cisco secure cloud computing infrastructurecisco secure cloud computing infrastructure 2009/12...
TRANSCRIPT
© 2009 Cisco Systems, Inc. All rights reserved. 1
Cisco Secure Cloud Computing Infrastructure
2009/12シスコシステムズ合同会社アーキテクチャ&テクノロジー水谷 広巳 ([email protected])
グリッド協議会 第28回ワークショップ~クラウド化を支えるサービスと技術
© 2009 Cisco Systems, Inc. All rights reserved. 2
クラウドに向けた最適クラウドに向けた最適ななネットワークネットワークイインフラストラクチャンフラストラクチャ
シスコシスコののCloud Computing Cloud Computing ビジビジョンョンとユニファイドファブリックとユニファイドファブリック
顧客価値
CiscoCisco SecureSecure CloudCloud Computing InfrastructureComputing Infrastructureソリューションソリューション
クラウクラウドにドにおけるセキュリティおけるセキュリティ要件要件
CiscoCisco SecureSecure CloudCloud Computing InfrastructureComputing Infrastructureソリューションソリューション
CiscoCisco SecureSecure CloudCloud InfrastructureInfrastructureソリューションソリューション
アジェンダ
© 2009 Cisco Systems, Inc. All rights reserved. 3
クラウドの変革フェーズPhase1
Stand-AloneDC
Phase2
Private Cloud
Public Cloud
Private Cloud
Public Cloud
Virtual Private Cloud
Phase3 Phase4
Inter Cloud
Public Cloud #1Public Cloud #2
Open Cloud
セキュリティセキュリティSLAsSLAs相互接続性相互接続性
主なチャレンジ主なチャレンジ::FederationFederation (クラウド間連携)(クラウド間連携)ポータビリティ(可搬性)ポータビリティ(可搬性)マーケットマーケット
主なチャレンジ主なチャレンジ::
© 2009 Cisco Systems, Inc. All rights reserved. 3
© 2009 Cisco Systems, Inc. All rights reserved. 4
コスト
柔軟性
セキュリティ
複雑性
相互運用性
自動化
ポータビリティ
エンタープライズ向け
ネットワーク・セントリック
エンタープライズ
サービス・プロバイダ
ネットワークが解決可能なポイント
クラウドにおけるチャレンジ
© 2009 Cisco Systems, Inc. All rights reserved. 5
Virtualizationプラットフォーム
Computeプラットフォーム
Networkプラットフォーム
設備コスト冷却空調電力スペース
ハードウェアコストストレージネットワークソフトウェア
設計、運用管理コスト複雑性仮想マシン管理者組織間の調整
Costs
Costs
Costsサーバ
今日の仮想化は問題の一部は解決できるが、新たに別の問題も生み出す見えない仮想マシンを管理する難しさやリスク、複雑なインフラ運用によるコスト上昇
非常に複雑な技術と組織体系
クラウド仮想環境における課題
© 2009 Cisco Systems, Inc. All rights reserved. 6
クラウドを支えるシスコの技術Network Scale Virtualizationを提供
HypervisorMGMT Tool
Hypervisor
Server 1
VMware vSwitch Hypervisor
Server 2VM #1
VM #4
VM #3
VM #2
VM #5
VM #8
VM #7
VM #6
SW VNTag Initiator
HW VNTag Initiator
Nexus
HypervisorMGMT Tool
Hypervisor
Server 1
VMware vSwitchHypervisor
Server 1
VMware vSwitch Hypervisor
Server 2
Hypervisor
Server 2VM #1
VM #4
VM #3
VM #2
VM #5
VM #8
VM #7
VM #6
VM #1
VM #1
VM #4
VM #3
VM #2
VM #5
VM #8
VM #7
VM #6
SW VNTag Initiator
HW VNTag Initiator
Nexus仮想サーバ、モビリティ&セキュリティ
Virtual Network LinkVirtual Network Link
NexusFCoE
Switch
CY2011以降
Unified Fabric
NexusFCoE
SwitchUnifiedDC Access
EthernetCore
FCCore
Serverw/ FCoE adaptor
Serverw/ FCoE adaptor
FCoE ストレージNAS
100G
Server Pool
Storage Pool
NexusFCoE
Switch
CY2011以降
Unified Fabric
NexusFCoE
SwitchUnifiedDC Access
EthernetCore
FCCore
Serverw/ FCoE adaptor
Serverw/ FCoE adaptor
FCoE ストレージNAS
100G
NexusFCoE
Switch
CY2011以降
Unified Fabric
NexusFCoE
SwitchUnifiedDC Access
EthernetCore
FCCore
Serverw/ FCoE adaptor
Serverw/ FCoE adaptor
FCoE ストレージNAS
100G
Server Pool
Storage Pool
Server Pool
Storage Pool
FCoE
Unified FabricUnified Fabric / DCB/ DCB (DCE)(DCE)
ManagementInfrastructure
Unified Computing System Unified Computing System
BA C D BA C D
L2L3
L2L3
データセンター企業 IDC
事業者
BA C D BA C D
L2L3
L2L3
データセンター企業 IDC
事業者
OTVOTV DCDC間連携間連携
分散Active-active DC、サーバ移行、災害復旧
© 2009 Cisco Systems, Inc. All rights reserved. 7
データセンタ全体の仮想化に求められる基盤技術ユニファイド・ファブリック(FCoE)
Primary Network
Secondary Network
UnifiedFabricUnifiedFabric
一度のケーブリングで、その後変更の必要なし
消費電力、ケーブル、アダプタの削減
サービス提供までの時間短縮
MgmtNetwork
© 2009 Cisco Systems, Inc. All rights reserved. 8
CNA = Converged Network Adapter
CN
A
CN
A
FC Switch LAN Switch UCS 6100
ケーブル本数を1/3以下、アダプタ、スイッチを1/2以下(FC利用の場合)に削減
⇒ラックあたりおよそ30%のコスト削減が可能
FC H
BA
FC H
BA
NIC
NIC
NIC
NIC
ユニファイドファブリック
1GE NIC x 4
4G FC HBA x 210GE/FCoE x 2
SAN (FCoE)LAN (Ethernet)
© 2009 Cisco Systems, Inc. All rights reserved. 9
ユニファイドファブリックを支える技術IEEE DCB
プライオリティベース・フロー制御プライオリティベース・フロー制御
Transmit QueuesEthernet Link
Receive Buffers
EightVirtualLanes
OneOne OneOne
TwoTwo TwoTwo
ThreeThree ThreeThree
FourFour FourFour
FiveFive FiveFive
SevenSeven SevenSeven
EightEight EightEight
SixSix SixSixSTOP Pause
トラフィッククラス間の帯域幅のインテリジェントなシェア、帯域のコントロールを可能に
IEEE 802.1QazPriority Grouping
10 GE Link Realized Traffic Usage
3G/s HPC Traffic3G/s
2 Gbps
3 GbpsStorage Traffic3G/s
3G/s
LAN Traffic4G/s
5 Gbps3G/s
t1 t2 t3
Offered Traffic
t1 t2 t3
3G/s 3G/s
3G/s 3G/s 3G/s
2G/s
3G/s 4G/s 6G/s
CoSベースの帯域管理CoSベースの帯域管理
物理リンクを8つの仮想レーン(VL)に分割トラフィッククラスをVLにマッピングVL単位でのフロー制御ネットワーク資源はVL単位で分割(Input Buffer, Output Queue)IEEE 802.1Qbb
© 2009 Cisco Systems, Inc. All rights reserved. 10
クラウドに向けた最適クラウドに向けた最適ななネットワークネットワークイインフラストラクチャンフラストラクチャ
シスコシスコののCloud Computing Cloud Computing ビジビジョンョンとユニファイドファブリックとユニファイドファブリック
顧客価値
CiscoCisco SecureSecure CloudCloud Computing InfrastructureComputing Infrastructureソリューションソリューション
クラウクラウドにドにおけるセキュリティおけるセキュリティ要件要件
CiscoCisco SecureSecure CloudCloud Computing InfrastructureComputing Infrastructureソリューションソリューション
CiscoCisco SecureSecure CloudCloud InfrastructureInfrastructureソリューションソリューション
アジェンダ
© 2009 Cisco Systems, Inc. All rights reserved. 11
クラウドが抱えるセキュリティ脅威と問題
サービスのセキュリティレベルはどうやって把握できるの?
データはどこにあるの?
11
クラウドサービスのセキュリティ脅威はなに?
クラウドでは我々のセキュリティ標準を満たせるの?
データを集中化するともっと安全になるの?
資産のリスクを誰が管理するの?
© 2009 Cisco Systems, Inc. All rights reserved. 12
Cloud Security Allianceクラウドサービスのセキュリティ脅威とガイドライン
統治と企業リスク管理–クラウドプロバイダ利用におけるオンライン利用契約とSLAの懸念
–クラウドプロバイダのサービスレベルの懸念
–ストアされたデータの責任
クラウドサービス運用・利用に関する法令遵守–コンピュータシステム&情報セキュリティを保護する法律遵守
–海外の法律、法解釈の違い
電子情報開示(Electronic Discovery)–クラウド上の記録、情報管理、証拠保全、リカバリーの懸念
コンプライアンスと監査–データストレージの境界の不明瞭性
–クラウドインフラの監査方法、リスクアセスメントの複雑性
情報のライフサイクルと管理–クラウド上のライフサイクル
ポータビリティと相互運用性–プロバイダ変更とクロスクラウド利用の必要性
伝統的なセキュリティ、ビジネス継続性、ディザスタリカバリ
–クラウドによる新規懸念と未知の脆弱への対応
インシデントレスポンスと再解決–クラウド上に開発された脆弱なアプリケーションにより引き起こされるインシデントレスポンス
アプリケーションセキュリティクラウド環境でのアプリケーションセキュリティ課題
IaaS、PaaS、SaaS別アプリケーションセキュリティ、アプリケーション開発サイクルのインパクト
暗号化と鍵管理–クラウド環境下の暗号化、暗号鍵の管理懸念
アイデンティティとアクセス管理–アカウントの認証方法統合への懸念
ストレージストレージの物理場所、リサイクルプロセスの懸念
ストレージのマルチテナント利用環境の懸念
仮想化–クラウドの仮想化技術による新規リスク
クラウドの統治 クラウドサービス運用
参考:http://www.cloudsecurityalliance.org/
© 2009 Cisco Systems, Inc. All rights reserved. 13
クラウド利用者のセキュリティ基本要件
Network、Computer の機能・性能維持
情報資源の保護 (機密性、完全性、可用性)
企業組織の名誉、信用保護
クラウド利用者のセキュリティ基本要件と対策
SP/IDC クラウド事業者が行う基本セキュリティ対策
IT資産への不正アクセス対策
不正アクセス通信(盗聴、なりすまし、改ざん)防御
Virus・Worm・Botnet・スパムメール対策
情報漏えい対策
サービス妨害(DoS)対策
誤操作、権限不正利用対策とアクセス制限
災害・事故・障害対策(Disaster Recovery)
仮想環境でのセキュリティ対策
© 2009 Cisco Systems, Inc. All rights reserved. 14
シスコの考えるデータセンター 基本セキュリティ
ステートフル・パケット・フィルタリングサーバファームに対する Firewallサービス
サーバ・ロードバランシングサーバ、アプリケーションへの分散による拡張性、可用性を向上仮想コンテキストに対応
アプリケーション・ファイアウォールXSS, HTTP, SQL, XML ベースアタックからの防御
ネットワーク侵入検知IPS/IDS:による侵入検知・防御
フローベース・トラフィック分析トラフィック・モニタリングとデータの分析
XML ベース・アプリケーション・コントロールWeb サービスの保護と拡張
ステートフル・パケット・フィルタリングデータセンターの出入り口におけるフィルタリング仮想コンテキストに対応
ネットワーク基本セキュリティネットワークデバイスの保護、コントロールプレーンおよびデータプレーンの保護デバイスの仮想化(VLAN など) によるセグメント化
データセンターコア
VM VM VM
VMVMVM
データセンターサービス
仮想アクセス
アクセス高度なレイヤ 2 セキュリティ, Dynamic ARP Inspection, DHCP Snooping, IP Source Guard, Port Security, Private VLANs, QoS
エンドポイント・セキュリティHIPS
レイヤ 2 フロー・モニタリンNetFlow, ERSPAN, SPAN
CSM NCM
http://www.cisco.com/en/US/docs/solutions/Enterprise/Data_Center/DC_3_0/dc_sec_design.html
Cisco Validated Design
データセンターアグリゲーション
© 2009 Cisco Systems, Inc. All rights reserved. 15
クラウドに向けた最適クラウドに向けた最適ななネットワークネットワークイインフラストラクチャンフラストラクチャ
シスコシスコののCloud Computing Cloud Computing ビジビジョンョンとユニファイドファブリックとユニファイドファブリック
顧客価値
CiscoCisco SecureSecure CloudCloud Computing InfrastructureComputing Infrastructureソリューションソリューション
クラウクラウドにドにおけるセキュリティおけるセキュリティ要件要件
CiscoCisco SecureSecure CloudCloud Computing InfrastructureComputing Infrastructureソリューションソリューション
CiscoCisco SecureSecure CloudCloud InfrastructureInfrastructureソリューションソリューション
アジェンダ
© 2009 Cisco Systems, Inc. All rights reserved. 16
Cisco Secure Cloud Infrastructure概要イメージ
外部からのセキュリティ外部からのセキュリティ
ExternalDirectory Server
Cisco ACS 5.0
認証およびアクセス制御認証および
アクセス制御
通信経路の暗号化
通信経路の暗号化
仮想化されたネットワーク
サービス機能
仮想化されたネットワーク
サービス機能
FC FC
VMVMVMVM
VMVMVM
VM
VMVMXX
VM と SLBの自動連携
VM と SLBの自動連携
仮想サーバセキュリティ仮想サーバセキュリティ
シスコ製品およびアライアンスパートナー製品の統合によりクラウド インフラストラクチャに必要なセキュリティを網羅
基本セキュリティに加え、追加セキュリティソリューションを提案クラウド サービスはセキュアなインフラ上で展開可能
© 2009 Cisco Systems, Inc. All rights reserved. 17
Live Migration 時の可用性確保
仮想サーバの統合管理に対する
セキュリティ
アクセスコントロールのスケーラビリティ
ID管理コンプライアンス管理(18号監査)
SaaS型メール/Webセキュリティ
ReputationベースFW/IPS
Hypervisorでのセキュリティ
FW/IPS/VPN DDoS対策 物理セキュリティSpoofing対策
FirewallLoad Balancer
Partitioning
L2 Security
共有プラットフォームに
おける暗号化
XML/API Security
自動連携
シスコの提案するクラウド セキュリティ仮想サーバセキュリティ エンドポイントセキュリティ
クラウド型NWセキュリティ
従来のセキュリティ対策
クラウドの可視化 SaaS型セキュリティ(Cisco Security Cloud Services)
© 2009 Cisco Systems, Inc. All rights reserved. 18
配置場所企業内、企業所有の DC SP/IDC SP/IDC 企業内、企業所有
の DC及びSP/IDC 複数のSP/IDC
サービス例業務系、情報系、(SaaS、PaaS、HaaS/IaaS)
SaaS、PaaS、HaaS/IaaS
SaaS、PaaS、HaaS/IaaS
企業内アプリとXaaS 上アプリ
との連携
外部 Cloud 間含めた XaaS 上アプリ間
の連携
利用者 企業内ユーザ 企業 / 一般ユーザ 企業ユーザ 企業ユーザ 企業 / 一般ユーザ
Cloud としての主なセキュリティ課題
一般的なデータセンター・セキュリティ
ID 管理・認証・暗号化、および Internetセキュリティ全般
複数顧客に対する物理的・論理的な分割セキュリティや暗号化など
外部~企業間の境界セキュリティ、API等連携に関わるセキュリテイ
複数 Cloud 間のセキュリティレベルの整合、境界・API等連携
セキュリティ
クラウド サービスの種類
PrivateCloud
PublicCloud
VirtualPrivate Cloud
HybridCloud
InterCloud
企業内で構築する Cloud
企業内
外部
一般向けサービス用のCloud
外部
企業向けのサービスを収容する Cloud
企業内
外部
Private Cloudと Public Cloudの連携
外部
外部外部
Cloud 間の連携
© 2009 Cisco Systems, Inc. All rights reserved. 19
シスコ クラウド セキュリティ ソリューションPrivateCloud(企業内で構築するCloud)
PublicCloud(一般向けサービス用のCloud)
VirtualPrivateCloud(企業向けのサービスを収容するCloud)
HybridCloud(PrivateCloud とPublicCloud の
連携)
Inter Cloud(Cloud 間の連携)
Cisco 製品・
テクノロジー
基本セキュリティ 〇 〇 〇 〇 〇 CVD 参照
①仮想サーバセキュリティ 〇 〇 〇 〇 〇 Nexus1000V
②共有プラットフォームでのノード間暗号化
- - 〇 - 〇 Trust Sec
③サーバアクセス認証の拡張 - - 〇 - 〇 Trust Sec
④ネットワークサービスのパーティショニング
- - 〇 - 〇VRF/VLAN/ASA/ACE
⑤仮想環境の自動連携 〇 〇 〇 〇 〇 Vmware/ACE
⑥コンプライアンス管理 〇 〇 〇 〇 〇 NCM
⑦ID 管理 - 〇 - 〇 〇 EPM
⑧API 連携 XML セキュリティ - 〇 - 〇 〇 AXG
⑨SaaS 型メール/Webセキュリティ
- 〇 - 〇 〇 Iron Port
⑩レピュテーションベースFW/IPS セキュリティ
- 〇 - 〇 〇 ASA/IPS
© 2009 Cisco Systems, Inc. All rights reserved. 20
仮想化サーバのセキュリティ課題
n1000v# show port-profile name WebProfileport-profile WebProfiledescription:status: enabledcapability uplink: nosystem vlans:port-group: WebProfileconfig attributes:switchport mode accessswitchport access vlan 110no shutdown
evaluated config attributes:switchport mode accessswitchport access vlan 110no shutdown
assigned interfaces:Veth10
ネットワーク管理者とサーバ管理者(仮想化担当)の役割分担
仮想化による構成の複雑化
不正な仮想マシン対策や仮想マシン間のアクセス制御
物理サーバ内の仮想マシン間トラフィックが見えない
Live Migration時のセキュリティポリシの一貫性確保
© 2009 Cisco Systems, Inc. All rights reserved. 21
スイッチポートとサーバポートの関係が1 : 1から1 : Nへ
仮想マシンレベルにまでネットワークを拡張
論理サーバ、仮想マシンの移動にネットワーク設定が自動的に追従
仮想マシン管理ツールとの連携、物理世界と同じ運用モデルを維持
ブレードサーバ ラックマウントサーバ
仮想化で複雑化するシステム
© 2009 Cisco Systems, Inc. All rights reserved. 22
UCS VIC(ハードウェアベース)
UCS VICUCS VIC((ハードウェアベースハードウェアベース))
Cisco Nexus 1000V(ソフトウェアベース)
Cisco Nexus 1000VCisco Nexus 1000V((ソフトウェアベースソフトウェアベース))
VMW ESX
VM#1
VM #4
VM #3
ServerVM #2
Nexus 1000V
NIC NIC
LAN
Nexus1000V
ポリシーベースの仮想マシン接続
既存の仮想マシン運用モデル
ネットワーク属性のモビリティ
VMW ESX
VM #4
VM #3
UCS BladeVM #2
VM #1
UCS VIC
UCS 6100
Pass Through Switch
VNIC VNIC
VETH VETH
Hypervisor
VM VM
Cisco VN-Link
© 2009 Cisco Systems, Inc. All rights reserved. 23
VN-Link in Software
VN-Link in Hardware
VN-Link in Hardware w/VM DirectPath
Cisco VN-Link
© 2009 Cisco Systems, Inc. All rights reserved. 24
L2/L3 ネットワークおよび、ファイアウォール、ロードバランサなどのネットワーク サービスは仮想
化機能により論理分割し相互接続が可能各レイヤの仮想化機能を活用することで、物理的な設置スペースや消費電力の削減に加え、迅速なサービス立ち上げを実現。
サーバの仮想化とネットワークの仮想化
バーチャルロードバランサ
バーチャルファイアウォール
バーチャルルータ
VLAN
VSAN
バーチャルマシン
© 2009 Cisco Systems, Inc. All rights reserved. 25
VMVM VMVM VMVM VMVM VMVM VMVM VMVM VMVM VMVM VMVM VMVM
悪意のあるVM: MACアドレスを変
更/追加
悪意のあるVM: IPアドレスを変更/追加
悪意のあるDHCP サーバ
悪意のあるVM: ARPを送り、
VMの場所を通知
DHCP Snooping
Port Security IP Source Guard
Dynamic ARP Inspection
VMotionVMotion
不正な仮想マシン対策
© 2009 Cisco Systems, Inc. All rights reserved. 26
Services
IDSFW Network Analysis Module
ERSPAN DST
ID:1ID:2
Out‐of‐BandNetFlow Collector
In‐BandNetFlow Collector
NetflowNetflow
L3ネットワークデバイス越えのトラフィックミラーリングも可能
仮想マシン毎のネットワーク統計情報が収集可能
仮想サーバ単位のモニタによるトラフィックの可視化
© 2009 Cisco Systems, Inc. All rights reserved. 27
“Hypervisor”““HypervisorHypervisor””
Server 1Server 1
Soft-SwitchSoftSoft--SwitchSwitch Soft-SwitchSoftSoft--SwitchSwitchNexus 1000VNexus 1000V
“Hypervisor”““HypervisorHypervisor””
Server 2Server 2
Soft-SwitchSoftSoft--SwitchSwitch Soft-SwitchSoftSoft--SwitchSwitchNexus 1000VNexus 1000V
“Hypervisor”““HypervisorHypervisor””
Server 3Server 3
Soft-SwitchSoftSoft--SwitchSwitch Soft-SwitchSoftSoft--SwitchSwitchNexus 1000VNexus 1000V
VMware VMware VCenterVCenter
Nexus 1000V VSM
Nexus 1000V VSM
ネットワーク & サーバ
管理者の協業
ERSPAN, NetFlowによ
るトラフィックの可視化コマンドラインで可能
Consistent Network Security
Inter-VM traffic Visibility
Consistent policy enforcement
VM #1VM VM #1#1
VM #4VM VM #4#4
VM #3VM VM #3#3
VM #2VM VM #2#2
VM #1VM VM #1#1
VM #4VM VM #4#4
VM #3VM VM #3#3
VM #2VM VM #2#2
VM #1VM VM #1#1
VM #4VM VM #4#4
VM #3VM VM #3#3
VM #2VM VM #2#2
Live migration時の一
貫したポートプロファイルの適用
アクセスリスト、PVLAN、L2セキュリティ
仮想化サーバのセキュリティ Live Migration
© 2009 Cisco Systems, Inc. All rights reserved. 28
Customer for Service
A
Customer for Service
B
データセンターの地理的な制限を越えるLive MigrationとOverlay Transport Virtualization(OTV)
IP NetworkFC FC
VM VM VM VM
VM VM VM
VM
VM VM
Internet
GSS GSS
Rawvolumefor RDM
FC FC
VM
VM VM VM
VM VM
MDS(VirtualSAN
&FCIP SAN Extension)
データ レプリケーションツール
VMWareSite Recovery
Manager
ACE(Virtual SLB)
Virtual FW
MDS(VirtualSAN
&FCIP SAN Extension)
VMFSvolume
ACE(Virtual SLB)
Virtual FW
XX
バックアップ拠点
Back-End
プライマリ拠点
Rawvolumefor RDM
VMFSvolume
Virtual Switch Policy
Migration
ストレージ データ転送機能(同期・非同期)
VM Live MigrationL2NW (OTV)
© 2009 Cisco Systems, Inc. All rights reserved. 29
Overlay Transport Virtualization (OTV)
DC間のイーサネットトラフィックをIPでカプセル化 “MAC in IP”
MACルーティングテーブルによる動的なカプセル化
Pseudo-Wire-スタティックトンネルが不要
MAC1 (site 1)とMAC2 (site 2)での通信Server 1MAC 1
Server 1MAC 1
Server 2MAC 2
Server 2MAC 2
OTV OTVMAC IF
MAC1 Eth1
MAC2 IP B
MAC3 IP BIP A IP B
Encap DecapMAC1 MAC2 IP A IP B MAC1 MAC2 MAC1 MAC2
© 2009 Cisco Systems, Inc. All rights reserved. 30
共有プラットフォームにおけるノード間の暗号化
Source: Ken Hook
Encrypt
on egress interface
DecryptDecrypt
on ingress Interface
Encrypt
Packets in the clear inside the system
802.1AE Encrypted 802.1AE Encrypted802.1AE Encrypted
TrustSec L2 frame with Cisco Meta Data (CMD)IEEE Standards-based LinkSec (802.1ae) 暗号にCMDを追加
DA SA 802.1AE Header (16 Octets)
1Q(0-1)
CMD with SGT(8 Octets)
ETH-TYPE PAYLOAD ICV
(16 Octets) CRC
Encrypted
Authenticated
Encryptionoffset
802.1AE + TrustSec overhead
ノード間での L2 暗号
暗号化 + パケットがワイヤにのる直前にヘッダを付加
復号化 + ネクストホップで最初にヘッダーの除去
上位レイヤは L2 ヘッダー/暗号化に無関係 – Truly Bump-in-the-wire
L2 ヘッダーIP MTU/フラグメントへのインパクト無し
© 2009 Cisco Systems, Inc. All rights reserved. 31
アクセス コントロールの拡張
Individuals ResourcesPermissions
Server 1
Server 2
Server 3
Security GroupsSource
Partners
Employee
Contractor
Guest/Unknown
Non-Europe Employee
Security GroupsDestination
Internet
Confidential
Special Projects
Print/Copy
Authz Rules
Authz RulesIndividuals Resources
Authz Rules
Authz RulesAccess Rules
Access Rules
トポロジーに依存しないユーザ / デバイス単位のアクセスコントロール(SGACL)
スケーラビリティ:ingress タギング (SGT) / egress フィルタリング
中央集中のポリシー管理 / ポリシー強制ポイントの分散
802.1x認証、MAB、Web Authによるエンドポイントのアドミッション(Cisco IBNS compatibility)
エンタープライズ プライベート クラウドのエンドポイント セキュリティを実現
従来のアクセス コントロール アクセス コントロールのスケーラビリティ
© 2009 Cisco Systems, Inc. All rights reserved. 32
Trusted Network
ExternalDirectory Server
TrustSec EnabledNetwork
TrustSec-NAD-A
SupplicantDevice
Cisco ACS 5.0
TrustSec-NAD-B
TrustSec-NAD-C
Role Determination
EAPOL (EAP-FAST)
AuthenticatorDevice
RADIUSEAP-FAST Tunnel
Device Authentication
EAP-FAST Tunnel Tear Down
PolicyPolicy Acquisition
Key EstablishmentOn-Going Key Refresh
New Device
SAP
© 2009 Cisco Systems, Inc. All rights reserved. 33
Global Security Intelligence Center
脆弱性のアセスメント
最新のセキュリティ情報を常時データセンタに反映Email, Web セキュリティ (IronPort、SensorBase)配置済み FW/IPS への自動的なポリシーの適用Threat Operations Center
CiscoのSaaS型セキュリティへの取り組み
Cisco SensorBase
© 2009 Cisco Systems, Inc. All rights reserved. 34
まとめ
クラウド環境に最適なインフラの構築
Unified I/Oによる消費電力、コスト、運用負荷の軽減
クラウドでの新たなセキュリティ課題
クラウドセキュリティの現状
従来のセキュリティ対策と仮想化環境でのセキュリティ
Ciscoの提供するネットワーク技術とセキュリティ対策
クラウドの種別毎による対策
ネットワークでのセキュリティ対策、SaaS型セキュリティ
© 2009 Cisco Systems, Inc. All rights reserved. 35
ご静聴ありがとうございましたご静聴ありがとうございました!!
E-mail:[email protected]