«МойОфис Частное облако» — продукт для организации виртуальной рабочей среды на базе серверной инфраструктуры заказчика. Включает сервер совместной работы, почтовую систему и хранилище данных, а также веб-редакторы текста, таблиц, презентаций и приложения для управления почтой, календарем и контактами.
Comindware Business Application Platform — это Low-code платформа для построения корпоративных приложений для решения каких-либо бизнес-задач, например, ведение клиентов и управление заказами (CRM), управление заявками и документооборот (ECM), управление IT-инфраструктурой (ITSM), проектами и поручениями и другие.
Один из лидеров российской IT-индустрии, ведущий производитель программного обеспечения, в том числе защищенных операционных систем и платформ виртуализации.
Компания YunKe (бренд DCN), является крупнейшим китайским производителем оборудования сетей передачи данных. Благодаря собственным научно-техническим исследованиям, передовому дизайну продукции и собственному производству, компания YunKe (бренд DCN) способна предложить клиентам качественное, технологичное и современное оборудование по разумной цене.
DCN фокусируется на продуктах сетей передачи данных включая коммутаторы, оборудования для организации беспроводных сетей Wi-Fi и серверных решениях. На данный момент DCN предлагает свои продукты и решения в более чем 60 стран мира для различных типов заказчиков.
«АВ Софт» — российская компания-разработчик продуктов для кибербезопасности. Компания основана в 2010 году. Основным направлением деятельности является разработка программного обеспечения в области информационной безопасности.
Рускомтехнологии – первый Российский вендор в сегменте APM (Application performance monitoring). Компания в течении последних 3 лет вела разработку программного продукта – Ключ-Астром (Автоматизированная система транзакционного мониторинга).
HCL Technologies — ведущая мировая технологическая компания, которая помогает предприятиям по всему миру переосмыслить и трансформировать свой бизнес на основе цифровых технологий. Компания HCL представлена в 46 странах, обслуживает ведущие предприятия в ключевых отраслях, в том числе 250 из Fortune 500 и 650 из Global 2000.
PIX Robotics – экосистема продуктов и сервисов, которая позволяет решать масштабные задачи бизнеса, делая людей, компании и технологии умнее.
Google Docs — широко известная и не менее широко используемая веб-платформа для работы с документами, однако это не значит, что у нее нет альтернатив. В том числе и отечественных: платформа «Р7-Офис» завоевывает популярность среди корпоративных пользователей и в учреждениях. Мы решили сравнить эти системы, и оказалось, что по возможностям «Р7-Офис» уже практически не уступает, а проблем с совместимостью редактируемых файлов имеет меньше.
Если вы решили в силу тех или иных причин отказаться от использования офисной платформы Microsoft, которая является лидером в этой области, но стоит очень недешево, одним из самых вероятных вариантов замены видится платформа Google Docs. Почему? Прежде всего из-за вездесущности Google и привычки пользоваться его продуктами. У многих есть аккаунт почты Gmail (он же — автоматически учетная запись для Android-смартфона), соответственно, какое-то пространство на Google Drive, многие пользуются сервисом Hangouts (мессенджер с поддержкой голосовых и видеоконференций), календарем, да и наверняка самим Google Docs хотя бы в качестве бэкап-решения на случай недоступности основного редактора. То есть Google Docs имеет ценность не только сам по себе, но и как часть экосистемы. Плюс — это онлайн-платформа с возможностью совместного редактирования документов и организации совместной работы над ними.
«Р7-Офис» — это тоже не только сам офис, не просто набор программ для работы с текстовыми документами, таблицами, презентациями и др., но скорее платформа для разносторонней работы, в том числе коллективной. В ее составе есть и средства коммуникации (в том числе и видеоконференцсвязи, особенно актуальной в последнее время) между участниками рабочей группы, и полноценный почтовый сервер, и система документооборота, модуль управления проектами и CRM. Тоже вполне себе экосистема, надо сказать, пусть и не столь широко распространенная, конечно. И предполагает не только онлайн-функциональность — редакторы текстов, таблиц и презентаций доступны как десктопные приложения для всех основных платформ — Windows, Mac и Linux. Но и в онлайн-режиме пользователь работает все с теми же полнофункциональными приложениями, исполняемыми на сервере.
По умолчанию, если перед пользователем — не так важно, физическое это лицо или организация — встает вопрос выбора системы для ведения офисной работы, стоит ориентироваться прежде всего на контекст, в котором предстоит работать. Это значит, что документы, которые пользователь создает, должны быть понятны и однозначно читаемы у всех, кто участвует в процессе документооборота (друзья, коллеги, образовательные учреждения, в случае организации — все контрагенты, клиенты, государственные органы и др.). При этом в жизни часто правильность и аккуратность оформления того или иного документа играют очень важную роль. Вам доводилось видеть документы, в которых отступы и интервалы между абзацами отбиты пробелами? Представляете, как удобно с такими работать — редактировать, к примеру?
Так уж сложилось, что доминирующей офисной платформой уже не первое десятилетие является продукт компании Microsoft. В «лихие 90-е» и начале двухтысячных, когда на пиратство смотрели сквозь пальцы, Microsoft Office получил в России широчайшее распространение, и форматы документов *.doc, а позднее — *.docx, *.xls/*.xlsx, *.ppt/*.pptx стали реальным стандартом де-факто, и до сих пор остаются самыми популярными. Поэтому вопрос правильного отображения тех документов, которые к вам поступают, и тех, которые вы передаете другим, очень и очень важен. И тут, забегая чуть вперед, скажем, что «Р7-Офис» имеет некоторые преимущества. Дело в том, что «Р7-Офис» изначально создавался для работы с файлами OOXML — базового современного формата Microsoft 365 (ранее Microsoft Office). В то время как Google Docs на первых порах даже открывать файлы Microsoft Office не мог.
Конечно, файлы такого объема в обычной жизни встречаются как минимум нечасто. И на самом деле в большинстве случаев Google Docs успешно справится с простыми задачами. До того случая, как придется поработать с документом, содержащим действительно сложное форматирование. Или просто открыть их, чтобы ознакомиться. Пример такого документа.
Вот так он выглядит в «Р7-Офис».
Другой пример текста с интересным форматированием и даже формулой.
Прекрасно выглядит в «Р7-Офис».
Не открывается в Google Docs. Открывается (если это можно так назвать), если подключить редактор ZOHO в качестве внешнего онлайн-приложения, но результат плачевен.
Однако даже если из файла убрать все содержимое, оставив одну лишь имеющуюся в нем формулу, и сохранить в формате *.docx… Файл тоже не откроется. Кстати, он корректно открывается даже в LibreOffice, который известен своей привередливостью к форматам Microsoft. Та же самая формула в формате *.odt воспринимается Google Docs без проблем.
Шире возможности «Р7-Офис» и в случае с таблицами в тексте. Настройки более гибки — например, если таблица небольшая, можно включить «обтекание текстом», чего Google Docs на сегодня в принципе делать не умеет. Некоторые другие возможности форматирования в «Р7-Офис» также более гибки и дают больше возможностей по оформлению текста.
Впрочем, и в редакторе таблиц, при всем его богатстве возможностей, не все отображается корректно. Яркий пример — файлы, содержащие условное форматирование в виде гистограмм внутри ячеек. Вот пример файла, который прекрасно отображается в «Р7-Офис», но в принципе не открывается в Google Docs.
Мы вовсе не ставили себе целью в пух и прах разбить сервис Google Docs, тем более, что он этого совершенно не заслуживает — это прекрасный инструмент, который постоянно совершенствуется, обрастает новым функционалом и разнообразными дополнениями. Мы лишь констатируем факт, что «Р7-Офис», работая с документами, созданными в Microsoft Office (ныне Microsoft 365), показывает лучшие результаты в плане корректности отображения данных. Этот фактор далеко не всегда важен, но если он все-таки имеет для вас серьезное значение — стоит иметь это в виду.
Плюс, есть еще один важный момент. Ключевое же отличие «Р7-Офис» от Google Docs — это возможность развернуть систему на своем собственном сервере. Плюс, есть возможности интеграции со сторонними платформами (например, ownCloud/Nextcloud) и с другими веб-приложениями.
Свой сервер — это на самом деле большое преимущество, хотя бы с точки зрения приватности и безопасности. К тому же, платформа «Р7-Офис» внесена в Реестр отечественного программного обеспечения (и активно внедряется в РФ). Есть и другой фактор — кто сейчас может поручиться, что Google и все его сервисы будут свободно доступны в России и в будущем? Звучит невероятно, но ведь КНР в таком режиме существует далеко не первый год.
«Р7-Офис» — передовая отечественная экосистема для офисной работы. Она включает в себя в себя редакторы текстовых документов, электронных таблиц и мультимедийных презентаций, а также инструменты совместной работы, почтовый клиент и мессенджеры.
Речь идет о десктопном приложении — пакете программ, который, по аналогии с Microsoft Office, позволяет работать с файлами без подключения к Интернету после однократной загрузки и установки.
1. Загружаем последнюю версию приложения с официального сайта продукта www.r7-office.ru . Можно приобрести пакет в соответствии с подходящим тарифным планом. Если хотите попробовать бесплатную версию — предстоит заполнить простую форму.
Следует учесть, что пакет работает с 32- и 64-разрядными версиями Windows поколений 10/8.1/8/7/XP/Vista. При нажатии кнопки «Скачать» вам может быть предложен выбор папки для сохранения. Если этого не произошло — ищите файлы в папке «Загрузки» вашего браузера.
2. Устанавливаем программу с помощью Мастера установки. «Мастер установки» подскажет последовательность действий и задаст базовые конфигурации, которые необходимы для корректной работы. Для этого найдите в загруженных файлах установщик с расширением .exe.
Для этой операции вам будут нужны Root-права, иначе говоря — полномочия администратора или расширенного пользователя. Если их нет — следует обратиться к администратору сети вашего предприятия.
Мастер предложит вам ознакомиться с лицензионным соглашением (вам надо принять его условия для продолжения работы). Также предстоит выбрать место для установки программы или оставить заданное по умолчанию — папку Program Files. Наконец, будет предложено создать ярлык на рабочем столе и в меню «Пуск» — или отказаться от него.
Когда вы пройдете все эти шаги, начнется сам процесс установки. Лучше закройте все приложения перед его запуском — особенно, если ваш компьютер не очень мощный. Установка займет до 10 минут в зависимости от особенностей вашего оборудования.
3. Приступаем к первому сеансу работы с программами. Собственно, его можно начать сразу после установки. Если решите сделать это позднее, в меню «Пуск» найдите соответствующий ярлык (Пуск — Программы — Р7-Офис — Р7-Офис) и нажмите на него.
4. Добавляем и активируем файл лицензии. Этот файл нужен для того, чтобы подтвердить использование оригинальной лицензионной версии программы. Для этого в главном меню программы найдите вкладку «О программе» и выберите пункт «Загрузить файл лицензии».
Если хотите активировать лицензию автоматически — перенесите файл с расширением .lickey по указанному адресу: C:\ProgramData\R7-Office\License. Важно: эта опция доступна только если вы не меняли место, заданное для установки программы по умолчанию.
5* Для опытных пользователей (владеющих командной строкой). Если вы активируете лицензию для пакета «Р7-Офис.Профессиональный» с помощью групповых политик, SCCM или иного средства автоматизированного добавления файла лицензии в папку, вам надо убедиться, что вы обладаете правами на чтение и запись данного файла.
Если этих прав нет, вам придется запустить bat-скрипт:
icacls «%PROGRAMDATA%\R7-Office\License\license.lickey» /grant:r Users:RWДесктопная версия пакета «Р7-Офис. Профессиональный» может быть установлена в качестве программы по умолчанию — она будет открывать все ваши документы, таблицы, презентации.
1. В ОС Windows1 /10 или Windows Server 2016 / 2019 это делается через механизм DISM — есть такой инструмент командной строки.
Сначала надо создать файл DefaultAssoc.xml и добавить в него такой текст:
<?xml version="1.0" encoding="UTF-8"?>
<DefaultAssociations>
<Association Identifier=".doc" ProgId="R7.Document.12" ApplicationName="Р7-Офис" />
<Association Identifier=".docx" ProgId="R7.Document.12" ApplicationName="Р7-Офис" />
<Association Identifier=".dotx" ProgId="R7.Document.12" ApplicationName="Р7-Офис" />
<Association Identifier=".odt" ProgId="R7.Document.12" ApplicationName="Р7-Офис" />
<Association Identifier=".ott" ProgId="R7.Document.12" ApplicationName="Р7-Офис" />
<Association Identifier=".rtf" ProgId="R7.Document.12" ApplicationName="Р7-Офис" />
<Association Identifier=".pdf" ProgId="R7.Document.12" ApplicationName="Р7-Офис" />
<Association Identifier=".epub" ProgId="R7.Document.12" ApplicationName="Р7-Офис" />
<Association Identifier=".xps" ProgId="R7.Document.12" ApplicationName="Р7-Офис" />
<Association Identifier=".djvu" ProgId="R7.Document.12" ApplicationName="Р7-Офис" />
<Association Identifier=".xls" ProgId="R7.Sheet.12" ApplicationName="Р7-Офис" />
<Association Identifier=".xlsx" ProgId="R7.Sheet.12" ApplicationName="Р7-Офис" />
<Association Identifier=".xltx" ProgId="R7.Sheet.12" ApplicationName="Р7-Офис" />
<Association Identifier=".ods" ProgId="R7.Sheet.12" ApplicationName="Р7-Офис" />
<Association Identifier=".ots" ProgId="R7.Sheet.12" ApplicationName="Р7-Офис" />
<Association Identifier=".csv" ProgId="R7.Sheet.12" ApplicationName="Р7-Офис" />
<Association Identifier=".ppt" ProgId="R7.Show.12" ApplicationName="Р7-Офис" />
<Association Identifier=".pptx" ProgId="R7.Show.12" ApplicationName="Р7-Офис" />
<Association Identifier=".potx" ProgId="R7.Show.12" ApplicationName="Р7-Офис" />
<Association Identifier=".odp" ProgId="R7.Show.12" ApplicationName="Р7-Офис" />
<Association Identifier=".otp" ProgId="R7.Show.12" ApplicationName="Р7-Офис" />
</DefaultAssociations>Dism.exe /Online /Import-DefaultAppAssociations:C:\_путь_к файлу_\DefaultAssoc.xmlDism.exe /online /Export-DefaultAppAssociations:C:\_путь_к файлу_\DefaultAssoc.xmlDism /Mount-Image /ImageFile:C:\_путь_к_образу_ОС_\install.wim /MountDir:C:\_путь_к_образу_ОС_\offlineDism.exe /Image:C:\_путь_к_образу_ОС_\offline /Import-DefaultAppAssociations:C:\_путь_к файлу_\DefaultAssoc.xmlDism.exe /Image:C:\_путь_к_образу_ОС_\offline /Get-DefaultAppAssociations
Системный администратор может использовать для централизованной настройки этой возможности (выставления «Р7-Офис» в качестве пакета по умолчанию) функцией групповых политик.
Для этого нужно настроить политику с именем «Установить файл конфигурации ассоциаций по умолчанию» (Set a default associations configuration file).
Она находится в разделе Конфигурация компьютера -> Административные шаблоны -> Компоненты Windows -> Проводник (Computer Configuration -> Administrative Templates -> Windows Components ->File Explorer).
Следует включить политику и указать UNC-путь к вашему XML-файлу. Он может быть расположен в общей сетевой папке, каталоге SYSVOL на контроллере домена или предварительно скопирован на компьютеры с помощью Microsoft Active Directory Group Policy Preferences (GPP) или Microsoft System Center Configuration Manager (SCCM).
Полезно помнить, что путь к XML-файлу с новыми настройками ассоциации файлов содержится в параметре реестра DefaultAssociationsConfiguration в разделе
HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows \ System
2. В Windows 7 или Windows Server 2012R2 пакет сопоставляется с типами файлов через настройки реестра. Для этого надо найти редактор реестра (regedit.exe) и перейти в раздел реестра HKEY_CLASSES_ROOT \ .формат файла.
Теперь предстоит произвести изменения значение параметра по умолчанию на следующие параметры:
Аналогичного результата можно добиться, запуская VBA-скрипт:
Set objShell = Wscript.CreateObject("WScript.Shell")
objShell.RegWrite "HKCR\.doc\", "R7.Document.12", "REG_SZ"
objShell.RegWrite "HKCR\.docx\", "R7.Document.12", "REG_SZ"
objShell.RegWrite "HKCR\.dotx\", "R7.Document.12", "REG_SZ"
objShell.RegWrite "HKCR\.odt\", "R7.Document.12", "REG_SZ"
objShell.RegWrite "HKCR\.ott\", "R7.Document.12", "REG_SZ"
objShell.RegWrite "HKCR\.rtf\", "R7.Document.12", "REG_SZ"
objShell.RegWrite "HKCR\.pdf\", "R7.Document.12", "REG_SZ"
objShell.RegWrite "HKCR\.epub\", "R7.Document.12", "REG_SZ"
objShell.RegWrite "HKCR\.xps\", "R7.Document.12", "REG_SZ"
objShell.RegWrite "HKCR\.djvu\", "R7.Document.12", "REG_SZ"
objShell.RegWrite "HKCR\.xls\", "R7.Sheet.12", "REG_SZ"
objShell.RegWrite "HKCR\.xlsx\", "R7.Sheet.12", "REG_SZ"
objShell.RegWrite "HKCR\.xltx\", "R7.Sheet.12", "REG_SZ"
objShell.RegWrite "HKCR\.ods\", "R7.Sheet.12", "REG_SZ"
objShell.RegWrite "HKCR\.ots\", "R7.Sheet.12", "REG_SZ"
objShell.RegWrite "HKCR\.csv\", "R7.Sheet.12", "REG_SZ"
objShell.RegWrite "HKCR\.ppt\", "R7.Show.12", "REG_SZ"
objShell.RegWrite "HKCR\.pptx\", "R7.Show.12", "REG_SZ"
objShell.RegWrite "HKCR\.potx\", "R7.Show.12", "REG_SZ"
objShell.RegWrite "HKCR\.odp\", "R7.Show.12", "REG_SZ"
objShell.RegWrite "HKCR\.ots\", "R7.Show.12", "REG_SZ"
Угрозы информационной безопасности сегодня являются одной из самых серьезных проблем, с которыми сталкиваются руководители компаний по всему миру. Для того, чтобы цифровая трансформация прошла без сбоев, а также чтобы обезопасить свой бизнес от взломов и утечек, важно знать о последних трендах в сфере безопасности и о том, что происходит по ту сторону баррикад.
Мы опросили 2800 руководителей служб ИБ и ИТ в различных индустриях, чтобы определить 20 основных факторов, которые будут влиять на информационную безопасность в 2020 году — ссылка
Другие отчеты по кибербезопасности по этой ссылке
Как сэкономить время своих сотрудников и решать совместные задачи быстрее и проще?
Представьте, что вы можете визуализировать любую идею прямо во время совещания! И тут же ваши коллеги в режиме live редактируют её. А по окончании встречи все результаты совместной работы сохраняются в электронном виде и доступны всем участникам.
Мы попросили наших экспертов рассказать о том, как с помощью Cisco Webex Board можно работать с виртуальной доской, а также проводить презентации, аудио- и видеоконференции.
На прошлой неделе вышла у меня дискуссия на тему удаленного доступа и различных VPN-клиентов, которые можно поставить на рабочее место сотрудника, отправляемого работать домой. Один коллега отстаивал «патриотическую» позицию, что надо использовать «абонентские пункты» к отечественным шифраторам. Другой настаивал на применении клиентов от зарубежных VPN-решений. Я же придерживался третьей позиции, которая заключается в том, что такое решение не должно быть придатком периметрового шифратора и даже не клиентской частью VPN-шлюза. Даже на производительном компьютере не совсем правильно ставить несколько защитных клиентов, которые будут решать разные задачи — VPN, идентификация/аутентификация, защищенный доступ, оценка соответствия и т.п. Идеально, когда все эти функции, а также иные, объединены в рамках единого клиента, что снижает нагрузку на систему, а также вероятность несовместимости между различным защитным ПО. Одним из таких клиентов является Cisco AnyConnect, о возможностях которого я бы и хотел вкратце рассказать.
Cisco AnyConnect является логичным развитием Cisco VPN Client, который за много лет не только был русифицирован, но и обогатился множеством различных функций и возможностей для защищенного удаленного доступа к корпоративной или облачной инфраструктуре с помощью одного из трех протоколов — TLS, DTLS и IPSec (поддерживается также FlexVPN). Первый из них является достаточно традиционным для VPN-клиентов и использует TCP как транспортный для своей работы. Однако туннелирование через TLS означает, что приложения, основанные на TCP, будут его дублировать (один раз для организации TLS, второй — для своей работы уже внутри TLS). А протоколы на базе UDP будут… все равно использовать TCP. Это может привести к определенным задержкам, например, для мультимедиа-приложений, которые являются очень популярными при удаленной работе. Решением этой проблемы стала разработка протокола DTLS, который вместо TCP задействует UDP для работы TLS. AnyConnect поддерживает обе реализации TLS — на базе TCP и UDP, что позволяет гибко их использовать в зависимости от условий удаленной работы. Обычно TCP/443 или UDP/443 разрешены на межсетевых экранах или прокси и поэтому использование TLS и DTLS не составляет большой проблемы. Но в ряде случаев может потребоваться применение протокола IPSec, который также поддерживается AnyConnect’ом (IPSec/IKEv2).
А на каких устройствах может терминироваться VPN-туннель, создаваемый AnyConnect? Я просто их перечислю:
Можно отметить, что с очень высокой вероятностью, у вас уже стоит что-то вышеупомянутое на периметре вашей корпоративной или ведомственной сети и вы можете задействовать эти устройства для организации защищенного удаленного доступа (главное, чтобы они справились с возрастающей нагрузкой). Тем более, что сейчас у Cisco действует бесплатное предложение по получению лицензий AnyConnect.
Интересно, что в отличие от многих других VPN-клиентов, у вас существует множество вариантов инсталляции Cisco AnyConnect на персональный компьютер или мобильное устройство ваших работников. Если вы выдаете им такие устройства из собственных запасов или специально покупаете для сотрудников ноутбуки, то вы можете просто предустановить защитного клиента вместо с остальным ПО, требуемым для удаленной работы. Но что делать для пользователей, которые находятся далеко от корпоративных ИТ-специалистов и не могут предоставить им свой ноутбук для установки нужного ПО? Можно, конечно, задействовать и специализированное ПО типа SMS, SCCM или Microsoft Installer, но у Cisco AnyConnect есть и другой способ установки — при обращении к упомянутому VPN-шлюзу клиент сам скачивается на компьютер пользователя, работающий под управлением Windows, Linux или macOS. Это позволяет быстро развернуть VPN-сеть даже на личных устройствах работников, отправленных на удаленную работу. Мобильные же пользователи могут просто скачать Cisco AnyConnect из Apple AppStore или Google Play.
Но как я уже выше написал, Cisco AnyConnect, это не просто VPN-клиент, это гораздо больше. Но я бы не хотел переписывать здесь документацию на него, а попробовать описать ключевые функции в режиме вопросов и ответов на них (FAQ).
В AnyConnect есть такая функция — Always-On VPN, которая предотвращает прямой доступ в Интернет, если пользователь не находится в так называемой доверенной сети, которой может быть ваша корпоративная инфраструктура. Но обратите внимание, что данная функция работает очень гибко. Если пользователь находится в корпоративной сети, VPN автоматически отключается, а при ее покидании (например, если пользователь работает с ноутбука, планшета или смартфона), VPN опять включается; причем прозрачно и незаметно для пользователя. Тем самым пользователь всегда будет находиться под защитой корпоративных средств защиты, установленных на периметре, — межсетевого экрана, системы предотвращения вторжений, системы анализа аномалий, прокси и т.п. Многие компании, выдавая удаленным работникам корпоративные устройства, ставят условие использования их только для служебных целей. А чтобы контролировать исполнение этого требования включают в AnyConnect настройки, запрещающие пользователю ходить в Интернет напрямую.
Функция Always-On VPN очень полезна для защиты удаленного доступа с выданных вами устройств, но далеко не всегда мы можем заставить пользователя делать то, что хотим мы, особенно если речь идет о его личном компьютере, на котором мы не можем устанавливать свои правила. И пользователь не захочет, чтобы его личный трафик проходил через корпоративный периметр и ваши администраторы следили за тем, какие сайты пользователь посещает во время надомной работы. Как говорится, «сложно говорить о морали с администратором, который видел логи вашего прокси» 🙂
В этом случае на Cisco AnyConnect можно включить функцию split tunneling, то есть разделения туннелей. Одни виды трафика, например, до корпоративной инфраструктуры и рабочих облаков трафик будет шифроваться, а трафик до соцсетей или онлайн-кинотеатров будет идти в обычном режиме, без защиты со стороны AnyConnect. Это позволяет учесть интересы и компании и ее работников, вынужденных делить персональный компьютер сотрудника между двумя областями жизни — личной и служебной. Но стоит помнить, что функция split tunneling может снизить защищенность вашей сети, так как пользователь может подцепить какую-нибудь заразу в Интернет, а потом уже по защищенному каналу она попадет в внутрь компании.
Помимо разделения трафика по принципу «доверенный/недоверенный», Cisco AnyConnect поддерживает функцию Per App VPN, которая позволяет шифровать трафик отдельных приложений (даже на мобильных устройствах). Это позволяет шифровать (читай, пускать в корпоративную сеть) только определенные приложения, например, 1C, SAP, Sharepoint, Oracle, а тот же Facebook, LinkedIn или персональный Office365 пускать в обход корпоративного периметра. При этом для разных групп удаленных устройств или пользователей могут быть свои правила безопасности.
С одной стороны Cisco AnyConnect может проверять наличие у вас системы защиты Cisco AMP for Endpoints и устанавливать ее при отсутствии. Но возможно у пользователя уже установлен собственный антивирус или этот антивирус уже был установлен вами при переводе работников на удаленную работу. Однако все мы знаем, что антивирус сегодня ловит очень мало серьезных угроз и неплохо бы дополнить его более продвинутыми решениями по обнаружению вредоносных программ, аномалий и иных атак. Если в вашей корпоративной инфраструктуре развернуто решение Cisco Stealthwatch, то вы можете легко интегрировать с ним и агенты Cisco AnyConnect, установленные на домашних компьютерах ваших работников. В AnyConnect встроен специальный модуль Network Visibility Module (NVM), который транслирует активность узла в специально разработанный для этой задачи протокол nvzFlow, который дополняет ее дополнительной информацией и передает на Netflow-коллектор, которым может являться как Cisco Stealthwatch Enterprise, так и какой-либо SIEM, например, Splunk. Среди прочего NVM-модуль может передавать следующую информацию, на базе которой можно выявлять аномальную и вредоносную активность на домашнем компьютере, которая осталась незаметной для установленного антивируса:
Данный функционал по сути представляет собой облегченную UEBA (User Entity Behaviour Analytics), новую технологию анализа поведения пользователей и приложений/процессов, запускаемых от их имени.
Когда пользователи работают на корпоративных компьютерах, то они проходят аутентификацию обычно в Active Directory или ином LDAP-справочнике. Хочется получить такую же возможность и при удаленном доступе и Cisco AnyConnect позволяет ее реализовать за счет поддержки аутентификации по логину/паролю, включая и одноразовые пароли (например, LinOTP), пользовательским или машинным сертификатам, аппаратным токенам (например, смарт-картам или Yubikey), и даже биометрии и иным способам многофакторной аутентификации. Все эти варианты могут быть легко интегрированы с вашими решениями по управлению идентификацией и аутентификацией с помощью протоколов RADIUS, RSA SecurID, SAML, Kerberos и т.п.
У Cisco существует виртуальный маршрутизатор Cisco CSR 1000, который может быть развернут в облачных средах, например, в Amazon AWS или MS Azure, и который может терминировать на себе VPN-туннели, создаваемые Cisco AnyConnect.
Давайте попробуем прикинуть, что может плохого или неправильного сделать пользователь на компьютере при удаленной работе? Установить ПО, содержащее уязвимости, или просто не устранять их своевременно с помощью патчей. Не обновлять свой антивирус или вообще его не иметь. Использовать слабые пароли. Установить ПО с вредоносным функционалом. Это то, что может поставить вашу корпоративную сеть под угрозу и никакой VPN вас не защитит от этого. А вот Cisco AnyConnect может за счет функции оценки соответствия, которая позволяет перед предоставлением доступа удаленного компьютера к корпоративным ресурсам проверить все необходимые и требуемые ИТ/ИБ-политиками настройки — наличие патчей, актуальные версии ПО, обновленный антивирус, наличие средств защиты, правильную длину пароля, наличие шифрования жесткого диска, определенные настройки реестра и т.п. Реализуется данная возможность либо с помощью функции Host Scan (для этого нужна Cisco ASA в качестве шлюза удаленного доступа), либо с помощью функции System Scan, которая обеспечивается с помощью системы контроля сетевого доступа Cisco ISE.
Нет, не надо. В Cisco AnyConnect встроен специальный роуминговый модуль, который позволяет не только автоматически и прозрачно переподключать VPN при переходе между различными типами подключений (3G/4G, Wi-Fi и т.п.), но и автоматически защищать ваше мобильное (ведь вряд ли вы будете носить с собой стационарный домашний компьютер) устройство с помощью решения Cisco Umbrella, которое будет инспектировать весь DNS-трафик на предмет доступа к фишинговым сайтам, командным серверам, ботнетам и т.п. Подключение к Umbrella потребуется в том случае, если вы разрешили пользователю функцию split tunneling и он может подключаться к различным ресурсам Интернет напрямую, минуя шлюз удаленного доступа. Модуль подключения к Cisco Umbrella будет полезен даже в том случае если вы не используете VPN — тогда весь трафик будет проверяться через этот защитный сервис.
Нет. Как я уже описывал выше, Cisco AnyConnect поддерживает протокол DTLS, который специально ориентирован на защиту мультимедиа-трафика.
На самом деле Cisco AnyConnect обладает куда большим количеством возможностей. Он может работать в скрытом режиме, динамически выбирать наиболее оптимальный шлюз удаленного доступа, поддерживает IPv6, имеет встроенный персональный межсетевой экран, мониторится удаленно, обеспечивает контроль доступа, поддерживает RDP и т.п. А еще он русифицирован, чтобы у пользователей не возникало вопросов относительно тех редких сообщений, которые Cisco AnyConnect может выдавать. Так что Cisco AnyConnect — это не просто VPN-клиент, но гораздо более интересное решение для обеспечения защищенного удаленного доступа, который в последние недели начинает набирать популярность из-за пандемии коронавируса, заставляющего работодателей переводить отдельные категории своих работников на удаленку.
Источник: https://habr.com/ru/company/cisco/blog/493590/
Автор:
Промсвязьбанк входит в топ-10 крупнейших банков России и является универсальным банком, чья история насчитывает уже более 20 лет. Признан Центральным Банком России одним из 11 системно значимых финансовых институтов.
Раздается недавно звонок:
— Добрый день! Я бы хотел получить спецификацию на межсетевой экран Cisco ASA. У меня уже есть спецификации от компании <имярек> и я хочу сравнить их и выбрать подходящую. Вы можете мне помочь в этом?
— Да, конечно. А для чего вам нужна Cisco ASA?
— Мне необходимо заблокировать Tor.
— А вам нужна именно Cisco ASA для этого?
— Ну а как? Вот компания <имярек> говорит, что ее межсетевой экран блокирует Tor. Поэтому я хочу сравнить стоимость их экрана с вашим.
— То есть вам нужно заблокировать Tor и вы ищите для этого нужное вам решение?
— Да-да (раздраженно). Так вы можете мне составить спецификацию? Какие исходные данные вам нужны?
— Для решения именно этой вашей задачи, если другие перед вами не стоят, необязательно использовать Cisco ASA. Блокировать работу с Tor вы можете с помощью различных наших решений — Cisco Web Security Applaince, Cisco Umbrella Security Internet Gateway, Cisco Cloud Web Security, Cisco Meraki MX, Cisco Firepower, Cisco AMP for Endpoints… В конце концов вы можете с помощью скрипта подгружать адреса узлов сети Tor в маршрутизатор Cisco ISR и блокировать их с помощью ACL. В последнем случае вам и тратить ничего не придется.
— Да? Вот блин. Мне надо тогда подумать…
— Давайте мы с вами вместе составим перечень задач, которые вам надо решить, и угроз, с которыми надо бороться, и тогда уже выберем наилучшим образом подходящий продукт?
— Хорошо, давайте. Вы сможете к нам подъехать завтра к 10-ти утра?
— Конечно.
Схожие по сути звонки мы получаем достаточно часто и они отражают сложившуюся практику не решения своих задач, а закрытия текущих проблем с помощью лучше всего известных продуктов. Это как со строительством дорог. Можно их изначально строить правильно (пусть и первоначальные затраты будут подороже), а можно каждый год перекладывать пришедший в негодность асфальт или ставить заплатки на образовавшиеся ямы (что в итоге обходится дороже). Таких “ям” в какой-то момент становится слишком много и наступает коллапс — все приходится переделывать, а человек, начавший эту “заплаточную” историю теряет свое место (а может он и сам давно покинул свою должность, предвосхитив возможные проблемы). Так и с построением системы информационной безопасности на предприятии. Мы слишком привыкли мыслить продуктовыми категориями. Тут мы купим Cisco ASA (наверное, потому что других межсетевых экранов у Cisco мы не знаем), тут поставим Cisco Web Security Appliance (хотя можно было бы обойтись и Cisco Umbrella), тут нужен антивирус <имярек> (хотя заказчик столкнулся с безфайловыми атаками), тут поставим сертифицированный криптошлюз (хотя можно обойтись и встроенной в маршрутизатор или операционную систему VPN-функциональностью)… Все это началось очень давно, когда на рынке присутствовали игроки с одним продуктом, который решал определенную задачу. Так произошла подмена понятий — “решение задачи” было заменено на “продукт”. Но время шло, портфолио производителей расширялось, функциональность продуктов тоже, а подход “хочу продукт” остался.
Я иногда завидую нишевым вендорам по кибербезопасности. Чем хороша работа у них? Небольшим набором продуктов, решающих вполне конкретные задачи. Нужен, например, заказчику межсетевой экран, — вот вам межсетевой экран. Никаких разночтений и разногласий — все предельно понятно. Максимум, по чему может выйти спор, это какая модель нужна — на 250 или 600 мегабит в секунду? Нужно заказчику, например, блокировать Skype в своей сети — опять же вот вам межсетевой экран с соответствующей функцией (если она в МСЭ есть, конечно). Все довольны. Вендор, который штампует коммерческие предложения пачками (продукт-то один — не разгуляешься). Заказчик, который на свой запрос получает готовое предложение с конкретной ценой. Партнер, которому не надо иметь компетенции по разным решениям.
В Cisco ситуация немного иная. Начнем с того, что у нас тех же самых межсетевых экранов семь:
И это если не рассматривать снятый с производства 10 лет назад, но до сих пор используемый некоторыми заказчиками, Cisco Pix, а также различные “прикладные” МСЭ, например, DNS-фильтр Cisco Umbrella, HTTP-фильтр Cisco Web Security Appliance и т.п., которые с некоторой натяжкой, но тоже могут носить гордое звание межсетевых экранов для определенных задач.
И поэтому даже на обычный запрос “да нам бы обычный межсетевой экран” мы ответить просто так не можем. Да и не правильно это. Очень важно выбирать средства защиты не из его названия или типа (например, NGFW есть у многих производителей, но вот понимание того, что такое NGFW, у всех разное) или своего представления о продукте, а из решаемой задачи и детального изучения характеристик и функций имеющегося у производителя портфолио. В случае с Cisco, в наших продуктах используется немало перекрестных или схожих по своей сути технологий и правильный их выбор лучше обсуждать с представителями производителя или квалифицированного партнера. Тем более, что мы всегда открыты для консультаций и готовы помогать нашим заказчикам и партнерам.
Поэтому при звонках, аналогичных приведенному выше, мы начинаем “занудствовать” и уточнять, для решения какой задачи заказчику нужен межсетевой экран. Ему нужен межсетевой экран для разграничения доступа на сетевом уровне? Для защиты виртуализированных сред? Для контроля приложений? С привязкой правил к учетным записям пользователей или нет? Для установки на магистральных каналах или на удаленной площадке? А все потому, что портфолио наше по кибербезопасности достаточно широко и банального ответа “купите наш межсетевой экран и будет вам счастье” мы дать поэтому не можем. Мы руководствуемся принципом, что решаемая задача определяет используемый продукт, а не наоборот. Если у других производителей всего один межсетевой экран или одна система обнаружения атак и поэтому они убеждают заказчиков, что “гонять весь трафик, даже внутренний, через периметровый МСЭ — это нормально” или что “поставьте периметровую IDS на каждом транке или SPAN-порту и вы решите свою задачу”, то мы так не работаем. Сначала определяется решаемая задача и (или) модель угроз, а потом уже выбирается под них соответствующее решение, которое может отличаться от изначально предполагаемого заказчиком.
Но давайте попробуем выйти за рамки только межсетевого экрана? У нас ведь номенклатура решений по кибербезопасности гораздо шире и далеко не все можно и нужно решать только с помощью межсетевого экрана. Возьмем, к примеру, задачу контроля доступа к Web-ресурсам. В случае с Cisco решаться она может по-разному. Как минимум 4 продукта позволяют нам контролировать доступ к Интернет-ресурсам:
Каждое из данных решений позволяет нам фиксировать попытки доступа к тем или иным сайтам, и блокировать их по необходимости. Но делают они это по-разному. Например, Cisco Umbrella мониторит все DNS-запросы из корпоративной сети или с мобильного устройства. А CWS (или его новая реинкарнация Cisco Securу Internet Gateway) пропускает все HTTP/HTTPS-запросы через ближайшее облако, что особо полезно для мобильных сотрудников. WSA и Firepower действуют по схожей с CWS технологии (база категорированных URL), но должны быть установлены на периметре защищаемой сети. Однако этим отличия четырех названных продуктов не ограничиваются. Тот же Firepower помимо URL-фильтрации может обнаруживать вредоносные файлы, загружаемые с посещаемых страниц, а WSA к этому добавляет еще функции анализа и разбора Web-страниц на лету (при их отсутствии в базе URL), а также возможность сканирования страницы до предоставления к ней доступа пользователю и вырезания вредоносного контента или рекламы. А если задача контроля доступа к Web-ресурсам трансформируется в задачу контроля доступа к облачным сервисам (Amazon, Google.Doc, Azure и т.п.) с личных устройств сотрудников, находящихся за пределами корпоративной сети, то тут вступает в игру еще одно решение Cisco — CloudLock, относящееся к классу Cloud Access Security Broker (CASB). Иными словами, решения Cisco по контролю Web-доступа, помимо своей основной функции обладают еще и расширенным функционалом, который и отличает их друг от друга. И именно весь спектр функций решения и стоящая перед заказчиков задача будут влиять на его выбор.
Возьмем другой пример — борьбу с программами-вымогателями, которые пытаются соединиться с командными C2-серверами для подгрузки новой функциональности, получения команд или организации утечки данных. В Cisco такой защитной функциональностью обладают разные решения:
Какое из названных семи решений выбрать для блокирования заражения шифровальщиками и взаимодействия с управляющими серверами вредоносного ПО? Опять же все зависит от того, какие еще задачи с точки зрения информационной безопасности мы хотим решить. Нужна ли нам только борьба с программами-вымогателями или нам нужно решение для защиты периметра “все в одном” (тут лучше подходит Firepower)? А может нам нужна защита мобильных устройств? Тогда Cisco Umbrella будет лучшим выбором. Наконец, если мы не уверены, что весь трафик ходит только через периметр, то нам не обойтись без Cisco Stealthwatch. А скорее всего одним решением тут и вовсе не обойтись и понадобится комплекс из нескольких технологий.
Возьмем еще один пример, с которым пришлось разбираться некоторое время назад. Заказчик приобрел Cisco Web Security Appliance для контроля доступа к сети Интернет, а потом высказал ряд замечаний, которые очень хорошо продемонстрировали описанное выше. Заказчик выбирал продукт, а не решение своей задачи. В процессе “разбора полетов” выяснилось, что заказчику нужна была функция блокирования Skype и Cisco WSA с ней справлялся не очень хорошо. Давайте попробуем разобраться, почему заказчик оказался неудовлетворенным?
Начнем с того, что на момент разбора ситуации Skype был построен по принципу Peer-to-peer и не использовал никаких центральных серверов для своей работы (хотя Microsoft и движется в эту сторону). Поэтому блокировать Skype как это делается при доступе к обычным Web-сайтам (что WSA делает на отлично) нужно умеючи и с пониманием различных методов коммуникаций в Skype:
Так вот в 1-3 случаях трафик обычно не идет через Cisco WSA и, как следствие, не может быть им блокирован. И это не недостаток WSA, а особенности места его установки в корпоративной сети. В 4-м же сценарии тоже есть свои сложности, связанные с тем, что Skype не передает в рамках HTTP CONNECT никаких деталей о клиенте (нет строки HTTP User-Agent). Поэтому сложно отличить Skype от другого протокола, использующего метод HTTP CONNECT. Мы можем попробовать заблокировать такие соединения, но тогда “под раздачу” попадут все пользователи Skype, а также, возможно, и иные протоколы, использующие схожие методы коммуникаций.
Что же тогда делать? Как нам решить задачу, стоящую перед заказчиком? Как я написал выше, надо отталкиваться именно от задачи, а не продукта, который “вроде как по описанию” решает ее. Опираясь на описанные выше способы коммуникаций, применяемые Skype, у нас есть три кандидата для решения поставленной задачи:
NBAR2 (Network-based Application Recognition) — это функция маршрутизаторов Cisco с операционной системой IOS, которая позволяет распознавать приложения, проходящие через маршрутизатор. С ее помощью можно легко идентифицировать различные виды трафика, в том числе и использующие пиринговые технологии с динамичными портами для соединений (к ним относится и Skype). Для того, чтобы блокировать Skype на обычном маршрутизаторе достатно ввести следующие команды (указав вместо “GigabitEthernet 0/2” правильный интерфейс для контроля трафика):
(config)#class-map match-any blockskype
(config-cmap)#match protocol skype
(config)#policy-map blockskype
(config-pmap)#class blockskype
(config-pmap-c)#drop
(config)#interface GigabitEthernet 0/2
(config-if)#service-policy input blockskype
(config-if)#service-policy output blockskype
Удостовериться в правильности работы включенной вами политики можно командой show policy-map (или show class-map):
1#show policy-map interface g0/2 input
GigabitEthernet0/2
Service-policy input: blockskype
Class-map: blockskype (match-any)
994 packets, 327502 bytes
30 second offered rate 43000 bps, drop rate 43000 bps
Match: protocol skype
994 packets, 327502 bytes
30 second rate 43000 bps
drop
Class-map: class-default (match-any)
195253 packets, 51828774 bytes
30 second offered rate 7282000 bps, drop rate 0 bps
Match: any
У данного метода, правда, есть всего один, но существенный недостаток, — он блокирует весь трафик Skype без разбора. На практике же вам может понадобиться быть более гибким. Например, вы хотите разрешить пользоваться Skype только отдельным пользователям в своей сети, а всем остальным запретить. Или необходимо запретить отдельные функции внутри самого Skype (чаты, голос, видео, передача файлов) и также привязать эти политики к конкретным учетным записям пользователей. Помочь решить задачу в такой постановке не сможет ни Cisco WSA, ни Cisco NBAR2 — только технологии Cisco Firepower (в виде надстройки над МСЭ Cisco ASA, в виде самостоятельного аппаратного или виртуального устройства, или в виде надстройки над маршрутизатором Cisco ISR). Именно это решение позволяет наиболее гибко решить задачу фильтрации Skype по различным атрибутам — время, пользователь, операция в Skype, направление и т.п. Но если пойти еще дальше, то можно запретить запускать приложение Skype на компьютере пользователя, а это можно попробовать сделать и групповыми политиками, и самостоятельными средствами защиты информации, например, Cisco AMP for Endpoints.
Возьмем последний пример, который часто всплывает в разговоре с заказчиками и с которого начинается эта заметка. Заказчики говорят: “Мы хотим блокировать Tor. Ваш МСЭ умеет это делать?” Да, умеет. Только вот Tor блокировать можно не только с помощью МСЭ, хотя это и самый очевидный вариант. Дать на вход МСЭ регулярно обновляемый перечень выходных узлов сети Tor или адреса серверов каталогов и все, можно считать, что проблема решена. Но… Единственный ли это вариант? Конечно нет. Можно блокировать Tor с помощью маршрутизатора Cisco ISR, подав ему на вход список соответствующих адресов, которые затем транслируются в набор ACL. Автоматизировать эту задачу можно с помощью обычного скрипта — https://github.com/RealEnder/cisco-tor-block. А, например, Cisco Stealthwatch может мониторить взаимодействие не только с выходными, но и с входными узлами сети Tor. И на Cisco AMP for Endpoints можно повесить эту задачу. Вариантов масса — нужно понять, что из них лучше будет удовлетворять исходным условиям.
Именно поэтому мы всегда призываем и наших партнеров, и заказчиков четко формулировать свою задачу и говорить не о том, какой продукт Cisco им нужен (хотя бывает и так, что заказчик прекрасно разбирается в нашем портфолио и сам отлично знает, что ему надо), а о том, с какой проблемой они хотят бороться. Иначе у заказчика/партнера может возникнуть неудовлетворенность от решений Cisco, которые якобы неэффективно решают поставленную задачу. Но задачу-то никто и не ставил 🙁 Часто бывает так, что компания исходя из своего видения приобретает какое-либо решение, а потом оказывается, что оно не справляется с поставленной задачей. Кто в этом случае виноват?
Иными словами, надо отталкиваться от того, что иностранцы называет модным термином “use case” (сценарий использования). Я бы выделил четыре типа таких сценариев, которые имеют место в кибербезопасности:
В каждой из этих четырех категорий существует множество сценариев, универсального списка которых не существует (хотя есть наиболее популярные сценарии).
Подходя к концу заметку, я вновь хотел бы вернуться к тому, с чего начал. Чтобы правильно выстроить систему обеспечения информационной безопасности на предприятии необходимо не бежать искать продукт А, Б или В, а сначала составить список исходных данных — решаемые задачи (включая защищаемые процессы, поддерживаемые протоколы и системы, производительность и т.п.), отражаемые угрозы, требования нормативных актов, то есть отталкиваться от сценариев использования. И только поняв это, можно переходить к процессу выбора соответствующего решения (и вновь — не продукта, а именно решения). Удачного вам выбора! А чтобы раскрыть тему use case чуть шире, в следующих статьях мы рассмотрем несколько типовых сценариев.
Источник: https://habr.com/ru/company/cisco/blog/337900/
Автор: Алексей Лукацкий
Многие средства обеспечения безопасности позволяют вам контролировать собственную сеть. Но знаете ли вы, что происходит в Интернете в целом, за пределами периметра вашей сети? Именно там киберпреступники создают инфраструктуру для подготовки к атакам. Cisco Umbrella Investigate обеспечивает наиболее полный обзор инфраструктуры злоумышленников и позволяет специалистам по безопасности обнаруживать вредоносные домены, IP-адреса, хеш-суммы файлов и даже прогнозировать появление новых угроз. Среди ключевых сценариев использования Cisco Umbrella Investigate – расследование заражений вредоносного кода, защита бренда, поиск сайтов клонов, обнаружение фейковых новостей. О том, как использовать Cisco Umbrella Investigate для данных задач на реальных примерах, мы и расскажем в нашей презентации.
Технология поведенческой аналитики сегодня становится достаточно популярной в среде специалистов по безопасности, которые обсуждают ее, примеряются к ней, пытаются понять ее применимость в конкретной ситуации. Компания Cisco к этой технологии также присматривается и делает это с разных сторон. Мы и инвестировали 30 миллионов долларов в лидера этого рынка, компанию Exabeam, мы в своей службе информационной безопасности разработали собственное решение iCAM, объединяющее технологии UEBA и DLP (еще до того, как это стало модным), и мы включили некоторые аспекты поведенческого анализа в свои решения, предлагаемые заказчикам. Обо всем это мы рассказываем в кратком видео.
Прошло то время, когда вся система информационной безопасности на предприятии ограничивалась антивирусами на рабочих станциях и межсетевыми экранами на периметре. Сегодня, по оценкам экспертов, свыше 50% предприятий использует от 6 до 50 различных средств защиты. Как разобраться в том, что действительно важно, а что является обычным маркетинговым шлаком? Как понять, какие технологии нужно внедрять уже сейчас, а какие можно отложить до лучших времен? Обзору новых технологий (EDR,UEBA, NTA, NFT, CASB и др.) и посвящена данная презентация, в которой рассматриваются следующие вопросы: — Как строилась система защиты еще совсем недавно? — Почему прежняя парадигма системы защиты уже не работает? — Как строить систему защиту с учетом текущих и среднесрочных тенденций? — Что такое Use Case и какие они бывают? — Какие технологии ИБ будут востребованы в ближайшее время и что они умеют делать (EDR, MDR, CASB, UEBA, NTA, NFT/EFT, TI, TVM, SIR, SIEM, Deception, Advanced Analytics, EPP, NGIPS, Browser Isolation, Microsegmentation, SDP, Container Security, Attack Simulation, SOAR и др.)?
Сейчас, по оценкам Cisco, 60% трафика в Интернет зашифровано, а согласно прогнозам Gartner к 2019-му уже 80% трафика будет таковым. С одной стороны это хорошо. Это надо для обеспечения приватности граждан, для выполнения требований законодательства, для сохранения тайн в секрете. Но у шифрования есть и обратная сторона. Его также используют и злоумышленники, скрывая взаимодействие с командными серверами вредоносных программ и для других задач. Согласно отчету Ponemon Institute за 2016 год, почти половина (41%) злоумышленников используют шифрование для обхода механизмов детектирования их несанкционированной активности.
С одной стороны средства защиты не могут видеть, что происходит в зашифрованном трафике – по данным Ponemon Institute 64% компаний не могут детектировать вредоносный код в зашифрованном трафике. Но существует классический подход, который часто используется ИБ-производителями и государствами для проникновения в зашифрованные соединения. Речь идет об атаке Man-in-the-Middle (MITM), которую осуществляют в легальных целях. Обычно на периметре корпоративной или ведомственной сети или на границе государства устанавливает шлюз или кластер из шлюзов, которые и осуществляют “перехват” и расшифрование трафика. Такой способ применяется по данным Ponemon Institute только 38% компаний, но и у него есть проблемы. Это и его легальность (никто не давал вам права нарушать тайну переписки или иные требования законодательства по обеспечению конфиденцильности информации), и место внедрения (на MITM-шлюз надо направлять весь трафик, иначе этот метод дает сбой и не позволяет увидеть трафик), и стоимость (это существенно удорожает систему безопасности), и производительность (MITM-шлюзы должны работать на скорости потока, что не всегда возможно, так как криптографическая обработка сама по себе снижает пропускную способность).
А можно ли распознавать вредоносную активность, не прибегая к расшифрованию или дешифрованию (второе отличается от первого отсутствием ключей шифрования)? Оказывается можно. Мы разработали технологию под названием ETA (Encrypted Traffic Analytics), которая позволяет, опираясь на сетевую телеметрию, получаемую с сетевого оборудования, и алгоритмы машинного обучения, классифицировать зашифрованный трафик, попутно отделяя в нем чистый трафик от вредоносного.
Наша идея заключается в том, что мы оперируем не полем данных в зашифрованным пакете, а его заголовком. Казалось бы, как можно по заголовку понять, что внутри зашифрованного трафика действует какая-то вредоносная программа? Оказывается можно. Мы используем расширенную телеметрию в виде следующих данных, которые можно брать из сетевого трафика:
Обратите внимание, данных для каждого потока мы берем достаточно много. В этом залог успеха классификации вредоносного трафика. Опираясь только на один из описанных параметров телеметрии, эффективность распознавания будет гораздо ниже, превращая саму идею “в тыкву”. Второй слагаемой успеха Cisco ETA является машинное обучение, на вход которого подавался трафик, используемый для классификации. Разработанные нами алгоритмы позволяли обучиться на десятках тысяч потоков как известного вредоносного кода, так и чистого трафика.
Вредоносный трафик мы брали с сервиса-песочницы Cisco AMP Threat Grid, который позволяет не только получать на выходе полноценный анализ вредоносного кода, но и сгенерить по нему pcap-файл (кстати, наше подразделение Cisco Talos разработало специальную open source утилиту file2pcap, которая транслирует любой файл в трафик HTTP/HTTP2/FTP/SMTP/IMAP/POP3 в виде pcap-файла). За основу мы брали стопроцентно вредоносный код с 100-балльным уровнем угрозы по 100-балльной шкале. Каждый pcap-файл содержал пятиминутную сессию, а всего таких файлов было подано на вход разработанных нами специальных алгоритмов несколько миллионов. Анализ продолжался с августа 2015 по май 2016 года.
Утилита, используемая при изучении зашифрованного трафика с помощью машинного обучения
На первом тестовом наборе данных мы опирались в первую очередь на размеры пакетов и временные параметры (SPLT, Sequence of Packet Lengths and Arrival Times), распределение байтов (BD, Byte Distribution) и их энтропию (BE, Byte Entropy) в заголовках сетевого трафика, а также на метаданные TLS. Результаты распознавания и классификации вредоносного ПО оказались неплохими, но явно недостаточными.
На втором тестовом наборе мы добавили контекстную информацию из трафика DNS (в том числе наличие домена в списке Alexa, длина имени домена и FQDN, суффикс, TTL, % цифр в имени домена, % не буквенночисловых символов в имени домена) и HTTP (в том числе поля заголовка запроса/ответа, Content-Type, User-Agent, Accept-Language, HTTP-сервер, код возврата). В итоге, комбинируя различные параметры, мы добились точности распознавания вредоносного кода в зашифрованном трафике на уровне трех девяток (99.9%).
Анализ большого объема данных вредоносных программ различных семейств с помощью технологии Cisco ETA показал, что они часто используют схожие свойства и параметры, которые и позволяют их идентифицировать с высокой точностью:
Распределение длин ключей шифрования в процессе исследования
Обнаруженные в процессе 1 часа исследования криптографические наборы (700+ тысяч потоков)
Да, эти параметры (и их комбинации) сильно зависят от того, какое вредоносное ПО их использует. И они могут меняться. Но применение машинного обучения на большой выборке (а через Cisco AMP Threat Grid ежедневно проходит около 18 миллиардов файлов, из которых 1,5 миллиона вредоносных) все равно позволяет находить общие классификационные признаки и закладывать это знание в Cisco ETA.
Визуализация обнаружения зашифрованного трафика
Также в процессе тестированы Cisco ETA мы получили и ряд побочных эффектов. Например, мы смогли распознавать TLS на нестандартных портах, отличающихся от обычного 443-го. Были и нестандартные находки. Например, с помощью нашего классификатора мы смогли распознать на выборке из 80 тысяч потоков (при увеличении выборки точност распознавания должна вырасти еще больше) TLS поверх DNS, что в обычной жизни бывает нечасто, но может использоваться тем же вредоносным кодом, скрывающим свою активность в рамках разрешенного на периметре DNS.
Машинное обучение помогло обнаружить TLS over DNS
Для того, чтобы воспользоваться возможностями Cisco ETA не нужно ничего менять в существующей инфраструктуре, не нужно перенаправлять никуда трафик для анализа. Нужно всего три элемента для работы всей схемы:
Stealthwatch с ETA
Интеграция Stealthwatch с CTA
Cognitive Threat Analytics проводит глубокий анализ Web-логов с помощью машинного обучения
Процент вредоносного ПО, использующего шифрование, по данным Cisco AMP Threat Grid крутится сегодня вокруг отметки в 25% и это число растет. При этом по нашим наблюдениям от 7 до 13% вредоносного кода использует сегодня для шифрования протокол TLS. По оценкам Gartner к 2019-му году уже половина вредоносных кампаний будет использовать шифрование (как следствие возрастет и процент применения TLS). Традиционные средства сетевой безопасности (IDS/IPS/NGFW/Load Balancer) пасуют перед этой проблемой. В компании Cisco мы разработали новую технологию Cisco ETA, которая использует расширенную телеметрию и алгоритмы машинного обучения для обнаружения и классификации вредоносного кода без расшифрования зашифрованных коммуникаций с эффективностью выше 99%. Да, это не панацея. Но это метод снижения ложных срабатываний и повышения эффективности обнаружения вредоносов в корпоративной сети, что уже немало в современных условиях. Особенно учитывая, что данное решение не требует дополнительных инвестиций и уже встроено в наше сетевое оборудование.
Эффективность работы Cisco ETA на разных комбинациях телеметрических данных
Источник: http://cs.co/6275Dz8rP
Автор:
Уже ни для кого не секрет, что развитие любой технологии идет по спирали. С каждым новым витком решения становятся мощнее, надежнее, проще, решая при этом новые, «хорошо забытые старые» задачи. И очень хорошо, когда у производителя получается нащупать правильный баланс между новыми веяниями и зарекомендовавшими себя решениями. С этой точки зрения очень показателен 10-летний опыт компании Cisco на рынке вычислительных систем.
Первые серверы Cisco UCS появились на рынке в конце 2009 г., когда основным трендом была консолидация вычислительных ресурсов в ЦОД и активно внедрялись технологии виртуализации. Основная задача, на решение которой были тогда брошены все силы, заключалась в оптимизации подключений серверов к сетям (LAN, SAN, управления) и упрощении настройки пула серверов, выполняющих однотипные задачи. Решение получилось настолько мощным и элегантным, что всего за 5 лет блейд-решения Cisco UCS вышли на второе место в мире по объему продаж (это на полностью новом для компании рынке, на котором многие игроки присутствовали на тот момент более 10 лет!). Немалую популярность серверным решениям от Cisco обеспечил конвергентный подход, при котором в рамках одного инфраструктурного «кубика» объединялись серверы Cisco UCS, система хранения Netapp и универсальные коммутаторы для ЦОД семейства Nexus 5000. Такое совместное решение получило название FlexPod, оно и сегодня не теряет своей популярности, пережив смену пяти поколений серверов UCS и несколько поколений дисковых массивов NetApp.
Основное преимущество, за которое заказчики Cisco полюбили конвергентные решения (а на текущий момент их существует около десятка, с разными производителями дисковых массивов) – это простота, надежность и предсказуемость в эксплуатации. По данным одного из исследований компании IDC от 2016 г., когда конвергентные системы еще учитывались отдельно, более 70% продаваемых конвергентных решений для ЦОД были построены на серверах Cisco UCS.
Но прогресс не стоит на месте, и последние несколько лет рынок начал завоевывать новый подход к построению ИТ-инфраструктур – гиперконвергенция. Новое поколение молодых компаний предложило подход, при котором внешняя система хранения не нужна вообще. И хранение и обработка данных происходят на одних и тех же серверах, заполненных дисками, процессорами и оперативной памятью. Отказоустойчивость обеспечивается хранением нескольких копий одних и тех же данных на разных серверах, поэтому не страшно, если один их узлов выйдет из строя, данные не пропадут и виртуальная машина может быть перезапущена на соседнем сервере. Новый подход поначалу настороженно воспринимался традиционными производителями серверов (к числу которых к концу 2015 г. компания Cisco могла себя уверенно причислять). Однако заказчикам гиперконвергенция понравилась, в первую очередь за простоту внедрения и расширения. О производительности и удобстве эксплуатации тогда еще мало кто думал, предлагаемые на тот момент решения проигрывали по этим параметрам конвергентным аналогам. Компания Cisco вышла на рынок гиперконвергентных решений с продуктом Cisco Hyperflex в 2016 г. через партнерство с компанией SpringPath, производителя самой продвинутой на тот момент объектно-ориентированной программно-определяемой системы хранения. И тут выяснилось, что все преимущества аппаратной платформы Cisco UCS позволяют получить существенный выигрыш в производительности и простоте эксплуатации гиперконвергентных решений. Накопленный за два с небольшим года опыт продаж Hyperflex и более чем 3,5 тыс. заказчиков по всему миру свидетельствуют о зрелости этого подхода. Давайте разберемся, что же собой представляет Cisco Hyperflex и для каких задач его нужно применять уже сегодня.
Про внутреннее устройство платформы Cisco Hyperflex уже сказано немало, отметим лишь, что система состоит из двух обязательных компонентов и одного опционального:
Первый – кластер данных (Data cluster, обязательный компонент) – это набор узлов, обеспечивающих хранение данных и запуск виртуальных машин. Узлы строятся на базе серверов C220 и C240 и представляют собой фиксированные конфигурации указанных серверов с префиксом HX. Единственными параметрами, которые можно менять, являются процессоры, память и диски для хранения данных, то есть все, что определяет «вычислительные ресурсы» кластера. Минимальное количество таких узлов в рамках одного кластера данных – три. Начиная с версии HX Data platform 4.0, выход которой ожидается в апреле 2019 г., анонсировано уменьшение минимальной конфигурации кластера Hyperflex Edge до двух узлов.
Второй – вычислительная фабрика (Fabric interconnect, обязательный компонент, кроме конфигурации Hyperflex Edge) – это пара специализированных устройств, выполняющих функции сетевого ядра системы и, одновременно, модуля управления серверами и внешними подключениями. Это ключевой элемент инфраструктуры Cisco UCS, благодаря фабрике все серверы UCS, сколько бы их ни было, настраиваются по единому шаблону, в один клик мышки или один вызов API функции (да-да, управление аппаратной платформой UCS возможно через открытый API) и полностью автоматически. Более того, система сама следит за тем, чтобы все серверы в кластере имели идентичные настройки, сама по команде администратора в автоматизированном режиме обновляет прошивки и так далее. С Fabric Interconnect весь кластер серверов становится единым объектом управления, таких возможностей на сегодняшний день нет ни у одного производителя серверных решений. Сегодня доступны два семейства Fabric Interconnect 6300 серии с портами 40 Гбит/с и 6400 серии с портами 10/25 Гбит/с. Оба семейства имеют модели в портами FC для подключения к сетями SAN, это дает возможность использовать для хранения данных внешние дисковые массивы тоже.
Третий – вычислительные узлы (Compute-only nodes, необязательный компонент). Часто при расширении гиперконвергентной системы возникает ситуация, когда дискового пространства уже достаточно, а вот процессоров и памяти под текущие задачи не хватает. Бывает и наоборот, но эту проблему легко решить добавлением дисков в серверы или, если они заполнены – внешнего дискового массива к вычислительной фабрике. На случай нехватки в кластере вычислительных ресурсов предусмотрен режим расширения через добавление вычислительных узлов. В качестве таких узлов могут выступать любые серверы Cisco UCS, подключенные к фабрике, неважно – в стоечном или блейд-исполнении. Кроме гибкости в планировании ресурсов, основным преимуществом данного подхода является возможность дать «вторую жизнь» серверам, работавшим в традиционной, конвергентной системе, после того, как их вычислительная нагрузка мигрировала на Hyperflex. Вторым популярным сценарием является подключение в кластер 4-процессорного сервера C480, в который можно установить до шести графических ускорителей (GPU) для «тяжелых» VDI-решений.
Общая схема кластера Hyperflex с обозначением всех указанных компонентов
Важным свойством платформы Hyperflex является то, что без изменения архитектурного подхода и без перепроектирования, на этой платформе можно строить кластера виртуализации от трех до нескольких десятков серверов. Все необходимые процедуры по настройке нового сервера и включения его в кластер полностью автоматизированы, пользователю достаточно только включить сервер и подтвердить системе свое желание на ввод его в состав кластера. Это открывает перед системой самый широкий диапазон применений – от локальных серверных в удаленных офисах, складах, магазинах, до центральных дата-центров с основными сервисами компании. И все это – на базе единой платформы, единых принципах управления, автоматизации и, что немаловажно, – на базе решений единого вендора. Последний факт дает еще одно преимущество – техническая поддержка Cisco Hyperflex целиком и полностью обеспечивается компанией Cisco по схеме «единого окна». Даже если проблема будет связана с функционированием платформы виртуализации (на сегодняшний день поддерживаются VMware, Hyper-V и Docker), решением этой проблемы для заказчика будет заниматься техническая поддержка Cisco.
Давайте рассмотрим, под какие задачи позиционируется сегодня Cisco Hyperflex. Изначально гиперконвергентные системы лучше всего показывали себя на задачах виртуализации рабочих мест (VDI). Это логично, учитывая архитектуру подсистемы хранения – множество отдельных дисков, распределенных по серверам. Если нагрузок тоже много и каждая из них сама по себе небольшая – получаем идеальное равномерное распределение операций ввода-вывода. Но инженеры Cisco пошли дальше! Основным фактором, ограничивающим производительность гиперконвергентной платформы является сетевое ядро. Ведь для обеспечения отказоустойчивости данных, как мы помним, используется хранение одного и того же блока данных на нескольких серверах. Поэтому при записи система не имеет права сказать приложению, что запись завершена, пока данные реально не будут скопированы на один или два сервера. А раз копирование производится по сети – сеть становится узким местом. В Cisco Hyperflex сетевое ядро построено, как мы помним, на Fabric Interconnect, устройствах, имеющих необлокируемые порты с самой низкой, и главное, предсказуемой задержкой среди подобных систем. Поэтому разработчики платформы HX Data Platform приняли решение писать данные сразу по сети на необходимое количество серверов, задействуя, таким образом, все доступные диски кластера для хранения данных всех виртуальных машин. Такое решение имеет еще одно важное преимущество – при отказе одного из узлов, не нужно отслеживать, где лежат резервные данные виртуальных машин, чтобы обеспечить им большую производительность, можно запустить их на любом оставшемся сервере и никаких проблем с производительностью машины не будет. Общая производительность кластера также «не проседает» – это позволяет использовать систему для бизнес-критичных нагрузок.
Все эти архитектурные особенности привели к тому, что система Cisco Hyperflex достаточно быстро перешла из сегмента «платформа для VDI» в сегмент платформ для любых виртуализированных нагрузок. Появление систем на базе твердотельных накопителей только ускорили этот переход. Если до появления All flash-систем максимальный размер виртуальных машин, которые заказчики запускали на Hyperflex, не превышал 2 ТБ (размер единичного диска), то на All flash-системах отлично работают базы данных Oracle и MS SQL до 10 ТБ. Подтверждением тому являются документы CVD (Cisco Validated Design, типовые дизайны Cisco), описывающие архитектуру таких решений.
Также Cisco Hyperflex является единственной гиперконвергентной платформой, сертифицированной одновременно на три основных компонента ландшафта SAP – Application, Data Hub и HANA.
Отдельно нужно сказать про поддержку контейнерной инфраструктуры – в мае 2018 г. компанией Cisco был выпущен продукт Cisco Container Platform (CCP), созданный в партнерстве с компанией Google. Это, по сути, готовая сборка кластера Kubernetes с контейнерной виртуализацией Docker. Container Platform полностью автоматизировано устанавливается на Cisco Hyperflex и включен в программу технической поддержки компании Cisco. Таким образом, ИТ-департамент получает возможность создать готовую платформу под контейнерную виртуализацию и брать на поддержку разработанные в компании сервисы без необходимости развивать у себя эту экспертизу.
Подытоживая сказанное, нужно отметить, что платформа Cisco Hyperflex представляет собой принципиально новое универсальное решение для задач построения вычислительной инфраструктуры. Решение, которое на единых принципах, с единым интерфейсом управления может масштабироваться от двух до нескольких десятков серверов и поддерживать широкий круг приложений, от базовой инфраструктурной нагрузки до среднего размера СУБД, ландшафта SAP, различных самописных приложений, алгоритмов машинного обучения и так далее.
Hyperflex может использоваться для самого широкого круга задач, а потому возникает вопрос – как обеспечивается отказоустойчивость решения, особенно если речь идет о критически важных сервисах?
Защита данных внутри кластера от потери одного из узлов обеспечивается хранением нескольких копий одних и тех же блоков данных. В Cisco Hyperflex может храниться две или три копии данных, это задается настройками кластера при его создании. В зависимости от этого, кластер может «пережить» полную потерю одного или двух узлов. Дополнительно существует возможность задавать «домены отказа» – эта настройка актуальна для кластеров большого размера – в десятки узлов. Если ее указать и, например, разнести серверы, находящиеся в трех разных стойках по трем доменам, то внутри каждой стойки никогда не будут храниться все копии данных. Поэтому, даже если вся стойка выйдет из строя целиком – например, в случае обрыва сетевых кабелей или выключения обоих лучей питания, – копия данных гарантированно будет доступна в оставшихся рабочими стойках.
Отдельно следует сказать об объеме необходимого для хранения данных дискового пространства. Поскольку для обеспечения отказоустойчивости система хранит несколько копий данных, нужен какой-то механизм, который бы оптимизировал дисковое пространство, иначе объем полезных данных будет в 2–3 раза меньше, чем «сырая» емкость дисковых накопителей. Для этих целей в традиционных системах хранения давно придумали использовать дедупликацию и компрессию данных. В Hyperflex также встроены эти механизмы, причем реализованы они на архитектурном уровне и встроены в общие процессы работы с данными. Этот механизм никак не нужно включать, он работает по умолчанию даже в самых младших моделях, и он не требует отдельного лицензирования – все уже включено в стоимость системы. Все данные, записываемые на диски серверов сначала дедуплицируются, то есть при совпадении двух и более блоков данных хранится только одна копия. Затем дедуплицированные данные дополнительно еще и сжимаются. Суммарно по статистике это дает экономию от 40% до 60% места на данных общего характера, но для отдельных категорий, например, дисков виртуальных десктопов, может достигаться кратная экономия дискового пространства.
Следующим уровнем защиты от сбоев кластера Hyperflex является репликация данных на удаленный кластер. Начиная с версии 3.5 доступны два режима репликации – синхронный и асинхронный. Оба этих режима могут работать по обычной IP-сети, для них не требуется ни сеть SAN, ни «темная оптика». Единственным ограничением синхронного режима репликации является скорость канала – 10G и длительность задержек между кластерами – не более 5 мс. Оба режима очень просты в настройке, выполняются из единого интерфейса и позволяют гибко контролировать, какие виртуальные машины будут реплицироваться между кластерами. Особое внимание нужно обратить на то, что контроль осуществляется именно на уровне виртуальных машин, а не дисковых разделов – в этом ключевое отличие от режима репликации традиционных конвергентных решений. Поскольку Hyperflex на удаленной площадке получает информацию о виртуальной машине, процесс восстановления тоже предельно прост – нужно просто запустить виртуальную машину на удаленной площадке. Не требуется никаких скриптов и кластерного ПО. В асинхронном режиме копирование производится с небольшой задержкой, которая зависит от пропускной способности канала и интенсивности ввода-вывода виртуальной машины. В синхронном режиме (он еще называется растянутый кластер) на обоих узлах хранятся полностью идентичные копии виртуальных машин.
Следующим после репликации данных уровнем защиты традиционно является резервное копирование и здесь в Cisco Hyperflex также есть, о чем поговорить. Во-первых, система имеет встроенный механизм создания мгновенных копий данных диска любой виртуальной машины. Этот механизм основан на работе с указателями на блоки данных, а значит работает очень быстро. Во-вторых, многие продукты для реализации резервного копирования имеют встроенную интеграцию с механизмом мгновенных копий Hyperflex, и при использовании этого механизма, окно резервного копирования существенно (в разы) сокращается по сравнению со стандартным режимом. В число таких продуктов входят решения по резервному копированию от Veeam, CommVault, Cohesity. Со всеми этими решениями у Cisco также есть типовые дизайны, которые позволяют значительно сократить время реализации системы и избежать распространенных ошибок. Также все эти решения можно приобрести через прайс-лист Cisco, чтобы получить законченное решение от одного поставщика.
Используя все описанные выше механизмы, уже сегодня с Cisco Hyperflex можно построить современную надежную платформу виртуализации с любым необходимым уровнем отказоустойчивости.
После прочтения обо всех плюсах гиперконвергенции у многих читателей может появиться мысль: «Прекрасно, но у меня ведь есть традиционная система, что мне делать с ней?». Развитие любой системы должно учитывать инвестиции, сделанные в прошлом, и для перехода на гиперконвергентную платформу должны быть какие-то основания. Самое логичное – внедрение новых сервисов или вывод из промышленной эксплуатации устаревшего оборудования. В обоих случаях заказчик получает входные данные для расчетов – требуемый объем вычислительных мощностей, выраженный в процессорах, памяти и дисковом пространстве. В последнее время часто нехватка даже одного из этих параметров, например, дискового пространства, может привести к старту проекта по переходу на гиперконвергентную платформу. Всегда имеет смысл сравнить стоимость «апгрейда» традиционного дискового массива со стоимостью приобретения гиперконвергентной системы. И если цена не отличается более чем на 10–15%, то переход на Cisco Hyperflex однозначно выгоднее в долгосрочной перспективе, так как позволяет значительно упростить операционные затраты на поддержку в ближайшие 3–5 лет.
Вторым шагом необходимо определить, какие компоненты системы и в какой конфигурации нужно закупить, чтобы построить гиперконвергентную платформу. И тут, конечно, в выигрыше окажутся заказчики, которые уже используют серверную фабрику Cisco UCS. Ведь при наличии Fabric Interconnect их не нужно закупать отдельно – можно использовать существующие при условии наличия свободных портов. В этом случае можно просто купить минимум три узла Hyperflex и приступать к построению кластера. И главное – в этом случае можно рассчитывать в будущем использовать имеющиеся узлы в качестве вычислительных (Compute only) узлов гиперфлекса, то есть существующие инвестиции не пропадают. Да и существующий дисковый массив тоже можно подключить к кластеру, как описано выше и использовать для хранения архивных копий или другой нагрузки. Если же на текущий момент серверов Cisco UCS у заказчика нет, нужно закупать всю инфраструктуру целиком, включая Fabric Interconnect, но, во-первых, в любой другой платформе все равно будут требоваться коммутаторы и эту статью расходов все равно нужно учитывать, а во-вторых, по данным компании IDC (исследование от 2016 г.) переход на фабрику Cisco UCS в горизонте трех лет сокращает совокупную стоимость владения серверной инфраструктурой на 46%, поэтому эта инвестиция в развитие очень быстро окупится.
Компания Cisco надеется, что после прочтения этой статьи у вас не осталось сомнений, что гиперконвергенция – это прорывная технология, и опыт последних лет показывает, что за ней будущее. Системы Cisco Hyperflex, несмотря на свою относительную молодость, являются зрелым, апробированным решением, доказавшим свою надежность в инфраструктуре 3,5 тыс. заказчиков по всему миру.
Источник: http://cnews.ru/link/a13391
Продукция Cisco K9, имеющая в себе 3DES шифрование, запрещена к ввозу на территорию Российской Федерации без лицензии. Поэтому любой маршрутизатор Cisco является криптографическим средством, имея в арсенале протокол 3DES, наличие которого приравнивает его к шифровальному средству. Ввоз, обслуживание, реализация шифровальных средств на территории России – лицензируемая деятельность. Чтобы обеспечить пользователям свободный доступ к сетевым технологиям и современным решениям по защите сети, компания выпустила модель Cisco К8. Это технически и физически то же самое устройство, но с вырезанными функциями 3DES из операционной системы устройства IOS. Для создания защищенного соединения и удаленного доступа в устройствах Cisco K8, поставляемых российским потребителям, присутствует только DES или AES шифрование.
Дополнительный класс устройств, IOS которых получил суффикс NPE, был выпущен для упрощения процедуры ввоза интегрированных маршрутизаторов Cisco. Такие маршрутизаторы стали комплектоваться специальным IOS — NPE (no payload encryption). Это полностью функциональная операционная система, со всеми необходимыми функциями с тем ограничением, что полностью вырезана часть, обеспечивающая шифрование пропускаемого трафика. Т.е. версия NPE может иметь Advanced Security набор функций, Вы можете использовать Firewall, IPS, работать с расширенным количеством пользователей, однако функции шифования остаются недоступны.
Запрет к открытой поставке в Россию таких устройств сетевой защиты как маршрутизаторы и межсетевые экраны Cisco с 3DES шифрованием вызвал значительный резонанс. Подобные сетевые устройства защиты в большинстве своем использовались не частными лицами, а бизнес-структурами, финансовыми и производственными предприятиями. Наибольшая потребность в надежных VPN-устройствах у финансовых организаций – банков. Применение стойких алгоритмов защиты в банковских сетях гарантирует сохранение ценной информации – финансовых данных и личных данных клиентов. Нехватка сетевых средств защиты информации в продаже со вступлением новых законов в силу приостановила рост и развитие финансовых институтов, ввиду отсутствия необходимых устройств защиты сети на российском рынке. В значительной степени это было связано с расширением сети банкоматов – выросло потребление маршрутизаторов младшей серии СISCO881-K9, СISCO861-K9, которые в большинстве использовались банками для организации безопасного подключения мобильного терминала (банкомата) к банковской сети. Понимая сложность ситуации, правительство пришло на помощь. Устройства, специально разработанные для защиты финансовой информации платежных систем, имеют в артикуле сокращение PCI – Payment Card Industry, означающее, что данное устройство одобрено MasterCard, Visa, Amex, JCB для организации доступа к платежным системам. Именно поэтому устройства PCI-K9 продаются, Но приобрести подобные устройства имеет право только финансовое учреждение с лицензией, а продавать – организация, имеющая лицензию на распространение криптографических средств.
1. Все устройства Cisco K9 в окончании артикула на официальном рынке России – имеют криптографию, разрешенную ко ввозу на территорию России без лицензии и разрешены к открытой продаже.
2. Сетевые устройства Cisco, имеющие в артикуле K8 – устройства, с усеченными функциями по криптографии, которые в большинстве касаются отсутствием поддержки протокола 3DES, но при этом поддерживают IPSEC VPN на уровне AES, DES.
3. Устройства PCI – имеют стойкую криптографию (3DES), но продаются только банкам, только организациями, имеющими на это право (имеющими лицензию ФСБ на распространение криптографических средств).
Большинство компаний во всем мире сейчас сталкивается с проблемой глобального увеличения подключенных к корпоративной сети устройств. Для решения этой проблемы необходима эффективная, масштабируемая, надежная и интуитивно понятная инфраструктура управления всеми устройствами внутри сети. Компания Cisco предлагает свое видение такой инфраструктуры — Cisco SD-WAN. Почему именно Cisco? 1. Софт — интуитивно понятная панель управления сетью с графическим интерфейсом, с администрированием которой справится даже 1 специалист, вместо 5-6 в случае ручного управления. 2. Zero touch deployment — подключение нового оборудования без ручных настроек. 3. Автоматическая балансировка трафика — возможность детектирования до 2000 приложений. 4. Продукты сетевой безопасности уже встроены в Cisco SD-WAN. 5. Cisco SD-WAN — открытая система, т.е. все настройки, параметры и данные доступны извне.
Три компании среднего бизнеса рассказывают об используемых технологиях для совместной работы.
«ФосАгро» — российская вертикально-интегрированная компания, один из ведущих мировых производителей фосфорсодержащих удобрений. Группа «ФосАгро» является крупнейшим европейским производителем фосфорных удобрений, крупнейшим мировым производителем высокосортного фосфорного сырья и вторым в мире (без учета Китая) производителем аммофоса и диаммонийфосфата (по данным Fertecon), ведущим в Европе и единственным в России производителем кормового монокальцийфосфата (MCP), а также единственным в России производителем нефелинового концентрата.
AERODISK — российский разработчик и производитель инновационных решений в области хранения данных и виртуализации.
Группа компаний INFOWATCH – Российский разработчик комплексных решений для обеспечения информационной безопасности организаций.
Aurus — разработчик приложений для корпоративной связи и контакт-центров.
Проектно-изыскательский и научно-исследовательский институт «Гидропроект» им. С.Я.Жука является одной из старейших организаций, проектирующих гидроэнергетические и водохозяйственные сооружения. Входит в число ведущих мировых проектных организаций в сфере гидроэнергетики.
«Аквариус» – ведущий российский разработчик, производитель и поставщик компьютерной техники и ИТ-решений для государственных и корпоративных заказчиков.
Positive Technologies уже 18 лет создает инновационные решения в сфере информационной безопасности. Продукты и сервисы компании позволяют выявлять, верифицировать и нейтрализовать реальные бизнес-риски, которые могут возникать в IT-инфраструктуре предприятий. Наши технологии построены на многолетнем исследовательском опыте и экспертизе ведущих специалистов по кибербезопасности. Сегодня свою безопасность нам доверяют более 2000 компаний в 30 странах мира. В числе наших клиентов в России — 80% участников рейтинга «Эксперт-400».
