De quoi une entreprise a-t-elle besoin d'un réseau?
Les dirigeants d'entreprises modernes sont rarement intéressés par les subtilités de l'informatique et les nuances de la technologie réseau. Ce n'est pas surprenant: le résultat est important pour les entreprises.
Mais le résultat commercial souhaité est obtenu grùce au travail coordonné de nombreux processus métier. La plupart d'entre eux sont liés au transfert d'informations. Et la plupart de ces processus d'entreprise reposent sur des applications réseau exécutées au-dessus du réseau.
Dans un environnement d'entreprise moderne, une entreprise ne peut plus fonctionner sans réseau et sans applications. De plus, à l'Úre de la numérisation et de l'Internet des objets (IoT), la dépendance des entreprises vis-à -vis de l'informatique ne fait qu'augmenter, car de plus en plus d'applications critiques sont exécutées au-dessus du réseau.
Ainsi, assurer le bon fonctionnement des applications réseau et, par conséquent, des réseaux est essentiel pour les entreprises modernes.
Comment faire ça?
Pour rĂ©soudre ce problĂšme, il est nĂ©cessaire de respecter de nombreuses recommandations dĂ©crites dans les guides de conception et dans la littĂ©rature spĂ©cialisĂ©e. Mais finalement, sur leur base, trois domaines clĂ©s peuvent ĂȘtre formulĂ©s:
- Transport fiable.
- Politiques transversales.
- Orchestration de bout en bout.
Dans le mĂȘme temps, l'Ă©lĂ©ment le plus important et le plus nĂ©cessaire de chaque direction est la sĂ©curitĂ© de l'information, idĂ©alement selon le modĂšle de confiance zĂ©ro ou la «liste blanche», dans laquelle l'accĂšs Ă une ressource spĂ©cifique n'est fourni qu'aux utilisateurs pour lesquels il existe un tel besoin commercial.
Examinez ces domaines plus en détail.
TĂąche 1: un transport fiable
Un point fondamental et évident. Le réseau doit fonctionner et transmettre des informations du point A au point B chaque fois que l'entreprise en a besoin. Sinon, les processus d'entreprise ne pourront pas fonctionner et l'entreprise subira des pertes directes ou indirectes.
TĂąche 2: politiques transversales
Il est nĂ©cessaire, mais pas suffisant, de transmettre des informations du point A au point B. Un travail correct des processus mĂ©tier n'est possible que lors de la mise en Ćuvre de diffĂ©rentes politiques. Par exemple, pour garantir la confidentialitĂ©, l'intĂ©gritĂ©, l'authenticitĂ© des informations, il est nĂ©cessaire de mettre en Ćuvre des politiques de sĂ©curitĂ©. Autre exemple - la bonne qualitĂ© des applications mĂ©tier nĂ©cessite le respect des valeurs requises de retards, de gigue et de perte de paquets. Ă son tour, cela peut nĂ©cessiter la mise en Ćuvre d'une politique de qualitĂ© de service (QoS).
La particularitĂ© de la mise en Ćuvre des politiques est que leur effet est aussi fort que le maillon le plus faible. Cela signifie que pour atteindre le rĂ©sultat commercial souhaitĂ©, une mise en Ćuvre de bout en bout des politiques couvrant l'ensemble du rĂ©seau d'entreprise est nĂ©cessaire.
En outre, l'absence de politiques ou leur mauvaise mise en Ćuvre peut entraĂźner des problĂšmes dans la mise en Ćuvre du point de base - la fourniture de la communication. Par exemple, la mise en Ćuvre inefficace d'une politique de sĂ©curitĂ© peut manquer une attaque sur l'infrastructure ou les services rĂ©seau, et la complexitĂ© des configurations matĂ©rielles combinĂ©e au facteur humain peut entraĂźner des erreurs de configuration matĂ©rielle. Chacun de ces exemples crĂ©e les conditions prĂ©alables aux dĂ©faillances dans la transmission du trafic et Ă l'inaccessibilitĂ© des services.
TĂąche 3: orchestration de bout en bout
La mise en Ćuvre des politiques ne peut ĂȘtre efficace que si les politiques sont cohĂ©rentes entre elles et peuvent ĂȘtre rapidement mises Ă jour au rythme requis par l'entreprise.
Les réalités des entreprises modernes imposent la nécessité d'une mise à jour rapide de ces politiques de bout en bout. Cela se produit généralement lorsque de nouveaux processus métier sont lancés, des changements dans les processus existants ou lors de l'exécution de travaux pour optimiser leur prise en charge à partir du réseau. Les retards dans la mise à jour des politiques sont inacceptables, car ils retarderont le lancement de nouvelles initiatives commerciales ou augmenteront les risques commerciaux. Par conséquent, la vitesse est trÚs importante et, dans le contexte de la numérisation, elle devient encore plus importante. Gagner de la vitesse peut conduire à des résultats financiers importants. Dans certains cas, la vitesse est si critique que le succÚs de toute l'initiative commerciale en dépend.
Pour remplir ces conditions et mettre en Ćuvre correctement les stratĂ©gies, des outils dâorchestration sont nĂ©cessaires qui fonctionnent tout au long de la route de transfert dâinformations, par exemple, de lâordinateur de lâemployĂ© du bureau distant au serveur du centre de donnĂ©es dâentreprise.
Les outils d'orchestration deviennent des fonctionnalitĂ©s de plus en plus importantes et nĂ©cessaires d'un rĂ©seau d'entreprise moderne. En effet, sans eux, il est tout simplement impossible de mettre en Ćuvre des politiques de bout en bout sur un grand nombre d'Ă©lĂ©ments d'infrastructure rĂ©seau, puis de les mettre Ă jour rapidement, en pratique.
La solution aux deux premiĂšres tĂąches - assurer un transport fiable et des politiques de bout en bout - sont des conditions prĂ©alables Ă l'orchestration. De toute Ă©vidence, tous les services dĂ©pendent des transports. Il est Ă©galement clair que l'orchestration n'est possible que s'il existe des mĂ©canismes efficaces et flexibles de mise en Ćuvre des politiques. Ainsi, l'orchestration est "au sommet de la pyramide" des trois tĂąches considĂ©rĂ©es.
Les défis des réseaux d'entreprise d'aujourd'hui
Quelle est la situation du point de vue des tùches décrites dans les réseaux d'entreprise typiques d'aujourd'hui?
Théoriquement, un réseau d'entreprise typique peut facilement effectuer la tùche 1 et fournir un transport fiable, car pour cela, il existe les moyens techniques nécessaires - par exemple, des protocoles de routage dynamique, des outils à haute disponibilité, etc.
En pratique, la solution Ă ce problĂšme est beaucoup plus compliquĂ©e. En plus de transfĂ©rer des paquets du point A au point B, des politiques doivent Ă©galement ĂȘtre mises en Ćuvre. Et toute politique non triviale affecte les transports. Les interdĂ©pendances sont montrĂ©es entre la fonctionnelle qui met en Ćuvre la politique et la fonctionnelle qui rĂ©sout les problĂšmes de transport. Les configurations des pĂ©riphĂ©riques rĂ©seau sont beaucoup plus compliquĂ©es. En consĂ©quence, le fonctionnement du rĂ©seau et le dĂ©pannage sont compliquĂ©s. Les fenĂȘtres technologiques s'allongent, la probabilitĂ© d'erreur est plus Ă©levĂ©e. En fin de compte, la disponibilitĂ© du rĂ©seau, et donc les processus mĂ©tier, est rĂ©duite. Et c'est de moins en moins Ă l'aise avec les affaires.
La situation n'est pas meilleure avec les politiciens. La pile de protocoles TCP / IP n'a pas les moyens d'indiquer que les paquets appartiennent à un groupe d'utilisateurs ou d'hÎtes et d'appliquer des politiques à ces paquets. Par conséquent, dans la pratique, les administrateurs doivent rechercher un remplacement, et l'adresse IP est presque universellement utilisée comme un tel remplacement, bien qu'elle ne soit pas destinée à cela. Cependant, c'est l'adresse IP qui est généralement utilisée comme critÚre pour qu'un paquet appartienne à un groupe spécifique d'utilisateurs.
Cette façon d'appliquer les adresses IP crée une interdépendance entre deux fonctions différentes - l'adressage et l'application des politiques. Et les changements souhaités pour une fonction en affectent inévitablement une autre. En conséquence, le réseau perd sa flexibilité. Par exemple, l'optimisation de l'adressage, ainsi que d'autres changements importants dans les adresses IP du réseau d'entreprise, deviennent souvent presque impossibles, car en conséquence, l'effet des stratégies sera violé.
Mais ce n'est qu'une partie du problÚme. En rÚgle générale, le travail avec les adresses se fait manuellement et les politiques basées sur celles-ci deviennent trÚs complexes, lourdes et trÚs vulnérables au «facteur humain». Par conséquent, la rapidité et la qualité de l'application des politiques en souffrent et les risques de défaillances des processus métier dus à des problÚmes de réseau augmentent considérablement.
Quant Ă l'orchestration de service de bout en bout, elle est absente dans un rĂ©seau d'entreprise typique. Un vĂ©ritable rĂ©seau d'entreprise est rarement homogĂšne. Il est plutĂŽt construit sur la base d'un ensemble d'Ă©quipements aux fonctionnalitĂ©s hĂ©tĂ©rogĂšnes, de diffĂ©rents fabricants, avec diffĂ©rentes implĂ©mentations non seulement d'interfaces de ligne de commande, mais Ă©galement de protocoles et de normes rĂ©seau. Tous les appareils n'ont pas une telle fonctionnalitĂ© dans la bonne forme et le bon volume. De plus, les configurations d'Ă©quipement rĂ©seau d'un rĂ©seau rĂ©el sont incohĂ©rentes et complexes, et au fil du temps, la complexitĂ© et l'incohĂ©rence ont tendance Ă augmenter. L'orchestration des services dans un tel rĂ©seau est non seulement difficile Ă mettre en Ćuvre, mais est Ă©galement susceptible d'entraĂźner des perturbations en raison de conflits entre les approches automatisĂ©es et manuelles de la gestion de rĂ©seau. En consĂ©quence, la mise en Ćuvre d'une orchestration de bout en bout des services dans un tel rĂ©seau est presque impossible.
Un autre problÚme est la coordination. Avant qu'une intention commerciale soit incarnée dans des équipes spécifiques d'équipements de réseau, il est nécessaire de passer par une chaßne de personnes de différents départements, avec des spécialisations et des mentalités complÚtement différentes - par exemple, des chefs d'entreprise à travers une chaßne de gestionnaires à des spécialistes techniques dans le domaine des applications et des centres de données, des technologies de réseau, de la sécurité. . Ces personnes "parlent des langues différentes". Lors de la traduction d'une tùche le long d'une chaßne, sa signification n'est pas toujours préservée dans sa forme exacte et complÚte. De plus, la situation est souvent compliquée par les caractéristiques de l'interaction interministérielle, caractéristique de nombreuses organisations.
Les difficultĂ©s de mise en Ćuvre Ă long terme conduisent souvent au fait que l'initiative nĂ©cessaire Ă l'entreprise est mise en Ćuvre avec une qualitĂ© insuffisante, pas en totalitĂ©, pas Ă temps. Parfois, la mise en Ćuvre est tellement Ă©tirĂ©e que l'initiative devient obsolĂšte avant la fin de la mise en Ćuvre. Ou la mise en Ćuvre n'est pas du tout terminĂ©e.
Ce que Cisco propose
Comme nous l'avons vu dans la section prĂ©cĂ©dente, dans un rĂ©seau d'entreprise moderne typique, pour des raisons fondamentales, mĂȘme les tĂąches consistant Ă assurer un transport fiable et Ă Ă©laborer des politiques de bout en bout ne sont pas toujours rĂ©solues de maniĂšre satisfaisante, sans parler de l'orchestration de bout en bout.
Mais afin de soutenir efficacement les processus métier, il est nécessaire de résoudre les trois problÚmes - avec une qualité élevée et complÚte.
Dans cet esprit, Cisco se concentre non seulement sur le développement de nouveaux produits et technologies, mais sur des architectures holistiques, telles que Cisco DNA, visant à soutenir efficacement l'entreprise.
La crĂ©ation de telles architectures nĂ©cessite une implĂ©mentation de bout en bout des stratĂ©gies et des outils d'orchestration. Ă son tour, pour cela, le fabricant doit disposer d'un portefeuille de produits et d'une expertise approfondie dans tous les domaines technologiques couverts par l'architecture. Pour un rĂ©seau d'entreprise moderne, ces domaines sont les rĂ©seaux informatiques filaires et sans fil (LAN / WLAN) sur le site central et dans les succursales, les rĂ©seaux de centres de donnĂ©es, les rĂ©seaux gĂ©ographiquement distribuĂ©s (WAN), ainsi que les solutions de sĂ©curitĂ© des informations de bout en bout. De plus, la mise en Ćuvre efficace de la solution nĂ©cessite des outils supplĂ©mentaires dans le domaine de la surveillance du trafic et de son analyse au niveau des applications, appuyĂ©s par de puissantes analyses.
Aujourd'hui, Cisco est le seul fabricant capable de couvrir tous ces domaines. De plus, Cisco a dĂ©jĂ mis en Ćuvre des solutions dans chaque domaine. Examinons-les plus en dĂ©tail.
Usines de réseau: infrastructure de transport de nouvelle génération
Les solutions Cisco modernes pour la construction d'une infrastructure de transport de rĂ©seau d'entreprise sont basĂ©es sur le concept d'une usine de rĂ©seau. L'usine de rĂ©seau comprend deux topologies de rĂ©seau: le rĂ©seau de dorsale IP, qui rĂ©sout le problĂšme du transfert d'informations du point A au point B, et la topologie de rĂ©seau de superposition qui s'exĂ©cute au-dessus de ce rĂ©seau IP, sur la base des politiques qui sont mises en Ćuvre. Selon la terminologie en vigueur, dire «usine de rĂ©seau» signifie souvent une superposition fonctionnant au-dessus du rĂ©seau de base.
Traditionnellement, dans les rĂ©seaux de campus, les transports et les politiques Ă©taient mis en Ćuvre sur la base d'une topologie de rĂ©seau unique. La pratique a montrĂ© que les tentatives de rĂ©soudre Ă la fois les problĂšmes de transport et les politiques dans la mĂȘme topologie de rĂ©seau conduisent gĂ©nĂ©ralement au fait qu'il n'est pas possible de rĂ©soudre efficacement la premiĂšre ou la deuxiĂšme tĂąche. En effet, ces tĂąches imposent des exigences conflictuelles au rĂ©seau. Un transport fiable nĂ©cessite une haute disponibilitĂ© du rĂ©seau et, Ă son tour, sa stabilitĂ©, des changements minimaux. D'un autre cĂŽtĂ©, appliquer des politiques et les maintenir Ă jour nĂ©cessite des modifications du rĂ©seau et viole sa stabilitĂ©.
De plus, dans la pratique, lors de la combinaison de fonctions et de politiques de transport dans une seule topologie, des interdĂ©pendances apparaissent. Les changements dans les fonctionnalitĂ©s associĂ©es Ă la solution d'un problĂšme changent la solution d'un autre. Cela complique le rĂ©seau, entrave la mise en Ćuvre des services et des politiques et ralentit la mise en Ćuvre des initiatives commerciales.
Le concept d'usine de rĂ©seau surmonte ces contradictions. La tĂąche complexe unique de la mise en Ćuvre simultanĂ©e du transport et des politiques, caractĂ©ristique d'un rĂ©seau basĂ© sur une topologie unique, est divisĂ©e en deux tĂąches plus simples - la mise en Ćuvre sĂ©parĂ©e du transport et des politiques dans un rĂ©seau IP de base et la superposition d'une fabrique de rĂ©seau.
Cette sĂ©paration des logiques rĂ©sume les tĂąches les unes des autres, minimise les interdĂ©pendances et crĂ©e les conditions optimales pour rĂ©soudre ces problĂšmes. C'est pourquoi il est beaucoup plus facile de mettre en Ćuvre des politiques de bout en bout, d'automatisation et d'orchestration dans une usine de rĂ©seau et, en fin de compte, de fournir une rĂ©action rapide du rĂ©seau aux initiatives commerciales.
C'est l'idĂ©e principale de l'usine de rĂ©seau, mise en Ćuvre dans les solutions Cisco modernes pour le rĂ©seau d'entreprise, y compris le LAN, le WAN et le centre de donnĂ©es.
Usines de réseau pour LAN et WAN: Cisco SD-Access et SD-WAN
L'usine de rĂ©seaux de campus est implĂ©mentĂ©e dans la solution Cisco Software-Defined Access (SD-Access). SD-Access vous permet de crĂ©er un rĂ©seau de campus dĂ©fini par logiciel. Ce rĂ©seau est gĂ©rĂ© Ă l'aide du contrĂŽleur Cisco DNA Center. Le contrĂŽleur fournit Ă©galement une interface graphique qui peut accĂ©lĂ©rer considĂ©rablement le processus de planification et de mise en Ćuvre du rĂ©seau, la dĂ©finition et l'exĂ©cution automatisĂ©e des politiques, ainsi que la surveillance et le dĂ©pannage.
SD-Access met en Ćuvre l'idĂ©e ci-dessus de sĂ©paration des logiques, ce qui nous permet de rĂ©soudre le problĂšme des transports et des politiques de bout en bout Ă travers le rĂ©seau du campus. De plus, la sĂ©paration de la logique et l'utilisation du contrĂŽleur DNA Center vous permettent de mettre en Ćuvre rapidement de nouvelles politiques et d'adapter les politiques existantes aux nouvelles exigences commerciales.
DNA Center fournit Ă©galement une API REST pour l'intĂ©gration avec des systĂšmes d'orchestration de niveau supĂ©rieur, des applications tierces et les spĂ©cialistes internes du client. L'API rĂ©sume le rĂ©seau et permet de mettre en Ćuvre une orchestration Ă©volutive des services en termes pertinents pour les applications et les entreprises. L'API donne Ă©galement accĂšs aux rĂ©sultats d'analyse et d'analyse des tendances Ă partir des outils d'assurance de DNA Center.
L'API vous permet d'obtenir une orchestration des services non seulement à l'intérieur de l'usine réseau du site central, mais également d'intégrer cette usine au reste du réseau d'entreprise, y compris les réseaux locaux WAN et succursales.
Les topologies de réseau de superposition en tant que telles sont depuis longtemps intégrées au WAN dans les solutions Cisco. Ils ont déjà été appliqués dans la technologie DMVPN et développés dans la solution Cisco IWAN basée sur DMVPN. Les solutions WAN d'aujourd'hui et de demain dans le portefeuille de Cisco sont des SD-WAN gérés par le DNA Center et intégrant la technologie Viptela.
Cisco propose le concept d'une usine réseau pour les succursales. Dans le cadre de ce concept, l'usine de réseau comprend des routeurs, des commutateurs et une infrastructure LAN sans fil de succursale, également gérés par le contrÎleur DNA Center.
L'application du concept d'usine de réseau au réseau du campus, au réseau étendu et aux succursales ouvre la voie à la création d'un environnement de transport homogÚne avec des politiques de bout en bout et des capacités d'orchestration flexibles.
En conséquence, SD-Access et SD-WAN fournissent une solution efficace pour les trois tùches - du transport fiable à l'orchestration de bout en bout des politiques et des services dans une usine de réseau avec la possibilité d'étendre l'orchestration à l'ensemble du réseau de l'entreprise.
Usine réseau pour centre de données: Cisco ACI
La mise en Ćuvre d'une usine de rĂ©seau dans un rĂ©seau d'entreprise serait incomplĂšte sans la couverture de l'infrastructure rĂ©seau du centre de donnĂ©es. Cisco a atteint cet objectif en 2013 avec Cisco Application Centric Infrastructure (ACI).
Comme SD-Access, ACI comprend un rĂ©seau fĂ©dĂ©rateur IP qui rĂ©sout les problĂšmes de transport et une superposition qui met en Ćuvre les politiques. Cisco ACI Network Factory est gĂ©rĂ© par un cluster de contrĂŽleurs APIC, avec lequel l'administrateur dĂ©finit les politiques et rĂ©sout le reste des tĂąches de gestion et de surveillance du rĂ©seau du centre de donnĂ©es.
En fin de compte, le centre de donnĂ©es est crĂ©Ă© pour le fonctionnement des applications d'entreprise qui mettent en Ćuvre les services nĂ©cessaires Ă l'entreprise. Le paysage de ces applications est gĂ©nĂ©ralement assez compliquĂ©. Garantir le fonctionnement d'un seul service mĂ©tier peut nĂ©cessiter une interaction complexe entre des groupes de serveurs de types diffĂ©rents. Les informations sont transfĂ©rĂ©es entre eux et traitĂ©es dans une certaine sĂ©quence, exĂ©cutant la logique mĂ©tier requise.
La diffĂ©rence fondamentale entre les rĂ©seaux de centres de donnĂ©es traditionnels et ACI est l'approche de mise en Ćuvre d'une telle logique mĂ©tier. Dans un rĂ©seau traditionnel, vous devez d'abord traduire la logique mĂ©tier des termes du monde des applications en termes du monde des technologies de rĂ©seau, puis l'assembler Ă partir des structures de rĂ©seau "bas niveau", telles que VLAN, VRF, etc. Ce processus implique une collaboration Ă©troite de personnes ayant diffĂ©rents domaines de compĂ©tence, tels que des spĂ©cialistes dans le domaine des rĂ©seaux, des applications, etc., nĂ©cessite beaucoup de temps et d'efforts. Et Cisco ACI vous permet de dĂ©finir initialement la logique d'interaction souhaitĂ©e, en l'implĂ©mentant automatiquement sur le rĂ©seau Ă l'aide du contrĂŽleur APIC.
Une autre diffĂ©rence fondamentale est la vitesse de mise en Ćuvre de cette logique. L'approche traditionnelle consiste Ă configurer les Ă©lĂ©ments d'infrastructure rĂ©seau via la CLI ou, au mieux, Ă l'aide d'un systĂšme de gestion. Cette approche est adĂ©quate pour les configurations de rĂ©seau statiques, mais elle fonctionne le pire, l'environnement le plus dynamique et le plus souvent vous devez modifier les paramĂštres et les politiques de transport. Mais c'est exactement ce qui doit ĂȘtre fait pour mettre en Ćuvre de nouveaux services et applications, en particulier dans les centres de donnĂ©es modernes avec virtualisation.
ACI résout ce problÚme grùce aux capacités du contrÎleur APIC dans le domaine de l'automatisation et de la programmabilité. Le contrÎleur propose un modÚle d'objet trÚs riche, accessible via l'API REST. L'API accepte et renvoie les messages spécifiés aux formats JSON ou XML. En plus de l'API, Cisco fournit des outils supplémentaires tels que ACI Toolkit, Cobra SDK, Arya, etc., ainsi qu'une automatisation à l'aide de Puppet et Ansible.
ACI offre Ă©galement un haut niveau de sĂ©curitĂ© des informations. Pour transfĂ©rer des informations via l'infrastructure ACI, il est nĂ©cessaire de spĂ©cifier explicitement des groupes d'hĂŽtes en interaction avec une indication facultative des types de trafic autorisĂ©. Cette approche est pratique pour mettre en Ćuvre des politiques de sĂ©curitĂ© basĂ©es sur le modĂšle de confiance zĂ©ro (liste blanche).
Les usines de réseau Cisco SD-Access et ACI s'intÚgrent les unes aux autres, permettant la traduction des politiques et le fonctionnement de bout en bout sur le réseau d'entreprise - de l'ordinateur personnel de l'utilisateur dans la succursale au serveur dans le centre de données d'entreprise.
Ainsi, Cisco ACI offre la possibilité de relever les trois défis.
Stratégies de sécurité et segmentation définie par logiciel: Cisco wisdomec et ISE
Dans les sections prĂ©cĂ©dentes, nous avons abordĂ© l'importance de la mise en Ćuvre de politiques et de solutions Cisco pour l'infrastructure de rĂ©seau d'entreprise, y compris le centre de donnĂ©es.
La politique de sĂ©curitĂ© est une place clĂ© parmi les politiques. Compte tenu de la croissance continue de l'activitĂ© des attaquants et de l'abondance de vecteurs d'attaque, la pĂ©nĂ©tration des attaquants dans le rĂ©seau d'entreprise n'est qu'une question de temps. Cela nĂ©cessite l'utilisation de mesures de protection efficaces dans les conditions oĂč l'attaque a dĂ©jĂ eu lieu et oĂč les attaquants ont «pĂ©nĂ©tré» Ă l'intĂ©rieur du rĂ©seau (selon ZK Research, environ 80% de la pĂ©nĂ©tration des attaquants se produit Ă l'intĂ©rieur du pĂ©rimĂštre protĂ©gĂ©.}.
Une mesure de sĂ©curitĂ© efficace dans de telles conditions est la segmentation des utilisateurs et des ressources en groupes isolĂ©s, entre lesquels seul le trafic nĂ©cessaire Ă la rĂ©solution des problĂšmes commerciaux peut ĂȘtre Ă©changĂ©. Et si les tĂąches mĂ©tier n'impliquent pas d'Ă©change de trafic entre les groupes, alors il est complĂštement bloquĂ©. ( " ") , . :
- Digital Guardian: âEataly's network segmentation prevented a POS compromise at one store from compromising systems at the chain's 26 other locations across the globeâ.
- US-CERT: âEffective network segmentation⊠reduces the extent to which an adversary can move across the networkâ.
- Australian Government, Department of Defense, Intelligence and Security: âNetwork segmentation⊠is one of the most effective controls an agency can implement to mitigate the second stage of a network intrusion, propagation or lateral movementâ.
, IP- . , , . , , . , .
Cisco TrustSec . TrustSec IP-, SGT (Scalable Group Tag). TrustSec Cisco ISE , . Cisco ISE SGACL. DNA Center, Cisco ISE .
SGT , , Cisco Firepower, - Cisco Web Security Appliance .
Cisco ISE (identity) SD-Access ACI. ISE IP- SGT EPG ACI. IT-.
, Cisco ISE REST API Cisco Platform Exchange Grid (pxGrid), , .
, , . .
IT-, . , , , . Cisco . .
: DNA Center Assurance
, , -. , , , .
- â , . . , .
-, .
-, , , . , .
Cisco Assurance DNA Center. - .
Assurance , , , Cisco ISE, ITSM (IT Services Management) IPAM (IP Address Management).
Assurance , . Assurance , , , . , Assurance .
Assurance IT- , -.
: Cisco Tetration Analytics
, . -, . , , , , .
, , . , , , . . . . "" . - .
Cisco Tetration Analytics, . , (ASIC) Cisco Nexus 9000, , ERSPAN NetFlow. , .
100 . , 25,000 ( ). Tetration Analytics .
, Cisco Tetration Analytics , , . IT , , , . , Tetration Analytics . Cisco Stealthwatch, â Cisco Talos ( ).
Tetration Analytics . (IP Tables, IP Set, Windows FW) , . , Cisco ISE Scalable Group Tag (SGT) , ..
" ", .
Tetration Analytics REST API.
, Tetration Analytics .
: Cisco AppDynamics
- IT-, - . , - .
-, , , . - .
Cisco AppDynamics. , backend .
, . , C/C++, Java, .NET, Python, PHP, Node.js .. , , , . .
AppDynamics , "" . , , .
- , backend , IT-, .
, Business iQ , -, -, . AppDynamics -, IT- .
AppDynamics (extensions) REST API. .
: Cisco Stealthwatch
Cisco , .
, , Cisco Stealthwatch Enterprise.
Stealthwatch , . , . , , NetFlow, IPFIX .., Stealthwatch . , , , , , Cisco AnyConnect Network Visibility Module (NVM).
, Stealthwatch , . , .
Stealthwatch Cisco ISE pxGrid. "", Stealthwatch. Cisco Rapid Threat Containment Cisco.
, Stealthwatch ( ) , , , TLS. Encrypted Traffic Analytics (ETA) Enhanced NetFlow Cisco.
, , , : , .
Cisco . , .
, . , .
, Cisco , . , , .
, , , , .
, . , , , - .
IT-, , "" DNA Center APIC.
Cisco Network Services Orchestrator (NSO) , , - API . , NSO SD-Access API DNA Center.
API IT- Cisco Cisco , , .
Cisco , Cisco â , , . , Cisco IT-, - .
Cisco?
.
â "", AS-IS, , , . , .
â Cisco, TO-BE, . , " Cisco".
- :
- ;
- ;
- .
, Cisco .
, , , , -.
- , â -.
Cisco , Cisco , , -.
. Cisco , .
, Cisco . , . , . , . , - , , .
â . IT - . - . . , .
Réduction des coûts
Cisco, 2016 . 90% , . IT- .
Dans tous les cas, les entreprises ont besoin de spécialistes informatiques qualifiés pour exploiter le réseau - à la fois classique et SDA. Mais cette derniÚre permet de réduire considérablement le temps consacré à des travaux à faible valeur ajoutée, par exemple pour effectuer des opérations de routine.
La société gagnerait à ce que le réseau permette de réorienter le temps et les efforts du personnel informatique de la routine vers la résolution de tùches stratégiques plus importantes, l'optimisation du support pour les processus commerciaux existants et l'aide au lancement de nouveaux, pour obtenir de nouveaux résultats.
Les employés y gagneraient s'ils n'utilisaient pas le temps de travail pour des opérations de routine qui n'amélioraient guÚre les compétences et la valeur sur le marché du travail, mais pour apprendre de nouvelles technologies, introduire de nouvelles solutions et, en fin de compte, aider l'employeur à obtenir des résultats commerciaux spécifiques.
Le rĂ©seau Cisco offre de telles opportunitĂ©s aux entreprises et aux employĂ©s. L'orchestration et l'automatisation, se concentrant sur la mise en Ćuvre de politiques et d '"intentions commerciales", la possibilitĂ© de mettre en Ćuvre rapidement des Ă©lĂ©ments de l'infrastructure rĂ©seau et des appareils clients dans toute l'entreprise, la fonctionnalitĂ© d'analyse permet d'Ă©conomiser du temps et des efforts, vous permet de les utiliser le plus efficacement possible.
RĂ©duction des risques
Le réseau Cisco peut réduire considérablement les risques d'entreprise associés à l'indisponibilité des processus métier et aux menaces à la sécurité des informations.
Selon Gartner, le coût d'une heure d'indisponibilité des processus métier dans un environnement d'entreprise peut atteindre des centaines de milliers de dollars américains.
La «cause humaine» est la cause la plus courante de perturbations du rĂ©seau des campus et, par consĂ©quent, l'inaccessibilitĂ© des processus mĂ©tier. Et selon Cisco, pour la mĂȘme raison, environ 70% des violations de stratĂ©gie d'entreprise se produisent Ă©galement.
Cela n'est pas surprenant car les réseaux modernes sont complexes. Une complication supplémentaire est la coordination entre les services commerciaux et informatiques et la sécurité de l'information, lorsque chacun de ces trois «parle sa propre langue».
La solution Cisco prend une part importante de la routine, cache la complexité du réseau, donnant à la personne la possibilité de se concentrer sur la définition des politiques et des «intentions commerciales».
Chaque rĂ©seau classique est unique en termes de combinaison de fonctions personnalisĂ©es, d'un ensemble de matĂ©riel et de logiciels et de topologie. Bien que les fabricants fassent des efforts importants pour tester de nouveaux produits et contrĂŽler leur qualitĂ©, il y a une trĂšs forte probabilitĂ© qu'une telle configuration "unique" ne soit pas testĂ©e exactement sous la mĂȘme forme que celle mise en Ćuvre. Cela augmente les risques de mise en Ćuvre.
Dans le cas de la mise en Ćuvre automatique des configurations et de l'orchestration des services, l'image est diffĂ©rente. Les configurations crĂ©Ă©es Ă la suite d'un travail conjoint de dĂ©veloppeurs d'Ă©lĂ©ments d'infrastructure de rĂ©seau et d'un contrĂŽleur, des architectes des meilleures pratiques de mise en Ćuvre seront introduits dans le rĂ©seau. Le nombre de combinaisons de fonctions dans de telles configurations, le degrĂ© de leur unicitĂ© sera nettement infĂ©rieur Ă celui du rĂ©seau classique. De telles configurations sont beaucoup plus faciles Ă tester pour les dĂ©veloppeurs. De plus, de telles configurations "typiques" ne seront pas uniques, comme dans le cas du rĂ©seau classique, mais seront mises en Ćuvre dans de nombreux rĂ©seaux Ă travers le monde. Cela rĂ©duit les risques de mise en Ćuvre.
Un autre problĂšme des rĂ©seaux classiques est l'implĂ©mentation incomplĂšte des fonctionnalitĂ©s nĂ©cessaires, non suivies ou incomplĂštes suivant les recommandations et les meilleures pratiques. C'est-Ă -dire le matĂ©riel et les logiciels existants peuvent avoir des fonctionnalitĂ©s de sĂ©curitĂ©, de haute disponibilitĂ©, etc. nĂ©cessaires pour rĂ©duire les risques. Mais il n'est pas nĂ©cessaire qu'une telle fonctionnalitĂ© soit rĂ©ellement mise en Ćuvre en raison de la surcharge des employĂ©s informatiques avec les opĂ©rations de routine et des prĂ©occupations liĂ©es aux difficultĂ©s de mise en Ćuvre. En consĂ©quence, l'entreprise ne bĂ©nĂ©ficie pas de fonctions payantes mais non implĂ©mentĂ©es, ne rĂ©duit pas les risques pour le fonctionnement des processus mĂ©tiers.
De plus, compte tenu du manque de temps pour le personnel informatique, la cohĂ©rence des configurations des appareils dans un rĂ©seau classique a tendance Ă diminuer, et la mise en Ćuvre de demi-mesures "temporaires" au lieu de solutions systĂšme a tendance Ă augmenter. Cela augmente la complexitĂ© du rĂ©seau. La qualitĂ© et le volume du travail effectuĂ© souffrent Ă©galement. En consĂ©quence, les risques d'Ă©checs et de violations des politiques de sĂ©curitĂ© augmentent.
Le rĂ©seau Cisco offre une solution Ă ces problĂšmes en automatisant la mise en Ćuvre des fonctionnalitĂ©s nĂ©cessaires et en apportant d'autres modifications.
De plus, les capacités du contrÎleur dans le domaine de l'orchestration et de l'automatisation sont complétées par des fonctionnalités analytiques. Le réseau Cisco fournit au personnel informatique des informations complÚtes et détaillées sur les incidents qui se produisent sur le réseau, des conclusions sur leur impact sur le réseau et les utilisateurs. Ces résultats vous aident à prendre rapidement des mesures concrÚtes pour résoudre l'incident.
Le réseau Cisco a intégré une fonctionnalité de segmentation des utilisateurs par le biais de la technologie de TruckTec, ainsi qu'une analyse comportementale et des outils automatisés de réponse aux menaces.
En conséquence, le réseau Cisco offre aux entreprises les outils nécessaires pour réduire considérablement les risques de perturbation des processus métier, à la fois en raison du «facteur humain» et des menaces à la sécurité des informations.
Pour résumer
L'organisation d'un segment d'entreprise n'est pas dans la construction de rĂ©seaux, mais dans son cĆur de mĂ©tier. Un rĂ©seau est un outil nĂ©cessaire pour obtenir des rĂ©sultats commerciaux.
Il sera probablement productif de ne pas se concentrer sur la rĂ©duction des coĂ»ts en capital, mais dâenvisager dâintroduire ou de mettre Ă niveau le rĂ©seau en tant que projet dâinvestissement, afin de comparer le rendement du projet avec le taux de rendement seuil de lâorganisation, la pĂ©riode de rĂ©cupĂ©ration requise et dâautres indicateurs financiers.
Lors de l'analyse des risques d'un tel projet, il est logique d'évaluer non seulement les risques d'action, mais aussi les risques d'inaction, le coût des opportunités manquées, caractéristique des infrastructures informatiques «classiques».
On peut s'attendre Ă ce que Cisco soit particuliĂšrement efficace pour les organisations dans lesquelles:
- Environnement commercial dynamique
- Un grand nombre de processus métier nécessitant des politiques individuelles;
- Un grand nombre d'utilisateurs et un réseau à grande échelle.
La numérisation, ainsi que les usines de réseau, l'automatisation, la programmabilité sont des tendances qui sont déjà visibles dans l'industrie informatique. à mesure que ces tendances se développent, de plus en plus d'entreprises en bénéficieront. En conséquence, ils gagneront un avantage concurrentiel en prenant des parts de marché à d'autres sociétés.
Cisco offre aujourd'hui ces avantages.
Les références
Architecture de réseau - Cisco DNA
AccÚs défini par logiciel
DevNet: API Cisco DNA Center
Solution SD-WAN
Infrastructure centrée sur les applications Cisco
DevNet: Infrastructure centrée sur les applications
DevNet: trouvez toutes les ressources dont vous avez besoin pour ACI
Cisco Tetration
Cisco AppDynamics
API AppDynamics
Cisco wisdomec
Moteur de services d'identité Cisco
Grille d'Ă©change de plate-forme Cisco (pxGrid)
Visibilité et application du réseau
Cisco Stealthwatch Enterprise
Confinement rapide des menaces Cisco
Analyse du trafic crypté (ETA)
Solutions Network Services Orchestrator (NSO)
Cisco DevNet: API, SDK, bac à sable et communauté pour les développeurs Cisco