Cisco Hypershield

In der heutigen digitalen Welt sind Cyberangriffe eine ständige Bedrohung für Unternehmen jeder Größe. Die IT-Sicherheit zu gewährleisten, ohne den Geschäftsbetrieb zu beeinträchtigen, stellt eine große Herausforderung dar. Traditionelle Sicherheitsansätze sind oft nicht ausreichend, um mit der zunehmenden Komplexität und Raffinesse von Cyberangriffen Schritt zu halten. Cisco Hypershield ist ein beeindruckendes Produkt, das die Sicherheit sowohl in On-Premises als auch in Cloud-Umgebungen revolutioniert. Mit einer neuen verteilten Architektur, die Netzwerk- und Workload-Enforcement Points unter einem einheitlichen Managementsystem integriert, ermöglicht es, einen verteilten Sicherheitsansatz zu implementieren, der alle Bereiche im Netzwerks erreicht.

Cisco Hypershield Highlights

Verteiler Exploitschutz

Cisco Hypershield adressiert diese Herausforderung direkt mit seinem Modul für verteilten Exploitschutz. Dabei wird die Zeit, um gegen neue Schwachstellen vorzugehen, drastisch reduziert. Das Modul automatisiert den gesamten Prozess – von der Erkennung über die Priorisierung und Bewertung der Steuerungen bis hin zum Testen und Bereitstellen. Es gewährleistet so, dass Anwendungen reibungslos und ohne Unterbrechung weiterlaufen.

Autonome Segmentierung

Die Segmentierung wird durch das dynamische und intelligente Segmentierungsmodel von Cisco Hypershield revolutioniert. Dieses Modell basiert auf einem tiefen Verständnis der Anwendungsverhaltensweisen und anderer wesentlicher Inputs. Es passt sich kontinuierlich anhand von Beobachtungen und benutzerdefinierten Richtlinien an und reduziert so signifikant die Zeit und Komplexität, die traditionell mit der Segmentierung verbunden sind.

Self-qualifying Updates

Traditionelle Software-Upgrades für Infrastruktur oder Richtlinienänderungen bergen ein hohes Risiko für Betriebsunterbrechungen. Diese Updates erfordern erhebliche Zeit und Ressourcen für Tests und beschränken sich typischerweise auf einige Male im Jahr. Dieser langsame Update-Zyklus macht Organisationen anfällig für aufkommende Bedrohungen mit veralteten Abwehrmechanismen.

Hypershield bietet eine bahnbrechende Lösung für diese Herausforderung mit seiner dualen Dataplane Technologie. Dieser innovative Ansatz ermöglicht es, dass der Produktionsverkehr unter aktuellen Regeln weiterläuft, während gleichzeitig eine Kopie dieses Verkehrs an ein Shadow Dataplane gesendet wird. Dieses Shadow Dataplane testet neue Software-Upgrades oder Richtlinienänderungen, ohne die tatsächliche Produktionsumgebung zu beeinträchtigen.

Architektur von Cisco Hypershield

Die Architektur von Cisco Hypershield ist eine brandneue Architektur, um den heutigen Realitäten und Sicherheitsanforderungen gerecht zu werden. Somit bietet Cisco Hypershield eine umfassende Sicherheitslösung für Rechenzentren und Cloud-Umgebungen.

Möglich macht das Ganze unter anderem auch die Technologie von Isovalent, einem Start-up mit Schweizer Wurzeln, das unlängst von Cisco akquiriert wurde. Die Lösung von Isovalent basiert auf dem erweiterten Berkeley Packet Filter (eBPF). Mit dieser Technologie können, kurz gesagt, direkt und vor allem sehr schnell Änderungen auf dem Linux-Kernel vorgenommen werden.

Centralized Security Policy

Cisco Hypershield folgt dem Weg der zentralisierten Richtlinienverwaltung. Unabhängig vom Formfaktor oder Standort des Enforcement Points werden die durchgesetzten Richtlinien von der Managementkonsole von Hypershield an einem zentralen Ort organisiert. Wenn eine neue Richtlinie erstellt oder eine alte aktualisiert wird, wird sie „kompiliert“ und intelligent auf den entsprechenden Enforcement Point platziert.

Administrator:innen behalten immer den Überblick über die deployten Richtlinien, unabhängig vom Grad der Verteilung in den Enforcement Points.

Hitless Enforcement Point Upgrade

Die Dual-Dataplane-Technologie ermöglicht sichere Updates und Richtlinienänderungen ohne Beeinträchtigung des Betriebs.

Mögliche Endpunkte

  1. Tesseract Security Agent: Ein sicherer und leistungsstarker Agent, der auf dem Workload läuft und über den erweiterten Berkeley Packet Filter (eBPF) mit Prozessen und dem Betriebssystemkern interagiert.
  2. Virtuelle/Container-Netzwerk-Enforcement Points: Enforcement Points für Sicherheitsrichtlinien oder -maßnahmen, die innerhalb einer virtuellen Maschine oder eines Containers betrieben werden und nahe am Workload platziert sind.

Unterstützte DC-Switches

  1. Server DPUs: Cisco Hypershield unterstützt zukünftig Server-Datenprozessoren (DPUs), um Enforcement Points auf Netzwerkhardware nahe den Workloads zu platzieren.
  2. Smart Switches: Cisco Hypershield unterstützt auch intelligente Switches wie Top-of-Rack-Switches. In Zukunft wird die Lösung auch für andere Cisco DC-Switches verfügbar sein. Dazu gehören die Catalyst-Switches, die auf Silicon One basieren und ausschließlich IOS-XE verwenden. Die neuen Catalyst-Switches werden voraussichtlich ab Februar 2025 verfügbar sein.

Zusammenfassung

Die Architektur wurde im April 2024 eingeführt. Bestellungen sind ab August 2024 möglich.

Aktuell können zwei Use Cases genannt werden:

  • Verteilter Exploidschutz
  • Autonome Segmentierung

Aktuell für Public/Private Cloud Workloads ausgelegt.

COPYRIGHT BY CISCO