Vad är nytt med Cisco Secure Firewall version 7.2.4? Vi har varit i USA och kollat varför Cisco Secure Firewall version 7.2.4 är viktig och sätter en ny standard.
För några veckor sedan hade jag äran att bli inbjuden av Cisco till Fulton, Maryland, USA (i själva byggnaden där Sourcefire befann sig innan de blev uppköpta av Cisco) för att lära mig mer om utvecklingen av Cisco Secure Firewall version 7.2.4 och brandväggens framtid.
Det var en fantastisk upplevelse. Cisco hade lyckats samla ett drömteam från både Cisco Secure Firewall-utvecklingsteamet/ingenjörerna och från Cisco TAC. Trots skarpa frågor kunde de ge bra tekniska förklaringar. Det var också tydligt att Ciscos utvecklingsteam ville få feedback och önskningar på förbättringar.
Det är ingen hemlighet att det har funnits utmaningar med FMC (Firepower Management Center) och FTD (Firepower Threat Defense)-programvara. Under resan blev det tydligt att Cisco är medvetna om utmaningarna och vill att framtiden ska se annorlunda ut. Ingen på Cisco har tyckt att det har varit roligt att behöva rätta fel i koden, samtidigt som TAC-ärenden har ramlat in.
Nu drar Cisco en linje i sanden och satsar stort för att stabilisera plattformen – vilket också var den främsta orsaken till den här resan. Med tanke på alla resurser och all tid Cisco har investerats i den här versionen är det tydligt att Cisco vill få en nystart – eller som jag beskriver det: ”Make Cisco Secure Firewall Great Again”.
Hur satsar Cisco på Secure Firewall version 7.2.4?
Cisco har lagt ner mycket resurser på att bygga en solid grund, varav detta är ett litet urval:
- Rättat över 1000 buggar – både kända och upptäckta under tester (ungefär 3 gånger så många som vid en normal utgåva).
- Testat 2,5 gånger fler uppgraderingsalternativ – totalt 230 uppgraderingssteg.
- Använt 300 % mer testtid jämfört med vid tidigare utgåvor (16 640 timmar).
- Använt 10 gånger fler testenheter för validering – vilket innebär en investering på över sex miljoner dollar. Det inkluderar 500 fysiska enheter och 2000 virtuella enheter, motsvarande över 100 rack med utrustning.
- Ökat mängden tester baserat på kundernas konfigurationer och genomfört intensiva tester på både stora och små konfigurationer.
- Simulerat riktig trafik under testerna och pressat plattformen till 90% prestanda, med en blandning av olika protokoller och VPN.
- Utfört tre gånger så många stress-tester på databasen som tidigare, utökat möjligheterna till ”self-fix” vid databaskorruption och härdat systemet mot det här problemet, som tyvärr är välkänt.
- Övervakat resurserna före och efter uppgradering (CPU, minne, loggrotation etc.) – vilket är viktigt för att undvika problem med fulla diskar eller loggrotationsfel.
- Intensivt testat både SNORT2 och SNORT3 i olika scenarier.
- Använt 24 petabyte trafikmängd i testerna.
Det råder med andra ord ingen tvekan om att Cisco lagt ner mycket arbete på att förbättra produktens stabilitet och prestanda.
Förbättrad process vid larm ökar chansen till självläkning
Genom utökad proaktiv övervakning och förbättrade hälsokontroller, inklusive övervakning av SNORT-krascher/omstart och databaskorruption har Cisco förbättrat processen när testsystemen rapporterar larm till utvecklarna. Hälsokontrollerna har utökats och ger djupare insikt i eventuella fel i testscenarier. Allt det här ökar möjligheten för våra installationer att ”självläka”.
Prio ett stabil grund i Cisco Secure Firewall version 7.2.4
När det handlar om version 7.2.4 har Cisco hanterat över 85 % av alla öppna TAC-ärenden som klassificerats som defekter, och löst 80% av dessa. Det är viktigt att påpeka att många av de återstående defekterna är komplexa problem, som kräver mer tid för testning och problemlösning, såväl som större systemmässiga förändringar. Cisco har fokuserat på att åtgärda så många defekter som möjligt och undvikit större ändringar ändringar, som kräver mer testning och riskerar att leda till fler fel om de inte testas tillräckligt. Det här innebär inte att man inte kommer att lösa de återstående felen, utan att prio ett har varit att skapa en stabil grund.
Snabbare lösta buggar med minskad MTTR-tid
Cisco har också minskat MTTR (mean-time-to-release), det vill säga tiden innan en ny version släpps. Tidigare har buggar ofta hittats snabbt, men inte lösts förrän i en senare version som man kunde behöva vänta länge på – något som har varit frustrerande för både oss och kunderna.
Det här är något som Cisco vill ändra på genom att nya versioner blir tillgängliga snabbare. Så sent som den 27 juli 2023 släpte företaget en hotfix-patch (7.2.4.1). Redan här åtgärdades ett antal buggar, varav några var ganska kritiska för funktionaliteten. Cisco har agerat snabbt och släppt denna patch i linje med det tidigare nämnda målet. (Säkerställ gärna att du installerar den här hotfixen på dina installationer så snart som möjligt.)
Personligen skulle jag rekommendera alla som använder programvaran att uppgradera infrastrukturen till 7.2.4-versionen så snart som möjligt. Det är Ciscos rekommenderade version, men det är också tydligt att Cisco satsar stort för att höja kvaliten.
Uppgradera direkt till Cisco Secure Firewall version 7.2.4?
(Kom ihåg att dubbelkolla kompatibilitetsmatrisen baserat på er FMC/FTD-hårdvara. Och tveka inte att kontakta mig eller mina kollegor om ni behöver hjälp).
Slutligen tänker jag att vi kan avsluta med ett obligatoriskt resfoto – ”SNORTie” och jag… 😉