企业需要网络提供什么?
现代公司的业务主管很少对IT的复杂性和网络技术的细微差别感兴趣。 这不足为奇:结果对业务很重要。
但是,由于许多业务流程的协同工作,可以获得了预期的业务结果。 它们大多数与信息传输有关。 而且大多数这些业务流程都依赖于运行在网络顶部的网络应用程序。
在现代公司环境中,如果没有网络和应用程序,业务将无法运作。 而且,在数字化和物联网(IoT)时代,由于越来越多的关键业务应用程序在网络之上运行,因此业务对IT的依赖性仅在增加。
因此,对于现代公司而言,确保网络应用程序以及相应网络的正确运行至关重要。
怎么做?
为了解决这个问题,有必要实现设计指南和专业文献中描述的许多建议。 但最终可以根据它们制定三个关键领域:
- 可靠的运输。
- 跨领域政策。
- 端到端编排。
同时,每个方向最重要和必要的组成部分是信息安全,理想情况下是根据零信任或“白名单”模型,其中仅向有这种业务需求的用户提供对特定资源的访问。
更详细地考虑这些领域。
任务1:可靠的运输
一个基本而明显的观点。 当业务需要时,网络应该工作并将信息从A点传输到B点。 否则,业务流程将无法正常工作,并且业务将遭受直接或间接损失。
任务2:跨领域策略
将信息从点A传输到点B是必要的,但还不够。 仅当实施各种策略时,业务流程的正确工作才可能进行。 例如,为了确保信息的机密性,完整性,真实性,有必要实施安全策略。 另一个示例-适当的业务应用程序质量要求符合所需的延迟,抖动和数据包丢失值。 反过来,这可能需要实施服务质量(QoS)策略。
政策执行的特殊性在于其效果与最薄弱的环节一样强大。 这意味着,为了获得所需的业务结果,需要涵盖整个公司网络的策略的端到端实施。
此外,缺乏政策或其执行不当可能会导致在实施基点(提供通信)方面出现问题。 例如,安全策略的无效实施可能会错过对网络基础结构或服务的攻击,并且硬件配置的复杂性与人为因素可能会导致硬件配置错误。 这些示例中的任何一个都为流量传输失败和服务无法访问创造了先决条件。
任务3:端到端编排
仅当策略彼此一致时,策略的实施才有效,并且可以按照业务所需的速度快速更新。
现代企业的现实状况决定了需要及时更新这些端到端策略。 通常在启动新业务流程,更改现有流程或执行工作以优化对网络的支持时发生。 延迟更新策略是不可接受的,因为它们会延迟启动新业务计划或增加业务风险。 因此,速度非常重要,在数字化的背景下,速度变得更加重要。 取胜速度可以带来可观的财务业绩。 在某些情况下,速度是如此关键,以至于整个业务计划的成功取决于它。
为了满足这些条件并确保正确实施策略,需要使用编排工具,该工具应沿整个信息传输路径运行,例如,从远程办公室员工的计算机到公司数据中心中的服务器。
编排工具正变得越来越重要,并且是现代公司网络的必要功能。 实际上,没有它们,实际上就不可能在大量网络基础结构元素上实施端到端策略,然后又快速对其进行更新。
前两个任务的解决方案-确保可靠的传输和端到端策略-是编排的先决条件。 显然,任何服务都依赖运输。 同样清楚的是,只有在有有效,灵活的政策实施机制时,编排才有可能。 因此,业务流程在所考虑的三个任务中处于“金字塔的顶端”。
当今企业网络的挑战
从当今典型的企业网络中概述的任务的角度来看,情况如何?
从理论上讲,典型的公司网络可以轻松地执行任务1并提供可靠的传输,因为为此存在必要的技术手段-例如,动态路由协议,高可用性工具等。
实际上,解决该问题的方法要复杂得多。 除了将数据包从A点传输到B点之外,还必须实施策略。 任何不重要的政策都会影响运输。 显示了实现策略的功能与解决运输问题的功能之间的相互依赖性。 网络设备配置要复杂得多。 结果,网络操作和故障排除很复杂。 技术窗口变长,出错的可能性更高。 最终,降低了网络可用性,从而降低了业务流程。 这对企业越来越不适应。
政治家们的情况再好不过了。 TCP / IP协议栈没有办法表明数据包属于任何用户或主机组,并且无法对这些数据包应用策略。 因此,在实践中,管理员必须寻找替代品,并且IP地址几乎被普遍用作这种替代品,尽管它并不是为此目的而设计的。 但是,通常将IP地址用作数据包属于特定用户组的标准。
这种应用IP地址的方式在两个不同功能之间建立了相互依存关系-寻址和应用策略。 一个功能所需的更改不可避免地会影响另一个功能。 结果,网络失去了灵活性。 例如,寻址优化以及公司网络IP地址中的其他重大更改通常几乎变得不可能,因为结果将违反策略的效果。
但这只是问题的一部分。 通常,地址的处理是手动完成的,基于地址的策略变得非常复杂,繁琐并且非常容易受到“人为因素”的影响。 结果,应用策略的速度和质量受到影响,并且由于网络问题导致的业务流程失败的风险显着增加。
至于端到端服务编排,在典型的公司网络中是不存在的。 真正的公司网络很少是同质的。 相反,它是基于来自不同制造商的一组具有异构功能的设备构建的,这些设备不仅具有命令行界面,而且还具有网络协议和标准的不同实现。 并非所有设备都具有正确形式和数量的功能。 另外,真实网络的网络设备配置是不一致和复杂的,并且随着时间的流逝,复杂性和不一致会趋于增加。 这种网络中的服务编排不仅难以实现,而且还可能由于自动和手动网络管理方法之间的冲突而导致中断。 结果,在这样的网络中实现服务的端到端编排几乎是不可能的。
另一个问题是协调。 在将业务意图体现在特定的网络设备团队中之前,有必要经过来自不同部门,具有完全不同的专业和思想的人员链,例如,从业务领导者到管理者链,再到应用程序和数据中心,网络技术,安全性领域的技术专家, 。 这样的人“说不同的语言”。 沿链翻译任务时,其含义并不总是保留其确切形式和完整形式。 此外,部门间互动的特征(许多组织的特征)常常使情况复杂化。
从长远来看,实施的困难常常导致这样一个事实,即以不足的质量,不够全面,没有按时实施业务所需的主动性。 有时,实施的范围太广,以至于在实施完成之前主动性就过时了。 或实施根本没有结束。
思科提供什么
正如我们在上一节中看到的那样,在一个典型的现代公司网络中,出于根本原因,即使确保可靠的运输和制定端到端策略的任务也不能总是令人满意地解决,更不用说端到端编排了。
但是,为了有效地支持业务流程,必须解决所有三个问题-高质量且全面。
考虑到这一点,思科不仅致力于开发新产品和技术,而且致力于开发旨在有效支持业务的整体架构,例如思科DNA。
创建这样的架构需要策略和编排工具的端到端实施。 反过来,为此,制造商需要在架构涵盖的所有技术领域中拥有一系列产品和深入的专业知识。 对于现代公司网络,此类区域包括中央站点和分支机构中的本地计算有线和无线网络(LAN / WLAN),数据中心网络,地理分布网络(WAN)以及端到端信息安全解决方案。 此外,要有效地实施该解决方案,还需要流量监控及其对应用程序级别的分析的辅助工具,并需要强大的分析功能。
今天,思科是唯一能够覆盖所有这些领域的制造商。 此外,思科已经在各个领域实施了解决方案。 让我们更详细地考虑它们。
网络工厂:下一代运输基础设施
用于构建公司网络传输基础结构的现代Cisco解决方案基于网络工厂的概念。 网络工厂包括两种网络拓扑:IP骨干网(解决了将信息从A点传输到B点的问题)和在此IP网络之上运行的覆盖网络拓扑,在此基础上实施了策略。 根据流行的术语,说“网络工厂”通常意味着在骨干网络之上工作的覆盖。
传统上,在园区网络中,传输和策略都是在单个网络拓扑的基础上实现的。 实践表明,尝试解决同一网络拓扑中的传输和策略问题通常会导致以下事实:不可能有效地解决第一任务或第二任务。 这是因为这些任务对网络提出了相互矛盾的要求。 可靠的传输需要较高的网络可用性,进而需要其稳定性和最小的变化。 另一方面,应用策略并使其保持最新状态需要更改网络并破坏其稳定性。
此外,实际上,当在单个拓扑中组合传输功能和策略时,会出现相互依赖性。 与一个问题的解决方案相关联的功能更改会改变另一个问题的解决方案。 这使网络复杂化,阻碍了服务和策略的实施,并减慢了业务计划的实施。
网络工厂的概念克服了这些矛盾。 同时实现传输和策略的单个复杂任务(基于单个拓扑的网络特性)分为两个更简单的任务-基本IP网络中的传输和策略的单独实现以及网络工厂的覆盖。
这种逻辑上的分离使任务彼此抽象,使相互依赖性最小化,并为解决这些问题创造了最佳条件。 这就是为什么在网络工厂中实施端到端策略,自动化和编排要容易得多,并且最终使网络对业务计划做出快速反应的原因。
这是网络工厂的主要思想,它在针对企业网络(包括LAN,WAN和数据中心)的现代Cisco解决方案中实现。
LAN和WAN的网络工厂:Cisco SD-Access和SD-WAN
园区网络工厂在思科软件定义访问(SD-Access)解决方案中实现。 SD-Access允许您构建软件定义的园区网络。 此网络使用Cisco DNA Center控制器进行管理。 控制器还提供了图形界面,可以大大加快规划和实施网络,设置和自动执行策略以及监视,故障排除的过程。
SD-Access实现了上述逻辑分离的思想,这使我们能够解决整个园区网络中的传输和端到端策略的问题。 此外,逻辑的分离和DNA Center控制器的使用使您可以快速实施新策略,并使现有策略适应新的业务需求。
DNA Center还提供了REST API,可与更高级别的编排系统,第三方应用程序以及客户的内部专家集成。 API使网络抽象化,并可以实现与应用程序和业务相关的可扩展服务编排。 该API还可以访问DNA Center的Assurance工具提供的分析和趋势分析结果。
该API使您不仅可以在中央站点的网络工厂内部进行服务编排,而且可以将该工厂与公司的其余部分(包括WAN和分支机构本地网络)集成。
这样的叠加网络拓扑在Cisco解决方案中早已应用于WAN。 它们已经在DMVPN技术中得到应用,并在基于DMVPN的Cisco IWAN解决方案中得到了进一步发展。 思科产品组合中现在和将来的WAN解决方案都是由DNA中心管理并结合了Viptela技术的SD-WAN。
思科为分支机构提供了网络工厂的概念。 作为此概念的一部分,网络工厂包括路由器,交换机和分支机构无线LAN基础架构,这些基础架构也通过DNA Center控制器进行管理。
将网络工厂概念应用于园区网络,WAN和分支机构,为构建具有灵活的端到端策略和编排功能的统一运输环境开辟了道路。
结果,SD-Access和SD-WAN为所有三个任务提供了有效的解决方案-从可靠的传输到网络工厂中策略和服务的端到端编排,并有可能在整个企业网络中扩展编排。
数据中心网络工厂:Cisco ACI
如果不覆盖数据中心的网络基础架构,则无法在公司网络中实施网络工厂。 思科早在2013年就以思科以应用程序为中心的基础架构(ACI)实现了这一目标。
与SD-Access一样,ACI包括一个解决传输问题的IP骨干网,以及一个实现策略的覆盖层。 思科ACI网络工厂由APIC控制器群集管理,管理员可以使用该群集设置策略并解决其余的数据中心网络管理和监视任务。
最终,数据中心是为操作公司业务应用程序而创建的,该公司业务应用程序实现了业务所需的服务。 这种应用程序的前景通常非常复杂。 确保甚至一项业务服务的运行都可能需要在不同类型的服务器组之间进行复杂的交互。 信息在它们之间传输并按一定顺序进行处理,执行所需的业务逻辑。
传统数据中心网络和ACI之间的根本区别在于实现此类业务逻辑的方法。 在传统网络中,您必须首先将业务逻辑从应用程序领域转换为网络技术领域,然后从“低级”网络结构(如VLAN,VRF等)进行组合。 此过程涉及具有不同权限领域的人员的紧密协作,例如网络,应用程序等领域的专家,这需要大量的时间和精力。 并且,Cisco ACI允许您初始设置所需的交互逻辑,并使用APIC控制器在网络上自动实现该逻辑。
另一个根本区别是该逻辑的实现速度。 传统方法涉及通过CLI或最好使用管理系统来配置网络基础结构元素。 这种方法适用于静态网络配置,但效果更差,环境更动态,并且您需要更频繁地更改传输设置和策略。 但这正是实现新服务和应用所需要做的,尤其是在具有虚拟化功能的现代数据中心中。
由于APIC控制器在自动化和可编程性方面的功能,ACI解决了这一问题。 控制器提供了非常丰富的对象模型,可通过REST API访问。 该API接受并返回以JSON或XML格式指定的消息。 除了API,Cisco还提供其他工具,例如ACI工具包,Cobra SDK,Arya等,以及使用Puppet和Ansible的自动化。
ACI还提供了高级别的信息安全性。 要通过ACI基础结构传输信息,必须明确指定交互主机的组,并带有允许流量类型的可选指示。 这种方法对于实现基于零信任模型(白名单)的安全策略很方便。
思科SD-Access和ACI网络工厂相互集成,从而实现了整个企业网络中的策略转换和端到端操作,从分支机构的用户个人计算机到企业数据中心的服务器。
因此,Cisco ACI提供了解决所有三个挑战的能力。
安全策略和软件定义的分段:Cisco TrustSec和ISE
在前面的部分中,我们谈到了为企业网络基础架构(包括数据中心)实施策略和Cisco解决方案的重要性。
策略中的关键位置是安全策略。 考虑到攻击者活动的持续增加和攻击媒介的数量,攻击者渗透到公司网络只是时间问题。 这就要求在已经发生攻击并且攻击者已经“渗透”到网络内部的情况下使用有效的防护措施(根据ZK Research,大约80%的攻击者渗透来自受保护的边界内。)。
在这种情况下,一种有效的安全措施是将用户和资源分成隔离的组,在这些组之间仅交换解决业务问题所需的流量。 而且,如果业务任务不涉及组之间的流量交换,那么它将被完全阻止。 ( " ") , . :
- Digital Guardian: “Eataly's network segmentation prevented a POS compromise at one store from compromising systems at the chain's 26 other locations across the globe”.
- US-CERT: “Effective network segmentation… reduces the extent to which an adversary can move across the network”.
- Australian Government, Department of Defense, Intelligence and Security: “Network segmentation… is one of the most effective controls an agency can implement to mitigate the second stage of a network intrusion, propagation or lateral movement”.
, IP- . , , . , , . , .
Cisco TrustSec . TrustSec IP-, SGT (Scalable Group Tag). TrustSec Cisco ISE , . Cisco ISE SGACL. DNA Center, Cisco ISE .
SGT , , Cisco Firepower, - Cisco Web Security Appliance .
Cisco ISE (identity) SD-Access ACI. ISE IP- SGT EPG ACI. IT-.
, Cisco ISE REST API Cisco Platform Exchange Grid (pxGrid), , .
, , . .
IT-, . , , , . Cisco . 让我们考虑其中的一些。
: DNA Center Assurance
, , -. , , , .
- — , . . , .
-, .
-, , , . , .
Cisco Assurance DNA Center. - .
Assurance , , , Cisco ISE, ITSM (IT Services Management) IPAM (IP Address Management).
Assurance , . Assurance , , , . , Assurance .
Assurance IT- , -.
: Cisco Tetration Analytics
, . -, . , , , , .
, , . , , , . . . . "" . - .
Cisco Tetration Analytics, . , (ASIC) Cisco Nexus 9000, , ERSPAN NetFlow. , .
100 . , 25,000 ( ). Tetration Analytics .
, Cisco Tetration Analytics , , . IT , , , . , Tetration Analytics . Cisco Stealthwatch, — Cisco Talos ( ).
Tetration Analytics . (IP Tables, IP Set, Windows FW) , . , Cisco ISE Scalable Group Tag (SGT) , ..
" ", .
Tetration Analytics REST API.
, Tetration Analytics .
: Cisco AppDynamics
- IT-, - . , - .
-, , , . - .
Cisco AppDynamics. , backend .
, . , C/C++, Java, .NET, Python, PHP, Node.js .. , , , . .
AppDynamics , "" . , , .
- , backend , IT-, .
, Business iQ , -, -, . AppDynamics -, IT- .
AppDynamics (extensions) REST API. .
: Cisco Stealthwatch
Cisco , .
, , Cisco Stealthwatch Enterprise.
Stealthwatch , . , . , , NetFlow, IPFIX .., Stealthwatch . , , , , , Cisco AnyConnect Network Visibility Module (NVM).
, Stealthwatch , . , .
Stealthwatch Cisco ISE pxGrid. "", Stealthwatch. Cisco Rapid Threat Containment Cisco.
, Stealthwatch ( ) , , , TLS. Encrypted Traffic Analytics (ETA) Enhanced NetFlow Cisco.
, , , : , .
Cisco . , .
, . , .
, Cisco , . , , .
, , , , .
, . , , , - .
IT-, , "" DNA Center APIC.
Cisco Network Services Orchestrator (NSO) , , - API . , NSO SD-Access API DNA Center.
API IT- Cisco Cisco , , .
Cisco , Cisco — , , . , Cisco IT-, - .
Cisco?
.
— "", AS-IS, , , . , .
— Cisco, TO-BE, . , " Cisco".
- :
- ;
- ;
- .
, Cisco .
, , , , -.
- , — -.
Cisco , Cisco , , -.
. Cisco , .
, Cisco . , . , . , . , - , , .
— . IT - . - . . , .
降低成本
Cisco, 2016 . 90% , . IT- .
无论如何,公司都需要合格的IT专家来操作网络-经典和SDA。 但是,后者可以显着减少花费在低附加值工作上的时间,例如执行常规操作。
如果网络使我们能够将IT人员的时间和精力从例行工作转移到解决更重要的战略任务,优化对现有业务流程的支持并帮助启动新业务流程以获取新成果的方法,该公司将受益。
如果员工不将工作时间用于日常工作,而日常工作对提高劳动力市场的技能和价值没有多大作用,而是学习新技术,引入新解决方案,最终帮助雇主实现特定的业务成果,则员工会从中受益。
思科网络为公司和员工提供了这样的机会。 编排和自动化,专注于策略和“业务意图”的实施,能够在整个公司范围内快速实施网络基础结构和客户端设备的元素,分析功能节省了时间和精力,使您可以尽可能高效地使用它们。
降低风险
思科网络可以大大降低与业务流程不可用和信息安全威胁相关的公司风险。
根据Gartner的调查,企业环境中业务流程停机一小时的成本可能高达数十万美元。
造成校园网络中断并导致业务流程无法访问的最常见原因是“人为因素”。 根据思科的说法,出于同样的原因,大约70%的公司政策违规事件也会发生。
这并不奇怪,因为现代网络很复杂。 当这三个部门各自说自己的语言时,企业与IT部门以及信息安全部门之间的协调就会变得更加复杂。
思科解决方案占据了例行程序的重要部分,隐藏了网络的复杂性,使人们有机会专注于制定策略和“业务意图”。
每个经典网络在定制功能,一组硬件和软件以及拓扑的组合方面都是唯一的。 尽管制造商付出了巨大的努力来测试新产品并控制其质量,但是很有可能不会以与实施时完全相同的形式测试这种“独特”配置。 这增加了实施风险。
在自动实施配置和服务编排的情况下,情况看起来有所不同。 由于网络基础架构元素的开发人员和控制器,最佳实施实践的设计师共同努力而创建的配置将被引入网络。 在这种配置中,功能组合的数量,其唯一性程度将大大低于传统网络。 这样的配置使开发人员更容易测试。 另外,这种“典型”配置将不会像传统网络那样是唯一的,而是将在世界各地的许多网络中实现。 这降低了实施风险。
经典网络的另一个问题是必需功能的实现不完整,而不是遵循或不完全遵循建议和最佳实践。 即 现有的硬件和软件可能具有降低风险所需的安全性,高可用性等功能。 但是,由于IT员工的日常工作量过多以及与实施困难相关的担忧,因此不必真正实现这种功能。 结果,业务无法从付费功能中受益,但不能实现功能,也无法降低业务流程功能的风险。
另外,由于IT人员没有时间,传统网络的设备配置的一致性趋于降低,并且“临时”半措施的实施代替了系统解决方案的趋向于增加。 这增加了网络的复杂性。 所做工作的质量和数量也会受到影响。 结果,失败和违反安全策略的风险正在增加。
思科网络通过自动化必要功能的实现并进行进一步的更改,为这些问题提供了解决方案。
此外,控制器在编排和自动化领域的功能得到分析功能的补充。 思科网络可为IT人员提供有关网络上发生的事件的完整和详细信息,以及对网络和用户的影响的结论。 这些发现可帮助您迅速采取具体措施解决此事件。
思科网络通过TrustSec技术以及行为分析和自动威胁响应工具集成了用户分段功能。
结果,思科网络为企业提供了工具,以大大降低业务流程中断的风险,这既是由于“人为因素”造成的,也是由于对信息安全的威胁。
总结一下
组织公司部门的业务不是建立网络,而是核心业务。 网络是实现业务成果所必需的工具。
将重点放在不将资本成本最小化上,而是考虑将网络作为投资项目进行引入或升级,将项目的回报与组织的阈值回报率,所需的投资回收期和其他财务指标进行比较,可能会很有成效。
在分析此类项目的风险时,不仅要评估采取行动的风险,而且还要评估不采取行动的风险,错失机会的成本以及“经典” IT基础架构的特征,这才是有意义的。
可以预料,思科对于以下组织尤其有效:
- 动态商业环境
- 大量业务流程需要单独的策略;
- 大量的用户和大规模的网络。
数字化以及网络工厂,自动化,可编程性是IT行业中已经显而易见的趋势。 随着这些趋势的发展,越来越多的公司将从中受益。 结果,它们将从其他公司那里夺取市场份额,从而获得竞争优势。
思科今天提供了这些好处。
参考文献
网络架构-Cisco DNA
软件定义的访问
DevNet:Cisco DNA中心API
SD-WAN解决方案
思科以应用为中心的基础架构
DevNet:以应用程序为中心的基础架构
DevNet:查找ACI所需的所有资源
思科Tetration
思科AppDynamics
AppDynamics API
思科TrustSec
思科身份服务引擎
思科平台交换网格(pxGrid)
网络可见性和执行
思科Stealthwatch Enterprise
思科快速威胁遏制
加密流量分析(ETA)
网络服务协调器(NSO)解决方案
思科DevNet:适用于思科开发人员的API,SDK,沙盒和社区