Niciun IT manager nu se grabeste sa scoata din buzunar bani grei pentru a face refresh de hardware si sa petreaca nopti intregi cu procesul de imlementare, testare si rollout pentru noile appliance-uri care in mare parte vin cu aceeasi arhitectura precum cea a cutiilor vechi, procentul de performanta castigat fiind unul dintr-o singura cifra.
A trecut ceva timp de cand Cisco a “scos” ceva nou in sectiunea produselor de securitate. Pentru ca un lucru prin care acest vendor se diferentiaza este valoarea in timp pe care o ofera clientilor sai. Anul trecut Cisco a lansat versiunea 7.0 de software Firewall Threat Defense (FTD) care a crescut substantial performantele pentru functiile de VPN si threat protection pentru toate appliance-urile compatibile, inclusiv pentru ASA 5508X lansat pe piata acum 7 ani. Arhitectura future proof a firewall-urilor Cisco iti permite ca in loc sa fi nevoit sa inlocuiesti hardware-ul o data la 2-3 ani sa faci un simplu upgrade de software care sa iti permita sa mai rulezi solutia o perioada buna de timp de acum inainte.
Insa unele upgrade-uri hardware merita cu prisosinta, iar foarte recent, acum mai putin de 3 luni, Cisco a lansat seria 3100 de firewall-uri mid-range construita specific pentru scenarii de munca hibrida. Bazat pe o arhitectura complet noua, seria 3100 vine cu multe functii „industry’s first” si „industry leading” care sa satisfaca cele mai stricte conditii de lucru.
Seria 3100 are ca target organizatiile care au adoptat un scenariu de munca hibrid si organizatiile care doresc o abordare de tipul zero trust pentru accesul in retea. Cifrele de care seria 3100 este capabila inseamna ca mai multi teleworkeri pot fi conectati la reteaua companiei, fiecare cu performante superioare, de pana la 6 ori, fata de seria Firepower 2100. Integrarea cu Duo MFA, ISE si Secure Workload ofera politici de acces granulare pentru utilizatorii care acceseaza datele companiei.
Seria 3100 exceleaza la modul in care proceseaza traficul criptat. Modul traditional consta in folosirea unui procesor criptografic care lucreaza in tandem cu procesorul x86 pentru a prelucra traficul de tip IPsec si TLS pentru functiile de VPN, dar si pentru inspectia traficului tranzitoriu. Performantele se degradeaza rapid intrucat pentru fiecare pachet criptat sau decriptat sunt necesare mai multe traversari ale magistralei de date impartita de cele doua procesoare. Firewall-urile 3100 dispun de o componenta noua si dezvoltata in-house de tip FPGA (Field Programmable Grid Array programata software de FTD) care ofera un motor industry’s first numit Flow Offload si o capabilitate, de asemenea,industry’s first, care accelereaza inline criptarea traficului IPsec si DTLS pentru conexiunile VPN. Astfel, magistrala de date este ocolita si procesorul x86 este crutat de un volum imens de munca. O dovada pentru lucrurile mentionate mai sus sunt cifrele de mai jos si fac din seria 3100 o serie de firewall-uri industry leading:
Aceste cifre pot fi scalate la valori si mai mari intrucat firewall-urile din seria 3100 pot fi combinate intr-un cluster de pana la 8 sasiuri care vor functiona ca o singura unitate logica. De asemenea, se va obtine si o densitate mai mare de porturi pe masura ce reteaua creste si se dezvolta.
Seria 3100 imprumuta functia industry’s first de multi-instance de la seriile superioare 4100 si 9300 pentru o separare completa a resurselor intre instantele virtuale de firewall create pe aceeasi hardware fizic.
Partea de threat protection este e ultima generatie: deep packet inspection folosind motorul multithread Snort 3 si feed-uri de security intelligence de la Cisco Talos completate de EVE – Encrypted Visibility Engine, un tool dezvoltat in house folosit la identificarea aplicatiilor si clasificarea malware-ului bazat pe tehnici de inferenta si inteligenta artificiala+machine learning. Toate componentele software, precum si metadatele din trafic sunt pastrate sub o forma criptata pe SSD-uri (care optional pot fi redundante).
Ca un bonus, orice firewall Cisco ofera acces la platforma SecureX care ofera functii de eXtended Detection and Remediation ca device insights, threat investigation and response si orchestrare. Managementul appliance-ului se poate face on-premises folosind Secure Fireweall Management Center (fostul FMC) sau se poate face din cloud folosind Cisco Defense Orchestrator (CDO). Chiar daca ofera performante incredibile si functii extrem de folositoare pentru o retea de productie, seria 3100 reuseste sa se mentina foarte competitiva din punct de vedere pret fata de ofertele competitorilor. Pentru o dimensionare corecta a firewall-ului potrivit si pentru un upgrade hardware de succes apelati cu incredere Dendrio. 😊
Mihai Dumitrascu, Sr Systems Engineer
