تفاوت سرویس VDI در HYPER-V و VMWARE

تاریخ مجازی سازی:

IBM در اوایل دهه ۱۹۶۰ طیف گسترده ای از سیستم ها را داشت،هر نسل از آنها اساسا متفاوت از گذشته بود. این باعث شد که مشتریان با تغییرات و الزامات هر یک از سیستم های جدید دچار مشکل شوند همچنین، کامپیوترها تنها می توانستند در یک زمان یک کار انجام دهند. اگر شما دو وظیفه دارید تا انجام دهید مجبور بودید فرایندها را در یک به یک اجرا کنید.این نیاز پردازش دسته ای برای آی بی ام مشکل بزرگی نبود زیرا اکثر کاربران خود در انجمن علمی بودند و تا آن زمان به نظر می رسید که پردازش دسته ای نیاز مشتری را برآورده می کند. به دلیل طیف وسیعی از نیازهای سخت افزاری،آی بی ام شروع به کار روی سیستم اصلی S / 360 کرد ، این سیستم به عنوان یک جایگزین گسترده برای بسیاری از سیستم های دیگر طراحی شده بود.

1

وقتی سیستم برای اولین بار طراحی شد، یک سیستم تک کاربر برای اجرای دسته ای از مشاغل بود. با این حال، این سیستم در ۱ ژوئیه سال ۱۹۶۳ شروع به تغییر کرد ، زمانی که موسسه فناوری ماساچوست (MIT) پروژه MAC را ارائه کرد، پروژه MAC برای ریاضیات و محاسبات طراحی شده بود اما بعدا به نام Multiple Access Computer نامگذاری شد. پروژه MAC با سرمایه گذاری ۲ میلیارد دلاری DARPA و با هدف تحقیق در رایانه ها به ویژه در زمینه سیستم عامل و هوش مصنوعی راه اندازی شد. از دست دادن این فرصت باعث جلب توجه IBM شد به ویژه هنگامی که IBM از نیازهای آزمایشگاه Bell برای سیستم مشابه با خبر شد. در پاسخ به نیازهای MIT و Bell Labs ؛ IBM سیستم (  Mainframe CP-40 ) را طراحی کرد.Mainframe CP-40 هرگز به مشتریان فروخته نشد و فقط در آزمایشگاه ها مورد استفاده قرار گرفت، CP-40 بعدا به Mainframe CP-67 تبدیل شد. که اولین سیستمی بود که از مجازی سازی پشتیبانی می کرد. سیستم عامل که روی CP-67 اجرا می شود، به عنوان CP / CMS شناخته می شود. CP برای کنترل برنامه و CMS مخفف Console Monitor System است. CMS یک سیستم عامل کوچک تک کاربره بود و CP برنامه ای بود که ماشین های مجازی را ایجاد کرد. ایده این بود که CP بر روی Mainframe اجرا شود و ماشین های مجازی را ایجاد کند ؛ سپس کاربر با CMS ارتباط برقرار می کرد. بخش رابط کاربر (CMS ) اهمیت زیادی داشت زیرا قبل از این سیستم، IBM بر سیستم هایی تمرکز کرده بود که در آن رابط کاربری وجود نداشت. شما می توانستید برنامه خود را به کامپیوتر بدهید، کامپیوتر برنامه را انجام می داد؛ سپس خروجی را به یک چاپگر یا یک صفحه نمایش ، نمایش می داد اما یک سیستم عامل با رابط کاربری به این معنی بود که در حین اجرای برنامه شما می توانستید به نحوی در تعامل با برنامه باشید. اولین نسخه سیستم عامل CP / CMS به نام CP-67 شناخته شد، اما تنها در آزمایشگاه استفاده شد.رویکرد اولیه برای به اشتراک گذاری کامپیوتر، تقسیم حافظه و سایر منابع سیستم بین کاربران بود، یک نمونه اولیه به اشتراک گذاری سیستم عامل MultiCS بود. MultiCS به عنوان بخشی از پروژه MAC در MIT ایجاد شد. تحقیق و توسعه بیشتر در MultiCS در Bell Labs انجام شد و بعدا به Unix  تبدیل شد.

شرکت پایه ریزان فناوری هوشمند توانایی ارائه مشاوره و راه اندازی راهکارهای VDI را دارد، جهت مشاوره با کارشناسان ما تماس بگیرید

مزایای اصلی استفاده از ماشین های مجازی در مقابل به اشتراک گذاری سیستم عامل، استفاده کارآمد از سیستم بود، زیرا ماشین های مجازی قادر به اشتراک گذاشتن منابع کلی سیستم اصلی بودند، امنیت بهتر هر کاربر در یک سیستم عامل

کاملا جداگانه وجود داشت.در طول دهه ۱۹۸۰ شرکت اینتل چند محصول طراحی کرد با نام های Simultask و Merger / 386 که MS-DOS را به عنوان سیستم عامل guest  اجرا می کردند.اواخر دهه ۱۹۹۰ موج جدیدی از مجازی سازی را به وجود آورد، در سال ۱۹۹۷ Connectix کامپیوتر مجازی را برای مکینتاش منتشر کرد. بعدها، Connectix یک نسخه برای ویندوز منتشر کرد. در سال ۱۹۹۹، VMware ورود خود را به مجازی سازی معرفی کرد.

2

 

انواع مجازی سازی:

۱- Desktop Virtualization

۲- Server Virtualization

۳- Storage Virtualization

۴- Network Virtualization

۵- Application Virtualization

 

(VDI) دسکتاپ مجازی چیست؟

دسکتاپ مجاری (VDI) سازمانها را قادر می سازد تا دسکتاپ های مبتنی بر ماشین مجازی را اجرا کند و این امکان را فراهم میکند تا کاربران نهایی بدون توجه به دستگاه و مکان به انها دسترسی داشته باشد. اگر چه VDI می تواند به کاهش هزینها ، امنیت داده ها و دسترسی از راه دور کمک کند، اما به دلیل پیچیدگی آن هنوز به طور گسترده ای مورد استفاده قرار نگرفته است .VDI اجازه می دهد تا کاربران بر روی دسکتاپ و برنامه های کاربردی که در داخل ماشین های مجازی (VM) اجرا می شوند کار کنند و این ماشین های مجازی (VM) در سرورها یا در فضاهای ابری (cloud) اجرا میشوند. VDI سازمانها را قادر می سازد تا مدیریت و کاهش هزینه ها را با ادغام کنند.

 

3

 

VDI چگونه کار می کند؟

یک خط ارتباطی و یک hypervisor جزء اصلی VDI است. خط ارتباطی اجازه می دهد تا کاربر نهایی به یک دسکتاپ مجازی در دسترس متصل شود در حالی که hypervisor در واقع دسکتاپ مجازی را اجرا می کند.

hypervisor مدیران فناوری اطلاعات را قادر می سازد گروهی از دسکتاپ های مجازی ایجاد کنند. به این مجموعه از دسکتاپ های مجازی ، استخر دسکتاپ های مجازی (virtual desktop pool) میگویند. Poolها معمولا برای کاربرانی ایجاد میشود که نیازهای مشابه دارند مانند منابع مالی و انسانی، نیاز به برنامه های کاربردی خاص و …

دسته بندی دسکتاپ مجازی اجازه می دهد تا کارکنان IT  ساده تر تنظیمات و پیکربندی را انجام دهند .

از شرکت های فعال در این ضمینه میتوان به VMware ، Microsoft ، Citrix ، Oracle ، Parallels و… اشاره کرد .

در این مقاله قصد داریم به مقایسه دو شرکت VMware ، Microsoft که در این ضمینه از همه پیشی گرفته اند بپردازیم.

ابتدا به بررسی این دو شرکت به طور کلی میپردازیم.

Microsoft Hyper-V   چیست؟

مایکروسافت Hyper-V برای ارائه مجازی سازی برای سازمان هایی با یک مرکز داده طراحی شده است. Hyper-V با Windows Server نصب میشود ، یا می تواند به عنوان یک سرور مستقل، به نام Hyper-V Server نصب شود و این سرور مجموعه ای از ابزارهای مدیریت یکپارچه را ارائه می دهد.

4

جنبه های مثبت Hyper-V :

  • می تواند سرورهای مجازی جدید را در عرض چند دقیقه ایجاد کند
  • پشتیبان گیری آسان
  • امنیت جامع از طریق Windows Active Directory
  • قیمت پایین تر

جنبه های منفیHyper-V

  • Hyper-V (2012R2) از تعداد محدودی از سیستم عامل guest

پشتیبانی می کند

  • نیاز به Update سیستم عامل ویندوز در طول عمر محصول دارد

VMware vSphere چیست؟

VMware vSphere یک   hypervisorمحبوب برای سازمان هایی است که امیدوار هستند به برخی از درجه مجازی سازی دست پیدا کنند. در حال حاضر در نسخه  ۶.۵ ، vSphere موجود است، که می تواند انتخاب خوبی برای شرکت هایی باشد که کاملا مجازی هستند.

چندین نوع مختلف از vSphere بسته به نیازهای سازمانی وجود دارد .

vSphere Standard ، Enterprise Plus  و Operations Management Enterprise Plus ویژگی های مختلف را ارائه می دهند که این امراجازه می دهد سازمان ها بهترین پوشش را برای نیازهای خود انتخاب کنند

5

جنبه های مثبت vSphere:

  • در دسترس بودن پشتیبانی با کیفیت بالا
  • ممکن است مناسب و مطلوب برای شرکت های بزرگ باشد
  • پشتیبانی گسترده سیستم عامل

جنبه های منفی  vSphere:

  • نسخه های رایگان و آزمایشی قابلیت های کامل را ارائه نمی دهند
  • یادگیری به مراتب سخت تر

 

هزینه های Hyper-V و VMware:

هزینه های Hyper-V و vSphere عمدتا به تعداد پردازنده ها و محیط های سیستم عامل (OSE) بستگی دارد. License   برای Hyper-V مجانی است ، هر چند سازمان ها می توانند بسته به پردازش و اهداف سیستم عامل مبالقی پرداخت کنند.License   برای VSphere می تواند با هزینه های اضافی برای پشتیبانی از ۹۹۵ دلار به ۴,۲۴۵ دلار متغیر باشد.VMware  و Hyper-V یک نسخه رایگان ارائه می دهند با این حال، نسخه های آزمایشی VMware بعضی از قابلیت ها را پشتیبانی نمیکند. در مقابل، نسخه رایگان Hyper-V قابلیت های کاملی را ارائه می دهد

مقیاس پذیری :

عامل مقیاس پذیری Hyper-V کمی بیش از vSphere است. حداکثر پتانسیل هر عامل در جدول زیر شرح داده شده است:

Resource Hyper-V (2016) VMWare vSphere Hypervisor
Host Logical Processors ۵۱۲ ۵۷۶
Host Physical Memory ۲۴ TB ۱۲ TB
Host Virtual CPUs Per Host ۲,۰۴۸ ۴۰۹۶
VM Virtual CPUs Per VM ۲۴۰ for generation 2;
۶۴ for generation 1;
۱۲۸
VM Memory Per VM ۱۶TB ۶ TB
VM Active VMs Per Host ۱,۰۲۴ ۵۱۲
VM Guest NUMA Yes Yes
Cluster Maximum Nodes ۶۴ NA
Cluster Maximum VM ۸,۰۰۰ NA

 

Hyper-V و VMware هرکدام دارای برنامه ای برای اجرای Desktop Virtualization هستند.

در Hyper-V سرویسی با نام Remote Desktop Services (RDS) این امکان را فراهم میکند و در VMware برنامه ای به نام VMware Horizon View این قابلیت را فراهم میکند.

Microsoft RDS :

 6

 

Remote Desktop Services (RDS) به کاربران اجازه می دهد تا از راه دور دسک تاپ های گرافیکی و برنامه های ویندوز دسترسی پیدا کنند.

اجزای RDS عبارتند از:

  • Remote Desktop Connection Broker: connection broker کاربران را به دسکتاپ متصل می کند. اگر یک کاربر اتصال به یک دسک تاپ را از دست می دهد،connection broker اجازه می دهد تا کاربر ارتباط برقرار کند بدون اینکه از حالت دسکتاپ مجازی خارج شود.
  • Gateway Desktop: این کامپوننت اجازه اتصال به دسکتاپ های مجازی و برنامه های RemoteApp را از طریق اینترنت می دهد.
  • Remote Desktop Licensing: این کامپوننت برای استفاده از RDS به شما مجوز استفاده می کند.
  • Host Virtualization Remote Desktop: این قسمت است که دسکتاپ مجازی را میزبانی می کند.
  • Remote Desktop Web Access: این کامپوننت به کاربران امکان دسترسی به دسک تاپ های راه دور و یا برنامه های RemoteApp را از طریق یک مرورگر وب می دهد.

Remote Desktop Services applications و Remote Desktop Services را می توان از انواع مختلف دستگاه های مانند سیستم عامل و همچنین مرورگرهای HTML5 و دستگاهای جاوا، دسترسی پیدا کرد. کاربران از طریق remote display protocol  با سرویس های Remote Desktop Services ارتباط برقرار می کنند.

ارتباط کاربر با سرویس های Remote Desktop ممکن است با پهنای باند شبکه یا قابلیت های remote display protocol  محدود شود.

VMware Horizon View:

 

 7

VMware View قابلیتهای Remote را برای کاربران فراهم می کند که از تکنولوژی مجازی سازی VMware استفاده می کنند. یک سیستم عامل دسکتاپ  معمولا مایکروسافت ویندوز ۷ یا ویندوز ۱۰ ، در یک محیط مجازی روی سرور اجرا می شود. محصول VMware View یکی از اجزای مورد نیاز برای ارائه دسکتاپ مجازی است.

اجزای Horizon View عبارتند از:

  • View Connection Server: یک سرویس نرم افزاری است که به عنوان یک رابط برای اتصالات مشتری عمل می کند.
  • View Agent: یک سرویس نرم افزاری است که بر روی تمامی ماشینهای مجازی guest نصب شده است تا اجازه دهد که آنها توسط View مدیریت شوند.
  • View Client: نرم افزار کاربردی است که با View Connection Server ارتباط برقرار می کند تا کاربران بتوانند به دسکتاپ خود متصل شوند.
  • View Client with Local Mode: یک نسخه از View Client است که برای پشتیبانی از ویژگی های local desktop توسعه یافته است، که به کاربران امکان می دهد تا ماشین های مجازی را دانلود و از سیستم های محلی خود استفاده کنند.
  • View Administrator: یک برنامه وب است که به مدیران اجازه می دهد تا پیکربندی View Connection Server، پیکربندی و مدیریت دسکتاپ، کنترل احراز هویت کاربران، ایجاد و بررسی رویدادهای سیستم، و انجام فعالیت های تحلیلی را انجام دهد.
  • vCenter Server: یک سرور است که به عنوان یک مدیر مرکزی عمل می کند و تهیه و مدیریت ماشین های مجازی درdatacenter را فراهم می کند.
  • View Transfer Server: یک سرویس نرم افزاری است که مدیریت و انتقال اطلاعات بین مرکز داده و نمایش دسکتاپ را آسان می کند.

 

VMware Horizon View Microsoft RDS
جنبه های مثبت
  •  زمان بوت شدن سریعتر
  •  توانایی ایجاد انواع مختلفی از گروه های (pool)و سازماندهی بخش های مختلف.
  •  کاربران نیازی به فراگیری کامل نحوه استفاده از View Client و اتصال به دسکتاپ خود ندارند.
  •  پیکربندی آسان
  • اتصال سریع
  • استفاده کم از حافظه و منابع
  • سهولت کنترل از لحاظ مدیریتی
جنبه های منفی 
  • نیاز به نصب View Composer در یک سرور متفاوت برای شناسایی آن.
  • قادر به اشتراک کلونهای مرتبط در چندین کاربر نیست
  • برنامه ها گاهی اوقات حافظه را در ویندوز ۱۰ کاملا اشقال می کند و باعث می شود از منابع بیشتری استفاده شود.
  • رابط گرافیکی منسوخ شده است
  • تنظیمات شخصی دشوار
  • گاهی اوقات CRASH غیر منتظره در طول کار وجود دارد

 

۱۰ تفاوت بزرگ بین فایروال Fortinet Fortigate و Cisco ASA

در این قسمت ما به برخی از تفاوت بین این ۲ مدل از فایروال ها بررسی میکنیم.

Cisco ASA   و  Fortinet  Fortigate

۱ : The licensing model

سیسکو دارای یک مجموعه کامل مجوز است که می تواند مورد استفاده قرار گیرد و می تواند کاملا گیج کننده باشد.

مجوز افزودنی نیست (به عنوان مثال اگر شما ۲۵ vpn peers داشته باشید و ۲۵ مورد دیگر را بخواهید، شما مجبور به خرید مجوز ۵۰ نفره vpn peers license هستید و نمیتوانید مجوز ۲۵ نفر را بخرید)

 Fortinet:

فقط دارای ۱ یا ۲ نوع مجوز (vdom and forticlients)

۲: blackhole routes ASA :

شما نمیتوانید این کار را در ASA انجام دهید. به طور معمول، یکی از دستگاه های next-hop استفاده می شود یا فقط از ترافیک خارج می شود.

Fortigate :
پشتیبانی از blackhole از طریق رابط null

۳ :Cisco Context vrs Fortigate VDOM

ASA:

زمینه های سیسکو بسیار محدود است، معمولا شما محدود به ۳-۴ زمینه (به جز یک ASA5505 هیچ زمینه موجود)

محتوای ASA هیچ remote-access vpn را پشتیبانی نمی کند و تا همین اواخر هیچ پروتکل مسیریابی داینامیک وجود ندارد. و سپس در حالت چند حالته، محدود به فقط OSPF یا EIGRP (ipv4) و هیچ پروتکل مسیریابی داینامیک برای ipv6

همچنین مدیریت فایل های پیکربندی context، اولین بار است که شما فایل های پیکربندی را راه اندازی می کنید، ناخوشایند و گیج کننده است

فقط فعال کردن خالص از ویژگی چند حالت، نیاز به یک راه اندازی مجدد دارد.

Fortigate :

پشتیبانی از حداقل ۱۰ vdom (دامنه های مجازی)

Vdom از تمام پروتکل های مسیریابی باز (RIP، OSPF، BGP، IS-IS) پشتیبانی می کند و نه به عنوان محدود کننده.

برای فعال کردن vdoms هیچ راه اندازی مجدد لازم نیست.

به طور پیش فرض تمام واسط ها بخشی ازvdom root هستند، بنابراین فعال کردن پشتیبانی از Vdom هیچ گونه رابط کاربری / سیاست ها یا تنظیمات را بر نمی دارد اگر شما از یک vdom-less به vdom-concept

یک فایل پیکربندی بزرگ، بدون جدایی برای vdoms منحصر به فرد

۴: پشتیبانی از IPv6

  ASA:

بهتر است، اما پشتیبانی از ipv6 هنوز در مجموعه ASA کاملا جدید است.

Fortigate :

ipv6 در حال حاضر برای حداقل ۶+ سال فعال شده است، اما ما هنوز احراز هویت OSPFv3 را نداریم.

۵: Firewall Policy

ASA:

با استفاده از یک روش ACL برای ورود / خروج رابط و هیچ جهت دیگری نیاز است.

سیسکو همچنین با حذف مجوز ورود خطوط ACL تکراری در یک access-list تنها کپی را حذف می کند.

Fortigate :

خط مشی ها بین بین zones to zone یا interface to interfaceشبیه به juniper تکراری می تواند بدون هیچ هشدار نصب شود، و در هنگام auditing policies باعث ایجاد مشکل شود.

۶: تشخیص نفوذ

ASA:

پشتیبانی از قوانین سفارشی، اما بسیار کاربر پسند نیست.

به روز رسانی خودکار به آسانی امکان پذیر نیست.

تعداد محدودی از قوانین

نیاز به موتور IDS یا کارت دارد و به طور جداگانه مدیریت می شود و محدودیت های مجوز ممکن است

Fortigate :

پشتیبانی از قوانین سفارشی.

به روز رسانی خودکار به روز رسانی تقریبا هر روز.

حفاظت از IDS بخشی از سخت افزار دستگاه (بدون افزودنی کارت / ماژول، هیچ مجوز خاص و یا محدودیت).

Fortinet fortiguard  بسیار جذاب و بسیار تکمیل و پیشرفته است.         

۷: remote-managemnt

 هر دو واحد اجازه می دهد تا پروتکل های مدیریت مشترک با Fortinet به شما اجازه تغییر پورت ssh / telnet و محدود کردن دسترسی به یک کاربر را بدهد. همچنین دارای یک fail-login در ورود به سیستم است، برای محافظت از brute-force و یا mis-uesd از failed logins .

۸: flow data exportation

ASA:

netflow v9، اما مشابه با netflow v9 است که اکثر روترها آن را صادر می کنند، می تواند با مجموعه های خاصی مواجه شود.

fortigate :

فقط sflow (پشتیبانی از netflow بدون)

۹: محدودیت VPN

ASA:

مدل مجوزهای متعدد، این تعداد peers در نظر گرفتن نوع را محدود می کند. clientless vrs client sslvpn، ipsec، l2tp-ipsec

Fortigate :

شماره های VPN تنها توسط شاسی سخت افزاری محدود می شوند.

۱۰: بازرسی ترافیک و پردازش

ASA:

فقط ترافیک از سطح پایین تر به سطح امنیتی بالاتر، نیاز به ورود ACL (مفهوم سطح امنیت).

fortigate:

تمام ترافیک بین اینترفیس ها در یک fortigate، نیاز به یک Firewall Policy .

 

 

 

 

 

 

روش های ورود اطلاعات به Splunk

اسپلانک

روش­های ورود اطلاعات به Splunk

روش‌های مختلفی برای ورود اطلاعات وجود دارد که به شرح زیر معرفی می­گردند:

  • بارگذاری فایل‌ها درفرمت‌های ساخت یافته‌ای مانند CSV و فایل‌های ثبت وقایع محلی.
  • دریافت خودکار داده‌ها از مسیری مشخص، Syslog ، Script ، WMI و …
  • دریافت داده از ارسال کننده Splunk

شاخص بندی داده ها در Splunk

همچنین با توجه به هوشمندی Splunk، امکان شاخص‌بندی داده‌های متعارف شامل موارد زیر قابل انجام می‌باشد:

    • داده­ های ساخت یافته، مانند CSV , JSON, XML
    • فایل‌های رویداد و ثبت وقایع محصولات مایکروسافت مانند Active Directory، Exchange
    • رویدادهای قابل ارسال از طریق Syslog (جمع­ آوری رویدادها از تجهیزاتی مانند سوئیچ‌های سیسکو)
    • رویدادهای ایجاد شده توسط سرویس دهنده‌های وب مانند Apache و IIS
    • سرویس دهنده‌های بانک های اطلاعاتی، Oracle, MS SQL Server, My SQL
شرکت پایه ریزان فناوری هوشمند توانایی ارائه مشاوره و راه اندازی راهکارهای Splunk را دارد، جهت مشاوره با کارشناسان ما تماس بگیرید

Enterprise Security

شرکت اسپلانک علاوه بر افزونه­ های رایگان متعدد، تعداد محدودی افرونه غیر رایگان نیز ارائه می­دهد که مشتریان بنا به نیاز خود با پرداخت مبالغ مشخص می­توانند این افرونه­ ها را به صورت مدت­دار یا نامحدود استفاده نمایند، یکی از این افزونه ­های یاد شده Enterprise Security می­باشد.

 

توانایی ­های Enterprise Security در یک نگاه

  • امکان تجمیع، تحلیل و گزارش ­ها از لاگ­ های ایجاد شده
  • امکان تشخیص و اقدام لازم برای تیم­ های امنیتی در زمان به حملات شناخته شده و حتی شناخته نشده داخلی و خارجی
  • قابلیت همخوانی با تمامی تجهیزات امنیتی
  • مانیتورینگ لحظه ه­ای و دوره­ای وضعیت امنیتی شبکه و رخدادهای امنیتی بر اساس  الویت­های دلخواه
  • اولیت­ بندی رخداد­ها و تعریف عکس العمل­ های متناسب با هر رخداد
  • تعریف Search های دلخواه روی لاگ ­های موجود به منظور یافتن رفتارهای غیر عادی در شبکه
  • تعریف آنالیزهای پویا و به روز به منظور یافتن فعالیت­ های مخرب در شبکه به صورت خودکار

 

بیگ دیتا (Big Data)

بیگ دیتا از نظر لغوی به‌معنای «داده بزرگ» است و اصطلاحی رایج است که رشد و در دسترس بودن داده، چه ساختارمند و چه غیرساختارمند، را توصیف می­­کند. با تجزیه و تحلیل آن می‌توان، «الگوهای پنهان» و «همبستگی‌های ناشناخته» و سایر اطلاعات مفید را استخراج کرد. در بیگ دیتا عموماً با داده‌هایی سر و کار داریم که حجم آنها بیشتر از ظرفیت نرم‌افزارهای عادی است  بنابراین در این پروسه، حجم عظیمی از اطلاعات تفکیک نشده و ساختار نیافته در اختیار قرار می­گیرد که ساختار بندی و کشف الگوها، کاری دشوار محسوب می‌شود.

دلایل اهمیت بیگ دیتا (Big Data)

  • تعیین علت ­های اصلی شکست­ ها، مسائل و نقوص در لحظه و صرفه­ جویی میلیاردها دلار
  • بهینه سازی مسیر وسیله­­ های حمل بسته ­­های تحویلی که هنوز در جاده هستند
  • محاسبه مجدد ریسک­ ها در مدت زمان کوتاه
  • شناسایی سریع مشتریان دارای بالاترین درجه از اهمیت

Splunk  و ارتقا  SIEM

نرم افزار Splunk از قابلیت­ های عملکردی SIEM نیز فراتر رفته است و امکانات و توانایی­ هایی افزون بر SIEM دارد که در ادامه به آنها اشاره خواهد شد:

  • Splunk دارای پلتفرم هوش امنیتی کاملاً یکپارچه و مبتنی بر Big Data نسبت به SIEM است.
  • Splunk قابلیت تجزیه و تحلیل هوشمند حجم انبوهی از داده‌های نرمال و قابل اطمینان نسبت به SIEM دارد.
    • ارزیابی وضعیت امنیت، مانیتورینگ، کنترل رویداد و هشدار
    • تحلیل و بررسی نقض داده‌ها
    • پاسخ‌گویی به تهدیدات پیشرو
    • همبستگی‌های بین رویدادها
    • جستجو های زمینه‌ای
    • تحلیل و شناسایی سریع تهدیدات پیشرفته
    • ساده‌سازی روند مدیریت تهدیدات
    • کاهش ریسک‌ها و حفظ امنیت کسب‌ و‌کار

راهکارهای مختلف نرم‌افزار Splunk در تکمیل پیاده‌سازی‌های فعلی SIEM

راهکارهای پیاده­سازی سناریو ۱ سناریو ۲ سناریو ۳
یکپارچه­سازی Splunk Feeds SIEM SIEM Feeds Splunk
Logging Splunk & SIEM Splunk SIEM
بررسی Forensics Splunk Splunk Splunk
همبستگی / اعلام هشدار/گزارش گیری SIEM SIEM Splunk
انطباق SIEM Splunk Splunk
سایر نکات منابع داده مختلف برای Splunk و SIEM Splunk صرفاً زیر مجموعه های داده های خام را به SIEM ارسال می­نماید. در ابتدا کانکتورهای SIEM روی تعداد زیادی Host قرار دارند که جایگزینی آن را مشکل می­کند.

 

کاربرد Splunk با اهداف مختلف در راه‌اندازی  SIEM

  1. دستیابی به SIEM در سطح پایه با Splunk Enterprise و Splunk Cloud
  2. دستیابی به SIEM پیشرفته با Splunk Enterprise Security
  3. وجود بیش از ۳۰۰ برنامه امنیتی ، افزونه و امکانات دیگر در Splunk با قابلیت ­هایی نظیر جستجوهای از پیش‌ تعریف‌ شده، گزارش‌گیری و تصویرسازی، مانیتور کردن امنیت، فایروال‌ های نسل بعدی (Next-Generation Firewall) ، مدیریت تهدیدات پیشرفته و ….

معرفی Splunk ES

Splunk Enterprise Security یا به اختصار  Splunk ES می‌تواند به عنوان یک راهکار امنیتی مطلوب به صورت On-Premise ،Public Cloud ،Private Cloud ،SaaS  یا هر ترکیبی از آنها باشد. همچنین این تکنولوژی را می‌توان به صورت نرم‌افزار همراه با Splunk Enterprise  یا به عنوان سرویس Cloud همراه با Splunk Cloud استفاده نمود. در ادامه توانایی­ های Splunk ES به اختصار ذکر می گردد:

  • مانیتورینگ مستمر در جهت واکنش نسبت به رویدادها
  • ایجاد یک مرکز عملیات امنیت (SOC)
  • شناسایی سریع حملات داخلی و خارجی و واکنش مقتضی
  • تسهیل مدیریت تهدید
  • کاهش ریسک و افزایش محافظت از کسب‌ و کار
  • امکان استفاده از تمام داده ­ها برای تیم امنیتی در تمام سطوح سازمان
  • ارائه قابلیت‌ های جدید برای مدیریت Alert ها، قدرت کشف و شناسایی پویا، جستجوهای زمینه‌ای و همچنین شناسایی و تحلیل سریع تهدیدهای پیشرفته
  • ارائه انعطاف‌ پذیری در سفارشی‌ سازی در جهت بهبود عملکردهایی شامل جستجوها، هشدارها، گزارشات و داشبوردها مطابق با نیازهای خاص؛ برای انجام مانیتورینگ مستمر، پاسخ‌گویی به رویدادها، مرکز عملیات امنیتی (SOC)
  • ایجادامنیت مبتنی بر تجزیه و تحلیل و مانیتورینگ مستمر برای تهدید ها
  • بهینه‌ سازی عملیات‌ های امنیتی با زمان پاسخ‌گویی کوتاه‌ تر
  • بهبود وضعیت امنیت با ایجاد دید End – to – End نسبت به تمامی اطلاعات دستگاه‌ها
  • افزایش قابلیت‌ های بررسی و شناسایی با هدف شناسایی ناهنجاری­ ها و تهدیدها
  • اتخاذ تصمیمات آگاهانه‌ تر نسبت به تهدیدات

نتیجه گیری

با توجه به مطالبی که ذکر شد، SIEM  یک ­فناوری جدیدی است که برای امنیت سازمان­ها به­ کار می­رود تا بتوان به­وسیله آن از حملات هکرها و بدافزارهای مخرب جلوگیری کرد. هدف اصلی SIEM متمرکز کردن Log  ها، گزارشگیری  و مدیریت آنها می­باشد. امروزه شرکت­ های بسیاری این محصول را در معماری­ های مختلف ارائه می­دهند که یکی از برترین این شرکت ها در زمینه SIEM شرکت SPLUNK  است.

منابع

فایروال سیسکو ASA فایرپاور Cisco ASA with FirePower Services

فایروال سیسکو ASA فایرپاور (Cisco ASA with FirePower Services)

مقدمه

نسل جدید فایروال های ( NGFW ) سازگار با محیط های مختلف و متمرکز بر تهدیدات، جهت مقابله با حمله های جدید و بدافزارهای پیشرفته طراحی شده است. سرویس Cisco ASA with FirePOWER حفاظت یکپارچه ای از شبکه قبل، بعد و در حین حمله ارایه می دهد. این سرویس از طریق ادغام قابلیت های فایروال سیسکو ASA و راهکارهای مقابله باتهدیدات Sourcefire[1] و AMP[2] ، در یک وسیله امکان حفاظت جامع از شبکه ها فراهم کرده است. این راهکار به صورت ویژه قابلیت های سری سیسکو ASA 5500-X را فراتر از آنچه NGFW کنونی قادر به انجام آن هستند، توسعه داده است. خواه یک کسب و کار کوچک، متوسط، بنگاه اقتصادی بزرگ و توزیع شده و یا حتی یک دیتاسنتر، سرویس Cisco ASA with FirePOWER قابلیت ارایه راهکارهای NGFW بدون توجه به مقیاس و زمینه کاری را دارد.

شرکت پایه ریزان فناوری هوشمند با اتکا به کارشناسان با تجربه خود که همگی دارای مدارک بین المللی بوده و سالها در امر پیاده سازی، مشاوره و آموزش در حوزه IT کشور مشغول به کار بوده اند توانایی ارائه مشاوره، پیاده سازی، ارتقاء و ترمیم و فروش تجهیزات با لایسنس معتبر را دارا می باشد.

حفاظت چند لایه

سرویس سیسکو ASA with FirePOWER نسل جدید سرویس های امنیتی متمرکز تهدیدات را در سری سیسکو ASA 5500-X و ASA 5585-X ارایه می دهد، که حفاظت جامعی در برابر تهدیدات پیشرفته جدید و یا شناخته شده ، شامل حملات هدفمند و بدافزارها را فراهم می آورد ( شکل ۱). سیسکو ASA گسترده ترین فایروال stateful کلاس تجاری در دنیا است. قابلیت های سرویس Cisco ASA with FirePOWER عبارتند از:

    • Site-to-site VPN و remote access VPN ، خوشه بندی امن و دسترسی بالا برای اطمینان از تداوم کسب و کارها ارایه می دهد.
    • AVC جزء به جزء با قابلیت پشتیانی بیش از ۴۰۰۰ لایه نرم افزاری، ارایه کنترل های مبتنی بر ریسک و راه اندازی IPS مناسب جهت تبیین سیاستگذاری شناسایی تهدید به منظور بهینه سازی امنیتی را دارد.
    • Cisco ASA with FirePOWER NGIPS قابلیت پیشگیری موثر از تهدیدات و آگاهی کامل از کاربران، زیرساخت، برنامه ها ، شناسایی و پاسخ خودکار به تهدیدات را دارد.
      • فیلترهای URL مبتنی بر اعتبار و دسته بندی آن، امکان کنترل و هشدار به موقع در ارتباط با ترافیک های مشکوک وب و اعمال سیاست گذاری های لازم به صدها میلیون URL با بیش از ۸۰ نوع دسته بندی را دارد.
      • AMP در شناسایی نقص های، sandboxing، حفاظت عالی با هزینه های پایین، سازمان ها را در شناسایی بدافزارها و تهدیدات نوظهوری که از سایر لایه های امنیتی عبور کرده اند، یاری می کند .
شرکت پایه ریزان فناوری هوشمند توانایی ارائه مشاوره و راه اندازی راهکارهای Cisco ASA with FirePower را دارد، جهت مشاوره با کارشناسان ما تماس بگیرید
  • شکل ۱: قابلیت های ارایه شده توسط سرویس Cisco ASA with FirePOWER

    پایش بی نظیر شبکه

    سرویس Cisco ASA with FirePOWER به شکل مرکزی توسط Cisco Firepower Management Center ( که پیش تر با نام Cisco FireSIGHT Management Center شناخته می شد) مدیریت می شود، که دید جامعی نسبت به رخدادهای شبکه جهت کنترل آن ها توسط تیم های امنیت شبکه فراهم می آورد. چنین دید جامعی شامل کلیه کاربران، ابزارها، ارتباطات میان ماشین های مجازی، نقاط ضعف شبکه، تهدیدات، برنامه های مورد استفاده در سمت کاربر، فایل ها و وبسایت ها است. IOCs ارتباط میان اطلاعات شبکه و نقاط انتهایی شبکه را جهت پایش گسترش بدافزارها،ایجاد می کند. ابزارهای مدیریتی کلاس تجاری سیسکو مدیران شبکه را در کاهش indications of compromise شاخص سازش بخشی از اطلاعات قانونی مانند داده های موجود در ورودی ها یا فایل ها که فعالیت بالقوه مخرب را بر روی یک سیستم یا شبکه شناسایی می کنند

    پیچیدگی ها از طریق پایش مداوم و کنترل NGFW یاری می کند. Cisco Firepower Management Center قابلیت شناسایی محتوا و مسیر فایل های مخرب را دارد، که در تشخیص گسترده تخریب و بازیابی آن نقش بسزایی دارد.

    مدیریت امنیت سیسکو قابلیت مدیریت متمرکز رخدادهای شبکه را فراهم می کند، که قابلیت هایی چون مدیریت ابزارها و سیاست گذاری ها، مدیریت رویدادها، گزارش دهی و عیب یابی فایروال های سیسکو ASA در هنگام استفاده از Cisco Firepower Management Center، ارایه می دهد.

    برای مدیریت داخلی شامل مدیریت سیستم های مستقر در کسب و کارهای کوچک و متوسط، از سیسکو ASDM نسخه ۷٫۳٫X که امکان کنترل دسترسی ها و مدیریت پیشرفته دفاع در مقابل تهدیدات را فراهم می کند، استفاده می شود، همچنین ASDM V 7.3.x یک واسط ارتقا یافته جهت تجزیه و تحلیل بیشتر ارایه می دهد.

    شکل-۲ داشبوردهای مدیریتی Cisco Firepower Management Center

    کاهش هزینه و پیچیدگی ها

    سرویس Cisco ASA with FirePOWER راهکار یکپارچه ای برای دفاع از شبکه در مقابل تهدیدات که موجب کاهش هزینه های عملیاتی و پیچیدگی های های اجرایی آن می شود، این سرویس به آسانی با زیرساخت IT موجود هماهنگ می شود. این ابزارها بسیار مقیاس پذیر، با سرعت اجرای چندین گیگابیت و امنیتی پایدار و مستحکم را در هر دو محیط مجازی و فیزیکی سراسر شعب، Internet edge و دیتاسنترها ایجاد می کند.

    مرکز مدیریت سیسکو Firepower قابلیت تسهیل عملیات به منظور هماهنگی با تهدیدات جدید، ارزیابی تاثیرات آن ها، تنظیم خودکار سیاست گذاری های امنیتی و استناد هویت کاربر و رخدادهای امنیتی، را در اختیار مدیران شبکه ها قرار می دهد، همچنین قابلیت هایی چون مانیتورینگ پیوسته نحوه تغییرات شبکه در طول زمان، ارزیابی تهدیدات جدید به منظور شناسایی تاثیرات آن ها بر کسب و کارها و ارایه راهکار مناسب جهت بازسازی و دفاع از شبکه در مقابل تهدیدات متغییر کنونی را دارد. قابلیت های امنیتی حساس چون تنظیم خودکار سیاست گذاری ها، موجب کاهش بار کاری، صرفه جویی در زمان و حفظ حالت بهینه شبکه می شود.

    مرکز مدیریت سیسکو Firepower به سادگی از طریق eStreamer API با سایر راهکارهای امنیتی third-party ادغام شده و موجب تسهیل جریان عملیات امنیتی و مطابقت با زیرساخت های موجود شبکه ها می شود.

    جدول-۱ ویژگی ها و مزایای سرویس Cisco ASA with FirePOWER

    قابلیت مزایا
    NGFW اولین NGFW متمرکز بر تهدیدات شرکت سیسکو است که علاوه بر کارکرد فایروال های ASA قابلیت هایی چون: حفاظت پیشرفته در مقابل تهدیدات، شناسایی نقاط ضعف و نفوذ شبکه، بازسازی و اصلاح آن، را در یک ابزار ادغام کرده است.
    فایروال ASA روتینگ پیشرفته، فایروال Stateful، NAT، خوشه بندی پویا برای کارایی بهتر، امنیت بالا و دسترسی مطمعن از طریق Cisco AnyConnect VPN
    NGIPS

    پیشرو در بازار

    پیشگیری و کاهش خطرات ناشی از تهدیدات شناخته شده و جدید
    AMP به منظور حفاظت از شبکه در مقابل حمله های مخرب هدفمند و ماندگار که قابلیت هایی چون شناسایی، بلوکه سازی، ردیابی، تحلیل و بازیابی را دارد.
    contextual awareness اعمال سیاست گذاری براساس دید کامل نسبت به کاربران، ابزارهای سیار، برنامه های سمت کلاینت، ارتباطات میان ماشین های مجازی، نقاط ضعف شبکه، تهدیدات و URLs
    کنترل نرم افزارها و فیلترینگ URL کنترل چند لایه برنامه های کاربردی ( برای برنامه ها، کاربران و وبسایتها) و توانایی اعمال سیاست گذاری های بر مبنای میزان استفاده و شناسایی نرم افزارهای مورد نظر و URL مشخص
    مدیریت در سطح تجاری داشبورد مدیریتی به همراه گزارش های متداول در مورد میزبان ها، برنامه ها، تهدیدها و IOCs
    تسهیل عملیات کاهش هزینه های عملیاتی و پیچیدگی های مدیریتی از طریق شناسایی ارتباط تهدیدات، ارزیابی تاثیرات، تنظیم خودکار سیاست های امنیتی و شناسایی کاربر
    مقایس پذیر، هدف محور ابزاری با معماری امنیتی بسیار مقیاس پذیر که با سرعت چندین گیگابیت کار می کند، به شکل سازگار و یکپارچه در کلیه محیط های مجازی و فیزیکی سراسر دفاتر کوچک، شعب ادرات، Internet edge و دیتاسنترها، عمل می کند.
    On-device management مدیریت پیشرفته تهدید امنیتی را برای کسب و کارهای کوچک و متوسط از طریق یک برنامه کاربردی در مقیاس کوچک ساده فراهم کرده است.
    Remote Access VPN دسترسی شبکه سازمان ها فراتر از لب تاپ ها به کلیه ابزارهای سیار بدون توجه به موقعیت فیزیکی آن ها، گسترش می دهد، پشتیبانی از راهکار باامنیت بالا Cisco AnyConnect به همراه قابلیت application-level VPN و همچنین قابلیت ارایه در سیستم عامل های اندروید و IOS را دارد.
    Site-to-site VPN حفاظت از ترافیک شبکه شامل: VoIP و اطلاعات نرم افزارهای کلاینت-سرور، در سراسر شبکه توزیع شده شرکت ها
    دسترسی یکپارچه بیسیم یکپارچه سازی Wi-Fi موجود در فاکتور فرم( ASA 5506W-X ) به منظور تاثیرگذاری بهتر و پیاده سازی ساده تر در شعب کوچک
    فاکتور فرم فشرده یک مدل مستحکم (ASA 5506H-X) به شکل ویژه برای شرایط محیطی دشوار برای تامیت نیاز زیرساخت های بحرانی و کنترل برنامه های کاربردی آن ها، طراحی شده است.
    تکنولوژی Third-party API به منظور ارایه محیط تکنولوژی های Third-party جهت یکپارچه سازی با محیط موجود تعبیه شده است.
    ترکیب با snort و OpenAppID یکپارچه سازی برنامه های Open source از طریق Snort[1] و OpenAppID[2] جهت دسترسی ساده به منابع و توانایی تنظیم راهکارهای امنیتی به منظور رسیدگی ویژه و سریع به تهدیدات جدید
    CSI[3] ارایه راهکارهای امنیتی بی نظیر به همراه اعتبارسنجی هوشمند وب، امکان دفاع سیستماتیک و آنی در مقابل تهدیدات را فراهم کرده است.

جهت خرید و پیاده سازی سرویس Cisco Email Security با ما تماس بگیرید تا بهترین مشاوره را به شما بدهیم

فروش فایروال سیسکو , فروش لایسنس فایروال سیسکو , فایروال سیسکو ASA FirePower , فروش لایسنس فایرپاور,فروش لایسنس FirePOWER , لایسنس CUCM , لایسنس Webex , راه اندازی سیتریکس , فروش لایسنس ,سیتریکس , لایسنس Citrix , راه اندازی Splunk , فروش لایسنس Splunk , فروش لایسنس Remote Desktop مایکروسافت , فروش لایسنس Splunk ، راه اندازی سرویس Splunk , فروش لایسنس فورتیگیت ، فروش لایسنس Fortigate , فروش لایسنس cisco , راه اندازی اسپلانک ، راه اندازی Voip Cisco ، راه اندازی Citrix راه اندازی سرویس CRM ، نصب و راه اندازی MIcrosoft CRM

نصب و راه اندازی سرویس Splunk

  فعال سازی لایسنس  Splunk License 

یکی از قابلیتهای ممتاز اسپلانک را میتوان وجود نسخه تریال رایگان دانست که کاربران به راحتی و مستقیما میتوانند این نسخه تریال دو ماهه را از وبسایت شرکت اسپلانک دانلود و نصب نمایند. این در حالیست که هیچ یک از محصولات رغیب از جمله HP ArcSight  و IBM Qradar  دارای چنین امکانی نبوده و برای دریافت نسخه تریال می بایستی فرآیند پیچیده ای طی شود. نحوه عملکرد لایسنس اسپلانک نیز کاملا متفاوت از سایر محصولات است. بر خلاف لایسنس سایر محصولات که معمولا بر اساس تعداد لاگ تولید شده درثانیه(EPS)  عمل میکنند  لایسنس اسپلانک میزان حجم لاگهای ورودی در ۲۴ ساعت را مد نظر قرار می دهد. این قابلیت باعث می شود تیمهای امنیتی محدودیتی در زمینه تعداد تجهیزاتی که لاگهای خود را به سرویس SIEM  ارسال می کنند نداشته باشند.

لازم به ذکر است برای استفاده از افزونه های غیر رایگان علاوه بر تهیه لایسنس حجمی نرم افزار اصلی اسپلانک میبایستی برای آن افزونه مورد نظر نیز لایسنس حجمی جداگانه تهیه کرد.در زمینه کاربری SIEM  میتوان گفت که حتی تهیه هر دو لایسنس مورد نیاز  ( لایسنس  Splunk Enterprise و لایسنس افزونه Enterprise Security  ) به مراتب هزینه ای پایین تر  از محصولات رغیب خواهد داشت.

بیگ دیتا (Big Data) چیست؟

اصل و بنیاد تعریف بیگ دیتا (Big Data) ، تعریفی اقتصادی است. بیگ دیتا از نظر لغوی به‌معنای «داده بزرگ» است و با تجزیه و تحلیل آن می‌توان، «الگوهای پنهان»، «همبستگی‌های ناشناخته» و سایر اطلاعات مفید را استخراج کرد. در علم اقتصاد، داشتن چنین تحلیلی می‌تواند منجر به «مزیت نسبی» و جلب سود اقتصادی شود و بازاریابی موثرتر، از جمله برون‌دادهای این فرآیند تلقی می‌شود.در بیگ دیتا عموما با داده‌هایی سر و کار داریم که حجم آنها بیشتر از ظرفیت نرم‌افزارهای عادی است  بنابراین در این پروسه، حجم عظیمی از اطلاعات تفکیک نشده و ساختار نیافته در اختیار قرار می‌گیرد که ساختاربندی و کشف الگوها از دل آنها کاری دشوار محسوب می‌شود.

 

چرا بیگ دیتا (Big Data)  اهمیت دارد؟

 Big Data اصطلاحی رایج است که رشد و در دسترس بودن داده، چه ساختارمند و چه غیرساختارمند، را توصیف می ­کند.  Big Data  ممکن است به اندازه اینترنت برای کسب ­و­کار – و جامعه – مهم باشد. چرا؟ داده ­های بیشتر به تحلیل ­های دقیق تر می ­انجامد. تحلیل ­های دقیق ­تر منجر به تصمیم­ گیری­های مطمئن تری شده و تصمیمات بهتر، می ­تواند به معنای کارایی بیشتر عملیات، کاهش هزینه ­ها و کاهش ریسک­ ها باشد. مسئله واقعی این نیست که مقدار زیادی داده به دست آورید؛ این است که با آن چه می­ کنید. دیدگاه امیدوارانه این است که سازمان­ ها قادر به تحصیل داده از هر منبعی بوده، داده­ های مرتبط را تهیه کرده و آن را تحلیل کنند تا پاسخ سؤالاتی را بیابند که ۱) کاهش هزینه­ ها، ۲) کاهش زمان، ۳) توسعه محصولات جدید و پیشنهادات جدید، و ۴) تصمیم ­گیری هوشمندانه ­تر کسب ­وکار را مقدور می ­سازند. برای مثال، با ترکیب Big Data و تحلیل­ های قوی، این امکان وجود دارد تا:

علت های اصلی شکست ها، مسائل و نقوص را در لحظه تعیین کرد تا سالانه تا میلیاردها دلار صرفه­ جویی کرد.

مسیر وسیله ­های حمل بسته­ های تحویلی را زمانی که هنوز در جاده هستند، بهینه کرد.

در چند دقیقه تمام سبد ریسک را دوباره حساب کرد.

سریعاً مشتریانی که بیشترین اهمیت را دارند، شناسایی کرد.

….

Big Data واژه ­ای است برای مجموعه­ای از ست داده ­های بسیار بزرگ و پیچیده، که استفاده از ابزارهای مدیریت پایگاه داده در دست و یا برنامه ­های کاربردی سنتی پردازش داده، برای پردازش آن­ها دشوار خواهد بود. چالش­ ها شامل استخراج، Curation، ذخیره ­سازی، جستجو، اشتراک، انتقال، آنالیز و بصری ­سازی است. کار با Big Data با استفاده از سیستم ­های مدیریت دیتابیس ­های رابطه ­ای و بسته ­های بصری ­سازی و تحلیل ­های دسکتاپ، دشوار بوده و نیازمند نرم ­افزار بسیار موازی در حال کار بر روی ده­ ها، صدها و یا حتی هزاران سرور هستند. آنچه که Big Data شناخته می ­شود، بنا بر قابلیت ­های سازمان مدیریت کننده آن، و قابلیت­ های برنامه ­های کاربردی که به طور سنتی در آن زمینه داده پردازش و تحلیل می­ کنند، متفاوت است. برای برخی سازمان­ ها، رویارویی با صدها گیگابایت داده برای اولین بار ممکن است نیاز به بازبینی آپشن ­های مدیریت داده را ایجاد کند. برای برخی دیگر، ممکن است تا ده ­ها و صدها ترابایت طول بکشد که سایز داده به موضوعی قابل توجه تبدیل شود.

 

بیگ دیتا (Big Data)  در سال ۲۰۱۵

تصور شما از حجم انبوهی از داده‌ها چیست؟ یک هزار‌گیگابایت، ده‌ها هزار گیگابایت یا صدها هزار ترابایت! برای سال ۲۰۱۵ می‌توان نام‌های مختلفی یافت: سال شبکه‌های اجتماعی، سال محاسبات ابری، سال تبلت‌ها و تلفن‌های همراه هوشمند، سال سرویس‌های رنگارنگ اینترنتی و بسیاری موارد ریز و درشت دیگر. اما تنها با لحظه‌ای تأمل درخواهیم یافت که استفاده از هر یک از این ابزارهای نرم‌افزاری و سخت‌افزاری، یک نتیجه واحد در بر‌خواهد داشت: تولید داده و اطلاعات در ابعادی باورنکردنی و غیر قابل تصور…

آمار و ارقام‌ها حاکی از آن است که در حال حاضر، روزانه ۲,۵ اگزابایت (۱,۰۴۸,۵۷۶ ترابایت داده و اطلاعات توسط اشخاص و سازمان‌ها تولید می‌شود و این در حالی است که نود درصد از مجموع داده‌های موجود در جهان تنها در طول دو سال گذشته ایجاد شده‌اند. پر واضح است که این روند با گسترش روزافزون تعداد کاربران سیستم‌های ارتباطی، بدون وقفه و با شیبی مهار‌ناشدنی ادامه‌یافته و آنچه بیش از هر زمان دیگری اهمیت خواهد داشت، یافتن روش‌ها، ابزارها و مکانیزم‌هایی برای ذخیره‌، بازیابی و تحلیل این حجم از داده به‌شکلی مؤثر و با کارایی بالا است. رشد فوق‌العاده سریع حجم داده‌ها، اگرچه به‌خودی خود فرآیند ذخیره‌سازی، بازیابی و تحلیل اطلاعات را دشوار و مواجهه با آن را نیازمند ایجاد ابزارهایی جدید می‌کند، اما آنچه بحث داده و مکانیزم‌های مدیریتی آن را در پایان سال ۲۰۱۵ به‌چالش‌کشیده و به‌نوعی رویکرد اصلی‌سال آینده میلادی را در حوزه پایگاه‌های داده مشخص می‌سازد، آگاهی از این حقیقت است که نزدیک به نود درصد از کل داده‌های ذخیره‌شده در جهان دیجیتال، به نوعي غیر ساخت‌یافته (Unstructured Data) هستند و این موضوع ما را با مفهومی به‌نام «داده بزرگ» یا Big Data روبه‌رومی‌سازد.

در یک تعریف ساده و به‌دور از پیچیدگی‌های فنی، «داده بزرگ»، به مجموعه‌هایی از داده (datasets) گفته می‌شود که نرخ رشد آن‌ها بسیار بالا بوده و در مدت زمان کوتاهی، شامل چنان حجمی از اطلاعات می‌شوند که دریافت، ذخیره‌سازی، جست‌وجو، تحلیل، بازیابی و همچنین تصویرسازی آن‌ها با ابزارهای مدیریت داده موجود غیر قابل انجام خواهد بود. آنچه حائز اهمیت است، اين است که برخلاف گذشته، مفهوم داده بزرگ تنها مختص به حوزه آکادمیک و حل مسائل علمی مانند شبیه‌سازی‌های پیچیده فیزیکی، تحقیقات زیست محیطی، هواشناسی و مانند آن نبوده و بسیاری از سازمان‌ها و شرکت‌هاي بزرگ در سال‌های آینده با مشکلات مربوط به داده‌های انبوه غیرساخت‌یافته يا همان Big Data مواجه خواهند بود.

شواهد فراوانی در اثبات این ادعا وجود دارند که از آن میان می‌توان به چهل میلیارد تصویر بارگذاری شده در تنها یکی از شبکه‌های اجتماعی، ثبت تراکنش‌های یک میلیون مشتری در هر ساعت در فروشگاه‌های زنجیره‌ای والمارت به‌منظور تحلیل علایق و عادت‌های خرید ایشان با حجمی بالغ بر ۲,۵ پتابایت (هر پتابايت برابر يك هزار ترابايت) و در یک کلام تولید ۷۵ درصد از کل «داده بزرگ» توسط افراد و کاربران معمولی به میزان ۱,۳۵ زتابایت (هر زتابايت برابر یک هزار اگزابایت) اشاره کرد. این در حالی است که بر‌اساس تحقیقات به‌عمل آمده، حجم داده‌های موجود در جهان در سال ۲۰۱۵، چهل درصد افزایش یافته و به عددی بالغ بر ۲,۵۲ زتابایت خواهد رسید!

پرواضح است که چنین حجمی از داده نیازمندی‌های خاص خود را داشته و ابزارهای مختص به‌خود را می‌طلبد. ابزارهایی مانند هادوپ (Hadoop) که بدون تردید جزء موفق‌ترین نمونه‌های پیاده‌سازی شده از تفکر NoSQL حسوب می‌شود. جنبش No SQL که در ابتدا با هدف جایگزینی پایگاه‌های رابطه‌ای و با شعار پایان رابطه‌ای‌ها (No SQL) خود را معرفی‌کرد، با مقاومت بزرگان و پشتیبانان مکانیزم‌های رابطه‌ای مواجه شد. مقاومتی که باعث شد تا این جنبش نوپا به‌درستی دست از سماجت برداشته و خود را به‌عنوان راه حلی مناسب برای مسائلی که پایگاه‌های داده رابطه‌ای در حل آن با دشواری مواجه هستند، مطرح کند و شعار «نه فقط رابطه‌ای» (Not only SQL) را برای خود برگزیند.

این تغییر رویکرد، شرایط لازم را فراهم آورد تا تمامی فعالان این عرصه از موافق و مخالف بر مزایا و منافع این رویکرد تمرکز‌کرده و با مشارکت شرکت‌های‌قابل احترامی مانند یاهو و بنیاد آپاچی پروژه‌هایی مانند Hadoop، MangoDB، Cassandra، CouchDB و بسیاری از پروژه‌هاي دیگر، در جهت حل مسائل مرتبط با «داده بزرگ» پا به عرصه حیات بگذارند. رویکردی که بدون کمترین تردیدی در سال ۲۰۱۵ و سال‌های بعد از آن، در مرکز توجه بسیاری از شرکت‌های تولید‌کننده‌پایگاه‌های داده مانند آی‌بی‌ام، اوراکل، مایکروسافت و دیگران خواهد بود.

کلام پایانی آن‌که، سال ۲۰۱۵ را در بحث پایگاه‌های داده، می‌توان به‌نوعی سال پردازش داده‌های انبوه و غیر ساخت‌یافته و در یک کلام «داده‌های بزرگ» دانست. رویکردی که به‌جز ابزار و روش، به سخت‌افزارها و پلتفرم‌های پر قدرت و قابل اعتماد نیاز داشته و این در شرایطی است که بسیاری از سازمان‌ها و شرکت‌ها، حتی در صورتی که توان مالی خرید چنین تجهیزاتی را در اختیار داشته باشند، از حیث مدیریت، نگه‌داری و به‌روزرسانی و بسیاری مسائل و مشکلات مرتبط با آن، رغبت چندانی به آن نخواهند داشت.این المان‌های تصمیم‌گیری به‌ ظاهر متناقض، در عمل ما را به یاد سرویس‌های قابل ارائه در قالب محاسبات ابری (Cloud Computing) انداخته و این نکته را به‌ ذهن متبادر می‌سازد که نیاز به حجم انبوهی از ماشین‌های سرویس‌دهنده و توان پردازشی فوق‌العاده بالا در کنار عدم درگیر شدن با مسائل فنی مرتبط با زیرساخت‌های مذکور، سال آتی را به مکانی برای قدرت‌نمایی انواع سرویس‌های ابری تبديل كرده و بسیاری از شرکت‌ها به سمت استفاده از آن سوق خواهند یافت.

 SIEM چیست؟

SIEM   که در لغت به معنای امنیت اطلاعات و مدیریت رویداد نگاری می باشد از مباحث مهم در طراحی یک مرکز عملیات امنیت SOC می باشد. یکی از قسمت های اساسی در هرSOC مبحث SIEM  می باشد.

شرکت پایه ریزان فناوری هوشمند توانایی ارائه مشاوره و راه اندازی راهکارهای Splunk را دارد، جهت مشاوره با کارشناسان ما تماس بگیرید

SIEM برگرفته از دو راه حل متفاوت است که شامل:

Security Information Managemen – SIM

Security Event Management – SEM

سیستم SIEM تجزیه تحلیل های Real-Time از هشدارهای امنیتی دستگاه ­ها و نرم افزارهای شبکه را فراهم می آورد .راه حل های SIEM مشتمل بر نرم افزار ،سخت افزار و سرویس ها ،به منظور وقایع نگاری امنیتی و ارائه گزارش های امنیتی می باشد .کلمات اختصاری SIEM,SEM,SIM را می توان در مواردی به جای یکدیگر به کار برد هر چند که اصولاً معانی متفاوتی دارند.در مباحثی نظیر مدیریت امنیت که با Real-time Monitoring ،وقایع نگاری، هشدارها و مسائلی از این دست سر و کار دارد معمولاً با کلمه SEM همراه می شود.مبحث دیگر که شامل تحلیل و آنالیز Log ها و گزارش دهی می گردد معمولاً به عنوان SIM همراه می شود .

 

کاربردهای SIEM  چیست؟

موارد عمده استفاده از ابزارهای SIEM را می توان در سه حوزه زیر بیان کرد:

Security detective و investigative: این حوزه گاهی لقب threat management را نیز به خود اختصاص می دهد از آنجاییکه بر روی شناسایی و واکنش و در واقع پاسخ به حملات، نفوذ بدافزار ها، دسترسی غیر مجاز به داده ها و اطلاعات  و سایر مسائل امنیتی تمرکز دارد.

Compliance regulatory و policy : تمرکز این قسمت بر روی  قوانین و سیاست های مورد نیاز و همچنین  احکام تعیین شده در سازمان ها می باشد.

Operational, system and network troubleshooting و normal operation: که اغلب بر روی مدیریت log ها تمرکز دارد و با بررسی و یافتن مشکلات سیستم، بمنظور امکان دسترس پذیری سیستم ها و برنامه های کاربردی در صدد رفع این مشکلات بر می آید.

نصب و راه اندازی سرویس Splunk بعنوان راهکار SOC

البته برای بکارگیری سامانه SIEM می توان به چند سناریوی کاربردی در سازمان ها نیز اشاره کرد:

اولین سناریو، SOC و در واقع مرکز عملیات امنیت می باشد که در  آن از ویژگی های  تکنولوژی SIEM  نظیر  بررسی و correlation بصورت آنی و لحظه ای استفاده می شود. سازمان با استقرار و توسعه SIEM می تواند تحلیل های آنلاینی بصورت ۲۴*۷ داشته باشد و می تواند از هشدارهای امنیتی استفاده کند.

کاربرد دیگر استفاده، در سناریو mini-SOC است. در این موارد پرسنل امنیتی بمنظور  چک کردن  مسائل امنیتی از  بررسی هایی که بصورت آنی و لحظه ای (non real-time) نمی باشد بهره  می برند. تحلیلگران فقط در ساعات محدودی از روز بصورت آنلاین هستند و تنها مسئولیت بررسی مجدد  هشدارها و  گزارش های مورد نیاز را بر عهده دارند.

سناریو بعدی  یک automated SOC می باشد که در این صورت سازمان ها SIEM را بصورت  alert based مبتنی بر rule ها پیکربندی و تنظیم می کنند و در واقع می توان گفت زمانی به آن توجه میکنند که هشداری از جانب SIEM برای آن ها ارسال شود. در این صورت تحلیلگران  در صورت نیاز  به بررسی هشدارها و بازبینی مجدد گزارش ها به سراغ آن میروند که این کار میتواند بصورت هفتگی و یا حتی ماهیانه صورت پذیرد. این عملکردی است که بسیاری از سازمان های کوچک خواهان آن هستند  و در واقع برای تولید کنندگان ابزار SIEM  در مقیاسی کوچک و محدود مطلوب می باشد چرا که امکان سفارشی سازی بطور گسترده برای آن ها وجود ندارد.

تکنولوژی log management دارای نقشی در سناریو های دیگری است که در واقع خارج از حیطه امنیتی می باشند. مدیریت سیستم ها و شناسایی و رفع خطاهای برنامه های کاربردی دو دلیل استفاده  از سیستم های مدیریت log ها هستند. با توسعه و پیکربندی برنامه های کاربردی، سیستم مدیریت log ها بمنظور  بررسی log های حاصل از آن ها  و بررسی خطاها مورد استفاده قرار میگیرد. همچنین این ابزار می تواند بمنظور  بررسی رفتار نرمال برنامه های کاربردی و اطمینان از صحت و کارکرد درست  آن ها استفاده شوند.

سناریو دیگر برای تکنولوژی log management، گزارش دهی وضعیت انطباق است. (Compliance status reporting) .  در این صورت تحلیلگران  و یا مدیران امنیتی  گزارش ها را  با توجه به مسئله compliance مورد بازبینی و بررسی قرار می دهند. این بررسی ها بصورت هفتگی و یا ماهیانه و یا در صورت اعمال قانون و مقررات خاصی صورت می پذیرند. باید توجه کرد که در این شرایط لزوما یک دیدگاه و تمرکز امنیتی و عملکردی (اجرایی) وجود ندارد. این موارد کاربرد عموما بصورت یک فاز گذرا و انتقالی هستند و با احتمال زیادی بسمت سناریو ها و در واقع کاربردهای گسترده تر و بالغ تری حرکت خواهند کرد. در این موارد عموما ابزارهای log management می توانند بسیار مفید واقع شده و استفاده از ابزراهای SIEM چندان رایج نمی باشد. ( برای compliance)

نگهداری log ها بمنظور compliance از اهمیت بالایی برخوردار است اما نگهداری log ها برای طولانی مدت خود بعنوان چالش بزرگی مطرح می شود.
استانداردهای PCI DDS – Payment Card Industry Data Security ، FISMA – Federal Information Security Management Act و HIPAA – Health Insurance Portability and Accountability Act نمونه هایی از این استانداردها بمنظور اعمال Compliance می باشند.

در پایان ذکر این نکته ضروری است که هر سازمان باید با توجه به نیاز خود به تهیه ابزارهای کاربردی اقدام نماید. اما آنچه مهم است این نکته است که امروزه سامانه های SIEM به قدری توانمند شده اند که علاوه بر اینکه بخش Log Management را بصورت یک ماژول مستقل در دل خود دارند بلکه فارغ از اندازه سازمان قابلیت بکارگیری دارند. همینطور نیاز ایجاد و بکارگیری مراکز عملیات امنیت (SOC) بکارگیری سامانه های SIEM را کاملا توجیه پذیر می نماید.شرکتهای مختلفی محصولاتی را در زمینه SIEM  ارئه داده اند که از اصلی ترین و کاربرترین آنها میتوان به IBM Qradar, HP ArcSight و Splunk Enterprise  اشاره کرد.تمرکز ما بر روی اقتصادی ترین و کاملترین این محصولات یعنی Splunk Enterprise  می باشد لذا در ادامه به توضیح و تفصیل این محصول قدرتمند می پردازیم.

راه اندازی سرویس , اسپلانک راه اندازی , سرویس Splunk , فروش لایسنس اسپلانک , درباره اسپلانک ,  سرویس اسپلانک  چیست ,  راه اندازی Splunk ,  تنظیمات Splunk , آموزش Splunk , نصب و راه اندازی اسپلانک ، نصب و راه اندازی Splunk , فروش لایسنس Splunk , فروش License Splunk

آشنایی با سرویس Splunk

آشنایی با سرویس Splunk

اسپلانک (Splunk)چیست؟

اگر شما جز متخصصین شبکه و امنیت باشید مطمئنا اسم اسپلانک به گوش شما خورده است اما اسپلانک واقعا چیست و چه تمایزی با محصولات رقیب دارد؟

شرکت اسپلانک در سال ۲۰۰۳ میلادی شروع به کار کرده و اولین تفاوت آن با سایر رقبا را میتوان تمرکز این شرکت صرفا روی تولید محصولات تخصصی Big Data و SIEMدانست که در هیچ زمینه دیگری فعالیتی ندارد. این شرکت دارای بیش از ۲۰۰۰  کارمند می باشد که تمامی آنها فقط در زمینه های یاد شده فعالیت میکنند و به همین سبب اسپلانک دارای بیشترین سهم  از تعداد مشتریان در این بازار میباشد. ( بیش از ۱۰ هزار مشتری در بیش از یکصد کشور دنیا )

شرکت پایه ریزان فناوری هوشمند توانایی ارائه مشاوره و راه اندازی راهکارهای Splunk را دارد، جهت مشاوره با کارشناسان ما تماس بگیرید

درباره سرویس Splunk

از زمان تاسیس تا کنون، اسپلانک شرکت های کوچک و استارآپهای بسیاری را خریداری و به مجموعه خود الحاق کرده است که این امر روز به روز اسپلانک را جامعتر و قدرتمند ساخته است. محصول اصلی تولیدی این شرکت با نام Splunk Enterprise   شناخته میشود که تمامی محصولات دیگر این شرکت را میتوان مکمل زیر مجموعه Splunk Enterprise  دانست. این محصول هسته هوشمند و قدرتمند شرکت اسپلانک برای Big Data  و SIEM  است که با نصب و افزودن چند صد افزونه رایگان و  مختلف موجود، میتوان آنرا بسیار کارآمدتر و کاربردی تر ساخت.

Splunk Enterprise چیست و چه قابلیتهایی را به ارمغان می آورد؟

این نرم افزار را میتوان مشابه موتور جستجوی Google برای LogFile های تولیدی در یک شبکه از تجهیزات رایانه ای و الکترونیکی دانست که هیچگونه وابستگی به نوع و فرمت این Log  ها وجود ندارد و صرف متنی بودن آنها کفایت میکند تا بتوان آنها را به Splunk Enterprise  وارد کرد. مثالهای مختلفی از منابع تولید این گزارش های میتوان نام برد.

انواع گزارش های SPlunk :

گزارش های ایجاد شده  Splunk توسط تجهیزات امنیتی از قبیل IPS, Firewall, Anti-Virus

گزارش های ایجاد شده Splunk توسط تجیزات زیرساخت از قبیل Switch, Router, Modem

گزارش های ایجاد شده Splunk توسط نرم افزارهای داخلی از قبیل بانکداری، اتوماسیون ، مالی ، انبار

گزارش های ایجاد شده Splunk توسط سرویسهای داخلی ار قبیل AD, DNS, IIS, Apache, DHCP

گزارش های ایجاد شده Splunk توسط سیستم عاملهای مختلف از قبیل Windows, Linux, MacOS

گزارش های ایجاد شده Splunk  توسط تجهیزات هوشمند و همراه از قبیل گوشی و تبلت

گزارش های ایجاد شده Splunk توسط تجهیزات الکترونیکی از قبیل دربهای برقی ، آسانسور ، حسگرها ، کنترل تردد

درباره Splunk Enterprise

Splunk Enterprise  تمام لاگهای تولید شده توسط موارد نام برده را یکجا دخیره و دسته بندی میکند و به ما این امکان را میدهد که بتوانیم ارتباط بین تغییرات و رخدادهای گوناگون در بخشهای مختلف را پیدا و برای اصلاح یا رفع آن اقدام نماییم.

علاوه بر این میتوان با نصب و استفاده از افزونه های مختلف  روی Splunk Enterprise که شرکت اسپلانک اکثر آنها را به صورت رایگان ارائه میدهد از  Splunk Enterprise  به عنوان یک نرم افزار مانیتورینگ ۳۶۰  استفاده کرد بدون نیاز به افزودن SNMP یا موارد دیگری که سایر محصولات مشابه نیاز دارند

در ادامه به معرفی برخی از پرکاربردترین این افزونه ها می پردازیم:

معرفی افزونه های Splunk

Cisco Security Suite App در Splunk

افزونه بسیار کاربردی  و مفید برای مانیتوریگ تمامی محصولات امنیتی سیسکو از قبیل ASA, IPS, FirePower, FWSM, ASAM, ISE, ACS, WSA, ESA به صورت یکپارچه و و آنلاین

Cisco Networks App در Splunk

یکی ار محبوبترین افزونه های موجود که میتوان از آن برای مانیتوریگ تمامی تجهیزات زیرساختی سیسکو از Catalyst, Nexus, ISR , ISR G2, ASR , CSR  به صورت یکپارچه و و آنلاین استفاده کرد

Microsoft Windows App در Splunk

افزونه ای برای مانیتورینگ وضعیت و صحت عملکرد تمامی سیستم عاملهای مایکروسافتی

Stream App در Splunk

افرونه ای بسیار کاربردی برای Capture  و تحلیل لحظه ای ترافیک عبوری از یک لینک یا پورت مورد نظر

F5 Networks App در Splunk

افزونه ای جهت مانیتورینگ تمامی تجهیزات ونرم افزارهای شرکت f5

Web Analytics App  در Splunk

افرونه ای کامل و کاربردی برای مانیتوریگ وضعیتها وبسایت

Windows Security Operation Center App در Splunk

افزونه ای برای بررسی و تحلیل رخدادهای امنیتی در شبکه های ماکروسافتی و سرویسهای وابسته از قبیل AD, NTLM, DNS, DHCP

در مجموع میتوان گفت حدود هزار افزونه مختلف و رایگان مشابه مواردی که نامبرده شد توسط شرکت اسپلانک ارائه شده که تقریبا تمامی برندهای معروف از قبیل Juniper, Fortinet, Citrix, Redhat  و … را در بر میگیرد.همچنین شرکت اسپلانک تعداد محدودی افرونه غیر رایگان نیر ارائه میدهد که مشتریان بنا به نیاز خود با پرداخت مبالغ مشخص میتوانند این افرونه ها را به صورت مدت دار یا نامحدود استفاده نمایند ، لیست افزونه های یاد شده به شرح ذیل می باشد:

پیاده سازی سرویس Splunk  در بحث SIEM

اصلی ترین افزونه اسپلانک که با استفاده از آن میتوان Splunk Enterprise  را به یکی از قدرتمندترین SIEM  های دنیا تبدیل کرد.این افزونه لاگهای ایجاد شده از تمامی تجهیزات و نرم افزارهای امنیتی موجود از لبه بیرونی شبکه گرفته تا سیستم کاربران را به صورت یکجا جمع آوری ، تحلیل و گزارش می دهد. این افزونه تیم های امنیتی را قادر میسازد تا به سرعت تمامی حملات شناخته شده و حتی شناخته نشده داخلی و خارجی را تشخیص و اقدامات لازم را انجام دهند.لازم به ذکر است هیچگونه محدودیتی در زمینه برند و مدل تجهیزات امنیتی مورد استفاده وجود ندارد و این افزونه قابلیت همخوانی با تمامی تجهیزات امنیتی را داراست.

برخی از امکانات ارائه شده توسط این افزونه به شرح ذیل است:

  • مانیتورینگ لحظه ای و دوره ای وضعیت امنیتی شبکه و رخدادهای امنیتی بر اساس الویتهای دلخواه و سفارشی سازی شده
  • اولیت بندی رخداد ها و تعریف عکس العملهای متناسب با هر رخداد
  • تعریف Search  های مختلف و دلخواه روی لاگهای موجود به منظور یافتن رفتارهای غیر عادی در شبکه
  • تعریف آنالیزهای پویا و به روز به منظور یافتن فعالیتهای مخرب در شبکه به صورت خودکار

 

استفاده Splunk در مانیتورینگ شبکه :

نسل جدید مانیتورینگ و آنالیز شبکه به منظور دریافت اطلاعات دقیق و کابردی از وضعیت عملکرد و کارایی شبکه.برخی از قابلیتهای این افزونه به شرح ذیل است:

  • ارائه مانیتورینگ مرکزی ، یکپارچه و هوشمند از تمامی اجزای مختلف شبکه
  • همسان سازی سرویسهای مختلف با رویدادهای مختلف از طریق فناوری قدرتمند KPI
  • آنالیز رفتار شبکه و دیتای موجود به منظور  یافتن رفتارهای غیر استاندارد و پیدا کردن علت این رفتار
  • قابلیت بررسی دقیق و جزئی دیتا مورد نظر به منظور یافتن علت رخدادهای مختلف

نقش Splunk در شناسایی ویروس ها

با استفاده از این افزونه و با کمک حجم عظیمی از اطلاعات و گزارشهای کاربردی  تیم های امنیتی قادر خواهند بود تهدیدات و حملات داخلی را به راحتی شناسایی و ردیابی کنند.برخی از قابلیتهای این افوزنه به شرح ذیل است

  • شناسایی آلودگی های ویروسی و تهدیدات داحلی بدون استفاده از Signiture, Rule, Policy  و آنالیزهای انسانی
  • بهبود فرآیند شناسایی تهدید و عکس العمل به کمک سنسورهای پیشرفته و کارآمد
  • ارائه گزارهاش مفید و کاربردی به صورت خلاصه یا زنجیره ای به منظور افزایش کارایی بخش SOC
  • قابلیت یکپارچه سازی با Enterprise Security  و IT Service Intelligent  به منظور دستیابی به بهترین و کاملترین حالت عملکرد

راه اندازی سرویس , اسپلانک راه اندازی , سرویس Splunk , فروش لایسنس اسپلانک , درباره اسپلانک ,  سرویس اسپلانک  چیست ,  راه اندازی Splunk ,  تنظیمات Splunk , آموزش Splunk , نصب و راه اندازی اسپلانک ، نصب و راه اندازی Splunk , فروش لایسنس Splunk , فروش License Splunk

راه اندازی فایروال سیسکو فایرپاور در دیتا سنتر CISCO ASA FIREPOWER DataCenter

دیتاسنترها دنیای پیچیده ای دارند که نه تنها مجموعه غنی از سرویس ها و معماری ها را فراهم می آورند، بلکه میزبان مهمترین دارایی شرکت ها نیز هستند؛ به همین علت بررسی مداوم رخدادهای دیتاسنترها اهمیت فراوانی دارد. عبارت های “north-to-north” و  “east-to-west” معمولا برای شرح انواع ارتباطات به خارج از دیتاسنترها استفاده می شود:

-north-to-north ارتباطات میان کاربران انتهایی و نهادهای خارج از دیتاسنترها توصیف می کند.

-east-to-west ارتباطات میان نهادهای نهادهای داخل دیتاسنترها را توصیف می کند.

شکل زیر مفهوم ارتباطات “north-to-north” و  “east-to-west”را شرح می دهد.

 

 Data Center North-to-South and East-to-West Communication

دیتاسنترها الزامات متفاوتی چون عملکرد بالا، تاخیر پایین و دسترس پذیری بالا را دارند، علاوه بر این اعمال خودکار مقررات ، کنترل هماهنگی، مانیتورینگ و ابزارهای مدیریتی بسیار مهم است.

شرکت پایه ریزان فناوری هوشمند توانایی ارائه مشاوره و راه اندازی راهکارهای CISCO ASA FIREPOWER را دارد، جهت مشاوره با کارشناسان ما تماس بگیرید

پایه و اساس  دیتاسنترها:

این بخش اولین بلوک ساخت دیتاسنتر است که همه سرویس ها بر آن استوار خواهند بود، صرف نظر از اندازه دیتاسنتر پایه می بایست مقیاس پذیر، مرتجع و انعطاف پذیر باشد تا امکان حفاظت مطمعن و کارآمد از سرویس های دیتاسنتر را داشته باشد؛ پایه دیتاسنتر محاسبات مورد نیاز جهت پشتیبانی از نرم افزارهای پردازش کننده اطلاعات و ترابری یکپارچه میان سرور، storage و کاربران استفاده کننده از نرم افزارها را فراهم می آورد.

آشنایی با سرویس های دیتاسنتر:

 این سرویس ها شامل عناصر زیرساخت برای ارتقا امنیت نرم افزارها و دسترسی به اطلاعات حیاتی  هستند، همچنین سرویس های سوئیچیگ مجازی جهت توسعه یکپارچه از پایه شبکه تا سیستم های Hypervisor سرورها جهت بهبود کنترل و کاهش هزینه های عملیاتی، در نظر گرفته شده است.

سرویس های کاربر: این سرویس ها شامل ایمیل، پردازش درخواست ها، به اشتراک گذاری فایل ها و یا هر نرم افزار دیگری در دیتاسنتر که سرویس های دیتاسنتر وابسته و متکی به آن است؛ مانند نرم افزارهای دیتابیس، شبیه سازی و پردازش تراکنش ها است.

شکل زیر به شرح عناصر یک دیتابیس و معماری آن می پردازد.

شکل – معماری سرویس های یک دیتاسنتر

نمونه هایی از عناصر الحاقی سرویس های دیتاسنتر به شرح ذیل است:

ماژول های فایروال سیسکو فایرپاور در دیتا سنتر

فایروال ها(در مثال شرح داده شده در شکل زیر ماژول سیسکو ASA FirePOWER استفاده شده است.)

  • IPS
  • Application delivery
  • توزیع بار در سرورها
  • ابزارهای تحلیل شبکه ( مانند NetFlow )
  • استقرار و توزیع سرویس های مجازی سازی به همراه ماشین های مجازی
  • هدایت ترافیک شبکه از طریق vPath و Nexus1000v
  •  Application Centric Infrastructure ACI چارچوب اتوماتیک برای الحاق سرویس ها

در محیط های مجازی می توان از سیسکو ASAV جهت حفظ ارتباط میان ماشین های مجازی  استفاده کرد؛ ماژول سیسکو ASA FirePOWER در چنین محیط هایی کاربرد نخواهد داشت به همین علت در چنین سناریو هایی از ماشین مجازی سیسکو FirePOWER  به همراه AMP استفاده می شود.

 نکته

سیسکو ASAv در هر دو حالت دیتاسنترهای قدیمی و محیط های سیسکو ACI قابل استفاده است، همچنین می توان از آن در محیط ابر نیز بهره برد ( مانند  Amazon Web Services AWS )

ماژول سیسکو ASA FirePOWER در بخش هایی که از لحاظ جغرافیایی پراکنده هستند نیز قابل استقرار است.

شکل زیر مثالی از نحوه استفاده از ماژول در دو موقعیت مجزا را نشان می دهد ( siteA و  siteB )

شکل- ماژول سیسکو ASA FirePOWER در دو دیتاسنتر از دید جغرافیایی پراکنده

همانطور که در شکل بالا مشاهده می شود خوشه ای متشکل از چهار سیسکو ASA در میان دو دیتاسنتر قرار گرفته است، که از  cluster control links CCL که در لایه ۲ با تاخیر کمتر از ۱۰ میلی ثانیه کار میکند، استفاده می کند. یک spanned EtherChannel در سمت خوشه برای داده های گذرا، یک Data Lik محلی به همراه EtherChannel در سوئیچ  های هر سمت پیکربندی شده اند.

  •  نکته

Data VLAN بین سوئیچ برای جلوگیری از ایجاد loop در شبکه، تعمیم نیافته است.  

نرم افزار FTD در یکپارچه سازی فایروال سیسکو

نرم افزار FTD نرم افزار یکپارچه ای است که سرویس های نسل جدید فایروال ها شامل موارد زیر را فراهم می آورند:

  • قابلیت های فایروال های حالتمند
  • روتینگ استاتیک و پویا
  • NGIPS
  • AVC
  • فیلترینگ URL
  • AMP

در سیسکو ASA ، FTD را می توان در حالت های Single context، Routed و یا Trasnsparent استفاده کرد.

مدل های سیسکو ASA زیر نرم افزار FTD را پشتیبانی و بازخوانی می کنند.

فایروال سیسکو فایرپاور ASA 5506-X ، ASA 5506W-X فایروال سیسکو فایرپاور ، ASA 5506H-X فایروال سیسکو فایرپاور، ASA 5508-X  فایروال سیسکو فایرپاور، ASA 5512-X فایروال سیسکو فایرپاور ، ASA 5515-X ، ASA 5516-Xفایروال سیسکو فایرپاور  ،فایروال سیسکو فایرپاور  ASA 5525-X فایروال سیسکو فایرپاور ،  ASA 5545-X فایروال سیسکو فایرپاور ،فایروال سیسکو فایرپاور  ASA 5555-X

برای بازخوانی مدل های مختلف سیسکو ASA ملزم به تهیه پیش نیازهای زیر هستید:

  • حساب کاربری سیسکو، که در Cisco Software Central به آدرس https://software.cisco.com ایجاد می شود.
  • به صورت دوره ای نسخه های جدید نرم افزار FTD را که مشخصه های جدید به آن اضافه شده بررسی کنید.
  • یک لایسنس پایه به حساب کاربری خود اضافه کنید.
  • باید به صورت فیزیکی یا مجازی به FMC دسترسی داشته باشید.
  • دسترسی مستقیم و یا از طریق ترمینال سرور به پورت کنسول ابزارهای سیسکو ۵۵۰۰-X که FTD در آن نصب می شود.
  • پشتیبان گیری از پیکربندی های موجود.
  • توجه به این مساله که با نصب FTD جدید تمام نسخه های قدیمی و پیکربندی آن ها از بین خواهد رفت.
  • حداقل فضای مورد نیاز وجود داشته باشد ( ۳GB و فضای مورد نیاز برای نرم افزار BOOT باید در Flash(disk0) موجود باشد).
  • باید یک SSD در سیسکو ASA موجود باشد.
  • دسترسی به TFTP جهت نگهداری از FTD image مورد نیاز است.

 خلاصه

ماژول Cisco ASA FirePOWER قابلیت مشاهده شبکه، پیاده سازی سیاست ها وحفاظت پیشرفته در مقابل تهدیدها را فراهم می کند. در این فصل به معرفی ماژول سیسکو ASA FirePOWER پرداخته و حالت های مختلف کاری آن Inline و Promiscuous پرداخته شد؛ در این فصل راهکارهای مختلف مدیریت ماژول با توجه به نیاز و وسعت شبکه و همچنین مسائل موجود در ارتباط با سازگاری و لایسنس های مشخصه های متفاوت بیان گردید.

فروش فایروال سیسکو , فروش لایسنس فایروال سیسکو , فایروال سیسکو ASA FirePower , فروش لایسنس فایرپاور,فروش لایسنس FirePOWER , لایسنس CUCM , لایسنس Webex , راه اندازی سیتریکس , فروش لایسنس ,سیتریکس , لایسنس Citrix , راه اندازی Splunk , فروش لایسنس Splunk , فروش لایسنس Remote Desktop مایکروسافت , فروش لایسنس Splunk ، راه اندازی سرویس Splunk , فروش لایسنس فورتیگیت ، فروش لایسنس Fortigate , فروش لایسنس cisco , راه اندازی اسپلانک ، راه اندازی Voip Cisco ، راه اندازی Citrix راه اندازی سرویس CRM ، نصب و راه اندازی MIcrosoft CRM

راه اندازی VPN در فایروال سیسکو فایر پاور ASA

راه اندازی فایروال سیسکو فایرپاور در Internet Edge

ماژول Cisco ASA FirePOWER قابلیت های بی نظیری در حفاظت از شبکه های شرکت ها در مقابل تهدیدات اینترنتی فراهم آورده است. بسیاری از شرکت ها در وسعت های مختلف  ماژول Cisco ASA FirePOWER را در Internet Edge  قرار داده اند. شکل زیر نحوه توسعه ماژول Cisco ASA FirePOWER در Internet edge در شرکت رالی کالیفرنیای شمالی نمایش داده شده است.

شکل – نحوه توسعه ماژول Cisco ASA FirePOWER در Internet edge

شرکت پایه ریزان فناوری هوشمند توانایی ارائه مشاوره و راه اندازی راهکارهای سیسکو فایر پاور ASA را دارد، جهت مشاوره با کارشناسان ما تماس بگیرید

توسعه ماژول سیسکو ASA FirePOWER در سناریو های VPN

ماژول سیسکو ASA FirePOWER را  میتوان در محیط های شامل Site-to-Site VPN و Remote-acess VPN نیز مستقر کرد؛ پیشتر در ارتباط با فرایند رمزگشایی پکت پیش از ارسال به ماژول توسط سیسکو ASA صحبت شده است، پکت ها پس از شناسایی توسط ماژول برای ارسال دوباره به سیسکو ASA رمزگذاری می شوند. شکل زیر ماژول مستقر شده در یک شرکت در نیویورک که مقصد تونل SSL and IPsec (IKEv2) VPN  کلاینت هایی است که از طریق اینترنت به ان متصل می شوند، را نشان می دهد.

شکل – ماژول Cisco ASA FirePOWER در سناریو remote-access VPN

شکل زیر  نحوه استقرار ماژول سیسکو ASA FirePOWER در شعب مرکزی یک شرکت در نیویورک و شعبه رالی، ASA1 شعبه کالیفرنیای شمالی ASA2، که site-to-site IPsec VPN tunnel برقرار کرده اند، را نشان می دهد؛ علاوه بر این ASA2 مقصد site-to-site IPsec VPN tunnel به روتر شماره R1 که جهت برقراری ارتباط با شریک تجاری در لاسوگاس است.

 

شکل – Cisco ASA FirePOWER Module in a Site-to-Site IPsec VPN Scenario

در مثال شکل بالا ماژول Cisco ASA FirePOWER شبکه را در مقابل تهدیدات شبکه های شرکت ها در شعب دور دست حفاظت می کند.

فروش فایروال سیسکو , فروش لایسنس فایروال سیسکو , فایروال سیسکو ASA FirePower , فروش لایسنس فایرپاور,فروش لایسنس FirePOWER , لایسنس CUCM , لایسنس Webex , راه اندازی سیتریکس , فروش لایسنس ,سیتریکس , لایسنس Citrix , راه اندازی Splunk , فروش لایسنس Splunk , فروش لایسنس Remote Desktop مایکروسافت , فروش لایسنس Splunk ، راه اندازی سرویس Splunk , فروش لایسنس فورتیگیت ، فروش لایسنس Fortigate , فروش لایسنس cisco , راه اندازی اسپلانک ، راه اندازی Voip Cisco ، راه اندازی Citrix راه اندازی سرویس CRM ، نصب و راه اندازی MIcrosoft CRM

سرویس های سیسکو ASA FirePOWER و خوشه بندی آنها

تا حدود ۱۶ ابزار سیسکو ASA مشابه را می­توان در یک خوشه قرار داد تا با هم به عنوان یک سیستم عمل کنند، در این حالت ASA همچنان از مزایای failover بهره­مند است؛ در یک خوشه از آدرس­های IP و MAC مجازی برای افزونگی First-hop استفاده می­شود.

کلیه اعضای یک کلاستر ملزم به داشتن تنظیمات سخت­افزاری، SSP، ماژول­ های نرم­افزاری و کارت رابط یکسانی هستند. شکل زیر سه سیسکو ASA که به صورت یک کلاستر پیکربندی شده ­اند، را نشان می­دهد.

 

شکل – خوشه­ بندی سیسکو ASA

در یک خوشه سیسکو ASA تنظیمات به کلیه اعضا انعکاس داده می شود و وضعیت ارتباط ها پس از وقوع هرگونه مشکلی در یکی از اعضا، حفظ می شود.

شرکت پایه ریزان فناوری هوشمند توانایی ارائه مشاوره و راه اندازی راهکارهای ASA FirePOWER را دارد، جهت مشاوره با کارشناسان ما تماس بگیرید

سیسکو ASA خوشه بندی شده موجب تقارن جریان و دسترس پذیری عالی برای ماژول سیسکو ASA FirePOWER می شود؛ پکت ها و جریان ها توسط ماژول کنار گذاشته نمی شوند لیکن به شکل “drop” و یا “drop with TCP reset” علامت گذاری شده به سیسکو ASA ارسال می شوند؛ این شیوه در صورت لزوم، امکان پاک کردن جدول وضعیت ارتباطات و بازنشانی TCP، را در اختیار سیسکو ASA قرار می دهد.

زمانیکه خوشه بندی پیکربندی شده باشد، توزیع بار stateless  از طریق IP روتینگ و یا spanned etherchannel with LACP امکان پذیر می شود، علاوه بر این کلیه اداوات سیسکو ASA هریک به یک اینترفیس منطقی با زیرشبکه  یکسان متصل شده اند.

شکل زیر سیسکو ASA خوشه بندی شده از طریق spanned EtherChannel را نشان می دهد.

 

شکل- خوشه­بندی سیسکو ASA

همچنین می توان خوشه بندی را در وضعیت اینترفیس اختصاصی پیکربندی کرد، که این حالت در سیسکو ASA که در وضعیت routed (لایه ۳) پیکربندی شده اند امکان پذیر است. شکل زیر سیسکو ASA خوشه بندی شده در حالت اینترفیس اختصاصی را نشان می دهد.

 

شکل- خوشه­ بندی سیسکو ASA

در این حالت مدیر خوشه یک آدرس IP مجازی در اینترفیس Data برای مدیریت خوشه در اختیار دارد، کلیه اعضا آدرس های IP اینترفیس data خود را به ترتیبی که عضو خوشه شده اند از IP address  pool دریافت می کنند.

انتخاب اعضای یک خوشه در فایروال سیسکو فایر پاور

زمانی که سیسکو ASA به شکل خوشه پیکربندی می شود یک عضو به عنوان پایه و بقیه سیسکو ASA پیرو خواهند بود، پایه اولین واحدی است که عضو خوشه شده است؛ پایه جدید تنها در صورت بروز هرگونه مشکل در پایه خوشه انتخاب خواهد شد. کلیه توابع و ابزارهای مدیریتی در واحد مدیریت متمرکز شده است و چنین تنظیماتی در واحد های پیرو مسدود شده اند. شکل زیر فرایند انتخاب واحد های پیرو و پایه را نشان می دهد.

شکل- فرایند انتخاب واحد های پیرو و پایه

مراحل زیر در شکلبالا شرح داده شده است:

گام اول: سیسکو ASA با قابلیت خوشه بندی پس از BOOT به جستجوی پایه خوشه می پردازد.

گام دوم: تا ۴۵ ثانیه منتظر پاسخ از پایه خوشه باقی می ماند، چنانچه هیچ پاسخی دریافت نشود فرض اولین ابزاری که به عضویت خوشه درآمده است به عنوان پایه خوشه در نظر گرفته می شود، در نظر گرفته  می شود.

 گام سوم: اگر پایه خوشه وجود داشته باشد سیسکو ASA نقش پیرو را به عهده می گیرد و تنظیمات و پیکربندی اش را با سیسکو ASA که پایه خوشه است همگام سازی می کند.

گام چهارم: پایه تنها یک واحد را در هر لحظه پذیرش می کند.

گام پنجم: پیرو خوشه آماده انتقال ترافیک خواهد بود.

مالکیت آدرس های IP مجازی بر عهده اتصالات پیرو است و پایه و پیرو خوشه هر دو به شکل منظم اتصالات گذرا را مورد بررسی قرار می دهند. اگر پایه خوشه دچار مشکل شود کلیه اتصالات و ترافیک مدیریتی متمرکز شده در آن دوباره برقرار خواهد شد.

چگونگی برقراری و ردیابی اتصالات در یک خوشه فایروال سیسکو FirePOWER

در این بخش به شرح چگونگی برقراری و ردیابی اتصالات در یک سیسکو ASA که به شکل خوشه

پیکربندی شده است پرداخته می شود.

چگونگی برقرار یک ارتباط TCP جدید در خوشه

شکل زیر به شرح چگونگی برقراری یک ارتباط TCP جدید در یک خوشه می پردازد.

 

شکل – چگونگی برقراری یک ارتباط TCP جدید در یک خوشه

 

 

 

مراحل نشان داده شده در شکل بالا به شرح زیر است:

گام اول: یک ارتباط TCP جدی از سمت کلاینت دریافت می شود.(TCP SYN)

گام دوم: سیسکو ASA که TCP SYN را دریافت کرده است مالک این جریان شده و آن را به cookie خود اضافه می کند.

گام سوم: سرور از طریق یک واحد دیگر در خوشه پاسخ TCP SYN ACK را ارسال می کند.

گام چهارم: اگر سیسکو ASA دیگری در خوشه پاسخ را دریافت کند پکت را به سمت Flow owner ارسال کرده و خود Flow forwarder  آن می شود.

گام پنجم: Flow owner پکت TCP SYN را به کلاینت ارسال می کند.

گام ششم: Flow owner مراحل flow را با اطلاعات ارتباطات به روز رسانی می کند.

چگونگی برقراری و ردیابی یک ارتباط UDP جدید در یک خوشه

شکل زیر چگونگی برقراری و ردیابی ارتباط UDP جدید و یا pseudo-stateful connection در یک خوشه را شرح می دهد.

شکل – برقراری و ردیابی ارتباط UDP جدید

 

مراحل نشان داده شده در شکلبالا به شرح زیر است:

گام اول: یک ارتباط UDP جدید و یا pseudo-stateful connection از کلاینت دریافت می شود.

گام دوم: سیسکو ASA که استعلام وجود ارتباط را دریافت کرده است به بررسی جریان ارتباطات با میزبان می پردازد.

گام سوم: اگر ارتباط وجود داشته باشد سیسکو ASA که پکت را دریافت کرده است به عنوان flow owner خواهد شد.

گام چهارم: پکت به سرور تحویل داده می شود.

گام پنجم: Flow owner اطلاعات ارتباطات هدایت کننده را به روز رسانی می کند.

گام ششم: سرور به کلاینت پاسخ می دهد. اگر سیسکو ASA دیگری پاسخ را دریافت کند، پکت را به سمت Flow owner ارسال کرده و flow forwarderx آن می شود.

گام هفتم: Flow forwarder  در لیست جستجوهای هدایت کننده به جستجوی Flow owner می پردازد.

گام هشتم: هدایت کننده اطلاعات Flow forwarder را از طریق flow owner به روز رسانی می کند.

گام نهم: Flow forwarder به سرور پاسخ می دهد.

گام دهم: سرور پاسخ را به کلاینت تحویل می دهد.

ارتباطات متمرکز شده در خوشه Cisco FIREPOWER

ویژگی های مخلتفی در سیسکو ASA ، مانند مدیریت VPN، بازبینی نرم افزار ها و AAA[3] جهت کنترل دسترسی های شبکه، که در آن ارتباطات بصورت متمرکز است. اگر ارتباطی به شکل متمرکز قابل دسترسی باشد پایه خوشه قادر به کنترل تمامی وظایف آن خواهد بود.

  • نکته

پکت هایی با پروتکل  های توزیع نشده، به سمت پایه خوشه جهت انجام پردازش ارسال می شوند.

ارتباطات متمرکز شده کارایی کل خوشه را کمتر خواهد کرد  زیرا موجب افزایش تعداد نقاط ارسال پکت و زمان پردازش لازم برای اتمام یک عمل خواهد شد.

کلیه ویژگی های با دسترسی متمرکز شده معمولا حاوی Flow که به سمت پایه خوشه ارسال می شود هستند.

شکل زیر نحوه برقراری و ردیابی ارتباطات متمرکز شده را در یک خوشه نشان می دهد.

 

شکل – برقراری و ردیابی ارتباطات متمرکز شده را در یک خوشه

مراحل نشان داده شده در شکل بالا به شرح زیر است:

گام اول: یک ارتباط جدید از کلاینت دریافت می شود.

گام دوم: سیسکو ASA که ارتباط را دریافت کرده آن را جزو ویژگی های متمرکز شده تشخیص داده و ارتباط را به سمت پایه خوشه هدایت میکند.

گام سوم: پایه خوشه به عنوان flow owner  پکت را به سرور ارسال می کند.

گام چهارم: پایه خوشه اطلاعات ارتباطات هدایت کننده را به روز رسانی می کند.

در صورت بروز هرگونه مشکلی در Flow owner چه اتفاقی می افتد

خوشه بندی سیسکو ASA دسترس پذیری و افزونگی شایان توجهی را فراهم می آورد. شکل زیر به شرح رویدادهایی که در صورت بروز هرگونه مشکلی در Flow owner چه اتفاقی می افتد، می پردازد.

 

شکل ۲۶-۲  رویدادهایی که در صورت بروز هرگونه مشکلی در Flow owner اتفاق می افتد.

مراحل نشان داده شده در شکل بالا به شرح زیر است:

گام اول: ارتباط  میان کلاینت و سرور برقرار است.

گام دوم: flow owner دچار اختلال می شود این اختلال می تواند به علت مشکل تامین توان مصرفی، سخت افزار و یا هرگونه توقفی در سیستم رخ دهد.

گام سوم: کلاینت پکت بعدی را ارسال می کند و یکی از اعضای خوشه پکت را دریافت می کند.

گام چهارم: سیسکو ASA که پکت را دریافت می کند از هدایت  کننده مسیر را استعلام می کند.

گام پنجم: هدایت کننده اختلال در جریان اصلی را تشخیص داده و Flow owner جدیدی را تعیین می کند.

گام ششم: پکت به سرور تحویل داده می شود.

گام هفتم: Flow owner جدید اطلاعات هدایت کننده را به روز رسانی می کند.

فروش فایروال سیسکو , فروش لایسنس فایروال سیسکو , فایروال سیسکو ASA FirePower , فروش لایسنس فایرپاور,فروش لایسنس FirePOWER , لایسنس CUCM , لایسنس Webex , راه اندازی سیتریکس , فروش لایسنس ,سیتریکس , لایسنس Citrix , راه اندازی Splunk , فروش لایسنس Splunk , فروش لایسنس Remote Desktop مایکروسافت , فروش لایسنس Splunk ، راه اندازی سرویس Splunk , فروش لایسنس فورتیگیت ، فروش لایسنس Fortigate , فروش لایسنس cisco , راه اندازی اسپلانک ، راه اندازی Voip Cisco ، راه اندازی Citrix راه اندازی سرویس CRM ، نصب و راه اندازی MIcrosoft CRM

پیاده سازی Cisco ASA FirePOWER Services Failover

پیاده سازی سرویس High availability در فایروال سیسکو فایر پاور

سیسکو ASA از طریق استفاده Failover و خوشه­ بندی قابلیت دسترسی بسیار خوبی را ایجاد کرده است. در این بخش به بررسی پیاده ­سازی سناریو های Failover در ماژول Cisco ASA FirePOWER پرداخته خواهد شد.

سیسکو ASA دو نوع Failover را پشتیبانی می­کند:

  • Active/standby

  • Active/Active

مطابق شکل زیر در حالت Active/standby همواره یک واحد در حالت Active و دیگری در وضعیت Standby است.

 Active/Standby Failover Cisco ASA FirePOWER

شرکت پایه ریزان فناوری هوشمند توانایی ارائه مشاوره و راه اندازی راهکارهای Cisco ASA FirePOWER Services Failover را دارد، جهت مشاوره با کارشناسان ما تماس بگیرید

دستگاه در حالت Standby کلیه ترافیک عبوری را رها کرده و فقط ترافیک عبوری از رابط Management را می­ پذیرد. زمانی که کارایی دستگاه در وضعیت اکتیو پایین باشد، سیستم به صورت اتوماتیک به دستگاه در وضعیت Standby سوییچ می­کند. فرآیند Failover حتی در صورت تمام ترافیک عبوری را به سمت دستگاه جایگزین منتقل می­کند. حالت Active/Standby فقط در وضعیت Single-context قابل اجرا است.

Security context قابلیت تبدیل سیسکو ASA به صورت چند فایروال مستقل را ایجاد می­کند، هر بخش به صورت مجزا پیکربندی، واسط، سیاست­ گذاری­ های امنیتی، جدول روتینگ و سرپرست مستقلی دارد. در ادامه به ارایه چند مثال از سناریوهای متداول در استفاده از Security Context جهت توسعه شبکه پرداخته می­شود:

  • اگر به عنوان یک فراهم ­کننده سرویس قصد ارائه سرویس­ های فایروال به مشتریا ن خود را داشته باشید؛ به هر روی تمایل به خرید فایروال فیزیکی اضافی برای هر کلاینت را نداشته باشید.
  • اگر برای مدیریت شبکه یک موسسه آموزشی، جهت ارتقا امنیت تمایل به تجزیه شبکه بر اساس دانشکده­ ها داريد، تنها مي­توانيد یک ابزار امنیتی فیزیکی داشته باشید.
  • چنانچه مدیریت یک بنگاه اقتصادی بزرگ با شعب مختلف تمایل به اعمال سیاست­ گذاری ­های امنیتی متفاوت بر هر شعبه داشته باشد.
  • در یک شرکت با هم­زمانی شبکه، در هنگام ارائه سرویس فایروال بدون تغییر ترتیب آدرس­ دهی نیاز به بهره ­گیری از Security Context وجود دارد. 
  • اگر در حال حاضر مدیریت امنیتی از طریق چندین فایروال فیزیکی صورت می­گیرد و تمایل به یکپارچه ­سازی سیاست­گذاری­های امنیتی در یک فایروال داشته باشید.
  • به منظور کاهش هزینه­ های عملیاتی و افزایش کارایی در هنگام فراهم آوردن مجازی ­سازی End -To-End در دیتاسنترها و مدیریت آنها از Security Context استفاده می­شود.

وظایف واحد Active به شرح زیر است:

  • دستورات پیکربندی مرتبط با کاربران را دریافت و به همتای Standby خود منعکس می­کند. تمام بخش­ های مدیریت و مانیتورینگ در بخش Active زوج Failover اتفاق می­افتد زیرا انعکاس اطلاعات في­ مابین این دو بخش، فرآیندی دو سویه نیست؛ هرگونه تنظیماتی در Standby ASA صورت گیرد موجب ایجاد ناهماهنگی، عدم مطابقت دستورات و ایجاد اختلال در هنگام تعویض مي­شود. اگر تغییری ناخواسته در ابزار Standby صورت گرفت از وضعیت پیکربندی خارج شده و دستور write standby در بخش Active جهت بازیابی وضعیت مناسب وارد کنید؛ این دستور تمام پیکربندی موجود در Active ASA را به واحد Standby منتقل می­کند.
  • پردازش هرگونه ترافیک عبوری، اعمال سیاست ­گذاری ­های امنیتی، ایجاد ارتباط ­ها و در صورت لزوم قطع آن و هم­زمان­سازی اطلاعات ارتباطی با واحد Standby در شرايط پیکربندی به صورت Stateful Failover انجام می­پذیرد.
  • ارسال پیام­ های Syslog و NSEL به سیستم گردآورنده رویدادها، در صورت لزوم با دستور Logging standby می­توان پیام­های Syslog را به واحد standby ارسال کرد، ليكن مي­بايست به خاطر داشته باشید این دستور، ترافیک Syslog را در زوج Failover دو برابر خواهد کرد.
  • ایجاد و حفظ روتینگ دینامیک ، واحد Standby در روتینگ دینامیک شرکت نخواهد داشت.

به صورت پیش­ فرض فرآیند Failover رفتار حالت­مندی ندارد، در این پیکربندی واحد Active فقط با ابزار Standby در تعامل است و کلیه جریان اطلاعات حالت­مند در Active ASA باقی می­ماند، بنابراین تمامی ارتباطات باید مجددا بر روی Failover برقرار شوند؛ از سوی دیگر این پیکربندی کلیه منابع پردازشی ASA را حفظ می­کند و پیکربندی با دسترس ­پذیری عالی مستلزم Stateful Failover است.

برای ارسال صورت وضعیت به Standby ASA می­بایست پیکربندی ارتباط Stateful Failover صورت پذیرد.

Stateful Failover در برنامه سیسکو ASA 5505 وجود ندارد، زمانی­که Stateful replication فعال شود Active ASA اطلاعات زیر را با همتای Standby خود به اشتراک می­گذارد:

  • جدول وضعیت ارتباطات TCP و UDP، به منظور حفظ منابع پردازشی ASA به صورت پیش­ فرض از هم­گام­ سازی اطلاعات ارتباطات با طول عمر پایین اجتناب می­کند؛ به عنوان مثال ارتباطات HTTP بر روی پورت ۸۰TCP به صورت Stateless خواهد بود، مگر اینکه دستور Failover replication http وارد شده باشد. به همین نحو، ارتباطات ICMP تنها در حالت active/active failover به همراه ASR پیکربندی می­شوند. توجه داشته باشید فعال کردن انتقال اطلاعات دو سویه در حالت Stateful برای تمامی اتصالات تا ۳۰ درصد 
  • جدول ARP و MAC، در شرايطي كه در حالت Transparent کار می­کند.
  • جدول روتینگ شامل تمام مسیرهای دینامیک مي­باشد. تمام روتینگ­های دینامیک در صورت وقوع هر گونه Failover می­بایست دوباره برقرار گردند، لیکن واحد Active جدید همچنان تا زمان هم­گرایی کامل به ارسال ترافیک مطابق جدول روتینگ قبلی ادامه می­دهد.
  • اطلاعات مشخصی از بازبینی نرم ­افزارها چون GPRS، GPT، PDP و جدول SIP را ارسال می­کند. توجه به اینکه لازم است بخش اعظم اطلاعات واحد بازرسی نرم ­افزارها به علت محدودیت­ ها و پیچیدگی­ های منابع نمی­تواند هم­گام ­سازی شود، چنین ارتباطاتی فقط در یک ارتباط لایه ۴ وجود دارد و قابل تعویض است، به همین علت چنین ارتباطاتی پس از Failover ملزم به برقراری مجدد هستند.
  • غالب ساختارهای اطلاعاتی VPN شامل اطلاعات SA برای کانال­های Site-To-Site و کاربران با دسترسی از راه­ دور هستند، تنها برخی اطلاعات clientless SSL VPN به شکل Stateless باقی می­مانند.

سیسکو ASA ، Stateful Failover را پشتیبانی می­کند، ماژول Cisco ASA FirePOWER به شکل مستقل به ردیابی وضعیت ارتباطات می­پردازد، سیسکو ASA هیچ از اطلاعات مرتبط با پیکربندی و سایر اطلاعات Stateful Failover را هم­گام­ سازی نمی­کند. در زمان تعویض سیسکو ASA، ماژول Cisco ASA FirePOWER ارتباطات موجود را به صورت نامحسوس برای کاربر بازیابی می­کنند، لیکن برخی از تست­ های امنیتی پیشرفته تنها به جریان جدید منتشر شده در سیسکو ASAactive جدید و ماژول­ های آن اعمال می­گردد.

در active/active failover سیسکو ASA در وضعیت Multiple-context کار می­کند؛ در این پیکربندی بار ترافیکی مابین هر دو عضو تقسیم می­شود، هر عضو برای بخشی از بافت امنیتی اطلاعات به عنوان active عمل می­کند. هنگام failover هر دو عضو به طور هم­زمان در حال عبور ترافیک هستند و از منابع سخت­ افزاری خود استفاده می­کنند. شکل زیر حالت active/active failover را نشان می­دهد.

شکل – Active/Active Failover

تفکیک از طریق تعیین یک application context برای یک و یا دو گروه Failover و اعمال هریک از این Failover به هریک از واحدهای active اعمال می­شود. برخلاف حالت active/standby failover که کل ترافیک به یک واحد active انتقال پیدا می­کرد، در این مدل تاثیرات در بافت یک گروه مشخص Failover متمرکز شده است.

در حالت کلی ASA در شرايطي كه به حالتactive/active failover  پیکربندی شده باشد، سه نوع Failover را پشتیبانی می­کند:

  • گروه ۰: گروهی پنهان و غیر قابل پیکربندی است که تنها System context را پوشش می­دهد، معمولا در واحدی که گروه ۱ در آن قرار دارد فعال است.
  • گروه ۱: به صورت پیش­ فرض تمامی context جدید متعلق به این گروه هستند، admin context ملزم به عضویت در این گروه است. به صورت قراردادی واحد اولیه متعلق به این گروه است و شایسته است به همین شکل نگه­داري شود.
  • گروه ۲: از این گروه به منظور اختصاص بخشی از context به واحد active دوم استفاده می­شود؛ گروه اولیه نیز به صورت پیش ­فرض عضو این گروه بوده و ملزم به تغییر مالکیت آن به ASA دوم پس از اختصاص context مي­باشيد. توجه به این نکته لازم است که هر دو واحد هم­زمان مي­بايست به صورت active تنظیم شده باشند تا امکان انتقال context مابین آنها وجود داشته باشد.

در شرايطي که امکان تفکیک ترافیک شبکه به دو گروه مستقل هست، امکان توسعه روش active/active Failover وجود دارد، شایان توجه است به اشتراک­گذاری اینترفیس مابین context متعلق به گروه­های Failover ممکن نیست.

اگرچه active/active failover مزایای به اشتراک­ گذاری بار ترافیکی را دارد، لیکن الزامات آن به شرح زير باید در نظر گرفته شود:

  • می­ بایست امکان تفکیک ترافیک به چند context وجود داشته باشد تا هیچ اینترفیس مابین گروه­های مختلف Failover به اشتراک گذاشته نشود؛ به خاطر داشته باشید تمامی مشخصات در حالت multiple-context پشتیبانی نمی شوند.
  • چنانچه Failover رخ دهد یک ابزار فیزیکی مسئول انتقال کل ترافیکی است، و در اصل برای دو واحد ASA در نظر گرفته شده بود که این مساله تاثیر فواید توزیع بار را کاهش می­دهد.
  • زمانی­که حالت stateful failover رخ می­دهد، ابزار standby جهت برقراری ارتباطات جدید توان بیشتری نیاز دارد و تنها تفاوتی که ایجاد شده است، عدم نياز ابزار standby به پذیرش ترافیک عبوری شبکه است. هنگامی­که stateful دو سویه به همراه active/active failover فعال شود به شکل قابل ملاحظه ظرفیت پردازشی هر یک از اعضا كاهش می ­يابد.

به طور کلی حالت active/standby برای failover ترجیح داده می­شود، در سناریو های توسعه ASA که با توزیع بار همراه است، استفاده از خوشه ­بندی به جای active/active failover استفاده می­شود.

در صورت بروز هر گونه مشکل در ماژول Cisco ASA FirePOWER چه اتفاقی رخ می­دهد؟

در صورت بروز هر گونه مشکل در ماژول می­توان پیکربندی را به شکلی انجام داد که یکی از دو حالت زیر اتفاق بیافتد:

  • Fail open

  • Fail close

زمانی­که ماژول در وضعیت fail open تنظیم شده است، حتی در صورت بروز مشکل در ماژول سیسکو ASA کل ترافیک را عبور می­دهد؛ در مقابل در وضعیت fail close سیسکو ASA کل ترافیک را متوقف می­کند.

فروش فایروال سیسکو , فروش لایسنس فایروال سیسکو , فایروال سیسکو ASA FirePower , فروش لایسنس فایرپاور,فروش لایسنس FirePOWER , لایسنس CUCM , لایسنس Webex , راه اندازی سیتریکس , فروش لایسنس ,سیتریکس , لایسنس Citrix , راه اندازی Splunk , فروش لایسنس Splunk , فروش لایسنس Remote Desktop مایکروسافت , فروش لایسنس Splunk ، راه اندازی سرویس Splunk , فروش لایسنس فورتیگیت ، فروش لایسنس Fortigate , فروش لایسنس cisco , راه اندازی اسپلانک ، راه اندازی Voip Cisco ، راه اندازی Citrix راه اندازی سرویس CRM ، نصب و راه اندازی MIcrosoft CRM