Blog

Tetragon + NX-OS: Et paradigmeskifte i netværkssikkerhed

Cisco Live Protect integrerer Tetragon og eBPF direkte i NX-OS og markerer et nyt niveau af runtime-sikkerhed i netværket. Løsningen giver realtidsindsigt og beskyttelse mod sårbarheder – uden behov for patches eller servicevinduer – og baner vejen for mere automatiseret og proaktiv netværkssikkerhed.

Tetragon-agenten, kendt fra Ciscos opkøb af Isovalent, nu indbygget i NX-OS på Nexus-switches?!

Ja, du læste helt rigtigt. Fra NX-OS-version 10.6 har Cisco introduceret en ny funktion kaldet Cisco Live Protect, og det sætter en ny standard for, hvordan vi mitigerer sårbarheder på netværksudstyr – i første omgang på Nexus-familien.

I årevis har vi accepteret, at sårbarheder på netværksudstyr håndteres med klassiske patches og opgraderinger. Det betyder ventetid på softwareudgivelser, test, servicevinduer, risiko for nedetid – og samtidig en periode, hvor vi ved, at en sårbarhed eksisterer, men ikke kan gøre noget, før udstyret er opgraderet.

Nu står vi over for et paradigmeskifte med Ciscos introduktion af Live Protect, som i første omgang er målrettet NX-OS og integrerer Tetragon fra Isovalent. Det betyder med andre ord, at vi nu får runtime-sikkerhed direkte i switchens kerne. Dette er ikke bare en ny feature, men et skift i, hvordan vi tænker sikkerhed på netværksudstyr – traditionelt en lukket “black box” uden andre håndtag end at vente og installere en patch.

Hvorfor er det så vigtigt?

Traditionelt har vi betragtet netværksinfrastrukturen som relativt statisk – sikkerheden blev håndhævet uden for boksen via firewalls, IDS/IPS eller eksterne agenter. Men de klassiske tilgange til perimeterbeskyttelse er under pres, i takt med, at kontrolplanet bliver mere komplekst og kritisk.

Live Protect ændrer dette ved at bringe sikkerheden ind i selve kernen – i dette tilfælde NX-OS. Det betyder i praksis, at vi kan overvåge og reagere på mistænkelig aktivitet i realtid – uden at vente på en patch eller et servicevindue.

Med andre ord er dette første skridt mod at kunne kompensere for kendte sårbarheder eller angrebsmetoder (CVE’er og CWE’er) og lægge et slags “skjold” omkring udstyret, som reducerer risikoen og køber os tid til at planlægge en opgradering uden hastværk.

Hvordan virker det så?

Kernen i løsningen er eBPF (Extended Berkeley Packet Filter) – en teknologi, der gør det muligt at køre små, sikre programmer direkte i Linux-kernen. Disse programmer giver os dyb adgang til at overvåge systemkald, processer, filadgang og netværkstrafik – med minimal performancepåvirkning.

(eBPF er en indbygget, sikker “sandbox” i nyere Linux-kerner. Det er ikke en ny eller proprietær teknologi, men giver en hidtil uset synlighed og kontrol. Du bruger allerede eBPF i din hverdag – fx. via Google, Facebook, Netflix eller Cloudflare.)

Tetragon, udviklet af Isovalent (nu en del af Cisco), er bygget på eBPF og leverer dyb indsigt i systemets runtime. Det er Tetragon, Cisco har integreret i NX-OS – og dermed ser vi for første gang i branchen en sikkerhedssensor direkte i kernen på netværksudstyr.

I den nuværende version handler det primært om visibilitet, hvilket betyder, at switchen kan:

• Observere: Hvilke processer kører? Hvilke filer ændres? Hvilke systemkald foretages?
• Rapportere: Eksportere hændelser og telemetri til SIEM- eller observability-platforme (f.eks. Splunk).

Enforcement af politikker er næste skridt – og det betyder, at vi i fremtiden kan stoppe uautoriserede ændringer eller systemkald, før de bliver til et vellykket angreb.

Hvorfor er eBPF og Tetragon så afgørende?

Cisco har med god grund fået øjnene op for eBPF – især med opkøbet af Isovalent. Med eBPF og Tetragon flytter vi sikkerheden ind i selve kernen af operativsystemet – uden tunge agenter.

eBPF arbejder tæt på hardwaren og kan filtrere data, før det forlader kernen, hvilket giver en respons og præcision, som traditionelle userspace-applikationer ikke kan matche.

For netværks- og sikkerhedsfolk betyder det:

• Ingen ekstra bokse at administrere.
• Ingen performance-hit, som vi kender fra klassiske agenter.
• Realtidsindsigt i, hvad der sker på control-planet (Vi er i kernen).
• Hurtig kompensering for kendte sårbarheder og angrebsflader.

Hastighed og fleksibilitet er blevet vigtige faktorer, hvis man vil være en del af kampen mod sårbarheder og eventuelle angreb.

Hvorfor haster det?

I gennemsnit går der kun 3 dage fra en sårbarhed offentliggøres, til vi ser de første forsøg på udnyttelse. Til sammenligning tager det for store virksomheder med strenge test- og change-processer i gennemsnit 45 dage at planlægge og udføre en patch. Det er et enormt risikovindue – og det er netop her, Live Protect gør en forskel.

Min konklusion og et kig i krystalkuglen

Vi ser mange “next big things” i branchen, men jeg mener, at Cisco her har fat i noget fundamentalt. Til daglig taler jeg ofte med kunder, der ønsker mere visibilitet og mulighed for at installere agenter på netværksudstyr og appliances – noget, der traditionelt har været umuligt.

Med Live Protect ændrer det sig. Det er ikke bare en feature – det er en arkitekturændring. Og fordi størstedelen af Ciscos løsninger bygger på Linux, er der stor sandsynlighed for, at vi vil se denne teknologi brede sig til resten af porteføljen – med mulighed for at håndhæve politikker direkte i kernen.

Hvis du følger Ciscos rejse, vil du også se en rød tråd til Hypershield og den rolle Isovalent spiller her. Fremtiden ser unægtelig spændende ud – vi står midt i et paradigmeskifte i, hvordan vi tænker netværk og netværkssikkerhed.

Jeg håber, dette indlæg har skabt noget indsigt, og hvis du vil dykke dybere, anbefaler jeg at tjekke Ciscos og Isovalents officielle ressourcer nedenfor.

Kilder:

• https://isovalent.com/blog/post/isovalent-cisco-nexus-better-together/
• https://blogs.cisco.com/news/reinventing-infrastructure-for-the-next-wave-of-ai-at-cisco-live
• https://www.cisco.com/c/en/us/td/docs/dcn/nx-os/nexus9000/106x/configuration/security/cisco-nexus-9000-series-nx-os-security-configuration-guide-release-106x/m-secure-nxos-with-cisco-live-protect.html#pr

Automatisering Cloud Conscia Services Datacenter NIS2 Sikkerhed

Blog

3. okt 2024

Fandt du dette interessant? Så kan du dykke dybere ned i teknologien bag(…)

For tiden får jeg ofte spørgsmålet: “Hvad er det her Cilium og eBPF, folk taler om?” mens jeg står ved kaffemaskinen. Denne tekst er et forsøg på at give et mere struktureret svar, end …

Anders Pedersen

Cloud Solution Architect

Læs

Om forfatteren