;

Cíl: Dynamická infrastruktura

27. 7. 2014
Doba čtení: 6 minut

Sdílet

 Autor: archiv redakce
Strmý nárůst mobilních zařízení v sítích, objemu jimi přenášených dat a zrychlování komunikace mění požadavky na síťovou architekturu, říká Ivo Němeček, technický ředitel českého zastoupení Cisco Systems.

IT prostředí se velmi rychle mění. Platí to i o síťové infrastruktuře?

Ano, síťová infrastruktura byla donedávna poměrně neměnná, statická. Zákazník postavil síť, nakonfiguroval ji a změny dělal poměrně výjimečně, například při rozšiřování, aktualizaci softwaru, aktivaci nových funkcí. Výpočetní prostředí, datová úložiště, bezpečnostní systémy a síť byly oddělené, často záměrně. Spravovaly je různé týmy, řešily se v nich specifické problémy.

Proč se situace mění?

Začalo to v datových centrech s nástupem virtualizace. Původním příslibem bylo lepší využití výpočetních zdrojů. V mnoha případech je ale ještě důležitější pružnost, kterou přináší. Virtualizace vytváří prostředí, ve kterém je možné velmi snadno tvořit nové servery, klonovat je, přesouvat je i s aplikacemi, mnohdy mezi datovými centry, v globálním měřítku. To umožní firmám mnohem rychleji prostředí rozšiřovat, rozprostřít z důvodů bezpečnosti, lepší odolnosti, pružnějších odezev.

Tyto vlastnosti přinášejí organizacím výrazné výhody. Zlepšují rychlost zavádění nových služeb, příznivě ovlivňují jejich kvalitu a dostupnost. Další dynamiku přinášejí nástroje pro automatizaci procesů v datových centrech, které dnes mohou sbírat požadavky na vytváření nových služeb od mnoha uživatelů i z dalších zdrojů a automaticky je plnit v prostředí datového centra, často i za jeho hranicemi.

Jaké je tedy řešení?

Cílem je, aby se infrastruktura dokázala dynamicky přizpůsobit požadavkům aplikací. Toho je dnes možné dosáhnout různými způsoby. Lze například postavit jednoduchou, leč propustnou infrastrukturu, do ní vložit virtualizované síťové prvky, nad nimi vystavět překryvnou síť a s její pomocí vytvářet čistě logické segmenty a propoje.

Alternativním přístupem je oddělit řídicí vrstvu od přenosové. Datové centrum řídí prvek, který vidí síť jako celek a důmyslně ovládá aktivní prvky sítě. Tento prvek může být relativně uzavřený, nebo naopak velmi otevřený. V takovém případě komunikuje přes aplikační rozhraní se specializovanými aplikacemi, které vkládají do řešení další inteligenci a nové vlastnosti.

Který vývojový směr prosazujete?

Snažíme se rozvíjet více přístupů včetně těch zmíněných, a dát tak zákazníkům možnost vybrat si technologii, která vyhoví nejlépe jejim potřebám. Nedávno jsme uvedli na trh inovativní koncept, infrastrukturu orientovanou na aplikace. Toto řešení využívá centralizovaný řídicí prvek a inteligentní infrastrukturu, která se chová jako kompaktní celek. V tomto celku vytváříme pomocí jednoduše daných šablon takové síťové prostředí pro aplikace, které je bezpečné a odráží architekturu aplikací a jejich specifické potřeby.

Jaký vliv má na sítě stále rostoucí segment mobilních zařízení?

Ovlivňuje sítě a jejich architekturu, a to velmi výrazně. Mobilita zařízení je v jistém smyslu podobná mobilitě v datových centrech. Potřebuje, aby síť byla pružná a nekladla překážky volnému pohybu uživatelů. Ukazuje se, že i zde je výhodné řídit mobilitu centralizovaně, tak aby uživatel měl k dispozici během pohybu stejné síťové prostředí. Už delší dobu je v podnikových sítích běžný koncept, kdy centralizovaný řídicí prvek řídí bezdrátové přístupové body, tak aby umožnily uživatelům volný pohyb v síti a aby se přitom zachovaly všechny důležité vlastnosti komunikace včetně zabezpečení, kvality služby a podobně.

S tím, jak strmě roste počet mobilních zařízení v síti, jak vzrůstá rychlost jejich komunikace i objem přenášených dat, zvyšují se i nároky na zmiňované centralizované řídicí prvky. To vede k nové architektuře, ve které jsou řídicí funkce pro bezdrátové sítě zabudovány přímo do LAN přepínačů. Umožňuje to rozložit zátěž z bezdrátové komunikace do celé přístupové vrstvy sítě, jednotně řídit přístup do sítě a nastavovat parametry komunikace. Takto vytvořené prostředí je výkonné, bezpečné, odolné proti výpadkům a velmi snadno se spravuje a sleduje.

Jak vnímáte současnou situaci v oblasti bezpečnosti? Jaká je úloha sítě v zabezpečení IT?

Dnes je prakticky nemožné stoprocentně zajistit, aby do sítě nepronikl zákeřný kód. Do sítě se dnes připojují mobilní zařízení, která mnohdy nejsou zabezpečena tak dokonale jako počítače. Tato mobilní řešení jsou chvíli připojena přímo do internetu, chvíli do firemní sítě (někdy i do obou sítí současně). K počítačům připojují uživatelé rozmanité periférie. Do sítě přistupují nejen zaměstnanci, ale i hosté či kontraktoři. Virtualizované prostředí datových center je velmi dynamické, je obtížné ho sledovat a důkladně zabezpečit. Obvod podnikové sítě není zdaleka tak zřetelný, jak býval. K tomu vezměme v úvahu, jak pokročilý malware se poslední dobou objevuje. Je prakticky nemožné zadržet všechny typy útoků. Musíme za zaměřit nejen na to, jak zabránit útokům v tom, aby pronikly do sítě, ale i na to, jak je zjistit a zadržet, pokud do sítě proniknou, a jak napravit škody a obnovit všechny IT systémy funkce poté, co je zjistíme a zastavíme. To vyžaduje vícevrstvou obranu. Důležitou součástí toho je právě síť.

Síť dnes může řídit přístup k informačním systémům podle celkového kontextu, tedy podle toho, kdo se do ní přihlašuje, z jakého místa a zařízení se připojuje, podle stavu tohoto zařízení, podle historie přihlašování i dalších parametrů. Tyto informace pak může předávat dalším bezpečnostním prvkům, a posílit tak bezpečnost celého prostředí.

Výhodou sítě je, že vidí komunikaci v plné šíři. Jejím vyhodnocováním může síť odhalit i velmi propracované a nenápadné útoky, které mohou uniknout pozornosti specializovaných, velmi propracovaných bezpečnostních zařízení, jakými jsou například antivirové systémy, firewally nebo intrusion prevention systémy.

Nedávno jste koupili českou firmu Cognitive Security, která se na bezpečnost zaměřuje…

bitcoin_skoleni

Ano, specialisté z Cognitive Security dnes významně přispívají k výzkumu a vývoji bezpečnostních technologií v Cisku. Zabývají se zejména behaviorální analýzou sítě. Na základě této analýzy odhalují propracované a nenápadné útoky, takzvané Advanced Persistent Threats.