ProHoster > Blogs > AdministrÄcija > KÄ pÄrÅemt kontroli pÄr savu tÄ«kla infrastruktÅ«ru. TreÅ”Ä nodaļa. TÄ«kla droŔība. PirmÄ daļa
KÄ pÄrÅemt kontroli pÄr savu tÄ«kla infrastruktÅ«ru. TreÅ”Ä nodaļa. TÄ«kla droŔība. PirmÄ daļa
Å is ir treÅ”ais raksts rakstu sÄrijÄ āKÄ kontrolÄt tÄ«kla infrastruktÅ«ruā. Visu sÄrijas rakstu saturu un saites var atrast Å”eit.
Nav jÄgas runÄt par pilnÄ«gu droŔības risku novÄrÅ”anu. PrincipÄ mÄs nevaram tos samazinÄt lÄ«dz nullei. Mums arÄ« jÄsaprot, ka, cenÅ”oties padarÄ«t tÄ«klu arvien droÅ”Äku, mÅ«su risinÄjumi kļūst arvien dÄrgÄki. Jums ir jÄatrod kompromiss starp izmaksÄm, sarežģītÄ«bu un droŔību, kas atbilst jÅ«su tÄ«klam.
Protams, droŔības dizains ir organiski integrÄts kopÄjÄ arhitektÅ«rÄ, un izmantotie droŔības risinÄjumi ietekmÄ tÄ«kla infrastruktÅ«ras mÄrogojamÄ«bu, uzticamÄ«bu, vadÄmÄ«bu, ..., kas arÄ« bÅ«tu jÄÅem vÄrÄ.
Bet atgÄdinÄÅ”u, ka tagad mÄs nerunÄjam par tÄ«kla izveidi. SaskaÅÄ ar mÅ«su sÄkotnÄjie nosacÄ«jumi mÄs jau esam izvÄlÄjuÅ”ies dizainu, izvÄlÄjuÅ”ies aprÄ«kojumu un izveidojuÅ”i infrastruktÅ«ru, un Å”ajÄ posmÄ, ja iespÄjams, vajadzÄtu ādzÄ«votā un meklÄt risinÄjumus iepriekÅ” izvÄlÄtÄs pieejas kontekstÄ.
MÅ«su uzdevums Å”obrÄ«d ir identificÄt ar droŔību saistÄ«tos riskus tÄ«kla lÄ«menÄ« un samazinÄt tos lÄ«dz saprÄtÄ«gam lÄ«menim.
Tīkla droŔības audits
Ja jÅ«su organizÄcija ir ieviesusi ISO 27k procesus, tad droŔības auditiem un tÄ«kla izmaiÅÄm ir nemanÄmi jÄiekļaujas vispÄrÄjos procesos Ŕīs pieejas ietvaros. Bet Å”ie standarti joprojÄm nav par konkrÄtiem risinÄjumiem, ne par konfigurÄciju, ne par dizainu... Nav skaidru padomu, nav standartu, kas detalizÄti diktÄtu, kÄdam jÄbÅ«t jÅ«su tÄ«klam, tÄda ir Ŕī uzdevuma sarežģītÄ«ba un skaistums.
Es izcelÅ”u vairÄkus iespÄjamos tÄ«kla droŔības auditus:
iekÄrtu konfigurÄcijas audits (rÅ«dÄ«Å”ana)
droŔības dizaina audits
piekļuves audits
procesa audits
IekÄrtas konfigurÄcijas audits (rÅ«dÄ«Å”ana)
Å Ä·iet, ka vairumÄ gadÄ«jumu tas ir labÄkais sÄkumpunkts tÄ«kla auditÄÅ”anai un droŔības uzlaboÅ”anai. IMHO, Å”is ir labs Pareto likuma demonstrÄjums (20% piepÅ«les rada 80% no rezultÄta, bet atlikuÅ”ie 80% piepÅ«les rada tikai 20% no rezultÄta).
BÅ«tÄ«ba ir tÄda, ka mums parasti ir ieteikumi no pÄrdevÄjiem par droŔības ālabÄko praksiā, konfigurÄjot aprÄ«kojumu. To sauc par "sacietÄÅ”anu".
Pamatojoties uz Å”iem ieteikumiem, jÅ«s bieži varat arÄ« atrast anketu (vai izveidot to pats), kas palÄ«dzÄs noteikt, cik labi jÅ«su aprÄ«kojuma konfigurÄcija atbilst Å”iem "labÄkajiem piemÄriem", un atbilstoÅ”i rezultÄtiem veikt izmaiÅas tÄ«klÄ. . Tas ļaus jums ievÄrojami samazinÄt droŔības riskus diezgan vienkÄrÅ”i, praktiski bez maksas.
Pamatojoties uz Å”iem dokumentiem, var izveidot konfigurÄcijas prasÄ«bu sarakstu katram aprÄ«kojuma veidam. PiemÄram, Cisco N7K VDC Ŕīs prasÄ«bas varÄtu izskatÄ«ties Å”Ädi tÄ.
TÄdÄ veidÄ var izveidot konfigurÄcijas failus dažÄda veida aktÄ«vajÄm iekÄrtÄm jÅ«su tÄ«kla infrastruktÅ«rÄ. PÄc tam manuÄli vai izmantojot automatizÄciju varat āaugÅ”upielÄdÄtā Å”os konfigurÄcijas failus. KÄ automatizÄt Å”o procesu, tas tiks detalizÄti apspriests citÄ rakstu sÄrijÄ par orÄ·estrÄÅ”anu un automatizÄciju.
DroŔības dizaina audits
Parasti uzÅÄmuma tÄ«kls vienÄ vai otrÄ veidÄ satur Å”Ädus segmentus:
DC (sabiedrisko pakalpojumu DMZ un iekŔtīkla datu centrs)
Interneta pieslÄgums
AttÄlÄs piekļuves VPN
WAN mala
FiliÄle
Campus (birojs)
Kodols
Nosaukumi Åemti no Cisco SAFE modeli, bet tas, protams, nav jÄpiesaista tieÅ”i Å”iem nosaukumiem un Å”im modelim. TomÄr es vÄlos runÄt par bÅ«tÄ«bu un neieslÄ«gt formalitÄtÄs.
Katram no Å”iem segmentiem droŔības prasÄ«bas, riski un attiecÄ«gi risinÄjumi bÅ«s atŔķirÄ«gi.
ApskatÄ«sim katru no tiem atseviŔķi, lai noskaidrotu problÄmas, ar kurÄm jÅ«s varat saskarties no droŔības dizaina viedokļa. Protams, vÄlreiz atkÄrtoju, ka Å”is raksts nekÄdÄ gadÄ«jumÄ nepretendÄ uz pilnÄ«gu, ko Å”ajÄ patiesi dziļajÄ un daudzpusÄ«gajÄ tÄmÄ nav viegli (ja ne neiespÄjami) panÄkt, taÄu tas atspoguļo manu personÄ«go pieredzi.
IdeÄla risinÄjuma nav (vismaz pagaidÄm). Tas vienmÄr ir kompromiss. TaÄu ir svarÄ«gi, lai lÄmums par vienas vai citas pieejas izmantoÅ”anu tiktu pieÅemts apzinÄti, saprotot gan tÄs plusus, gan mÄ«nusus.
Datu centrs
ViskritiskÄkais segments no droŔības viedokļa.
Un, kÄ parasti, arÄ« Å”eit nav universÄla risinÄjuma. Tas viss lielÄ mÄrÄ ir atkarÄ«gs no tÄ«kla prasÄ«bÄm.
Vai ir nepiecieÅ”ams ugunsmÅ«ris vai nÄ?
Å Ä·iet, ka atbilde ir acÄ«mredzama, taÄu viss nav tik skaidrs, kÄ varÄtu Ŕķist. Un jÅ«su izvÄli var ietekmÄt ne tikai cena.
PiemÄrs 1. KavÄÅ”anÄs.
Ja zems latentums ir bÅ«tiska prasÄ«ba starp dažiem tÄ«kla segmentiem, kas, piemÄram, ir taisnÄ«ba apmaiÅas gadÄ«jumÄ, tad mÄs nevarÄsim izmantot ugunsmÅ«rus starp Å”iem segmentiem. Ir grÅ«ti atrast pÄtÄ«jumus par ugunsmÅ«ru latentumu, taÄu daži slÄdžu modeļi var nodroÅ”inÄt latentumu, kas ir mazÄks par 1 mksec vai aptuveni XNUMX sekundÄ, tÄpÄc es domÄju, ka, ja jums ir svarÄ«gas mikrosekundes, tad ugunsmÅ«ri nav paredzÄti jums.
PiemÄrs 2. VeiktspÄja.
AugstÄko L3 slÄdžu caurlaidspÄja parasti ir par vienu pakÄpi augstÄka nekÄ jaudÄ«gÄko ugunsmÅ«ru caurlaidspÄja. TÄpÄc augstas intensitÄtes trafika gadÄ«jumÄ jums arÄ«, visticamÄk, bÅ«s jÄļauj Å”ai trafikai apiet ugunsmÅ«rus.
PiemÄrs 3. UzticamÄ«bu.
UgunsmÅ«ri, Ä«paÅ”i mÅ«sdienu NGFW (Next-Generation FW) ir sarežģītas ierÄ«ces. Tie ir daudz sarežģītÄki nekÄ L3/L2 slÄdži. Tie nodroÅ”ina lielu skaitu pakalpojumu un konfigurÄcijas iespÄju, tÄpÄc nav pÄrsteidzoÅ”i, ka to uzticamÄ«ba ir daudz zemÄka. Ja pakalpojuma nepÄrtrauktÄ«ba ir ļoti svarÄ«ga tÄ«klam, jums var nÄkties izvÄlÄties, kas nodroÅ”inÄs labÄku pieejamÄ«bu - droŔība ar ugunsmÅ«ri vai tÄ«kla vienkÄrŔība, kas veidota uz slÄdžiem (vai dažÄda veida audumiem), izmantojot parastos ACL.
ja nolemjat neizmantot ugunsmÅ«rus datu centra iekÅ”ienÄ, tad jÄdomÄ, kÄ pÄc iespÄjas ierobežot piekļuvi pa perimetru. PiemÄram, jÅ«s varat atvÄrt tikai nepiecieÅ”amos portus no interneta (klienta trafikam) un administratÄ«vo piekļuvi datu centram tikai no jump hosts. Veiciet visas nepiecieÅ”amÄs pÄrbaudes (autentifikÄcija/autorizÄcija, antivÄ«russ, reÄ£istrÄÅ”ana utt.)
varat izmantot datu centra tÄ«kla loÄ£isko nodalÄ«jumu segmentos, lÄ«dzÄ«gi kÄ PSEFABRIC aprakstÄ«tÄ shÄma piemÄrs p002. Å ajÄ gadÄ«jumÄ marÅ”rutÄÅ”ana ir jÄkonfigurÄ tÄ, lai aizkaves jutÄ«ga vai augstas intensitÄtes trafika nonÄktu viena segmenta ietvaros (p002 gadÄ«jumÄ VRF) un neizietu cauri ugunsmÅ«rim. Satiksme starp dažÄdiem segmentiem turpinÄs iet caur ugunsmÅ«ri. Varat arÄ« izmantot marÅ”ruta noplÅ«di starp VRF, lai izvairÄ«tos no trafika novirzÄ«Å”anas caur ugunsmÅ«ri
Varat arÄ« izmantot ugunsmÅ«ri caurspÄ«dÄ«gÄ režīmÄ un tikai tiem VLAN, kur Å”ie faktori (latence/performance) nav nozÄ«mÄ«gi. Bet jums rÅ«pÄ«gi jÄizpÄta ierobežojumi, kas saistÄ«ti ar Ŕī moda izmantoÅ”anu katram pÄrdevÄjam
iespÄjams, vÄlÄsities apsvÄrt pakalpojumu Ä·Ädes arhitektÅ«ras izmantoÅ”anu. Tas ļaus tikai nepiecieÅ”amajai satiksmei iziet cauri ugunsmÅ«rim. TeorÄtiski izskatÄs jauki, bet es nekad neesmu redzÄjis Å”o risinÄjumu ražoÅ”anÄ. MÄs testÄjÄm Cisco ACI/Juniper SRX/F5 LTM servisa Ä·Ädi pirms aptuveni 3 gadiem, taÄu toreiz Å”is risinÄjums mums Ŕķita āneapstrÄdÄtsā.
Aizsardzības līmenis
Tagad jums ir jÄatbild uz jautÄjumu, kÄdus rÄ«kus vÄlaties izmantot trafika filtrÄÅ”anai. Å eit ir dažas no funkcijÄm, kas parasti ir pieejamas NGFW (piemÄram, Å”eit):
stÄvokļu ugunsmÅ«ris (noklusÄjums)
lietojumprogrammu ugunsmūris
draudu novÄrÅ”ana (antivÄ«russ, pretspiegprogrammatÅ«ra un ievainojamÄ«ba)
URL filtrÄÅ”ana
datu filtrÄÅ”ana (satura filtrÄÅ”ana)
failu bloÄ·ÄÅ”ana (failu tipu bloÄ·ÄÅ”ana)
dos aizsardzību
Un arÄ« ne viss ir skaidrs. Å Ä·iet, jo augstÄks aizsardzÄ«bas lÄ«menis, jo labÄk. Bet jums tas arÄ« jÄÅem vÄrÄ
Jo vairÄk no iepriekÅ” minÄtajÄm ugunsmÅ«ra funkcijÄm jÅ«s izmantojat, jo dÄrgÄkas tas, protams, bÅ«s (licences, papildu moduļi)
dažu algoritmu izmantoÅ”ana var ievÄrojami samazinÄt ugunsmÅ«ra caurlaidspÄju un arÄ« palielinÄt aizkavi, skatiet, piemÄram Å”eit
tÄpat kÄ jebkurÅ” sarežģīts risinÄjums, arÄ« sarežģītu aizsardzÄ«bas metožu izmantoÅ”ana var samazinÄt jÅ«su risinÄjuma uzticamÄ«bu, piemÄram, izmantojot lietojumprogrammu ugunsmÅ«ri, es saskÄros ar dažu diezgan standarta darba programmu (dns, smb) bloÄ·ÄÅ”anu.
KÄ vienmÄr, jums ir jÄatrod savam tÄ«klam labÄkais risinÄjums.
Nav iespÄjams viennozÄ«mÄ«gi atbildÄt uz jautÄjumu, kÄdas aizsardzÄ«bas funkcijas var bÅ«t nepiecieÅ”amas. PirmkÄrt, tÄpÄc, ka tas, protams, ir atkarÄ«gs no datiem, ko pÄrsÅ«tÄt vai glabÄjat un mÄÄ£inÄt aizsargÄt. OtrkÄrt, patiesÄ«bÄ bieži vien droŔības rÄ«ku izvÄle ir ticÄ«bas un uzticÄ«bas pÄrdevÄjam jautÄjums. JÅ«s nezinÄt algoritmus, nezinÄt, cik tie ir efektÄ«vi, un nevarat tos pilnÄ«bÄ pÄrbaudÄ«t.
TÄpÄc kritiskos segmentos labs risinÄjums var bÅ«t dažÄdu uzÅÄmumu piedÄvÄjumu izmantoÅ”ana. PiemÄram, varat iespÄjot pretvÄ«rusu ugunsmÅ«rÄ«, bet arÄ« izmantot pretvÄ«rusu aizsardzÄ«bu (no cita ražotÄja) lokÄli saimniekdatoros.
SegmentÄcija
MÄs runÄjam par datu centru tÄ«kla loÄ£isko segmentÄciju. PiemÄram, sadalÄ«Å”ana VLAN un apakÅ”tÄ«klos arÄ« ir loÄ£iska segmentÄcija, taÄu mÄs to neuzskatÄ«sim tÄs acÄ«mredzamÄ«bas dÄļ. Interesanta segmentÄcija, Åemot vÄrÄ tÄdas entÄ«tijas kÄ FW droŔības zonas, VRF (un to analogi saistÄ«bÄ ar dažÄdiem piegÄdÄtÄjiem), loÄ£iskÄs ierÄ«ces (PA VSYS, Cisco N7K VDC, Cisco ACI Tenant, ...), ...
Å Ädas loÄ£iskÄs segmentÄcijas un Å”obrÄ«d pieprasÄ«tÄ datu centra dizaina piemÄrs ir dots PSEFABRIC projekta p002.
Kad esat definÄjis tÄ«kla loÄ£iskÄs daļas, varat aprakstÄ«t, kÄ trafiks pÄrvietojas starp dažÄdiem segmentiem, kurÄs ierÄ«cÄs tiks veikta filtrÄÅ”ana un ar kÄdiem lÄ«dzekļiem.
Ja jÅ«su tÄ«klam nav skaidra loÄ£iskÄ nodalÄ«juma un droŔības politiku piemÄroÅ”anas noteikumi dažÄdÄm datu plÅ«smÄm nav formalizÄti, tas nozÄ«mÄ, ka, atverot Å”o vai citu piekļuvi, jÅ«s esat spiests atrisinÄt Å”o problÄmu un ar lielu varbÅ«tÄ«bu katru reizi atrisinÄs savÄdÄk.
Bieži vien segmentÄcija balstÄs tikai uz FW droŔības zonÄm. Tad jums ir jÄatbild uz Å”Ädiem jautÄjumiem:
kÄdas droŔības zonas jums ir vajadzÄ«gas
kÄdu aizsardzÄ«bas lÄ«meni vÄlaties piemÄrot katrai no Ŕīm zonÄm
vai zonas iekÅ”ÄjÄ satiksme bÅ«s atļauta pÄc noklusÄjuma?
ja nÄ, kÄdas trafika filtrÄÅ”anas politikas tiks piemÄrotas katrÄ zonÄ
kÄdas trafika filtrÄÅ”anas politikas tiks piemÄrotas katram zonu pÄrim (avots/galamÄrÄ·is)
CAGR
Bieži sastopama problÄma ir nepietiekama TCAM (Ternary Content Addressable Memory) gan marÅ”rutÄÅ”anai, gan piekļuvei. IMHO, tas ir viens no svarÄ«gÄkajiem jautÄjumiem, izvÄloties aprÄ«kojumu, tÄpÄc jums ir jÄizturas pret Å”o problÄmu ar atbilstoÅ”u rÅ«pÄ«bu.
PiemÄrs 1. PÄrsÅ«tÄ«Å”anas tabula TCAM.
Apskatīsim Palo Alto 7k ugunsmūris
MÄs redzam, ka IPv4 pÄrsÅ«tÄ«Å”anas tabulas izmÄrs* = 32K
TurklÄt Å”is marÅ”rutu skaits ir kopÄ«gs visiem VSYS.
PieÅemsim, ka atbilstoÅ”i jÅ«su dizainam jÅ«s nolemjat izmantot 4 VSYS.
Katrs no Å”iem VSYS ir savienots, izmantojot BGP, ar diviem mÄkoÅa MPLS PE, kurus izmantojat kÄ BB. TÄdÄjÄdi 4 VSYS apmainÄs ar visiem konkrÄtajiem marÅ”rutiem savÄ starpÄ, un tiem ir pÄrsÅ«tÄ«Å”anas tabula ar aptuveni vienÄdÄm marÅ”rutu kopÄm (bet dažÄdiem NH). Jo katrÄ VSYS ir 2 BGP sesijas (ar vienÄdiem iestatÄ«jumiem), tad katram marÅ”rutam, kas saÅemts caur MPLS, ir 2 NH un attiecÄ«gi 2 FIB ieraksti PÄrsÅ«tÄ«Å”anas tabulÄ. Ja pieÅemam, ka Å”is ir vienÄ«gais ugunsmÅ«ris datu centrÄ un tam ir jÄzina par visiem marÅ”rutiem, tad tas nozÄ«mÄs, ka kopÄjais marÅ”rutu skaits mÅ«su datu centrÄ nevar bÅ«t lielÄks par 32K/(4 * 2) = 4K.
Tagad, ja pieÅemam, ka mums ir 2 datu centri (ar vienÄdu dizainu), un mÄs vÄlamies izmantot VLAN, kas ir āizstieptsā starp datu centriem (piemÄram, vMotion), tad, lai atrisinÄtu marÅ”rutÄÅ”anas problÄmu, mums ir jÄizmanto resursdatora marÅ”ruti. . Bet tas nozÄ«mÄ, ka 2 datu centriem mums bÅ«s ne vairÄk kÄ 4096 iespÄjamie saimnieki, un, protams, ar to var nepietikt.
2. piemÄrs. ACL TCAM.
Ja plÄnojat filtrÄt trafiku uz L3 slÄdžiem (vai citiem risinÄjumiem, kas izmanto L3 slÄdžus, piemÄram, Cisco ACI), tad, izvÄloties aprÄ«kojumu, jÄpievÄrÅ” uzmanÄ«ba TCAM ACL.
PieÅemsim, ka vÄlaties kontrolÄt piekļuvi Cisco Catalyst 4500 SVI saskarnÄm. PÄc tam, kÄ redzams no no Ŕī raksta, lai kontrolÄtu izejoÅ”o (kÄ arÄ« ienÄkoÅ”o) trafiku saskarnÄs, varat izmantot tikai 4096 TCAM lÄ«nijas. Kas, izmantojot TCAM3, dos jums aptuveni 4000 tÅ«kstoÅ”us ACE (ACL lÄ«nijas).
Ja jÅ«s saskaraties ar nepietiekama TCAM problÄmu, vispirms, protams, ir jÄapsver optimizÄcijas iespÄja. TÄtad, ja rodas problÄmas ar pÄrsÅ«tÄ«Å”anas tabulas lielumu, jums jÄapsver iespÄja apkopot marÅ”rutus. Ja rodas problÄma ar piekļuves TCAM lielumu, pÄrbaudiet piekļuves, noÅemiet novecojuÅ”os un pÄrklÄjoÅ”os ierakstus un, iespÄjams, pÄrskatiet pieeju atvÄrÅ”anas procedÅ«ru (sÄ«kÄk tiks apspriests sadaÄ¼Ä par piekļuves auditÄÅ”anu).
Augsta pieejamība
JautÄjums ir: vai man izmantot HA ugunsmÅ«riem vai uzstÄdÄ«t divas neatkarÄ«gas kastes āparalÄliā un, ja viena no tÄm neizdodas, trafiku novirzÄ«t caur otro?
Å Ä·iet, ka atbilde ir acÄ«mredzama - izmantojiet HA. Iemesls, kÄpÄc Å”is jautÄjums joprojÄm rodas, ir tas, ka diemžÄl teorÄtiskÄ un reklÄmas 99 pieejamÄ«ba un vairÄkas decimÄldaļas praktiski nav tik rožainas. HA loÄ£iski ir diezgan sarežģīta lieta, un uz dažÄdÄm iekÄrtÄm un ar dažÄdiem pÄrdevÄjiem (nebija izÅÄmumu) mÄs pieÄ·ÄrÄm problÄmas un kļūdas un servisa pÄrtraukumus.
Ja izmantosiet HA, jums bÅ«s iespÄja izslÄgt atseviŔķus mezglus, pÄrslÄgties starp tiem, neapturot pakalpojumu, kas ir svarÄ«gi, piemÄram, veicot jauninÄjumus, bet tajÄ paÅ”Ä laikÄ jums ir tÄlu no nulles varbÅ«tÄ«bas, ka abi mezgli salÅ«zÄ«s tajÄ paÅ”Ä laikÄ, un arÄ« to, ka nÄkamajÄ jauninÄÅ”ana nenotiks tik gludi, kÄ sola pÄrdevÄjs (Å”o problÄmu var izvairÄ«ties, ja ir iespÄja pÄrbaudÄ«t jauninÄjumu uz laboratorijas aprÄ«kojuma).
Ja neizmantojat HA, tad no dubulto atteices viedokļa jÅ«su riski ir daudz mazÄki (tÄ kÄ jums ir 2 neatkarÄ«gi ugunsmÅ«ri), bet kopÅ”... sesijas netiek sinhronizÄtas, tad katru reizi, pÄrslÄdzoties starp Å”iem ugunsmÅ«riem, jÅ«s zaudÄsit trafiku. Protams, jÅ«s varat izmantot bezvalsts ugunsmÅ«ri, taÄu tad ugunsmÅ«ra izmantoÅ”anas jÄga lielÄ mÄrÄ tiek zaudÄta.
TÄpÄc, ja audita rezultÄtÄ esat atklÄjuÅ”i vientuļus ugunsmÅ«rus un domÄjat par sava tÄ«kla uzticamÄ«bas palielinÄÅ”anu, tad HA, protams, ir viens no ieteicamajiem risinÄjumiem, taÄu jÄÅem vÄrÄ arÄ« ar to saistÄ«tie trÅ«kumi izmantojot Å”o pieeju un, iespÄjams, tieÅ”i jÅ«su tÄ«klam piemÄrotÄks bÅ«tu cits risinÄjums.
VadÄmÄ«ba
PrincipÄ HA ir arÄ« vadÄmÄ«ba. TÄ vietÄ, lai atseviŔķi konfigurÄtu 2 lodziÅus un risinÄtu problÄmu, kas saistÄ«ta ar konfigurÄciju sinhronizÄÅ”anu, jÅ«s tÄs pÄrvaldÄt tÄ, it kÄ jums bÅ«tu viena ierÄ«ce.
Bet varbÅ«t jums ir daudz datu centru un daudz ugunsmÅ«ru, tad Å”is jautÄjums rodas jaunÄ lÄ«menÄ«. Un jautÄjums ir ne tikai par konfigurÄciju, bet arÄ« par
rezerves konfigurÄcijas
atjauninÄjumus
jauninÄjumiem
uzraudzību
mežizstrÄde
Un to visu var atrisinÄt ar centralizÄtÄm vadÄ«bas sistÄmÄm.
TÄtad, piemÄram, ja izmantojat Palo Alto ugunsmÅ«rus, tad ApskatÄ«t ir Å”Äds risinÄjums.