Cisco Application Centric Infrastructure یا به اختصار Cisco ACI، معماری جدید و خلاقانهای است که به طور کلی موجب تسهیل، بهینهسازی و تسریع چرخه پیادهسازی برنامه میگردد.
Cisco ACI از یک رویکرد جامع مبتنی بر سیستم استفاده نموده که دارای ویژگیهایی مانند یکپارچه سازی کامل میان اجزاء فیزیکی و مجازی، مدل Open Ecosystem و نوآوری جدید ICهای خاص برنامههای کاربردی تحت عنوان ASIC ، سختافزار و نرمافزار جدید میباشد. این رویکرد منحصربفرد از مدل عملیاتی مبتنی بر Policy مشترک در سراسر شبکه و اجزاء امنیتیای که از Cisco ACI و همچنین اجزاء Computing و Storage در آینده نزدیک پشتیبانی میکنند، استفاده نماید، علاوه بر آن موجب تسلط بر Siloهای IT و کاهش قابل ملاحظه هزینهها و پیچیدگی فرایند، میگردد.
مزایای استفاده از Cisco ACI در رفع مشکلات امنیتی
Cisco ACI به چالشهای امنیتی و تطبیق پذیری دیتاسنترهای نسل بعدی (Next-Generation Data Center) و محیطهای Cloud میپردازد. درواقع با انتقال سازمانها به نسل جدید دیتاسنترها و محیطهای Cloud، خودکارسازی Policyهای امنیتی مستلزم پشتیبانی از شرایط آمادهسازی برحسب تقاضا و مقیاسپذیری دینامیکِ برنامههای کاربردی میباشد و از طرفی مدیریت امنیت بصورت دستی و مبتنی بر تجهیزات، مستعد بروز خطا و ناامنی است. هنگامی که حجم کاری برنامه در یک محیط دیتاسنتری اضافه، اصلاح و یا جابجا میشوند، Policyهای امنیت میبایست با Endpointهای برنامهکاربردی تطابق یابند زیرا ایجاد و حذف Policyهای پویا برای تضمین ترافیک سراسری و کنترل تحرکپذیری (Mobility) برنامهکاربردی ضروری میباشد. اصولا قابلیت دید نسبت به ترافیک، به منظور شناسایی و کاهش حملات پیشرفتهی هدفمند و ایمنسازی Tenantها، بسیار مهم میباشد.
Cisco ACI Security برای نسل جدید دیتاسنترها و Cloud
Cisco ACI جهت رفع نیازهای امنیتی Data Centerهای نسل بعدی و محیطهای Cloud از یک رویکرد جامع مبتنی بر سیستم استفاده مینماید که برخلاف راهکارهای جایگزین امنیتی شبکههای مجازیسازی شده مبتنی بر Overlay ، که قابلیت دید و مقیاسپذیری محدودی ارائه میدهند و نیازمند مدیریت جداگانه تجهیزات شبکه Underlay (زیرلایه) و Overlay (همپوشانی) و Policyهای امنیت میباشد. راهکار امنیتی Cisco ACI علاوه بر تطابقپذیری، کاهش خطر منافذ امنیتی را تضمین مینماید و با استفاده از یک رویکرد برنامهمحور و مدل مشترک عملیاتی مبتنی بر Policy، بطور ویژهای نیازهای امنیتی Data Centerهای نسل بعدی را برآورده مینماید.
فراهم نمودن امکان مدیریت یکپارچه امنیت Policy توسط Cisco ACI Security، از طریق به اجرا درآوردن پالیسیها در هر جایی از دیتاسنتر و بر روی تمامی WorkLoadهای واقعی و مجازی ایجاد شده است. این راهکار، روند خودکارسازیِ کاملی را از لایه ۴ تا ۷ پالیسیهای امنیت ارائه داده و همزمان با فراهم نمودن قابلیت دید عمیق، تطابق خودکار Policy و تشخیص سریع و کاهش تهدیدات، از استراتژی Defense-In-Depth نیز پشتیبانی مینماید. Cisco ACI تنها رویکردی است که با ارائه بخشبندی که Dynamic بوده و برنامهمحور میباشد، بر برنامهکاربردی تمرکز دارد.
مزایای اصلی Cisco ACI Security
در ادامه به بررسی بیشتر ویژگیها و مزایای اصلی Cisco ACI Security میپردازیم:
ارائه مدل Policy برنامهمحور
فراهم نمودن دیدکلی سطح بالا توسط Cisco ACI، با استفاده از گروههای Endpoint یا به اختصار EPG صورت میگیرد و برای انجامPolicy های سادهتر، نسبت به توپولوژی شبکه باید از زبان برنامههای کاربردی بیشتری استفاده نماید. رویکرد Policy مبتنی بر Whitelist در Cisco ACI مسدود نمودن ترافیک میان EPGها از مدل Zero-Trust پشتیبانی مینماید مگر اینکه یک Policy دقیقا اجازه ترافیک میان EPGها را صادر نماید.
یکپارچهسازی مدیریت Policy امنیتی لایههای ۴ تا ۷
Cisco ACI، پالیسیهای امنیتی لایههای ۴ تا ۷ را در ساختار یک برنامهکاربردی، بصورت مرکزی مدیریت و خودکارسازی مینماید و این کار را با استفاده از یک مدل Policy مبتنی بر برنامه و بصورت یکپارچه و از طریق مرزهای واقعی و مجازی و همچنین تجهیزات Third-Party، انجام میدهد. این رویکرد موجب کاهش پیچیدگی عملیاتی و افزایش چابکی IT، بدون ایجاد تهدیدات امنیتی میشود.
بخشبندی مبتنی بر Policy
Cisco ACI بخشبندی (Segmentation) دقیق و منعطف Endpointهای فیزیکی و مجازی را براساس Policy Groupها فراهم نموده و در نتیجه موجب کاهش محدودهی تطبیقپذیری و خطرات امنیتی میگردد.
تطبیقپذیری خودکار
Cisco ACI تضمین مینماید که پیکربندی در این ساختار همیشه با Policyهای امنیتی مطابقت داشته باشد و Cisco APIها بتوانند برای استخراج Policy و Audit Logها از Application Policy Infrastructure Controller یا به اختصار APIC استفاده نموده و گزارشات تطبیقپذیری را ایجاد نمایند که به عنوان مثال میتوان به گزارش تطبیقپذیری PCI اشاره نمود. این ویژگی موجب ارزیابی ریسک در IT به صورت Real-Time شده و خطر عدم تطابقپذیری برای سازمانها را کاهش میدهد.
امنیت یکپارچه در لایه ۴ برای ترافیکهای درون دیتاسنتر بین سرورها
ساختار Cisco ACI شامل یک فایروال Stateless لایه ۴ توزیعی به صورت Built-In میباشد تا ترافیک بین سرورها رادرون یک دیتاسنتر میان اجزاء برنامه کاربردی و تمامی Tenantها در یک دیتاسنتر ایمن نماید.
چارچوب Open Security
Cisco ACI به منظور پشتیبانی از درج سرویسهای پیشرفته برای خدمات امنیتی لایههای حساس ۴ تا ۷ در جریان ترافیکی برنامهکاربردی، صرفنظر از مکان آنها در دیتاسنتر، چارچوب Open Security (شامل APIs و پروتکل OpFlex) ارائه میدهد.
این سرویسها شامل موارد زیر میباشد:
- Intrusion Detection Systems یا به اختصار IDS
- Intrusion Prevention Systems یا به اختصار IPS
- سرویسهای فایروال نسل بعدی یا به اختصار NGFW مانند Cisco Adaptive Security Virtual Appliance یا به اختصار ASAv،Cisco ASA 5585-X Adaptive Security Appliance و تجهیزات امنیت Third-Party میباشند.
لازم به ذکر است این ویژگی موجب استراتژی امنیتی Defense-In-Depth و حفاظت از سرمایهگذاری خواهد شد.
قابلیت دید عمیق و تشخیص سریع حملات
با استفاده از این قابیلت Cisco ACI میتواند دادههای زمان بروز ترافیک شبکه را جمعآوری نمود و از شمارندههای اتمی به منظور ارائه هوشمندی در شبکه به صورت Real-Time و فراهم نمودن قابلیت دید عمیق به تمامی مرزهای فیزیکی و مجازی شبکه، پشتیبانی مینماید. این ویژگی موجب تشخیص سریع حملات در اوایل چرخه حمله میشود.
پاسخ خودکار به مشکلات
Cisco ACI از قابلیت پاسخگویی خودکار به تهدیدات شناسایی شده در شبکه پشتیبانی مینماید و این کار را با استفاده از Northbound APIها انجام میدهد که امکان ادغام با پلتفرمهای امنیتی را فراهم میسازد.
دیدگاه خود را ثبت کنید
تمایل دارید در گفتگوها شرکت کنید؟در گفتگو ها شرکت کنید.