Cистема сетевой аналитики для ЦОД Cisco Tetration Analytics

Cisco Connect Москва, 2017

Цифровизация: здесь и сейчас

Система сетевой аналитики для ЦОД Cisco Tetration Analytics

Алексей Бронников

Ведущий менеджер по продвижению технологий ЦОД

© 2017 Cisco and/or its affiliates. All rights reserved.

Подход Cisco к ЦОД – это работает

Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 3

Сеть / L4-7 Серверы Безопасность

1 Модернизировать и сделать ЦОД проще в обслуживании

ЦОД

3 Построить свое частное облако

Частное облако

Интегрированная инфраструктура

Публичное Частное 4

… и использовать публичные облака, появляется гибридное облако

Создать общую модель политик

6 Простота

использования для бизнеса

7

Безопасно перемещать

нагрузки 5

СХД

Политики 2

Я хочу чтобы была автоматизация и открытость

Безопасность везде

9

Аналитика везде

10

Граница: Применять модель политик

8

Публичное

Настоящее значение имеют бизнес и операционная прозрачность


Анализ приложений (сеть ЦОД) • Картографирование зависимостей

(Безопасность) • Картографирование зависимостей (Миграция)

Наглядность • Поиск потоков • Обнаружение отклонений • Сравнение задержек – сетевой и

приложения

Управление политиками • Моделирование и оценка влияния • Соответствие регуляторным требованиям

и требованиям аудиторов

Обеспечение политик безопасности • Аудит • Обеспечение безопасности • Проверка политик ~ ‘что если’ • Обнаружение угроз / DDOS / …

Повышенная наглядность

Прозрачные данные

Политики/ Обнаружение/ Обеспечение/

Управление

Приложения также становятся немного сложнее….


Почему обычный подход уже не достаточен?


Сравнить Собрать

Проанализировать

• Недостаток масштабируемости подхода к сбору телеметрии

• Неоднородные телеметрические данные

• Слепые пятна в сети

• Недостаточная масштабируемость ЦОД для анализа телеметрии

• Поддерживается только в сценариях с изоляцией

• Нет возможности для длительного хранения данных

• Требует серьезной разработки с нуля или доработки под себя

• Сложно и дорого

• Громоздко в поддержке

Высокая фрагментированность – Нет широкой применимости

Cisco Tetration Analytics сценарии применения


Анализ приложений и

выявление зависимостей

Расследование происшествий: каждый пакет, каждый поток,

на любой скорости

Соответствие регуляторным требованиям и требованиям

аудиторов

Моделирование политик и оценка их влияния

Автоматическое создание политик «белого списка»

Новое

Сегментация приложений

(Автоматическое применение

политик)

Новое

Отслеживание ресурсов в реальном времени

Обзор архитектуры


Сбор данных

Программный сенсор и агент применения

политик

Встроенный сетевой сенсор

(только телеметрия)

Сторонние источники (информация о конфигурациях)

Аналитический движок

Cisco Tetration Analytics Cluster

Открытый доступ

Web GUI

REST API

Event Notification

Tetration Apps

Самодостаточный кластер

Разворачивание в одно

касание

Легкая интеграция посредством

открытых интерфейсов

Открытое озеро данных (через Tetration

Apps)

Не нужно знание Hadoop / Data Science

Не нужно внешнее хранилище данных

Источники данных


Низкие накладные расходы на CPU (применяется SLA)

Низкие сетевые накладные расходы (применяется SLA)

New! Место где применяются политики (программные агенты)

Высочайшая безопасность (код подписан и имеет проверку на

подлинность)

Каждый поток (без сэмплирования), БЕЗ ПОЛЬЗОВАТЕЛЬСКИХ

ДАННЫХ

*Note: No per-packet Telemetry, Not an enforcement point

Программные сенсоры

Universal* (Basic Sensor for other OS)

Linux VM

Windows Server VM

Bare Metal (Linux and Windows Server)

Nexus 9200-X

Nexus 9300-EX

Сетевые сенсоры Коммутаторы серии N9K нового поколения

Сторонние источники данных

Тэггирование ресурсов

Балансировщики нагрузки

Системы управление IP адресами

CMDB

…

Функционал сенсоров


• Не находится на пути передачи данных • Не оставляет следов (не может быть обнаружен)

• Не снижает производительность

• Не вносит задержки

• Полная информация о потоке • Без сэмплирования

• Все пакеты

• Собирает информацию основываясь на извлеченных из заголовка

данных (не заглядывает внутрь и не собирает пользовательские

данные)

Управление сенсорами и безопасность

• Управляются централизованно • Обновление и конфигурация осуществляются Tetration Cluster

• Безопасность • Взаимная проверка сертификатов подлинности

• Кластер помещает сертификат в инсталлятор сенсора

• Сенсор может передавать данные только конкретному кластеру


Программный сенсор


• Произведение искусства

• Располагается в User Space

• Не нагружает CPU (< 3%)

• Спроектирован разработчиками ядра

• Безопасен

• Код подписан

• Применяется внутренний SLA с интеллектуальным QoS

• Защита CPU

NIC

Driver

Network Stack

Application

libpcap

Tetration Sensor

Какие ОС поддерживаются? Программные сенсоры

LINUX

• RedHat (5.1+, 6.x, 7.x)

• CentOS (5.1+, 6.x, 7.x)

• Ubuntu (12.04, 14.04, 14.10)

• Suse Linux (11.2+, 12+)

• Oracle Linux (6.5)

WINDOWS

• Windows 2008 (x64)

• Windows 2008 R2

• Windows 2012

• Windows 2012 R2


(НОВОЕ) Универсальные программные сенсоры


• Поддерживают любую устаревшую операционную систему … • AIX

• Solaris

• Windows Server 2003

• Процессы и соединения отслеживаются с меньшей точностью

• Обеспечивает точное сопоставление зависимостей приложений и создание политик

• Не поддерживает попакетную телеметрию и не может применять политики

Сегментация приложений с помощью Tetration Рекомендации по созданию политик


Cisco Tetration Analytics™

Рабочие пространства

приложений

Политика сегментации приложений

Публичное облако

Частное облако

Где могут располагаться сенсоры Tetration


HYPERVISOR HYPERVISOR HYPERVISOR

Программные сенсоры Процессы и сокеты

События с пакетами и потоками

Аппаратные сенсоры События с пакетами и потоками

Состояние буфера памяти и коммутатора

Заглядывая глубже чем просто связь Процессы и сокеты приложения


Provider/Service Process Consumer Process

Socket = 443 Socket > 1023

Chrome NGINX

• Разработчики приложений реализуют бизнес логику в коде, который выполняется как процессы и потоки

• TCP/IP, который формирует основу Интернета, был разработан, чтобы позволить этим прикладным процессам взаимодействовать через сокеты

• Логику приложения можно рассматривать на одном уровне как взаимодействие между группой процессов и связанными с ними сокетами

• Понимание взаимодействия между процессами и отображение этого непосредственно на инфраструктуру, обеспечивает прямое соответствие между приложением и инфраструктурой

Прочие решения определяют приложение только по протоколу и порту

Данные с сенсора Информация о процессе


• Программный сенсор

собирает информацию о

процессах потребителя

(consumer) и поставщика

(provider)

• /proc

• Системная информация

(например, системная

память, монтируемые

устройства, аппаратная

конфигурация и т.д.)

Границы применения и RBAC


Как определяются границы применения


Tetration определяет области действия, используя сетевые и

пользовательские аннотации

И это дает большую гибкость.

Service

MAC

EPG

Network Annotations

Location

Lifecycle

IP + OS

32 choices…

Области действия имеют иерархию


Доступ ко всему

Доступ к SJC

Доступ к приложению

Доступ только к HRMS

RTP SJC

Cisco

DB App

Oracle iExpense HRMS

Определение области действия


2 1

3

Модель ролевого доступа (RBAC)


User

User

User

Roles

Roles

Scope

Scope

Scope

Permitted

Actions

Permitted

Actions

Permitted

Actions

Permitted

Actions

Workloads

Workloads

Workloads

Workloads

R, Modify, ADM, Enforce, etc.

Ресурсы и фильтры


Контроль ресурсов в реальном времени


Сетевой канал

Атрибуты сенсора

Информация о пользователе

Оркестраторы* (vCenter…)

Программные ресурсы*

Active Directory (API)

Объединенная инвентарная информация о ресурсах в реальном времени и с трендами в историческом срезе

Tetration

* = Скоро Identity Services Engine ISE*

Как это происходит?


Сервер: X IP: 1.1.1.1

Ingestion Pipeline

Телеметрические данные

Репозитарий ресурсов

IP 1.1.1.1 Метка управления жизненным циклом: “Prod”

Сервер: X IP: 1.1.1.1 Lifecycle: Prod

Забудьте об IP адресах – фильтры инвентаризованных ресурсов


Определяйте группы в естественной форме

Инвентаризация и пользовательские метаданные Все потоки помечены пользовательскими метаданными

• Можно делать поиск среди потоков по пользовательским метаданным

• Политики могут быть определены в терминах пользовательских метаданных

Зачем? 1. Формулировать запросы в виде «Покажи потоки резервного копирования

между DB-RTP и DB-SJC?»

2. Задавать декларативные политики

• «Запретить взаимодействие между Prod и Non Prod»

• Что позволит Prod и Non Prod изменяться со временем

3. Контролировать кто и что может видеть

• Сотрудники отдела Eng Apps не могут видеть серверы Finance App хотя они и используют один и тот же Tetration кластер


Определение политик безопасности и контроль их выполнения


Понимание приложений


Primary Infosec

Dev Production

Restricted Internet

Primary HRMS - Prod

• Рабочие области приложений могут содержать

• Карты зависимостей приложения

• Определения политик

• Гибрид из обоих

• Рабочие области приложений могут быть

взаимосвязаны

• Интерфейсы определяются администратором


• Контроль над тем как другие могут потреблять

приложение

• Интерфейсы могут быть настроены как

«Требуется подтверждение» или просто

«Уведомить»

Взаимодействие приложений


Oracle - Dev Primary Oracle - Prod

Интерфейсы

Показать

Oracle VIP

Показать DNS VIP

Primary DNS

Primary HRMS - Prod

Цель – описать Намерение


• Блокировать непродуктивные приложения от

взаимодействия с продуктивными

• Позволить приложениям отдела кадров

использовать базу данных содержащую всех

сотрудников

• Блокировать все HTTP соединения, которые не

направлены на веб серверы

• Разрешить и уведомить меня когда новое

приложение запросит DNS сервер

• Блокировать и уведомить меня когда новое

приложение запросит доступ к серверу AD

Я хочу…

Обеспечение применения политик на хосте


VLANs

Списки доступа

Любая сеть

Подсеть

Сервер

EPGs

ACI

Контракты

BDs

Сервер

Группы

безопасности

Любой гипервизор

Группы портов

Правила


Сервер

Правила


Любое облако

Группы


Интерфейсы

Сервер

Доверенный модуль внутри сервера обеспечивает выполнение вашего намерения

Безопасность


Единый уровень безопасности на любой инфраструктуре

Application

Инфраструктура

Отклонить Разрешить

Процесс

Сервер

Намерение преобразуется в правила безопасности собственного МСЭ хоста

Мобильность


Правила


Облако

Группы


Интерфейсы VLANs

Списки доступа

7K 5K 2K

Подсети

Сервер Сервер

Переработать VLAN в группы безопасности

Нужно ли изменить адресацию серверов?

Соответствуют ли списки доступа правилам безопасности?

Должно ли ваше намерение следовать за сервером вне зависимости от того, где он находится?

Как это работает?


Tetration автоматически преобразует ваше намерение в правила «черного-белого списка»

Намерение Правила

ALLOW SOURCE 128.0.10.0/16 DEST 128.0.11.0/16

DENY SOURCE 10.0.0.0/8 DEST 128.0.0.0/8 Блокировать непродуктивные приложения от

взаимодействия с продуктивными

Разрешить приложениям отдела кадров

использовать базу данных сотрудников

Блокировать все HTTP соединения, которые

направлены не на веб серверы

ALLOW SOURCE * DEST 128.0.100.0/16 PORT = 80

DENY SOURCE * DEST * PORT = 80

Порядок обработки правил


• Владельцы приложений должны иметь

определенный уровень автономности, чтобы

быстро вносить изменения в приложения

• Отделы безопасности и управления сетью

должны контролировать глобальные аспекты

взаимодействия приложений и общих служб

• Tetration выстраивает намерения в

детерминированном порядке, приоритезируя

намерения пользователей с большим влиянием

над владельцами приложения

Правила отдела


Правила отдела

управления сетью

Правила владельцев


Сегментация приложений на основе профиля и контекста


Публичное

облако

Физический

сервер

Виртуальный

сервер

Cisco ACITM Обычная сеть

Мониторинг соответствия

1.Тегирование ресурсов в

реальном времени

2. Политика сегментации


3. Объединение политик (основанных на ролях и иерархии)

• Сенсор Tetration

• Определяемый

самостоятельно

Cisco Tetration Application Insights (ADM)

Tag/Label-Based Add-on Policy (Ex. Mail Filters)

Нет необходимости

связывать политики

с IP адресами и

портами

Tetration выполняет

необходимую

конвертацию

Применение политик

+

• Сторонний

источник

Практические примеры использования


• Высокая наглядность

• Миграция ЦОД

• Переход на услуги предоставляемые из облака

• Слияния, поглощения и отчуждения

• Безопасность

• Микросегментация с контролем применения

• Проверка соответствия

• Изоляция устаревших приложений

• Поиск

• Проверка потоков

Картографирование зависимостей приложений

Автоматическое создание политик «белого списка»

Проверка соответствия политиками и моделирование

Расследование событий (пример: поиск потока и аномалии потока)

Обеспечение соблюдения

политик

Анализ приложений


Что дает анализ приложений?


Гипервизор

VM VM VM VM VM VM

Получить понимание связей различных компонент приложений

Реализовать последовательную сегментацию

Мигрировать между ЦОД на различной инфраструктуре

Использовать для слияний и поглощений

Перейти на сервисы предоставляемые из облака

Картографирование зависимостей приложений


• Рабочая область на основе границ применения

• Взаимодействие между рабочими областями

Визуализация взаимодействия приложений


Визуализация

взаимодействия

кластеров


Детали политики


Обзор зависимостей - c точки зрения потоков


Анализируемое

приложение

Потоки к другим

приложениям (внутри

ЦОД)

Потоки в пределах

внутренней сети

Потоки в / из Интернета

Обзор зависимостей С точки зрения группировки


Показать «все потоки в лаборатории»


Безопасность С точки зрения деталей потоков


Некорректная настройка сервера


Слушающие, но никогда не

получающие трафик порты

Соблюдение и проверка политик


Все потоки сортируются по 4

видам

• Permitted, двусторонние

потоки, соответствующие

политике безопасности

• Misdropped, разрешенный

трафик в котором мы

отбросили пакет

• Escaped, двусторонние потоки

не соответствующие политике


• Rejected, односторонние

потоки не соответствующие

политике безопасности

Как насчет не разрешенных потоков?


Производительность


Производительность и поиск проблем


Открытость платформы


Tetration Analytics: открытая платформа


Внешние приложения

Kafka Broker

Внешние потребители

Внешние потребители

Программный

интерфейс

Отправка

сообщений

Tetration

Apps

REST API

• Поиск потоков с Tetration

• Управление сенсорами

Отправка уведомлений

• Преднастроенные события

• События задаваемые пользователем

Tetration Apps

• Доступ к озеру данных

• Создание собственных приложений

Платформа Cisco Tetration Analytics

Kafka

Программируемость


• Tetration Apps

• API

• Уведомления Kafka (во вне)

API


• Доступ к данным платформы извне

• Больше возможностей в следующих релизах

Приложения для Cisco Tetration Analytics


• Исследуйте данные, используя

свой браузер, разрабатывайте

свои модели

• Основано на Jupyter Notebooks

• Дает легкие возможности для

разработки приложений

Приложения для Cisco Tetration Analytics


• Как вы определяете «интересные» события?

• Cisco Tetration Analytics™ имеет список

встроенных событий

• Преднастроенных, не модифицируемых

• Для любых отличающихся запросов,

используйте пользовательские приложения

• Уведомить обо всех пакетах идущих к DNS серверу

не в моей сети

• Уведомить о любых потоках размером больше X

байт

• Уведомить о любом пользователе скачивающем

более X байт с защищенного файл сервера

Приложения и автоматизация политик


Разворачивается за несколько

часов; автоматически

предложенная политика на основе

данных в реальном времени менее

чем через неделю

Возможность промоделировать

результат применения политики на

реальном историческом трафике

до внедрения

Традиционный TETRATION

1

2

3

4

Нанять консультанта

Собрать логи, побеседовать с

командами …

Выявить зависимости


Проверить с каждой группой

пользователей

Стоимость $1M-$5M; несколько месяцев

70% сокращения расходов и времени

(Cisco IT)

5 Статичная карта, запросы на

изменения

6 Применить политику, убедиться,

что приложения после этого

работают

Платформа построенная для масштабируемости и гибкости


Масштабируемая и

работающая в

реальном времени

Каждый пакет, каждый поток

Сегментация приложений для тысяч


Хранение данных длительный период

времени

Избирательное применение

политик

Последовательное применение политик

Обнаружение отклонение от политик в режиме близком к реальному

времени

Поддержка мобильности серверов

Простота использования

Развертывание в одно касание

Само-мониторинг

Самодиагностика

Открытость

Стандартный Web UI

REST API (Pull)

Event Pub/Sub (Push)

Tetration Apps

Tetration Analytics: варианты развертывания


Cisco Tetration Analytics

(Large Form Factor)

• Подходит для внедрений с более чем 1000 серверов

• Встроенная отказоустойчивость

• Масштабируется до 10 000 серверов

Включает в себя:

• 36 серверов UCS C-220

• 3 коммутатора Nexus 9300

Cisco Tetration-M (Small Form Factor)

• Подходит для внедрений с не более чем 1000 серверов

Включает в себя:

• 6 серверов UCS C-220

• 2 коммутатора Nexus 9300

Cisco Tetration Cloud

• Платформа располагается в облаке Amazon AWS

• Подходит для внедрений с менее чем 1000 серверов

• Ресурсы используемые в облаке AWS принадлежат заказчику

Варианты размещения на месте В публичном облаке

#CiscoConnectRu #CiscoConnectRu

Спасибо за внимание! Оцените данную сессию в мобильном приложении конференции

© 2017 Cisco and/or its affiliates. All rights reserved.

Контакты:

Тел.: +7 495 9611410 www.cisco.com

www.facebook.com/CiscoRu

www.vk.com/cisco

www.instagram.com/ciscoru

www.youtube.com/user/CiscoRussiaMedia

Technology

Cистема сетевой аналитики для ЦОД Cisco Tetration Analytics