Technologiczne, Gadżety, Telefony Komórkowe, Pobieranie Aplikacji!
Blogi

Dlaczego sieci sterowane oprogramowaniem zwróciły uwagę organizacji

Sieci oparte na oprogramowaniu nie są nową technologią i mają ponad dziesięć lat, ale w ostatnich latach zaczęły być brane pod uwagę przez wiele firm, zwłaszcza irańskich.

Większość organizacji stara się jak najlepiej wykorzystać znaczące zalety tej technologii, takie jak redukcja kosztów, zwiększona produktywność i dokładniejsze monitorowanie sieci.

Biorąc pod uwagę, że w ostatnim czasie koszty zakupu sprzętu sieciowego oraz wynagrodzenia wyspecjalizowanego personelu znacznie wzrosły, firmy starają się wykorzystywać sieci oparte na oprogramowaniu w celu obniżenia kosztów.

Zanim jednak pomyślisz o projektowaniu lub korzystaniu z takich sieci, musisz o nich wystarczająco dużo wiedzieć.

Co to jest środowisko sieciowe?

Jedną z najważniejszych rzeczy, które należy wziąć pod uwagę podczas projektowania śieć komputerowa polega na zabezpieczeniu prywatnych sieci korporacyjnych przed zawodnymi sieciami, takimi jak Internet.

O ile prywatny sieć nie jest podłączony do sieci zewnętrznych, będzie narażony na najniższy wskaźnik cyberataków; Dzięki temu, że wszystko jest pod kontrolą, można szybko zidentyfikować problemy lub jeśli pracownik na skutek zaniedbania i nieprzestrzegania zasad bezpieczeństwa podłączy do systemu zanieczyszczoną pamięć flash, powodując zanieczyszczenie sieci.

Tak, ten problem można szybko zidentyfikować. Kiedy jednak ta bezpieczna sieć jest połączona z siecią taką jak Internet, staje przed różnymi wyzwaniami. Aby właściwie ocenić wydajność sieci opartych na oprogramowaniu, musimy najpierw przyjrzeć się, jak działają sieci komputerowe oraz z jakich ukrytych komponentów i komponentów się składają, ponieważ sieci oparte na oprogramowaniu zapewniają wszystkie te możliwości w oprogramowaniu.

Sieć Obwód to granica pomiędzy prywatną firmową siecią LAN a sieciami publicznymi, takimi jak Internet. Ogólnie, środowisko sieciowe jest taki sam jak na rysunku 1.

Środowisko obejmuje zapory ogniowe, systemy wykrywania i zapobiegania włamaniom (IDPS), oprogramowanie obsługujące programy, piaskownice zapobiegające przedostawaniu się złośliwego oprogramowania do sieći inne wymogi bezpieczeństwa. W oparciu o tę architekturę wdrażane są prawie wszystkie duże sieci korporacyjne.

rysunek 1

Jak pokazuje rysunek 1, trzy obszary w środowisku sieciowym stanowią granicę pomiędzy prywatną siecią korporacyjną a Internetem:

  • Strefa wewnętrzna: Jest to obszar zdefiniowany do organizowania użytkowników i serwerów. Obszar ten nazywany jest również obszarem bezpiecznym lub zaufanym, ponieważ charakteryzuje się najwyższym stopniem bezpieczeństwa. Nie jest dozwolony zewnętrzny dostęp do obszaru wewnętrznego; w razie potrzeby wszelki dostęp powinien odbywać się przez strefę cywilną (DMZ).
  • Strefa cywilna (strefa zdemilitaryzowana): Obszar, do którego użytkownicy mogą uzyskać dostęp za pośrednictwem Internetu w oparciu o określone ograniczenia. Mówiąc najprościej, każde połączenie zewnętrznych klientów i sieci z prywatną siecią korporacyjną odbywa się za pośrednictwem sprzętu znajdującego się w tym obszarze. Na przykład e-maile otrzymane z serwerów zewnętrznych trafiają na serwer wewnętrzny w SZ.
  • Strefa zewnętrzna: Punkt styku sieci wewnętrznej i zewnętrznej za pośrednictwem łączy komunikacyjnych. Na przykład łącza otrzymane od dostawców usług internetowych (ISP) są kierowane do tego punktu i zazwyczaj do Danii. W projekcie organizacyjnym, w zależności od wielkości lub wielkości organizacji, uwzględnia się pomieszczenie ze specjalnym sprzętem, do którego wprowadzane są łącza komunikacyjne dostawców usług internetowych, a wymagana przepustowość jest zapewniana różnym częściom organizacji. Powyższe podejście ma wiele zalet. Po pierwsze, upraszcza proces rozwiązywania problemów z siecią, a po drugie, w przypadku ataku złośliwego oprogramowania można w najprostszy sposób odciąć sieci wewnętrzne i zewnętrzne, aby zapobiec kradzieży informacji lub dalszej infiltracji sieci przez hakerów.

Zwykle nie jest łatwo wdrożyć takie technologie, ponieważ może być konieczne wdrożenie wielu stref DMZ dla różnych zastosowań na dużą skalę.

Ponadto w tej architekturze zapory ogniowe są rozproszone w klastrach, a każda zapora sieciowa jest zlokalizowana w innym miejscu (zwykle dwie zapory ogniowe w każdej lokalizacji).

W architekturze Zero-Trust zaproponowanej przez Forrester Research, projektując bezpieczne sieci, musimy rozważyć, jakiego poziomu bezpieczeństwa potrzebujemy, aby chronić krytyczne sieć danych, zasobów, aplikacji i usług (DAAS) oraz Jak zaprojektować topologię zapory sieciowej i mechanizmy obronne.

W tej architekturze musimy zidentyfikować obszar zaufany dla użytkowników i serwerów, obszar niezaufany dla połączeń zewnętrznych, takich jak Internet, oraz obszary publiczne, które obejmują urządzenia i usługi dostępne za pośrednictwem sieci zewnętrznych.

Zwykle eksperci sieciowi wdrażają w środowisku sieciowym dodatkowe oprogramowanie, głównie zabezpieczające, w tym systemy wykrywania włamań i zapobiegania im, piaskownice uruchamiające podejrzane oprogramowanie pobrane z Internetu, filtry sieciowe i poczty e-mail itd.

Te narzędzia bezpieczeństwa można wdrożyć w dwóch postaciach sprzętu lub oprogramowania w środowisku sieciowym w celu wykrywania typowych ataków na sieć środowisko . Należy zauważyć, że ataki na różne warstwy sieci mogą koncentrować się na samej sieci lub jej komponentach.

Dane stron, kontrola i zarządzanie

Jedną z rzeczy, które warto wiedzieć o urządzeniach sieciowych jest to, że wykonują one trzy różne operacje:

  • Przetwarzanie i wysyłanie danych do płaszczyzny danych.
  • Podejmowanie decyzji dotyczących przesyłania pakietów danych; Czyli dokąd ma zostać wysłana informacja (Płaszczyzna Sterowania).
  • Aktywacja mechanizmu zarządzającego odczytem informacji z urządzeń (Management Plan).

Sposób działania tych trzech stron pokazano na rysunku 2.

Rysunek 2

Płaszczyzna danych

Strona danych jest odpowiedzialna za wysyłanie informacji. Otrzymuje instrukcje i wiedzę niezbędną do wysyłania pakietów, takich jak tablice routingu i pakiety przesyłane z portu do portu, z panelu sterowania. Ważną rzeczą, na którą należy zwrócić uwagę w przypadku przesłanych tabel, jest ich funkcja samouczenia się, która może rejestrować ważne informacje przesyłane przez centralę i wykorzystywać je w kolejnych postach, aby zmniejszyć lag sieci. Na przykład możliwe jest uruchomienie wielu protokołów routingu na panelu sterowania, ale wprowadzenie ich do jednej tabeli routingu w oparciu o atrybut konsensusu i uzyskanie dostępu do strony danych. Dodatkowo arkusz danych odpowiada za przetwarzanie i dostarczanie pakietów, dlatego jest implementowany na interfejsach sieciowych i procesorach urządzeń.

Sterowanie samolotem

Panel sterowania to miejsce określające sposób przesyłania danych na tabliczkę znamionową. Panel sterowania zawiera protokoły routingu, które wymieniają informacje między routerami, protokoły multiemisji hostów, protokoły jakości usług (QoS) i wszelkie inne protokoły używane przez urządzenia sieciowe do wymiany informacji i podejmowania decyzji o wysłaniu danych. Protokoły te są wykonywane na stronie sterującej, a tabela jest wysyłana na stronę danych. Panel sterowania jest jednym z kluczowych elementów sieci opartych na oprogramowaniu, który do wykonywania obliczeń wymaga wydajnego procesora. Ta strona również jest narażona na różne ataki. Niektórzy próbują zużywać zasoby urządzenia (takie jak procesor i pamięć), podczas gdy inne próbują zatruwać protokoły działające na urządzeniu, aby wysyłać fałszywe trasy lub kierować ruch do celów hakerów. Być.

Płaszczyzna zarządzania

Hakerzy przeprowadzają ataki głównie na poziomie zarządzania, aby infiltrować sprzęt sieciowy, zmieniać ustawienia i obejść zasady organizacyjne w celu zakłócenia działania sieci lub przedostania się do niej. Strona administratora jest odpowiedzialna za interakcję z urządzeniami sieciowymi. Ta interakcja może odbywać się za pośrednictwem protokołów, takich jak SNMP, Netflow, interfejsy programowania aplikacji REST lub jakakolwiek inna metoda zdefiniowana dla urządzeń sieciowych. Oczywiście możliwe jest ręczne zarządzanie za pomocą wiersza poleceń, własnego oprogramowania klienckiego lub interfejsu internetowego. Oprogramowanie w pełni implementuje stronę administracyjną.

SDN i NFV

SDN i NFV to technologie, które pojawiły się na początku 2010 roku w celu wirtualizacji operacji sieciowych. Podczas gdy SDN to technologia opracowana w celu ułatwienia projektowania sieci korporacyjnych i centrów danych skupionych na oprogramowaniu, z drugiej strony NFV jest dostawcą usług sieciowych opartym na NSP.

Sieci zorientowane na oprogramowanie (SDN)

SDN to podejście do zarządzania siecią i siecią skupione na oprogramowaniu, które centralnie zarządza naszymi urządzeniami. Technologia wykorzystuje interfejs programowania aplikacji do inteligentnego planowania sieci poprzez scentralizowane sterowanie. Powyższa procedura umożliwia łatwe monitorowanie i proste rozwiązywanie problemów ze sprzętem sieciowym, tak aby próbował on inteligentnie sterować siecią poprzez usunięcie centrali z urządzeń sieciowych. Główny sprzęt, taki jak urządzenia sieciowe i powiązane technologie, nadal tu istnieją, ale możemy je centralnie programować i zarządzać nimi. W rezultacie możemy zbierać informacje i rozwiązywać problemy z całą siecią w sposób ciągły i skuteczny, z większą elastycznością i szybkością.

Sieci zorientowane na oprogramowanie są ważne, ponieważ dają operatorom sieci nowy sposób projektowania, budowania i wdrażania sieci ogólnokorporacyjnych (WAN).

  • Umiejętność planowania ruchu.
  • Zwiększaj wydajność zgodnie z polityką organizacyjną.
  • Ścisły monitoring sieci.
  • Umiejętność wdrażania automatyzacji sieci.
  • Przywróć sieć w jak najkrótszym czasie z powodu awarii lub innych problemów.

Oddzielając stronę danych od panelu sterowania, SDN tworzy wydajną, programowalną infrastrukturę sieciową opartą na oprogramowaniu, którą można ręcznie, automatycznie zarządzać i dostosowywać do potrzeb biznesowych organizacji. Podczas gdy w tradycyjnych sieciach urządzenia sieciowe, takie jak przełączniki, wymieniają między sobą informacje i wykorzystują typowe topologie do wysyłania pakietów, w sieciach zorientowanych na oprogramowanie przełączniki są prostymi urządzeniami, które wysyłają instrukcje zgodnie z wiedzą otrzymaną od kontrolera sieci.

W tradycyjnej sieci występują następujące elementy:

  • Panel sterowania: na tej stronie protokoły routingu wymieniają informacje o routingu w celu sprawdzenia ograniczeń, takich jak listy kontroli dostępu (ACL) i wymagania QoS, a także zapełnienia tabel routingu.
  • Strona Dane: użyj tablic routingu do wysyłania danych. Gdy pakiet dociera do routera, jest wysyłany zgodnie z informacjami zawartymi w tabeli.

Rysunek 3

Rysunek 3 przedstawia przykład sieci SDN. W tej sieci mamy centralny kontroler, rdzeń sieci. Kontroler ten pełni funkcję centrali sterującej dla całej sieci. Kiedy otwiera się nowa sesja i pakiety są wysyłane przez Internet, każdy przełącznik odbiera pierwszy pakiet, wysyła żądanie do kontrolera i pyta, jak wysłać skrzynkę. Po otrzymaniu odpowiedzi przyciski przechowują informację w swojej tabeli. Od tej chwili każda paczka będzie wysyłana w oparciu o informacje zawarte w tabeli. Odbywa się to poprzez interfejs Southbound przy użyciu protokołów takich jak OpenFlow lub Netconf. Ponadto komunikacja między kontrolerem a przełącznikami odbywa się za pośrednictwem protokołu TCP i bezpiecznego protokołu transferu (TLS).

W interfejsie północnym sterownik wysyła i odbiera informacje do programów SDN poprzez standardowe interfejsy programistyczne, takie jak RESTfull.

Aplikacje SDN mogą to aplikacje implementujące funkcje sieciowe, takie jak routery, zapory ogniowe, moduły równoważenia obciążenia lub dowolne inne funkcje sieciowe. Przykładem aplikacji SDN jest Software-Wide Area Network (SD-WAN), która zapewnia połączenie pomiędzy zdalnymi lokalizacjami za pośrednictwem linii prywatnych i Internetu.

Domena SDN obejmuje wszystkie urządzenia działające pod tym samym kontrolerem SDN. Istnieje regulator sieci (Orkiestrator) do kontrolowania wielu domen SDN. Na przykład, gdy korporacyjne sieci LAN są połączone za pośrednictwem prywatnej usługi SD-WAN, dostępne są trzy kontrolery dla dwóch sieci LAN i jeden dla SD-WAN. We wszystkich tych procesach regulator odpowiada za kontrolę połączeń i komunikacji. Projektując sieć SDN, eksperci ds. sieci muszą uwzględnić istotne problemy związane z bezpieczeństwem. Należą do nich:

  • Atakuj połączenia między kontrolerem a przełącznikiem SDN za pośrednictwem standardowego połączenia TCP ze standardowym numerem portu.
  • Atakuj kontrolery sieci i regulatory.
  • Przełączanie stron danych ataku.

Wirtualizacja wydajności sieci (NFV)

NFV jako pierwszy wprowadził koncepcję wirtualizacji obliczeniowej do świata sieci. Z powyższego obrazu wynika, że ​​zamiast używać autorskiego sprzętu do każdej funkcji sieciowej, używamy sprzętu współpracującego ze standardowymi maszynami wirtualnymi. W tym przypadku operacje sieciowe są wykonywane jako oprogramowanie na maszynach wirtualnych. Aby osiągnąć ten cel, potrzebujemy platform obsługujących te programy. Rysunek 4 przedstawia te platformy.

Rysunek 4

Rysunek 4 pokazuje, jak wdrożyć aplikacje sieciowe. W przypadku kontenerów Linux maszyny wirtualne są implementowane jako kontenery Linux i instalowane są na nich programy.

Symulator maszyny wirtualnej to system komputerowy zapewniający wydajność komputera fizycznego.

Hypervisor to oprogramowanie obsługujące maszyny wirtualne. Zasadniczo istnieją dwa typy hypervisorów: typ 1, który działa bezpośrednio na sprzęcie systemowym, i typ 2, który działa w systemie operacyjnym hosta.

Hypervisor typu 1 jest instalowany bezpośrednio na sprzęcie. Typowe hypervisory w tej grupie to VMWare ESX / ESXi, Microsoft Hyper-V i Citrix XenServer. Pierwszy hypervisor został opracowany przez IBM w latach 60. XX wieku, następnie iVMWare ESX (później ESXi) w 1999 r., XEN firmy Citrix w 2003 r., a rok później Hyper-V firmy Microsoft. W świecie Linuksa proces ten rozpoczął się od tradycyjnych platform uniksowych, takich jak Sun-Solaris, a następnie KVM i Dockers.

Kontenery Linux szybko zdobyły rynek technologii NFV dzięki wielu dostarczonym aplikacjom, ponieważ były w stanie zapewnić routery, przełączniki, zapory ogniowe, urządzenia zabezpieczające i inne aplikacje potrzebne w sieci centrum danych.

Hypervisor typu 2 jest zainstalowany w systemie operacyjnym hosta. Do znanych hypervisorów w tej grupie należą VMWare, Microsoft Virtual PC i Oracle Virtual Box.

Rysunek 5

Rysunek 5 przedstawia architekturę modelu NFV. Architektura NFV składa się z następujących komponentów:

  • Sprzęt komputerowy: odnosi się do zasobów obliczeniowych i pamięci masowej.
  • Autoryzowane zasoby: zasoby przydzielone maszynom wirtualnym.
  • VNF: Maszyny wirtualne i zainstalowane na nich aplikacje, takie jak routery, zapory ogniowe, podstawowe komponenty komórkowe i inne funkcje sieciowe.
  • Menedżerowie elementów (EM): zarządzają wydajnością sieci.
  • Zarządzanie i organy regulacyjne NFV (MANO): Razem z systemami wsparcia operacyjnego (OSS) i systemami wsparcia biznesu (BSS) kontrolują wielkość zużycia zasobów.

Jednym z najbardziej krytycznych wektorów ataku wokół technologii NFV jest atak na cały stos oprogramowania, w tym systemy operacyjne, hypervisory, maszyny wirtualne i aplikacje.

ostatnie słowo

Jak widać, wdrażanie sieci opartych na oprogramowaniu opiera się na zrozumieniu wydajności standardowego sprzętu sieciowego. Abstrakcjonując komponenty sprzętowe, sieci zorientowane na oprogramowanie starają się zapewnić administratorom sieci scentralizowany mechanizm zarządzania, który upraszcza monitorowanie ruchu i wydajności użytkowników oraz proces rozbudowy sieci tak szybko, jak to możliwe.

Pobierz najlepsze motywy WordPress do pobrania za darmoPobierz zerowe motywy WordPressPobieranie premium motywów WordPressPobierz zerowe motywy WordPresskurs Lyndy do pobrania za darmopobierz oprogramowanie karbonnPobierz motywy WordPressdarmowy kurs on-line

Empfohlene Themen: