SECURE CONTENTMANAGEMENT

SOLUTION OVERVIEW

CISCO APPLICATION AND CONTENT NETWORKING SYSTEM

COME CONTENT SECURITY SOLUTION

COSA SIGNIFICA SECURE CONTENT MANAGEMENT

Introduzione

L’integrazione dei servizi viene oggi indirizzata non solo sulla

base delle reti di trasporto IP ma anche mediante un’unica

interfaccia applicativa di accesso ai contenuti ed alle

informazioni. Per esempio molti dei servizi che oggi trovano

posto in Internet o Intranet vengono ormai trasportati

attraverso il ben conosciuto protocollo HTTP.

Quello che ne consegue, in termini di sicurezza informatica, è la

necessità di affiancare ai tradizionali e consolidati sistemi di

controllo, quali Firewall ed Intrusion Detection Systems,

altrettanti sofisticati strumenti orientati al contenuto

informativo (Figura 1).

L’esigenza di aumentare il livello di controllo sui contenuti

nasce quindi dal fatto che le minacce si evolvono sulle base

delle reazioni di chi vuole contrastarle.

In ambito di sicurezza informatica un ambiente, inteso come

l’insieme di utenti/operatori, applicazioni e banche dati, eredita

il livello di vulnerabilità della componente più debole.

Ad oggi l’elemento debole e minacciato della catena pare essere

(è) sempre più il livello applicativo. Ne consegue dunque

l’esigenza di identificare, rafforzare e raffinare gli strumenti di

controllo e protezione che operano a tale livello.

Minacce

Diverse sono le tipologie di minaccia in cui un ambiente

applicativo potrebbe incorrere:

• Utilizzo incontrollato e malizioso di applicazioni Web, Instant

Messaging (IM), comunicazioni peer-to-peer (P2P), ed

applicativi web-email;

• Codici Spyware;

• Produttività del dipendente e non corretto utilizzo delle

proprietà intellettuali;

• Nuove categorie di virus che sfruttano diverse debolezze

utilizzando sistemi di attacco ibridi e multiaccesso (es. email,

file transfer e Web browser) viaggiando sul così definito

“canale web”;

• Responsabilità legali di diverso tipo dovute a

sharing/downloading incontrollato da parte dei dipendenti

(es. scaricamento di musica, film, software sotto copyright).

Associazioni come la Recording Industry Association of

America (RIAA) e la Motion Picture Association of America

(MPAA) dichiarano che una compagnia è legalmente

perseguibile se gli impiegati utilizzano le risorse aziendali per

scaricare, mantenere o distribuire illegalmente film, video e

musica;

• E-mail spam, non solo come elemento di disturbo ma anche

come potenziale responsabilità legale e di riduzione della

produttività. Basti considerare che solo in 12 mesi la

percentuale di crescita del traffico spam ricevuta da numerose

aziende è stata del 50.100% (IDC security research 2003).

SCOPO DEL DOCUMENTO

Lo scopo è illustrare la tematica del Secure

Content Management nelle sue principali

componenti e l’importante contributo delle

soluzioni e architetture Cisco Systems per

risolvere le crescenti esigenze dei Clienti in

quest’area. Il documento parte dalla

definizione dei concetti chiave sul piano

funzionale, per poi esemplificare alcuni

tipici scenari di utilizzo e descrivere le

caratteristiche dell’ampio ed avanzato

portafoglio di soluzioni Cisco per il Secure

Content Management.

Figura 1 – l’HTTP trasporta sempre più applicazioni differenti

2

Strumenti

Gli strumenti in questo ambito sono classificabili in quattro

categorie:

• Antivirus;

• Web Security e filtering avanzato;

• Malicious Code Defense;

• Messaging security e filtering (E-mail, IM e P2P).

Come facilmente deducibile ciascuno di questi sistemi è

specializzato per singola tipologia di attacco e minaccia.

Inoltre, al di là degli aspetti inerenti le prestazioni, la scalabilità

e l’efficienza, tali strumenti dovranno risultare:

• semplici da utilizzare;

• flessibili nella gestione delle policy;

• facilmente integrabili all’interno di una architettura di rete.

Mentre i primi due requisiti possono essere facilmente rispettati

dai produttori di tecnologie operanti sulle piattaforme software

del singolo strumento; più difficile è il disegno e

l’implementazione architetturale di una soluzione che sia

completa ed al contempo altamente performante perché

integrata su hardware dedicati.

Definizione

L’orientamento del mercato è quindi quello di recepire una

soluzione o prodotto che sia in grado di presentare un ambiente

unico di gestione ed applicazione delle politiche di sicurezza

inerenti diverse tipologie di traffico, contenuti, utenti e

protezioni (es. web, messaging, email, ecc.).

Integrando tutti gli elementi in un’unica soluzione si può quindi

garantire il policy-based management di diverse tipologie di

traffico, contenuti e protezioni (Web content, messaging

control/filtering, virus protection, downloadable/spyware

application execution), sia in ottica centralizzata sia in ottica

distribuita.

Le soluzioni di Secure Content Management (SCM) sono quindi

a tutti gli effetti definite come il superset di quanto sin qui

descritto (Figura 2).

SECURE CONTENT MANAGEMENT SU APPLIANCE

DEDICATE

Come abbiamo visto l’evoluzione dei sistemi SCM è rivolta

verso l’integrazione di diverse funzioni e funzionalità.

I singoli sistemi antivirus, antispam e content filtering sono

specializzati per tipologia di contenuto, analisi e minaccia;

malgrado questo spesso vanno in sovrapposizione tra loro (es.

sia antispam sia antivirus controllano le email, sia content filter

sia antispam controllano web-email e popup’s).

In un’architettura di rete dove il controllo dei contenuti viene

effettuato da differenti piattaforme, ognuna indipendente dalle

altre, si rischia quindi che i dati siano sottoposti a ripetuti

controlli ed analisi ridondanti tra loro. Quello che ne consegue

non è solamente il degrado delle prestazioni del servizio offerto

ma anche la difficoltà di correlazione dei dati di report generati

da ogni singolo strumento.

La soluzione a questo problema di gestione ed efficienza è

ricercata nell’introduzione di una singola piattaforma in grado

di integrare o interoperare con sistemi specializzati quali

content filtering, content inspection, scanning e bandwidth

management, non solo per controllare la loro attività ma anche

per accentrare il controllo delle policy, dei profili d’utente, dei

log e della reportistica.

Integrare le funzioni all’interno di un singolo prodotto (es.

terminazione delle sessioni e rigenerazione, content filtering,

bandwidth management, AAA) e sviluppare protocolli di

interazione e disintermediazione1 intelligenti con cui sistemi

integrati differenti rispondenti a diverse macrofunzioni possano

interoperare (es. tutte le operazioni di scanning, tutte le

operazioni di filtering e bandwidth management) porta ad

indubbi vantaggi di prestazioni, gestibilità, riduzione dei tempi

di messa in esercizio, errori di configurazione e correlazione dei

dati per la costituzione dei report. In particolare tra i protocolli

di integrazione e disintermediazione il più flessibile ed

intelligente è l’Internet Content Adaptation Protocol.

ICAP è un open protocol disegnato specificatamente per

eseguire in modo ottimizzato la disintermediazione di

particolari operazioni di analisi, adattamento e trasformazione

di contenuti Internet-based partendo da un particolare device

3

Figura 2 - Definizione di SCM

1 Capacità d’interpretare ed estrarre dal flusso informativo alcune informazioni chiave inoltrandole trasparentemente, rispetto al richiedente iniziale(client), ad altri processi, tipicamente esterni, che le utilizzeranno e risponderanno in funzione delle loro caratteristiche.

(ICAP client) verso una serie di servizi distribuiti su altri sistemi

dedicati (ICAP server). Questo processo di distribuzione verso

servizi specializzati (es. scanner, filter), utilizzando un

protocollo standard di comunicazione, porta ad un indubbio

guadagno di efficienza e scalabilità nell’allocazione delle risorse,

della banda e della configurazione dei sistemi; incrementando al

contempo le funzionalità dei servizi di controllo che si desidera

mettere in campo.

In particolare gli ICAP server e client creano peering attraverso

semplici sessioni TCP (una sola sessione tra client e server per

tutte le richieste). Su tali sessioni viaggiano particolari remote

procedure call (es. REQMOD pre-cache request modification

service per attuare URL filtering o RESPMOD post-cache

response modification service per anti-virus scanning) al cui

interno vengono passate tutte le informazioni utili

all’elaborazione della sessione in analisi come URL, tipo,

estensione, user, gruppo (content vectoring).

La soluzione Cisco si prefigura quindi come ICAP client

compatibile e certificato con numerosi ICAP server sia in

ambito virus scanning (Finjan, TrendMicro, Symantec) sia in

ambito content filtering (WebWasher, SurfControl, Optenet).

In particolare nell’implementazione di Cisco viene permessa la

definizione di diversi servizi ICAP (es. virus-scanning) al cui

interno possono essere associati più ICAP server differenti.

Il sistema Cisco eseguirà quindi non solo content vectoring ma

anche controllo della disponibilità e load-balancing verso i

differenti server garantendo quindi alta scalabilità ed

affidabilità, resilienza e tolleranza ai guasti (Figura 3).

L’EVOLUZIONE DEL PROXY

Un servizio proxy (Figura 4) lavora come un

disintermediatore, ponendosi a cavallo della

sessione tra client e server, apparendo come il

client per il server ed il server per il client.

Il sistema quindi termina completamente la

sessione (del client), prima di ricrearne una

completamente nuova per l’eventuale

destinatario (server).

Esistono principalmente due tipologie di

proxy:

• In-Line: Il client punta direttamente al

proxy per i diversi servizi e canali di

comunicazione;

• Transparent: Il client non è a conoscenza

dell’esistenza del proxy. Il proxy riceve i flussi in modo

indiretto dagli apparati di rete che intercettano e ridirigono.

Deve quindi esistere un protocollo intelligente che mantenga

la relazione tra proxy e gli apparati di rete (es. Web Cache

Communication Protocol, WCCP).

Il principio di funzionamento del proxy è molto importante

poiché garantisce la possibilità di prendere delle decisioni basate

su quello che vede e cioè utilizzando informazioni di livello

applicativo.

Un sistema di questo tipo può quindi facilmente evolvere

introducendo nel flusso di terminazione e rigenerazione diverse

tipologie di servizi d’ispezione e successive azioni di filtering.

Figura 4 – Il Proxy

4

Figura 3 - ICAP e ACNS

In pratica i diversi moduli di ispezione che si focalizzano sui

canali di comunicazione individuali (es. Web, e-mail) vengono

integrati all’interno del proxy generico permettendo il

parallelismo dell’elaborazione sui diversi canali facendo leva

sulla funzione di terminazione e rigenerazione di sessione tipica

del proxy. In aggiunta, dato dal suo principio di

funzionamento, il proxy ha altri benefici come correggere i

pacchetti malformati, gestire la parte di autenticazione

dell’utente, discriminare applicazioni od informazioni

applicative differenti anche su stesso traffico di trasporto (es.

SAP è diverso dal traffico Web-email ma entrambe possono

essere trasportati su HTTP) imponendo poi particolari policy

(es. tagging della qualità del servizio).

Per tutte queste ragioni, l’essere un proxy multiservizio

(es. HTTP/S, FTP, streaming, DNS) è una caratteristica

favorevole ed importante per evolvere facilmente in una

soluzione di Secure Content Management.

APPLIANCE DEDICATE

Un’altra importante e favorevole caratteristica orientata alle

piattaforme SCM è quella di essere basata su di un’appliance

dedicata.

L’architettura appliance offre innumerevoli benefici:

• Personalizzazione dell’hardware e dell’associato sistema

operativo, garantendo un hardening contro qualsiasi tipo di

rischio;

• Il miglior supporto di tutti i servizi che dovranno essere

implementati e gestiti proprio in funzione del punto

precedente;

• Tutti i servizi aggiuntivi (filtering, scanning, protocolli

specifici di integrazione) precaricati sul sistema che diventa

quindi una soluzione self-contained e plug-and-play;

• Prestazioni elevate poiché il sistema è nato, sviluppato ed

ottimizzato per fare specifiche funzioni;

• Gestibilità, flessibilità e facilità nella configurazione;

• Scalabilità (orizzontale e verticale);

• Integrazione con la rete.

Non a caso soluzioni basate su appliance dedicate hanno

riscontrato successo anche in altri ambiti della sicurezza come i

Network IDS, i concentratori VPN e gli stessi Firewall.

Un elemento fondamentale nell’ambito di architetture SCM è

quello dell’interpretazione di “appropriato” quando si parla di

contenuti su canali di comunicazione e servizi Web. Per questo

motivo uno degli elementi principali è che il sistema offra

flessibilità e sia personalizzabile alle esigenze di ciascun

particolare utente. Un appliance dedicata consente questo tipo

di approccio perché, seppur “chiusa” dal punto di vista

sistemico, fornendo quindi la base solida di partenza comune

per tutte le organizzazioni, è dall’altra parte flessibile e

personalizzabile per le diverse policy in funzione di gruppi o dei

singoli utenti. Tale flessibilità viene rispettata per tutte le

tipologie di servizio offerte all’interno della soluzione o per gli

altri servizi con cui si interopererà tramite particolari protocolli

di peering.

Per le soluzioni SCM la gestibilità è quindi un elemento

fondamentale. Non solo nell’ottica del sistema nel suo complesso

ma anche nella personalizzazione delle policy da applicare ai

diversi livelli aziendali, gruppi ed utenti. Inoltre la gestione,

seppur centralizzata, deve consentire un’accesso distribuito e

basato sul ruolo dell’amministratore (Role Based Access Control,

RBAC), cioè garantire la flessibilità di definire chi può

configurare che cosa e per quale sistema, sottosistema o policy.

Infine un robusto sistema di logging, accounting e di

reportistica risulta necessario. Il concetto di logging deve poter

essere utilizzato non solo per tenere traccia di quanto succede

ma anche fornire dei feedback per aggiustare dinamicamente i

database e le policy utilizzate nelle diverse operazioni. Questi

due ultimi concetti vengono sempre meglio supportati dai

sistemi basati su appliance dedicate proprio perché questi fanno

della necessità di gestione e logging un punto di forza per

architetture che scalano non solo al singolo apparto ma anche

molte unità costituenti soluzioni distribuite.

Figura 5 – Cisco Content Engine

5

CISCO CONTENT SECURITY SOLUTION

Cisco Application and Content Networking System (ACNS) è

una soluzione che scala a diverse tipologie di organizzazione

indirizzando elementi fondamentali quali la riduzione dei costi

operativi, l’aumento del controllo della produttività,

l’estensione delle applicazioni mission critical, l’indirizzamento

di una serie di problemi di sicurezza legati al contenuto con una

visione che spazia dal datacenter al branch office (es.

accelerazione delle applicazioni Web mission critical,

distribuzione del software, Secure Content Management,

erogazione di streaming e contenuti multimediali).

Tale flessibilità viene garantita avendo a disposizione un’ampia

scelta di piattaforme hardware su cui avere a disposizione i

servizi erogabili da ACNS. Tali piattaforme, nominate Cisco

Content Engine (Figura 5), si presentano sotto la forma di

appliance dedicate per diverse necessità di prestazioni e storage

o come moduli integrabili all’interno delle piattaforme Cisco di

accesso più conosciuti, come 2600, 3600 e 3700.

ACNS è una componente fondamentale dell’Intelligent

Information Network, infatti grazie alla sua capacità di entrare

nel merito del contenuto (es. web, file serving/sharing,

streaming) può quindi accelerarlo (es. caching), filtrarlo,

ottimizzarlo (es. stream splitting & reapeating) e loggarlo.

I benefici chiave della soluzione combinata hardware e software

ACNS sono quindi:

• Servizi intelligenti legati al contenuto per il branch della rete;

- Proxy Caching e Secure Content Management;

- Web Application Acceleration con intelligent/advanced

content caching e serving;

- Software Distribution grazie ad un motore ottimizzato ed

evoluto per la distribuzione dei contenuti

- Business Video e Retail Kiosk tramite video streaming e web

serving evoluto;

• Sistema di Acquisizione e Distribuzione fortemente scalabile

(milioni di oggetti, migliaia di nodi);

• Sistema di gestione centralizzato e ricco insieme di XML/CGI

Application Program Interface (API) per l’automazione ed

integrazione delle applicazioni e dei

processi più importanti;

• Flessibilità nella ridirezione del

traffico client verso le Content Engine.

Per erogare in modo ottimizzato tutto

questo ACNS sfrutta e combina in

modo ottimizzato e flessibile sia

tecnologie demand-pull (caching) sia di

pre-posizionamento (serving)

indirizzando molteplici funzioni

business-critical:

• Tutti i servizi ACNS direttamente

integrati all’interno dei router di

accesso usati nelle filiali (2600, 3600

e 3700) attraverso l’utilizzo dei

Content Engine Network Module;

Figura 6 – ACNS per Secure Content Management

Figura 7 – Servizi SCM sulla Content Engine

6

• Gestione centralizzata di tutti servizi erogabili con scalabilità

di migliaia di Content Engine attraverso il Content

Distribution Manager come appliance dedicata;

• Intercettazione e ridirezione del traffico client alla Content

Engine attraverso diverse modalità supportabili anche in

parallelo (DNS, Transparent usando Web Cache

Communication Protocol WCCP o In-Line proxy).

In particolare nell’ambito Secure Content Management ACNS

si posiziona quindi come appliance integrata (Figura 6) con le

seguenti caratteristiche (Figura 7).

• Servizi Proxy Caching

- HTTP, HTTPS (tunneling2 e terminazione SSL con caching),

FTP Nativo, FTPoHTTP, DNS;

- Microsoft® Windows Media Technology™ Streaming,

RealNetworks® Streaming, Apple® QuickTime™

Streaming, MPEG 1/2/4 Streaming, ISMA v1 Streaming;

- Architetture In-line e Transparent con WCCPv2 Extended;

• Sicurezza e gestione del traffico di base

- IP Extended Access Lists;

- Rule Engine per manipolazione del traffico e content

filtering di base (es. Block/Allow/Reset, override dell’HTTP

header su diversi parametri, selezione di uno specifico DNS,

URL Rewrite/Redirect, Selective caching, impostazione del

ToS/DSCP, utilizzo di uno specifico servizio ICAP) in

funzione di diversi parametri (IP sorgente o destinazione,

Porta di destinazione, Regular Expression, MIME, diversi

componenti dell’header, user name, users group);

• Websense® URL filtering e advanced content filtering

integrato

- Master Database™ (80+ categorie, 52 lingue, 5+ milioni di

URL e fingerprint su base protocollo ed applicazione);

- Premium Groups™ (Productivity, Bandwidth, Security);

1. Instant Messaging, Advertisements, Pay-to-Surf Sites,

Online Brokerage & Trading, Message Boards & Clubs,

Free/Software Download

2. Streaming Media, Peer-to-Peer File Sharing, Internet TV

& Radio, Personal/Network Storage Backup, Internet

Telephony

3. Spyware, Mobile Malicious Code

- Instant Messaging File Attachment Blocking™

- Network Agent™

- Bandwidth Optimizer™

• Secure Computing® SmartFilter™ Server per URL filtering

integrato

• Supporto ICAPv1 client per peering intelligente con servizi e

sistemi off-box

- Filtering3: WebWasher, SurfControl, Optenet

- Virus Scanning: Finjan, TrendMicro, Symantec

• User authentication verso sistemi, LDAPv2 e v3, Microsoft®

Active Directory™, Radius, TACACS+, Microsoft® NTLM™

• User-based Content Access e Policy Enforcement (Figura 6)

• Transaction Logging ed Accounting estesi e personalizzabili

per tutti i servizi proxy e filtering

Figura 8 – Sistema di gestione centralizzato

72 Rigenerazione della sessione HTTPS a livello TCP/IP. Nessuna analisi del contenuto cifrato. 3 Alternative a Websense e Smartfilter che sono precaricati all’interno di ACNS (on-box).

• Gestione centralizzata in HTTPS con funzioni Role Based

Access Management scalabile sino a 2000 Content Engine

(Figura 8), supporto di MIB estese e SNMP v2/v3.

In particolare maggiore dettaglio spetta al concetto di Network

Agent e Bandwidth Optimizer. Il Network Agent è in tutto e

per tutto un agente promiscuo che fa leva su di un fingerprint

database.

L’Agent vede tutte le tipologie di traffico elevando la soluzione

di filtering non solo al contenuto delle sessioni HTTP/2 ma

anche a qualsiasi altro tipo di protocollo estraneo (es. P2P,

Instant Messaging).

In pratica abilitandolo sulla Content Engine questa ascolterà

tutto il traffico di rete e non solo quello che la macchina è in

grado di gestire come proxy. Facendo leva sull’active listening

del Network Agent il Bandwidth Optimizer abilita quindi

l’ottimizzazione delle risorse di banda dando priorità differente,

gestendo il traffico di rete in tempo reale.

In particolare maggiore dettaglio spetta al concetto di Network

Agent e Bandwidth Optimizer. Il Network Agent è in tutto e

per tutto un agente promiscuo che fa leva su di un fingerprint

database (Figura 9).

ARCHITETTURE DI RIFERIMENTO

Le Cisco Content Engine possono essere inserite in differenti

modi e posizioni all’interno della rete. Nella maggior parte dei

casi le CE vengono inserite nella inside o nella DMZ del

modulo di accesso ad Internet, Intranet o Extranet. Il metodo di

ridirezione o intercettazione del traffico può essere sia In-

line/Gateway o Transparent attraverso il protocollo WCCP.

Nella seconda modalità nessun intervento lato client è

necessario proprio in virtù della trasparenza.

Le Content Engine, come abbiamo visto, offrono servizi di

proxy di varia natura, AAA e filtering evoluto (promiscuo e su

richiesta) basato su database dinamici. Inoltre grazie al

protocollo di peering ICAP si possono costituire design dove la

Content Engine funge da proxy e content filter creando sessioni

di peering e hand-off evoluto con funzioni di loadbalancing,

keepaliving e clustering verso sistemi di scanning. In questo

caso il design porta ad avere le Content Engine nella Inside o

nella internal-DMZ ed i sistemi di scanning posizionati nella

external-DMZ o nella outside.

Grazie all’integrazione del Network Agent di Websense è altresì

possibile realizzare design multi-tier:

1. Le Content Engine con prestazioni maggiori (es. CE-7305 o

CE-7325) vengono posizionate come proxy-farm, bastione

dell’accesso Internet, con Websense Enterprise e Bandwidh

Manager per funzioni di filtering e gestione evoluta della

banda, autenticazione ed accounting, ICAP per scanning

hand-off;

2. Le Content Engine più piccole (es. CE-NM, CE-510)

vengono posizionate nelle filiali in modo transparente e con la

sola funzione di Network Agent e Bandwidth Manager che

punta alle Content Engine centrali;

Tale architettura permette non solo il controllo del traffico

Internet ma anche del traffico Intranet sia in termini di banda

sia in termini di filtering evoluto.

In generale quando ci si propone di disegnare un sistema SCM

ci sono alcuni aspetti importanti che devono essere valutati

quali funzionalità, integrazione, prestazioni e scalabilità.

In particolare è necessario:

• Identificare i problemi che si vogliono risolvere;

• Indirizzare tutti i requisiti di integrazione verso prodotti di

terze parti (es. ICAP, architetture multilivello) e con la rete

esistente (transparent, in-line, network module);

• Calcolare le necessità di prestazioni considerando network

bandwidth, il numero di utenti, la media di traffico (es.

transazioni al secondo);

• Identificare le necessità di alta affidabilità del sistema.

Anche se ogni situazione nello specifico richiede un suo

8

Figura 9 - Network Agent in ACNS

particolare design, di seguito vengono riportati

alcuni modelli architetturali da cui è possibile

prendere spunto.

SMALL AND MEDIUM BUSINESS

In generale per un ambiente SMB la soluzione è

quella di utilizzare una singola Content Engine su

cui attivare tutte le funzioni richieste. In particolare

in questo design è importante verificare quali siano

le necessità di content filtering. Se queste sono solo

di tipo URL filtering si potrebbe valutare

l’attivazione di SmartFilter al posto del sistema

Websense. In generale è opportuno identificare

l’attivazione della funzionalità più idonea tra quelle

comunque disponibili a bordo delle Content Engine,

anche eventualmente in base al costo per licenza.

I modelli suggeriti sono CE-510 o Network Module

CE, qualora si stia valutando un nuovo router di accesso o vi

sia spazio in quello correntemente utilizzato. Anche la

metodologia di raggiungibilità della Content Engine può essere

varia.

In-Line, se già si stavano utilizzando vecchi proxy sostituendoli

con la CE (nessun client dovrà essere configurato) o

Transparent (attraverso WCCPv2), se il deployment è green-

field, con il vantaggio di evitare la configurazione tutti i client

in modalità proxy ma solo se si ha a disposizione un router di

accesso Cisco.

HIGH AVAILABILITY

Nella soluzione in H.A. in generale le necessità sono quelle di

una piena funzionalità SCM in alta affidabilità prendendo in

esame tutte le componenti e le funzionalità (Figura 10).

Il design prende forma intorno ad uno statefull inspection

firewall (es. Cisco PIX) con tre zone distinte. Nella Inside

trovano posto almeno una coppia di CE configurate in modo

identico in cluster. Sulle CE verranno attivati tutti i servizi di

interesse compreso il client ICAP. Ciascuna CE avrà un solo

servizio ICAP in cui verranno configurati due server

(tipicamente di scanning) posizionati in DMZ.

L’unico traffico permesso è dai client verso le CE (1), attraverso

i firewall delle CE in ICAP verso la DMZ e dagli ICAP server

verso l’Outside (2a) o dalle CE direttamente verso l’Outside

(2b). I modelli suggeriti sono CE-565, CE-7305 o CE-7325.

L’attivazione del Network Agent e del Bandwidh Control è a

discrezione.

PERCHÉ CISCO

La soluzione Cisco ha numerosi vantaggi rispetto ad altri tipi di

soluzioni siano essi di tipo basato su server generici con

molteplici software installati sia rispetto a soluzioni basate su

appliance come la stessa Content Engine. La prima fra tutte è

che si pone come motore centrale integrando alcune funzioni

SCM o disintermediando ed integrandole in modo

estremamente intelligente attraverso ICAP.

Nelle soluzioni general purpose server con software SCM il

primo problema è la non esistenza di un reale packaging.

In alcuni casi il software SCM è sì un bundle multipurpose

(es. filtering e scanning) ma il sistema operativo non viene

incluso ma solo richiesto come prerequisito. Questo porta ad

un non plug-and-play della soluzione poiché almeno saranno

necessarie due operazioni:

1. Preparazione del server con sistema operativo e relative

operazioni di hardening;

2. Installazione del pacchetto o dei pacchetti SCM.

Essendo queste due punti non correlati, le operation saranno

più complesse poiché, per esempio, per manutenere il package

9

Figura 10 - Architettura High Availability

SCM si dovranno prima onorare tutti i prerequisiti dell’OS e di

sistema, tenendo traccia dell’hardening del sistema stesso (es.

security patch, gestione processi, ecc.). In una Content Engine

l’ACNS è il sistema operativo e questo nasce già precaricato,

hardened e ritagliato per garantire massime prestazioni per le

funzioni supportate.

In generale soluzioni di tipo server based perdono la gestione

centralizzata. Se è vero che la parte SCM possiede una gestione

centralizzata (es. una console software che vede tutti gli agenti

distribuiti sui server), questo risulta invece difficilmente vero

per la parte server ed OS. Nella soluzione Cisco il sistema di

gestione centralizzato lo è per tutti gli aspetti di operation, sia

quelli legati alla parte SCM sia quelli legati alla parte sistema

generico.

Ulteriore elemento di differenziazione è la bassa integrazione

con le componenti e la filosofia di rete. Meccanismi quali:

1. WCCPv2 Extended (Authentication Bypass, Dynamic

Bypass, Overload Bypass, Static Bypass, Multiport and

Service Transparent Redirection, WCCP Flow Protection,

WCCP Router-Cache authentication, Multiclustering) che

consente loadbalancing, clustering e high availability, gestiti

automaticamente tra Content Engine (anche di modelli

differenti) e macchine basate su IOS;

2. Integrazione diretta tramite Network Module;

3. Boot da flash per la parte di OS critical (es. CE continua a

garantire funzioni di autenticazione ed autorizzazione base di

gruppo anche se i dischi sono rotti);

4. ICAP per il peering e content vectoring verso appliance

dedicate ad altri servizi SCM;

5. FastEtherchannel™ e GigaEtherchannel™ tra le porte della

Content Engine;

6. Integrazione con il sistema di gestione di rete Cisco Works

2000;

sono elementi che una soluzione server non può assolutamente

garantire. In generale una soluzione server è di tipo In-Line

portando, per esempio, alla necessità di clustering software (con

indubbia perdita di prestazioni4) o meccanismi di load

balancing esterno attraverso particolari switch.

Inoltre la rottura del disco implica lo stop immediato dell’intero

sistema. Infine un sistema operativo general purpose con file

system general purpose su cui si poggiano applicazioni proxy

ed SCM non potrà mai essere performante, sicuro, facilmente

aggiornabile e gestibile come un custom OS ottimizzato per

eseguire in modo integrato operazioni proxy-caching ed SCM.

ACNS possiede infatti un Cache File System ottimizzato e non

accessibile in alcun modo.

A seguito di quanto sin qui esposto è comunque ricorrente il

preconcetto per cui una soluzione server based costi meno

rispetto ad un appliance, inoltre “se serve una funzione in più

posso caricarla”. Se confrontiamo il puro HW questo può

risultare vero. Ma analizzando meglio gli elementi in gioco

subito appare evidente che esistono costi nascosti di gestione e

HW che alla fine portano ad un innalzamento del Total Cost of

Ownership e ad un risultato che non è paragonabile a quello

garantito da un’appliance dedicata.

Alcuni esempi:

• La resilienza di processi critical tramite boot-flash può essere

solo garantita con sistema RAID;

• Non avendo a disposizione meccanismi come WCCP l’alta

affidabilità porta all’uso di clustering software (costi

aggiuntivi dovuti a licenze particolari, degrado delle

prestazioni, IT operation pi complesse e costose) o all’uso di

loadbalancer esterni;

• Dimensionando un server per OS, proxy di diversa natura,

filtering evoluto e per un certo volume di traffico ed un certo

numero di utenti non è poi così vero che basta aggiungere la

componente di scanning perché tutto funzioni senza problemi.

È immediato immaginare che il server correntemente

utilizzato non potrà mai garantire le performace dovute.

Inoltre è sempre necessario valutare problemi di compatibilità

tra i diversi sistemi (filtering, scanning) e lo stato dell’OS.

Nelle soluzioni appliance dedicate di competitor i veri elementi

discriminanti da ricercare sono:

• Integrazione con la rete

1. Supporto WCCPv2 Extended (Authentication Bypass,

Dynamic Bypass, Overload Bypass, Static Bypass,

Multiport and Service Transparent Redirection, WCCP

Flow Protection, WCCP Router-Cache authentication,

Multiclustering);

2. Network Module per router di accesso della famiglia 2600,

3600 e 3700;

3. Supporto FastEtherchannel™ e GigaEtherchannel™.

104 Per Microsoft in un cluster software di due macchine uguali la potenza elaborativa risultante è quella di una macchina e mezza.In WCCP la crescita di prestazioni è lineare con il numero di Content Engine.

COSA ORDINARE

Per il Datacenter

Cisco Content Engine: CE-565A-144G-SB-K9, CE-7305A-SB-K9, CE-7305A-DC-SB-K9, CE-7325A-SB-K9, CE-7325A-DC-SB-K9

Per il Branch Office o Small and Medium Business

Cisco Content Engine: CE-510A-80-K9, CE-510A-160-K9

Cisco Content Engine Network Module per 2600, 3600 e 3700: NM-CE-BP-X

Sistema di Gestione: Cisco Content Engine CE-565A-72G- K9 (gestione di 500 nodi) o CE-7305-K9 (gestione di 2000

nodi) come Content Distribution Manager

Licenze Websense

Master Database: SF-WEB12, SF-WEB24, SF-WEB36

Premium Groups: SF-WP1xx, SF-WP2xx, SF-WP3xx

Bandwidth Optimizer: SF-WBW12, SF-WBW24, SF-WBW36

Licenze SmartFilter: SF-SMF12, SF-SMF24, SF-SMF36

ULTERIORI INFORMAZIONI

Ai seguenti link è possibile trovare i datasheet di ACNS e Content Engine:

www.cisco.com/en/US/products/sw/conntsw/ps491/products_data_sheet09186a00801d8412.html

www.cisco.com/en/US/products/hw/contnetw/ps761/products_data_sheet09186a00801d3cf3.html

www.cisco.com/en/US/products/hw/contnetw/ps761/products_data_sheet09186a00801d359f.html

La documentazione completa su ACNS è invece disponibile al seguente link:

www.cisco.com/univercd/cc/td/doc/product/webscale/uce/acns51/index.htm

Maggiori informazioni e dettagli possono essere trovati ai seguenti link:

www.cisco.com/go/acns

www.cisco.com/go/wccp

www.cisco.com/go/safe

11

• Conformazione hardware di base ed espandibilità con relativi

costi aggiuntivi (CPU, memoria, numero e tipologie di

interfacce di rete, tipologie di disco, modalità di espansione

della memoria di massa);

• Sistema di gestione unificato (standard provisioning e

monitoring, SCM policy) per più appliance;

• Costi aggiuntivi per particolari funzioni (es. Apple o

MPEG1/2/4 streaming proxy, terminazione SSL, reporting,

ICAP client, gestione centralizzata cifrata, SSL/SSH);

• Reale supporto delle tecnologie Websense e non del solo

Master Database senza Websense Server o altri servizi evoluti

(es. Bandwidh Optimizer o Network agent) e con indiscussi

problemi di allineamento (soprattutto per i Premium Groups).

È altresì importante far notare che per Cisco esiste la possibilità

di attivare servizi di distribuzione e serving dei contenuti nel

branch qualora si sposi la soluzione distribuita. Infine per Cisco

la soluzione di security non è un solo apparato con specifiche

funzionalità ma ACNS e le Content Engine fanno parte di

quella che viene definita una Self Defending Network integrata.

Citando solo due esempi:

• Il Websense Server a bordo delle Content Engine può essere

referenziato dai PIX visti come agenti client;

• Nella soluzione distribuita le CE di filiale possono accelerare

l’SSL via WCCP e nello stesso tempo controllare il traffico di

rete geografica utilizzando Network Agent e Bandwidth

Optimizer, sfruttando il Websense Server attivato al centro

sulle CE utilizzate per l’accesso ad Internet.

Le filiali Cisco Systems nel mondo sono oltre 200. Gli indirizzi e i numeri di telefono e fax sono disponibili sul sito Cisco Connection Onlinea l l ’ i n d i r i z z o h t t p : / / w w w . c i s c o . c o m / g o / o f f i c e s

Arabia Saudita • Argentina • Australia • Austria • Belgio • Brasile • Bulgaria • Canada • Cile • Cina • Colombia • Corea • Costarica• Croazia • Danimarca • Emirati Arabi • Filippine • Finlandia • Francia • Germania • Giappone • Gran Bretagna • Grecia • HongKong • India • Indonesia • Irlanda • Israele • Italia • Lussemburgo • Malesia • Messico • Norvegia • Nuova Zelanda • Olanda • Perù• Polonia • Portogallo • Portorico • Romania • Repubblica Ceca • Russia • Scozia • Singapore • Slovacchia • Slovenia • Spagna •Stati Uniti • Sud Africa • Svezia • Svizzera • Tailandia • Taiwan • Turchia • Ucraina • Ungheria • Venezuela • Vietnam • Zimbabwe

Copyright © 2004 Cisco Systems, Inc. Tutti i diritti riservati. Cisco, Cisco Systems e il logo Cisco Systems sono marchi registrati di Cisco Systems, Inc. negli Stati Uniti e in determinati altri paesi.Tutti gli altri marchi o marchi registrati sono proprietà delle rispettive aziende.

HeadquartersCisco Systems, Inc.170 West Tasman DriveSan Jose, CA 95134-1706USATel: 001 408 526-4000001 800 553-NETS (6387)Fax: 001 408 526-4100Sito World Wide Web:http://www.cisco.com

Sede europeaCisco Systems Europe11 rue Camille Desmoulins92782 Issy-les-MolineauxCedex 9, FranceTel: 0033 1 58 04 60 00Fax: 0033 1 58 04 61 00

Sede italianaCisco Systems ItalyVia Torri Bianche, 720059 Vimercate (MI)Tel: 039 6295 1Fax: 039 6295 299Sito World Wide Web:http://www.cisco.com/it

Filiale di RomaCisco Systems ItalyVia del Serafico, 20000142 RomaTel: 06 516451Fax: 06 51645001