Cisco Hypershield är ett drastiskt omtag på cybersäkerhet som kastar omkull gamla sanningar inom IT-säkerhet. Vi har redan nämnt Hypershield i en kort bloggpost och här kommer en mer utförlig beskrivning och på vad Hypershield är och vilka möjligheter den öppnar upp.
Cisco har som sagt tillkännagivit sitt senaste säkerhetsinitiativ: Cisco Hypershield. Det har varit många frågor om det, vilket är förståeligt. Det är inte som en ny Cisco-enhet i det vanliga 19″ 2U-formatet som vi installerar i våra rackskåp. Det är ett nytt och okänt begrepp som består av flera relativt nya tekniker och ett nytt sätt att se på cybersäkerhet. Så i stället för att försöka sammanfatta det i ett enda ord eller mening, låt mig börja från början.
Skalskydd och fysisk säkerhet
En gång i tiden var brandväggar fysiska boxar med två, kanske tre gränssnitt. Goda och snälla människor var sammankopplade internt, medan de onda, otäcka hackarna, var på utsidan. Och kanske en MailGateway eller webbserver i ett DMZ.
Dessa brandväggar passade perfekt in i den tidens IT-arkitektur. Där våra maskiner och data fanns internt, precis vad vi behövde skydda med våra brandväggar.
Allteftersom saker och ting utvecklades insåg vi att inte alla utomstående var onda. Det fanns också kunder där ute som vi ville bjuda in till vår verksamhet. Marknadsföring, webbshoppar och självbetjäning flyttade online, vilket resulterade i betydande effektivitetsvinster.
Detta innebar dock att brandväggar blev tvungen att flyttas längre in i företaget för att segmentera de interna systemen efter behov. System med kundåtkomst, partners och olika interna enheter, som klienter och servrar, separerades i olika brandväggssegment för att styra trafiken mellan dem.
Det var också en tid då ett program vanligtvis kördes på en enda maskin. Faktum var att flera program ofta kördes på samma dator. Det var vanligt att se en fil- och skrivarserver, AD och DNS på samma server. På samma sätt kunde en SMTP-server (e-post mellan företag) och en IMAP-server (klienters e-poståtkomst) dela samma fysiska dator. Brandväggen satt mitt i allt, och genom att använda IP-adresser och portnummer kunde man styra åtkomsten till dessa applikationer.
Saker och ting är annorlunda nu.
Med tillkomsten av moln och containrar kom mikrotjänster. Detta innebär att alla funktioner och tjänster som tidigare var inbäddade i applikationer, som till exempel e-postservern, nu körs som mikrotjänster. Dina SMTP- och IMAP-tjänster körs i separata behållare (container) och finns inte nödvändigtvis på samma dator. De kan spridas över flera servrar, till och med olika datacenter i olika delar av världen.
En stor utmaning är att flera containrar sannolikt kör samma tjänst för skalbarhet och redundans, vilket innebär att du aldrig vet var funktionerna finns. Tjänsterna flyttas runt dynamiskt. Det skulle inte förvåna någon längre om jag sa att jag för närvarande skickar och tar emot mina e-postmeddelanden i Frankfurt men läser dem från en IP-adress som tillhör ett datacenter i Irland.
Men var lämnar det vår gamla trogna brandvägg? Var placerar du din brandvägg för att styra trafiken, och hur konfigurerar du den när du inte vet var dina applikationer och funktioner finns?
Ett paradigmskifte – ny teknik och nya kombinationer
Vi står inför ett paradigmskifte, och det blir allt tydligare att vår pålitliga gamla brandvägg inte riktigt hänger med trots uppgraderingar som klusterteknik och NG-funktioner.
Cisco har klokt nog vänt blicken mot moln- och containervärlden, förvärvat ny teknik och kombinerat den på ett nytt och innovativt sätt. Det finns tre primära tekniker som vi måste bekanta oss med i framtiden. Låt oss börja med en snabb översikt:
eBPF – Utökat Berkeley-paketfilter
eBPF är en teknik som möjliggör dynamisk injektion av funktioner i en OS-kärna utan att kompilera om den. Till skillnad från program som körs ovanpå OS-kärnan, fungerar eBPF inom kärnan som en del av den. Detta innebär att du kan köra funktioner med minimalt fotavtryck och få direkt åtkomst till alla systemanrop, kärnresurser och information. Du kan komma åt data om aktiva processer och bibliotek på datorer, styra åtkomsten till CPU, RAM, disk och, vilket är avgörande, alla nätverkspaket som går in och ut ur maskinen, samt till och från enskilda processer och applikationer. eBPF erbjuder många avancerade funktioner. Du kan till exempel skapa och använda anpassade ”taggar”, vilket eliminerar oro för IP-adresser och portnummer. Dessutom, om så önskas, kan du tillåta eller blockera trafik och omdirigera den, till exempel till en proxy.
eBPF har sitt ursprung i öppen källkodsvärlden och har länge stött molnleverantörers affärsmodeller. Tidigare, även när flera program och tjänster fanns på samma maskin, var CPU:n troligen inaktiv över 80 % av tiden, och disken var bara halvfull. Detta ”resursslöseri” ligger till grund för affärsmodellen för molnleverantörer, som säljer CPU-cykler och diskutrymme, inte själva hårdvaran.
Att kontrollera processer och resurser har varit avgörande för att få denna modell att fungera. Det skulle inte vara bra om en kunds process kunde döda en annans eller läsa/skriva till en annans minne eller disk. eBPF löser detta problem och kan svara på frågor om systemanrop, aktiva processer, bibliotek och resurser. Vi kan utnyttja alla dessa möjligheter och all denna information. Vi kan kontrollera vad varje arbetsbelastning kan göra och utnyttja informationen.
Kommer du ihåg Log4J i december 2021?
Log4J var en sårbarhet som dök upp i ett omfattande bibliotek, vilket fick många av oss att tillbringa våra julledighet med att kontrollera maskiner för sårbarhet. Vi saknade helt enkelt överblick. Med eBPF har vi bättre synlighet och kan implementera riskreducerande kontroller för att förhindra katastrofer och säkra framtida semesterperioder.
Föreställ dig tusentals små, sammankopplade babybrandväggar inom en stor eBPF-domän. Alla dina arbetsbelastningar, och så småningom dina nätverksenheter, kommer att delta i den här domänen. Med denna insikt på kärnnivå kan vi skapa brandväggar baserade inte bara på IP-adresser och portnummer utan också på processer, bibliotek och resursanvändning.
Vi kan definiera regler som gör det möjligt för en process på en arbetsbelastning i en del av världen att kommunicera med en process på en arbetsbelastning i en annan. Det kanske inte finns något behov av att skicka IP-paket över nätverket om mottagningsprocessen inte körs.
”Men det är bara för vår arbetsbelastning; Hur är det med nätverksenheter?” – Undrar du kanske.
DPU:er (databehandlingsenheter – SmartNIC)
Cisco har ett strategiskt partnerskap med Nvidia, ett företag som du förmodligen känner till för sina högpresterande grafikkort för speldatorer och exceptionella GPU:er (grafikprocessorer). Nvidia producerar också DPU:er (Data Processing Units – SmartNICs) med samma höga prestanda, som fungerar som nätverkskortets motsvarighet till GPU:er. DPU:er finns redan i flera Cisco-enheter, och framöver kommer de sannolikt att bli normen snarare än undantaget.
Förutom att vara otroligt snabba har DPU:er en funktion som spelar en viktig roll i Ciscos tillkännagivanden: Dual-Path Technology. Detta är ett resultat av genomtänkt innovation.
Tekniken skickar i princip all data till två dataplan. Den ena är för produktion, medan den andra helt enkelt släpper paketen. Vi mäter dock kontinuerligt vad resultatet skulle ha blivit för paketen i vår ”testväg”. Detta gör att vi kan testa nya regler, tillämpa patchar och till och med uppgradera vår brandvägg ”i farten”. Om allt ser bra ut byter vi till det andra dataplanet och kallar det produktion. En integrerad testmiljö – vad finns det att inte gilla? Jag kan inte räkna hur många gånger jag har suttit i en mörk källare och önskat att alla program fortfarande skulle köras efter en brandväggsuppgradering.
Åh, nämnde jag att dessa DPU:er är utformade för att delta i din nya eBPF-domän? Voilà – brandvägg var som helst!
Artificiell intelligens
Ja, jag vet att vissa läsare kanske himlar med ögonen nu och funderar på att stänga sina webbläsare, men vänta ett ögonblick. Ja, ChatGPT kan göra misstag, och jag förstår behovet av att respektera denna nya tekniska revolution. Men ärligt talat är jag inte lika rädd för AI som jag är för RHS (Real Human Stupidity). Dessutom är AI redan en del av vårt dagliga liv, vare sig vi gillar det eller inte.
Chansen är stor att du äger en smartphone. I så fall har det förmodligen gått ett tag sedan du uppdaterade den fysiska kartan i din bil. Du har kanske aldrig planerat en roadtrip med papperskartor och guideböcker på matbordet. De flesta av oss förlitar oss på AI: CarPlay och Maps. Er roadtrip kanske planeras live medan ni kör ner mot Toscana.
AI briljerar här. Mängder med datapunkter från andra förare, deras hastigheter, väglayouter och extern ”intelligens” som olycksrapporter, bygguppdateringar och till och med väderförhållanden. I kombination med historiska ”big data” och avancerade algoritmer guidar AI oss runt trafikstockningar och olyckor och ser till att vi når Italien med minsta möjliga friktion.
Även om jag hade tillgång till all denna data skulle jag aldrig kunna bearbeta den manuellt – särskilt inte i realtid.
Före AI
Förr i tiden samlade vi manuellt in information om applikationer, portnummer, hot och sårbarheter för att definiera våra säkerhetsinställningar och brandväggsregler. Det var en långsam, manuell process. Nu, tack vare eBPF, arbetsbelastningar, big data och intelligens, har vi en stor mängd information tillgänglig. Faktum är att vi har så mycket information att det skulle vara omöjligt för en brandväggsadministratör att hantera och tolka allt. Det är därför vi vänder oss till AI. Och som en klok person en gång sa: ”AI är vad vi kallar det när vi inte riktigt litar på det, efter det kallar vi det bara automatisering.”
I framtiden kommer vi att använda AI för att definiera våra regeluppsättningar. Till en början kan vi behöva godkänna dem, men med all vår information kan dessa regler vara mycket mer detaljerade och dynamiska. Föreställ dig en process på en maskin som kommunicerar med en annan maskins process en gång i månaden, till exempel lönehantering. Båda maskinerna är en del av din säkerhetsdomän, och med eBPF vet vi att båda processerna körs. Vi vet också när kommunikationen ska ske och vilken data det handlar om. Systemet kan alltså skapa en brandväggsregel på både maskiner och alla nätverksenheter däremellan, vilket möjliggör denna specifika kommunikation med respektive data. Regeln kan till och med vara tidsspecifik och aktiveras endast en gång. Alla andra maskiner, processer, IP-adresser och data skulle inte uppfylla dessa kriterier, och deras kommunikation skulle inte tillåtas. Om bara en process körs behöver du inte öppna alla brandväggar.
Jag vet att detta är ett förenklat exempel, och du har rätt att ifrågasätta det. Men poängen är att vi har en stor mängd information och telemetri som vi kan använda på ett intelligent sätt för att skapa kontextspecifika regler.
eBPF, DPU:er i nätverksutrustning och AI
Det här är tre nyckelkomponenter: eBPF, DPU:er i nätverksutrustning och AI. Tillsammans utgör de IT-arkitekturens motsvarighet till ett ”Kinderägg”, som tillhandahåller de viktigaste byggstenarna för att hantera framtida (och nuvarande) brandväggsuppgifter med:
Segmentering
Segmentering är den kärnuppgift som brandväggar är utformade för att hantera. Vi pratar om mer än bara tillståndskänsliga brandväggar; Detta inkluderar NG-funktioner och integration i kärnan av våra arbetsbelastningar. Regler kan baseras på processer, bibliotek och resursanvändning. I kombination med den distribuerade arkitekturen gör detta att vi kan implementera brandväggar på många fler platser än tidigare. Vilket passar mycket bättre in i den nya, mer distribuerade världen. Det gör också att vi ska uppnå våra mål för mikrosegmentering i vårt datacenter.
Administration och underhåll
Med hjälp av AI och Dual-DataPath kan vi uppgradera funktioner, installera patchar och implementera regler samtidigt som vi förblir i drift. Vi behöver inte vänta på ”underhållsfönster” och hoppas att applikationerna fortfarande fungerar efteråt. Det testat i drift utan att påverka.
Hantering av säkerhetsrisker
Med realtidsintelligens och insikt i arbetsbelastningskonfigurationer är effektiv sårbarhetshantering möjlig. Vilket avsevärt minskar tiden för att åtgärda sårbarheter.
Generering och underhåll av regler
”Up-to-date rules” som är testade och redo för godkännande. Och som när vi väl har byggt upp ett förtroende för systemet kallar automatisering.
Tillsammans skapar dessa tre komponenter – eBPF, DPU:er och AI – ett robust och anpassningsbart ramverk för att hantera och säkra moderna IT-infrastrukturer.
Två två steg på resan
Cisco har åtagit sig att göra en resa för att ta oss till en tryggare och bättre plats. Företaget har förvärvat teknikföretag för att lägga spåren före detta framåtgående tåg.
Isovalent
Isovalent är för molnet och speciellt för Kubernetes (containers), vad Cisco är för den ”gamla nätverksvärlden”. Och de har bara fyra tangenter på sitt tangentbord: e-B-P-F. Därför är de inte okända för Kubernetes-användare, där de har en absolut dominerande ställning. Men strategin sträcker sig längre än så. DPU:er är bara det första steget. Imorgon kommer varje virtuell maskin, serverlös funktion, DB och så vidare att inkluderas. Detta gör att du kan föra in dessa funktioner i din egen eBPF-domän med dina egna regler.
Splunk
Många av oss känner till Splunk från SIEM-världen, och rykten tyder på att de utvecklar avancerad AI. Kom ihåg att företaget har byggts på ML (Machine Learning) och AI från början.
Resan framåt
Cisco kan ta sig an denna monumentala uppgift genom betydande samarbete med Nvidia och flera andra förvärv och partnerskap. Det kommer att bli en resa, och det första stoppet kommer sannolikt att komma förr snarare än senare. Rykten tyder på att en eBPF-agent kommer att dyka upp på marknaden i sommar, och efter det kommer tåget att gå vidare till nästa station.
Du ska nog inte förvänta dig ett fullt fungerande system under årets resesäsong. Du måste fortsätta att skydda dina system, uppdatera dina brandväggar och hålla dig informerad om hot och sårbarheter som vanligt. Det är också viktigt att inte skjuta upp nya säkerhetsinvesteringar, eftersom det är för riskabelt. Cisco strävar efter en smidig övergång, både tekniskt och kommersiellt.
Men börja redan nu vänja dig vid tanken. Lär dig mer om AI, använd det och häng med i utvecklingen. Läs på om eBPF och utforska möjligheterna. Fråga dina leverantörer om det och fundera på om din organisation och dina processer kan ta till sig den nya tekniken. Tåget kommer – det är ingen tvekan om det. Frågan är bara när du kommer hoppa ombord?
Hur kan vi hjälpa dig?