пятница, 7 апреля 2017 г.

Cisco Connect 2017. Франкенштейн жив или Security от Cisco

Прежде чем начать свой рассказ сразу оговорюсь, что все ниже изложенное является лишь моей точкой зрения и никак не претендует на истину в последней инстанции. Данная заметка лишь описывает личное мнение и впечатления от прошедшего мероприятия Cisco Connect 2017. Начнем по порядку.

Организация
Признаться до этого момента мне не приходилось бывать на мероприятиях подобного масштаба. Под масштабом я понимаю не только большое кол-во посетителей но и кол-во спикеров, зарубежных гостей, затронутых тем и т.д. Даже место было выбрано масштабно - Центр Международной Торговли (рядом с Москва сити). Хорошее оформление залов, регистрация, кофе, плюшки а так далее. Открытие конференции было с музыкой:
В залах оборудовали большое кол-во демо-стендов различных решений cisco и их технологических партнеров. При желании можно было пообщаться с инженерами и посмотреть демонстрацию на "живом" оборудовании. Кроме того можно было встретить двух роботов, которые с удовольствием делали селфи со всеми желающими и приглашали девушек на танец.
В целом организация мероприятия была на высоком уровне. Возможно у кого-то могло сложиться впечатление, что для такого кол-ва людей было недостаточно места. Однако так могли подумать только те, кто предпочитал "обитать" в коридорах с кофе и печеньями. В самих залах, где проходили презентации, места было предостаточно.

Потоки
Cisco Systems это огромная компания у которой множество решений по нескольким направлениям. Чтобы можно было выбрать интересную для себя тему, все лекции и презентации были разделены на несколько потоков:
- Информационная безопасность
- Центры обработки данных
- Решения для операторов связи
- Инфраструктура корпоративной сети
- Гибридные облака в современной ИТ-инфраструктуре
- Интернет вещей
- Технологии для совместной работы
- Контакт-центры
- Сервисы Cisco
Невозможно объять необъятное, поэтому я выбрал для себя поток "Информационная безопасность". О нем и пойдет все дальнейшее обсуждение.

Security от Cisco
Мое знакомство с миром сетей (почти 10 лет назад) началось именно с Cisco. Первые книги, экзамены, блог - все Cisco. И наверно этот вендор для меня всегда останется одним из лучших. Однако, лично я считаю что в сфере информационной безопасности последние лет 6 не совсем удачны для Cisco. Давайте немного вспомним историю.
Довольно длительное время Cisco занимала лидирующие позиции в сегменте межсетевых экранов: Cisco PIX, затем Cisco ASA. Я и до сих пор считаю, что среди традиционных фаерволов Cisco ASA - лучшее решение. У Cisco также был отличный IPS. Но время не стояло на месте и внезапно для всех (по крайней мере для меня), Cisco оказалась среди догоняющих. Они больше не задавали тон и тренды (как это до сих пор происходит с коммутаторами), а были вынуждены догонять вырвавшихся вперед конкурентов.
Межсетевые экраны следующего поколения (NGFW), которые определяли приложения, продвинутые системы предотвращения вторжений (NGIPS)... Всего этого у Cisco не оказалось. Чтобы удержаться на рынке ИБ они были просто вынуждены экстренно принимать меры. И самое быстрое, что можно было сделать - купить успешных конкурентов:
- Iron Port (web и email security)
- Sourcefire (он же Snort и ClamAV, FireAMP и т.д.)
- Open DNS (теперь Cisco Umbrella)
- Threat Grid
- Lancope
Покупок было на самом деле гораздо больше, я просто вспомнил самые знаковые, которые ярко отразились на продуктовом портфеле Cisco в сфере ИБ. Что же в течении всего этого времени происходило с имеющимися продуктами?
1) Закрытие проекта Cisco MARS. Это SIEM система от Cisco. Думаю не стоит говорить, что данное решение стоило как самолет. Однако многие были ошарашены, когда спустя пару лет после покупки узнавали, что данный продукт закрывается и поддерживаться не будет.
2) ASA 5500X - новая серия популярных межсетевых экранов с существенным повышением производительности.
3) Отказ от ASA CX - межсетевой экран уровня приложений (обычно шел в качестве модуля для ASA серии 5500X). Это попытка составить конкуренцию NGFW фаерволам. Однако данный модуль был вскоре также заброшен, после приобретения SourceFire.
4) Отказ от Cisco IPS - после покупки Sourcefire стало бессмысленно развивать оба решения, особенно учитывая, что firepower был лучше.
5) Cisco ASA + FirePower Services. Это попытка компании Cisco начать быстро продавать решения купленного Sourcefire. Идея заключалась в том, чтобы запустить на ASA виртуалку с FirePower. Для этого на ASA должен был обязательно установлен SSD-диск. При этом для управления ASA нужно было использовать привычный ASDM, а для управления FirePower уже другую консоль. Это совершенно неудобно и похоже на какой-то полуфабрикат, который Cisco начала продавать.
6) Cisco FirePower Threat Defence (FTD) - объединенная прошивка Cisco ASA и FirePower. Это уже немного похоже на современные UTM - решения. Единая консоль управления через Web-интерфейс. Однако даже Cisco признает, что решение еще очень сырое (но это не мешает им продавать его). UTM это хорошо, но конкуренты разрабатывают эти решения уже больше 10-и лет. Пока что Cisco остается только догонять.

На конференции также прозвучали слова, что развитие именно Cisco ASA постепенно сойдет на нет. Все силы брошены на создание единой прошивки (FTD). При этом я четко помню, когда 2 года назад на семинаре Cisco я задавал вопрос: "Собирается ли Cisco закрывать проект Cisco ASA?". Тогда надо мной все посмеялись...

Кроме ускоренной разработки новой прошивки FTD параллельно идет интеграция технологий AMP, Threat Grid, Open DNS во все продукты Cisco. При этом имеется огромное кол-во ограничений или особенностей для каждого продукта. В голове нужно держать просто безумное кол-во информации, чтобы не ошибиться при покупке решений.

Вся эта история вызывала у меня дикое смущение. Закрытие старых проектов, запуск новых, бесконечное кол-во релизов... Я просто запутался в их продуктах. И это учитывая, что у меня довольно большой опыт работы и сертификат CCNP Security. Что же может подумать человек, который впервые знакомится с решениями Cisco? Лично мне казалось, что Cisco просто потеряли фокус пытаясь работать по всем направлениям ИБ в попытке догнать конкурентов. Они стали заложниками такого кол-ва решений и новых купленных компаний. Продукты стали очень сложными и я не могу представить инженера, который хорошо бы разбирался во всем перечне. Будущее выглядело туманно.

Cisco (в сфере ИБ) начали мне напоминать одного известного героя - Франкенштейна. Его собрали из кусков, он силен и возможно даже бессмертен, но вот только его все боятся и дружить с ним никто не хочет. У Cisco практически все компоненты очень сильные и даже лидирующие на рынке. Но вот их интеграция... на мой взгляд хромает. Самое забавное, что на конференции присутствовал вот такой постер:
Смысл постера, что не стоит строить защиту из решений различных вендоров. Только вот если по существу, Cisco и есть набор различных вендоров, а итоговое решение пока что выглядит как самолет с картинки.

Франкенштейн  жив
Теперь о положительных моментах. Несмотря на все озвученные мной выше притенении, нельзя отрицать, что в Cisco кипит работа. Решения меняются, функционал добавляется, интеграция улучшается. В портфеле Cisco действительно передовые технологии. Вновь стал заметен вектор их развития. Их виденье ИБ становится более ясным и упорядоченным. Решения Cisco нацелены на защиту до атаки, во время атаки и даже после, с помощью ретроспективного анализа (на мой взгляд это самая крутая фича от Cisco).
Если вспомнить ту же убийственную цепочку Cyber Kill Chain:
Cisco позволяет обеспечивать защиту на каждом из этапов атаки. Далеко не каждый вендор может этим похвастаться.
Появилась действительно достойная система централизованного управления - Firesight Management Center (думаю через пару лет можно ожидать закрытия проекта Cisco Security Manager).
Также очень интересным выглядит интеграция с сервисом Open DNS. Очень рекомендую присмотреться к этой технологии, которую можно применить даже дома и совершенно бесплатно.
После лихорадочного метания между решениями и направлениями, начинает вырисовываться общая картина. Локомотив Cisco в сфере ИБ вновь встал на рельсы. Лично мне кажется, что уже через 2 года мы увидим отличное, а главное законченное решение, с которым будет весьма трудно конкурировать как с технической, так и с идеологической точки зрения.

Мои рекомендации
Стал бы я рекомендовать Cisco для защиты сети? Все зависит от вашей компании. Если необходимо обеспечить комплексную защиту, то придется приобретать сразу несколько продуктов Cisco. Управлять всем этим одному человеку на мой взгляд просто нереально. Если у вас есть нужный штат сотрудников, который сможет внедрить, а затем грамотно настроить и сопровождать все эти решения, то Cisco вам безусловно подойдет. Вы получите очень мощную, гибкую и надежную систему (хотя все еще сложную в эксплуатации).
Если же в вашей компании пара админов, которые следят и за информационной безопасностью, то Cisco явно не для вас. Лучше посмотрите в сторону UTM решений (Check Point, Fortinet, Palo Alto и т.д.). Возможно в некоторых аспектах они не дадут такой уровень защиты (хотя в некоторых они и превосходят Cisco), но их гораздо проще настраивать и администрировать. А ведь именно грамотная настройка больше всего отражается на качестве защиты сети.

P.S. Вообще говоря рассказали очень много интересного и я до сих пор еще перевариваю информацию. В скором времени все материалы появятся в сети, ток что не вижу смысла описывать здесь подробно все новшества.
P.S.S Еще раз повторюсь, что все вышесказанное лишь мое мнение и я конечно же могу ошибаться.

2 комментария:

  1. По поводу OpenDNS. В простейшем случае, я так понимаю, можно просто назначить редирект не на гугл\яндекс днс серверы, а на ip серверы opendns

    ОтветитьУдалить
    Ответы
    1. Ну это в самом простейшем случае. В продвинутом варианте вы можете использовать OpenDNS как URL-фильтр, отказавшись от локального прокси-сервера.

      Удалить

Новый сайт проекта

Новый сайт проекта
Прокачай себя, а не персонажа из игры

Translate

Популярные сообщения

Blog Archive

Технологии Blogger.