Deze weblog gaat over hardware-updates voor Cisco Safe Workload on-premises platforms. De clusterhardware bestaat uit UCS-servers en Nexus-switches die moeten worden geüpgraded met de EOL-cycli van UCS-servers en Nexus-switches. In deze weblog bespreken we het nieuwe M6-hardwareplatform en de voordelen ervan.
Safe Workload is een van de beveiligingsoplossingen van Cisco die microsegmentatie en applicatiebeveiliging biedt in multi-cloudomgevingen, en is beschikbaar als SaaS en op locatie. Er is een volledige pariteit tussen beide oplossingen, en we zien dat veel klanten een on-prem cluster hebben gekozen boven een SaaS-aanbod vanwege hun eigen vereisten die worden aangedreven door hun bedrijven, met title in de bank- en financiële sector en de productiebranche. Laten we microsegmentatie en de rol van een veilig werklasthardwarecluster begrijpen.
Microsegmentatie wordt door veel ondernemingen toegepast als een preventief instrument dat gebaseerd is op het zero-trust-principe. Het helpt applicaties en gegevens te beschermen door zijdelingse bewegingen van slechte actoren te voorkomen en de explosieradius tijdens actieve aanvallen te beperken. Het implementeren van zero trust-microsegmentatie is een zeer zware taak en een operatie-intensieve activiteit. Het moeilijke deel is de levenscyclus van het beleid. De applicatievereisten van het netwerk blijven evolueren terwijl u uw applicaties upgradet, patcht of nieuwe functies toevoegt. Zonder microsegmentatie blijft dit onopgemerkt omdat workloads vrij met elkaar kunnen communiceren. Als principe van nulvertrouwen creëer je bij het inzetten van microsegmentatie een microperimeter rond elk van deze werklasten en zet je het beoogde verkeer op de witte lijst terwijl je relaxation all blokkeert (Enable list-model), waarna al deze evoluerende veranderingen in de netwerkvereisten worden geblokkeerd, tenzij er beleid is levenscyclusmechanisme beschikbaar. Applicatieteams zullen nooit in staat zijn om aan de exacte communicatievereisten te voldoen, omdat ze voortdurend veranderen en daarom is automatische detectie van beleid en wijzigingen vereist.
Veilige werklast op een prem-cluster is beschikbaar in twee vormfactoren: kleine (8U) en grote (39U) apparaten. De reden dat Cisco een op apparaten gebaseerde on-premise oplossing heeft, is vanwege de voorspelbaarheid en prestaties. In veel gevallen leveren leveranciers op VM’s (Digital Machine) gebaseerde apparaten met de vereiste specificaties, maar de uitdaging bij VM-apparaten is dat onderliggende {hardware} kan worden gedeeld met andere applicaties en de prestaties in gevaar kan brengen. Ook het oplossen van prestatiegerelateerde problemen wordt een uitdaging, vooral voor toepassingen met AI/ML-verwerking van grote datasets. Deze apparaten worden geleverd met vooraf gebouwde racks met stapels servers en geharde Nexus 9k-switches. Daarom weten we dat de capaciteit en het aantal ondersteunde werklasten nauwkeurig kunnen worden voorspeld.
De launch 3.8-software heeft de prestaties van de apparaten geoptimaliseerd en een 50-100% groter aantal werklasten op dezelfde {hardware} ondersteund. Dit betekent dat de bestaande klanten met M5-apparaten nu bijna het dubbele aantal werklasten in de bestaande investering in hun apparaten kunnen ondersteunen. De TCO (Whole Price of Possession) voor bestaande klanten neemt af met de nieuwe aantallen werklastcapaciteiten. Het nieuwe en oude aantal ondersteunde werkbelastingen ziet er hieronder uit.
Alle huidige apparaten zijn gebaseerd op de Cisco UCS C-220 M5 Gen 2-serie. De aankondiging van het einde van de verkoop/levensduur van de server uit de M5-serie is gepubliceerd in mei 2023 en het op M5 gebaseerde Safe workload cluster is EOS/EOL aangekondigd op 17e Augustus 2023 (koppeling). Hoewel het M5-cluster nog een paar jaar ondersteuning zal krijgen, zijn er bepaalde voordelen verbonden aan het upgraden van het cluster naar M6.
Laten we begrijpen hoe het microsegmentatiebeleid wordt gedetecteerd en gehandhaafd in CSW (Cisco Safe Workload). De netwerktelemetrie wordt verzameld van alle agentgebaseerde en agentloze workloads in CSW. De op AI/ML gebaseerde mapping van applicatie-afhankelijkheid wordt op deze dataset uitgevoerd om het beleid en de wijzigingen in het beleid te detecteren. Het beleid per werklast wordt berekend en vervolgens naar werklasten gepusht voor handhaving, waarbij gebruik wordt gemaakt van de native firewallmogelijkheden van het besturingssysteem. Dit is een enorme hoeveelheid dataset die moet worden verwerkt voor beleidsdetectie. De AI/ML-tools zijn altijd CPU-intensief en vereisen hoge CPU-bronnen voor snellere verwerking. Hoe groter de gegevensset, hoe groter de verwerkingstijd, hoe groter de verwerkingstijd en hoe meer CPU-kracht in het cluster nodig heeft om een gedetailleerder beleid te krijgen. Het heeft ook een quick lane-netwerk binnen het cluster nodig voor communicatie tussen de knooppunten, aangezien de applicatie over de clusterknooppunten wordt verdeeld. Al deze prestatiegerelateerde vereisten van clusters zorgen voor de behoefte aan meer CPU-bronnen en snellere netwerkconnectiviteit. Hoewel de bestaande hardwareconfiguratie ruim voldoende is om aan al deze vereisten te voldoen, zullen er nieuwe options en functionaliteiten zijn die in toekomstige releases zullen worden toegevoegd en die mogelijk ook further bronnen nodig hebben. Daarom lanceren we met de nieuwe 3.8-release ondersteuning voor het nieuwe M6 Gen 3-apparaat voor zowel het 8U- als het 39U-platform. De rekenkracht is gebaseerd op de nieuwste Cisco C-serie Gen3-servers met de nieuwste processors van Intel en nieuwere N9k-switches. De nieuwe Intel-processors zijn krachtig en hebben meer cores beschikbaar per processor, waardoor het totale aantal GHz-verwerkingen voor clusters wordt verhoogd, wat meer pk’s oplevert voor op AI/ML gebaseerde ADM-verwerking (Utility Dependency Mapping). De algehele prestaties van het cluster zullen worden verbeterd door de further kernen die beschikbaar zijn in de knooppunten.
We weten dat elke improve van {hardware} een moeilijke IT-taak is. Om de upgradetaak te vereenvoudigen, hebben we ervoor gezorgd dat de migratie naar M6 van M4/M5 naadloos verloopt door het volledige proces stapsgewijs te kwalificeren en te documenteren in de migratiegids. Het doc vermeldt ook de controles die vóór en na de migratie moeten worden uitgevoerd om te bevestigen dat alle gegevens right zijn gemigreerd. Van alle bestaande configuratie van het cluster met stroomgegevens wordt een back-up gemaakt met behulp van DBR-functionaliteit (Information Backup and Restore) en deze wordt na de migratie hersteld op het nieuwe cluster. Dit zorgt ervoor dat er geen gegevensverlies optreedt tijdens de migratie. De agenten kunnen worden geconfigureerd om automatisch naar een nieuw cluster te verhuizen en herinstallatie van agenten is niet nodig.
Zoals we op het gebied van de beveiliging weten, moet de MTTD/MTTR zo snel mogelijk zijn, en ik denk dat de M6-upgrade een snellere detectie en respons van bedreigingen en beleid zal opleveren, waardoor MTTD/MTTR wordt verminderd.
Wij horen graag wat u ervan vindt. Stel een vraag, reageer hieronder en blijf verbonden met Cisco Safety op sociale media!
Cisco Safety sociale kanalen
Deel: