Совместимость ПО
Совместимость ПО между членами стека определяется по номеру версии протокола стека. Чтобы просмотреть версию протокола стека коммутаторов, выполните команду show platform stack-manager all.
3750-Stk# show platform stack-manager all
Current | ||||
Switch# | Role | Mac Address | Priority | State |
1 |
Slave |
0016.4748.dc80 |
5 |
Ready |
*2 |
Member |
0016.9d59.db00 |
1 |
Ready |
!— part of output elided
Stack State Machine View
Switch Number | Master/Slave | Mac Address | Version (maj.min) | Uptime State | Current |
1 |
Slave |
0016.4748.dc80 |
1.11 |
8724 |
Ready |
2 |
Member |
0016.9d59.db00 |
1.11 |
8803 |
Ready |
!
— part of output elided
Коммутаторы с одинаковой версией ПО Cisco IOS имеют одинаковые версии протокола стека. Такие коммутаторы полностью совместимы, что обеспечивает правильную работу всех функций во всем стеке коммутаторов. Коммутаторы с такой же версией ПО Cisco IOS, что и на мастере стека, немедленно присоединяются к данному стеку.
При наличии несовместимости полнофункциональные члены стека создают системное сообщение, которое описывает причину несовместимости отдельных членов стека. Мастер стека отправляет это сообщение всем членам стека.
Коммутаторы с отличной от остальных версией ПО Cisco IOS вероятнее всего имеют другую версию протокола стека. Коммутаторы с разными номерами версии ПО несовместимы и не могут находиться в одном стеке.
3750-Stk# show switch
Current | ||||
Switch# | Role | Mac Address | Priority | State |
1 |
Member |
0015.c6f5.6000 |
1 |
Version Mismatch |
*2 |
Master |
0015.63f6.b700 |
15 |
Ready |
3 |
Member |
0015.c6c1.3000 |
5 |
Ready |
Коммутаторы с ПО разных выпусков одной и той же версии совместимы частично. При подключении к стеку коммутаторов частично совместимый коммутатор входит в режим несовпадения версий (VM) и не может присоединиться к стеку в качестве полнофункционального члена. ПО обнаружит неполное совпадение версий и попытается обновить (или вернуть к предыдущей версии) ПО коммутатора, находящегося в режиме VM, при помощи образа стека коммутаторов или файла образа tar из флэш-памяти стека коммутаторов. Программное обеспечение использует функции автоматического обновления (автообновление) и автоматических рекомендаций (авторекомендации).
Автообновление происходит, если выпуск программного обеспечения, используемый мастером стека, совместим с коммутатором в режиме VM, а файл tar текущего образа доступен всем членам стека. Если файл tar текущего образа недоступен, функция авторекомендации предложит загрузить совместимый образ при помощи соответствующих команд. Функции автообновления и авторекомендации не работают, если мастер стека и коммутатор в режиме VM используют различные наборы функций/пакеты ПО (IP-сервисы и базовый IP-пакет). Однако начиная с выпуска Cisco IOS Software 12.2(35)SE, функция автообновления поддерживает обновление между одноуровневыми образами ПО с поддержкой и без поддержки шифрования.
Detect
Цель средств из этой области — детектировать потенциальные атаки или опасные изменения, руководствуясь тем, что насобирала система. Категория более-менее новая. В определенный момент стало ясно, что невозможно защититься от всего и закрыть все уязвимости. С тех пор фокус сместился на системы, которые позволяют хотя бы обнаружить атаки или просто ненормальное поведение.
- Log Management — системы сбора и анализа логов. Простых средств сбора логов, по сути, уже не осталось — в каждую встроен какой-нибудь супермодный алгоритм анализа корреляций. Но класс, в принципе, пока жив.
- SIEM — системы сбора и анализа событий безопасности. Кто бы что ни говорил, а Splunk пока мне видится наиболее удобным средством. Как минимум потому, что от HP Arcsight у меня сломался мозг.
- Security Intelligence/Threat Analytics — системы обнаружения потенциальных угроз. Это более крутой аналог SEIM — с машинным обучением и кучей дополнительных фишек. Пример — LookingGlass.
- Flow Visibility — системы мониторинга сетевого или межкомпонентного трафика. Тема старая, но сейчас она переживает второе рождение.
- DLP — Data Leakage Prevention, обнаружение утечек информации. Тоже далеко не новая область, но есть интересные компании — к примеру, Digital Guardian
- UEBA — за этим не самым благозвучным для русского уха сокращением скрывается занятная область — аналитика поведения пользователей. Из наиболее перспективных игроков я бы назвал Exabeam и Fortscale.
- EDR — Endpoint Detection and Response, средства для обнаружения атак на рабочие станции. Что-то вроде несигнатурных антивирусов. Наиболее знамениты сейчас решения Bit9 + CarbonBlack.
- Fraud/Transaction Monitoring — мониторинг фрода, финансовых транзакций, и порчей подозрительной активности.
- Deception Tools — относительно новая область решений, в которой для обнаружения атак используется старая идея ханипотов. Пример — Illusive Networks.
Predict
За этим словом скрывается целый класс систем, которые позволяют предсказать атаки. Попросту говоря, это гигиена. Будешь мыть руки — не будет бактерий, не будет болезней и не надо будет глотать таблетки. В мире ИБ для «мытья рук» предлагается много самых разных средств.
- Penetration Testing Solutions — это решения, которые позволяют провести тестирование на проникновение. На данный момент чистых представителей этого класса, таких как Immunity Canvas или, к примеру, Core Impact, почти не осталось. Сейчас все интегрировано в более обширный класс — Vulnerability Management.
- Vulnerability Management — сканеры безопасности для различных областей: сетей, приложений, мобильных устройств, устройств ICS и так далее.
- SCM — Security Configuration Management. По сути этот класс уже практически исчез, объединившись с Vulnerability Managenmet.
- Access Governance — средства анализа контроля доступа и Segregation of Duties.
- SAST — сканеры исходного кода.
- DAST — средства динамического анализа. Постепенно вымирают и сливаются со средствами статического анализа.
- IAST — средства интерактивного анализа кода. Сейчас тоже интегрируются со средствами статического и динамического анализа.
- Business Application Security — средства мониторинга безопасности бизнес-приложений типа SAP, Oracle и специфичных систем.
- TI, Threat Intelligence — системы сбора информации об угрозах и атаках, происходящих в мире. Сюда входят платформы по анализу и мониторингу фидов, а также сами фиды.
- Security Awareness Trainings — продукты типа Wombat Security.
- Anti-Phishing — автоматизированные продукты и платформы по анализу защищенности к фишинговым атакам, такие как, например, Phish Me.
Как выбрать технический стек?
Существует множество передних и внутренних технологий на выбор. Для внешнего интерфейса в основном используется JavaScript, но набирают популярность и другие фреймворки, такие как Angular, React.JS, Vue.JS. Java и.Net — типичные примеры для серверной разработки, однако существует множество других языков программирования и фреймворков: PHP, Ruby on Rails, Python, C++, C# и т. д.
Для разных проектов могут потребоваться разные стеки разработки. Проверенные временем технологии могут оказаться неподходящим выбором для некоторых проектов, а новые передовые технологии могут не иметь необходимой функциональности или достаточной поддержки.
Давайте посмотрим на самые популярные технологии, используемые для различных типов проектов.
Для разработки веб-приложений
JavaScript обычно используется в качестве языка сценариев для обеспечения интерактивности веб-страниц. Существует множество библиотек JavaScript, таких как jQuery, Bootstrap и Slick, встроенных в такие платформы, как Angular, Vue.js и React.js, которые используются для улучшения функциональности пользовательского интерфейса.
HTML используется для создания и размещения контента. Все позиционирование и упорядочивание содержимого страницы осуществляется с помощью HTML.
В то время как HTML структурирует контент, CSS используется для форматирования структурированного контента. В основном это включает в себя реализацию шрифтов, цветов, элементов макета, фонового материала и так далее.
Для разработки мобильных приложений
Мобильные технологии можно разделить на нативные, гибридные и кроссплатформенные. Разработка нативных приложений основана на использовании нативных языков программирования, таких как Java и Kotlin для Android, Objective-C и Swift для iOS.
Гибридная разработка основана на использовании таких технологий, как HTML5, JavaScript, Ionic, Cordova, PhoneGap и Xamarin.
В свою очередь, для кроссплатформенной разработки в основном используются React Native, Xamarin и Flutter.
Использование нативного подхода к разработке мобильных приложений сегодня гораздо предпочтительнее, поскольку он обеспечивает больший контроль и упрощает доступ к оборудованию.
В любом случае, выбранная технология должна повышать производительность приложения, позволяя вашей команде разработчиков поддерживать кодовую базу продукта и ускорять итерации.
Функциональность
Функции, связанные со стекируемыми коммутаторами, могут включать:
- Один IP-адрес для нескольких устройств. Несколько коммутаторов могут использовать один IP-адрес для административных целей, таким образом сохраняя IP-адреса.
- Единое представление управления из нескольких интерфейсов. Представления и команды на уровне стека могут быть предоставлены из одного Интерфейс командной строки (CLI) и / или встроенный веб-интерфейс. В SNMP вид в стек можно унифицировать.
- Устойчивость стекирования. У нескольких коммутаторов могут быть способы обхода переключателя «вниз» в стеке, что позволяет оставшимся модулям функционировать как стек даже с отказавшим или удаленным устройством.
- Резервирование уровня 3. Некоторые стекируемые архитектуры позволяют продолжать маршрутизацию уровня 3, если в стеке есть переключатель «вниз». Если маршрутизация централизована в одном блоке в стеке, и этот блок выходит из строя, тогда должен быть механизм восстановления для перемещения маршрутизации на резервный блок в стеке.
- Сочетание и сочетание технологий. Некоторые стекируемые архитектуры позволяют комбинировать коммутаторы с разными технологиями или из разных семейств продуктов, но при этом обеспечивают унифицированное управление. Например, некоторое стекирование позволяет смешивать в стеке коммутаторы 10/100 и Gigabit.
- Выделенная полоса пропускания стекирования. Некоторые коммутаторы поставляются со встроенными портами, предназначенными для стекирования, которые могут сохранить другие порты для сетевых подключений и избежать возможных затрат на дополнительный модуль для добавления стекирования. Запатентованная обработка данных или кабели могут использоваться для достижения более высокой пропускной способности, чем стандартные гигабитные или 10-гигабитные соединения.
- Агрегация ссылок портов на разных устройствах в стеке. Немного разрешить агрегацию каналов от портов на разных коммутаторах в стеке либо к другим коммутаторам, не входящим в стек (например, к базовой сети), либо разрешить серверам и другим устройствам иметь несколько подключений к стеку для повышения избыточности и пропускной способности. Не все стековые коммутаторы поддерживают агрегацию каналов в стеке.
Нет единого мнения относительно порогового значения для стекирования и автономного коммутатора. Некоторые компании называют свои коммутаторы стекируемыми, если они поддерживают один IP-адрес для нескольких устройств, даже если им не хватает других функций из этого списка. Некоторые отраслевые аналитики сказали, что продукт не может быть стекирован, если ему не хватает одной из вышеперечисленных функций (например, выделенной полосы пропускания).
Отличительные особенности SaaS:
Какие компоненты отличают SaaS среди других типов приложений? Вот некоторые из основных критериев, которые должны быть в каждом приложении SaaS:
Масштабируемая инфраструктура
Одним из преимуществ использования архитектуры SaaS является настраиваемая инфраструктура, которую можно увеличивать или уменьшать в зависимости от бизнес-требований и потребительского спроса. Например, клиенты могут решить, какие компоненты принесут пользу их бизнесу, и могут платить только тогда, когда это необходимо. Поэтому возможность кастомизации инфраструктуры является обязательной.
Модель подписки
Приложения SaaS в значительной степени полагаются на модели подписки для предоставления лицензий на программное обеспечение. В отличие от бессрочной лицензии, эта модель доставки программного обеспечения привязывает каждую учетную запись к подписке, которая предоставляет доступ к SaaS на определенный период времени — обычно на годовой или ежемесячной основе. Плата за подписку обычно предоставляет доступ к документации по продукту и текущую поддержку, регулируемую соглашением об уровне обслуживания (SLA), но некоторые поставщики SaaS взимают дополнительную плату за поддержку для внесения пользовательских изменений кода на уровне исходного кода.
Суть приложения SaaS заключается в высокой доступности программного обеспечения как услуги. Эта услуга расширена за счет гибкого цикла выставления счетов, который позволяет клиентам и бизнес-пользователям в полной мере использовать все, что они хотят, и столько, сколько они хотят.
CRM-система
Поскольку SaaS предлагает общую платформу для большого количества арендаторов, ему требуется единый репозиторий для учетных записей клиентов и управления этими сведениями.
Автоматизация
Автоматизация SaaS позволяет упростить процесс адаптации клиента в облачном приложении. Это повышает эффективность работы независимых поставщиков программного обеспечения (ISV), поскольку необходимые обновления инфраструктуры быстро доставляются подписчикам. Более того, это избавляет пользователей от необходимости самостоятельно заниматься исправлениями проблем и форс-мажоров.
Поддержка и аналитика
Модуль поддержки клиентов и аналитики приложения SaaS предоставляет набор инструментов для управления платформой и проверки показателей. Таким образом поставщики могут улучшить качество обслуживания клиентов и оптимизировать свой сервис.
Критерии для выбора технологического стека SaaS
Технологический стек — это набор фреймворков, библиотек, языков программирования и баз данных, используемых для создания полнофункциональной платформы.
Грамотный выбор технического стека — один из основных критериев для успешного запуска любого продукта. Особенно это касается SaaS-сервисов. Выбор экзотических инструментов для разработки ПО сделает его сложным для обновления и поддержки в долгосрочной перспективе.
Яркий пример — фреймворк Ruby on Rails. Когда он вышел, клиенты по всему миру попросили поставщиков использовать эту новую и классную платформу для своих проектов и даже переносили свои существующие приложения на RoR. Но вскоре выяснилось, что работать с ним не так просто, как все думали.
Как только начали выходить в свет более удобные фреймворки, популярность RoR сильно упала. Сегодня большинство проектов Ruby поддерживаются за большие деньги, так как спрос на поддержку остался, а разработчиков на этом стеке стало гораздо меньше.
Самый надежный вариант не ошибиться с выбором — нанять аналитиков, которые смогут подобрать наиболее подходящие инструменты для конкретного проекта.
Приведем некоторые критерии, которые следует учитывать при выборе технологического стека SaaS:
Сопровождаемость кода
Любой владелец продукта должен думать на несколько лет вперед. Будет ли фреймворк, используемый для создания приложения, по-прежнему популярным или он будет считаться устаревшим? Если кто-то из разработчиков покинет команду, насколько легко и быстро можно будет найти ему замену? Как долго новый разработчик будет включаться в проект?
Использование популярной комбинации языка и фреймворка снизит вероятность остаться с легаси проектом спустя несколько лет. Ежегодно в мире появляются новые инструменты для разработки, но далеко не все из них заслуживают внимания. Популярность инструмента можно измерить как с помощью количества звезд на GitHub, так и с помощью изучения рынка разработчиков: чем больше вакансий и запросов в определенном стеке, тем он популярнее.
Масштабируемость
Вопрос касаемо масштабируемости проекта следует поднимать ещё на этапе планирования и распределения бюджетов. Особенно это будет актуально, если проект рассчитан на неограниченный круг пользователей.
Физические сервера можно улучшать бесконечно путем увеличения памяти на жестком диске или увеличением производственных мощностей. Но в случае с разработкой ПО можно столкнуться с ограничениями, препятствующими дальнейшему развитию продукта.
Например, если фреймворк не рассчитан выдерживать большую нагрузку, то с увеличением количества запросов пользователи столкнутся с зависанием приложения или с другими проблемами.
При этом стоит учитывать, что если стек изначально выбирается с запасом на будущее, то разработка первой версии приложения обойдется дороже, чем более простые решения. К примеру, приложения Angular масштабируются намного лучше, чем приложения на React, потому что Angular был создан с учетом масштабируемости с самого начала и имеет для этого все возможности. Но при этом приложение на Angular будет всегда дороже в разработке, чем React.
MVP
Чем короче срок выпуска продукта на рынок, тем больше у него шансов превзойти конкурентов. Поэтому стоит выбирать технологии и подходы, которые повышают скорость доставки программного обеспечения за счет автоматизации и упрощения повторяющихся операций. Сюда входят автоматические модульные тесты для кода, внедрение непрерывной поставки кода через конвейеры CI/CD, автоматизированная аналитика и многое другое.
Кроме того, подход MVP позволяет эффективнее управлять потребностями клиентов. Когда продукт уже выпущен в продакшн, то с помощью метрик, менеджеров, маркетологов и аналитиков можно узнать, где в приложении есть проблемные места. Анализ этих данных и внедрение новых решений поможет вывести сервис на новый уровень.
Серия универсальных серверов доступа Cisco AS5x00
Серия универсальных серверов доступа AS5x00 — это серия
гибридных серверов доступа, предоставляющих доступ по асинхронным и ISDN линиям
для мобильных, удаленных и надомных пользователей. За счет одновременной
поддержки аналоговых и ISDN подключений в рамках одного и того же устройства
через единую общую линию подключения (trunk), серверы доступа AS5x00 позволяют
поставщикам услуг Интернет и менеджерам корпоративных сетей обеспечить как
традиционный доступ в сеть с использованием аналоговых линий, так и обеспечить
поддержку растущих потребностей в использовании линий ISDN.
Устройства AS5x00 сочетают в рамках одного шасси
функциональность устройств окончания цифровых каналов (CSU), мультиплексоров,
коммуникационных серверов, коммутаторов, маршрутизаторов и содержат
интегрированные модемы. Все это делает устройства серии AS5x00 идеальным
решением для сред со смешанной средой передачи.
- Уменьшение стоимости за счет обеспечения
универсального доступа через одну общую линию (trunk) для всех типов
соединений (аналоговых, ISDN, V.90, V.110, V.120) - Обеспечивает защиту вложений за счет
модульного дизайна устройств - Обеспечивает защиту ваших вложений в ранее
установленные системы за счет поддержки широкого спектра протоколов и
технологий в рамках ПО Cisco IOSTM - AS5300 может также выступать в качестве
решения для центральных офисов по передаче голоса и факсимильных сообщений
через глобальные сети
Prevent
В этой категории у нас средства предотвращения атак. Это, наверное, самый обширный класс.
- Firewalls — файерволлы, с ними все понятно.
- IPS, Intrusion Prevention Systems. Системам обнаружения вторжений, наверное, лет больше, чем мне. PaloAlto тут самый интересный игрок, как минимум в плане маркетинга.
- Encryprion/Masking — шифрование и маскирование. Гигантский, по сути, рынок, но очень слабо представленный.
- VPN — виртуальные частные сети. Тоже старая как мир тема.
- WAF — межсетевые экраны уровня веб-приложений. Это уже кое-что поновее, но рассказывать, думаю, тут нечего. Это, пожалуй, самое первое средство защиты, с которым сталкивается пентестер, не считая IDS.
- Database Firewalls — межсетевые экраны уровня СУБД. Есть и такие. Когда-то они считались новаторскими, но сейчас это обычное дело.
- Application Shielding/RASP — защита приложений и новый класс Real Time Application Security Protection. Это примерно как файерволл уровня приложений, только на стероидах. Думаю, посвящу им целую колонку и расскажу, в чем отличия от WAF. Вендоры SAST сейчас активно боронят почву в этой области.
- IAM/User Authentication — Identity and Access management, то есть системы управления доступом и ролями — например, CyberArk.
- CASB — Cloud Access Security Brokers, системы управления доступом к облачным сервисам. Примерно как IAM, только в облаках.
- AntiVirus/Endpoit Protection — средства защиты рабочих станций от вирусов и малвари. Разнообразия тут немного, но есть и интересные вещи — к примеру, Cylance.
- Anti-APT — самая модная и непонятная область — волшебные средства защиты от неизвестных атак. FireEye — один из ярких примеров.
- Isolation — всяческие виртуальные песочницы, которые ограничивают доступ компонентам. Что-то вроде продвинутой версии Citrix. Пример — Menlo Security.
- DDOS Mitigation Appliances and Services — хардверные и софтверные средства защиты от DDOS.
- EMM — Enterprise Mobility Management. Средства управления безопасностью мобильных устройств. Даже у SAP есть решение для этого. Скукота.
Стекируемый коммутатор и коммутатор шасси: что выбрать на границе сети?
Коммутаторы, используемые на границе сети, подключаются напрямую к устройствам конечного пользователя. Поэтому они должны иметь высокую плотность портов и низкие затраты. Стекируемые переключатели и переключатели шасси имеют много общих символов. У них обоих есть много доступных портов, централизованное управление и возможность добавления портов в будущем. Но когда дело доходит до выбора между ними, необходимо учитывать три фактора, включая надежность, гибкость и долговечность.
надежность
Надежность является существенным признаком граничного переключателя. Когда стековый коммутатор в одном стеке сталкивается с проблемой и выходит из строя, необходимо отсоединить соединение и вынуть его из стойки. Затем вам нужно положить новый в стойку и соединить новый с другими стековыми коммутаторами. Это занимает больше времени, чем использование переключателя шасси. Потому что многие линейные карты в коммутаторе шасси поддерживают «горячую» замену. Когда дело доходит до поломки одной линейной карты, вам просто нужно вынуть линейную карту и вставить новую. И тогда переключатель шасси снова заработает нормально. Кроме того, переключатель шасси имеет лучший воздушный поток и больший источник питания, чем стекируемые переключатели. Таким образом, коммутатор шасси может быть менее подвержен поломке, чем стековые коммутаторы.
гибкость
Край сети подобен ветвям дерева. Поэтому гибкость краевых переключателей важна. Как стекируемые коммутаторы, так и коммутаторы шасси могут предлагать комбинацию различных скоростей портов и типов передачи. Но переключатели шасси могут использоваться только с оборудованием, произведенным определенным поставщиком. В то время как стекируемые коммутаторы более гибки на брендах. Кроме того, в отличие от стекового коммутатора, для отдельных линейных карт в коммутаторе шасси не существует самодостаточной операции
И последнее, но не менее важное: коммутатор шасси может занимать больше места в стойке, чем стекируемые коммутаторы, если количество используемых портов не так много
долголетие
Долговечность граничных переключателей может повлиять на стоимость в долгосрочной перспективе. Коммутаторы на основе шасси, как правило, имеют более длительный срок службы, чем стекируемые коммутаторы. Если вы хотите повысить скорость одного порта с 1 гигабит до 10 гигабит на наращиваемом коммутаторе, у вас нет другого выбора, кроме как купить новый коммутатор. Если вы используете коммутатор шасси, вам просто нужно удалить линейную карту портов Gigabit и вставить линейную карту портов 10 Gigabit. Тогда вы идете с тем же старым переключателем шасси. Хотя коммутаторы шасси имеют более высокие начальные инвестиции, чем стековые коммутаторы, коммутаторы шасси имеют более длительный срок службы.