Надо было подойти с более технической стороны что ль… Сравнили бы скорость обработки при одинаковых объемах данных. В общем хочется видеть цифры, а не сплошной текст без фактов.
Собираем на ELK 200Гб в сутки. Чтобы кластер не логал, приходится хранить данные для поиска только за последние 3-4 месяца. Остальное в бэкапы сливаем, иначе ноды умирают. Мы бы и рады переехать на Splunk, но бюджеты не позволяют.
Опять же, субъективно, но единственное преимущество ELK — бесплатность. Были бы деньги, ушли бы на Splunk.
Имхо это реально Lanner. По любому Linux какой-нибудь внутри. Хотя что тут удивляться, все остальные юзают тоже самое, добавят криптобиблиотеки и в продакшн. Производители…
Спасибо за статью. А не подскажите, для этого анализа нужна платная лицензия? На сколько большие логи? Для компании из 100 человек хватит 500Мб в день или какое там ограничение у бесплатной версии Splunk?
Это понятно. Просто мне не совсем понятен сегмент Splunk-а. Т.е. использовать его для простейших задач по мониторингу IT-инфраструктуры скорее всего глупо, т.к. навалом бесплатных инструментов, функционала которых достаточно. Видимо я просто далек от задач аналитики и мне по большей части нужен лишь функционал мониторинга.
Все это умеет бесплатный Zabbix (без ограничения по логам). И у него также есть функция прогнозирования. Понимаю, что это продукт немного другого класса, но все же…
День добрый! Смутило пару моментов в вашем обзоре.
1)«Обычно прокси-сервер устанавливается в демилитаризованной зоне (ДМЗ)» — уже давно не рекомендуется подобная практика. Во всех последних документах Cisco SBA прокси сервер (Cisco WSA) устанавливается в локальной сети (не в DMZ) в сегменте локальных серверов. Поместив прокси сервер в DMZ не получится использовать WCCP, т.к. Cisco WSA должен сидеть за inside интерфейсом межсетевого экрана или роутера (т.е. за тем же интерфейсом что и пользователи).
2)«В ядро сети или на периметре устанавливается NGIPS/NGFW, который фильтрует доступ пользователей по группам в AD, протоколам, приложениям и т.д.
Разрешённый веб-трафик перенаправляется по WCCP на Cisco WSA,» — это все хорошо, до тех пор пока пользователь не начинает использовать ресурсы с микроприложениями. Например в facebook-е или vk-те, используется один порт, однако доступно куча микроприложений (сообщения, видео, игры, музыка). Если вы этот трафик (HTTP/HTTPS) перенаправляете на WSA, то соответственно разграничить доступ к микроприложениям у вас не получится… А в современном мире это довольно частая задача. С это задачей прекрасно справляется NGFW, собственно для этого он и предназначен.
На данный момент Cisco WSA подходит только для грубой обработки web трафика, где можно рубить доступ к ресурсам по категориям. Однако для тонкой настройки доступа пользователей к различным ресурсам уже требуется NGFW. Пока их функционал частично перекрывается.
Правильно ли я понимаю, что без PNSC не возможно управлять виртуальной сетью. Если это так, то затраты на организацию защиты виртуальной инфраструктуры возрастают, в связи с необходимостью покупки PNSC. Как лицензируется PNSC? Исходя из кол-ва виртуальных устройств или так же, по процессорам?
Заранее спасибо за ответы.
Спасибо за ответ!
1)Ну тогда получается что мы можем использовать внутри виртуальной инфраструктуры только VSG, а для межсетевого экранирования использовать традиционный железный МЭ. Если все виртуальные машины у нас находятся в одном VLAN и доступ между виртуалками разграничивает VSG, то зачем нам виртуальная ASA? Не думаю что внутри виртуальной инфраструктуры может понадобиться VPN, NAT, BGP.
2)Cisco Nexus 1000v доступен в бесплатной версии, а есть ли подобные решения для VSG?
3)На сколько я знаю для управления Cisco ASA 1000V используется дополнительно ПО (vnmc). А какое по используется для управления VSG?
«Текущая версия ASAv 9.2(1) не имеет поддержки vPath. Ее реализация планируется в ближайшее время.»
1)Как же вы реализовывали данную схему, если ASAv не поддерживает данную технологию?
2)Поддерживает ли данную технологию ASA1000V?
3)Мне по прежнему не совсем понятно, в чем отличие VSG от ASA? Разве ASA не может осуществлять пакетную фильтрацию? Не дублируется ли функционал?
Опять же, субъективно, но единственное преимущество ELK — бесплатность. Были бы деньги, ушли бы на Splunk.
1)«Обычно прокси-сервер устанавливается в демилитаризованной зоне (ДМЗ)» — уже давно не рекомендуется подобная практика. Во всех последних документах Cisco SBA прокси сервер (Cisco WSA) устанавливается в локальной сети (не в DMZ) в сегменте локальных серверов. Поместив прокси сервер в DMZ не получится использовать WCCP, т.к. Cisco WSA должен сидеть за inside интерфейсом межсетевого экрана или роутера (т.е. за тем же интерфейсом что и пользователи).
2)«В ядро сети или на периметре устанавливается NGIPS/NGFW, который фильтрует доступ пользователей по группам в AD, протоколам, приложениям и т.д.
Разрешённый веб-трафик перенаправляется по WCCP на Cisco WSA,» — это все хорошо, до тех пор пока пользователь не начинает использовать ресурсы с микроприложениями. Например в facebook-е или vk-те, используется один порт, однако доступно куча микроприложений (сообщения, видео, игры, музыка). Если вы этот трафик (HTTP/HTTPS) перенаправляете на WSA, то соответственно разграничить доступ к микроприложениям у вас не получится… А в современном мире это довольно частая задача. С это задачей прекрасно справляется NGFW, собственно для этого он и предназначен.
На данный момент Cisco WSA подходит только для грубой обработки web трафика, где можно рубить доступ к ресурсам по категориям. Однако для тонкой настройки доступа пользователей к различным ресурсам уже требуется NGFW. Пока их функционал частично перекрывается.
Заранее спасибо за ответы.
1)Ну тогда получается что мы можем использовать внутри виртуальной инфраструктуры только VSG, а для межсетевого экранирования использовать традиционный железный МЭ. Если все виртуальные машины у нас находятся в одном VLAN и доступ между виртуалками разграничивает VSG, то зачем нам виртуальная ASA? Не думаю что внутри виртуальной инфраструктуры может понадобиться VPN, NAT, BGP.
2)Cisco Nexus 1000v доступен в бесплатной версии, а есть ли подобные решения для VSG?
3)На сколько я знаю для управления Cisco ASA 1000V используется дополнительно ПО (vnmc). А какое по используется для управления VSG?
1)Как же вы реализовывали данную схему, если ASAv не поддерживает данную технологию?
2)Поддерживает ли данную технологию ASA1000V?
3)Мне по прежнему не совсем понятно, в чем отличие VSG от ASA? Разве ASA не может осуществлять пакетную фильтрацию? Не дублируется ли функционал?