시스코

소개

Cisco Catalyst 9000 시리즈의 새로운 기능

기존 Cisco Catalyst 스위치와 비교하여 Cisco Catalyst 9000 시리즈에는 다음과 같은 장점이 있습니다. 많은 새로운 기능이 최신 Cisco Unified Access Data Plane(UADP)ASIC, 그리고 이미 시장에서 검증된 IOS인 Cisco IOS-XE를 탑재하고 있습니다

기능 : Cisco Catalyst Cisco Catalyst 9000 시리즈

강화된 Cisco Unified Access Data Plane(UADP)

Cisco Catalyst 9000 시리즈는 새로 개발된 ASIC, Cisco Unified Access Data Plane(UADP) 2.0 Mini, 2.0, 3.0 탑재, 성능을 강화하였습니다. Cisco IOS-XE는 확장성 및 서비스 유연성 향상으로 더 나은 네트워크 환경을 제공 합니다. 이로써 Cisco Catalyst 9000 시리즈는 동일 가격대 제품의 약 2배의 성능을 제공합니다

개방적인 Cisco IOS-XE

Cisco Catalyst 9000 시리즈가 탑재한 Cisco IOS-XE는 기존 Cisco IOS-XE의 특징인 데이터 플레인과 컨트롤 플레인의 분리를 더욱 심화시켜 OSPF와 BGP와 같은 Cisco IOS 기능과 설정/동작 데이터 베이스도 분리하고있습니다.

이를 통해 모델 주도형 프로그래머빌러티와 스트리밍 텔레메트리 등 SDAccess 환경의 구축에 필요 불가결한 기능이 강화되었을 뿐만 아니라 동적리뉴얼 프로그램 적용인 소프트웨어 업데이트(SMU), 컨테이너 기반의 애플 리케이션 호스팅 등 분리의 장점으로 관리가 빠르고 간단합니다

소프트웨어 업데이트(SMU)

소프트웨어 업데이트 (Software Maintenance Update; SMU)는 Cisco IOSXE에 긴급하게 수정이 필요한 장애가 발견된 경우에 제공되는 소프트웨어 배치입니다. 전체 소프트웨어 재가동 없이 필요한 부분만 업데이트 함으로써 특정 문제를 신속하게 수정할 수 있습니다.

SUM 적용이 필요한 예로서 크리티컬한 장애가 발생한 경우, 보안의 취약 성을 해소하는 경우 또는 이러한 문제를 예방적으로 해결하는 경우 등을 들수 있습니다. Cisco DNA Center를 이용하여 미리 SMU 적용으로 인한 영향 도를 분석하고 파일럿 환경에서 테스트 및 스케줄링할 수도 있습니다

Graceful Insertion and Removal(GIR)

Graceful Insertion and Removal(GIR)은 하드웨어의 교체와 소프트웨어의 업그레이드, 설정 변경 등 모든 스위치의 변경관리를 적용할 경우 해당 스위치는 단 한 줄의 명령어로 백업 모드로 전환하여 네트워크에서 격리하고 트래픽 손실이 최소화 되도록 제어하는 기능입니다

Cisco StackWise Virtual

Cisco StackWise Virtual은 2대의 Cisco Catalyst 스위치를 가상으로 1대가 논리적인 스위치로서 운용하기 위한 가상 스택 기술입니다. 예를 들어 분배 레이어에 위치하는 2대의 Cisco Catalyst 스위치에 Cisco StackWise Virtual 을 적용하는 경우 코어 레이어 및 액세스 레이어의 스위치는 Multichassis EtherChannel(MEC)라 불리는 1개의 가상화포인트 채널을 사용하여 분배 레이어 양쪽의 Cisco Catalyst 스위치와 연결합니다. 이 MEC에 따라 포트 채널의 여유성과 로드 밸런싱을 제공할 뿐만 아니라 2대의 Cisco Catalyst 스위치가 가상으로 1대의 논리적인 스위치로 취급되므로 루프 프리한 레이 어 2 네트워크 토폴리지 구현 및 레이어 3 네트워크 토폴리지를 단순화할 수 있습니다

암호화 트래픽 분석(ETA)

암호화 트래픽 분석(Encrypted Traffic Analytics; ETA)은 Transport Layer Security(TLS)로 업계 최초로 암호화 된 상태로 트래픽을 분석하는 시스코 만의 고유 기능입니다.

최근 정보 보호의 주요 수단으로서 암호화가 많은 서비스와 애플리케이션에서 사용되고 있지만, 그 정보를 노리는 공격자 또한 악의적인 공격 행위를 보호하는 수단으로서 암호화를 활용하고 있습니다. 예를 들어 약 20%의 멀웨어가 통신을 TLS로 암호화 하고 있습니다. 기존 IPS/IDS 시그니처에 의한 위협의 감지에서는 암호화된 통신을 복호화, 분석, 나아가 재암호화하는 방법이 있었지만, 불가피하게 발생하는 네트워크 성능 저하라는 문제 뿐만 아니라 암호화된 트래픽으로부터 악의적인 행위를 검출하기 위해서는 대단히 고도의 기술이 필요하다는 문제도 있습니다.
ETA에서는 TLS 통신을 복화하지 않고 BD/SPLT/IDP를 수집하기 위해 복호화 및 재암호화에 따른 네트워크 성능 저하가 없습니다. 나아가 인지 분석을 통합한 Cisco StealthWatch에 의해 실제 데이터를 근거로 한 테스트 결과 99 % 이상의 탐지 및 분석 결과를 보여줍니다

암호화 트래픽 분석(ETA)의 장점

➤ 네트워크 분석을 통해 암호화 트래픽 내의 위협에 관한 정보를 파악할 수 있습니다. 실시간 분석을 통해 사용자와 디바이스의 정보에 상호 관련성이 있는 컨텍스트상의 위협 인텔리전스를 얻을 수 있습니다.

➤ 공격 대응 시간 단축: 감염된 디바이스와 사용자를 신속하게 제어할 수 있습니다.

➤ 시간과 : 기존 네트워크 장비를 보안센서로 활용 할 수 있어, 추가적인 보안 투자 비용과 시간을 최소화 할 수 있습니다.

인지 분석을 통합한 Cisco Stealth Watch

➤ Cisco StealthWatch는 NetFlow 등을 사용하여 기업 전체에 걸친 호스트와 사용자의 “정상”적인 행동을 나타내는 기준을 확립합니다.

➤ Cisco StealthWatch를 인지 분석과 통합함으로써 트래픽과 글로벌한 위협과의 상관관계를 나타내며, 감염된 호스트, 커맨드 & 컨트롤 통신 및 의심스러
운 트래픽을 자동으로 특정합니다.

➤ 인지 분석은 글로벌 리스크 맵(인터넷상의 서버와 관련된 행위의 광범위한 프로파일)을 유지하여 공격과 관계가 있거나 악용되고 있을 가능성이 있는 경
우, 또는 장래에 공격의 일부가 될 수 있는 서버를 특정합니다.

➤인지 분석은 머신러닝과 통계 모델을 활용하여 확장 Net Flow로부터 얻어진 암호화 트래픽의 새로운 데이터 요소를 분석합니다.

➤인지 분석을 이용하는 Cisco StealthWatch는 암호화 트래픽의 복호화가 아니라 머신러닝 알고리즘을 활용하여 암호화 트래픽으로부터 악의적인 패턴을
검출하고 위협의 특정과 인시던트 대응 개선을 지원합니다

시스코