При побудові сучасної мережі перше місце дедалі частіше виходять питання не пропускну здатність, а безпеки і надійності роботи. Як один з варіантів побудови такої мережі з багатим набором функцій, що забезпечують безпеку та стабільність роботи, пропонуємо розглянути систему безпеки Cisco Meraki MX.
Безпека
Головна функція системи Meraki MX – забезпечення комплексної безпеки побудованої мережі. Для цього в ній є безліч програмних засобів, які у зв'язці з хмарою Cisco Meraki дозволяють легко налаштовувати мережу та керувати системою. Рішення, що надаються в рамках MX Security Appliances включають:
Для запобігання мережевим атакам у мережевому екрані Cisco Meraki використовується двигун на основі одного з найпоширеніших захисних засобів звідкритим вихідним кодом - Sourcefire Snort. Безпека забезпечується з урахуванням комбінації різних інструментів — перевірки сигнатур, аналізу протоколів, системи пошуку аномалій тощо.
Також у мережному екрані використовується розпізнавання пристроїв, що підключаються. Він автоматично визначає пристрої на базі iOS, Android, Windows, Mac OS та інших операційних систем і може застосовувати до них правила на основі заздалегідь заданих адміністратором параметрів. Конкретні правила можуть застосовуватися як до всіх девайсів, що підключаються, так і до конкретного типу пристроїв. Наприклад, всі планшети iPad можуть автоматично отримувати рівень доступу лише читання.
-Просунутий захист від шкідливого ПЗ. У Meraki MX є просунута система захисту від шкідливих програм Cisco Advanced Malware Protection. Вона забезпечує надійний антивірусний захист, використовуючи всі сучасні методи. Серед них сканування файлів за сигнатурами. У базі присутні понад 500 млн відомих файлів, причому щодня до неї додається близько 15, мільйона нових об'єктів. Також використовують контекстний аналіз файлів, пісочницю, ретроспективний аналіз та інші інструменти.
Усі файли, що завантажуються через мережу, скануються в режимі реального часу. Звітність надходить адміністраторам, щоб вони могли бачити основні джерела загроз на даний момент та оперативно реагувати на них. А система ретроспективного аналізу дозволяє дізнатися про шкідливі файли навіть якщо вони пройшли через мережу і опинилися на пристрої. Таке буває дуже рідко, коли файл скачується до того, як різноманітні системи безпеки визначають його як шкідливий.
Всі дані системи безпеки надаються в реальному часі через веб-панель управління Meraki. Інформаціяпоказується як звітів і графіків як у системі загалом, і по конкретним мережам, пристроям і додаткам. На основі цієї інформації адміністратор приймає рішення щодо необхідності вживання тих чи інших заходів, може вносити зміни до налаштувань та проводити інші необхідні операції, а також оцінювати загальну вразливість системи.
Ще один плюс для адміністраторів – це легкість розгорнення системи запобігання вторгненням. Коли для цього використовується цілий комплекс засобів, що налаштовуються вручну, може вкрастись людський фактор, через який безпека буде поставлена під загрозу. У випадку з Meraki MX система запобігання вторгненням розгортається за лічені секунди та кілька кліків на відповідних панелях управління. Ці кліки потрібні для включення та вибору необхідного набору правил движка Sourcefire.
-Автоматична VPN. Використовуючи MX Security Appliances, ви отримаєте надійну віртуальну мережу між вашими пристроями, яка самостійно налаштовуватиметься, моніториться і підтримуватиметься. При розгортанні система автоматично налаштує параметри VPN, необхідні для створення та підтримки VPN-сесій. Всі бенкети та маршрути автоматично зв'язуються через захищену WAN (Wide Area Network) та підтримуються в актуальному стані в динамічних IP-середовищах. Всі функції безпеки, наприклад, обмін ключами, автентифікація та політики безпеки, реалізуються автоматично через VPN-бенкети MX Security. А за допомогою низки інструментів адміністратор може спостерігати в режимі реального часу за станом мережі.
У системі є повна підтримка конфігурації роздільного тунелювання (split-tunneling) та повного тунелювання (full-tunneling), яка налаштовується в один клік. Підтримується створення тавикористання зіркоподібних (Hub-and-spoke) та повнозв'язних (full mesh) топологій мережі для більш простого та гнучкого розгортання. А вбудований мережевий екран та політики безпеки дозволяють легко керувати всією VPN-мережею цілком.
-Відтказостійкість. Cisco Meraki MX Security Appliances підтримує кілька рівнів резервування, що забезпечує постійне підключення до WAN, безперебійний доступ до пристроїв та безшовний перехід на резервні ресурси у разі збою. Кожен пристрій Meraki MX підтримує подвійне підключення до WAN, що дозволяє в разі атаки або обриву з'єднання миттєво переключиться на інший ресурс. Якщо це сталося, вбудована пріоритезація трафіку перенаправить потоки та розподілить потужності по нових пристроях, що забезпечить стабільну роботу мережі в аварійних ситуаціях. Таке підключення до WAN підтримується як за гігабітним Ethernet-протоколом, так і за допомогою стільникового зв'язку - включаючи протоколи WCDMA, HSPA (3G), LTE та WiMAX (4G).
Адміністратор може вказати, який датацентр використовувати як основний ресурс для загальних підмереж, а також визначити список інших пріоритетних вузлів, які будуть використовуватися у разі відмови основного датацентру при відключенні електроенергії або у разі атаки. Таким чином, якщо основний вузол піде в офлайн, система автоматично перенаправить потоки на вказані ресурси.
За допомогою зручної системи пошуку адміністратор може знаходити програми та користувачів, які генерують найбільше трафіку. За допомогою політик пріоритезації трафіку їх можна обмежувати або знижувати/підвищувати у пріоритеті. Пріоритетність трафіку може автоматично розподілятися на основі членства в групах.
Також у системі Cisco Meraki є хмарна база підписів додатків. Вонапостійно оновлюється та доповнюється, таким чином адміністратору не потрібно вручну встановлювати довірені програми та їх оновлення.
Пристрої
MX64- пристрій початкового рівня, призначений для підключення 50 клієнтів. Має пропускну здатність брандмауера 250 Мбіт/с та VPN 85-100 Мбіт/с. Шлюз має п'ять гігабітних портів та можливість підключення USB 3G/4G модему. Його зібратMX64Wмає такі ж можливості, але додатково оснащений модулем WiFi 802.11ac.
МодельMX65також має схожі характеристики, але кількість гігабітних портів у ній збільшено до 12, причому два з них підтримують технологію Power over Ethernet (PoE) - можливість передавати електричне живлення по кручений парі. ПристрійMX65Wтакож оснащений модулем WiFi 802.11ac.
Ці шлюзи відрізняються від малих не тільки збільшеною пропускною здатністю та розмірами, але й підтримкою зіркоподібних (Hub-and-spoke) топологій, у яких виступають як центральні вузли (хаби).
МодельMX84має пропускну здатність брандмауера 500 Мбіт/с та VPN 200-250 Мбіт/с, призначена для підключення 200 клієнтів. У ній є 10 гігабітних портів, два SFP-модулі та можливість підключення USB-модему. Як хаб MX84 може забезпечувати підключення 100 периферійних точок (spokes). Також у цій моделі доступне веб-кешування.
До шлюзуMX100можуть підключатися 500 клієнтів. Його пропускна здатність – 750 Мбіт/с для брандмауера та від 350 до 500 Мбіт/с для VPN. Є дев'ять гігабітних портів, два модулі SFP та можливість підключення USB-модему. Як хаб може приймати підключення від 250 пристроїв. Веб-кешування також є.
Одна з головних особливостейнайпросунутіших моделей МХ, крім великої пропускної спроможності, це можливість підключення додаткових модулів. Завдяки цьому можна масштабувати шлюзи в залежності від потреб.
ПристрійМХ400призначений для підключення 2000 клієнтів. Пропускна здатність його брандмауера – 1 Гбіт/с, VPN – від 900 Мбіт/с до 1 Гбіт/с. Кількість гігабітних портів - до 20, також присутні до 16 SFP і чотирьох SFP+. Також є можливість підключення USB 3G/4G модему. Як хаб до модель може підключати до 1000 пристроїв, є система веб-кешування та резервне джерело живлення.
Кількість портів у моделіМХ1000така ж, як у попередній. Зате до неї може підключатися 10 000 клієнтів, як хаб приймає до 5000 пристроїв. Пропускна спроможність брандмауера – 1 Гбіт/с, VPN – від 900 Мбіт/с до 1 Гбіт/с. Є можливість підключення USB-модему, веб-кешування та додаткове джерело живлення.
Побудова безпечної керованої з хмари мережі на базі обладнання Cisco Meraki MX не є ніякими труднощами. Система розгортається дуже швидко, налаштування в основному відбувається автоматично, так само як і керування – воно здійснюється за допомогою хмарних ресурсів Cisco із мінімальним втручанням адміністраторів. Вбудовані засоби безпеки дозволяють створити для користувачів комфортне середовище перебування. Гості будуть захищені від небажаного контенту, а для співробітників організовано максимальний пріоритет для виконання службових завдань.
Різноманітність міжсетевих екранів дозволяє підібрати саме те обладнання, яке потрібно для конкретної організації, не переплачуючи за зайву продуктивність.