. Таким чином, якщо основний вузол піде в офлайн, система автоматично перенаправляє потоки на зазначені ресурси.

Контроль за програмами. Технологія перевірки та фільтрації мережевих пакетів за їх вмістом Deep Packet Inspection (DPI) дозволяє надійно контролювати використання тих чи інших програм в мережі і при необхідності блокувати їх роботу. Система аналізує не тільки IP-адреси, хости, порти і заголовки пакетів, але і застосовує евристичний аналіз трафіку. Це дозволяє виявляти навіть трафік таких програм, які маскуються під інші додатки.

За допомогою зручної системи пошуку адміністратор може знаходити програми та користувачів, які генерують більше всього трафіку. За допомогою політик пріоритезації трафіку їх можна обмежувати або знижувати/підвищувати в пріоритеті. Пріоритетність трафіку може розподілятися автоматично на основі членства в групах.

Також в системі Cisco Meraki є хмарна база підписів додатків. Вона постійно оновлюється і доповнюється, таким чином адміністратора не потрібно вручну встановлювати довірені програми та їх оновлення.

Пристрою
В Meraki MX є вісім моделей дротяних і бездротових мережевих шлюзів (про конкретних девайсах читайте нижче). Вони відрізняються за технічними характеристиками (наприклад, пропускної здатності брандмауера) і кількістю обслуговуваних клієнтів, але мають спільну рису — вбудовану систему безпеки, про елементи якої ми говорили вище, а також надійне залізо. Що знаходиться у них всередині розглянемо на прикладі моделі МХ400. Там є ємний жорсткі диск для кешування, центральний процесор забезпечує багаторівневий аналіз трафіку і інші функції, оперативну пам'ять для роботи системи фільтрації контенту та ряд мережних інтерфейсів для підключення мережевих пристроїв та інших пристроїв (наприклад, 3G/4G модем).



Малі шлюзи

MX64 — пристрій початкового рівня, призначений для підключення 50 клієнтів. Має пропускну здатність брандмауера 250 Мбіт/с і VPN 85-100 Мбіт/с. Шлюз має п'ять гігабітних портів і можливість підключення USB 3G/4G модем. Його побратим MX64W має такі ж можливості, але додатково оснащений модулем WiFi 802.11 ac.

Модель MX65 також має схожі характеристики, але кількість гігабітних портів в ній збільшено до 12, причому два з них підтримують технологію Power over Ethernet (PoE) — можливість передавати електричне живлення по витій парі. Пристрій MX65W також оснащений модулем WiFi 802.11 ac.



Середні шлюзи

Ці шлюзи відрізняються від малих не тільки збільшеною пропускною здатністю і розмірами, але і підтримкою зіркоподібних (Hub-and-spoke) топологій, в яких виступають в якості центральних вузлів (хабів).

Модель MX84 має пропускну здатність брандмауера 500 Мбіт/с і VPN 200-250 Мбіт/с, призначена для підключення 200 клієнтів. У ній є 10 гігабітних портів, два SFP-модуля і можливість підключення USB-модему. В якості хаба MX84 може забезпечувати підключення 100 периферійних точок (spokes). Також у цій моделі доступно веб-кешування.

До шлюзу MX100 можуть підключатися 500 клієнтів. Його пропускна спроможність — 750 Мбіт/с для брандмауера і від 350 до 500 Мбіт/с для VPN. Є дев'ять гігабітних портів, два модуля SFP і можливість підключення USB-модему. Як хаб він може приймати підключення від 250 пристроїв. Веб-кешування також присутня.



Великі шлюзи

Одна з головних особливостей самих просунутих моделей МХ, крім великої пропускної здатності, — це можливість підключення додаткових модулів. Завдяки цьому, можна масштабувати шлюзи в залежності від потреб.

Пристрій МХ400 призначений для підключення 2000 клієнтів. Пропускна здатність його брандмауера — 1 Гбіт/с, VPN — від 900 Мбіт/с до 1 Гбіт/с. Кількість гігабітних портів — до 20, також присутні до 16 SFP і до чотирьох SFP+. Також є можливість підключення USB 3G/4G-модема. В якості хаба до модель може підключати до 1000 пристроїв, є система веб-кешування і резервне джерело живлення.

Кількість портів в моделі МХ1000 таке ж, як у попередньої. Зате до неї може підключатися 10 000 клієнтів, як хаб вона приймає до 5000 пристроїв. Пропускна здатність брандмауера — 1 Гбіт/с, VPN — від 900 Мбіт/с до 1 Гбіт/с. Є можливість підключення USB-модему, веб-кешування і додаткове джерело живлення.



У підсумку
Побудова безпечної керованої з хмари мережі на базі обладнання Cisco Meraki MX не становить жодних труднощів. Система розгортається дуже швидко, настройка в основному відбувається автоматично, точно також як і управління — воно здійснюється за допомогою хмарних ресурсів Cisco з мінімальним втручанням адміністраторів. Вбудовані засоби безпеки дозволяють створити для користувачів комфортне середовище перебування. Гості будуть захищені від небажаного контенту, а для співробітників організований максимальний пріоритет для виконання службових завдань.

Різноманітність же міжмережевих екранів дозволяє підібрати саме те обладнання, яке потрібно для конкретної організації, не переплачуючи за зайву продуктивність.
Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.