ARUBA CX 10000: Pokročilá bezpečnost pro celý provoz uvnitř sítě

Síťová řešení datových center se v uplynulé dekádě skokově vyvíjela, a to především v oblasti topologií 25/100/400G leaf-spine, které umožňují řešit objem, a především rychlost nových aplikačních architektur. Související služby však za tímto tempem zaostávají. Centralizovaná bezpečnostní řešení jsou při ochraně aplikačního provozu v datacentru neefektivní a drahá. Problém se ještě více prohlubuje u aplikací založených na mikroslužbách, kde provoz nemusí opustit fyzický server. Tento provoz nemusí být nikdy zkontrolován na firewallu, IPS nebo na jiném bezpečnostním zařízení, což způsobuje problém zranitelnosti vůči vnitřním útokům.

Aruba CX 10000 je nová řada switchů, která pomáhá se s výše nastíněnými problémy vypořádat. Umožňuje nasazení distribuovaného stavového firewallu pro east-west provoz, segmentaci s nulovou důvěrou, průběžný sběr informací o síťovém provozu (telemetrie) a v budoucnu služby stavového NAT a šifrování. Řešení poskytuje kombinaci výkonu a automatizace pro distribuci pokročilých síťových a bezpečnostních služeb tam, kde je nepraktické a nákladné odesílat provoz do centrálního bezpečnostního zařízení. Místo toho tyto služby jednoduše aplikuje na okraji přístupové vrstvy sítě služeb, kde běží aplikace.

Některé klíčové funkce:

• podpora vysoké dostupnosti díky technologii VSX (Virtual Switching Extension), redundantnímu napájení a ventilátorům,
• automatizace ArubaOS-CX, vestavěné rozhraní REST API a podpora Python skriptů,
• podpora funkcí BGP, OSPF, VRFLite a IPv6,
• podpora hloubkové segmentace v datovém centru pomocí VXLAN s BGPEVPN,
• duální Pensando Data Processing Units (DPU).

 Programovatelný procesor pro vyšší výkon

Jednu z podstatných předností nových switchů Aruba CX 10000 představují programovatelné procesory Pensando. Jde o jednotku, která byla vyvinuta společností Pensando Systems pro zpracování dat na síťové kartě, která kombinuje funkce tradičních síťových karet, firewallu, load balanceru a dalších síťových prvků s výkonem a funkcionalitou, kterou lze najít v moderních procesorech. Pro moderní aplikace je zásadní, že DPU umožňuje sítím dosáhnout vyššího výkonu, nižší latence a zvyšuje jejich bezpečnost a efektivitu.

Firewall definuje pravidla a sleduje provoz

Hlavní výhodu switche Aruba CX 10000 pak reprezentuje integrovaný stavový firewall. Firewall je součástí operačního systému ArubaOS-CX a umožňuje definovat pravidla pro filtrování a blokování síťového provozu. Pravidla mohou být definována na základě kritérií, jako jsou zdrojová a cílová IP adresa, porty, protokoly a další atributy. Kromě klasických pravidel pro filtrování provozu lze nastavit pravidla pro detekci a blokování útoků typu DoS (Denial of Service), jako jsou například útoky SYN Flood. Další funkcí firewallu je sledování síťového provozu a generování zpráv o detekovaných událostech, které mohou indikovat útoky nebo jiné anomálie v síti.

Jako vhodný nástroj pro správu switche Aruba CX 10000 je doporučován nástroj Aruba Fabric Composer (AFC). Administrátor zde může konfigurovat veškeré funkce včetně firewallu. AFC funguje jako centrální řídící bod, který umožňuje spravovat jednotlivé prvky sítě bez nutnosti manuální konfigurace jednotlivých zařízení.

Další užitečné informace je možné získat z Aruba Airheads komunity, případně na YouTube kanálu Airheads Broadcasting Channel.

Autorem článku je Václav Hauser, HPE Aruba technical specialist ve společnosti TD SYNNEX Czech, s. r. o.