cистема сетевой аналитики для ЦОД cisco tetration analytics
TRANSCRIPT
Cisco Connect Москва, 2017
Цифровизация: здесь и сейчас
Система сетевой аналитики для ЦОД Cisco Tetration Analytics
Алексей Бронников
Ведущий менеджер по продвижению технологий ЦОД
© 2017 Cisco and/or its affiliates. All rights reserved.
Подход Cisco к ЦОД – это работает
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 3
Сеть / L4-7 Серверы Безопасность
1 Модернизировать и сделать ЦОД проще в обслуживании
ЦОД
3 Построить свое частное облако
Частное облако
Интегрированная инфраструктура
Публичное Частное 4
… и использовать публичные облака, появляется гибридное облако
Создать общую модель политик
6 Простота
использования для бизнеса
7
Безопасно перемещать
нагрузки 5
СХД
Политики 2
Я хочу чтобы была автоматизация и открытость
Безопасность везде
9
Аналитика везде
10
Граница: Применять модель политик
8
Публичное
Настоящее значение имеют бизнес и операционная прозрачность
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 4
Анализ приложений (сеть ЦОД) • Картографирование зависимостей
(Безопасность) • Картографирование зависимостей (Миграция)
Наглядность • Поиск потоков • Обнаружение отклонений • Сравнение задержек – сетевой и
приложения
Управление политиками • Моделирование и оценка влияния • Соответствие регуляторным требованиям
и требованиям аудиторов
Обеспечение политик безопасности • Аудит • Обеспечение безопасности • Проверка политик ~ ‘что если’ • Обнаружение угроз / DDOS / …
Повышенная наглядность
Прозрачные данные
Политики/ Обнаружение/ Обеспечение/
Управление
Приложения также становятся немного сложнее….
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 5
Почему обычный подход уже не достаточен?
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 6
Сравнить Собрать
Проанализировать
• Недостаток масштабируемости подхода к сбору телеметрии
• Неоднородные телеметрические данные
• Слепые пятна в сети
• Недостаточная масштабируемость ЦОД для анализа телеметрии
• Поддерживается только в сценариях с изоляцией
• Нет возможности для длительного хранения данных
• Требует серьезной разработки с нуля или доработки под себя
• Сложно и дорого
• Громоздко в поддержке
Высокая фрагментированность – Нет широкой применимости
Cisco Tetration Analytics сценарии применения
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 7
Анализ приложений и
выявление зависимостей
Расследование происшествий: каждый пакет, каждый поток,
на любой скорости
Соответствие регуляторным требованиям и требованиям
аудиторов
Моделирование политик и оценка их влияния
Автоматическое создание политик «белого списка»
Новое
Сегментация приложений
(Автоматическое применение
политик)
Новое
Отслеживание ресурсов в реальном времени
Обзор архитектуры
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 8
Сбор данных
Программный сенсор и агент применения
политик
Встроенный сетевой сенсор
(только телеметрия)
Сторонние источники (информация о конфигурациях)
Аналитический движок
Cisco Tetration Analytics Cluster
Открытый доступ
Web GUI
REST API
Event Notification
Tetration Apps
Самодостаточный кластер
Разворачивание в одно
касание
Легкая интеграция посредством
открытых интерфейсов
Открытое озеро данных (через Tetration
Apps)
Не нужно знание Hadoop / Data Science
Не нужно внешнее хранилище данных
Источники данных
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 9
Низкие накладные расходы на CPU (применяется SLA)
Низкие сетевые накладные расходы (применяется SLA)
New! Место где применяются политики (программные агенты)
Высочайшая безопасность (код подписан и имеет проверку на
подлинность)
Каждый поток (без сэмплирования), БЕЗ ПОЛЬЗОВАТЕЛЬСКИХ
ДАННЫХ
*Note: No per-packet Telemetry, Not an enforcement point
Программные сенсоры
Universal* (Basic Sensor for other OS)
Linux VM
Windows Server VM
Bare Metal (Linux and Windows Server)
Nexus 9200-X
Nexus 9300-EX
Сетевые сенсоры Коммутаторы серии N9K нового поколения
Сторонние источники данных
Тэггирование ресурсов
Балансировщики нагрузки
Системы управление IP адресами
CMDB
…
Функционал сенсоров
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 10
• Не находится на пути передачи данных • Не оставляет следов (не может быть обнаружен)
• Не снижает производительность
• Не вносит задержки
• Полная информация о потоке • Без сэмплирования
• Все пакеты
• Собирает информацию основываясь на извлеченных из заголовка
данных (не заглядывает внутрь и не собирает пользовательские
данные)
Управление сенсорами и безопасность
• Управляются централизованно • Обновление и конфигурация осуществляются Tetration Cluster
• Безопасность • Взаимная проверка сертификатов подлинности
• Кластер помещает сертификат в инсталлятор сенсора
• Сенсор может передавать данные только конкретному кластеру
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 11
Программный сенсор
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 12
• Произведение искусства
• Располагается в User Space
• Не нагружает CPU (< 3%)
• Спроектирован разработчиками ядра
• Безопасен
• Код подписан
• Применяется внутренний SLA с интеллектуальным QoS
• Защита CPU
NIC
Driver
Network Stack
Application
libpcap
Tetration Sensor
Какие ОС поддерживаются? Программные сенсоры
LINUX
• RedHat (5.1+, 6.x, 7.x)
• CentOS (5.1+, 6.x, 7.x)
• Ubuntu (12.04, 14.04, 14.10)
• Suse Linux (11.2+, 12+)
• Oracle Linux (6.5)
WINDOWS
• Windows 2008 (x64)
• Windows 2008 R2
• Windows 2012
• Windows 2012 R2
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 14
(НОВОЕ) Универсальные программные сенсоры
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 15
• Поддерживают любую устаревшую операционную систему … • AIX
• Solaris
• Windows Server 2003
• Процессы и соединения отслеживаются с меньшей точностью
• Обеспечивает точное сопоставление зависимостей приложений и создание политик
• Не поддерживает попакетную телеметрию и не может применять политики
Сегментация приложений с помощью Tetration Рекомендации по созданию политик
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 16
Cisco Tetration Analytics™
Рабочие пространства
приложений
Политика сегментации приложений
Публичное облако
Частное облако
Где могут располагаться сенсоры Tetration
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 17
HYPERVISOR HYPERVISOR HYPERVISOR
Программные сенсоры Процессы и сокеты
События с пакетами и потоками
Аппаратные сенсоры События с пакетами и потоками
Состояние буфера памяти и коммутатора
Заглядывая глубже чем просто связь Процессы и сокеты приложения
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 18
Provider/Service Process Consumer Process
Socket = 443 Socket > 1023
Chrome NGINX
• Разработчики приложений реализуют бизнес логику в коде, который выполняется как процессы и потоки
• TCP/IP, который формирует основу Интернета, был разработан, чтобы позволить этим прикладным процессам взаимодействовать через сокеты
• Логику приложения можно рассматривать на одном уровне как взаимодействие между группой процессов и связанными с ними сокетами
• Понимание взаимодействия между процессами и отображение этого непосредственно на инфраструктуру, обеспечивает прямое соответствие между приложением и инфраструктурой
Прочие решения определяют приложение только по протоколу и порту
Данные с сенсора Информация о процессе
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 19
• Программный сенсор
собирает информацию о
процессах потребителя
(consumer) и поставщика
(provider)
• /proc
• Системная информация
(например, системная
память, монтируемые
устройства, аппаратная
конфигурация и т.д.)
Границы применения и RBAC
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 20
Как определяются границы применения
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 21
Tetration определяет области действия, используя сетевые и
пользовательские аннотации
И это дает большую гибкость.
Service
MAC
EPG
Network Annotations
Location
Lifecycle
IP + OS
32 choices…
Области действия имеют иерархию
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 22
Доступ ко всему
Доступ к SJC
Доступ к приложению
Доступ только к HRMS
RTP SJC
Cisco
DB App
Oracle iExpense HRMS
Определение области действия
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 23
2 1
3
Модель ролевого доступа (RBAC)
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 24
User
User
User
Roles
Roles
Scope
Scope
Scope
Permitted
Actions
Permitted
Actions
Permitted
Actions
Permitted
Actions
Workloads
Workloads
Workloads
Workloads
R, Modify, ADM, Enforce, etc.
Ресурсы и фильтры
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 25
Контроль ресурсов в реальном времени
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 26
Сетевой канал
Атрибуты сенсора
Информация о пользователе
Оркестраторы* (vCenter…)
Программные ресурсы*
Active Directory (API)
Объединенная инвентарная информация о ресурсах в реальном времени и с трендами в историческом срезе
Tetration
* = Скоро Identity Services Engine ISE*
Как это происходит?
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 27
Сервер: X IP: 1.1.1.1
Ingestion Pipeline
Телеметрические данные
Репозитарий ресурсов
IP 1.1.1.1 Метка управления жизненным циклом: “Prod”
Сервер: X IP: 1.1.1.1 Lifecycle: Prod
Забудьте об IP адресах – фильтры инвентаризованных ресурсов
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 28
Определяйте группы в естественной форме
Инвентаризация и пользовательские метаданные Все потоки помечены пользовательскими метаданными
• Можно делать поиск среди потоков по пользовательским метаданным
• Политики могут быть определены в терминах пользовательских метаданных
Зачем? 1. Формулировать запросы в виде «Покажи потоки резервного копирования
между DB-RTP и DB-SJC?»
2. Задавать декларативные политики
• «Запретить взаимодействие между Prod и Non Prod»
• Что позволит Prod и Non Prod изменяться со временем
3. Контролировать кто и что может видеть
• Сотрудники отдела Eng Apps не могут видеть серверы Finance App хотя они и используют один и тот же Tetration кластер
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 29
Определение политик безопасности и контроль их выполнения
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 31
Понимание приложений
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 32
Primary Infosec
Dev Production
Restricted Internet
Primary HRMS - Prod
• Рабочие области приложений могут содержать
• Карты зависимостей приложения
• Определения политик
• Гибрид из обоих
• Рабочие области приложений могут быть
взаимосвязаны
• Интерфейсы определяются администратором
приложения
• Контроль над тем как другие могут потреблять
приложение
• Интерфейсы могут быть настроены как
«Требуется подтверждение» или просто
«Уведомить»
Взаимодействие приложений
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 33
Oracle - Dev Primary Oracle - Prod
Интерфейсы
Показать
Oracle VIP
Показать DNS VIP
Primary DNS
Primary HRMS - Prod
Цель – описать Намерение
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 34
• Блокировать непродуктивные приложения от
взаимодействия с продуктивными
• Позволить приложениям отдела кадров
использовать базу данных содержащую всех
сотрудников
• Блокировать все HTTP соединения, которые не
направлены на веб серверы
• Разрешить и уведомить меня когда новое
приложение запросит DNS сервер
• Блокировать и уведомить меня когда новое
приложение запросит доступ к серверу AD
Я хочу…
Обеспечение применения политик на хосте
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 35
VLANs
Списки доступа
Любая сеть
Подсеть
Сервер
EPGs
ACI
Контракты
BDs
Сервер
Группы
безопасности
Любой гипервизор
Группы портов
Правила
безопасности
Сервер
Правила
безопасности
Любое облако
Группы
безопасности
Интерфейсы
Сервер
Доверенный модуль внутри сервера обеспечивает выполнение вашего намерения
Безопасность
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 36
Единый уровень безопасности на любой инфраструктуре
Application
Инфраструктура
Отклонить Разрешить
Процесс
Сервер
Намерение преобразуется в правила безопасности собственного МСЭ хоста
Мобильность
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 37
Правила
безопасности
Облако
Группы
безопасности
Интерфейсы VLANs
Списки доступа
7K 5K 2K
Подсети
Сервер Сервер
Переработать VLAN в группы безопасности
Нужно ли изменить адресацию серверов?
Соответствуют ли списки доступа правилам безопасности?
Должно ли ваше намерение следовать за сервером вне зависимости от того, где он находится?
Как это работает?
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 38
Tetration автоматически преобразует ваше намерение в правила «черного-белого списка»
Намерение Правила
ALLOW SOURCE 128.0.10.0/16 DEST 128.0.11.0/16
DENY SOURCE 10.0.0.0/8 DEST 128.0.0.0/8 Блокировать непродуктивные приложения от
взаимодействия с продуктивными
Разрешить приложениям отдела кадров
использовать базу данных сотрудников
Блокировать все HTTP соединения, которые
направлены не на веб серверы
ALLOW SOURCE * DEST 128.0.100.0/16 PORT = 80
DENY SOURCE * DEST * PORT = 80
Порядок обработки правил
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 39
• Владельцы приложений должны иметь
определенный уровень автономности, чтобы
быстро вносить изменения в приложения
• Отделы безопасности и управления сетью
должны контролировать глобальные аспекты
взаимодействия приложений и общих служб
• Tetration выстраивает намерения в
детерминированном порядке, приоритезируя
намерения пользователей с большим влиянием
над владельцами приложения
Правила отдела
безопасности
Правила отдела
управления сетью
Правила владельцев
приложений
Сегментация приложений на основе профиля и контекста
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 41
Публичное
облако
Физический
сервер
Виртуальный
сервер
Cisco ACITM Обычная сеть
Мониторинг соответствия
1.Тегирование ресурсов в
реальном времени
2. Политика сегментации
приложения
3. Объединение политик (основанных на ролях и иерархии)
• Сенсор Tetration
• Определяемый
самостоятельно
Cisco Tetration Application Insights (ADM)
Tag/Label-Based Add-on Policy (Ex. Mail Filters)
Нет необходимости
связывать политики
с IP адресами и
портами
Tetration выполняет
необходимую
конвертацию
Применение политик
+
• Сторонний
источник
Практические примеры использования
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 42
• Высокая наглядность
• Миграция ЦОД
• Переход на услуги предоставляемые из облака
• Слияния, поглощения и отчуждения
• Безопасность
• Микросегментация с контролем применения
• Проверка соответствия
• Изоляция устаревших приложений
• Поиск
• Проверка потоков
Картографирование зависимостей приложений
Автоматическое создание политик «белого списка»
Проверка соответствия политиками и моделирование
Расследование событий (пример: поиск потока и аномалии потока)
Обеспечение соблюдения
политик
Анализ приложений
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 44
Что дает анализ приложений?
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 45
Гипервизор
VM VM VM VM VM VM
Получить понимание связей различных компонент приложений
Реализовать последовательную сегментацию
Мигрировать между ЦОД на различной инфраструктуре
Использовать для слияний и поглощений
Перейти на сервисы предоставляемые из облака
Картографирование зависимостей приложений
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 46
• Рабочая область на основе границ применения
• Взаимодействие между рабочими областями
Визуализация взаимодействия приложений
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 47
Визуализация
взаимодействия
кластеров
приложений
Детали политики
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 48
Обзор зависимостей - c точки зрения потоков
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 49
Анализируемое
приложение
Потоки к другим
приложениям (внутри
ЦОД)
Потоки в пределах
внутренней сети
Потоки в / из Интернета
Обзор зависимостей С точки зрения группировки
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 50
Показать «все потоки в лаборатории»
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 51
Безопасность С точки зрения деталей потоков
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 52
Некорректная настройка сервера
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 53
Слушающие, но никогда не
получающие трафик порты
Соблюдение и проверка политик
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 54
Все потоки сортируются по 4
видам
• Permitted, двусторонние
потоки, соответствующие
политике безопасности
• Misdropped, разрешенный
трафик в котором мы
отбросили пакет
• Escaped, двусторонние потоки
не соответствующие политике
безопасности
• Rejected, односторонние
потоки не соответствующие
политике безопасности
Как насчет не разрешенных потоков?
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 55
Производительность
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 56
Производительность и поиск проблем
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 57
Открытость платформы
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 58
Tetration Analytics: открытая платформа
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 59
Внешние приложения
Kafka Broker
Внешние потребители
Внешние потребители
Программный
интерфейс
Отправка
сообщений
Tetration
Apps
REST API
• Поиск потоков с Tetration
• Управление сенсорами
Отправка уведомлений
• Преднастроенные события
• События задаваемые пользователем
Tetration Apps
• Доступ к озеру данных
• Создание собственных приложений
Платформа Cisco Tetration Analytics
Kafka
Программируемость
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 60
• Tetration Apps
• API
• Уведомления Kafka (во вне)
API
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 61
• Доступ к данным платформы извне
• Больше возможностей в следующих релизах
Приложения для Cisco Tetration Analytics
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 62
• Исследуйте данные, используя
свой браузер, разрабатывайте
свои модели
• Основано на Jupyter Notebooks
• Дает легкие возможности для
разработки приложений
Приложения для Cisco Tetration Analytics
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 63
• Как вы определяете «интересные» события?
• Cisco Tetration Analytics™ имеет список
встроенных событий
• Преднастроенных, не модифицируемых
• Для любых отличающихся запросов,
используйте пользовательские приложения
• Уведомить обо всех пакетах идущих к DNS серверу
не в моей сети
• Уведомить о любых потоках размером больше X
байт
• Уведомить о любом пользователе скачивающем
более X байт с защищенного файл сервера
Приложения и автоматизация политик
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 64
Разворачивается за несколько
часов; автоматически
предложенная политика на основе
данных в реальном времени менее
чем через неделю
Возможность промоделировать
результат применения политики на
реальном историческом трафике
до внедрения
Традиционный TETRATION
1
2
3
4
Нанять консультанта
Собрать логи, побеседовать с
командами …
Выявить зависимости
приложения
Проверить с каждой группой
пользователей
Стоимость $1M-$5M; несколько месяцев
70% сокращения расходов и времени
(Cisco IT)
5 Статичная карта, запросы на
изменения
6 Применить политику, убедиться,
что приложения после этого
работают
Платформа построенная для масштабируемости и гибкости
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 67
Масштабируемая и
работающая в
реальном времени
Каждый пакет, каждый поток
Сегментация приложений для тысяч
приложений
Хранение данных длительный период
времени
Избирательное применение
политик
Последовательное применение политик
Обнаружение отклонение от политик в режиме близком к реальному
времени
Поддержка мобильности серверов
Простота использования
Развертывание в одно касание
Само-мониторинг
Самодиагностика
Открытость
Стандартный Web UI
REST API (Pull)
Event Pub/Sub (Push)
Tetration Apps
Tetration Analytics: варианты развертывания
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 68
Cisco Tetration Analytics
(Large Form Factor)
• Подходит для внедрений с более чем 1000 серверов
• Встроенная отказоустойчивость
• Масштабируется до 10 000 серверов
Включает в себя:
• 36 серверов UCS C-220
• 3 коммутатора Nexus 9300
Cisco Tetration-M (Small Form Factor)
• Подходит для внедрений с не более чем 1000 серверов
Включает в себя:
• 6 серверов UCS C-220
• 2 коммутатора Nexus 9300
Cisco Tetration Cloud
• Платформа располагается в облаке Amazon AWS
• Подходит для внедрений с менее чем 1000 серверов
• Ресурсы используемые в облаке AWS принадлежат заказчику
Варианты размещения на месте В публичном облаке
#CiscoConnectRu #CiscoConnectRu
Спасибо за внимание! Оцените данную сессию в мобильном приложении конференции
© 2017 Cisco and/or its affiliates. All rights reserved.
Контакты:
Тел.: +7 495 9611410 www.cisco.com
www.facebook.com/CiscoRu
www.vk.com/cisco
www.instagram.com/ciscoru
www.youtube.com/user/CiscoRussiaMedia