Tento způsob zabezpečení ale nemusí vůbec zaznamenat škodlivý pohyb uvnitř infrastruktury. V dnešních datacentrech je velké množství east-west provozu mezi jednotlivými servery, virtuálními stroji nebo kontejnery. Právě na tento provoz míří HPE Aruba CX 10000, switch nové generace, který v jednom šasi kombinuje vysokorychlostní přepínání a pokročilé bezpečnostní funkce včetně integrovaného stavového firewallu.
Switch HPE Aruba CX 10000 reaguje na situaci, kdy v současných datacentrech běží stále více mikroslužeb a distribuovaných aplikací a čím dál větší část komunikace se odehrává pouze uvnitř racku. Umožňuje rozprostřít pokročilé bezpečnostní služby přímo do infrastruktury. Místo centralizovaného modelu přináší distribuovanou architekturu, ve které jsou stavové služby poskytovány přímo na přístupových portech switche, tedy co nejblíže aplikacím.
Hlavní přidanou hodnotou této řady je integrovaný stavový firewall, který je součástí operačního systému ArubaOS-CX. Umožňuje definovat bezpečnostní pravidla na základě zdrojových a cílových IP adres, portů, protokolů i dalších atributů. Součástí je ochrana proti DDoS útokům, podpora aplikačních bran a možnost detailního logování síťových toků.
Žádná úzká hrdla
Switch je v praxi reakcí na vývoj architektury datových center v posledních deseti letech, kdy došlo k výraznému posunu směrem k topologiím 25/100/400GbE leaf-spine. Ty sice efektivně řeší kapacitu a poskytují nízkou latenci, ale pokročilé bezpečnostní služby často zůstávají centralizované, typicky na několika velkých firewallech. V praxi to pak znamená nutnost části vnitřního provozu nechat běžet bez toho, aby ho firewall „viděl“, nebo se musí komunikace přesměrovat, aby šla přes tato centrální místa – typicky ve schématu server → leaf → spine → firewall → zpět do spine → leaf → druhý server. Data se musejí dostat do míst, kde se aplikuje bezpečnostní politika, což zvyšuje latenci a vytváří úzká hrdla.
Aruba CX 10000 tento koncept mění tím, že stavové služby integruje přímo do samotného přepínače. Umožňuje nasazení distribuovaného stavového firewallu pro east-west provoz, implementaci segmentace v duchu zero trust, detailní flow-based telemetrii a ochranu proti DDoS útokům. Vyšší modely jsou navíc hardwarově připraveny pro akceleraci šifrování. Klíčové je, že všechny služby jsou poskytovány in-line, bez nutnosti vyvádět provoz mimo datacentrovou síť.
DPU jako motor pro firewall
Jedním z hlavních trumfů řady CX 10000 je samostatná jednotka AMD Pensando DPU (Data Processing Unit). Zatímco běžný řídicí procesor ve switchi by v softwaru nedokázal v reálném čase kontrolovat stovky gigabitů provozu, DPU funguje jako specializovaný akcelerátor pro stavový firewall, šifrování a další síťové služby a stíhá je zpracovávat rychlostí samotné linky.
Díky kombinaci DPU jednotek a specializovaného čipu (ASIC) dokáže přepínat provoz s kapacitou až 3,2 Tb/s a zároveň obsloužit až 800 Gb/s provozu, který prochází přes stavový firewall a další bezpečnostní funkce. Latence bez přesměrování provozu se pohybuje pod hranicí jedné mikrosekundy.
DPU přitom neakceleruje jen firewall – platforma podporuje i IPsec tunely přímo na switchi, takže lze šifrovat propojení mezi lokalitami nebo datacentry bez samostatné VPN appliance a tento provoz stále podléhá stejným bezpečnostním politikám jako zbytek sítě.
Kapacita až 8 Tb/s
Vyšší model CX 10040 posouvá parametry výrazně dále. Nabízí switching kapacitu 8 Tb/s a až 1,6 Tb/s výkonu stavových služeb díky čtyřem DPU jednotkám. Součástí je také výkonný šifrovací engine pro akceleraci MACsec, tedy šifrování dat přímo na ethernetové lince mezi zařízeními. Hardware je na to připravený, samotná funkce se ale zpřístupní v některé z příštích verzí softwaru. Tento model cílí na prostředí s extrémním objemem east‑west provozu, jako jsou AI klastry nebo vysoce konsolidovaná cloudová datacentra.
Aruba Fabric Composer
Jako vhodný nástroj pro správu switche Aruba CX 10000 se doporučuje nástroj Aruba Fabric Composer (AFC). Administrátor v něm může konfigurovat veškeré funkce včetně firewallu. AFC funguje jako centrální řídicí bod, který umožňuje spravovat jednotlivé prvky sítě bez nutnosti manuální konfigurace jednotlivých zařízení.
Další užitečné informace je možné získat z Aruba Airheads komunity, případně na YouTube kanálu Airheads Broadcasting Channel.
Můžete mi také napsat na vaclav.hauser@tdsynnex.com.
Autorem článku je Václav Hauser, HPE Aruba technical specialist ve společnosti TD SYNNEX Czech.
PŘEDPLATNÉ
ČLÁNKY DO MAILU