نوشته‌ها

Cisco Application Control Engine برای دیتاسنترهای مجازی

 

Cisco Application Control Engine یا به اختصار Cisco ACE ، بخشی از راهکارِ Data-center 3.0 متعلق به شرکت Cisco می‌باشد که در دیتاسنتر‌های مجازی یا (Virtual Data Center (AVDC  کارایی دارد، آماده‌سازی و فعال‌سازی ماشین‌های مجازی را تسهیل می‌نماید.

Cisco ACE تنها راهکار مجازی برای ارائه برنامه‌های کاربردی و تعدیل بار (Load Balancing) در صنعت IT محسوب می‌شود که برای دستیابی به شرایط لازم برای ارائه برنامه‌های کاربردی کنونی طراحی شده است. این تکنولوژی به عنوان جدیدترین Load Balancer مجازی بوده و یک راهکار ارائه برنامه کاربردی با قابلیت تعدیل‌بار سرور، سوئیچینگ محتوا (Content Switching) و همچنین Offload کردن سرور و بهینه‌سازی برنامه‌های کاربردی به شمار می‌رود. قابلیت Load Balancing به عنوان قابلیت اصلی این تکنولوژی یک مکانیسم توزیع ترافیک در میان چندین سرور محسوب شده و امکان دسترس‌پذیری بالا (High Availability) در برنامه‌های کاربردی و به کارگیری منابع سرور‌ها را فراهم می‌نماید.

مجموعه محصولات Cisco ACE از قابلیت پاسخگویی به بسیاری از چالش‌‌های مهم در دیتاسنتر‌های مجازی برخوردار می‌باشند. این محصولات راهکاری برای ارائه برنامه‌های کاربردی فراهم می‌آورند که علاوه بر بهبود روند توسعه در برنامه‌های کاربردی به ارتقای قابلیت دسترس‌پذیری و استفاده مطلوب‌تر از منابع زیرساختی به کمک تکنولوژی‌های Offload و فشرده‌سازی می‌پردازد. محصولات Cisco ACE روند رو به تکاملی را طی می‌کنند تا قابلیت‌های زیر را با هدف ادغام آن در دیتاسنتر‌های مجازی دربر گیرند:

  • ماشین مجازی هوشمند: ارائه قابلیت دید بهتر(visibility) نسبت به وضعیت ماشین‌‌های مجازی، برنامه‌‌های کاربردی و زیرساخت‌های اصلی پشتیبانی
  • خودکارسازی: برخورداری از هماهنگی و یکپارچگی بهتر همراه با محصولات Third-Party از قبیل VMware vCenter که امکان پاسخ‌دهی پویا به تغییرات و اشتراک رویدادهای شبکه را برای Cisco ACE فراهم می‌نماید.
  • عملکرد و مقیاس: ارتقای سخت‌افزاری که الزامات مربوط به افزایش قابلیت مقیاس‌پذیری را در سازمان‌های بزرگ و مشتریان سرویس‌دهندگان پاسخ می‌دهد.
  • ساده‌سازی: ساده‌سازی فرآیند پیاده‌سازی و ایجاد روند نگهداری در حال توسعه که شامل فرآیند آماده‌سازی به شکلی ساده‌ از طریق تنظیمات هدایت شده، سهولت در پیاده‌سازی از طریق قابلیت‌های مجازی‌سازی در Cisco ACE و فرآیند ارتقای ساده‌سازی شده از طریق مدل Licensing

نحوه عملکرد Cisco AVDC

در اولین فاز از Cisco AVDC، به پیاده‌سازی برنامه‌های کاربردی در یک محیط VMwareی پرداخته می‌شود. بدین ترتیب فرآیند آماده‌سازی ارائه سرویس به شکلی ساده از طریق یکپارچه‌سازی Cisco ACE با VMware vCenter و به واسطه اجرای یکی از plug-in‌های آن محقق می‌گردد و به صورت کاملا ایمن با  Cisco Application Networking Manager یا ANM 3.1 مرتبط می‌شود.

کاربر با استفاده از VMware vCenter و کارکردهای یکپارچه‌شده از طریق Plug-In مربوطه، به قابلیت‌های زیر دست خواهد یافت:

  • قابلیت پیاده‌سازی ماشین‌های مجازی به عنوان سرور واقعی در Farmهای سرور فعلی
  • قابلیت مانیتور نمودن جریان ترافیک برنامه‌های کاربردی برای ماشین‌های مجازی از طریق Cisco ACE
  • قابلیت فعال‌سازی ایمن و ایجاد وقفه در جریان‌های ترافیک برنامه کاربردی از طریق Cisco ACE برای سرورهای واقعی مربوطه

مواردی همچون آماده‌سازی به صورت Single-Pane، مانیتورینگ ترافیک برنامه‌های کاربردی و مدیریت عملیات، موجب سهولت در پیاده‌سازی سرویس‌ها و عملیات‌ نگهداری برای برنامه‌های کاربردی و ماشین‌های مجازی می‌شود. ضمن اینکه سازمان‌ها برای دستیابی به این کارکردها نیازی به اجرای پروژه‌هایی مانند توسعه برنامه‌های کاربردی مدیریتی و یا یکپارچه‌سازی مجزا نداشته و این موارد به عنوان بخشی از پیشنهادات ارائه شده در Cisco ANM 3.1 می‌باشند.

چالش‌های Cisco AVDC

از جمله معمول‌ترین فعالیت‌های انجام شده در رابطه با مدیریت سرور‌های برنامه‌های کاربردی می‌توان به ایجاد اولیه‌ی سرورها و برنامه‌های کاربردی، آماده‌سازی جریان‌های ترافیک به سمت سرورها و برنامه‌های کاربردی و فرآیند نگهداریِ به موقع و در حال توسعه‌ی برنامه‌های کاربردیِ اجرا شده بر روی سرورها اشاره کرد.

در حالی که استفاده‌ی گسترده از ماشین‌های مجازیِ مبتنی بر VMware به عنوان سرور برای برنامه‌های کاربردی، دارای مزایای ارزشمند و مهم بسیاری می‌باشد اما به دلیل ارائه‌ی یک لایه مدیریتی اضافی موجب پیچیدگی بیشتری در فرآیند آماده‌سازی می‌گردد. در حال حاضر مالکان برنامه‌های کاربردی و مدیران سرور‌ها از یک دید واحد و End-to-End نسبت به سرویس‌های برنامه‌های کاربردی فراتر رفته‌اند؛ با توجه به مطالب بیان شده، باید توجه ویژه‌ای به لایه مدیریتیِ مجازی‌سازی سرور معطوف شود، چراکه به دلیل بخش‌بندی مضاعف و پیچیدگی، منجر به کاهش قابلیت دید در جریان ترافیک برنامه‌های کاربردی می‌گردد؛ به همین دلیل، حتی برای فرآیندهای بسیار معمول نگهداری نیز، تغییر کنترل از طریق یک لایه مدیریتی دیگر از پیچیدگی بیشتری برخوردار می‌گردد.

در صورتی که به مالکان برنامه‌های کاربردی و مدیران سرورها این امکان داده شود تا اموری از این قبیل را تنها بر روی منابع تخصیص داده شده‌ی خود به شکلی ایمن اجرا نمایند، نیاز به کنترل دسترسی با ایمنی بیشتری ایجاد می‌شود؛ در غیر این صورت، این امور به شکلی ایمن به افراد مسئول در این حوزه محول نخواهد شد و در نتیجه کارکرد دیتاسنتر مجازی از حد مطلوب خارج می‌گردد.

Cisco AVDC به رفع چالش‌هایی که در ادامه این مقاله به بررسی آن ها می‌پردازیم، کمک می‌نماید.

پیچیدگی در امور آماده‌سازی:

یکی از قابلیت‌های یکپارچه شده‌ در VMware vCenter با هدف افزودن یک ماشین مجازی جدید به Farmهای فعلی سرور، موجب تسهیل فرآیند آماده‌سازی سرورهای برنامه کاربردی به صورت End-to-End و کاهش زمان پیاده‌سازی می‌گردد.

قابلیت دید پایین:

مالکان برنامه‌های کاربردی و مدیران سرورها می‌توانند شاهد جریان ترافیک‌ها از Cisco ACE به سرورهای خود باشند که الزام به‌کارگیری ابزارهای دیگر جهت عیب‌یابی و مدیریت برنامه‌های کاربردی و سرویس‌ها را از میان می‌برد.

پیچیدگیِ تغییر نظارت و کنترل:

با نصب Plug-in مربوط به Cisco ACE VMware vCenter، فرآیند نگهداری از ماشین‌های مجازی و همچنین امور مربوط به نگهداری مدیریت ترافیک به صورت Single Pane قابل اجرا می‌باشد. امور معمول همچون حذف سرورهای هدف از جریان ترافیک و مدیریت سرورها می‌توانند به جای دو موقعیت از یک موقعیت و به جای دو روند مجزا طی یک روند اجرا گردند. این امور می‌توانند بر حسب ترجیح کاربر از طریق یک برنامه‌ مدیریت دامنه مانند VMware و یا Cisco ANM 3.1 اجرا گردند.

کنترل دسترسی ایمن اختصاص یافته:

از آنجایی که Plug-In مربوط به Cisco ACE VMware vCenter از طریق Cisco ANM می‌تواند یک واسط کاربری را به صورت Transparent برای محیط Cisco ACE فراهم ‌آورد، تمام قدرت و امنیت ارائه شده توسط کنترل دسترسی مبتنی بر نقش (Role-Based Access Control) در Cisco ANM قابل استفاده خواهد بود.

در نتیجه کاربران به مشاهده سرورهایی محدود می‌شوند که حق مدیریت آن را داشته و تنها از امکان اجرای فرآیندهایی از Cisco ACE برخوردار خواهند بود که مجوز آن را دارا باشند.

دلایل پیاده‌سازی Cisco AVDC در کسب‌و‌کارهای مختلف

تهیه سریع‌تر برنامه‌های کاربردی:

آماده‌سازی ساده با استفاده از Cisco AVDC موجب کاهش تعداد مراحل ضروری برای آماده‌سازی و تا حدی باعث صرفه‌جویی در زمان واقعی پردازش می‌گردد. مساله مهم‌تر آن است که این فرآیند آماده‌سازی ساده‌ همراه با تغییر کنترل اختصاص یافته به صورت ایمن برای فرآیندهای Load Balancing پرکاربرد در مدیریت سرور، موجب کاهش زمان کلی مورد نیاز برای تکمیل Tear-Down و پیاده‌سازی برنامه کاربردی می‌گردد.

مجازی‌سازی دیتاسنترها:

در مرحله اول از Cisco AVDC، فرآیند انتقال از سرورهای فیزیکی به سمت سرورهای مجازی، با تنها راهکار مجازی ارائه برنامه کاربردی و Load Balancing مجازی شده در صنعت به طور مستقیم توسط Cisco پشتیبانی می‌گردد. مراحل بعدی بر اساس این پیشنهاد بوده و میزان هوشمندی Cisco AVDC را جهت دستیابی به سطوح بالاتری از خودترمیمی، عملکرد و قابلیت در دیتاسنتر مجازی گسترش می‌دهد.

روند عیب‌یابی در محیط‌های سرور مجازی:

Plug-in مربوط به VMware vCenter، اپراتور‌ها را قادر می‌سازد تا دیدی نسبت به جریان ترافیک برنامه‌های کاربردی در رابطه با کنترل‌گر ارائه برنامه کاربردی (Cisco ACE)، در دست داشته باشد. ضمن اینکه این قابلیت می‌تواند اجرای سریع و کارآمد عملیات‌های معمول و فرآیندهای مربوط به عیب‌یابی (Troubleshooting) را تسهیل ‌نماید.

مقیاس‌بندی:

همزمان با حرکت تکاملی دیتاسنترها از یک مدل‌ فیزیکی مبتنی بر سخت‌افزارِ اختصاصی با قابلیت پشتیبانی از برنامه‌های کاربردی یا کاربران مشخص به سمت مدل‌هایی که از مجازی‌سازی جهت جداسازی سخت‌افزارهای اصلی در دیتاسنتر استفاده می‌کنند، Cisco AVDC می‌تواند بدون افزایش هزینه‌ها و منابع لازم جهت اداره و مدیریت امور موجب توسعه گردد.

کاهش ریسک:

Cisco AVDC با در دسترس قرار دادن بخش‌های مرتبط از فرآیند‌های مجازی‌سازی شده Load Balancing و سرویس‌های ارائه شده برنامه‌ها برای مالکان مجاز برنامه‌های کاربردی و مدیران سرور، موجب کاهش ریسکِ آماده‌سازی و حفظ روند تغییر نظارت و کنترل می‌گردد.

 

دستورات مهم برای افزایش امنیت تجهیزات سیسکو

ایجاد امنیت در تجهیزات سیسکو در این مقاله سعی شده است با یک بیان خیلی ساده ۱۰ دستور ابتدایی سیسکو جهت بالابردن امنیت تجهیزات cisco را به شما معرفی کنیم . این نکته را فراموش نکنید این دستورات درعین سادگی خیلی مهم هستند و عدم رعایت این موارد ممکن است باعث صدمات بسیار جدی به شبکه شما شود.

 

۱- تعیین طول پسورد

با استفاده از دستور زیر شما می توانید طول پسوردهای ورودی در سیسکو را مدیریت کنید. این نکته لازم به ذکر است که سعی کنید حداقل از طول ۸ کارکتر جهت بالا بردن امنیت تجهیزات خود استفاده نمایید.

(Router (config) #security passwords min-length 8 ( Minimum length of all user/enable passwords

طول پسورد را می توان از صفر تا ۱۶ کاراکتر مشخص کرد.

۲- استفاده از دستور Enable Secret

همانظور که می دانید یکی از دستوراتی که خیلی در پیکربندی تجهیزات سیسکو استفاده می شود دستور  enable password  است اما به علت مشکل امنیتی و عدم کد گذاری پسورد پیشنهاد می شود از دستور Enable Secret  استفاده کنید.

*Router (config) #enable secret cisco123

 

۳- قراردادن پسورد درراه های دسترسی به تجهیزات

ما جهت دسترسی به تجهیزات سیسکو روش های مختلفی از قبیل vty , Comsole , aux … داریم که برای بالا بردن امنیت تجهیزات سیسکو خود می بایست پسورد مناسبی جهت دسترسی به آن ها قرار دهیم تا از دسترسی افراد سودجو به تجهیزات جلوگیری کنیم.

۴- فعال سازی سرویس کدگذاری پسوردها

با استفاده از سرویس password encryption  به صورت خودکار تمام رمزهای مشخص شده کد گذاری می شوند.

Router (config) #service password-encryption

 

۵- غیرفعال کردن Password Recovery

همانطور که می دانید امکان Password Recovery در محیط Rommon در تجهیزات سیسکو وجود دارد که این قابلیت در محیط های که تجهیزات در محیط های امنی از لحاظ فیزیکی وجود ندارند می تواند بسیار خطرناک باشد زیرا هکر به راحتی می تواند با استفاده از این قابلیت به تجهیزات ما دسترسی پیدا کند. با استفاده از دستور زیر می توانید این قابلیت را غیر فعال کنید.

 

Router (config) # no Service Password Recovery

 

۶- محدودیت در تعداد دفعات وارد کردن پسورد

یکی از روشهای هک استفاده از حملات کرکینگ است که در این روش هکر به صورت مکرر از یک دیکشنری جهت وارد کردن پسورد استفاده می کنند از این رو ما باید برای ورود پسوردها محدودیت ایجاد کنیم برای این امر از دستور زیر استفاده می کنیم.

 

Router (config) # Security authentication failure rate 5  

 

با توجه به دستور بالا اگر ۵ بار پسورد اشتباه زده شود ۱۵ ثانیه وقفه در دادن پسورد ایجاد می شود.

 

۷- محدودیت زمان کار نکردن کاربر با تجهیزات

(Router (config) #line console 0 (Vty or Aux 

(Router (config-line) #exec-timeout 2 (Min) 30 (Sec

 

با توجه به دستور بالا در صورتی که کاربر ۲ دقیقه ۳۰ ثانیه کانفیگی انجام ندهد ارتباط قطع می شود و باید مجددا متصل شویم.

 

۸- محدودیت تعداد دفعات لاگین اشتباه در یه بازده زمانی خاص

Router (config) #login block-for 30 attempts 5 within 10

 

در کد بالا اگر کاربری در ۱۰ ثانیه ۵ بار اشتباه پسورد را وارد کند به مدت ۳۰ ثانیه بلاک می شود.

 

۹- مخفی کردن فایل Boot

جهت بالابردن امنیت تجهیزات سیسکو ، فایل boot خود را با استفاده از دستور بالا می توانید مخفی کنید.

 

Router(config)#secure boot-image

 

۱۰- ایجاد پشتیبان مخفی از کانفیگ تجهیزات

Router(config)#secure boot-config

 

جهت نمایش فایل های مخفی می توانیم از دستور زیر استفاده کنیم.

 

Router # show secure bootset

 

 

منبع : nooran.com

 

 

سیسکو pxGrid

pxGridسیسکو

 یکپارچگی تکنولوژی های امنیتی با pxGride

 

با استفاده از پلتفرم Cisco pxGrid  یا Platform Exchange Grid ، محصولات امنیتی مختلف شما به راحتی قادر هستند که با یکدیگر تبادل اطلاعات نمایند و اطلاعات را به اشتراک بگذارند. Cisco pxGride پلتفرم باز، مقیاس‌پذیر و بر اساس استاندارهای IETF می‌باشد که دارای قابلیت کنترل تهدیدات و اشتراک‌گذاری داده‌ها است. این پلتفرم بستری را فراهم می‌نماید عملیات امنیتی نیز می‌توانند از قابلیت خودکار‌سازی بهره گیرند تا سریع‌تر به پاسخ‌ها دست یافته و از تهدیدات جلوگیری کنند.

 

قابلیت ها و مزایا

یکپارچه‌سازی ساده‌تر

این پروفایل از یک API برای باز نمودن، اشتراک‌گذاری داده‌ها و کنترل بیش از ۵۰ محصول امنیتی استفاده می‌نماید.
Cisco pxGrid کمک می‌نماید تا یک اکوسیستم کامل از تکنولوژی‌هایِ سازگار و مطابق با استانداردهای غیرمشابه IETF در کنار هم کار کنند. بنابراین کاربر می‌تواند به جای مجموعه‌ای از APIهای غیرمرتبط صرفا از یک واسط کاربری واحد استفاده نموده و آن را حفظ نماید.

قابلیت دید سریع برای بهروری بالاتر

کلیه داده‌های ساختاری و مرتبط را در یک صفحه واحد ارائه می‌نماید. ضمن اینکه علاوه بر امکان سفارشی‌‌سازیِ نحوه اشتراک و نمایش داده‌های امنیتی، می‌توان وضعیت امنیتی از جمله رویدادهای آتی را با وضوح و دقت بیشتری مشاهده نمود و کارایی کارکنان را بهبود بخشید.

مهار سریع تهدید

با استفاده از Cisco pxGrid، تحلیل کاملی بر روی سیستم جهت دستیابی به پاسخ‌‌های سریع اجرا می‌گردد. هوشِ امنیتی را می‌توان به صورت خودکار بین همه تکنولوژی‌های یکپارچه‌سازی شده‌ی pxGrid به صورت مجازی به اشتراک گذاشت. ضمن اینکه ضرورتی برای بررسی‌های طولانی مدت توسط کاربر وجود ندارد و می‌توان عملیات‌های امنیتی را در زمان کمتری به نتیجه رساند.

 

دستیابی به پاسخ‌های سریع‌تر

با pxGrid امکان توقف سریع تهدیدات با استفاده از بستر شبکه فراهم می‌گردد.  به هر یک از تکنولوژی‌های یکپارچه و دارای قابلیت بر روی Instanceهای خود اجازه می‌‌دهد تا Cisco Identity Services Engine یا به اختصار ISE را برای دربرگرفتن تهدیدات هدایت نماید تا بدین ترتیب بتوان هر نوع حمله‌ای در شبکه را متوقف نمود.

تکنولوژی‌های مبتنی بر استانداردهای صنعتی

Cisco به عنوان یکی از اعضای گروه IETF متعهد شده است تا هوشمندی سیستم به اشتراک گذاری را به صورت ایمن، باز و مقیاس‌پذیر به تولید کند. pxGrid و تکنولوژی‌های آن مطابق با استانداردهای مورد نظر می‌باشند.
Cisco همواره در IETF ، SACM (Secure Automation and Continuous Monitoring) ، MILE (Managed Incident Lightweight Exchange) شرکت میکند.

اجزای Cisco pcGrid

ناظر pxGrid

این ناظر می‌تواند اتصالات بین پلتفرم‌ها را تنظیم نماید. ضمن اینکه اطلاعات متنیِ قابل اشتراک بین این پلتفرم‌ها را نیز تعیین می کند. این عملکرد کنترل از طریق Cisco ISE ارائه می‌گردد.

عامل اتصال در pxGrid

این عمل در پلتفرم ادغام می‌شود تا با ناظر pxGrid مرتبط گردد. پلتفرم Cisco pxGrid به تنظیم اطلاعات قابل اشتراک و تعیین سایر پلتفرم‌های امنیتی می‌پردازد.

تکنولوژی های Cisco

در میان API های چندگانه بیش از ۱۰ محصول Cisco از فرایند یکپارچه‌سازی با محصولات دیگر سیسکو و تکنولوژی‌های مرتبط پشتیبانی می نمایند

Cisco DevNet

توسعه دهندگان سرویس‌های سیسکو به تسهیل فرایند یکپارچه‌سازی محصولات با کیفیت، از قبیل اعتبارسنجی و صدور گواهینامه با این پلتفرم می‌پردازند.

پشتیبانی فنی

سرویس‌های پشتیبانی سیسکو به سایر شرکای امنیتی سازمان‌ها در رفع چالش‌های مربوط به یکپارچه‌سازی کمک می‌نماید.

امروز اقدام به یکپارچه سازی و افزایش امنیت سازمان خود کنید

برخی از محصولات امنیتی قابلیت ادغام با Cisco pxGrid را دارند، که جهت شناسایی آنها می‌توان به وبسایت Cisco مراجعه نمود.