Cisco apresenta novidades de networking aos Parceiros

IT Channel – A plataforma de gestão de redes DNA Center é uma das novidades hoje apresentadas. Qual o ponto mais importante a destacar?

José Dores - O mais importante é tentar simplificar ao máximo a operação da rede, tendo sempre a segurança como pressuposto. O que nós vemos é que os recursos técnicos das empresas passam mais tempo a apagar fogos do que focados no negócio. Diria então que o primeiro driver é simplificar ao máximo, através da automação disponível com o DNA center, e que o segundo é a segurança embebida na solução, que permite de forma muito simples segmentar os diferentes user groups de acordo com as políticas definidas, e ter a peace of mind de que estas políticas vão ser configuradas automaticamente e acompanhar o utilizador ao longo da rede.

Uma das principais caraterísticas do DNA Center é substituir IPs por pessoas. Como é conseguida uma autenticação segura?

A maneira mais usual para utilizadores corporativos é através do IEEE 802.1X. O utilizador tem de inserir as suas credenciais, isto é transmitido para a componente ISE para garantir que este utilizador tem as credenciais certas, e a partir daí já sabemos quem é o utilizador e a que user group e virtual network fica associado. Em cenários nos quais o 802.1X não é possível, podemos fazer MAC authentication bypass. Ou seja, deixamos o utilizador gerar algum tipo de tráfego isolado, e com isto podemos determinar o MAC address e cruzá-lo com uma base de dados para identificar o dispositivo. Temos outras capacidades, como fazer profiling e posturing de dispositivos ligados à rede. Isto vai ser cada vez mais importante para a IoT.

Como é feita a migração progressiva para software-defined access numa empresa?

O progressivo pode ser simplesmente utilizar hardware compatível, de forma a não ter de se estar a construir uma rede de propósito para este cenário. Aqui temos uma grande vantagem, visto que grande parte do portfólio Catalyst é compatível com a solução. Se o cliente estiver interessado em começar a explorar estas áreas de automação, muitos já têm uma infraestrutura capaz de suportar esta solução.

Por outro lado, a Cisco começou a desenvolver uma série de serviços e documentação técnica para explicar o procedimento. Vão haver metodologias de implementação de rede que permitem ter um ambiente híbrido, por exemplo começar com uma secção da rede. Isto permite testar estes conceitos e ganhar experiência com a tecnologia, avaliar os resultados, e então gradualmente começar a migrar o resto da rede.

Outra novidade é a família Catalyst 9000. O que é diferenciador sobre os seus predecessores?

Diria que uma coisa muito diferenciadora destes switches é a interação com a cloud. É possível, por exemplo, fazer correr aplicações diretamente nos switches. Um dos use cases é a integração com o Azure: em vez de enviar todos os dados para a cloud para serem analisados, os próprios switches conseguem fazer o processamento de dados localmente e enviar apenas os insights necessário para a cloud. O processamento é feito junto aos equipamentos onde o poder de computação é necessário, de forma a poder desenvolver analítica e agir rapidamente sobre estes insights.

Outro ponto em que estes switches se distinguem é ao nível dos ASIC. Os nossos chips são programáveis ao nível do hardware, o que significa que ao longo da vida do produto é possível dar-lhe novas features que só são possíveis dar por hardware, sem necessidade de substituir as máquinas.

O que fazemos a nível da segurança, e que mais ninguém na indústria faz atualmente, é o encrypted traffic analytics. Cada vez mais organizações estão a ser atacadas, e uma percentagem bastante significativa desses ataques evitam deteção porque utilizam tráfego encriptado. Adicionalmente, as organizações querem cada vez mais encriptar tráfego para proteção dos dados. Temos então um problema: por um lado, temos tráfego encriptado legítimo, por outro temos tráfego malicioso também encriptado, e não temos como distinguir os dois.

Com os Catalyst 9000 conseguimos detetar todos os fluxos de tráfego a passar por um switch e analisar a metadata destes fluxos. Por exemplo, num fluxo encriptado vamos recolher metadados do primeiro pacote para obter informação sobre o fluxo total, e analisar a contagem de pacotes e bytes para identificar um padrão. Os equipamentos capturam todos estes metadados do fluxo e enviam-nos para a Cisco Stealthwatch, uma plataforma de analítica que vai analisar esta informação em tempo real para identificar tráfego malicioso encriptado, sem precisar de saber o conteúdo dos pacotes. E não só fazemos esta deteção com 99% de sucesso como podemos imediatamente isolar o utilizador infetado antes que ele possa infetar o resto da rede.