News von der Cisco Live in San Diego – Teil 3
Die Lösung Hypershield an sich ist nicht mehr neu, wurde sie doch bereits im April 2024 vorgestellt. Hypershield setzte zu Beginn auf eine reine Software basierende Lösung, die auf der Technologie der Firma Isovalent (eBPF, Cilium & Tetragon) aufbaut. Isovalent wurde von Cisco übernommen.
Nur schon mit den Möglichkeiten rund um eBPF lassen sich mächtige Sicherheitslösungen aufbauen, die zudem auch in Systemen eingesetzt werden können, die traditionell schwierig abzusichern waren wie VMs oder Container basierende Umgebungen. Hypershield setzt dazu auf ein SaaS basierenden Backend um mit dem sogenannten Tesseract Agent & eBPF Hosts abzusichern, denn mit dem eBPF Ansatz können einerseits in Echtzeit Log- & Telemetrie-Daten bezogen, aber auch Sicherheitsprogrammierungen direkt im Kernel vorgenommen werden.
Mit diesem Ansatz lassen sich Aspekte wie Segmentierung, Abschottung oder auch Exploit-Protection umsetzen, egal ob der Host in einer private oder public cloud läuft.
Da das Hypershield Backend als reiner SaaS Service aufgebaut ist, wird dem Anwender viel Arbeit abgenommen, denn Cisco kümmert sich um das hosting, das Patching sowie um den Betrieb und die Updates der Lösung.
Der Umgang mit den Daten in der Cloud:
Das Privacy Data Sheet von Hypershield gibt über den Umgang mit den Daten in der Cloud Auskunft.
Weiterentwicklungen rund um Hypershield
Schon im letzten Jahr wurden Erweiterungen von Hypershield wie dem DPU (Data Processing Unit) basierenden Smart Switch, einer DPU-NIC sowie weiteren Zusätzen angekündigt, die nun Schritt für Schritt umgesetzt werden. Der DPU-Switch kann in Form des N9300 Smart Switch mittlerweile bestellt werden, die DPU-NIC ist ebenfalls bald verfügbar und an der Cisco Live wurde die neuen Campus C9350 & C9610 Smart Switches angekündigt, die ebenfalls in die Hyperfabric integriert werden können.
Auch auf der Software-Seite beim eBPF wurde weiter-entwickelt, denn nach der Unterstützung von Linux steht nun eBFP auch für Server mit Windows OS zur Verfügung.
Die Hypershield Architektur sieht schlussendlich so aus:
- SaaS basierendes Backend mittels der “Cisco Security Cloud Control” Lösung
- Enforcement Points Software & Hardware basierend für Linux & Windows Endysteme sowie Campus und DC Switches
- Der Kunde kann mit Hypershield die Enforcement Points beliebig kombinieren
- Damit stehen Sicherheits & Firewall Funktionen sowohl auf den Server OS, als auch auf den Campus & Datacenter Switches zur Verfügung
Das Hypershield Backend unterstützt zudem die Variante des Digitalen-Zwillings, mit dem geplante Policy-Änderungen mit Echtzeit-Daten vorgängig geprüft werden können, bevor eine Änderung dann nach erfolgreichem Test scharfgeschaltet wird.
Zusammengefasst stehen für Hypershield-Kunden die folgenden Enforcement-Point Möglichkeiten zur Verfügung:
- Software basierend via Tesseract-Agent / eBPF für Linux & Windows basierende workers
- N9300 Smart Switches mit DPU
- C9350 & C9610 Smart Switches mit Silicon ONE
- (soon) Smart-NIC mit DPU Erweiterung
Somit – sehr viele Ankündigungen und Weiterentwicklungen rund um Hypershield, aber wie lässt sich das nun für den Kunden umsetzen ?
Hypershield kann durch die Vielfalt der Möglichkeiten sowohl im Datacenter als auch im Campus eingesetzt werden, damit kann in der Tat gesagt werden, dass jeder Host und jeder Switch-Port der Smart Switch Reihe mittels Hypershield eine Firewall erhält und der Traffic damit sowohl an den Einstiegspunkten ins Netzwerk, über das DC-Netzwerk als auch direkt auf den Workerloads im Datacenter kontrolliert und gefiltert werden kann – sei es mittels Baremetal, VMs oder Container Einsatz.
Mit diesem dezentralen Ansatz kann ein weiterer Layer von Zero Trust über das gesamte Netzwerk gespannt und der Netzwerkverkehr jederzeit permanent aktiv geprüft, kontrolliert und gefiltert werden.
Das ist erneut Zero Trust, direkt in der Infrastruktur !
Spannend ? Kontaktieren sie ihr Cisco Team wenn sie mehr darüber wissen möchten.
Authors