Проблема защиты информации в современном ЦОДе и способы ее решения

1 C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены.

ТЕНДЕНЦИИ ЦОД

ОБЛАЧНЫЕ СРЕДЫ ВИРТУАЛИЗАЦИЯ

СООТВЕТСТВИЕ ТРЕБОВАНИЯМ

ПРИОРИТЕТЫ

50%

55%

58%

59%

62%

65%

66%

66%

68%

69%

70% 76%

0% 10% 20% 30% 40% 50% 60% 70% 80%

Инициативы повышения энергоэффективности/экологичности

Возможность использования новых приложений

Централизация ИТ-сервисов

Консолидация оборудования

Повышение масштабируемости

Консолидация ЦОД

Расширение возможностей управления

Виртуализация

Снижение эксплуатационных затрат

Хранение данных/резервное копирование

Сокращение простоев

Повышение уровня безопасности

Основные причины инвестиций в технологии центров обработки данных

Процент респондентов, выставивших балл 6 или 7

Стимулы

Источник: Стратегии развертывания центров обработки данных: Исследование североамериканских компаний, Infonetics, февраль 2011 г.

Повышение уровня безопасности

АДЕКВАТНОСТЬ

МОЖЕТ решить проблемы виртуализации и перехода на облачные среды

МОЖЕТ сократить циклы обновления центров обработки данных

МОЖЕТ решить проблемы соответствия нормативным требованиям

МОЖЕТ обеспечить отличие вашего подхода от предложений конкурентов

МОЖЕТ увеличить объем сделок

МОЖЕТ повысить ваш статус доверенного советника

БЕЗОПАСНОСТЬ

Превращение ВОЗМОЖНОСТИ в РЕАЛЬНОСТЬ

C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 5

•  Сегментация физических и виртуальных ресурсов

•  Виртуализация и различные гипервизоры

•  Защита в сетях хранения данных

•  Контроль приложений

•  Утечки данных

•  Соответствие требованиям

•  Доступность и обеспечение бесперебойного функционирования

•  Переход к облачным вычислениям


•  Множество продуктов, политик, неуправляемых и чужих устройств, а также доступ в облака

Бизнес-контекст

УПРАВЛЕНИЕ

Вычисления Вычисления

Сеть

Хранение

Сеть Хранение Управление УНИФИЦИРОВАННЫЙ ЦЕНТР ОБРАБОТКИ

ДАННЫХ

БЕЗОПАСНОСТЬ Сегментация Защита от угроз Прозрачность

АПРОБИРОВАННАЯ АРХИТЕКТУРА

Data Center Security CVD

Виртуальный мультисервисный центр обработки данных

Физическая | Виртуальная | Облачная среда


Сегментация

•  Установление границ: сеть, вычисления, виртуальные ресурсы •  Реализация политики по функциям, устройствам, организациям •  Контроль доступа к сетям, ресурсам. приложениям

Защита от угроз

•  Блокирование внутренних и внешних атак •  Контроль границ зоны и периметра •  Доступ к управляющей информации и ее использование

Прозрачность

•  Обеспечение прозрачности использования •  Применение бизнес-контекста к работе сети •  Упрощение отчетности по операциям и соответствию нормативным требованиям


•  Одно приложение на сервер •  Статическая •  Выделение ресурсов вручную

•  Множество приложений на сервер •  Мобильная •  Динамическое выделение ресурсов

•  Множество пользователей на сервер

•  Адаптивная •  Автоматическое масштабирование

ГИПЕРВИЗОР VDC-1 VDC-2

НАГРУЗКА В ФИЗИЧЕСКОЙ

СРЕДЕ

НАГРУЗКА В ВИРТУАЛЬНОЙ

СРЕДЕ

НАГРУЗКА В ОБЛАЧНОЙ

СРЕДЕ

Cisco Nexus® 1000V, Nexus 1010, VM-FEX UCS для виртуализованных сред

NetApp, EMC

Сеть Вычисления Хранение

Cisco Nexus 7K/6K/5K/4K/3K/2K Cisco UCS для оборудования без

установленного ПО EMC, NetApp

Мультиконтекстное устройство ASA, ASA 1000V, виртуальное устройство WSA/ESA

VSG

Периметр Зона

Cisco ASA5585, ASA-SM, IPS4500, WSA

---

Проекты Data Center Security CVD Виртуальный мультисервисный центр обработки данных (VMDC)


ТРАДИЦИОННАЯ СЕТЕВАЯ МОДЕЛЬ

ТЕКУЩАЯ МОДЕЛЬ SDN В ЦОДАХ

БУДУЩАЯ ОТКРЫТАЯ

МОДЕЛЬ

Сеть узлов Виртуализация SDN

Application Centric Infrastructure

Виртуализированные МСЭ Cisco ASA 1000V / VSG Cisco ONE / eXtensible

Network Controller Cisco vESA / vWSA Imperva WAF / Citrix

NetScaler

Традиционные решения по защите

ЦОД Межсетевой экран

«север-юг» Предотвращение

вторжений

Cisco ACI Cisco Application

Programmable Interface Controller (APIC)

Cisco ASAv


Сегментация с помощью матрицы коммутации

UCS Fabric Interconnect

Сегментация сети Физическая среда Виртуальная среда (VLAN, VRF) Виртуализованная среда (зоны)

Сегментация с помощью межсетевого экрана

Динамический аварийный/рефлективный список ACL

Мультиконтекстная сеть VPN

Сегментация с учетом контекста

Метки для групп безопасности (SGT) Протокол безопасной передачи (SXP)

ACL-списки для групп безопасности

TrustSec

Реализация согласованных политик независимо от физических и виртуальных границ для защиты данных стационарных и мобильных систем.

7%

17%

76%

Трафик между ЦОДами Восток – Запад

Север – Ю

г

ТЕНДЕНЦИИ ТРАФИКА ЦЕНТРОВ ОБРАБОТКИ ДАННЫХ


Физическая среда

Cisco® ASA 5585-X

Модуль ASA SM для Cisco Catalyst 6500

•  Проверка всего трафика центра обработки данных в устройстве обеспечения безопасности периметра сети

•  Высокая скорость для всех сервисов, включая всю систему предотвращения вторжений (IPS), благодаря единой среде передачи данных между зонами доверия

•  Разделение внешних и внутренних объектов сети (трафик «север-юг»)

Трафик «север - юг». Проверка всего входящего и исходящего трафика центра обработки данных

Виртуальная

/ многопользовательская

среда Виртуальный межсетевой экран ASAv контролирует границы

сети

Виртуальный шлюз безопасности (VSG) контролирует зоны Виртуальный шлюз безопасности Cisco

(VSG)

Cisco ASAv Виртуальный

межсетевой экран

Трафик «восток-запад». Создание безопасных зон доверия между приложениями и пользователями в центре обработки данных

•  Разделение пользователей в многопользовательских средах

•  Разделяет приложения или виртуальные машины у одного пользователя

Сегментация


Сервисы МСЭ, IPS и VPN для ЦОДПроизводительность •  35 Gbps производительности МСЭ •  Производительность МСЭ и IPS 10 Gbps •  Мастабируется до 10,000 VPN-пользователей

Защита инвестиций •  Масштабируемая аппаратная платформа

Мультисервисная безопасность от лидера •  Защита от современных угроз с Botnet Traffic Filtering и аппаратно-ускоренной IPS с сервисом глобальной корреляции

•  Безопасный доступ с Cisco AnyConnect™

Высокопроизводительная и масштабируемая аппаратная платформа

Конфиденциальная информация Cisco C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 15

Сервисный модуль ASA Устройство ASA 5585

Обеспечивает плотность в 8 раз выше, чем продукты конкурирующих производителей В 4 раза большее количество сеансов

В 2 раза большее количество соединений в секунду

В 2 раза более высокая эффективность защиты

В 6 раз ниже потребление электроэнергии

Выход за рамки традиционных решений благодаря лидирующим в отрасли системным возможностям

64 Гбит/с

1,2 млн соединений в секунду

1000 виртуальных контекстов

4000 сетей VLAN

Cisco® ASA 5585-X v9.0 с функцией кластеризации

Сегментация с использованием межсетевого экрана


•  CTX ASA Context Mode

•  vPC Virtual PortChannel

•  VDCs Nexus 7000 Series Virtual Device Contexts

•  VSS Cisco Catalyst 6500 Series Virtual Switching System

•  VXI Cisco Virtualization Experience Infrastructure

Высокопроизводительные Firewall, VPN и IPS для

ЦОД

Поддержка и интеграция


•  Разделение контекстов VDC является сертифицированным отраслевым механизмом защиты от утечки информации Лаборатории NSS для сред, соответствующих стандартам PCI FIPS 140-2 Стандарт Common Criteria Evaluation and Validation Scheme — сертификат №10349


ASA 5585-S10P10

ASA 5585-S20P20

ASA 5585-S40P40

ASA 5585-S60P60

Производительность и масштабируемость

ЦОД Локальная сеть Филиал

Удовлетворение требований клиентов

FWSM ASASM


•  С версии ASA 9.0: •  До 640 Гбит/сек в кластере •  Обновление ПО без остановки сервиса

•  Управление потоками трафика для обеспечения инспекции

•  Отсутствие единой точки отказа •  Синхронизация состояний внутри кластера для аутентификации и высокой доступности

•  Централизованное управление и мониторинг

•  Можно начинать с двух МСЭ •  Inter DC Clustering (с ASA 9.1.4)

2 x

10G

bE D

ata

Traf

fic P

ort C

hann

el

Cluster C

ontrol Link


Security Admin

Port Group

Service Admin

Virtual Network Management Center •  Консоль управления VSG •  Запуск на одной из VMs

Virtual Security Gateway •  Программный МСЭ •  Запускается на одной из VMs •  Сегментация и политики для всех VMs

Nexus 1000V with vPath •  Распределенный virtual

switch •  Запускается как часть гипервизора

Физический сервер •  UCS или •  Другой x86

server


Cisco® ASAv

Проверенное аппаратное решение безопасности от Cisco теперь в виртуализированной среде

Открытая архитектура Multi-hypervisor

Multi-vswitch

Открытые API

Гибкая модель лицензирования


Функционал ASA

ASAv

Нет кластеризации и мультиконтестности

•  Соответствие функционала физической ASA •  Масштабирование через виртуализацию •  До 10 vNIC интерфейсов •  Программная криптография

•  SDN и традиционные методы управления •  Масштабируется до 4 vCPUs и 8 GB памяти •  Возможность поддерживать 1 политику на физических и виртуальных ASA


Физическое устройство

Виртуальное устройство

Nexus® 1000V Third-Party Switch vSwitch

VMware

Полный набор возможностей ASA

Унифицированное гибкое лицензирование

API BASED

APIC

KVM Hyper-V Xen

Third-Party CMP CSM PNSC ASDM CLI


Data Sheet Metric ASAv10 ASAv30

Stateful Inspection Throughput (Maximum) 1 Gbps 2 Gbps

Stateful Inspection Throughput (Multi-Protocol) 500 Mbps 1 Gbps

Concurrent Sessions 100,000 500,000

Connections Per Second 20,000 60,000 VLANS 50 200 Cisco® Cloud Web Security Users 150 500

3DES / AES VPN Throughput 125 Mbps 300 Mbps

S2S IPSec IKEv1 Client VPN User Sessions 250 750

Cisco AnyConnect® or Clientless User Sessions 250 750

UC Phone Proxy 250 1000


Perpetual contract until terminated

Service Provider

Pay Per Use (hours number of cores

used)

Post-Paid (monthly / quarterly billing

cycle)

Usage-Based Licensing

Term-Based Licensing

1 Year

Enterprise

Traditional Static Payment

Pre-Paid

3 Year 5 Year

ASAv ASA1000V (Edge) Virtual Security Gateway

Режимы L2 и L3 Только режим L3 routed Режим L2 (прозрачный)

Динамическая и статическая

маршрутизация

Только статические маршруты Нет маршрутизации

Поддержка DHCP server и client

Поддержка DHCP server и client Нет поддержки DHCP

Поддержка S2S и RA VPN

Поддержка site-to-site IPSEC Нет поддержки IPSEC

Управляется CLI, ASDM, CSM, APIC

Управляется ASDM и PNSC

Управляется только PNSC

Полный код ASA, CLI, SSH, REST API*

Использование кода ASA, CLI, SSH

Минимальная настройка через CLI,

SSH 26


1.  Запрос на доступ в сеть

2.  Авторизация + атрибуты доступа (VLAN,

ACL, SGT, MacSec)

3.  Трафик с метками SGT

4.  МСЭ и коммутаторы фильтруют трафик по

меткам групп

0. Категорирование пользователей и ресурсов

Сервер Б Сервер A

Пользователь А Пользователь Б

App

ISE

Канальное шифрование

DB

Users A Users B


permit tcp dst eq 443 permit tcp dst eq 80 permit tcp dst eq 22 permit tcp dst eq 3389 permit tcp dst eq 135 permit tcp dst eq 136 permit tcp dst eq 137 permit tcp dst eq 138 permit tcp des eq 139 deny ip

Portal_ACL

Portal_ACL


Portal_ACL


Voice Employee Suppliers Guest Non-Compliant

Employee Tag

Supplier Tag

Guest Tag

Non-Compliant Tag

Data Center Firewall

Voice

Building 3 WLAN Data VLAN

Campus Core

Data Center

Main Building Data VLAN

Employee Non-Compliant

ü  В независимости от топологии, местоположения, IP-адресов политика (Security Group Tag) остается с пользователями, устройствами и серверами

ü  TrustSec значительно упрощает управление ACL

Access Layer


Защита

Недовольные сотрудники

-  Устройство обеспечения безопасности IPS 4500 -  Контроль приложений Cisco® ASA CX

Хакеры

Киберпреступники

Организованная преступность

Защита компаний от внешних и внутренних угроз


Sourcefire NGIPS Защита для критически важных центров обработки данных •  Обеспечивает аппаратное ускорение проверки, производительность, соответствующую реальным условиям эксплуатации, высокую плотность портов и энергоэффективность в расширяемом шасси

•  Обеспечивает защиту от внешних и внутренних атак

Sourcefire NGFW Межсетевой экран с учетом приложений и контекста •  Обеспечивает проверку с аппаратным ускорением, производительность, соответствующую реальным условиям эксплуатации, высокую плотность портов и энергоэффективность в расширяемом шасси

•  Обеспечивает защиту от внешних и внутренних атак

Защита от угроз

•  Гибкая интеграция в программное обеспечение

NGIPS,NGFW, AMP

•  Гибкая интеграция в аппаратное обеспечение Масштабируемость: 50 Мбит/с -> 60 Гбит/с Стекирование для масштабирования, кластеризация для отказоустойчивости

•  Экономичность Лучшие в своем классе для систем предотвращения вторжения, межсетевых экранов нового поколения от NSS Labs

До 320 ядер RISC


Высокоскоростная проверка контента

123.45.67.89

Johnson-PC

Операционная система: Windows 7 имя хоста: laptop1 Пользователь: jsmith IP 12.134.56.78

12.122.13.62

SQL

Реальность: сегодня основой безопасности является предотвращение угроз

Реальность сегодня: 612 нарушений безопасности в 2012 г.

•  92% происходит от внешний агентов

•  52% используют какую-либо из форм хакерства

•  40% приходится на долю вредоносных программ

•  78% атак не отличаются высокой сложностью

Утечка данных Verizon в 2013 г. Отчет о расследовании

КАТЕГОРИИ

ПРИМЕРЫ

SOURCEFIRE СИСТЕМЫ

ПРЕДОТВРАЩЕНИЯ ВТОРЖЕНИЙ И

МЕЖСЕТВЫЕ ЭКРАНЫ НОВОГО ПОКОЛЕНИЯ

СТАНДАРТНАЯ СИСТЕМА

ПРЕДОТВРАЩЕНИЯ ВТОРЖЕНИЙ

СТАНДАРТНЫЙ МЕЖСЕТЕВОЙ ЭКРАН НОВОГО ПОКОЛЕНИЯ

Угрозы Атаки, аномалии ✔ ✔ ✔

Пользователи AD, LDAP, POP3 ✔ ✗ ✔

Веб-приложения Facebook Chat, Ebay ✔ ✗ ✔

Протоколы приложений HTTP, SMTP, SSH ✔ ✗ ✔

Передача файлов PDF, Office, EXE, JAR ✔ ✗ ✔

Вредоносное ПО Conficker, Flame ✔ ✗ ✗

Серверы C&C Интеллектуальная система безопасности C&C ✔ ✗ ✗

Клиентские приложения Firefox, IE6, BitTorrent ✔ ✗ ✗

Сетевые серверы Apache 2.3.1, IIS4 ✔ ✗ ✗

Операционные системы Windows, Linux ✔ ✗ ✗

Маршрутизаторы и коммутаторы Cisco, Nortel, Wireless ✔ ✗ ✗

Мобильные устройства iPhone, Android, Jail ✔ ✗ ✗

Принтеры HP, Xerox, Canon ✔ ✗ ✗

VoIP-телефоны Avaya, Polycom ✔ ✗ ✗

Виртуальные машины VMware, Xen, RHEV ✔ ✗ ✗


Dynamic Profiling

Сигнатуры атак

HTTP Protocol Validation

Защита Cookie

Web Fraud Detection Предотвращение мошенничества

Защита от технических

атак

Защита от атак на бизнес-логику Ко

рреляция

атак

Геолокация IP

Репутация IP

Anti-Scraping Policies

Bot Mitigation Policies


Web Application

Firewall

Сервер управления (MX)

Пользователи

Web сервера

Web сервера

Web Application

Firewall

Web сервера

Web Application

Firewall


WAN маршрутизатор

Tenant A

Физическая инфраструктура

Виртуализованный/облачный

ЦОД

Коммутатор

Виртуализированные сетевые сервисы

Cisco Nexus 1000V vPath VXLAN

Multi-Hypervisor (VMware, Microsoft, RedHat*, Citrix*)

ASA 1000V Cloud

Firewall

Cisco Virtual

Security Gateway Citrix

NetScaler VPX

Imperva SecureSpher

e WAF

Cloud Services Router 1000V

Network Analysis Module (vNAM)

vWAAS

Cisco Nexus 1000V

•  Распределенный коммутатор

•  Согласованность с NX-OS

VSG

•  Контроль на уровне VM

•  Zone-based FW

ASA 1000V

•  МСЭ периметра, VPN

•  Инспекция протоколов

vWAAS

•  WAN оптимизация

•  Трафик приложений

CSR 1000V (Cloud Router)

•  WAN L3 шлюз •  Маршрутизация и VPN

•  Citrix NetScaler VPX virtual ADC

•  Imperva Web App Firewall

Ecosystem Services

Zone A

Zone B

Сервера

Email / Web

Security (vESA /vWSA)


Управление и отчетность •  Cisco® Security Manager (SM) •  Центр управления виртуальными сетями Cisco (VNMC)

Сбор информации •  Cisco NetFlow

Координация политик •  Cisco Identity Services Engine (ISE) •  Маркировка для групп безопасности Cisco TrustSec (SGT)

Поддержание соответствия нормативным требованиям и получение информации об операциях центра обработки данных


TrustSec Enabled

Enterprise Network

Identity Services Engine

NetFlow: Switches, Routers, и ASA 5500

Контекст: NBAR/AVC

Cisco Cyber Threat Detection - повышает эффективность и действенность анализа и обеспечивает ключевое понимание внутренней активности в сети

Flow

Телеметрия NetFlow Cisco Switches, Routers и ASA 5500

Данные о контексте угрозы Cisco Identity, Device, Posture, Application

ASA 5585!

vPath

Hypervisor

Aggregation!

Nexus 1000V!Virtual Security Gateway!

Secure Container!

Virtual Flow Sensor!

Flow Collector!

StealthWatch

Management Console

Cisco NetFlow

1. Инфицированные хосты открывают соединения и экспортируют данные

2. Ифраструктура генерирует записи события используя Netflow

3. Сбор и анализ данных Netflow

4. Сигнал тревоги о возможной утечке данных

3. Сбор и анализ данных Netflow

Сбор и корреляция NetFlow данных Обнаружение и идентификация аномальной активности


•  Гибкая модель безопасность Cisco Virtual Secure Gateway (VSG) для внутризоновой защиты Cisco ASA 1000V для контроля между зонами

•  Прозрачная интеграция С Cisco Nexus 1000V и Cisco vPath

•  Единый контроль доступа с помощью Cisco ISE

•  Контроль аномалий в сети с помощью Sourcefire Virtual Appliance и Cisco CTD

•  Расширение защитных функций Cisco vESA/vWSA, Imperva WAF

Tenant A

vApp

Гипервизор

Cisco Nexus 1000V

Cisco vPath

VDC

Cisco Virtual Network Management Center (VNMC)

VMware vCenter

Cisco VSG Cisc

o VSG

Cisco ASA 1000V

Cisco ASA 1000V

Cisco

VSG

Cisco

VSG

vApp

Tenant B VDC


LAN Switch (vSwitch)

Security Gateway

(VSG)

Identity Services (vISE)

Adaptive Security (vASA)

WAN Acceleration

(vWAAS)

Mobility Services (vMSE)

Wireless LAN Control (vWLC)

Cloud Services Router (vCE)

Network Analysis (vNAM)

Video Cache

Network Management (PRIME NCS)

Network Analytics (vDNA)

.. Многие известные сетевые сервисы уже оптимизированы или разработаны заново для виртуальной реализации


Корпоративное облако

Private/Hosted/Managed

Cisco Nexus1000V vSwitch

Облако провайдера Public/Utility/Community

N1KV InterCloud

Другие потребите

ли

L2 Virtual Private Cloud

Nexus 1000V InterCloud

Коммутация Nexus | Маршрутизация IOS | Сетевые сервисы

Интеграция VM Manager API интеграции с облаком ASP

VNMC InterCloud

Сценарии

•  Всплески (события, сезонность, вывод на рынок…)

•  Обновление/миграция

•  Непрерывность/избежание катастроф

•  Защита от «наездов»

Преимущества

•  Согласованность сети/сервисов/политик

•  Защита и шифрование

•  Единая точка управления

•  Выбор между провайдерами

Защищенное гибридное облако = Защищенное расширение частного облака в публичное


Испытано в лаборатории и утверждено архитектором.

Интернет-периметр

РАСПРЕДЕЛЕНИЕ Сеть

хранения ASA 5585-X

ASA 5585-X

VDC Nexus 7018 Nexus 7018

ЯДРО

Nexus серии 7000



Зона

Унифицированная вычислительная

система

Nexus 1000V VSG

Многозонная структура

Catalyst 6500

СЕРВИСЫ

VSS

Межсетевой экран ACE

Модуль анализа сети

(NAM)

Система предотвращения вторжений (IPS)

VSS VPC VPC VPC VPC VPC VPC VPC VPC

Физический центр обработки данных

Безопасность, апробированные

архитектуры Cisco (CVD)

Виртуальный центр обработки данных Виртуализованный

мультисервисный центр обработки данных (VMDC)

Проверено. Совместимость | Масштабируемость | Надежность

46 C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены.


•  Контролируем трафик Север/Юг с помощью ASA 5585

•  Масштабирование и отказоустойчивость с помощью кластеризации

•  Инспектируем трафик Север-Юг с помощью NGIPS

•  Сегментируем и защищаем виртуальные ресурсы с помощью ASAv и vNGIPS

•  Контроль на уровне приложений с помощью NGFW, NetScaler, Imperva

47

Physical Hosts

NGIPS

ASA FW

Clustering


48

NGIPS

ASA FW

Clustering

NGA

Virtual FlowSensor

CTD : Cisco Cyber Thread Defense Используем возможности инфраструктуры Cisco чтобы защититься от направленных атак

TrustSec – управление доступом с Security Group Tagging

SGT

SGT SGT

SGT SGT

SGT

SGT

SGT

ISE

SGT

Упрощаем

Автоматизируем

Ускоряем

Стандартизируем

SGT


49

Virtual Hosts

B

Physical Hosts

NGIPS

SGT

SGT SGT

SGT SGT

SGT SGT

SGT

SGT

SGT

Virtual Hosts

B

Physical Hosts

NGIPS

SGT

SGT SGT

SGT SGT

SGT SGT

SGT

SGT

INTER DC CLUSTERING

OTV


http://www.facebook.com/CiscoRu http://twitter.com/CiscoRussia http://www.youtube.com/CiscoRussiaMedia http://www.flickr.com/photos/CiscoRussia http://vkontakte.ru/Cisco http://blog.cisco.ru/

Благодарим за внимание!

[email protected]

Technology

Проблема защиты информации в современном ЦОДе и способы ее решения