cisco secure cloud computing infrastructurecisco secure cloud computing infrastructure 2009/12...

© 2009 Cisco Systems, Inc. All rights reserved. 1

Cisco Secure Cloud Computing Infrastructure

2009/12シスコシステムズ合同会社アーキテクチャ＆テクノロジー水谷広巳（[email protected])

グリッド協議会第28回ワークショップ～クラウド化を支えるサービスと技術


クラウドに向けた最適クラウドに向けた最適ななネットワークネットワークイインフラストラクチャンフラストラクチャ

シスコシスコののCloud Computing Cloud Computing ビジビジョンョンとユニファイドファブリックとユニファイドファブリック

顧客価値

CiscoCisco SecureSecure CloudCloud Computing InfrastructureComputing Infrastructureソリューションソリューション

クラウクラウドにドにおけるセキュリティおけるセキュリティ要件要件


CiscoCisco SecureSecure CloudCloud InfrastructureInfrastructureソリューションソリューション

アジェンダ


クラウドの変革フェーズPhase1

Stand-AloneDC

Phase2

Private Cloud

Public Cloud

Private Cloud

Public Cloud

Virtual Private Cloud

Phase3 Phase4

Inter Cloud

Public Cloud #1Public Cloud #2

Open Cloud

セキュリティセキュリティSLAsSLAs相互接続性相互接続性

主なチャレンジ主なチャレンジ::FederationFederation （クラウド間連携）（クラウド間連携）ポータビリティ（可搬性）ポータビリティ（可搬性）マーケットマーケット

主なチャレンジ主なチャレンジ::



コスト

柔軟性

セキュリティ

複雑性

相互運用性

自動化

ポータビリティ

エンタープライズ向け

ネットワーク・セントリック

エンタープライズ

サービス・プロバイダ

ネットワークが解決可能なポイント

クラウドにおけるチャレンジ


Virtualizationプラットフォーム

Computeプラットフォーム

Networkプラットフォーム

設備コスト冷却空調電力スペース

ハードウェアコストストレージネットワークソフトウェア

設計、運用管理コスト複雑性仮想マシン管理者組織間の調整

Costs

Costs

Costsサーバ

今日の仮想化は問題の一部は解決できるが、新たに別の問題も生み出す見えない仮想マシンを管理する難しさやリスク、複雑なインフラ運用によるコスト上昇

非常に複雑な技術と組織体系

クラウド仮想環境における課題


クラウドを支えるシスコの技術Network Scale Virtualizationを提供

HypervisorMGMT Tool

Hypervisor

Server 1

VMware vSwitch Hypervisor

Server 2VM #1

VM #4

VM #3

VM #2

VM #5

VM #8

VM #7

VM #6

SW VNTag Initiator

HW VNTag Initiator

Nexus

HypervisorMGMT Tool

Hypervisor

Server 1

VMware vSwitchHypervisor

Server 1

VMware vSwitch Hypervisor

Server 2

Hypervisor

Server 2VM #1

VM #4

VM #3

VM #2

VM #5

VM #8

VM #7

VM #6

VM #1

VM #1

VM #4

VM #3

VM #2

VM #5

VM #8

VM #7

VM #6

SW VNTag Initiator

HW VNTag Initiator

Nexus仮想サーバ、モビリティ＆セキュリティ

Virtual Network LinkVirtual Network Link

NexusFCoE

Switch

CY2011以降

Unified Fabric

NexusFCoE

SwitchUnifiedDC Access

EthernetCore

FCCore

Serverw/ FCoE adaptor


FCoE ストレージNAS

100G

Server Pool

Storage Pool

NexusFCoE

Switch

CY2011以降

Unified Fabric

NexusFCoE


EthernetCore

FCCore




100G

NexusFCoE

Switch

CY2011以降

Unified Fabric

NexusFCoE


EthernetCore

FCCore




100G

Server Pool

Storage Pool

Server Pool

Storage Pool

FCoE

Unified FabricUnified Fabric / DCB/ DCB (DCE)(DCE)

ManagementInfrastructure

Unified Computing System Unified Computing System

BA C D BA C D

L2L3

L2L3

データセンター企業 IDC

事業者

BA C D BA C D

L2L3

L2L3

データセンター企業 IDC

事業者

OTVOTV DCDC間連携間連携

分散Active-active DC、サーバ移行、災害復旧


データセンタ全体の仮想化に求められる基盤技術ユニファイド・ファブリック（FCoE）

Primary Network

Secondary Network

UnifiedFabricUnifiedFabric

一度のケーブリングで、その後変更の必要なし

消費電力、ケーブル、アダプタの削減

サービス提供までの時間短縮

MgmtNetwork


CNA = Converged Network Adapter

CN

A

CN

A

FC Switch LAN Switch UCS 6100

ケーブル本数を1/3以下、アダプタ、スイッチを1/2以下（FC利用の場合）に削減

⇒ラックあたりおよそ30%のコスト削減が可能

FC H

BA

FC H

BA

NIC

NIC

NIC

NIC

ユニファイドファブリック

1GE NIC x 4

4G FC HBA x 210GE/FCoE x 2

SAN (FCoE)LAN (Ethernet)


ユニファイドファブリックを支える技術IEEE DCB

プライオリティベース・フロー制御プライオリティベース・フロー制御

Transmit QueuesEthernet Link

Receive Buffers

EightVirtualLanes

OneOne OneOne

TwoTwo TwoTwo

ThreeThree ThreeThree

FourFour FourFour

FiveFive FiveFive

SevenSeven SevenSeven

EightEight EightEight

SixSix SixSixSTOP Pause

トラフィッククラス間の帯域幅のインテリジェントなシェア、帯域のコントロールを可能に

IEEE 802.1QazPriority Grouping

10 GE Link Realized Traffic Usage

3G/s HPC Traffic3G/s

2 Gbps

3 GbpsStorage Traffic3G/s

3G/s

LAN Traffic4G/s

5 Gbps3G/s

t1 t2 t3

Offered Traffic

t1 t2 t3

3G/s 3G/s

3G/s 3G/s 3G/s

2G/s

3G/s 4G/s 6G/s

CoSベースの帯域管理CoSベースの帯域管理

物理リンクを8つの仮想レーン(VL)に分割トラフィッククラスをVLにマッピングVL単位でのフロー制御ネットワーク資源はVL単位で分割(Input Buffer, Output Queue)IEEE 802.1Qbb




顧客価値





アジェンダ


クラウドが抱えるセキュリティ脅威と問題

サービスのセキュリティレベルはどうやって把握できるの？

データはどこにあるの？

11

クラウドサービスのセキュリティ脅威はなに？

クラウドでは我々のセキュリティ標準を満たせるの？

データを集中化するともっと安全になるの？

資産のリスクを誰が管理するの？


Cloud Security Allianceクラウドサービスのセキュリティ脅威とガイドライン

統治と企業リスク管理–クラウドプロバイダ利用におけるオンライン利用契約とSLAの懸念

–クラウドプロバイダのサービスレベルの懸念

–ストアされたデータの責任

クラウドサービス運用・利用に関する法令遵守–コンピュータシステム＆情報セキュリティを保護する法律遵守

–海外の法律、法解釈の違い

電子情報開示（Electronic Discovery）–クラウド上の記録、情報管理、証拠保全、リカバリーの懸念

コンプライアンスと監査–データストレージの境界の不明瞭性

–クラウドインフラの監査方法、リスクアセスメントの複雑性

情報のライフサイクルと管理–クラウド上のライフサイクル

ポータビリティと相互運用性–プロバイダ変更とクロスクラウド利用の必要性

伝統的なセキュリティ、ビジネス継続性、ディザスタリカバリ

–クラウドによる新規懸念と未知の脆弱への対応

インシデントレスポンスと再解決–クラウド上に開発された脆弱なアプリケーションにより引き起こされるインシデントレスポンス

アプリケーションセキュリティクラウド環境でのアプリケーションセキュリティ課題

IaaS、PaaS、SaaS別アプリケーションセキュリティ、アプリケーション開発サイクルのインパクト

暗号化と鍵管理–クラウド環境下の暗号化、暗号鍵の管理懸念

アイデンティティとアクセス管理–アカウントの認証方法統合への懸念

ストレージストレージの物理場所、リサイクルプロセスの懸念

ストレージのマルチテナント利用環境の懸念

仮想化–クラウドの仮想化技術による新規リスク

クラウドの統治クラウドサービス運用

参考：http://www.cloudsecurityalliance.org/


クラウド利用者のセキュリティ基本要件

Network、Computer の機能・性能維持

情報資源の保護（機密性、完全性、可用性）

企業組織の名誉、信用保護

クラウド利用者のセキュリティ基本要件と対策

SP/IDC クラウド事業者が行う基本セキュリティ対策

IT資産への不正アクセス対策

不正アクセス通信（盗聴、なりすまし、改ざん）防御

Virus・Worm・Botnet・スパムメール対策

情報漏えい対策

サービス妨害（DoS）対策

誤操作、権限不正利用対策とアクセス制限

災害・事故・障害対策（Disaster Recovery）

仮想環境でのセキュリティ対策


シスコの考えるデータセンター基本セキュリティ

ステートフル・パケット・フィルタリングサーバファームに対する Firewallサービス

サーバ・ロードバランシングサーバ、アプリケーションへの分散による拡張性、可用性を向上仮想コンテキストに対応

アプリケーション・ファイアウォールXSS, HTTP, SQL, XML ベースアタックからの防御

ネットワーク侵入検知IPS/IDS:による侵入検知・防御

フローベース・トラフィック分析トラフィック・モニタリングとデータの分析

XML ベース・アプリケーション・コントロールWeb サービスの保護と拡張

ステートフル・パケット・フィルタリングデータセンターの出入り口におけるフィルタリング仮想コンテキストに対応

ネットワーク基本セキュリティネットワークデバイスの保護、コントロールプレーンおよびデータプレーンの保護デバイスの仮想化(VLAN など) によるセグメント化

データセンターコア

VM VM VM

VMVMVM

データセンターサービス

仮想アクセス

アクセス高度なレイヤ 2 セキュリティ, Dynamic ARP Inspection, DHCP Snooping, IP Source Guard, Port Security, Private VLANs, QoS

エンドポイント・セキュリティHIPS

レイヤ 2 フロー・モニタリンNetFlow, ERSPAN, SPAN

CSM NCM

http://www.cisco.com/en/US/docs/solutions/Enterprise/Data_Center/DC_3_0/dc_sec_design.html

Cisco Validated Design

データセンターアグリゲーション




顧客価値





アジェンダ


Cisco Secure Cloud Infrastructure概要イメージ

外部からのセキュリティ外部からのセキュリティ

ExternalDirectory Server

Cisco ACS 5.0

認証およびアクセス制御認証および

アクセス制御

通信経路の暗号化

通信経路の暗号化

仮想化されたネットワーク

サービス機能

仮想化されたネットワーク

サービス機能

FC FC

VMVMVMVM

VMVMVM

VM

VMVMXX

VM と SLBの自動連携

VM と SLBの自動連携

仮想サーバセキュリティ仮想サーバセキュリティ

シスコ製品およびアライアンスパートナー製品の統合によりクラウドインフラストラクチャに必要なセキュリティを網羅

基本セキュリティに加え、追加セキュリティソリューションを提案クラウドサービスはセキュアなインフラ上で展開可能


Live Migration 時の可用性確保

仮想サーバの統合管理に対する

セキュリティ

アクセスコントロールのスケーラビリティ

ID管理コンプライアンス管理（18号監査）

SaaS型メール/Webセキュリティ

ReputationベースFW/IPS

Hypervisorでのセキュリティ

FW/IPS/VPN DDoS対策物理セキュリティSpoofing対策

FirewallLoad Balancer

Partitioning

L2 Security

共有プラットフォームに

おける暗号化

XML/API Security

自動連携

シスコの提案するクラウドセキュリティ仮想サーバセキュリティエンドポイントセキュリティ

クラウド型NWセキュリティ

従来のセキュリティ対策

クラウドの可視化 SaaS型セキュリティ（Cisco Security Cloud Services）


配置場所企業内、企業所有の DC SP/IDC SP/IDC 企業内、企業所有

の DC及びSP/IDC 複数のSP/IDC

サービス例業務系、情報系、（SaaS、PaaS、HaaS/IaaS）

SaaS、PaaS、HaaS/IaaS

SaaS、PaaS、HaaS/IaaS

企業内アプリとXaaS 上アプリ

との連携

外部 Cloud 間含めた XaaS 上アプリ間

の連携

利用者企業内ユーザ企業 / 一般ユーザ企業ユーザ企業ユーザ企業 / 一般ユーザ

Cloud としての主なセキュリティ課題

一般的なデータセンター・セキュリティ

ID 管理・認証・暗号化、および Internetセキュリティ全般

複数顧客に対する物理的・論理的な分割セキュリティや暗号化など

外部～企業間の境界セキュリティ、API等連携に関わるセキュリテイ

複数 Cloud 間のセキュリティレベルの整合、境界・API等連携

セキュリティ

クラウドサービスの種類

PrivateCloud

PublicCloud

VirtualPrivate Cloud

HybridCloud

InterCloud

企業内で構築する Cloud

企業内

外部

一般向けサービス用のCloud

外部

企業向けのサービスを収容する Cloud

企業内

外部

Private Cloudと Public Cloudの連携

外部

外部外部

Cloud 間の連携


シスコクラウドセキュリティソリューションPrivateCloud（企業内で構築するCloud）

PublicCloud（一般向けサービス用のCloud）

VirtualPrivateCloud（企業向けのサービスを収容するCloud）

HybridCloud（PrivateCloud とPublicCloud の

連携）

Inter Cloud（Cloud 間の連携）

Cisco 製品・

テクノロジー

基本セキュリティ〇〇〇〇〇 CVD 参照

①仮想サーバセキュリティ〇〇〇〇〇 Nexus1000V

②共有プラットフォームでのノード間暗号化

－－〇－〇 Trust Sec

③サーバアクセス認証の拡張－－〇－〇 Trust Sec

④ネットワークサービスのパーティショニング

－－〇－〇VRF/VLAN/ASA/ACE

⑤仮想環境の自動連携〇〇〇〇〇 Vmware/ACE

⑥コンプライアンス管理〇〇〇〇〇 NCM

⑦ID 管理－〇－〇〇 EPM

⑧API 連携 XML セキュリティ－〇－〇〇 AXG

⑨SaaS 型メール/Webセキュリティ

－〇－〇〇 Iron Port

⑩レピュテーションベースFW/IPS セキュリティ

－〇－〇〇 ASA/IPS


仮想化サーバのセキュリティ課題

n1000v# show port-profile name WebProfileport-profile WebProfiledescription:status: enabledcapability uplink: nosystem vlans:port-group: WebProfileconfig attributes:switchport mode accessswitchport access vlan 110no shutdown

evaluated config attributes:switchport mode accessswitchport access vlan 110no shutdown

assigned interfaces:Veth10

ネットワーク管理者とサーバ管理者（仮想化担当）の役割分担

仮想化による構成の複雑化

不正な仮想マシン対策や仮想マシン間のアクセス制御

物理サーバ内の仮想マシン間トラフィックが見えない

Live Migration時のセキュリティポリシの一貫性確保


スイッチポートとサーバポートの関係が1 : 1から1 : Nへ

仮想マシンレベルにまでネットワークを拡張

論理サーバ、仮想マシンの移動にネットワーク設定が自動的に追従

仮想マシン管理ツールとの連携、物理世界と同じ運用モデルを維持

ブレードサーバラックマウントサーバ

仮想化で複雑化するシステム


UCS VIC(ハードウェアベース)

UCS VICUCS VIC((ハードウェアベースハードウェアベース))

Cisco Nexus 1000V(ソフトウェアベース)

Cisco Nexus 1000VCisco Nexus 1000V((ソフトウェアベースソフトウェアベース))

VMW ESX

VM#1

VM #4

VM #3

ServerVM #2

Nexus 1000V

NIC NIC

LAN

Nexus1000V

ポリシーベースの仮想マシン接続

既存の仮想マシン運用モデル

ネットワーク属性のモビリティ

VMW ESX

VM #4

VM #3

UCS BladeVM #2

VM #1

UCS VIC

UCS 6100

Pass Through Switch

VNIC VNIC

VETH VETH

Hypervisor

VM VM

Cisco VN-Link


VN-Link in Software

VN-Link in Hardware

VN-Link in Hardware w/VM DirectPath

Cisco VN-Link


L2/L3 ネットワークおよび、ファイアウォール、ロードバランサなどのネットワークサービスは仮想

化機能により論理分割し相互接続が可能各レイヤの仮想化機能を活用することで、物理的な設置スペースや消費電力の削減に加え、迅速なサービス立ち上げを実現。

サーバの仮想化とネットワークの仮想化

バーチャルロードバランサ

バーチャルファイアウォール

バーチャルルータ

VLAN

VSAN

バーチャルマシン


VMVM VMVM VMVM VMVM VMVM VMVM VMVM VMVM VMVM VMVM VMVM

悪意のあるVM: MACアドレスを変

更/追加

悪意のあるVM: IPアドレスを変更/追加

悪意のあるDHCP サーバ

悪意のあるVM: ARPを送り、

VMの場所を通知

DHCP Snooping

Port Security IP Source Guard

Dynamic ARP Inspection

VMotionVMotion

不正な仮想マシン対策


Services

IDSFW Network Analysis Module

ERSPAN DST

ID:1ID:2

Out‐of‐BandNetFlow Collector

In‐BandNetFlow Collector

NetflowNetflow

L3ネットワークデバイス越えのトラフィックミラーリングも可能

仮想マシン毎のネットワーク統計情報が収集可能

仮想サーバ単位のモニタによるトラフィックの可視化


“Hypervisor”““HypervisorHypervisor””

Server 1Server 1

Soft-SwitchSoftSoft--SwitchSwitch Soft-SwitchSoftSoft--SwitchSwitchNexus 1000VNexus 1000V


Server 2Server 2



Server 3Server 3


VMware VMware VCenterVCenter

Nexus 1000V VSM

Nexus 1000V VSM

ネットワーク & サーバ

管理者の協業

ERSPAN, NetFlowによ

るトラフィックの可視化コマンドラインで可能

Consistent Network Security

Inter-VM traffic Visibility

Consistent policy enforcement

VM #1VM VM #1#1

VM #4VM VM #4#4

VM #3VM VM #3#3

VM #2VM VM #2#2

VM #1VM VM #1#1

VM #4VM VM #4#4

VM #3VM VM #3#3

VM #2VM VM #2#2

VM #1VM VM #1#1

VM #4VM VM #4#4

VM #3VM VM #3#3

VM #2VM VM #2#2

Live migration時の一

貫したポートプロファイルの適用

アクセスリスト、PVLAN、L2セキュリティ

仮想化サーバのセキュリティ Live Migration


Customer for Service

A

Customer for Service

B

データセンターの地理的な制限を越えるLive MigrationとOverlay Transport Virtualization（OTV)

IP NetworkFC FC

VM VM VM VM

VM VM VM

VM

VM VM

Internet

GSS GSS

Rawvolumefor RDM

FC FC

VM

VM VM VM

VM VM

MDS(VirtualSAN

&FCIP SAN Extension)

データレプリケーションツール

VMWareSite Recovery

Manager

ACE(Virtual SLB)

Virtual FW

MDS(VirtualSAN

&FCIP SAN Extension)

VMFSvolume

ACE(Virtual SLB)

Virtual FW

XX

バックアップ拠点

Back-End

プライマリ拠点

Rawvolumefor RDM

VMFSvolume

Virtual Switch Policy

Migration

ストレージデータ転送機能（同期・非同期）

VM Live MigrationL2NW (OTV)


Overlay Transport Virtualization (OTV)

DC間のイーサネットトラフィックをIPでカプセル化 “MAC in IP”

MACルーティングテーブルによる動的なカプセル化

Pseudo-Wire-スタティックトンネルが不要

MAC1 (site 1)とMAC2 (site 2)での通信Server 1MAC 1

Server 1MAC 1

Server 2MAC 2

Server 2MAC 2

OTV OTVMAC IF

MAC1 Eth1

MAC2 IP B

MAC3 IP BIP A IP B

Encap DecapMAC1 MAC2 IP A IP B MAC1 MAC2 MAC1 MAC2


共有プラットフォームにおけるノード間の暗号化

Source: Ken Hook

Encrypt

on egress interface

DecryptDecrypt

on ingress Interface

Encrypt

Packets in the clear inside the system

802.1AE Encrypted 802.1AE Encrypted802.1AE Encrypted

TrustSec L2 frame with Cisco Meta Data (CMD)IEEE Standards-based LinkSec (802.1ae) 暗号にCMDを追加

DA SA 802.1AE Header (16 Octets)

1Q(0-1)

CMD with SGT(8 Octets)

ETH-TYPE PAYLOAD ICV

(16 Octets) CRC

Encrypted

Authenticated

Encryptionoffset

802.1AE + TrustSec overhead

ノード間での L2 暗号

暗号化 + パケットがワイヤにのる直前にヘッダを付加

復号化 + ネクストホップで最初にヘッダーの除去

上位レイヤは L2 ヘッダー/暗号化に無関係 – Truly Bump-in-the-wire

L2 ヘッダーIP MTU/フラグメントへのインパクト無し


アクセスコントロールの拡張

Individuals ResourcesPermissions

Server 1

Server 2

Server 3

Security GroupsSource

Partners

Employee

Contractor

Guest/Unknown

Non-Europe Employee

Security GroupsDestination

Internet

Confidential

Special Projects

Print/Copy

Authz Rules

Authz RulesIndividuals Resources

Authz Rules

Authz RulesAccess Rules

Access Rules

トポロジーに依存しないユーザ / デバイス単位のアクセスコントロール（SGACL）

スケーラビリティ：ingress タギング（SGT） / egress フィルタリング

中央集中のポリシー管理 / ポリシー強制ポイントの分散

802.1x認証、MAB、Web Authによるエンドポイントのアドミッション（Cisco IBNS compatibility）

エンタープライズプライベートクラウドのエンドポイントセキュリティを実現

従来のアクセスコントロールアクセスコントロールのスケーラビリティ


Trusted Network

ExternalDirectory Server

TrustSec EnabledNetwork

TrustSec-NAD-A

SupplicantDevice

Cisco ACS 5.0

TrustSec-NAD-B

TrustSec-NAD-C

Role Determination

EAPOL (EAP-FAST)

AuthenticatorDevice

RADIUSEAP-FAST Tunnel

Device Authentication

EAP-FAST Tunnel Tear Down

PolicyPolicy Acquisition

Key EstablishmentOn-Going Key Refresh

New Device

SAP


Global Security Intelligence Center

脆弱性のアセスメント

最新のセキュリティ情報を常時データセンタに反映Email, Web セキュリティ（IronPort、SensorBase)配置済み FW/IPS への自動的なポリシーの適用Threat Operations Center

CiscoのSaaS型セキュリティへの取り組み

Cisco SensorBase


まとめ

クラウド環境に最適なインフラの構築

Unified I/Oによる消費電力、コスト、運用負荷の軽減

クラウドでの新たなセキュリティ課題

クラウドセキュリティの現状

従来のセキュリティ対策と仮想化環境でのセキュリティ

Ciscoの提供するネットワーク技術とセキュリティ対策

クラウドの種別毎による対策

ネットワークでのセキュリティ対策、SaaS型セキュリティ


ご静聴ありがとうございましたご静聴ありがとうございました!!

E-mail:[email protected]

cisco secure cloud computing infrastructurecisco secure cloud computing infrastructure 2009/12...

Documents