CISCO APPLICATION AND CONTENT NETWORKING SYSTEM …protezioni (es. web, messaging, email, ecc.)....
Transcript of CISCO APPLICATION AND CONTENT NETWORKING SYSTEM …protezioni (es. web, messaging, email, ecc.)....
SECURE CONTENTMANAGEMENT
SOLUTION OVERVIEW
CISCO APPLICATION AND CONTENT NETWORKING SYSTEM
COME CONTENT SECURITY SOLUTION
COSA SIGNIFICA SECURE CONTENT MANAGEMENT
Introduzione
L’integrazione dei servizi viene oggi indirizzata non solo sulla
base delle reti di trasporto IP ma anche mediante un’unica
interfaccia applicativa di accesso ai contenuti ed alle
informazioni. Per esempio molti dei servizi che oggi trovano
posto in Internet o Intranet vengono ormai trasportati
attraverso il ben conosciuto protocollo HTTP.
Quello che ne consegue, in termini di sicurezza informatica, è la
necessità di affiancare ai tradizionali e consolidati sistemi di
controllo, quali Firewall ed Intrusion Detection Systems,
altrettanti sofisticati strumenti orientati al contenuto
informativo (Figura 1).
L’esigenza di aumentare il livello di controllo sui contenuti
nasce quindi dal fatto che le minacce si evolvono sulle base
delle reazioni di chi vuole contrastarle.
In ambito di sicurezza informatica un ambiente, inteso come
l’insieme di utenti/operatori, applicazioni e banche dati, eredita
il livello di vulnerabilità della componente più debole.
Ad oggi l’elemento debole e minacciato della catena pare essere
(è) sempre più il livello applicativo. Ne consegue dunque
l’esigenza di identificare, rafforzare e raffinare gli strumenti di
controllo e protezione che operano a tale livello.
Minacce
Diverse sono le tipologie di minaccia in cui un ambiente
applicativo potrebbe incorrere:
• Utilizzo incontrollato e malizioso di applicazioni Web, Instant
Messaging (IM), comunicazioni peer-to-peer (P2P), ed
applicativi web-email;
• Codici Spyware;
• Produttività del dipendente e non corretto utilizzo delle
proprietà intellettuali;
• Nuove categorie di virus che sfruttano diverse debolezze
utilizzando sistemi di attacco ibridi e multiaccesso (es. email,
file transfer e Web browser) viaggiando sul così definito
“canale web”;
• Responsabilità legali di diverso tipo dovute a
sharing/downloading incontrollato da parte dei dipendenti
(es. scaricamento di musica, film, software sotto copyright).
Associazioni come la Recording Industry Association of
America (RIAA) e la Motion Picture Association of America
(MPAA) dichiarano che una compagnia è legalmente
perseguibile se gli impiegati utilizzano le risorse aziendali per
scaricare, mantenere o distribuire illegalmente film, video e
musica;
• E-mail spam, non solo come elemento di disturbo ma anche
come potenziale responsabilità legale e di riduzione della
produttività. Basti considerare che solo in 12 mesi la
percentuale di crescita del traffico spam ricevuta da numerose
aziende è stata del 50.100% (IDC security research 2003).
SCOPO DEL DOCUMENTO
Lo scopo è illustrare la tematica del Secure
Content Management nelle sue principali
componenti e l’importante contributo delle
soluzioni e architetture Cisco Systems per
risolvere le crescenti esigenze dei Clienti in
quest’area. Il documento parte dalla
definizione dei concetti chiave sul piano
funzionale, per poi esemplificare alcuni
tipici scenari di utilizzo e descrivere le
caratteristiche dell’ampio ed avanzato
portafoglio di soluzioni Cisco per il Secure
Content Management.
Figura 1 – l’HTTP trasporta sempre più applicazioni differenti
2
Strumenti
Gli strumenti in questo ambito sono classificabili in quattro
categorie:
• Antivirus;
• Web Security e filtering avanzato;
• Malicious Code Defense;
• Messaging security e filtering (E-mail, IM e P2P).
Come facilmente deducibile ciascuno di questi sistemi è
specializzato per singola tipologia di attacco e minaccia.
Inoltre, al di là degli aspetti inerenti le prestazioni, la scalabilità
e l’efficienza, tali strumenti dovranno risultare:
• semplici da utilizzare;
• flessibili nella gestione delle policy;
• facilmente integrabili all’interno di una architettura di rete.
Mentre i primi due requisiti possono essere facilmente rispettati
dai produttori di tecnologie operanti sulle piattaforme software
del singolo strumento; più difficile è il disegno e
l’implementazione architetturale di una soluzione che sia
completa ed al contempo altamente performante perché
integrata su hardware dedicati.
Definizione
L’orientamento del mercato è quindi quello di recepire una
soluzione o prodotto che sia in grado di presentare un ambiente
unico di gestione ed applicazione delle politiche di sicurezza
inerenti diverse tipologie di traffico, contenuti, utenti e
protezioni (es. web, messaging, email, ecc.).
Integrando tutti gli elementi in un’unica soluzione si può quindi
garantire il policy-based management di diverse tipologie di
traffico, contenuti e protezioni (Web content, messaging
control/filtering, virus protection, downloadable/spyware
application execution), sia in ottica centralizzata sia in ottica
distribuita.
Le soluzioni di Secure Content Management (SCM) sono quindi
a tutti gli effetti definite come il superset di quanto sin qui
descritto (Figura 2).
SECURE CONTENT MANAGEMENT SU APPLIANCE
DEDICATE
Come abbiamo visto l’evoluzione dei sistemi SCM è rivolta
verso l’integrazione di diverse funzioni e funzionalità.
I singoli sistemi antivirus, antispam e content filtering sono
specializzati per tipologia di contenuto, analisi e minaccia;
malgrado questo spesso vanno in sovrapposizione tra loro (es.
sia antispam sia antivirus controllano le email, sia content filter
sia antispam controllano web-email e popup’s).
In un’architettura di rete dove il controllo dei contenuti viene
effettuato da differenti piattaforme, ognuna indipendente dalle
altre, si rischia quindi che i dati siano sottoposti a ripetuti
controlli ed analisi ridondanti tra loro. Quello che ne consegue
non è solamente il degrado delle prestazioni del servizio offerto
ma anche la difficoltà di correlazione dei dati di report generati
da ogni singolo strumento.
La soluzione a questo problema di gestione ed efficienza è
ricercata nell’introduzione di una singola piattaforma in grado
di integrare o interoperare con sistemi specializzati quali
content filtering, content inspection, scanning e bandwidth
management, non solo per controllare la loro attività ma anche
per accentrare il controllo delle policy, dei profili d’utente, dei
log e della reportistica.
Integrare le funzioni all’interno di un singolo prodotto (es.
terminazione delle sessioni e rigenerazione, content filtering,
bandwidth management, AAA) e sviluppare protocolli di
interazione e disintermediazione1 intelligenti con cui sistemi
integrati differenti rispondenti a diverse macrofunzioni possano
interoperare (es. tutte le operazioni di scanning, tutte le
operazioni di filtering e bandwidth management) porta ad
indubbi vantaggi di prestazioni, gestibilità, riduzione dei tempi
di messa in esercizio, errori di configurazione e correlazione dei
dati per la costituzione dei report. In particolare tra i protocolli
di integrazione e disintermediazione il più flessibile ed
intelligente è l’Internet Content Adaptation Protocol.
ICAP è un open protocol disegnato specificatamente per
eseguire in modo ottimizzato la disintermediazione di
particolari operazioni di analisi, adattamento e trasformazione
di contenuti Internet-based partendo da un particolare device
3
Figura 2 - Definizione di SCM
1 Capacità d’interpretare ed estrarre dal flusso informativo alcune informazioni chiave inoltrandole trasparentemente, rispetto al richiedente iniziale(client), ad altri processi, tipicamente esterni, che le utilizzeranno e risponderanno in funzione delle loro caratteristiche.
(ICAP client) verso una serie di servizi distribuiti su altri sistemi
dedicati (ICAP server). Questo processo di distribuzione verso
servizi specializzati (es. scanner, filter), utilizzando un
protocollo standard di comunicazione, porta ad un indubbio
guadagno di efficienza e scalabilità nell’allocazione delle risorse,
della banda e della configurazione dei sistemi; incrementando al
contempo le funzionalità dei servizi di controllo che si desidera
mettere in campo.
In particolare gli ICAP server e client creano peering attraverso
semplici sessioni TCP (una sola sessione tra client e server per
tutte le richieste). Su tali sessioni viaggiano particolari remote
procedure call (es. REQMOD pre-cache request modification
service per attuare URL filtering o RESPMOD post-cache
response modification service per anti-virus scanning) al cui
interno vengono passate tutte le informazioni utili
all’elaborazione della sessione in analisi come URL, tipo,
estensione, user, gruppo (content vectoring).
La soluzione Cisco si prefigura quindi come ICAP client
compatibile e certificato con numerosi ICAP server sia in
ambito virus scanning (Finjan, TrendMicro, Symantec) sia in
ambito content filtering (WebWasher, SurfControl, Optenet).
In particolare nell’implementazione di Cisco viene permessa la
definizione di diversi servizi ICAP (es. virus-scanning) al cui
interno possono essere associati più ICAP server differenti.
Il sistema Cisco eseguirà quindi non solo content vectoring ma
anche controllo della disponibilità e load-balancing verso i
differenti server garantendo quindi alta scalabilità ed
affidabilità, resilienza e tolleranza ai guasti (Figura 3).
L’EVOLUZIONE DEL PROXY
Un servizio proxy (Figura 4) lavora come un
disintermediatore, ponendosi a cavallo della
sessione tra client e server, apparendo come il
client per il server ed il server per il client.
Il sistema quindi termina completamente la
sessione (del client), prima di ricrearne una
completamente nuova per l’eventuale
destinatario (server).
Esistono principalmente due tipologie di
proxy:
• In-Line: Il client punta direttamente al
proxy per i diversi servizi e canali di
comunicazione;
• Transparent: Il client non è a conoscenza
dell’esistenza del proxy. Il proxy riceve i flussi in modo
indiretto dagli apparati di rete che intercettano e ridirigono.
Deve quindi esistere un protocollo intelligente che mantenga
la relazione tra proxy e gli apparati di rete (es. Web Cache
Communication Protocol, WCCP).
Il principio di funzionamento del proxy è molto importante
poiché garantisce la possibilità di prendere delle decisioni basate
su quello che vede e cioè utilizzando informazioni di livello
applicativo.
Un sistema di questo tipo può quindi facilmente evolvere
introducendo nel flusso di terminazione e rigenerazione diverse
tipologie di servizi d’ispezione e successive azioni di filtering.
Figura 4 – Il Proxy
4
Figura 3 - ICAP e ACNS
In pratica i diversi moduli di ispezione che si focalizzano sui
canali di comunicazione individuali (es. Web, e-mail) vengono
integrati all’interno del proxy generico permettendo il
parallelismo dell’elaborazione sui diversi canali facendo leva
sulla funzione di terminazione e rigenerazione di sessione tipica
del proxy. In aggiunta, dato dal suo principio di
funzionamento, il proxy ha altri benefici come correggere i
pacchetti malformati, gestire la parte di autenticazione
dell’utente, discriminare applicazioni od informazioni
applicative differenti anche su stesso traffico di trasporto (es.
SAP è diverso dal traffico Web-email ma entrambe possono
essere trasportati su HTTP) imponendo poi particolari policy
(es. tagging della qualità del servizio).
Per tutte queste ragioni, l’essere un proxy multiservizio
(es. HTTP/S, FTP, streaming, DNS) è una caratteristica
favorevole ed importante per evolvere facilmente in una
soluzione di Secure Content Management.
APPLIANCE DEDICATE
Un’altra importante e favorevole caratteristica orientata alle
piattaforme SCM è quella di essere basata su di un’appliance
dedicata.
L’architettura appliance offre innumerevoli benefici:
• Personalizzazione dell’hardware e dell’associato sistema
operativo, garantendo un hardening contro qualsiasi tipo di
rischio;
• Il miglior supporto di tutti i servizi che dovranno essere
implementati e gestiti proprio in funzione del punto
precedente;
• Tutti i servizi aggiuntivi (filtering, scanning, protocolli
specifici di integrazione) precaricati sul sistema che diventa
quindi una soluzione self-contained e plug-and-play;
• Prestazioni elevate poiché il sistema è nato, sviluppato ed
ottimizzato per fare specifiche funzioni;
• Gestibilità, flessibilità e facilità nella configurazione;
• Scalabilità (orizzontale e verticale);
• Integrazione con la rete.
Non a caso soluzioni basate su appliance dedicate hanno
riscontrato successo anche in altri ambiti della sicurezza come i
Network IDS, i concentratori VPN e gli stessi Firewall.
Un elemento fondamentale nell’ambito di architetture SCM è
quello dell’interpretazione di “appropriato” quando si parla di
contenuti su canali di comunicazione e servizi Web. Per questo
motivo uno degli elementi principali è che il sistema offra
flessibilità e sia personalizzabile alle esigenze di ciascun
particolare utente. Un appliance dedicata consente questo tipo
di approccio perché, seppur “chiusa” dal punto di vista
sistemico, fornendo quindi la base solida di partenza comune
per tutte le organizzazioni, è dall’altra parte flessibile e
personalizzabile per le diverse policy in funzione di gruppi o dei
singoli utenti. Tale flessibilità viene rispettata per tutte le
tipologie di servizio offerte all’interno della soluzione o per gli
altri servizi con cui si interopererà tramite particolari protocolli
di peering.
Per le soluzioni SCM la gestibilità è quindi un elemento
fondamentale. Non solo nell’ottica del sistema nel suo complesso
ma anche nella personalizzazione delle policy da applicare ai
diversi livelli aziendali, gruppi ed utenti. Inoltre la gestione,
seppur centralizzata, deve consentire un’accesso distribuito e
basato sul ruolo dell’amministratore (Role Based Access Control,
RBAC), cioè garantire la flessibilità di definire chi può
configurare che cosa e per quale sistema, sottosistema o policy.
Infine un robusto sistema di logging, accounting e di
reportistica risulta necessario. Il concetto di logging deve poter
essere utilizzato non solo per tenere traccia di quanto succede
ma anche fornire dei feedback per aggiustare dinamicamente i
database e le policy utilizzate nelle diverse operazioni. Questi
due ultimi concetti vengono sempre meglio supportati dai
sistemi basati su appliance dedicate proprio perché questi fanno
della necessità di gestione e logging un punto di forza per
architetture che scalano non solo al singolo apparto ma anche
molte unità costituenti soluzioni distribuite.
Figura 5 – Cisco Content Engine
5
CISCO CONTENT SECURITY SOLUTION
Cisco Application and Content Networking System (ACNS) è
una soluzione che scala a diverse tipologie di organizzazione
indirizzando elementi fondamentali quali la riduzione dei costi
operativi, l’aumento del controllo della produttività,
l’estensione delle applicazioni mission critical, l’indirizzamento
di una serie di problemi di sicurezza legati al contenuto con una
visione che spazia dal datacenter al branch office (es.
accelerazione delle applicazioni Web mission critical,
distribuzione del software, Secure Content Management,
erogazione di streaming e contenuti multimediali).
Tale flessibilità viene garantita avendo a disposizione un’ampia
scelta di piattaforme hardware su cui avere a disposizione i
servizi erogabili da ACNS. Tali piattaforme, nominate Cisco
Content Engine (Figura 5), si presentano sotto la forma di
appliance dedicate per diverse necessità di prestazioni e storage
o come moduli integrabili all’interno delle piattaforme Cisco di
accesso più conosciuti, come 2600, 3600 e 3700.
ACNS è una componente fondamentale dell’Intelligent
Information Network, infatti grazie alla sua capacità di entrare
nel merito del contenuto (es. web, file serving/sharing,
streaming) può quindi accelerarlo (es. caching), filtrarlo,
ottimizzarlo (es. stream splitting & reapeating) e loggarlo.
I benefici chiave della soluzione combinata hardware e software
ACNS sono quindi:
• Servizi intelligenti legati al contenuto per il branch della rete;
- Proxy Caching e Secure Content Management;
- Web Application Acceleration con intelligent/advanced
content caching e serving;
- Software Distribution grazie ad un motore ottimizzato ed
evoluto per la distribuzione dei contenuti
- Business Video e Retail Kiosk tramite video streaming e web
serving evoluto;
• Sistema di Acquisizione e Distribuzione fortemente scalabile
(milioni di oggetti, migliaia di nodi);
• Sistema di gestione centralizzato e ricco insieme di XML/CGI
Application Program Interface (API) per l’automazione ed
integrazione delle applicazioni e dei
processi più importanti;
• Flessibilità nella ridirezione del
traffico client verso le Content Engine.
Per erogare in modo ottimizzato tutto
questo ACNS sfrutta e combina in
modo ottimizzato e flessibile sia
tecnologie demand-pull (caching) sia di
pre-posizionamento (serving)
indirizzando molteplici funzioni
business-critical:
• Tutti i servizi ACNS direttamente
integrati all’interno dei router di
accesso usati nelle filiali (2600, 3600
e 3700) attraverso l’utilizzo dei
Content Engine Network Module;
Figura 6 – ACNS per Secure Content Management
Figura 7 – Servizi SCM sulla Content Engine
6
• Gestione centralizzata di tutti servizi erogabili con scalabilità
di migliaia di Content Engine attraverso il Content
Distribution Manager come appliance dedicata;
• Intercettazione e ridirezione del traffico client alla Content
Engine attraverso diverse modalità supportabili anche in
parallelo (DNS, Transparent usando Web Cache
Communication Protocol WCCP o In-Line proxy).
In particolare nell’ambito Secure Content Management ACNS
si posiziona quindi come appliance integrata (Figura 6) con le
seguenti caratteristiche (Figura 7).
• Servizi Proxy Caching
- HTTP, HTTPS (tunneling2 e terminazione SSL con caching),
FTP Nativo, FTPoHTTP, DNS;
- Microsoft® Windows Media Technology™ Streaming,
RealNetworks® Streaming, Apple® QuickTime™
Streaming, MPEG 1/2/4 Streaming, ISMA v1 Streaming;
- Architetture In-line e Transparent con WCCPv2 Extended;
• Sicurezza e gestione del traffico di base
- IP Extended Access Lists;
- Rule Engine per manipolazione del traffico e content
filtering di base (es. Block/Allow/Reset, override dell’HTTP
header su diversi parametri, selezione di uno specifico DNS,
URL Rewrite/Redirect, Selective caching, impostazione del
ToS/DSCP, utilizzo di uno specifico servizio ICAP) in
funzione di diversi parametri (IP sorgente o destinazione,
Porta di destinazione, Regular Expression, MIME, diversi
componenti dell’header, user name, users group);
• Websense® URL filtering e advanced content filtering
integrato
- Master Database™ (80+ categorie, 52 lingue, 5+ milioni di
URL e fingerprint su base protocollo ed applicazione);
- Premium Groups™ (Productivity, Bandwidth, Security);
1. Instant Messaging, Advertisements, Pay-to-Surf Sites,
Online Brokerage & Trading, Message Boards & Clubs,
Free/Software Download
2. Streaming Media, Peer-to-Peer File Sharing, Internet TV
& Radio, Personal/Network Storage Backup, Internet
Telephony
3. Spyware, Mobile Malicious Code
- Instant Messaging File Attachment Blocking™
- Network Agent™
- Bandwidth Optimizer™
• Secure Computing® SmartFilter™ Server per URL filtering
integrato
• Supporto ICAPv1 client per peering intelligente con servizi e
sistemi off-box
- Filtering3: WebWasher, SurfControl, Optenet
- Virus Scanning: Finjan, TrendMicro, Symantec
• User authentication verso sistemi, LDAPv2 e v3, Microsoft®
Active Directory™, Radius, TACACS+, Microsoft® NTLM™
• User-based Content Access e Policy Enforcement (Figura 6)
• Transaction Logging ed Accounting estesi e personalizzabili
per tutti i servizi proxy e filtering
Figura 8 – Sistema di gestione centralizzato
72 Rigenerazione della sessione HTTPS a livello TCP/IP. Nessuna analisi del contenuto cifrato. 3 Alternative a Websense e Smartfilter che sono precaricati all’interno di ACNS (on-box).
• Gestione centralizzata in HTTPS con funzioni Role Based
Access Management scalabile sino a 2000 Content Engine
(Figura 8), supporto di MIB estese e SNMP v2/v3.
In particolare maggiore dettaglio spetta al concetto di Network
Agent e Bandwidth Optimizer. Il Network Agent è in tutto e
per tutto un agente promiscuo che fa leva su di un fingerprint
database.
L’Agent vede tutte le tipologie di traffico elevando la soluzione
di filtering non solo al contenuto delle sessioni HTTP/2 ma
anche a qualsiasi altro tipo di protocollo estraneo (es. P2P,
Instant Messaging).
In pratica abilitandolo sulla Content Engine questa ascolterà
tutto il traffico di rete e non solo quello che la macchina è in
grado di gestire come proxy. Facendo leva sull’active listening
del Network Agent il Bandwidth Optimizer abilita quindi
l’ottimizzazione delle risorse di banda dando priorità differente,
gestendo il traffico di rete in tempo reale.
In particolare maggiore dettaglio spetta al concetto di Network
Agent e Bandwidth Optimizer. Il Network Agent è in tutto e
per tutto un agente promiscuo che fa leva su di un fingerprint
database (Figura 9).
ARCHITETTURE DI RIFERIMENTO
Le Cisco Content Engine possono essere inserite in differenti
modi e posizioni all’interno della rete. Nella maggior parte dei
casi le CE vengono inserite nella inside o nella DMZ del
modulo di accesso ad Internet, Intranet o Extranet. Il metodo di
ridirezione o intercettazione del traffico può essere sia In-
line/Gateway o Transparent attraverso il protocollo WCCP.
Nella seconda modalità nessun intervento lato client è
necessario proprio in virtù della trasparenza.
Le Content Engine, come abbiamo visto, offrono servizi di
proxy di varia natura, AAA e filtering evoluto (promiscuo e su
richiesta) basato su database dinamici. Inoltre grazie al
protocollo di peering ICAP si possono costituire design dove la
Content Engine funge da proxy e content filter creando sessioni
di peering e hand-off evoluto con funzioni di loadbalancing,
keepaliving e clustering verso sistemi di scanning. In questo
caso il design porta ad avere le Content Engine nella Inside o
nella internal-DMZ ed i sistemi di scanning posizionati nella
external-DMZ o nella outside.
Grazie all’integrazione del Network Agent di Websense è altresì
possibile realizzare design multi-tier:
1. Le Content Engine con prestazioni maggiori (es. CE-7305 o
CE-7325) vengono posizionate come proxy-farm, bastione
dell’accesso Internet, con Websense Enterprise e Bandwidh
Manager per funzioni di filtering e gestione evoluta della
banda, autenticazione ed accounting, ICAP per scanning
hand-off;
2. Le Content Engine più piccole (es. CE-NM, CE-510)
vengono posizionate nelle filiali in modo transparente e con la
sola funzione di Network Agent e Bandwidth Manager che
punta alle Content Engine centrali;
Tale architettura permette non solo il controllo del traffico
Internet ma anche del traffico Intranet sia in termini di banda
sia in termini di filtering evoluto.
In generale quando ci si propone di disegnare un sistema SCM
ci sono alcuni aspetti importanti che devono essere valutati
quali funzionalità, integrazione, prestazioni e scalabilità.
In particolare è necessario:
• Identificare i problemi che si vogliono risolvere;
• Indirizzare tutti i requisiti di integrazione verso prodotti di
terze parti (es. ICAP, architetture multilivello) e con la rete
esistente (transparent, in-line, network module);
• Calcolare le necessità di prestazioni considerando network
bandwidth, il numero di utenti, la media di traffico (es.
transazioni al secondo);
• Identificare le necessità di alta affidabilità del sistema.
Anche se ogni situazione nello specifico richiede un suo
8
Figura 9 - Network Agent in ACNS
particolare design, di seguito vengono riportati
alcuni modelli architetturali da cui è possibile
prendere spunto.
SMALL AND MEDIUM BUSINESS
In generale per un ambiente SMB la soluzione è
quella di utilizzare una singola Content Engine su
cui attivare tutte le funzioni richieste. In particolare
in questo design è importante verificare quali siano
le necessità di content filtering. Se queste sono solo
di tipo URL filtering si potrebbe valutare
l’attivazione di SmartFilter al posto del sistema
Websense. In generale è opportuno identificare
l’attivazione della funzionalità più idonea tra quelle
comunque disponibili a bordo delle Content Engine,
anche eventualmente in base al costo per licenza.
I modelli suggeriti sono CE-510 o Network Module
CE, qualora si stia valutando un nuovo router di accesso o vi
sia spazio in quello correntemente utilizzato. Anche la
metodologia di raggiungibilità della Content Engine può essere
varia.
In-Line, se già si stavano utilizzando vecchi proxy sostituendoli
con la CE (nessun client dovrà essere configurato) o
Transparent (attraverso WCCPv2), se il deployment è green-
field, con il vantaggio di evitare la configurazione tutti i client
in modalità proxy ma solo se si ha a disposizione un router di
accesso Cisco.
HIGH AVAILABILITY
Nella soluzione in H.A. in generale le necessità sono quelle di
una piena funzionalità SCM in alta affidabilità prendendo in
esame tutte le componenti e le funzionalità (Figura 10).
Il design prende forma intorno ad uno statefull inspection
firewall (es. Cisco PIX) con tre zone distinte. Nella Inside
trovano posto almeno una coppia di CE configurate in modo
identico in cluster. Sulle CE verranno attivati tutti i servizi di
interesse compreso il client ICAP. Ciascuna CE avrà un solo
servizio ICAP in cui verranno configurati due server
(tipicamente di scanning) posizionati in DMZ.
L’unico traffico permesso è dai client verso le CE (1), attraverso
i firewall delle CE in ICAP verso la DMZ e dagli ICAP server
verso l’Outside (2a) o dalle CE direttamente verso l’Outside
(2b). I modelli suggeriti sono CE-565, CE-7305 o CE-7325.
L’attivazione del Network Agent e del Bandwidh Control è a
discrezione.
PERCHÉ CISCO
La soluzione Cisco ha numerosi vantaggi rispetto ad altri tipi di
soluzioni siano essi di tipo basato su server generici con
molteplici software installati sia rispetto a soluzioni basate su
appliance come la stessa Content Engine. La prima fra tutte è
che si pone come motore centrale integrando alcune funzioni
SCM o disintermediando ed integrandole in modo
estremamente intelligente attraverso ICAP.
Nelle soluzioni general purpose server con software SCM il
primo problema è la non esistenza di un reale packaging.
In alcuni casi il software SCM è sì un bundle multipurpose
(es. filtering e scanning) ma il sistema operativo non viene
incluso ma solo richiesto come prerequisito. Questo porta ad
un non plug-and-play della soluzione poiché almeno saranno
necessarie due operazioni:
1. Preparazione del server con sistema operativo e relative
operazioni di hardening;
2. Installazione del pacchetto o dei pacchetti SCM.
Essendo queste due punti non correlati, le operation saranno
più complesse poiché, per esempio, per manutenere il package
9
Figura 10 - Architettura High Availability
SCM si dovranno prima onorare tutti i prerequisiti dell’OS e di
sistema, tenendo traccia dell’hardening del sistema stesso (es.
security patch, gestione processi, ecc.). In una Content Engine
l’ACNS è il sistema operativo e questo nasce già precaricato,
hardened e ritagliato per garantire massime prestazioni per le
funzioni supportate.
In generale soluzioni di tipo server based perdono la gestione
centralizzata. Se è vero che la parte SCM possiede una gestione
centralizzata (es. una console software che vede tutti gli agenti
distribuiti sui server), questo risulta invece difficilmente vero
per la parte server ed OS. Nella soluzione Cisco il sistema di
gestione centralizzato lo è per tutti gli aspetti di operation, sia
quelli legati alla parte SCM sia quelli legati alla parte sistema
generico.
Ulteriore elemento di differenziazione è la bassa integrazione
con le componenti e la filosofia di rete. Meccanismi quali:
1. WCCPv2 Extended (Authentication Bypass, Dynamic
Bypass, Overload Bypass, Static Bypass, Multiport and
Service Transparent Redirection, WCCP Flow Protection,
WCCP Router-Cache authentication, Multiclustering) che
consente loadbalancing, clustering e high availability, gestiti
automaticamente tra Content Engine (anche di modelli
differenti) e macchine basate su IOS;
2. Integrazione diretta tramite Network Module;
3. Boot da flash per la parte di OS critical (es. CE continua a
garantire funzioni di autenticazione ed autorizzazione base di
gruppo anche se i dischi sono rotti);
4. ICAP per il peering e content vectoring verso appliance
dedicate ad altri servizi SCM;
5. FastEtherchannel™ e GigaEtherchannel™ tra le porte della
Content Engine;
6. Integrazione con il sistema di gestione di rete Cisco Works
2000;
sono elementi che una soluzione server non può assolutamente
garantire. In generale una soluzione server è di tipo In-Line
portando, per esempio, alla necessità di clustering software (con
indubbia perdita di prestazioni4) o meccanismi di load
balancing esterno attraverso particolari switch.
Inoltre la rottura del disco implica lo stop immediato dell’intero
sistema. Infine un sistema operativo general purpose con file
system general purpose su cui si poggiano applicazioni proxy
ed SCM non potrà mai essere performante, sicuro, facilmente
aggiornabile e gestibile come un custom OS ottimizzato per
eseguire in modo integrato operazioni proxy-caching ed SCM.
ACNS possiede infatti un Cache File System ottimizzato e non
accessibile in alcun modo.
A seguito di quanto sin qui esposto è comunque ricorrente il
preconcetto per cui una soluzione server based costi meno
rispetto ad un appliance, inoltre “se serve una funzione in più
posso caricarla”. Se confrontiamo il puro HW questo può
risultare vero. Ma analizzando meglio gli elementi in gioco
subito appare evidente che esistono costi nascosti di gestione e
HW che alla fine portano ad un innalzamento del Total Cost of
Ownership e ad un risultato che non è paragonabile a quello
garantito da un’appliance dedicata.
Alcuni esempi:
• La resilienza di processi critical tramite boot-flash può essere
solo garantita con sistema RAID;
• Non avendo a disposizione meccanismi come WCCP l’alta
affidabilità porta all’uso di clustering software (costi
aggiuntivi dovuti a licenze particolari, degrado delle
prestazioni, IT operation pi complesse e costose) o all’uso di
loadbalancer esterni;
• Dimensionando un server per OS, proxy di diversa natura,
filtering evoluto e per un certo volume di traffico ed un certo
numero di utenti non è poi così vero che basta aggiungere la
componente di scanning perché tutto funzioni senza problemi.
È immediato immaginare che il server correntemente
utilizzato non potrà mai garantire le performace dovute.
Inoltre è sempre necessario valutare problemi di compatibilità
tra i diversi sistemi (filtering, scanning) e lo stato dell’OS.
Nelle soluzioni appliance dedicate di competitor i veri elementi
discriminanti da ricercare sono:
• Integrazione con la rete
1. Supporto WCCPv2 Extended (Authentication Bypass,
Dynamic Bypass, Overload Bypass, Static Bypass,
Multiport and Service Transparent Redirection, WCCP
Flow Protection, WCCP Router-Cache authentication,
Multiclustering);
2. Network Module per router di accesso della famiglia 2600,
3600 e 3700;
3. Supporto FastEtherchannel™ e GigaEtherchannel™.
104 Per Microsoft in un cluster software di due macchine uguali la potenza elaborativa risultante è quella di una macchina e mezza.In WCCP la crescita di prestazioni è lineare con il numero di Content Engine.
COSA ORDINARE
Per il Datacenter
Cisco Content Engine: CE-565A-144G-SB-K9, CE-7305A-SB-K9, CE-7305A-DC-SB-K9, CE-7325A-SB-K9, CE-7325A-DC-SB-K9
Per il Branch Office o Small and Medium Business
Cisco Content Engine: CE-510A-80-K9, CE-510A-160-K9
Cisco Content Engine Network Module per 2600, 3600 e 3700: NM-CE-BP-X
Sistema di Gestione: Cisco Content Engine CE-565A-72G- K9 (gestione di 500 nodi) o CE-7305-K9 (gestione di 2000
nodi) come Content Distribution Manager
Licenze Websense
Master Database: SF-WEB12, SF-WEB24, SF-WEB36
Premium Groups: SF-WP1xx, SF-WP2xx, SF-WP3xx
Bandwidth Optimizer: SF-WBW12, SF-WBW24, SF-WBW36
Licenze SmartFilter: SF-SMF12, SF-SMF24, SF-SMF36
ULTERIORI INFORMAZIONI
Ai seguenti link è possibile trovare i datasheet di ACNS e Content Engine:
www.cisco.com/en/US/products/sw/conntsw/ps491/products_data_sheet09186a00801d8412.html
www.cisco.com/en/US/products/hw/contnetw/ps761/products_data_sheet09186a00801d3cf3.html
www.cisco.com/en/US/products/hw/contnetw/ps761/products_data_sheet09186a00801d359f.html
La documentazione completa su ACNS è invece disponibile al seguente link:
www.cisco.com/univercd/cc/td/doc/product/webscale/uce/acns51/index.htm
Maggiori informazioni e dettagli possono essere trovati ai seguenti link:
www.cisco.com/go/acns
www.cisco.com/go/wccp
www.cisco.com/go/safe
11
• Conformazione hardware di base ed espandibilità con relativi
costi aggiuntivi (CPU, memoria, numero e tipologie di
interfacce di rete, tipologie di disco, modalità di espansione
della memoria di massa);
• Sistema di gestione unificato (standard provisioning e
monitoring, SCM policy) per più appliance;
• Costi aggiuntivi per particolari funzioni (es. Apple o
MPEG1/2/4 streaming proxy, terminazione SSL, reporting,
ICAP client, gestione centralizzata cifrata, SSL/SSH);
• Reale supporto delle tecnologie Websense e non del solo
Master Database senza Websense Server o altri servizi evoluti
(es. Bandwidh Optimizer o Network agent) e con indiscussi
problemi di allineamento (soprattutto per i Premium Groups).
È altresì importante far notare che per Cisco esiste la possibilità
di attivare servizi di distribuzione e serving dei contenuti nel
branch qualora si sposi la soluzione distribuita. Infine per Cisco
la soluzione di security non è un solo apparato con specifiche
funzionalità ma ACNS e le Content Engine fanno parte di
quella che viene definita una Self Defending Network integrata.
Citando solo due esempi:
• Il Websense Server a bordo delle Content Engine può essere
referenziato dai PIX visti come agenti client;
• Nella soluzione distribuita le CE di filiale possono accelerare
l’SSL via WCCP e nello stesso tempo controllare il traffico di
rete geografica utilizzando Network Agent e Bandwidth
Optimizer, sfruttando il Websense Server attivato al centro
sulle CE utilizzate per l’accesso ad Internet.
Le filiali Cisco Systems nel mondo sono oltre 200. Gli indirizzi e i numeri di telefono e fax sono disponibili sul sito Cisco Connection Onlinea l l ’ i n d i r i z z o h t t p : / / w w w . c i s c o . c o m / g o / o f f i c e s
Arabia Saudita • Argentina • Australia • Austria • Belgio • Brasile • Bulgaria • Canada • Cile • Cina • Colombia • Corea • Costarica• Croazia • Danimarca • Emirati Arabi • Filippine • Finlandia • Francia • Germania • Giappone • Gran Bretagna • Grecia • HongKong • India • Indonesia • Irlanda • Israele • Italia • Lussemburgo • Malesia • Messico • Norvegia • Nuova Zelanda • Olanda • Perù• Polonia • Portogallo • Portorico • Romania • Repubblica Ceca • Russia • Scozia • Singapore • Slovacchia • Slovenia • Spagna •Stati Uniti • Sud Africa • Svezia • Svizzera • Tailandia • Taiwan • Turchia • Ucraina • Ungheria • Venezuela • Vietnam • Zimbabwe
Copyright © 2004 Cisco Systems, Inc. Tutti i diritti riservati. Cisco, Cisco Systems e il logo Cisco Systems sono marchi registrati di Cisco Systems, Inc. negli Stati Uniti e in determinati altri paesi.Tutti gli altri marchi o marchi registrati sono proprietà delle rispettive aziende.
HeadquartersCisco Systems, Inc.170 West Tasman DriveSan Jose, CA 95134-1706USATel: 001 408 526-4000001 800 553-NETS (6387)Fax: 001 408 526-4100Sito World Wide Web:http://www.cisco.com
Sede europeaCisco Systems Europe11 rue Camille Desmoulins92782 Issy-les-MolineauxCedex 9, FranceTel: 0033 1 58 04 60 00Fax: 0033 1 58 04 61 00
Sede italianaCisco Systems ItalyVia Torri Bianche, 720059 Vimercate (MI)Tel: 039 6295 1Fax: 039 6295 299Sito World Wide Web:http://www.cisco.com/it
Filiale di RomaCisco Systems ItalyVia del Serafico, 20000142 RomaTel: 06 516451Fax: 06 51645001