20 июля компания Orange Business Services провела вебинар на тему «Как обеспечить безопасность и эффективность управления сетевой инфраструктурой».
В качестве экспертов на мероприятии выступили:
- Алексей Карташов, технический архитектор Orange Business Services;
- Фотис Иосифидис, менеджер по продукт Orange Business Services;
- Алексей Лукацкий, бизнес-консультант по безопасности, Cisco Systems.
На вебинаре были продемонстрированы возможности нового решения Cisco Meraki.
Верхнеуровневое решение Meraki
Фотис Иосифидис, менеджер по продукт Orange Business Services, представил Meraki как программно-управляемое решение, которое, в первую очередь, нацелено на ритейловый бизнес с большим количеством филиалов. Покупая решение Meraki, компания может закрыть оборудованием от одного поставщика и с единой системой управления все потребности филиалов в телекоме и безопасности. Администратор сети видит все происходящее в едином унифицированном окне Meraki. Оборудование сети нельзя конфигурировать через консоль – только через веб-интерфейс.
Фотис Иосифидис обратил особое внимание на то, что решение Meraki, хоть и входит в продуктовый портфель компании Cisco, значительно отличается от всех привычных нам продуктов американского вендора. Централизованный интерфейс управления Meraki Dashboard позволяет управлять сетью через веб-интерфейс – это значительно упрощает доступ к управлению сети и решению проблем в критических ситуациях. Интерфейс Meraki предельно простой – им удобно пользоваться: «Теперь сетью может управлять не только продвинутый сетевой специалист, сертифицированный Cisco, но и обычный администратор с базовым набором сетевых компетенций».
Менеджер Orange Business Services считает, что решение Cisco Meraki, в первую очередь, подходит для распределенной сети – ритейлеры, рестораны, отделения банков. При этом Фотис Иосифидис согласился с тем, что некоторых пользователей пугает то, что Meraki работает как облачный контроллер, который невозможно установить on-premis (в рамках периметра предприятия). Для таких клиентов предлагается решение SD-WAN от Cisco. Ближайшим контроллером Meraki для России является европейский узел.
Orange Business Services выступает в качестве интегратора Meraki: компания не просто перепродает решение от Cisco, а проводит аудит и планирование новой сети, производит бесшовную замену сетевого оборудования (незаметный для пользователей «переезд» с традиционной сети на Meraki, включая все пусконаладочные работы). Клиент получает готовую к эксплуатации сеть «под ключ». По желанию клиента, Orange Business Services также может заниматься эксплуатацией сети на оборудовании Meraki.
Заказ оборудования возможен уже с августа, а осенью российские компании смогут запускать у себя пилотные проекты на Meraki.
Cisco Meraki – решение по ИБ
Алексей Лукацкий, бизнес-консультант по безопасности, Cisco Systems, рассказал о ключевых особенностях работы решения Meraki, связанных с безопасностью сети. Он начал свой рассказ с известной фразы о том, что «мир изменился»: «Если раньше мы все жили в контролируемом периметре, то в последнее время кто-то осознанно и планово, а кто-то и просто в авральном режиме (после начала эпидемии COVID-19) вынужден был выйти из зоны комфорта и сделать интернет частью своего нового периметра».
При этом заказчики сталкиваются с большим комплексом проблем: давление по срокам при переходе компании на режим удаленной работы; снижение визитов ИТ-специалистов на различные удаленные площадки для развертывания оборудования; рост требований по ИБ (особенно с учетом размытия периметра); урезание ИТ-бюджета. Вот в этой ситуации и возникает вопрос: как обеспечить решение этих проблем? На помощь приходит Meraki.
В чем же заключается основная разница между Meraki и классическими межсетевыми экранами ASA и Firepower от компании Cisco? Как считает Алексей Лукацкий, основной упор в решении Meraki сделан на простоту интерфейса, легкость внедрения и минимум проблем при использовании. Meraki предлагает заказчику облачное управление сетью.
ASA и Firepower обладают глубокой кастомизацией – возможностью настройки под конкретные нужды заказчика, что удобно для специфического применения межсетевых экранов, но это все требует квалифицированного ИТ-персонала и времени. Meraki не так хорош в тонкой кастомизации, но она не всегда нужна на таком уровне. Meraki работает по принципу Plug and Play: достаточно подключить устройство Meraki к интернету – оно само настроится в соответствии с заданными шаблонами конфигурации и начнет сразу же выполнять свои задачи. Заказчику не потребуется выезд персонала для настройки сетевого устройства Meraki. При этом функциональные возможности Meraki вполне сопоставимы с ASA и Firepower. При использовании решения Meraki снижение капитальных затрат (по опыту Cisco) составляет порядка 20%, а снижение операционных затрат – до 90%, по сравнению с традиционными решениями.
В настоящее время облако Meraki может похвастать 99.99% uptime, что означает, что падений практически никогда не было. Но, даже в случае недоступности облака Meraki и невозможности переключения на резервное облако, сетевые устройства будут продолжать работать в соответствии с загруженными на них политиками. Другими словами, даже при прерывании сервиса не прерывается обеспечение безопасности сети. Алексей Лукацкий особо подчеркнул, что речь идет только об облачном управлении сети (объем трафика составляет примерно 1 кбит/с) – пользовательский трафик в облако не передается.
Устройства Meraki MX (аббревиатура MX указывает на сетевые средства безопасности) на сегодня представлены 9 моделями: Z3/Z3C – небольшие устройства, предназначенные для удаленных офисов (до 5 пользователей); модели MX64/67/67C/68/68CW – устройства для филиалов (до 50 пользователей); MX84/100 – устройства для больших филиалов компании (от 200 до 500 пользователей); MX250/450 – устройства для крупных штаб-квартир (от 2000 до 10 000 пользователей). Кроме того, имеется виртуальный vMX, предназначенный для публичных облаков.
Устройства Meraki MX располагают так называемым Zero-touch deployment – достаете Meraki MX из коробки, включаете питание, подключаете к Интернету и начинаете им пользоваться.
Лицензирование осуществляется п принципу «одно устройство Meraki – одна лицензия». Лицензия уровня Enterprise обеспечивает безопасные соединения и базовые функции безопасности сети. Лицензия уровня Advanced Security обеспечивает мощные функции противодействия современным угрозам. Наконец, лицензия уровня Secure SD-WAN Plus обеспечивает продвинутую аналитику с функциями машинного обучения. Meraki MX может быть легко интегрировано со многими другими решениями Cisco.
Углубляясь в особенности системы безопасности Meraki, Алексей Лукацкий уделил много внимания так называемым «сетевым объектам», которые позволяют оперировать не IP-адресами, а понятными объектами для сетевых политик: «Мы можем переиспользовать эти сетевые объекты, чтобы ускорить процесс внедрения и настройки устройств Meraki». Все сетевые объекты настраиваются глобально, с помощью облака – они не хранятся на каком-то отбельном устройстве. Поскольку все эти сетевые объекты являются функцией облачного управления (Meraki Dashboard), версия ПО на аппаратных устройствах Meraki, разворачиваемых на удаленных площадках, не имеет значения.
Еще одним большим модулем в Meraki MX является система предотвращения вторжений, которая, как и Cisco Firepower, построена на базе SNORT – системы обнаружения сетевых вторжений (NIDS) и системы предотвращения сетевых вторжений (NIPS).
Третий важный модуль – это AMP для Meraki (Advanced Malware Protection – борьба с вредоносным кодом).
Еще одна новая функциональность, которая появилась на устройствах Meraki MX, – это использование SGT-меток, которые позволяют создавать гибкие, адаптивные политики безопасности. Политики теперь не привязаны к IP-адресу устройства, которое необходимо фильтровать, а к SGT-меткам безопасности: «Мы навешиваем на трафик SGT-метку и создаем динамические политики безопасности». Эти SGT-метки могут навешиваться на трафик самыми различными способами: статически привязываться к порту коммутатора, статически привязываться к SSID, динамически привязываться через RADIUS.
Если политики безопасности внутри инфраструктуры построены на базе SGT-меток, и сеть основана на устройствах Cisco, которые поддерживают эти метки, то администратор может создать прозрачную, бесшовную политику безопасности еще и на периметре сети. Бесшовная политика разграничения доступа будет, в зависимости от условий, разрешать или запрещать какие-то действия, и все это будет автоматически контролироваться устройствами, как внутри инфраструктуры, так и на периметре – вплоть до облака.
Если администратору необходимо объединить свою сеть, построенную на классическом оборудовании Cisco, и на Meraki, тут нам снова помогут бесшовные политики.
Таким образом, Cisco Meraki MX представляет собой эффективное решение по ИБ, предлагающее широкий спектр различных защитных возможностей. Cisco Meraki MX отличается от классических решений Cisco высоким уровнем автоматизации настроек и облачным управлением, снижающим нагрузку на ИТ- и ИБ-специалистов. Cisco Meraki MX позволяет снизить операционные издержки заказчика на внедрение и управление инфраструктурой защиты периметра организации при обеспечении высокого уровня ИБ.
Как выглядит Meraki Dashboard в реальности
Алексей Карташов, технический архитектор Orange Business Services, продемонстрировал в режиме реального времени работу централизованного интерфейса управления Meraki Dashboard. Специалист Orange особо подчеркнул, что до встречи с Meraki он был убежден в том, что такие понятия, как «безопасность» и «простота управления сетью» являются антагонистическими противоречиями. Однако же, ознакомившись с принципами работы интерфейса управления Meraki, он изменил свою точку зрения.
