cis сервера что это
5 причин начать играть на CIS Esports прямо сейчас
Приветствую тебя, дорогой читатель. Если ты открыл этот текст, значит тебя интересно, что такое CIS Esports и почему же именно на этой лиге нужно играть всем, кто хочет стать профессиональным игроком в CS:GO.
Перед разбором причин я вкратце опишу тебе лигу Зевса, как она есть. Это крупнейшая лига в СНГ и во всём мире, если рассматривать платформу FACEIT. Большое количество игроков позволяет играть регулярно, что гарантирует тебе как минимум море фана, а как максимум – призовые деньги и продвижение к цели (при её наличии) стать про игроком в кс го.
Лицо Дани Зевса, когда ты не играешь на CIS Esprots
На CIS Esports тебя ждёт круглосуточная поддержка от лучших админов, профессиональные сервера с низким пингом, а также действующие про игроки, с которыми у тебя будет возможность сыграть (если ты пройдешь в PRO дивизион).
Комфортные условия игры
Лига Зевса (CIS Esports), также известная как CIS лига, позволяет каждому игроку из СНГ раскрыть свой потенциал на максимум благодаря высококачественным серверам с низким пингом. Сервера расположены в разных региональных зонах, что позволяет играть откуда угодно и не испытывать проблем со стабильным соединением.
За сервис на лиге отвечает профессиональная команда поддержки, которой под силу решить любую проблему – как во время матча, так и после его завершения. Отдельно стоит выделить высокую скорость ответа и реакцию на обращения подписчиков лиги.
Лучший античит на рынке
FACEIT Anti-Cheat (FACEIT AC) отлично зарекомендовал себя на профессиональной сцене CS:GO, как и сама соревновательная платформа FACEIT. Крупнейшие турнирные операторы проводят онлайн части своих турниров на той же площадке, на которой работает лига CIS Esports.
Помимо продвинутого античита за честной игрой и соблюдением правил следят команда админов и внутренняя система FACEIT, которая использует механизмы машинного обучения.
Отсутствие языкового барьера
По-настоящему низкий порог вхождения в лигу обеспечен отсутствием языкового барьера. Известно, что коммуникация между игроками – один из ключевых элементов командной работы в CS:GO, поэтому простое и понятное общение на родном языке это лучшие условия для матчей.
Профессиональный рост
Интересное наблюдение, но это факт – в наше время игрокам-одиночкам стало легче пробиться на профессиональную сцену CS:GO, чем сделать это командой. Лига Зевса – это максимально удобный вариант для роста и развития индивидуальной игры и последующего выхода на PRO сцену.
Благодаря уникальным условиям, каждую часть одного сезона сразу несколько игроков получают возможность выйти в FPL и FPL-C, параллельно получая приглашения в PRO дивизион лиги. Помимо этого, лучшие игроки забирают себе львиную долю призового фонда, но об этом читайте уже ниже.
Призовой фонд
Начиная с самого низшего дивизиона лиги у игроков есть возможность монетизировать свой скилл, что само по себе является сильнейшим мотивационным моментом. Представьте себе, что вы получаете возможность забрать призовой фонд среднего онлайн-турнира, не деля его между своими тиммейтами – круто же, правда? Помимо этого, вы постепенно поднимаетесь в дивизионах лиги, а размер призов только увеличивается.
Не каждый молодой игрок может доказать, что его увлечение – это не просто игры за компуктером, но наличие призового фонда, а также возможность стать будущей звездой самого быстрорастущего региона в CS:GO – это веские аргументы в любом конфликте или споре.
Не знаю как ты, читатель, а я, пожалуй, пойду сыграю пару каток на CIS лиге. Одними текстами много не заработать, да и свободное время хочется использовать максимально эффективно – лига Зевса как раз такой вариант. Удачи!
CIS Benchmarks: лучшие практики, гайдлайны и рекомендации по информационной безопасности
Центр интернет-безопасности (CIS) является некоммерческой организацией, которая разрабатывает собственные контрольные показатели и рекомендации, которые позволяют организациям совершенствовать свои программы обеспечения безопасности и соответствия требованиям. Эта инициатива направлена на создание базовых уровней конфигурации безопасности систем, которые обычно встречаются во всех организациях.
Для загрузки доступны несолько десятков гайдлайнов по безопасной настройке различных систем: Windows, Linux, OSX, MySQL, Cisco и многих других: learn.cisecurity.org/benchmarks
В этой статье я рассмотрю «Critical Security Controls Version 6.1» — чеклист проверки безопасности систем.
Критические элементы управления безопасностью
Инвентаризация авторизированных и неавторизованных устройств
Разверните системы автоматического обнаружения устройств и используйте их для создания предварительной инвентаризации систем, подключенных к общедоступным и частной сетям организации. Следует использовать как активные инструменты, которые сканируют диапазоны сетевых адресов IPv4 или IPv6, так и пассивные инструменты, которые идентифицируют хосты на основе анализа их трафика. Используйте сочетание активных и пассивных инструментов и применяйте их в рамках программы непрерывного мониторинга.
Если организация динамически назначает адреса с использованием DHCP, используйте эту информацию для улучшения инвентаризации устройств и обнаружении неизвестных систем.
Убедитесь, что все приобретенное оборудование будет добавлено в инвентаризационные списки.
Ведение списков инвентаризации всех систем, подключенных к сети и самих сетевых устройств, запись по меньшей мере сетевых адресов, имен машин, назначения каждой системы, владельца, ответственного за каждое устройство, и отдела, связанного с каждым устройством.
Инвентаризация должна включать в себя каждую систему с IP-адресом в сети, включая, но не ограничиваясь, АРМ, ноутбуками, серверами, сетевым оборудованием (маршрутизаторы, коммутаторы, брандмауэры и т. д.), принтерами, сетевыми накопителями, IP-телефонами и т. д.
Развертывание проверки уровня сети 802.1x для ограничения и управления подключением устройств к сети. Устройства, использующие 802.1x должны быть привязаны к данным инвентаризации для определения авторизированных или неавторизованных систем.
Используйте сертификаты для проверки подлинности систем перед подключением к частной сети.
Инвентаризация авторизированного и неавторизованного программного обеспечения
Создайте список авторизованного программного обеспечения и версии, которые требуются на предприятии для каждого типа системы, включая серверы, рабочие станции и ноутбуки различного назначения и использования. Этот список должен контролироваться средствами проверки целостности файлов, чтобы подтвердить, что авторизованное программное обеспечение не было изменено. Целостность файла проверяется как часть программы непрерывного мониторинга.
Используйте технологию «белого списка» приложений, которая позволяет системам запускать программное обеспечение только в том случае, если оно включено в белый список и предотвращает выполнение всего другого программного обеспечения в системе. Белый список может быть очень обширным, чтобы пользователи не испытывали неудобств при использовании общего программного обеспечения. Или, для некоторых специальных систем (которые требуют лишь небольшого количества программ для достижения необходимой функциональности бизнеса), белый список может быть довольно узким.
Система инвентаризации программного обеспечения должна отслеживать версию базовой операционной системы, а также приложений, установленных на ней. Системы инвентаризации программного обеспечения должны быть привязаны к инвентаризации оборудования, поэтому все устройства и связанное с ними программное обеспечение отслеживаются из единого источника.
Безопасные конфигурации для аппаратного и программного обеспечения
Установите стандартные безопасные конфигурации ваших операционных систем и программных приложений. (скачать их можно по ссылке в начале статьи).
Отслеживайте конфигурации, создавая безопасные образы установки, которые используются для создания всех новых систем, развернутых на предприятии. Регулярные обновления или исключения для этого образа должны быть интегрированы в процессы управления изменениями организации. Образы должны быть созданы для рабочих станций, серверов и других систем, используемых организацией.
Храните мастер-образы на безопасно настроенных серверах, проверенных с помощью инструментов проверки целостности. В качестве альтернативы, эти образы могут быть сохранены на автономных машинах.
Целостность файлов образов проверяется как часть программы непрерывного мониторинга.
Выполнять все удаленное администрирование серверов, рабочих станций, сетевых устройств и аналогичного оборудования по защищенным каналам. Протоколы, такие как telnet, VNC, RDP или другие, которые не поддерживают шифрование, должны использоваться только в том случае, если они выполняются по вторичному каналу шифрования, например SSL, TLS или IPSEC.
Используйте инструменты проверки целостности файлов, чтобы гарантировать, что критические системные файлы (в том числе чувствительные системные и прикладные исполняемые файлы, библиотеки и конфигурации) не были изменены. Проверки целостности должны идентифицировать подозрительные системные изменения, такие как: права владельца и разрешения на изменения файлов или каталогов; использование альтернативных потоков данных, которые могут быть использованы для скрытия вредоносных действий; и введение дополнительных файлов в ключевые системные области (что может указывать на вредоносную полезную нагрузку, оставленную злоумышленниками или дополнительными файлами, неумышленно добавленными в процессе пакетного распространения).Файловая целостность важных системных файлов проверяется как часть программы непрерывного мониторинга.
Запускайте автоматические инструменты выявления уязвимостей для всех систем в сети на еженедельной или более частой основе и отправляйте приоритетные списки наиболее критических уязвимостей каждому ответственному лицу.
Подпишитесь на рассылки по информации об уязвимостях (security-list, bugtraq), чтобы быть в курсе возникающих рисков и оперативно регагировать. Кроме того, убедитесь, что используемые вами инструменты выявления уязвимостей регулярно обновляются.
Разверните автоматизированные инструменты патч-менеджмента для обновления программного обеспечения для операционной системы и программного обеспечения / приложений на всех системах. Патчи должны применяться ко всем системам, даже автономным.
Использование административных привилегий
Минимизируйте административные привилегии, используйте административные учетные записи, только когда они необходимы. Внедрите целенаправленный аудит по использованию административных привилегированных аккаунтов и контролируйте аномальное поведение.
Используйте автоматические инструменты для инвентаризации всех административных учетных записей и подтвердите, что каждый сотрудник с правами администратора полномочно наделен этими правами в рамках своей деятельности.
Перед развертыванием любых новых устройств в сетевой среде измените все пароли по умолчанию для приложений, операционных систем, маршрутизаторов, брандмауэров, точек беспроводного доступа и других систем.
Настройте системы журналирования и предупреждения, в случае когда учетная запись добавлена или удалена из группы администраторов домена или когда в систему добавлена новая учетная запись локального администратора.
Настройте системы журналирования и предупреждения о любом неуспешном входе в административную учетную запись.
Используйте многофакторную аутентификацию для всего административного доступа, включая доступ к администратору домена. Многофакторная аутентификация может включать в себя множество методов, включая использование смарт-карт, сертификатов, токенов, биометрических данных или других подобных методов аутентификации.
Администраторы должны использовать выделенный компьютер для всех административных задач или задач, требующих повышенного доступа. Эта машина должна быть изолирована от основной сети организации и не иметь доступа к Интернету. Эта машина не должна использоваться для чтения электронной почты, составления документов или серфинга в Интернете.
Обслуживание, мониторинг и анализ журналов аудита
Включите как минимум два синхронизированных источника времени, из которых все серверы и сетевое оборудование регулярно должны получать информацию о времени, для того чтобы метки времени в журналах были согласованы.
Подтвердите параметры журнала аудита для каждого аппаратного устройства и установленного на нем программного обеспечения, чтобы журналы включали дату, временную метку, исходные адреса, адреса назначения и любую другую системную информацию. Системы должны записывать журналы в стандартизованном формате, таком как записи системного журнала или те, которые описаны в инициативе Common Expression (на сайте CIS). Если системы не могут генерировать журналы в стандартизованном формате, необходимо использовать инструменты нормализации и преобразования журналов в такой формат.
Убедитесь, что все системы, в которых хранятся журналы, имеют достаточное место для хранения журналов. Журналы должны архивироваться и подписываться цифровой подписью на периодической основе.
Настройте сетевые пограничные устройства, в том числе брандмауэры, сетевые IPS, входящие и исходящие прокси, чтобы достаточно подробно зарегистрировать весь трафик (как разрешенный, так и заблокированный).
Разверните SIEM (Security Information and Event Management) и для агрегации и консолидации журналов с нескольких компьютеров и для корреляции и анализа журналов. Используя инструмент SIEM, системные администраторы и сотрудники службы безопасности должны разрабатывать профили общих событий из заданных систем, для настройки обнаружения аномалий.
Защита электронной почты и веб-браузера
Убедитесь, что в организации разрешено использовать только полностью поддерживаемые веб-браузеры и почтовые клиенты, в идеале — только самую последнюю версию браузеров,, чтобы использовать последние функции безопасности и исправления.
Удалите или отключите любые ненужные или несанкционированные браузеры или почтовые клиентские плагины/приложения.
Ограничьте использование ненужных языков сценариев во всех веб-браузерах и почтовых клиентах. Это включает использование таких языков, как ActiveX и JavaScript, в системах, где нет необходимости поддерживать такие возможности.
Организация должна поддерживать и применять сетевые фильтры URL-адресов, которые ограничивают способность системы подключаться к веб-сайтам, не утвержденным организацией. Организация должна подписаться на службы категоризации (блэк-листинг) URL-адресов, чтобы обеспечить их актуальность с использованием последних определений категорий веб-сайтов. Некатегоризированные сайты блокируются по умолчанию. Эта фильтрация должна применяться для каждой из систем организации.
Чтобы снизить вероятность подмену сообщений электронной почты, внедрите SPF.
Включите фильтрацию содержимого электронной почты и фильтрацию веб-контента. Y
Защита от вредоносных программ
Используйте автоматизированные инструменты для постоянного мониторинга рабочих станций, серверов и мобильных устройств с помощью антивирусных программ, брандмауэров и IPS. Все события обнаружения вредоносных программ должны быть отправлены на серверные средства администрирования антивирусной защиты и серверы журналов событий.
Используйте программное обеспечение для защиты от вредоносных программ, которое предлагает централизованную инфраструктуру, которая собирает информацию о репутации файлов. После применения обновления автоматизированные системы должны проверить, что каждая система получила обновление.
Настройте ноутбуки, рабочие станции и серверы, чтобы они не могли автоматически запускать контент со съемных носителей, таких как USB-флешки, жесткие диски USB, CD / DVD-диски, устройства FireWire и смонтированные сетевые ресурсы. Настройте системы так, чтобы они автоматически проводили сканирование съемных носителей.
Используйте сетевые средства защиты от вредоносных программ, чтобы идентифицировать исполняемые файлы во всем сетевом трафике и использовать методы, отличные от обнаружения на основе сигнатур, для выявления и отфильтровывания вредоносного контента до того, как он достигнет конечной точки — применяйте превентивные меры защиты.
Ограничение и контроль сетевых портов
Убедитесь, что в каждой системе работают только порты, протоколы и службы с необходимыми бизнес-потребностями.
Выполняйте автоматическое сканирование портов на регулярной основе по всем ключевым серверам. Если обнаружено изменение, которое не указано в утвержденной профиле сервера организации, необходимо создать предупреждение проверить порт.
Разместите брандмауэры приложений перед любыми критическими серверами для проверки трафика, идущего на сервер. Любые несанкционированные попытки доступа или трафик должны быть заблокированы и и предупреждение.
Возможность восстановления данных
Убедитесь, что для каждой системы автоматически создается регламентная резервная копия, а для систем, хранящих конфиденциальную информацию это делается еще чаще.
Чтобы обеспечить возможность быстрого восстановления системы из резервной копии, операционная система, прикладное программное обеспечение и данные на АРМ должны быть включены в общую процедуру резервного копирования. Эти три компонента системы не обязательно должны быть включены в один и тот же файл резервной копии или использовать одно и то же программное обеспечение для резервного копирования. С течением времени должно быть несколько резервных копий, так что в случае заражения вредоносными программами восстановление может осуществляться из версии, которая предшествует первоначальной инфекции. Все политики резервного копирования должны соответствовать нормативным или официальным требованиям.
Убедитесь, что резервные копии надежно защищены с помощью физической безопасности или шифрования при их сохранении, а также при перемещении по сети. Сюда входят удаленные резервные копии и облачные сервисы.
Защищенные конфигурации для сетевых устройств
Сравните конфигурацию брандмауэра, маршрутизатора или коммутатора со стандартными безопасными конфигурациями, определенными для каждого типа сетевого устройства, используемого в организации. Конфигурация безопасности таких устройств должна быть документирована, проверена и одобрена службой ИТ/ИБ. Любые отклонения от стандартной конфигурации или обновления стандартной конфигурации должны быть задокументированы и одобрены в системе управления изменениями.
Все новые правила конфигурации, помимо базовой настройки, которые позволяют трафику проходить через устройства сетевой безопасности, такие как брандмауэры и сетевые IPS, должны быть задокументированы и записаны в системе управления конфигурацией с конкретной бизнес-причиной для каждого изменения и лицом, ответственным за бизнес-потребность.
Используйте автоматические инструменты для проверки стандартных конфигураций устройств и обнаружения изменений. Все изменения в таких файлах должны регистрироваться и автоматически сообщаться сотрудникам службы безопасности.
Установите последнюю стабильную версию любых связанных с безопасностью обновлений на всех сетевых устройствах.
Сетевые инженеры должны использовать выделенный компьютер для всех административных задач или задач, требующих повышенного доступа. Эта машина должна быть изолирована от основной сети организации и не иметь доступа к Интернету. Эта машина не должна использоваться для чтения электронной почты, составления документов или серфинга в Интернете.
Разверните сетевые агенты IDS в DMZ-системах и сетях, которые выявят аномалии и обнаружат компрометацию этих систем. Они могут обнаруживать атаки посредством использования сигнатур, анализа поведения или других механизмов для анализа трафика.
Защита данных
Выполните оценку данных для идентификации конфиденциальной информации, требующей применения средств шифрования и целостности.
Разверните утвержденное программное обеспечение для шифрования жесткого диска для устройств и систем, содержащих конфиденциальные данные.
Используйте сетевые решения DLP для мониторинга и управления потоком данных в пределах сети. Любые аномалии, которые превышают обычные модели трафика следует отметить и принять соответствующие меры по их устранению.
Application Centric Infrastructure. Архитектура сети будущего — от рассуждений к делу
Последние несколько лет Cisco активно продвигает новую архитектуру построения сети передачи данных в ЦОД — Application Centric Infrastructure (или ACI). Некоторые с ней уже знакомы. А кто-то даже успел внедрить её на своих предприятиях, в том числе и в России. Однако для большинства ИТ-специалистов и ИТ-руководителей ACI пока является либо непонятной аббревиатурой, либо всего лишь рассуждением о будущем.
В этой статье мы постараемся это будущее приблизить. Для этого мы расскажем об основных архитектурных компонентах ACI, а также проиллюстрируем способ её применения на практике. Кроме того, в ближайшее время мы организуем наглядную демонстрацию работы ACI, на которую может записаться каждый заинтересованный ИТ-специалист.
Узнать больше про новую архитектуру построения сети можно будет в Санкт-Петербурге в мае 2019 года. Все подробности – по ссылке. Записывайтесь!
Предыстория
Раньше, когда информационные технологии были своего рода необходимым (и, честно скажем, не всегда желанным) придатком к бизнесу, данная модель была удобна, весьма статична и надёжна. Однако сейчас, когда ИТ являются одним из драйверов развития бизнеса, а во многих случаях и самим бизнесом, статичность данной модели стала вызывать большие проблемы.
Современный бизнес генерирует большое количество различных сложных требований к сетевой инфраструктуре. От сроков реализации этих требований напрямую зависит успешность бизнеса. Промедление в таких условиях недопустимо, а классическая модель построения сети зачастую не позволяет своевременно удовлетворять все бизнес-потребности.
К примеру, появление нового сложного бизнес-приложения предполагает совершение сетевыми администраторами большого количества однотипных рутинных операций на большом количестве разных сетевых устройств на разных уровнях. Кроме того, что это занимает много времени, это ещё и повышает риск допустить ошибку, которая может привеcти к серьезному простою ИТ-услуг и, как результат, к финансовому ущербу.
Корнем проблемы являются даже не сами сроки или сложность требований. Дело в том, что эти требования необходимо «переводить» с языка бизнес-приложений на язык сетевой инфраструктуры. Как известно, любой перевод — это всегда частичная потеря смысла. Когда владелец приложения говорит о логике работы своего приложения, сетевой администратор понимает набор VLAN-ов, Access list—ов на десятках устройств, которые нужно поддерживать, актуализировать и документировать.
Накопленный опыт и постоянное общение с заказчиками позволило Cisco спроектировать и внедрить новые принципы построения сети передачи данных центра обработки данных, которые отвечают современным тенденциям и основываются, в первую очередь, на логике бизнес-приложений. Отсюда и название — Application Centric Infrastructure.
Архитектура ACI
Архитектуру ACI наиболее правильно рассматривать не с физической стороны, а с логической. Она основана на модели автоматизированных политик, объекты которых на верхнем уровне можно разделить на следующие компоненты:
Рассмотрим каждый уровень более подробно – при этом мы будем переходить от простого к сложному.
Сеть на базе коммутаторов Nexus
Сеть в ACI-фабрике похожа на традиционную иерархическую модель, но строится значительно проще. Для организации сети используется модель Leaf-Spine, которая стала общепринятым подходом для реализации сетей нового поколения. Данная модель состоит из двух уровней: Spine и Leaf, соответственно.
Уровень Spine отвечает только за производительность. Суммарная производительность Spine-коммутаторов равна производительности всей фабрики, поэтому на этом уровне следует использовать коммутаторы с портами 40G или выше.
Spine-коммутаторы соединяются со всеми коммутаторами следующего уровня: Leaf-коммутаторами, к которым подключаются конечные хосты. Основная роль Leaf-коммутаторов – портовая емкость.
Таким образом, легко решаются вопросы масштабирования: если нам требуется увеличить пропускную способность фабрики, мы добавляем Spine-коммутаторы, а если нам требуется увеличить портовую ёмкость – Leaf.
Для обоих уровней используются коммутаторы серии Cisco Nexus 9000, которые для Cisco являются основным инструментом для построения сетей ЦОД независимо от их архитектуры. Для уровня Spine используются коммутаторы Nexus 9300 или Nexus 9500, а для Leaf только Nexus 9300.
Модельный ряд коммутаторов Nexus, которые используются в ACI фабрике, приведён на рисунке ниже.
Кластер контроллеров APIC (Application Policy Infrastructure Controller)
APIC-контроллеры представляют из себя специализированные физические серверы, при этом для небольших внедрений допускается использовать кластер из одного физического APIC контроллера и двух виртуальных.
Контроллеры APIC осуществляют функции управления и мониторинга. Важно то, что контроллеры никогда не участвуют в передаче данных, то есть, если даже все контроллеры кластера выйдут из строя, то на стабильность работы сети это абсолютно не повлияет. Также необходимо отметить, что с помощью APIC-ов администратор управляет абсолютно всеми физическими и логическими ресурсами фабрики, и для того, чтобы внести какие-либо изменения, не требуется больше подключаться к тому или иному устройству, поскольку в ACI используется единая точка управления.
Теперь перейдем к одному из главных компонентов ACI – профилям приложений.
Профиль приложения (Application Network Profile) – это логическая основа ACI. Именно профили приложений определяют политики взаимодействия между всеми сетевыми сегментами и описывают непосредственно сами сетевые сегменты. ANP позволяет абстрагироваться от физического уровня и, по сути, представить, как нужно организовать взаимодействие между различными сегментами сети с точки зрения приложения.
Профиль приложения состоит из групп подключений (End-point groups – EPG). Группа подключений – это логическая группа хостов (виртуальных машин, физических серверов, контейнеров и т.п.), которые находятся в одном сегменте безопасности (не сети, а именно безопасности). Конечные хосты, которые относятся к той или иной EPG, могут определяться большим количеством критериев. Обычно используются следующие:
На рисунке ниже описан пример настройки связи различных EPG через контракты в рамках одного ANP.
Профилей приложений в рамках ACI-фабрики может быть любое количество. Кроме того, контракты не привязаны к конкретному профилю приложения, их можно (и нужно) использовать для соединения EPG в разных ANP.
По сути, каждое приложение, для которого в том или ином виде нужна сеть, описывается собственным профилем. К примеру, на схеме выше приведена стандартная архитектура трёхзвенного приложения, состоящего из N-ного количества серверов внешнего доступа (Web), серверов приложений (App) и серверов СУБД (DB), а также описаны правила взаимодействия между ними. В традиционной сетевой инфраструктуре это был бы набор правил, прописанных на различных устройствах в инфраструктуре. В архитектуре ACI мы описываем эти правила в рамках одного профиля приложения. ACI с помощью профиля приложения позволяет значительно упростить создание большого количества настроек на различных устройствах, сгруппировав их все в единый профиль.
На рисунке ниже показан более жизненный пример. Профиль приложения Microsoft Exchange, выполненный из нескольких EPG и контрактов.
Центральное управление, автоматизация и мониторинг – одна из ключевых преимуществ ACI. ACI фабрика избавляет администраторов от рутинной работы по созданию большого количества правил на различных коммутаторах, маршрутизаторах и межсетевых экранах (при этом классический ручной метод настройки разрешен и может быть использован). Настройки профилей приложений и других объектов ACI автоматически применяются по всей ACI фабрике. Даже при физическом переключении серверов в другие порты коммутаторов фабрики не потребуется дублировать настройки со старых коммутаторов на новые и зачищать ненужные правила. Исходя из критериев принадлежности хоста к EPG, фабрика выполнит эти настройки автоматически и автоматически очистит неиспользуемые правила.
Интегрированные политики безопасности ACI реализованы по принципу белых списков, то есть то, что явно не разрешено, по умолчанию запрещено. В совокупности с автоматической актуализацией конфигураций сетевого оборудования (удаление «забытых» неиспользуемых правил и разрешений) этот подход значительно повышает общий уровень безопасности сети и сужает поверхность потенциальной атаки.
ACI позволяет организовывать сетевое взаимодействие не только виртуальных машин и контейнеров, но и физических серверов, аппаратных МСЭ и сетевого оборудования сторонних производителей, что делает ACI уникальным на текущий момент решением.
Новый подход компании Cisco к построению сети передачи данных на базе логики приложений — это не только автоматизация, безопасность и централизованное управление. Это ещё и современная горизонтально масштабируемая сеть, отвечающая всем требованиям современного бизнеса.
Реализация сетевой инфраструктуры на базе ACI позволяет всем подразделениям предприятия разговаривать на одном языке. Администратор руководствуется только логикой работы приложения, в котором описаны требуемые правила и связи. Также, как и логикой работы приложения руководствуются владельцы и разработчики приложения, служба информационной безопасности, экономисты и владельцы бизнеса.
Таким образом, компания Cisco на практике реализует концепцию сети центра обработки данных нового поколения. Хотите убедиться в этом сами? Приходите на демонстрацию Application Centric Infrastructure в Санкт-Петербурге и поработайте с сетью ЦОД-а будущего уже сейчас.
Записаться на мероприятие можно по ссылке.