Новое поколение серверов Сisco UCS. Гиперконвергентное решении Cisco HyperFle...
Cisco Content Security FAQ.
1. Cisco
Content
Security
FAQ.
Оглавление:
Q: ЧТО ПРЕДСТАВЛЯЕТ ИЗ СЕБЯ ЛИНЕЙКА ПРОДУКТОВ CISCO CONTENT
SECURITY 2
Q: КАКИЕ ФОРМ-ФАКТОРЫ ДОСТУПНЫ ДЛЯ ПРИОБРЕТЕНИЯ 2
Q: ЕСТЬ ЛИ В WSA МЕХАНИЗМЫ ОТКАЗОУСТОЙЧИВОСТИ И БАЛАНСИРОВКИ
НАГРУЗКИ? 3
Q. КАК ОСУЩЕСТВЛЯЕТСЯ БАЛАНСИРОВКА ESA 3
Q. ЗАЧЕМ НУЖЕН CISCO SECURITY MANAGEMENT APPLIANCE? 4
Q. ПОДДЕРЖИВАЕТСЯ ЛИ КЛАСТЕРИЗАЦИЯ И ЦЕНТРАЛИЗОВАННОЕ
УПРАВЛЕНИЕ 4
Q: ЧТО ТАКОЕ IMAGE ANALISYS (IIA)? 4
Q: ЧТО ТАКОЕ RSA DLP? 4
Q: В ЧЁМ РАЗНИЦА МЕЖДУ DLP ESA И WSA? 4
Q. КАКАЯ ПРОИЗВОДИТЕЛЬНОСТЬ ОБОРУДОВАНИЯ CISCO CONTENT 5
Q: ВЫДАЧА ОБОРУДОВАНИЯ CISCO CONTENT SECURITY В ТЕСТ (ПОКА
ИГНОРИРОВАТЬ). 6
Q. КАК СОЗДАТЬ УЧЕТНУЮ ЗАПИСЬ НА ПОРТАЛЕ ТЕХПОДДЕРЖКИ И ПРИВЯЗАТЬ
СВОЙ СЕРВИСНЫЙ КОНТРАКТ? 6
2. Q: Что представляет из себя линейка продуктов Cisco Content Security
A: Линейка оборудования Cisco Content Security – это набор продуктов, обеспечивающие
безопасность и контроль как электронной почты, так и Web трафиком.
Для контроля электронной почты используется решение Cisco Email Security Appliance
(ESA) или Cisco Cloud Email Security. Cisco ESA -- это высокопроизводительная
платформа, которая объединяет в одном устройстве мощные механзимы контроля email и
механизмы безопасности. Механизмы безопасности включают в себя многоуровневую
антиспам систему, набор антивирусов, систему защиты от фишинг-атак и от атак нулевого
дня, системы шифрования и предотвращения утечек, а также ряд дополнительных
механизмов безопасности.
Для контроля Web трафика предлагается решение Cisco Web Security Appliance или Cisco
Cloud Web Security. Это высокопроизводительный HTTP прокси сервер, который, в
рамках одной программно-аппаратной платформы, позволяет контролировать доступ
пользователей к Internet с помощью большого набора различных правил, обеспечивает
безопасность пользователей и защиту от большого набора Internet-угроз с помощью
многоуровневой системы защиты, позволяет обнаружить рабочие станции, работающие
как зомби.
В линейку оборудования Cisco Content Security входит еще Security Management Appliance,
который описан немного ниже.
Q: Какие форм-факторы доступны для приобретения
Линейка оборудования Cisco Content Security доступна для приобретения в следующих
форм-факторах
- Физический appliance. Это программно-аппаратный комплекс, который
приобретается вместе с программным обеспечением. Для развертывания решения
заказчику надо приобрести железо, поддержку на это железо и набор
соответствующих лицензий (информация о заказе и их описание находятся в
Ordering Guide).
- Cloud решение. В Cisco Cloud Content Security доступны решения для защиты
электронной почты и для защиты Web трафика. С точки зрения работы – это те же
почтовые или же прокси сервера, расположенные у нас в нескольких ЦОД,
разбросанных по миру. Процедура приобретения заключается только в покупке
соответствующего набора лицензий и последующей настройке соответствующих
механизмов перенаправления трафика. Для Cisco Cloud Email это изменение DNS
MX записей, чтобы почта проходила через указанные нами сервера, настройка
Firewall и groupware серверов, а для Cloud Web – это использование специального
ПО под названием Connector для перенаправления трафика.
- Virtual Appliances. Виртуальные устройства – это специальный образ, который
распространяется в виде ovf файла и позволяет развернуть решение, полностью
аналогичное физическому устройству в среде Vmware. Поддерживаеются Vmware
версии 4.1 и 5.0.Очень важно – официальная TAC поддержка осуществляется
только в том случае, если развертывание выполняется на оборудовании Cisco UCS.
В ином случае поддержка будет уровня Best Effort. С точки зрения
масштабирования, производительности и функционала виртуальные устройства
полностью аналогичны физическим appliances.
3. Q: Есть ли в WSA механизмы отказоустойчивости и балансировки нагрузки?
A: Несмотря на то, что в WSA нет встроенных механизмов балансировки нагрузки и
отказоустойчивости, отказоустойчивую конфигурацию можно достаточно легко внедрить,
используя свойства протоколов, записанные в соответствующих стандартах. Вне
зависимости от используемых методов балансировки устройства продолжают работать
абсолютно независимо друг от друга.
Наиболее явный метод балансировки — это использование внешних балансировщиков
нагрузки. Каких угодно производителей, здесь мы не ограничиваем наших заказчиков.
Балансировку нагрузки и отказоустойчивость для WSA можно обеспечить двумя
способами, отдельно для прозрачного подключения и отдельно для подключения в
режиме explicit proxy. При подключении в режиме explicit прокси можно распределить
нагрузку по двум прокси-серверам с помощью PAC (Proxy Auto-Configuration файла).
PAC-файл представляет из себя javascript код, который в ответ на полученные данные
(URL, Host) возвращает адрес прокси. Полученные данные можно обработать, вычислить
хеш и на основании значения хеша рандомизировать прокси. Или выбрать определенный
прокси сервер для группы IP адресов, выбрать определенный прокси для группы доменов,
и т.д. При получении двух адресов прокси-серверов браузер использует первый
доступный. В том случае, если ответа нет, то используется второй доступный прокси и
т.д.
При подключении в прозрачном режиме распределение нагрузки и отказоустойчивость
обеспечивается собственно WCCP протоколом, в который уже встроен соответствующий
функционал, позволяющий определить работоспособность прокси и равномерно
распределить нагрузку на несколько прокси-серверов.
Q. Как осуществляется балансировка ESA
А. Есть несколько механизмов, с помощью которых можно реализовать отказоустойчивую
схему обработки электронной почты. Стандартный и наиболее дорогой метод – внешние
балансировщики нагрузки. Кроме стандартных балансировщиков, Cisco ESA
поддерживает механимз DSR (Direct Server Return), снижающие нагрузку на
балансировщики.
Во втором случае отказоустойчивость и балансировка нагрузки может быть реализована с
помощью внешних механизмов и протоколов. Одним из таких механизмов является
описанное в RFC свойство протокола SMTP, которое обеспечивает балансировку нагрузки
по MX записям. Если для домена существует несколько MX записей с одинаковым
приоритетом, то отправляющий SMTP обязан использовать эти MX по очереди для
отправки почты на домен. Использование этого механизма предоставляет нам достаточно
простой и надежный метод отказоустойчивости и балансировки нагрузки, с
минимальными затратами и возможностью размещения почтовых серверов на разных
географически распределенных площадках. При доступности обоих MX-ов трафик будет
распределяться параллельно между двумя серверами, при отказе одного из серверов по
разным причинам SMTP отправители будут использовать второй сервер для отправки
электронных сообщений. Это дает нам возможность установить по одному серверу на
каждой из площадок. Соответственно после добавления еще одного устройства нам
достаточно добавить еще одну MX запись в DNS с тем же приоритетом, и трафик будет
распределяться на большее количество узлов.
4. Q. Зачем нужен Cisco Security Management Appliance?
Security Management Appliance – это устройство двойного назначения.
Во-первых оно работает, как устройство централизованного репортинга и трекинга как
для Email, так и для Web. SMA собирает отчетную информацию с нескольких Email или
Web устройств и выдает общий объединенный отчет для всех устройств.
Во-вторых SMA работает как устройство централизованного карантина для Cisco Email
Security. Письма, которые отмечаются как спам могут быть помещены в специальную
карантинную зону, где потом просмотрены и удалены или же отправлены дальше. Чтобы
избежать необходимости работать с несколькими Email appliances, используется
централизованный карантин.
Третье – SMA может выступать в качестве устройства централизованного управления
политиками для Web Security Appliances с возможность создания системы
делегированного администрирования
Q. Поддерживается ли кластеризация и централизованное управление
Кластеризация в понятии Cisco Email не имеет никакого отношения ни к балансировке
нагрузки, ни к отказоустойчивости. Cisco Email кластер – это несколько устройств,
которые разделяют общую конфигурационную информацию. Кластеризация позволяет
объединить несколько устройств в одну большую группу (кластер), разбить на несколько
мелких групп и выполнять настройки системы в целом. При этом настройки могут быть
сделаны как на глобальном уровне кластера, так и на уровне групп или даже на уровне
отдельных устройств. Конфигурация может быть унаследована с уровня кластера или же
перекрываться конфигурацией на отдельных устройствах. И наоборот – есть возможность
выполнить дополнительные настройки на отдельном устройстве, а потом распространить
эту конфигурацию на уровень всего кластера.
Для централизованного управления Web Security Appliances по прежнему нужен Secutiry
Management Appliance, так же как и для централизованного репортинга для Email и для
Web
Q: Что такое Image Analisys (IIA)?
A: Image Analisys (IIA) - это не система распознавания графического спама, это движок,
который был разработан специально для стран с очень жестким анти-порно
законодательством. Он проверяет все изображения в письмах для того, чтобы найти там
обнаженку и, соответствено, выполнить действия, которые настроены администратором.
Image Analisys требует для своей работы отдельную лицензию на Email Security Appliance
Q: Что такое RSA DLP?
A: RSA DLP — это модуль предотвращения утечек данных, который мы лицензировали у
компании RSA и который рассчитан на обнаружение почтового трафика,
“чувствительного” для компании или для того, чтобы соответствовать требованиям
законодательства. В RSA DLP движке есть более 100 правил, включающих различные
правила для соответствия законодательным требованиям, так и правила для
регулирования внутреннего потока почты коммерческих организаций, а также
присутствуют достаточно мощные механизмы создания своего собственного набора.
Начиная с версии 7.6 RSA DLP может работать как независимо, так и подключаться для
управления и отчетности к RSA Enterprise Manager.
Q: В чём разница между DLP ESA и WSA?
A: Есть определенное отличие, между DLP Email и DLP Web. DLP Email использует
механизм RSA, содержит более 100 различных правил и лицензируется отдельным
ключом.
5. DLP для Web использует следующие механизмы:
- Email Data Security Policies. Строго говоря, это не DLP, это фильтр исходящих
запросов, который позволяет отфильтровать запросы на основании информации о
метаданных файла. Отдельного ключа не требуется.
- Внешний DLP cервер. Когда требуется более глубокий анализ исходящего трафика
по DLP, можно подключить по ICAP протоколу внешний DLP сервер 3-х
производителей. Мы протестировали Symantec Vontu, Palisade Systems, RSA DLP и
InfoWatch из российских производителей.
Q. Какая производительность оборудования Cisco Content
A: Основная метрика, которая используется при измерении производительности Email
Security Appliance — это количество обрабатываемых сообщений в единицу времени (сек,
минута, час). В реальной жизни производительность зависит от множества различных
факторов — уровня репутационной фильтрации, включенного функционала (анти-спам,
анти-вирус, контентные фильтры, DLP фильтры, средний размер письма, количество и
сложность спам-писем, обрабатываемых анти-спам фильтром) и других параметров.
Именно по этой причине мы настоятельно рекомендуем проводить предварительное
тестирование, которое в том числе позволит не только лучше понять функционал, но
также и определиться с типом и количеством оборудования. Для предварительной оценки
мы провели оценочное тестирование, используя усреденный набор параметров, которые
мы взяли из нашего опыта установок. При этом получились следующие результаты
(полный функционал — анти-спам, анти-вирус, VOF, некий набор контентных фильтров)
C170 — 35-40 тыс сообщений в час
С370 — 70 тыс сообщений в час
С670 — 90-100 тыс сообщений в час
Х1070 — 120-130 тыс сообщений в час.
Несмотря на то, что модели серверов периодически меняются на более мощные, расчетная
производительность может оставаться без изменения. Это связано с тем, что со временем
увеличивается средний размер передаваемого письма, что оказывает влияние на
производительность.
Те же ограничения рассматриваются при проведении тестирования производительности
устройств S-серии (S670). Производительность S-серии измеряется в HTTP запросах/сек и
зависит от среднего размера HTTP запроса, профиля HTTP трафика (соотношения HTTP
GET/POST, HTTPS, FTP трафика), используемого функционала (WBRS, WUC, Anti-
Malware, DLP), и других параметров. Оценочное тестирование, проведенное нами на тех
же условиях, что и для ESA показало следующие результаты
S170 — ок. 90-150 req/sec
S370 — ок. 250-600 req/sec
S670 — ок. 600-800 req/sec
Именно исходя из результатов тестирования мы и предлагаем предварительную разбивку
оборудования по количеству пользователей.
S170 — до 1500 пользователей
S370 — 1500 – 6000 пользователей
S670 – 6000 – 8 тыс пользователей.
Идеальный вариант расчета, когда у заказчика уже есть статистика по количеству
запросов в единицу времени. Получить ее несложно, достаточно взять логи
6. существующего прокси и посчитать количество строк за день. Затем произветси
масштабирование исходя из 80% загрузки процессора, 20% роста трафика в год и
резервирования устройств.
Q: Выдача оборудования Cisco Content Security в тест (пока игнорировать).
A: Сейчас для тестирования можно получить виртуальные Cisco Email и Cisco Web
Security Appliances. Образы можно свободно загрузить с сайта http://software.cisco.com/.
После загрузки и развертывания образов обратитесь к Cisco SE за evaluation лицензиями.
Лицензии доступны на срок до 45 дней без дополнительного подтверждения.
Максимальный срок тестирования – 90 дней, но это требует дополнительного
подтверждения и внятной аргументации, зачем именно надо тестировать решения такой
долгий срок.
Q. Как создать учетную запись на портале техподдержки и привязать свой
сервисный контракт?
A. Создайте учетную запись на сайте www.cisco.com
1. Зайдите на www.cisco.com
2. Кликните на ссылку < Account > В правом верхнем углу браузера
3. Нажмите на кнопку <Register Now > и заполните требуемую информацию
4. Создайте имя и пароль учетной записи
5. Выберите два секретных вопроса и дайте на них ответы. Не забывайте ответов на
секретные вопросы!
6. Под пунктом "Fine Print", Нажмите "yes" для правил Cisco Privacy Statement.
7. Выберите Yes/No для предпочтительных средств связи.
8. Нажмите "Submit". Вы должны увидеть страницу "Thank you for registering", на
которой указывается, что вы получите email для подтверждения регистрации
9. Для завершения регистрации, проверьте ваш email, и следуйте по ссылке, которая
указана в письме для подтверждения вашей информации
Привяжите ваш номер контракта
1. Теперь вам понадобится зарегистрироваться на портале для того, чтобы привязать
номер контракта к учетной записи
2. Нажмите на ссылку < Account > в правом верхнем углу браузера
3. Идите по ссылке < Profile Manager > Нажмите на < Additional Access > Выберите <
Add service contract numbers to profile for support account>
4. На следующем экране введите ваш номер контракта и нажмите на кнопку Submit.
5. После того, как вы зарегистрируете контракт, вы должны подождать до 6 часов
(обычно 2-3 часа) до тех пор, пока ваша учетная запись не обновится.
6. После этого вы получите доступ ко всем порталам поддержки на сайте
http://www.cisco.com/ и в следующий раз, когда вы отправите нам запрос, он
автоматически попадет в соответствующую очередь.
7. Для обновления своего профиля и свойств, или же для того, чтобы
зарегистрировать дополнительный доступ заходите на Profile Management Tool.