Чуть больше года назад в мой кабинет зашел один из ведущих разработчиков Cisco Дэвид Макгрю (David McGrew) с рассказом о проекте, над которым он тогда работал. Следующие 45 минут оставили в моей памяти, можно сказать, неизгладимый след.
Ему и его команде удалось найти способ решения одной из основных проблем сетевой безопасности: они изобрели технологию, способную обнаруживать вредоносные программы в зашифрованном трафике. Мало того, в ходе тестирования они добивались точности 99,99%, не расшифровывая при этом никакой информации. Тот факт, что не требуется расшифровка, означает, что их подход не нарушает конфиденциальности.
И только когда Дэвид на примере больших массивов сетевых данных, полученных из трафика Cisco, подробно объяснил мне принцип действия изобретенных его группой алгоритмов машинного обучения, рассказал, каким образом происходит идентификация множества характеристик зашифрованного трафика, используемых для распознавания вредоноснвх программ, я понял, что они решили нерешаемую задачу. Я считал это невозможным, однако небольшая группа научных сотрудников, занимавшихся изучением данных, доказала обратное. На этом отраслевую дискуссию на тему «безопасность или конфиденциальность» можно считать закрытой.
Переосмысление сети нового поколения
Сегодня мы представляем ту самую технологию продвинутого анализа угроз Enhanced Threat Analytics (ETA). Но это не единственная инновация. На самом деле, ETA — часть того, что мы назвали «интуитивной сетью», интенционно-ориентированной сетевой инфраструктурой нового поколения.
Представляемые этим летом программные и аппаратные инновации, в основе которых лежит архитектура Cisco Digital Network Architecture (Cisco DNA), стали итогом работы тысяч инженеров. Перед нами самая значительная разработка Cisco, созданная за последнее десятилетие.
Этот момент в истории Cisco мы рассматриваем как новую отправную точку в развитии сетей. Сегодня это важно как никогда, и Cisco предлагает сетевую платформу для цифрового бизнеса — безопасную интуитивную сеть, которая руководствуется намерениями, получает информацию из контекста и обучается.
В течение двух лет не прошло и дня, чтобы мы не работали над этой сетью, воплощая в реальность то, что требуется нашим заказчикам.
Мы понимали, что сеть — критичный фактор будущего, но, учитывая взрывной рост числа устройств, появление облачных технологий и разрастание мобильной связи, мы не могли не поставить под сомнение эффективность сегодняшних методик построения сетей и управления ими в новом мире.
Мы знали, что наши заказчики тратят слишком много времени и денег на эксплуатацию своих сетей, и что их инфраструктуры не обладают достаточной гибкостью.
И всегда стоял вопрос безопасности. IP-сети дали нам возможность подключить весь мир, но мы не предполагали, что этой возможностью воспользуются злоумышленники, чтобы атаковать нас.
Все вышеперечисленное привело к основополагающему выводу: необходимо радикально переосмыслить то, как мы строим корпоративные сети IP-доступа и кампусные сети.
У нас уже были две серьезные разработки, необходимые для решения поставленной задачи: интенционно-ориентированная инфраструктура и центр управления для корпоративных сетей — DNA Center.
Создание интуитивной сети
Интуитивная сеть начинается с безопасной интенционно-ориентированной инфраструктуры, куда входит практически вся IP-инфраструктура, включая коммутаторы, маршрутизаторы, точки беспроводного доступа, которая обеспечивает связь и маршрутизирует потоки трафика от устройств (ПК, планшеты, телефоны, видеоэкраны, IoT) в пределах предприятия и дальше в интернет.
Первая IP-сеть заработала каких-то 30 лет назад, соединив два отдела одной лаборатории. Сегодня сети предприятий насчитывают десятки тысяч устройств. При этом большинство из них для управления всей этой многокомпонентной структурой располагает лишь относительно примитивными средствами. Процесс требует больших затрат и способен затормозить течение бизнеса.
Беспроводная сеть отделена от проводной сети, которая, в свою очередь, отделена от территориальной сети (WAN). При этом процессы управления и конфигурирования этих сетей не связаны друг с другом, к тому же все они могут иметь различные интерфейсы, наборы команд и конфигурационные модели. Хуже того, обычно все устройства обрабатываются поочередно, одно за другим.
Представляя интуитивную сеть, мы предлагаем абсолютно новый подход, который устраняет значительную долю сложности, накопленной за прошедшие 30 лет.
Теперь у нас есть одна унифицированная система, охватывающая всю корпоративную сеть доступа и обслуживающая все типы устройств. Она действует как единая платформа, которая руководствуется намерениями (интенциями). Эта интенционно-ориентированная сеть является программируемой и интегрированной, что позволяет ее автоматизировать. Кроме того, средства обеспечения безопасности уже встроены в сеть, что позволяет обнаруживать угрозы и автоматизировать ответные действия, защищая предприятия от изощренных угроз.
В состав упомянутой унифицированной системы входит наша сетевая операционная система IOS. За прошедшие два года она была полностью перестроена с учетом потребностей цифровой эры. Современная IOS управляется с помощью интерфейсов прикладного программирования API, это открытая, программируемая, модульная система, обладающая всеми качествами, необходимыми для современного программного стека.
Это дает заказчикам возможность расширять операционную систему, упрощает ее интеграцию с другими системами и позволяет компоновать ее в соответствии с потребностями нашим заказчиков. IOS будет функционировать на всех корпоративных линейках коммутации, маршрутизации и беспроводной связи как в действующих, так и в новых инфраструктурах. Весь наработанный за 30 лет функционал обновлен с учетом перспектив, чтобы поддерживать интенционно-ориентированные сети в течение следующих 30 лет.
Хотя наша интенционно-ориентированная ОС IOS может устанавливаться на действующем оборудовании при трансформации уже развернутых сетей, мы выпустили новую линейку отмеченных множеством наград кампусных коммутаторов Catalyst 9000. Это самые продвинутые корпоративные коммутаторы в мире. Отметим некоторые преимущества.
- Программируемость. Высокопроизводительные программируемые ИС (ASIC), адаптирующиеся к будущим инновациям — новое слово в микроэлектронике.
- Поддержка ETA. Сеть способна обнаруживать и блокировать самые изощренные кибератаки.
- Поддержка интернета вещей. Мгновенное обнаружение, адаптация и автоматическое сегментирование IoT-трафика. Включает функционал автоматической настройки защиты — разделение трафика IoT-устройств и остального трафика.
- Поддержка мобильной связи. Возможно размещение контроллера беспроводной связи, предусмотрена поддержка таких новых стандартов беспроводной связи, как 802.11ax.
- Поддержка облачных вычислений. Эти платформы разрабатывались с учетом возможности расширения и открытого программирования. Встроенный комплекс на базе процессора x86 предусматривает выполнение сторонних приложений, т. е. заказчики могут реализовывать свои приложения в контейнерах или на виртуальных машинах.
Наряду с разработкой и построением интенционно-ориентированной инфраструктуры мы создали центр управления интуитивной сетью — DNA-Center. Именно здесь определяются намерения, которые затем превращаются в политики, и после сеть автоматически конфигурируется для реализации намерений.
Этот процесс выполняется на сотнях и тысячах отдельных коммутаторов, маршрутизаторов и точек беспроводного доступа, составляющих сеть доступа предприятия. Если раньше каждую часть сети требовалось конфигурировать вручную, зачастую последовательно, устройство за устройством, сейчас у нас будет централизованный локальный или облачный (в зависимости от требований заказчика) пункт управления для определения бизнес-намерений, при этом вся сеть будет функционировать как единое целое для реализации созданной политики.
DNA-Center — еще и аналитическая платформа, получающая от сети в ходе ее функционирования контекстные данные. Теперь все ранее разбросанные по тысячам отдельных коммутаторов, маршрутизаторов и точек беспроводного доступа данные в реальном времени отправляются на DNA-Center, помогая лучше понять функционирование предприятия и постоянно обучаться для решения комплексных бизнес-проблем.
Такой замкнутый цикл определения намерений, сбора контекста, обучения и реализации нового намерения на базе полученной аналитической информации и есть интенционно-ориентированное сетевое взаимодействие. Сочетание интенционно-ориентированной, защищенной инфраструктуры Cisco с централизованным пунктом определения политик, сбора контекста и обучения DNA-Center определит новый подход к построению корпоративных сетей.
Это Сеть с большой буквы. Интуитивная сеть.