SECURE CONTENT MANAGEMENT

Transcript

1 SOLUTION OVERVIEW SECURE CONTENT MANAGEMENT CISCO APPLICATION AND CONTENT NETWORKING SYSTEM COME CONTENT SECURITY SOLUTION

2 SCOPO DEL DOCUMENTO Lo scopo è illustrare la tematica del Secure Content Management nelle sue principali componenti e l importante contributo delle soluzioni e architetture Cisco Systems per risolvere le crescenti esigenze dei Clienti in quest area. Il documento parte dalla definizione dei concetti chiave sul piano funzionale, per poi esemplificare alcuni tipici scenari di utilizzo e descrivere le caratteristiche dell ampio ed avanzato portafoglio di soluzioni Cisco per il Secure Content Management. Figura 1 l HTTP trasporta sempre più applicazioni differenti COSA SIGNIFICA SECURE CONTENT MANAGEMENT Introduzione L integrazione dei servizi viene oggi indirizzata non solo sulla base delle reti di trasporto IP ma anche mediante un unica interfaccia applicativa di accesso ai contenuti ed alle informazioni. Per esempio molti dei servizi che oggi trovano posto in Internet o Intranet vengono ormai trasportati attraverso il ben conosciuto protocollo HTTP. Quello che ne consegue, in termini di sicurezza informatica, è la necessità di affiancare ai tradizionali e consolidati sistemi di controllo, quali Firewall ed Intrusion Detection Systems, altrettanti sofisticati strumenti orientati al contenuto informativo (Figura 1). L esigenza di aumentare il livello di controllo sui contenuti nasce quindi dal fatto che le minacce si evolvono sulle base delle reazioni di chi vuole contrastarle. In ambito di sicurezza informatica un ambiente, inteso come l insieme di utenti/operatori, applicazioni e banche dati, eredita il livello di vulnerabilità della componente più debole. Ad oggi l elemento debole e minacciato della catena pare essere (è) sempre più il livello applicativo. Ne consegue dunque l esigenza di identificare, rafforzare e raffinare gli strumenti di controllo e protezione che operano a tale livello. Minacce Diverse sono le tipologie di minaccia in cui un ambiente applicativo potrebbe incorrere: Utilizzo incontrollato e malizioso di applicazioni Web, Instant Messaging (IM), comunicazioni peer-to-peer (P2P), ed applicativi web- ; Codici Spyware; Produttività del dipendente e non corretto utilizzo delle proprietà intellettuali; Nuove categorie di virus che sfruttano diverse debolezze utilizzando sistemi di attacco ibridi e multiaccesso (es. , file transfer e Web browser) viaggiando sul così definito canale web ; Responsabilità legali di diverso tipo dovute a sharing/downloading incontrollato da parte dei dipendenti (es. scaricamento di musica, film, software sotto copyright). Associazioni come la Recording Industry Association of America (RIAA) e la Motion Picture Association of America (MPAA) dichiarano che una compagnia è legalmente perseguibile se gli impiegati utilizzano le risorse aziendali per scaricare, mantenere o distribuire illegalmente film, video e musica; spam, non solo come elemento di disturbo ma anche come potenziale responsabilità legale e di riduzione della produttività. Basti considerare che solo in 12 mesi la percentuale di crescita del traffico spam ricevuta da numerose aziende è stata del % (IDC security research 2003). 2

3 Strumenti Gli strumenti in questo ambito sono classificabili in quattro categorie: Antivirus; Web Security e filtering avanzato; Malicious Code Defense; Messaging security e filtering ( , IM e P2P). Come facilmente deducibile ciascuno di questi sistemi è specializzato per singola tipologia di attacco e minaccia. Inoltre, al di là degli aspetti inerenti le prestazioni, la scalabilità e l efficienza, tali strumenti dovranno risultare: semplici da utilizzare; flessibili nella gestione delle policy; facilmente integrabili all interno di una architettura di rete. Mentre i primi due requisiti possono essere facilmente rispettati dai produttori di tecnologie operanti sulle piattaforme software del singolo strumento; più difficile è il disegno e l implementazione architetturale di una soluzione che sia completa ed al contempo altamente performante perché integrata su hardware dedicati. Definizione L orientamento del mercato è quindi quello di recepire una soluzione o prodotto che sia in grado di presentare un ambiente unico di gestione ed applicazione delle politiche di sicurezza inerenti diverse tipologie di traffico, contenuti, utenti e protezioni (es. web, messaging, , ecc.). Integrando tutti gli elementi in un unica soluzione si può quindi garantire il policy-based management di diverse tipologie di traffico, contenuti e protezioni (Web content, messaging control/filtering, virus protection, downloadable/spyware application execution), sia in ottica centralizzata sia in ottica distribuita. Le soluzioni di Secure Content Management (SCM) sono quindi a tutti gli effetti definite come il superset di quanto sin qui descritto (Figura 2). SECURE CONTENT MANAGEMENT SU APPLIANCE DEDICATE Come abbiamo visto l evoluzione dei sistemi SCM è rivolta verso l integrazione di diverse funzioni e funzionalità. I singoli sistemi antivirus, antispam e content filtering sono specializzati per tipologia di contenuto, analisi e minaccia; malgrado questo spesso vanno in sovrapposizione tra loro (es. sia antispam sia antivirus controllano le , sia content filter sia antispam controllano web- e popup s). In un architettura di rete dove il controllo dei contenuti viene effettuato da differenti piattaforme, ognuna indipendente dalle altre, si rischia quindi che i dati siano sottoposti a ripetuti controlli ed analisi ridondanti tra loro. Quello che ne consegue non è solamente il degrado delle prestazioni del servizio offerto ma anche la difficoltà di correlazione dei dati di report generati da ogni singolo strumento. La soluzione a questo problema di gestione ed efficienza è ricercata nell introduzione di una singola piattaforma in grado di integrare o interoperare con sistemi specializzati quali content filtering, content inspection, scanning e bandwidth management, non solo per controllare la loro attività ma anche per accentrare il controllo delle policy, dei profili d utente, dei log e della reportistica. Integrare le funzioni all interno di un singolo prodotto (es. terminazione delle sessioni e rigenerazione, content filtering, bandwidth management, AAA) e sviluppare protocolli di interazione e disintermediazione 1 intelligenti con cui sistemi integrati differenti rispondenti a diverse macrofunzioni possano interoperare (es. tutte le operazioni di scanning, tutte le operazioni di filtering e bandwidth management) porta ad indubbi vantaggi di prestazioni, gestibilità, riduzione dei tempi di messa in esercizio, errori di configurazione e correlazione dei dati per la costituzione dei report. In particolare tra i protocolli di integrazione e disintermediazione il più flessibile ed intelligente è l Internet Content Adaptation Protocol. Figura 2 - Definizione di SCM ICAP è un open protocol disegnato specificatamente per eseguire in modo ottimizzato la disintermediazione di particolari operazioni di analisi, adattamento e trasformazione di contenuti Internet-based partendo da un particolare device 1 Capacità d interpretare ed estrarre dal flusso informativo alcune informazioni chiave inoltrandole trasparentemente, rispetto al richiedente iniziale (client), ad altri processi, tipicamente esterni, che le utilizzeranno e risponderanno in funzione delle loro caratteristiche. 3

4 (ICAP client) verso una serie di servizi distribuiti su altri sistemi dedicati (ICAP server). Questo processo di distribuzione verso servizi specializzati (es. scanner, filter), utilizzando un protocollo standard di comunicazione, porta ad un indubbio guadagno di efficienza e scalabilità nell allocazione delle risorse, della banda e della configurazione dei sistemi; incrementando al contempo le funzionalità dei servizi di controllo che si desidera mettere in campo. In particolare gli ICAP server e client creano peering attraverso semplici sessioni TCP (una sola sessione tra client e server per tutte le richieste). Su tali sessioni viaggiano particolari remote procedure call (es. REQMOD pre-cache request modification service per attuare URL filtering o RESPMOD post-cache response modification service per anti-virus scanning) al cui interno vengono passate tutte le informazioni utili all elaborazione della sessione in analisi come URL, tipo, estensione, user, gruppo (content vectoring). La soluzione Cisco si prefigura quindi come ICAP client compatibile e certificato con numerosi ICAP server sia in ambito virus scanning (Finjan, TrendMicro, Symantec) sia in ambito content filtering (WebWasher, SurfControl, Optenet). In particolare nell implementazione di Cisco viene permessa la definizione di diversi servizi ICAP (es. virus-scanning) al cui interno possono essere associati più ICAP server differenti. Il sistema Cisco eseguirà quindi non solo content vectoring ma anche controllo della disponibilità e load-balancing verso i differenti server garantendo quindi alta scalabilità ed affidabilità, resilienza e tolleranza ai guasti (Figura 3). L EVOLUZIONE DEL PROXY Un servizio proxy (Figura 4) lavora come un disintermediatore, ponendosi a cavallo della sessione tra client e server, apparendo come il client per il server ed il server per il client. Il sistema quindi termina completamente la sessione (del client), prima di ricrearne una completamente nuova per l eventuale destinatario (server). Esistono principalmente due tipologie di proxy: In-Line: Il client punta direttamente al proxy per i diversi servizi e canali di comunicazione; Transparent: Il client non è a conoscenza Figura 3 - ICAP e ACNS dell esistenza del proxy. Il proxy riceve i flussi in modo indiretto dagli apparati di rete che intercettano e ridirigono. Deve quindi esistere un protocollo intelligente che mantenga la relazione tra proxy e gli apparati di rete (es. Web Cache Communication Protocol, WCCP). Il principio di funzionamento del proxy è molto importante poiché garantisce la possibilità di prendere delle decisioni basate su quello che vede e cioè utilizzando informazioni di livello applicativo. Un sistema di questo tipo può quindi facilmente evolvere introducendo nel flusso di terminazione e rigenerazione diverse tipologie di servizi d ispezione e successive azioni di filtering. Figura 4 Il Proxy 4

5 In pratica i diversi moduli di ispezione che si focalizzano sui canali di comunicazione individuali (es. Web, ) vengono integrati all interno del proxy generico permettendo il parallelismo dell elaborazione sui diversi canali facendo leva sulla funzione di terminazione e rigenerazione di sessione tipica del proxy. In aggiunta, dato dal suo principio di funzionamento, il proxy ha altri benefici come correggere i pacchetti malformati, gestire la parte di autenticazione dell utente, discriminare applicazioni od informazioni applicative differenti anche su stesso traffico di trasporto (es. SAP è diverso dal traffico Web- ma entrambe possono essere trasportati su HTTP) imponendo poi particolari policy (es. tagging della qualità del servizio). Per tutte queste ragioni, l essere un proxy multiservizio (es. HTTP/S, FTP, streaming, DNS) è una caratteristica favorevole ed importante per evolvere facilmente in una soluzione di Secure Content Management. APPLIANCE DEDICATE Un altra importante e favorevole caratteristica orientata alle piattaforme SCM è quella di essere basata su di un appliance dedicata. L architettura appliance offre innumerevoli benefici: Personalizzazione dell hardware e dell associato sistema operativo, garantendo un hardening contro qualsiasi tipo di rischio; Il miglior supporto di tutti i servizi che dovranno essere implementati e gestiti proprio in funzione del punto precedente; Tutti i servizi aggiuntivi (filtering, scanning, protocolli specifici di integrazione) precaricati sul sistema che diventa quindi una soluzione self-contained e plug-and-play; Prestazioni elevate poiché il sistema è nato, sviluppato ed ottimizzato per fare specifiche funzioni; Gestibilità, flessibilità e facilità nella configurazione; Scalabilità (orizzontale e verticale); Integrazione con la rete. motivo uno degli elementi principali è che il sistema offra flessibilità e sia personalizzabile alle esigenze di ciascun particolare utente. Un appliance dedicata consente questo tipo di approccio perché, seppur chiusa dal punto di vista sistemico, fornendo quindi la base solida di partenza comune per tutte le organizzazioni, è dall altra parte flessibile e personalizzabile per le diverse policy in funzione di gruppi o dei singoli utenti. Tale flessibilità viene rispettata per tutte le tipologie di servizio offerte all interno della soluzione o per gli altri servizi con cui si interopererà tramite particolari protocolli di peering. Per le soluzioni SCM la gestibilità è quindi un elemento fondamentale. Non solo nell ottica del sistema nel suo complesso ma anche nella personalizzazione delle policy da applicare ai diversi livelli aziendali, gruppi ed utenti. Inoltre la gestione, seppur centralizzata, deve consentire un accesso distribuito e basato sul ruolo dell amministratore (Role Based Access Control, RBAC), cioè garantire la flessibilità di definire chi può configurare che cosa e per quale sistema, sottosistema o policy. Infine un robusto sistema di logging, accounting e di reportistica risulta necessario. Il concetto di logging deve poter essere utilizzato non solo per tenere traccia di quanto succede ma anche fornire dei feedback per aggiustare dinamicamente i database e le policy utilizzate nelle diverse operazioni. Questi due ultimi concetti vengono sempre meglio supportati dai sistemi basati su appliance dedicate proprio perché questi fanno della necessità di gestione e logging un punto di forza per architetture che scalano non solo al singolo apparto ma anche molte unità costituenti soluzioni distribuite. Non a caso soluzioni basate su appliance dedicate hanno riscontrato successo anche in altri ambiti della sicurezza come i Network IDS, i concentratori VPN e gli stessi Firewall. Un elemento fondamentale nell ambito di architetture SCM è quello dell interpretazione di appropriato quando si parla di contenuti su canali di comunicazione e servizi Web. Per questo Figura 5 Cisco Content Engine 5

6 CISCO CONTENT SECURITY SOLUTION Cisco Application and Content Networking System (ACNS) è una soluzione che scala a diverse tipologie di organizzazione indirizzando elementi fondamentali quali la riduzione dei costi operativi, l aumento del controllo della produttività, l estensione delle applicazioni mission critical, l indirizzamento di una serie di problemi di sicurezza legati al contenuto con una visione che spazia dal datacenter al branch office (es. accelerazione delle applicazioni Web mission critical, distribuzione del software, Secure Content Management, erogazione di streaming e contenuti multimediali). Tale flessibilità viene garantita avendo a disposizione un ampia scelta di piattaforme hardware su cui avere a disposizione i servizi erogabili da ACNS. Tali piattaforme, nominate Cisco Content Engine (Figura 5), si presentano sotto la forma di appliance dedicate per diverse necessità di prestazioni e storage o come moduli integrabili all interno delle piattaforme Cisco di accesso più conosciuti, come 2600, 3600 e ACNS è una componente fondamentale dell Intelligent Information Network, infatti grazie alla sua capacità di entrare nel merito del contenuto (es. web, file serving/sharing, streaming) può quindi accelerarlo (es. caching), filtrarlo, ottimizzarlo (es. stream splitting & reapeating) e loggarlo. I benefici chiave della soluzione combinata hardware e software ACNS sono quindi: Figura 6 ACNS per Secure Content Management Servizi intelligenti legati al contenuto per il branch della rete; - Proxy Caching e Secure Content Management; - Web Application Acceleration con intelligent/advanced content caching e serving; - Software Distribution grazie ad un motore ottimizzato ed evoluto per la distribuzione dei contenuti - Business Video e Retail Kiosk tramite video streaming e web serving evoluto; Sistema di Acquisizione e Distribuzione fortemente scalabile (milioni di oggetti, migliaia di nodi); Sistema di gestione centralizzato e ricco insieme di XML/CGI Application Program Interface (API) per l automazione ed integrazione delle applicazioni e dei processi più importanti; Flessibilità nella ridirezione del traffico client verso le Content Engine. Per erogare in modo ottimizzato tutto questo ACNS sfrutta e combina in modo ottimizzato e flessibile sia tecnologie demand-pull (caching) sia di pre-posizionamento (serving) indirizzando molteplici funzioni business-critical: Tutti i servizi ACNS direttamente integrati all interno dei router di accesso usati nelle filiali (2600, 3600 e 3700) attraverso l utilizzo dei Content Engine Network Module; Figura 7 Servizi SCM sulla Content Engine 6

7 Gestione centralizzata di tutti servizi erogabili con scalabilità di migliaia di Content Engine attraverso il Content Distribution Manager come appliance dedicata; Intercettazione e ridirezione del traffico client alla Content Engine attraverso diverse modalità supportabili anche in parallelo (DNS, Transparent usando Web Cache Communication Protocol WCCP o In-Line proxy). In particolare nell ambito Secure Content Management ACNS si posiziona quindi come appliance integrata (Figura 6) con le seguenti caratteristiche (Figura 7). Servizi Proxy Caching - HTTP, HTTPS (tunneling 2 e terminazione SSL con caching), FTP Nativo, FTPoHTTP, DNS; - Microsoft Windows Media Technology Streaming, RealNetworks Streaming, Apple QuickTime Streaming, MPEG 1/2/4 Streaming, ISMA v1 Streaming; - Architetture In-line e Transparent con WCCPv2 Extended; Sicurezza e gestione del traffico di base - IP Extended Access Lists; - Rule Engine per manipolazione del traffico e content filtering di base (es. Block/Allow/Reset, override dell HTTP header su diversi parametri, selezione di uno specifico DNS, URL Rewrite/Redirect, Selective caching, impostazione del ToS/DSCP, utilizzo di uno specifico servizio ICAP) in funzione di diversi parametri (IP sorgente o destinazione, Porta di destinazione, Regular Expression, MIME, diversi componenti dell header, user name, users group); Websense URL filtering e advanced content filtering integrato - Master Database (80+ categorie, 52 lingue, 5+ milioni di URL e fingerprint su base protocollo ed applicazione); - Premium Groups (Productivity, Bandwidth, Security); 1. Instant Messaging, Advertisements, Pay-to-Surf Sites, Online Brokerage & Trading, Message Boards & Clubs, Free/Software Download 2. Streaming Media, Peer-to-Peer File Sharing, Internet TV & Radio, Personal/Network Storage Backup, Internet Telephony 3. Spyware, Mobile Malicious Code - Instant Messaging File Attachment Blocking - Network Agent Figura 8 Sistema di gestione centralizzato - Bandwidth Optimizer Secure Computing SmartFilter Server per URL filtering integrato Supporto ICAPv1 client per peering intelligente con servizi e sistemi off-box - Filtering 3 : WebWasher, SurfControl, Optenet - Virus Scanning: Finjan, TrendMicro, Symantec User authentication verso sistemi, LDAPv2 e v3, Microsoft Active Directory, Radius, TACACS+, Microsoft NTLM User-based Content Access e Policy Enforcement (Figura 6) Transaction Logging ed Accounting estesi e personalizzabili per tutti i servizi proxy e filtering 2 Rigenerazione della sessione HTTPS a livello TCP/IP. Nessuna analisi del contenuto cifrato. 3 Alternative a Websense e Smartfilter che sono precaricati all interno di ACNS (on-box). 7

8 Gestione centralizzata in HTTPS con funzioni Role Based Access Management scalabile sino a 2000 Content Engine (Figura 8), supporto di MIB estese e SNMP v2/v3. In particolare maggiore dettaglio spetta al concetto di Network Agent e Bandwidth Optimizer. Il Network Agent è in tutto e per tutto un agente promiscuo che fa leva su di un fingerprint database. L Agent vede tutte le tipologie di traffico elevando la soluzione di filtering non solo al contenuto delle sessioni HTTP/2 ma anche a qualsiasi altro tipo di protocollo estraneo (es. P2P, Instant Messaging). Figura 9 - Network Agent in ACNS In pratica abilitandolo sulla Content Engine questa ascolterà tutto il traffico di rete e non solo quello che la macchina è in grado di gestire come proxy. Facendo leva sull active listening del Network Agent il Bandwidth Optimizer abilita quindi l ottimizzazione delle risorse di banda dando priorità differente, gestendo il traffico di rete in tempo reale. In particolare maggiore dettaglio spetta al concetto di Network Agent e Bandwidth Optimizer. Il Network Agent è in tutto e per tutto un agente promiscuo che fa leva su di un fingerprint database (Figura 9). ARCHITETTURE DI RIFERIMENTO Le Cisco Content Engine possono essere inserite in differenti modi e posizioni all interno della rete. Nella maggior parte dei casi le CE vengono inserite nella inside o nella DMZ del modulo di accesso ad Internet, Intranet o Extranet. Il metodo di ridirezione o intercettazione del traffico può essere sia Inline/Gateway o Transparent attraverso il protocollo WCCP. Nella seconda modalità nessun intervento lato client è necessario proprio in virtù della trasparenza. Le Content Engine, come abbiamo visto, offrono servizi di proxy di varia natura, AAA e filtering evoluto (promiscuo e su richiesta) basato su database dinamici. Inoltre grazie al protocollo di peering ICAP si possono costituire design dove la Content Engine funge da proxy e content filter creando sessioni di peering e hand-off evoluto con funzioni di loadbalancing, keepaliving e clustering verso sistemi di scanning. In questo caso il design porta ad avere le Content Engine nella Inside o nella internal-dmz ed i sistemi di scanning posizionati nella external-dmz o nella outside. Grazie all integrazione del Network Agent di Websense è altresì possibile realizzare design multi-tier: 1. Le Content Engine con prestazioni maggiori (es. CE-7305 o CE-7325) vengono posizionate come proxy-farm, bastione dell accesso Internet, con Websense Enterprise e Bandwidh Manager per funzioni di filtering e gestione evoluta della banda, autenticazione ed accounting, ICAP per scanning hand-off; 2. Le Content Engine più piccole (es. CE-NM, CE-510) vengono posizionate nelle filiali in modo transparente e con la sola funzione di Network Agent e Bandwidth Manager che punta alle Content Engine centrali; Tale architettura permette non solo il controllo del traffico Internet ma anche del traffico Intranet sia in termini di banda sia in termini di filtering evoluto. In generale quando ci si propone di disegnare un sistema SCM ci sono alcuni aspetti importanti che devono essere valutati quali funzionalità, integrazione, prestazioni e scalabilità. In particolare è necessario: Identificare i problemi che si vogliono risolvere; Indirizzare tutti i requisiti di integrazione verso prodotti di terze parti (es. ICAP, architetture multilivello) e con la rete esistente (transparent, in-line, network module); Calcolare le necessità di prestazioni considerando network bandwidth, il numero di utenti, la media di traffico (es. transazioni al secondo); Identificare le necessità di alta affidabilità del sistema. Anche se ogni situazione nello specifico richiede un suo 8

9 particolare design, di seguito vengono riportati alcuni modelli architetturali da cui è possibile prendere spunto. SMALL AND MEDIUM BUSINESS In generale per un ambiente SMB la soluzione è quella di utilizzare una singola Content Engine su cui attivare tutte le funzioni richieste. In particolare in questo design è importante verificare quali siano le necessità di content filtering. Se queste sono solo di tipo URL filtering si potrebbe valutare l attivazione di SmartFilter al posto del sistema Websense. In generale è opportuno identificare l attivazione della funzionalità più idonea tra quelle comunque disponibili a bordo delle Content Engine, anche eventualmente in base al costo per licenza. Figura 10 - Architettura High Availability I modelli suggeriti sono CE-510 o Network Module CE, qualora si stia valutando un nuovo router di accesso o vi sia spazio in quello correntemente utilizzato. Anche la metodologia di raggiungibilità della Content Engine può essere varia. In-Line, se già si stavano utilizzando vecchi proxy sostituendoli con la CE (nessun client dovrà essere configurato) o Transparent (attraverso WCCPv2), se il deployment è greenfield, con il vantaggio di evitare la configurazione tutti i client in modalità proxy ma solo se si ha a disposizione un router di accesso Cisco. HIGH AVAILABILITY Nella soluzione in H.A. in generale le necessità sono quelle di una piena funzionalità SCM in alta affidabilità prendendo in esame tutte le componenti e le funzionalità (Figura 10). Il design prende forma intorno ad uno statefull inspection firewall (es. Cisco PIX) con tre zone distinte. Nella Inside trovano posto almeno una coppia di CE configurate in modo identico in cluster. Sulle CE verranno attivati tutti i servizi di interesse compreso il client ICAP. Ciascuna CE avrà un solo servizio ICAP in cui verranno configurati due server (tipicamente di scanning) posizionati in DMZ. verso l Outside (2a) o dalle CE direttamente verso l Outside (2b). I modelli suggeriti sono CE-565, CE-7305 o CE L attivazione del Network Agent e del Bandwidh Control è a discrezione. PERCHÉ CISCO La soluzione Cisco ha numerosi vantaggi rispetto ad altri tipi di soluzioni siano essi di tipo basato su server generici con molteplici software installati sia rispetto a soluzioni basate su appliance come la stessa Content Engine. La prima fra tutte è che si pone come motore centrale integrando alcune funzioni SCM o disintermediando ed integrandole in modo estremamente intelligente attraverso ICAP. Nelle soluzioni general purpose server con software SCM il primo problema è la non esistenza di un reale packaging. In alcuni casi il software SCM è sì un bundle multipurpose (es. filtering e scanning) ma il sistema operativo non viene incluso ma solo richiesto come prerequisito. Questo porta ad un non plug-and-play della soluzione poiché almeno saranno necessarie due operazioni: 1. Preparazione del server con sistema operativo e relative operazioni di hardening; 2. Installazione del pacchetto o dei pacchetti SCM. L unico traffico permesso è dai client verso le CE (1), attraverso i firewall delle CE in ICAP verso la DMZ e dagli ICAP server Essendo queste due punti non correlati, le operation saranno più complesse poiché, per esempio, per manutenere il package 9

10 SCM si dovranno prima onorare tutti i prerequisiti dell OS e di sistema, tenendo traccia dell hardening del sistema stesso (es. security patch, gestione processi, ecc.). In una Content Engine l ACNS è il sistema operativo e questo nasce già precaricato, hardened e ritagliato per garantire massime prestazioni per le funzioni supportate. In generale soluzioni di tipo server based perdono la gestione centralizzata. Se è vero che la parte SCM possiede una gestione centralizzata (es. una console software che vede tutti gli agenti distribuiti sui server), questo risulta invece difficilmente vero per la parte server ed OS. Nella soluzione Cisco il sistema di gestione centralizzato lo è per tutti gli aspetti di operation, sia quelli legati alla parte SCM sia quelli legati alla parte sistema generico. ed SCM non potrà mai essere performante, sicuro, facilmente aggiornabile e gestibile come un custom OS ottimizzato per eseguire in modo integrato operazioni proxy-caching ed SCM. ACNS possiede infatti un Cache File System ottimizzato e non accessibile in alcun modo. A seguito di quanto sin qui esposto è comunque ricorrente il preconcetto per cui una soluzione server based costi meno rispetto ad un appliance, inoltre se serve una funzione in più posso caricarla. Se confrontiamo il puro HW questo può risultare vero. Ma analizzando meglio gli elementi in gioco subito appare evidente che esistono costi nascosti di gestione e HW che alla fine portano ad un innalzamento del Total Cost of Ownership e ad un risultato che non è paragonabile a quello garantito da un appliance dedicata. Ulteriore elemento di differenziazione è la bassa integrazione con le componenti e la filosofia di rete. Meccanismi quali: 1. WCCPv2 Extended (Authentication Bypass, Dynamic Bypass, Overload Bypass, Static Bypass, Multiport and Service Transparent Redirection, WCCP Flow Protection, WCCP Router-Cache authentication, Multiclustering) che consente loadbalancing, clustering e high availability, gestiti automaticamente tra Content Engine (anche di modelli differenti) e macchine basate su IOS; 2. Integrazione diretta tramite Network Module; 3. Boot da flash per la parte di OS critical (es. CE continua a garantire funzioni di autenticazione ed autorizzazione base di gruppo anche se i dischi sono rotti); 4. ICAP per il peering e content vectoring verso appliance dedicate ad altri servizi SCM; 5. FastEtherchannel e GigaEtherchannel tra le porte della Content Engine; 6. Integrazione con il sistema di gestione di rete Cisco Works 2000; sono elementi che una soluzione server non può assolutamente garantire. In generale una soluzione server è di tipo In-Line portando, per esempio, alla necessità di clustering software (con indubbia perdita di prestazioni 4 ) o meccanismi di load balancing esterno attraverso particolari switch. Inoltre la rottura del disco implica lo stop immediato dell intero sistema. Infine un sistema operativo general purpose con file system general purpose su cui si poggiano applicazioni proxy Alcuni esempi: La resilienza di processi critical tramite boot-flash può essere solo garantita con sistema RAID; Non avendo a disposizione meccanismi come WCCP l alta affidabilità porta all uso di clustering software (costi aggiuntivi dovuti a licenze particolari, degrado delle prestazioni, IT operation pi complesse e costose) o all uso di loadbalancer esterni; Dimensionando un server per OS, proxy di diversa natura, filtering evoluto e per un certo volume di traffico ed un certo numero di utenti non è poi così vero che basta aggiungere la componente di scanning perché tutto funzioni senza problemi. È immediato immaginare che il server correntemente utilizzato non potrà mai garantire le performace dovute. Inoltre è sempre necessario valutare problemi di compatibilità tra i diversi sistemi (filtering, scanning) e lo stato dell OS. Nelle soluzioni appliance dedicate di competitor i veri elementi discriminanti da ricercare sono: Integrazione con la rete 1. Supporto WCCPv2 Extended (Authentication Bypass, Dynamic Bypass, Overload Bypass, Static Bypass, Multiport and Service Transparent Redirection, WCCP Flow Protection, WCCP Router-Cache authentication, Multiclustering); 2. Network Module per router di accesso della famiglia 2600, 3600 e 3700; 3. Supporto FastEtherchannel e GigaEtherchannel Per Microsoft in un cluster software di due macchine uguali la potenza elaborativa risultante è quella di una macchina e mezza. In WCCP la crescita di prestazioni è lineare con il numero di Content Engine.

11 Conformazione hardware di base ed espandibilità con relativi costi aggiuntivi (CPU, memoria, numero e tipologie di interfacce di rete, tipologie di disco, modalità di espansione della memoria di massa); Sistema di gestione unificato (standard provisioning e monitoring, SCM policy) per più appliance; Costi aggiuntivi per particolari funzioni (es. Apple o MPEG1/2/4 streaming proxy, terminazione SSL, reporting, ICAP client, gestione centralizzata cifrata, SSL/SSH); Reale supporto delle tecnologie Websense e non del solo Master Database senza Websense Server o altri servizi evoluti (es. Bandwidh Optimizer o Network agent) e con indiscussi problemi di allineamento (soprattutto per i Premium Groups). È altresì importante far notare che per Cisco esiste la possibilità di attivare servizi di distribuzione e serving dei contenuti nel branch qualora si sposi la soluzione distribuita. Infine per Cisco la soluzione di security non è un solo apparato con specifiche funzionalità ma ACNS e le Content Engine fanno parte di quella che viene definita una Self Defending Network integrata. Citando solo due esempi: Il Websense Server a bordo delle Content Engine può essere referenziato dai PIX visti come agenti client; Nella soluzione distribuita le CE di filiale possono accelerare l SSL via WCCP e nello stesso tempo controllare il traffico di rete geografica utilizzando Network Agent e Bandwidth Optimizer, sfruttando il Websense Server attivato al centro sulle CE utilizzate per l accesso ad Internet. COSA ORDINARE Per il Datacenter Cisco Content Engine: CE-565A-144G-SB-K9, CE-7305A-SB-K9, CE-7305A-DC-SB-K9, CE-7325A-SB-K9, CE-7325A-DC-SB-K9 Per il Branch Office o Small and Medium Business Cisco Content Engine: CE-510A-80-K9, CE-510A-160-K9 Cisco Content Engine Network Module per 2600, 3600 e 3700: NM-CE-BP-X Sistema di Gestione: Cisco Content Engine CE-565A-72G- K9 (gestione di 500 nodi) o CE-7305-K9 (gestione di 2000 nodi) come Content Distribution Manager Licenze Websense Master Database: SF-WEB12, SF-WEB24, SF-WEB36 Premium Groups: SF-WP1xx, SF-WP2xx, SF-WP3xx Bandwidth Optimizer: SF-WBW12, SF-WBW24, SF-WBW36 Licenze SmartFilter: SF-SMF12, SF-SMF24, SF-SMF36 ULTERIORI INFORMAZIONI Ai seguenti link è possibile trovare i datasheet di ACNS e Content Engine: La documentazione completa su ACNS è invece disponibile al seguente link: Maggiori informazioni e dettagli possono essere trovati ai seguenti link:

12 Headquarters Cisco Systems, Inc. 170 West Tasman Drive San Jose, CA USA Tel: NETS (6387) Fax: Sito World Wide Web: Sede europea Cisco Systems Europe 11 rue Camille Desmoulins Issy-les-Molineaux Cedex 9, France Tel: Fax: Sede italiana Cisco Systems Italy Via Torri Bianche, Vimercate (MI) Tel: Fax: Sito World Wide Web: Filiale di Roma Cisco Systems Italy Via del Serafico, Roma Tel: Fax: Le filiali Cisco Systems nel mondo sono oltre 200. Gli indirizzi e i numeri di telefono e fax sono disponibili sul sito Cisco Connection Online all indirizzo Arabia Saudita Argentina Australia Austria Belgio Brasile Bulgaria Canada Cile Cina Colombia Corea Costarica Croazia Danimarca Emirati Arabi Filippine Finlandia Francia Germania Giappone Gran Bretagna Grecia Hong Kong India Indonesia Irlanda Israele Italia Lussemburgo Malesia Messico Norvegia Nuova Zelanda Olanda Perù Polonia Portogallo Portorico Romania Repubblica Ceca Russia Scozia Singapore Slovacchia Slovenia Spagna Stati Uniti Sud Africa Svezia Svizzera Tailandia Taiwan Turchia Ucraina Ungheria Venezuela Vietnam Zimbabwe Copyright 2004 Cisco Systems, Inc. Tutti i diritti riservati. Cisco, Cisco Systems e il logo Cisco Systems sono marchi registrati di Cisco Systems, Inc. negli Stati Uniti e in determinati altri paesi. Tutti gli altri marchi o marchi registrati sono proprietà delle rispettive aziende.