Een branch (in het Nederlands ook wel bijkantoor genoemd) veilig op een bedrijfsnetwerk aansluiten en aangesloten houden is geen sinecure. Cisco belooft dit met Unified Branch en nieuwe Secure Routers terug te brengen van maanden naar minuten. Dat is nogal een uitspraak. Daar wilden we graag meer over horen.
Een branch-omgeving is een volledig andere omgeving dan die van een hoofdvestiging van een organisatie. Natuurlijk willen medewerkers ook daar een snelle en vooral betrouwbare wifi-verbinding. Hetzelfde geldt voor de internetverbinding. Daarnaast zien medewerkers ook daar workloads richting andere locaties verdwijnen. Naast SaaS en public cloud, verplaatsen ze ook richting het centrale datacenter van het bedrijf. Nieuw AI-workloads in branch-omgeving beloven het nog wat minder eenvoudig te beheren te maken.
Verder is er in branch-omgevingen vaak weinig tot geen support. Qua security verdienen deze omgevingen tot slot hetzelfde als de hoofdvestiging. Zeker in specifieke gevallen zoals banken is dat van toepassing. Inmiddels geldt het eigenlijk voor alle branch-omgevingen dat de security daar niet minder mag zijn dan elders. Uiteindelijk is ook dat een interessante plaats voor aanvallers om binnen te komen.
Unified Branch: full-stack en gevalideerd
Met bovenstaande in het achterhoofd, heeft Cisco Unified Branch bedacht en ontwikkeld. We spreken Vikas Butaney, SVP & GM Secure Routing & Industrial IoT bij Cisco, over het belang van deze aankondiging.
Volgens Butaney is Unified Branch een “full-service branch platform voor partners en klanten”. In onze woorden zouden we het een combinatie van hardware en software noemen. Hiermee kunnen branches simpel, veilig en snel aangesloten worden op het bedrijfsnetwerk.
Organisaties nemen access points, routers met zogeheten Next-Generation Firewall (NGFW)-mogelijkheden, switches, en software samen af in een volledige stack. Dat houdt in dat er vaste combinaties zijn waaruit klanten kunnen kiezen. Het is mogelijk om modulair te werk te gaan. Mocht een organisatie bijvoorbeeld net geïnvesteerd hebben in access points, dan kan het starten met routing en switching.
Het geheel wordt beheerd vanuit Cisco Meraki, dat sinds enige tijd is geïntegreerd met Cisco Catalyst Center. Dat is feitelijk het platform waar Butaney het over heeft. Met de integratie van Cisco ThousandEyes in Unified Branch krijgen klanten ook inzicht in prestaties. Het doel van deze integratie is volgens Butaney dat er zo “toegewerkt wordt naar volwaardige assurance”. Dat laatste, assurance op het gebied van netwerken, oftewel de zekerheid dat netwerken blijven doen wat ze moeten doen, is iets waar Cisco met ThousandEyes sowieso druk mee is de laatste tijd.
Om ervoor te zorgen dat de Unified Branch-oplossing die Cisco aanbiedt aan klanten doet wat hij moet doen, heeft Cisco ook hier weer zogeheten Cisco Validated Designs (CVD’s) voor ontwikkeld. We kennen die van de CVD’s die Cisco ook heeft gemaakt voor de eigen kant-en-klare AI POD-infrastructuur en van FlexPod (samen met NetApp). Deze CVD-handleidingen moeten klanten in staat stellen om hun eigen branch-omgeving op te bouwen met behulp van Cisco’s best practices.
Automation Toolkit voor Unified Branch
De CVD’s die Cisco aanbiedt voor Unified Branch zorgen zonder twijfel voor een afname in tijd die het kost om een branch van een netwerk te voorzien. In principe zou alles immers goed met elkaar moeten kunnen werken. Dat is als het goed is allemaal uitgebreid getest.
Een netwerk uitrollen in een branch-omgeving is echter niet alleen een kwestie van de juiste hardware bij elkaar zoeken. De manier waarop de hele stack is ingericht, speelt een zeer belangrijke rol. Je kunt nog zulke goede hardware bij elkaar zoeken. Als deze slecht is geconfigureerd, zullen de prestaties ervan niet zijn wat klanten ervan verwachten en eisen.
Om dit aan te pakken, heeft Cisco een Automation Toolkit ontwikkeld. Onderdeel daarvan zijn Branch as Code en Cisco Workflows. Branch as Code maakt gebruik van Infrastructure as Code-principes. Hierdoor kan snel een infrastructuur worden opgezet. Cisco Workflows is beschikbaar in het dashboard en helpt met het automatiseren van taken.
Koppeling met AI Assistant versnelt uitrol nog verder
Als het gaat om het uitrollen van de CVD’s voor Unified Branch, is er nog een component die het vermelden waard is. Dat is de beschikbaarheid van de AI Assistant. Opzet en uitrol van een CVD voor Unified Branch kan nu worden gestart via een vraag aan de AI Assistant. Deze start een workflow op. Je doorloopt het stap voor stap. Je kunt zelf nog wat dingen invoeren en aanpassen, zoals VLAN-ID en of RADIUS op alle SSID’s geactiveerd moet worden, om een paar zijstraten te noemen.
Is dit allemaal gedaan, dan wordt je gevraagd om de workflow te reviewen. Gebruikers kunnen stap voor stap updates krijgen van de workflow. Diat kan rechtstreeks via de AI Assistant, maar ook door de voortgang te bekijken in het Automation-tabblad van het dashboard.
We krijgen tijdens ons gesprek met Butaney een demo te zien van hoe AI Assistant vanuit het Meraki-dashboard een opdracht krijgt om een Unified Branch op te zetten. Dit gebeurt volgens een specifieke Unified Branch workflow. Uiteraard ziet het er in een demo altijd behoorlijk gelikt uit. De AI Assistant zorgt echter in minder dan een minuut voor een volledig ingerichte Unified Branch netwerkstack. Dat is best indrukwekkend. De demo bestond weliswaar maar uit het configureren en uitrollen van een netwerk van drie producten, maar dat maakt voor de totale tijd die het kost niet uit. Volgens Butaney: “De workflows worden parallel uitgevoerd. Dat wil zeggen, of het nu 1 branch is of 1000 branches, het kost dezelfde hoeveelheid tijd.”
Naast een integratie met de AI Assistant (vanaf deze maand algemeen beschikbaar) is er ook eentje voorzien met AI Canvas. Op zich is dat logisch, omdat we het hier in de basis hebben over het optimaliseren van IT Operations. Aangezien AI Canvas invulling geeft aan de AgenticOps-visie van Cisco, zal de telemetrie die uit Unified Branch komt ook beschikbaar komen in AI Canvas. Deze maand gaat het alfaprogramma hiervoor van start.
Secure Routers zijn een belangrijk onderdeel van Unified Branch
Een snelle uitrol en goede configuratie zijn zonder meer belangrijk voor wat Cisco met Unified Branch wil bereiken. Het netwerk moet echter ook goed beveiligd zijn. Branches zijn bij uitstek interessante doelwitten voor aanvallers. Juist omdat die wellicht verwachten dat de security daar minder goed geregeld is. Security zit natuurlijk voor een deel in een goede configuratie. Daarmee worden al veel gangbare gaten gedicht.
Cisco lanceert tegelijk met Unified Branch echter ook de nodige hardware. Deze moet ook een bijdrage leveren aan de security van dit type netwerken. Het gaat dan specifiek over de Cisco 8000 Series Secure Routers. Deze werden tegelijk met Unified Branch gelanceerd tijdens Cisco Live eerder dit jaar. Inmiddels zijn ook alle modellen in deze lijn beschikbaar. Vooral de 8100, 8200 en 8300 zullen in combinatie met Unified Branch interessant zijn. Deze richten zich op kleine en middelgrote branches. De 8400 richt zich op enterprise netwerken en grote branches. De 8500 is gericht op data centers.
Wat voegen Cisco 8000 Series Secure Routers toe?
De Cisco 8000 Series Secure Routers zijn om meerdere redenen interessant voor organisaties, horen we van Butaney. Allereerst zitten er zoals al aangegeven NGFW-mogelijkheden in, inclusief deep packet inspection. Daarnaast is er threat protection ingebouwd en hebben organisaties de mogelijkheid om policies aan te maken op basis van identiteit. Verder zit er SD-WAN-functionaliteit ingebouwd. Hiermee kun je de router (en daarmee het netwerk) verbinden met Cisco Secure Access voor Secure Access Service Edge (SASE). Security Service Edge (SSE)-oplossingen van derden kunnen hier ook verbinding mee maken. Tot slot is het vermeldenswaardig dat de routers klaar zijn voor Post-Quantum Cryptografie (PQC).
Vanuit het perspectief van de hardware vinden wij het voornamelijk interessant dat Cisco netwerkprocessors uit eigen fabriek in de 8000 Series Secure Routers heeft gestopt. Nu is dat op zich niet zo bijzonder, want Cisco heeft een behoorlijk actieve ASIC-designafdeling. Het interessante is vooral dat deze nieuwe processor verkeer door IPsec-tunnels drie keer sneller af kan handelen dan vorige generaties. Maximale IPsec-throughput voor deze serie is volgens de specsheets die we hebben ingekeken 63 Gbps. Maximale throughput voor SD-WAN is 21 Gbps.
Bovenstaande waardes zijn die voor het krachtigste model, de 8500. Het is goed om in het achterhoofd te houden de 8500 (en in iets mindere mate de 8400) aanmerkelijk krachtiger zijn dan de andere modellen. Voor het instapmodel, de 8100, geeft Cisco waardes op van 1,5 Gbps voor IPsec en 900 Mbps voor SD-WAN. Het is dus goed om daar goed naar te kijken bij het maken van de keuze.
Misschien nog wel interessanter dan de doorvoersnelheden zijn vandaag de dag de cijfers op het gebied van energieverbruik. Volgens Butaney ligt dat veertig procent lager dan voorheen het geval was. Dat maakt de verhouding tussen prijs en prestaties uiteraard ook veel beter. De prestaties gaan immers hard omhoog, terwijl het energieverbruik hard omlaag gaat.
Conclusie
Al met al heeft Cisco goed nagedacht over welke richting het op wil voor branch-netwerken. Het is een full-stack benadering, dus relatief prescriptief. Dat heeft zonder twijfel ook een sales-gedreven reden. Immers, als je in een keer een volledige stack kan verkopen, inclusief de benodigde software(-licenties), dan levert dat sneller meer omzet op. Dat is althans het idee.
Met bovenstaand is op zich niet veel mis, als er maar iets tegenover staat. Met de nieuwe diensten in Unified Branch, de Automation Toolkit in combinatie met de AI Assistant en AI Canvas plus de Secure Routers, zet Cisco er wat ons betreft zeker iets tegenover waar organisaties die passen in het profiel over na zouden moeten denken. Zeker nu de verwachting is dat de eisen die gesteld worden aan branch-omgevingen door AI alleen maar groter zullen worden. Uiteraard moet alles presteren zoals beloofd, maar een uitroltijd voor branch-netwerken van minder dan een minuut (as was the case in our demo), gekoppeld aan een hoge mate van security, klinkt zonder meer goed.
Op een hoger niveau zien we met Unified Branch een volgende oplossing/stack die in de overkoepelende strategie van Cisco past. Vorige week nog kondigde het Unified Edge aan (zie link hieronder voor het volledige verhaal). Dat is een full-stack oplossing waarin veel overeenkomsten zichtbaar zijn met Unified Branch. Sterker nog, als je in Unified Edge een router wilt integreren, dan is dat een 8200 Secure Router. Verder zijn er nog de AI POD’s waar we het hierboven ook al over hadden. Die komen globaal uit een soortgelijke mal.
Als het gaat om infrastructuur, is het duidelijk hoe Cisco in de wedstrijd staat, voor zover wij het kunnen beoordelen. Cisco ziet de toenemende complexiteit, voor een groot gedeelte als gevolg van de komst van AI, als een goede reden om full-stack te gaan. We denken ook dat het bedrijf dat goed heeft gezien. Het zal echter moeten blijken hoe goed deze visie ook daadwerkelijk uitgevoerd wordt. Met name de belofte dat het zowel full-stack gaat maar ook open (en modulair) is, willen we erg graag in de praktijk zien.
Lees ook: Cisco brengt datacenter naar de edge met Unified Edge