![Page 1: Защита центров обработки данных. Механизмы безопасности для классической фабрики и фабрики ориентированной](https://reader031.vdocuments.mx/reader031/viewer/2022020213/58a8b5dc1a28abbd6b8b589b/html5/thumbnails/1.jpg)
Защита центров обработки данных. Механизмы безопасности для классической фабрики и фабрики ориентированной на приложения ACI – До, Во Время и После
Руслан Иванов [email protected] Станислав Рыпалов [email protected]
23.11.15 © 2015 Cisco and/or its affiliates. All rights reserved.
![Page 2: Защита центров обработки данных. Механизмы безопасности для классической фабрики и фабрики ориентированной](https://reader031.vdocuments.mx/reader031/viewer/2022020213/58a8b5dc1a28abbd6b8b589b/html5/thumbnails/2.jpg)
Защита центров обработки данных. Механизмы безопасности для классической фабрики и фабрики ориентированной на приложения ACI – До, Во Время и После
23.11.15 © 2015 Cisco and/or its affiliates. All rights reserved. 2
![Page 3: Защита центров обработки данных. Механизмы безопасности для классической фабрики и фабрики ориентированной](https://reader031.vdocuments.mx/reader031/viewer/2022020213/58a8b5dc1a28abbd6b8b589b/html5/thumbnails/3.jpg)
Безопасность и виртуализация в ЦОД Безопасность ЦОД приоритеты, проблемы
Встроенные механизмы защиты
Устройства безопасности в ЦОД
Мониторинг и реагирование
Заключение
3
![Page 4: Защита центров обработки данных. Механизмы безопасности для классической фабрики и фабрики ориентированной](https://reader031.vdocuments.mx/reader031/viewer/2022020213/58a8b5dc1a28abbd6b8b589b/html5/thumbnails/4.jpg)
Архитектурные вызовы в современном ЦОД
Развивающиеся угрозы
Новые приложения (Физические,
виртуализированные и облачные)
Новые тренды распределения
трафика в сети ЦОД
Source: Cisco Global Cloud Index, 2012
![Page 5: Защита центров обработки данных. Механизмы безопасности для классической фабрики и фабрики ориентированной](https://reader031.vdocuments.mx/reader031/viewer/2022020213/58a8b5dc1a28abbd6b8b589b/html5/thumbnails/5.jpg)
Просто, Эффективно и Доступно
Сегментация • Определение границ: сеть, вычислительный ресурс, вируальная сеть • Применение политик по функциям - устройство, организация, соответствие • Контроль и предотвращение НСД к сети, ресурсам, приложениям
Защита от
угроз
• Блокирование внешних и внутренних атак и остановки сервисов • Патрулирование границ зон безопасности • Контроль доступа и использования информации для предотвращения ее потери
Видимость • Обеспечение прозрачности использования • Применение бизнес-контекста к сетевой активности • Упрощение операций и отчетности
Север-Юг
Восток-Запад
Защита, Обнаружение, Контроль
5
![Page 6: Защита центров обработки данных. Механизмы безопасности для классической фабрики и фабрики ориентированной](https://reader031.vdocuments.mx/reader031/viewer/2022020213/58a8b5dc1a28abbd6b8b589b/html5/thumbnails/6.jpg)
Какая архитектура для обеспечения безопасности ЦОД является правильной?
Ориентация на виртуализацию
Отсутствие поддержки физических
сред
Ограниченная видимость
Сложность управления (2 сети вместо одной!)
Ориентация на приложения
Любая нагрузка в любом месте
Полная видимость Автоматизация
Ориентация на периметр
Сложно и много ручных
процессов
Ошибки конфигурации
Статическая топология
Ограничения применения
![Page 7: Защита центров обработки данных. Механизмы безопасности для классической фабрики и фабрики ориентированной](https://reader031.vdocuments.mx/reader031/viewer/2022020213/58a8b5dc1a28abbd6b8b589b/html5/thumbnails/7.jpg)
Модель безопасности ЦОД ориентированная на угрозы
Л а н д ш а ф т у г р о з
DURING Detect Block
Defend
AFTER Scope
Contain Remediate
ДО Контроль
Применение Усиление
ПОСЛЕ Видимость Сдерживание Устранение
Обнаружение Блокировка Защита
ВО ВРЕМЯ
Сеть Облако Мобильные устройства
Виртуальные машины
Оконечные устройства
![Page 8: Защита центров обработки данных. Механизмы безопасности для классической фабрики и фабрики ориентированной](https://reader031.vdocuments.mx/reader031/viewer/2022020213/58a8b5dc1a28abbd6b8b589b/html5/thumbnails/8.jpg)
Сегментация средствами сети ЦОД
23.11.15 © 2014 Cisco and/or its affiliates. All rights reserved. 8
Контроль Применение Усиление
ДО
![Page 9: Защита центров обработки данных. Механизмы безопасности для классической фабрики и фабрики ориентированной](https://reader031.vdocuments.mx/reader031/viewer/2022020213/58a8b5dc1a28abbd6b8b589b/html5/thumbnails/9.jpg)
Классическая фабрика
Hypervisor Hypervisor Hypervisor Hypervisor
VRF Blue VRF Purple
Firewall Firewall Nexus 7000
Nexus 5500
Nexus 1000V Nexus 1000V
Традиционные механизмы для изоляции и сегментации на физических коммутаторах и виртуальных Зонирование для применения политик Разделение физической инфраструктуры на зоны
§ Разделение L2/L3 путей при помощи VDC/VLAN/…
§ VRF – разделение таблиц маршрутизации
§ Фильтрация север-юг, запада –восток МСЭ или списками доступа
9
![Page 10: Защита центров обработки данных. Механизмы безопасности для классической фабрики и фабрики ориентированной](https://reader031.vdocuments.mx/reader031/viewer/2022020213/58a8b5dc1a28abbd6b8b589b/html5/thumbnails/10.jpg)
Управление политиками в виртуальной сети
Nexus 1000V § Операционная модель на базе портовых профилей Port Profiles § Поддержка политик безопасности с изоляцией и сегментацией при помощи VLAN, Private VLAN, Port-based Access Lists, TrustSec и Cisco Integrated Security функций § Обеспечение прозрачности потоков от виртуальных машин функциями ERSPAN и NetFlow
Виртуальный коммутатор: Nexus 1000V
Network Team
Server Team
Управление и мониторинг
Роли и ответственность
Изоляция и сегментация
Security Team
Nexus 1000V
10
![Page 11: Защита центров обработки данных. Механизмы безопасности для классической фабрики и фабрики ориентированной](https://reader031.vdocuments.mx/reader031/viewer/2022020213/58a8b5dc1a28abbd6b8b589b/html5/thumbnails/11.jpg)
Профиль порта
Nexus 1000V поддерживает: ü ACLs ü Quality of Service (QoS) ü PVLANs ü Port channels ü SPAN ports
port-profile vm180 vmware port-group pg180 switchport mode access switchport access vlan 180 ip flow monitor ESE-flow input ip flow monitor ESE-flow output no shutdown state enabled interface Vethernet9 inherit port-profile vm180 interface Vethernet10 inherit port-profile vm180
Port Profile –> Port Group vCenter API
vMotion Policy Stickiness
Network
Security
Server
11
![Page 12: Защита центров обработки данных. Механизмы безопасности для классической фабрики и фабрики ориентированной](https://reader031.vdocuments.mx/reader031/viewer/2022020213/58a8b5dc1a28abbd6b8b589b/html5/thumbnails/12.jpg)
Сервисные цепочки при помощи vPath
vPath это компонент шины данных Nexus 1000V: • Модель вставки сервиса без привязки к топологии
• Сервисные цепочки для нескольких виртуальных сервисов
• Повышение производительности с vPath например VSG flow offload
• Эффективная и масштабируемая архитектура
• Сохранение существующей модели операций
• Мобильность политик
Cloud Network Services (CNS)
Hypervisor
Nexus 1000V vPath
12
![Page 13: Защита центров обработки данных. Механизмы безопасности для классической фабрики и фабрики ориентированной](https://reader031.vdocuments.mx/reader031/viewer/2022020213/58a8b5dc1a28abbd6b8b589b/html5/thumbnails/13.jpg)
Архитектура TrustSec
• Классификация систем/пользователей на базе контекста (роль, устройство, место, способ подключения)
• Контекст (роль) транслируется в метку Security Group Tag (SGT) • МСЭ, маршрутизаторы и коммутаторы используют метку SGT для принятия решения о фильтрации
• Классифицируем один раз – используем результат несколько раз 13
Users, Devices
Switch Router DC FW DC Switch
HR Servers
Enforcement
SGT Propagation
Fin Servers SGT = 4
SGT = 10
ISE Directory Classification
SGT:5
![Page 14: Защита центров обработки данных. Механизмы безопасности для классической фабрики и фабрики ориентированной](https://reader031.vdocuments.mx/reader031/viewer/2022020213/58a8b5dc1a28abbd6b8b589b/html5/thumbnails/14.jpg)
Назначение группы
14
Динамическая классификация Статическая классификация • IP Address
• VLANs
• Subnets
• L2 Interface
• L3 Interface
• Virtual Port Profile
• Layer 2 Port Lookup
Классификация для мобильных устройств
Классификация для серверов и на базе топологии
802.1X Authentication
MAC Auth Bypass
Web Authentication SGT
14
![Page 15: Защита центров обработки данных. Механизмы безопасности для классической фабрики и фабрики ориентированной](https://reader031.vdocuments.mx/reader031/viewer/2022020213/58a8b5dc1a28abbd6b8b589b/html5/thumbnails/15.jpg)
Механизмы распространения меток SGT
15
Wired Access
Wireless Access
DC Firewall
Enterprise Backbone
DC
Virtual Access Campus Core DC Core
DC Distribution
Physical Server
Physical Server
VM Server
PCI VM Server
DC Physical Access
SGT 20
SGT 30
IP Address SGT SRC
10.1.100.98 50 Local
SXP IP-SGT Binding Table
SXP
SGT = 50
ASIC ASIC
Optionally Encrypted
Inline SGT Tagging
SGT=50
ASIC
L2 Ethernet Frame SRC: 10.1.100.98
IP Address SGT
10.1.100.98 50 SXP
Non-SGT capable
Inline Tagging (data plane): Поддержка SGT в ASIC
SXP (control plane): Распространение между устройствами без поддержки SGT в ASIC
Tag When you can! SXP when you have
to!
![Page 16: Защита центров обработки данных. Механизмы безопасности для классической фабрики и фабрики ориентированной](https://reader031.vdocuments.mx/reader031/viewer/2022020213/58a8b5dc1a28abbd6b8b589b/html5/thumbnails/16.jpg)
Применение политик SGACL (матрица доступа)
16
permit tcp dst eq 443 permit tcp dst eq 80 permit tcp dst eq 22 permit tcp dst eq 3389 permit tcp dst eq 135 permit tcp dst eq 136 permit tcp dst eq 137 permit tcp dst eq 138 permit tcp des eq 139 deny ip
Portal_ACL
16
![Page 17: Защита центров обработки данных. Механизмы безопасности для классической фабрики и фабрики ориентированной](https://reader031.vdocuments.mx/reader031/viewer/2022020213/58a8b5dc1a28abbd6b8b589b/html5/thumbnails/17.jpg)
Сегментация средствами ACI
23.11.15 © 2014 Cisco and/or its affiliates. All rights reserved. 17
Контроль Применение Усиление
ДО
![Page 18: Защита центров обработки данных. Механизмы безопасности для классической фабрики и фабрики ориентированной](https://reader031.vdocuments.mx/reader031/viewer/2022020213/58a8b5dc1a28abbd6b8b589b/html5/thumbnails/18.jpg)
Что представляет собой ACI?
ACI фабрика
Неблокируемая фабрика на базе оверлеев
App DB Web
Внешняя сеть передачи данных
(Tenant VRF)
QoS
Filter
QoS
Service
QoS
Filter
Application Policy Infrastructure
Controller
APIC
1. Профиль приложения
2. Кластер контроллеров
3. Cеть на базе Nexus 9000
![Page 19: Защита центров обработки данных. Механизмы безопасности для классической фабрики и фабрики ориентированной](https://reader031.vdocuments.mx/reader031/viewer/2022020213/58a8b5dc1a28abbd6b8b589b/html5/thumbnails/19.jpg)
Tenant: Логический контейнер для размещения политик приложений.Этот контейнер может быть выделен отдельному арендатору, организации или приложению.
Application Profile: профиль приложения моделирует требования приложения к сети и включает в себя необходимое количество EPG.
Bridge Domain: Логическая конструкция представляющая L2-сегмент передачи данных внутри фабрики. Один или несколько EPG могут быть ассоциированы с одним BD.
Объектная модель используемая в ACI Tenant A
ANP 3-tier App ANP Storage
Bridge D
omain B
D_1
Bridge D
omain B
D_2
Контракт
Контракт
Контракт
EPG NetApp_LIF
EPG VM-NIC
EPG База данных
EPG Сервер приложений
EPG Web-сервер
![Page 20: Защита центров обработки данных. Механизмы безопасности для классической фабрики и фабрики ориентированной](https://reader031.vdocuments.mx/reader031/viewer/2022020213/58a8b5dc1a28abbd6b8b589b/html5/thumbnails/20.jpg)
End Point Group (EPG): EPG это набор физических или виртуальных объектов, для которых должны быть обеспечены одинаковые политики и сервисы при подключении к сети. Например набор виртуальных машин или интерфейсов СХД.
Контракты: регламентирует правила передачи данных между EPG при помощи механизмов фильтрации, обеспечения качества обслуживания и перенаправления трафика на внешние сервисные устройства, такие как МСЭ и т.д.
Объектная модель используемая в ACI Tenant A
ANP 3-tier App ANP Storage
Bridge D
omain B
D_1
Bridge D
omain B
D_2
Контракт
Контракт
Контракт
EPG NetApp_LIF
EPG VM-NIC
EPG База данных
EPG Сервер приложений
EPG Web-сервер
![Page 21: Защита центров обработки данных. Механизмы безопасности для классической фабрики и фабрики ориентированной](https://reader031.vdocuments.mx/reader031/viewer/2022020213/58a8b5dc1a28abbd6b8b589b/html5/thumbnails/21.jpg)
Взаимодействие внутри ACI
“Users” “Files”
ACI Fabric
Определение Endpoint Groups
Любой хост внутри в любом месте фабрики виртуальный
или физический
Применение входящих политик
Применение политик на всех портах:
security in depth, embedded QoS
Точка оркестрации
Разделение административных ролей с использованием общего интерфейса и объектов
Application Policy Infrastructure Controller
(APIC) Создание контракта между Endpoint Groups
Правила: drop, prioritize, push to service chain; reusable templates
Service Graph
Сервисное устройство Администратор безопасности определяет шаблоны политик, которые далее используются при создании контракта
All TCP/UDP: Accept, Redirect UDP/16384-32767: Prioritize
All Other: Drop
Policy Contract “Users → Files”
21
![Page 22: Защита центров обработки данных. Механизмы безопасности для классической фабрики и фабрики ориентированной](https://reader031.vdocuments.mx/reader031/viewer/2022020213/58a8b5dc1a28abbd6b8b589b/html5/thumbnails/22.jpg)
Интеграция гипервизоров и ACI EPG классификация при помощи атрибутов VM
• End Point Group (EPG) могут использовать несколько методов для классификации
• VM Port Group – это самый простой механизм классификации ВМ
• Атрибуты ВМ так же могут использоваться для классификации EPG
• Используется ACI релиз 11.1 с AVS (первоначальная доступность)
• Поддержка коммутаторов в гипервизорах VMware vDS, Microsoft vSwitch, OVS (планируется)
Атрибуты ВМ Guest OS
VM Name
VM (id)
VNIC (id)
Hypervisor
DVS port-group
DVS
Datacenter
Custom Attribute
MAC Address
IP Address
vCenter VM
Attributes
VM Traffic
Attributes
![Page 23: Защита центров обработки данных. Механизмы безопасности для классической фабрики и фабрики ориентированной](https://reader031.vdocuments.mx/reader031/viewer/2022020213/58a8b5dc1a28abbd6b8b589b/html5/thumbnails/23.jpg)
Интеграция ACI и TrustSec
SGT ß EPG
ACI-Enabled DC SGTàEPG TrustSec-Enabled
Network
Consistent Policy
• Cisco планирует интегрировать TrustSec и ACI дав возможность заказчикам создать интегрированную систему безопасности, которая предоставляет возможность воспользоваться контекстом TrustSec, сформулированном в территориально распределенной сети, при определении сетевой политики приложения, размещаемого в фабрике ACI ЦОД
• Возможность создать связанную политику безопасности на предприятии с одновременным использованием роли пользователя и контекста приложения
• Подход на основе групповых политик упростит дизайн, операции по поддержке и комплекс организационных мероприятий по соответствию нормативным требованиям
![Page 24: Защита центров обработки данных. Механизмы безопасности для классической фабрики и фабрики ориентированной](https://reader031.vdocuments.mx/reader031/viewer/2022020213/58a8b5dc1a28abbd6b8b589b/html5/thumbnails/24.jpg)
Сегментация, обнаружение и защита средствами безопасности
23.11.15 © 2014 Cisco and/or its affiliates. All rights reserved. 24
Контроль Применение Усиление
ДО Обнаружение Блокировка Защита
ВО ВРЕМЯ
![Page 25: Защита центров обработки данных. Механизмы безопасности для классической фабрики и фабрики ориентированной](https://reader031.vdocuments.mx/reader031/viewer/2022020213/58a8b5dc1a28abbd6b8b589b/html5/thumbnails/25.jpg)
МСЭ ASA и фабрика ЦОД
§ ASA и Nexus Virtual Port Channel § vPC обеспечивает распределение нагрузки по
соединениям (отсутствие заблокированных STP соед.)
§ ASA использует технологии отказоустойчивости ЦОД
§ Уникальная интеграция ASA и Nexus (LACP) § IPS модуль полагается на связность от ASA –
обеспечивает DPI § Проверенный дизайн для сегментации, защиты от
угроз и прозрачности операций (visibility) § Transparent (рекомендован) и routed режимы § Работает в режимах A/S и A/A failover
Уровень агрегации ЦОД
Active vPC Peer-link
vPC vPC
Core IP1
Core IP2
Active or Standby
N7K VPC 41 N7K VPC 40
Nexus 1000V vPath
Hypervisor Nexus 1000V
vPath
Hypervisor
Core Layer
Aggregation Layer
Access Layers
25
![Page 26: Защита центров обработки данных. Механизмы безопасности для классической фабрики и фабрики ориентированной](https://reader031.vdocuments.mx/reader031/viewer/2022020213/58a8b5dc1a28abbd6b8b589b/html5/thumbnails/26.jpg)
Aggregation Layer
L2
L3
FW HA
VPC VPC
VPC
DC Core / EDGE
VPC VPC
FHRP FHRP
SVI VLAN200 SVI VLAN200
North Zone VLAN 200
South Zone VLAN 201
Trunks
VLAN 200 Outside
VLAN 201 Inside
N7K VPC 40
N7K VPC 41
ASA channel 32
VPC PEER LINK
VPC PEER LINK
Access Layer
Подключение ASA к Nexus с vPC
§ ASA подключается к Nexus несколькими интерфейсами с использованием vPC • ASA может быть настроена на переход на резервную коробку в случае потери нескольких соединений (при использовании HA)
§ Идентификаторы vPC разные для каждого МСЭ ASA на коммутаторе Nexus (это меняется для кластера ASA и cLACP [далее…])
26
![Page 27: Защита центров обработки данных. Механизмы безопасности для классической фабрики и фабрики ориентированной](https://reader031.vdocuments.mx/reader031/viewer/2022020213/58a8b5dc1a28abbd6b8b589b/html5/thumbnails/27.jpg)
Физический сервис для виртуального
Hypervisor Hypervisor Hypervisor Hypervisor
VRF Blue VRF Purple
Firewall Firewall Nexus 7000
Nexus 5500
Nexus 1000V Nexus 1000V
§ Применяем физические устройства для изоляции и сегментации виртуальных машин
§ Используем зоны для применения политик
§ Физическая инфраструктура привязывается к зоне
§ Разделяем таблицы маршрутизации по зонам через VRF
§ Политики МСЭ на зоны привязаны к потокам север-юг, восток-запад
§ Проводим L2 и L3 пути через физические сервисы
27
![Page 28: Защита центров обработки данных. Механизмы безопасности для классической фабрики и фабрики ориентированной](https://reader031.vdocuments.mx/reader031/viewer/2022020213/58a8b5dc1a28abbd6b8b589b/html5/thumbnails/28.jpg)
МСЭ & виртуальная среда Виртуальные контексты ASA для фильтрации потоков между зонами
Firewall Virtual Context provides
inter-zone East-West security
Aggregation
Core
Hypervisor Hypervisor
Database
ASA Context 2 Transparent Mode
ASA Context 1 Transparent Mode
ASA 5585 ASA 5585
Aggregation
Core
Physical Layout
East-West Zone filtering
VLAN 21
VLAN 20
VLAN 100
VLAN 101
Context1 Context2
Front-End Apps
28
![Page 29: Защита центров обработки данных. Механизмы безопасности для классической фабрики и фабрики ориентированной](https://reader031.vdocuments.mx/reader031/viewer/2022020213/58a8b5dc1a28abbd6b8b589b/html5/thumbnails/29.jpg)
Hypervisor
Инспекция трафика между VLAN для VM ASA с Bridge Group внутри контекста
Layer 2 AdjacentSwitched Locally
Direct Communication
ASA 5585 Transparent Mode
Aggregation
Core
Layer 3 GatewayVRF or SVI
Aggregation
Core
Physical Layout
East-West VLAN filtering
VLAN 20
VLAN 100
interface vlan 21 10.10.20.1/24 interface vlan 101 10.10.101.1/24
interface TenGigabitEthernet0/6 channel-group 32 mode active vss-id 1 no nameif no security-level ! interface TenGigabitEthernet0/7 channel-group 32 mode active vss-id 2 no nameif no security-level ! interface BVI1 ip address 10.10.20.254 255.255.255.0 ! interface Port-channel32 no nameif no security-level ! interface Port-channel32.20 mac-address 3232.1111.3232 vlan 20 nameif inside bridge-group 1 security-level 100 ! interface Port-channel32.21 mac-address 3232.1a1a.3232 vlan 21 nameif outside bridge-group 1 security-level 0 …
29
VLAN 21
VLAN 101
![Page 30: Защита центров обработки данных. Механизмы безопасности для классической фабрики и фабрики ориентированной](https://reader031.vdocuments.mx/reader031/viewer/2022020213/58a8b5dc1a28abbd6b8b589b/html5/thumbnails/30.jpg)
Обзор кластера ASA § Кластеризация поддерживается на 5580, 5585 и
5500-X (5500-X кластер из 2-х устройств) § CCL – критическое место кластера, без него
кластер не работает § Среди членов кластера выбирается Master для
синхронизации настроек— не влияет на путь пакета
§ Новый термин “spanned port-channel” т.е. Распределенные/общие настройки порта среди членов кластера ASA
§ Кластер может ре-балансировать потоки § У каждого потока есть Owner и Director и
возможно Forwarder § Шина данных кластера ДОЛЖНА использовать
cLACP (Spanned Port-Channel)
Cluster Control Link
vPC
Data Plane
Aggregation
Core
ASA Cluster
vPC 40
30
![Page 31: Защита центров обработки данных. Механизмы безопасности для классической фабрики и фабрики ориентированной](https://reader031.vdocuments.mx/reader031/viewer/2022020213/58a8b5dc1a28abbd6b8b589b/html5/thumbnails/31.jpg)
Кластер МСЭ ASA Кластеризация ASA для требований ЦОД
Cluster Control link shares state and
connection information among cluster members
Aggregation
Core
Hypervisor Hypervisor
Database
ASA Cluster includes Context 1 & 2
Transparent Mode
ASA 5585 ASA 5585 ASA 5585 ASA 5585
Aggregation
Core
Physical Layout
Cluster Control Link
Cluster functionally the same in either
transparent or routed mode
Cluster members used for North-South, East-West inspection and
filtering
Context1 Context2
Owner Director
IPS relies on ASA Clustering
31
Web Apps
![Page 32: Защита центров обработки данных. Механизмы безопасности для классической фабрики и фабрики ориентированной](https://reader031.vdocuments.mx/reader031/viewer/2022020213/58a8b5dc1a28abbd6b8b589b/html5/thumbnails/32.jpg)
Внедрение ASAv : виртуальный МСЭ+VPN
32
§ Сегодня для фильтрации между зонами и тенантами применяется ASA в режиме мульти-контекст
§ Для передачи трафика используются транки § Проблема – масштабирование фильтрации Запад-Восток требует ресурсов МСЭ и масштабируемого транспортного решения Zone 1 Zone 2 Zone 3
VM 1
VM 2
VM 3
VM 4
VFW 1
VM 5
VM 6
VM 7
VM 8
VFW 2 VFW 3
§ ASAv – может быть пограничным МСЭ и может обеспечивать фильтрацию Восток-Запад
§ На каждого тенанта или зону можно развернуть одну или несколько ASAv для FW + VPN
§ Масштабируемая терминация VPN S2S и RA Vzone 1 Vzone 2
Multi Context Mode ASA
![Page 33: Защита центров обработки данных. Механизмы безопасности для классической фабрики и фабрики ориентированной](https://reader031.vdocuments.mx/reader031/viewer/2022020213/58a8b5dc1a28abbd6b8b589b/html5/thumbnails/33.jpg)
Внедрение ASAv : виртуальный МСЭ+VPN 3 режима примения политик
Routed Firewall • Маршрутизация трафика между vNIC • Поддержка таблиц ARP и маршрутов • МСЭ на границе тенанта
Transparent Firewall
• VLAN или VxLAN Bridging / Stitching • Поддержка таблицы MAC • Бесшовная интеграция в L3 дизайн
Service Tag Switching
• Инспектирование между service tags • Нет взаимодействия с сетью • Режим интеграции с фабрикой
33
![Page 34: Защита центров обработки данных. Механизмы безопасности для классической фабрики и фабрики ориентированной](https://reader031.vdocuments.mx/reader031/viewer/2022020213/58a8b5dc1a28abbd6b8b589b/html5/thumbnails/34.jpg)
Routed Firewall
§ Routed – граница сети контейнера/тенанта
§ Шлюз по умолчанию для хостов § Маршрутизация между несколькими подсетями
§ Традиционная L3 граница сети § Подключение виртуальных машин и физических
§ Сегментация с использованием интерфейсов
ASAv Routed
client
Gateway
Outside
Inside
host1
host2
Shared
DMZ
34
![Page 35: Защита центров обработки данных. Механизмы безопасности для классической фабрики и фабрики ориентированной](https://reader031.vdocuments.mx/reader031/viewer/2022020213/58a8b5dc1a28abbd6b8b589b/html5/thumbnails/35.jpg)
Transparent Firewall
• Коммутация между 4 (под-) интерфейсами
• 8 BVI на ASAv • NAT и ACL • Бесшовная интеграция для соотв. PCI
• Традиционная граница L2 между хостами
• Все сегменты в одном широковещательном домене
ASAv Transp
Gateway
client
Segment-1
Segment-3
host1
host2
Segment-2
Segment-4
35
![Page 36: Защита центров обработки данных. Механизмы безопасности для классической фабрики и фабрики ориентированной](https://reader031.vdocuments.mx/reader031/viewer/2022020213/58a8b5dc1a28abbd6b8b589b/html5/thumbnails/36.jpg)
Web-zone Fileserver-zone
Hypervisor
Nexus 7000
Nexus 5500
Nexus 1000V
VRF VLAN 50
UCS
VLAN 200 VLAN 300
Защита приложений и видимость
§ Инспекция трафика север-юг и восток-запад с ASA § Transparent или routed режимы § Эластичность сервиса
.1Q Trunk
VLAN 50
36
![Page 37: Защита центров обработки данных. Механизмы безопасности для классической фабрики и фабрики ориентированной](https://reader031.vdocuments.mx/reader031/viewer/2022020213/58a8b5dc1a28abbd6b8b589b/html5/thumbnails/37.jpg)
Web-zone Fileserver-zone
Hypervisor
Nexus 7000
Nexus 5500
Nexus 1000V
VRF VLAN 50
UCS
Защита приложений и видимость
Инспекция трафика север-юг и восток-запад с ASA Глубокая инспекция с virtual IPS – в режиме inline (коммутация между VLAN) или promiscuous port на vswitch
Сервисная цепочка – ASAv и vIPS
.1Q Trunk
External VLAN 50
Defense Center с Firesight для анализа данных
37
Inline Set
Inline Set Internal
External Internal
VLAN 200
![Page 38: Защита центров обработки данных. Механизмы безопасности для классической фабрики и фабрики ориентированной](https://reader031.vdocuments.mx/reader031/viewer/2022020213/58a8b5dc1a28abbd6b8b589b/html5/thumbnails/38.jpg)
vIPS Варианты включения: в «разрыв» или «пассивный»
Web-zone
VLAN 200
Promiscuous Port
vSwitch
Web-zone
VLAN 200
External
vSwitch vSwitch
38
Internal
![Page 39: Защита центров обработки данных. Механизмы безопасности для классической фабрики и фабрики ориентированной](https://reader031.vdocuments.mx/reader031/viewer/2022020213/58a8b5dc1a28abbd6b8b589b/html5/thumbnails/39.jpg)
Сегментация, обнаружение и защита средствами безопасности в ACI
23.11.15 © 2014 Cisco and/or its affiliates. All rights reserved. 39
Контроль Применение Усиление
ДО Обнаружение Блокировка Защита
ВО ВРЕМЯ
![Page 40: Защита центров обработки данных. Механизмы безопасности для классической фабрики и фабрики ориентированной](https://reader031.vdocuments.mx/reader031/viewer/2022020213/58a8b5dc1a28abbd6b8b589b/html5/thumbnails/40.jpg)
ASA и FirePOWER в архитектуре ACI
ASA5585 Divert to SFR NGIPSv FirePOWER ASAv30
ASAv10
FireSIGHT
![Page 41: Защита центров обработки данных. Механизмы безопасности для классической фабрики и фабрики ориентированной](https://reader031.vdocuments.mx/reader031/viewer/2022020213/58a8b5dc1a28abbd6b8b589b/html5/thumbnails/41.jpg)
Основной принцип ACI - логическая конфигурация сети, не привязанная оборудованию
ACI фабрика
Неблокируемая фабрика на базе оверлеев
App DB Web
Внешняя сеть передачи данных
(Tenant VRF) QoS
Filter
QoS
Service
QoS
Filter
Application Policy Infrastructure
Controller
APIC
Вставка сервисной цепочки
![Page 42: Защита центров обработки данных. Механизмы безопасности для классической фабрики и фабрики ориентированной](https://reader031.vdocuments.mx/reader031/viewer/2022020213/58a8b5dc1a28abbd6b8b589b/html5/thumbnails/42.jpg)
Автоматизация вставки сервисного устройства при помощи механизма «device package»
Open Device Package
Policy Engine
APIC реализует расширяемую модель политик при помощи Device Package
Configuration Model
Device Interface: REST/CLI
APIC Script Interface
Call Back Scripts
Event Engine
APIC– Policy Manager
Configuration Model (XML File)
Call Back Script
Администратор загружает файл, содержащий Device Package в APIC
Device Package содержит XML модель устройства, которое находится под управлением
Device scripts транслирует вызовы APIC API в специфичные для устройства CLI команды или API вызовы
APIC
![Page 43: Защита центров обработки данных. Механизмы безопасности для классической фабрики и фабрики ориентированной](https://reader031.vdocuments.mx/reader031/viewer/2022020213/58a8b5dc1a28abbd6b8b589b/html5/thumbnails/43.jpg)
§ Режим одного и нескольких контекстов поддерживается для релиза драйвера DP 1.2 § Оба режима используют возможность создания VLAN подинтерфейсов
§ Transparent (bump in the wire) режим для вставки “Go-Through” § Передача пакетов построена на базе MAC адресов. Таблица маршрутизации влияет на NAT и инспекцию приложений
§ Режим Flooding должен быть включен для ACI Bridge Domains
§ Routed (Layer 3 hop) режим для вставки “Go-To” § Общая таблица маршрутизации на контекст требует наличия статических маршрутов или динамической маршрутизации (DP 1.2) для подключения к EPG.
Модели интеграция ASA в фабрику ACI
![Page 44: Защита центров обработки данных. Механизмы безопасности для классической фабрики и фабрики ориентированной](https://reader031.vdocuments.mx/reader031/viewer/2022020213/58a8b5dc1a28abbd6b8b589b/html5/thumbnails/44.jpg)
§ Failover защита от выхода из строя устройства § Failover соединения имеют один общий активный IP/MAC § Пара Active/Standby настраивается и управляется APIC’ом. Оба устройства
ASA должны быть зарегистрированы на APIC. § Режим Active/Active failover не поддерживается
§ Кластер обеспечивает высокий уровень производительности в ACI § До 16 устройств ASA5585-X может быть объединено в один логический МСЭ
§ Режим интерфейса Spanned Etherchannel обеспечивает общий IP и MAC адрес
§ Настройка кластера производится в режиме out of band, но APIC может управлять им после настройки.
ASA доступность и масштабируемость
![Page 45: Защита центров обработки данных. Механизмы безопасности для классической фабрики и фабрики ориентированной](https://reader031.vdocuments.mx/reader031/viewer/2022020213/58a8b5dc1a28abbd6b8b589b/html5/thumbnails/45.jpg)
§ Routed Mode (Go-To) Tenant
§ Transparent Mode (Go-Through) Tenant
BD2 BD1
Интеграция ASA в фабрику ACI
EPGA EPGBFW
GraphB 10.0.0.0/24
External Internal
ExternalEPGA1 EPGB
GraphA10.0.0.0/24 10.0.0.1 20.0.0.1 20.0.0.0/24
External Internal
BD2 BD1
FW
Device Package 1.0 или 1.1
![Page 46: Защита центров обработки данных. Механизмы безопасности для классической фабрики и фабрики ориентированной](https://reader031.vdocuments.mx/reader031/viewer/2022020213/58a8b5dc1a28abbd6b8b589b/html5/thumbnails/46.jpg)
BD1
BD2
§ Routed Mode
§ Transparent Mode BD2 BD
1
Интеграция ASA в фабрику ACI
EPGA EPGBFWGraphB
10.0.0.0/24
TenantB
External Internal
EPGA EPGAFWGraphA
10.0.0.1 20.0.0.1
TenantA
External Internal
VRF1 VRF2
OSPF/BGP
OSPF/BGP OSPF/BGP
VRF1 VRF2
10.0.0.2 20.0.0.2
10.0.0.10 10.0.0.11100.0.0.0/24 200.0.0.0/24
201.0.0.0/24
202.0.0.0/24
203.0.0.0/24
101.0.0.0/24
102.0.0.0/24
103.0.0.0/24
200.0.0.0/24
201.0.0.0/24
202.0.0.0/24
203.0.0.0/24
100.0.0.0/24
101.0.0.0/24
102.0.0.0/24
103.0.0.0/24
ASA 1.2 Device Package
![Page 47: Защита центров обработки данных. Механизмы безопасности для классической фабрики и фабрики ориентированной](https://reader031.vdocuments.mx/reader031/viewer/2022020213/58a8b5dc1a28abbd6b8b589b/html5/thumbnails/47.jpg)
BD2 BD1
Transparent Mode Вставка FirePOWER в фабрику ACI
EPGA EPGBNGIPS
GraphA
10.0.0.0/24
TenantA
External Internal
BD1
BD2
EPGA EPGBNGIPS
GraphB
10.0.0.0/24
TenantB
External InternalVRFs VRFs
OSPF/BGP
10.0.0.10 10.0.0.11100.0.0.0/24 200.0.0.0/24
201.0.0.0/24
202.0.0.0/24
203.0.0.0/24
101.0.0.0/24
102.0.0.0/24
103.0.0.0/24
![Page 48: Защита центров обработки данных. Механизмы безопасности для классической фабрики и фабрики ориентированной](https://reader031.vdocuments.mx/reader031/viewer/2022020213/58a8b5dc1a28abbd6b8b589b/html5/thumbnails/48.jpg)
Интеграция с ACI устройств безопасности Cisco
Подключение к фабрике ACI
Подключение к фабрике ACI
Настройка политик
Мониторинг и уведомления в реальном времени
Настройка политик
Managing Service Producer Security Configurations and Visibility
События и syslog CSM
ASA Device Package
FirePOWER Device Package
Интеграция ASA Интеграция FirePOWER
![Page 49: Защита центров обработки данных. Механизмы безопасности для классической фабрики и фабрики ориентированной](https://reader031.vdocuments.mx/reader031/viewer/2022020213/58a8b5dc1a28abbd6b8b589b/html5/thumbnails/49.jpg)
Обработка сервисного графа
Для каждой функции в графе: 1. APIC выбирает логическое устройство из ранее определенных 2. APIC разрешает параметры конфигурации и готовит конфигурационный словарь 3. APIC выделяет VLAN для каждого соединения, ассоциированного с функцией 4. APIC настраивает сеть - VLAN, EPG и соответствующие фильтры 5. APIC запускает скрипт и настраивает сервисное устройство
FuncAonFirewall
FuncAonSSLoffload
FuncAonLoadBalancer
Сервисныйграф:“web-applica=on”
Firewall FuncAonSSLoffload
FuncAonLoadBalancer
ВыделениеVLAN
1 2
3
НастройкаVLAN 4
5
EPG Web EPG
App
![Page 50: Защита центров обработки данных. Механизмы безопасности для классической фабрики и фабрики ориентированной](https://reader031.vdocuments.mx/reader031/viewer/2022020213/58a8b5dc1a28abbd6b8b589b/html5/thumbnails/50.jpg)
ASA5585 c SFR в сервисном графе – Etherchannel
Po1.300 Po1.301
Vlan 100 Vlan 200
vPC4 VLAN 300 vPC4
Vlan 301
App1 DB
provider consumer class firepower_class_map sfr fail-close
SFR NGIPS policy ASA
Когда сервисный граф с сервисным устройством ASA активируется в определенном контракте (начинается рендеринг), APIC автоматически настроивает ASA интерфейсы и политики, включая redirection на модуль
FirePOWER. Поддерживаются L3 (GoTo) и L2 (GoThrough) режимы. FireSIGHT независимо управляет политиками FirePOWER.
ASA 1.2 Device Package
ASA5585+SFR
APIC
Vlan 100 App2 VM
![Page 51: Защита центров обработки данных. Механизмы безопасности для классической фабрики и фабрики ориентированной](https://reader031.vdocuments.mx/reader031/viewer/2022020213/58a8b5dc1a28abbd6b8b589b/html5/thumbnails/51.jpg)
Cервисный граф для FirePOWER - LAG
s1p1.300 s1p2.301
Vlan 100 Vlan 200
vPC4 Vlan 300 vPC4
Vlan 301
Идентификаторы VLAN ID назначаются автоматически из пула и для EPG и для портов сервисных устройств.
Настройка всех портов согласно логике (L2,L3) производится автоматически.
App DB
consumer provider
FirePOWER использует LAG (port-channel) для подключения к фабрике
для обеспечения отказоустойчивости к
одному коммутатору или паре коммутаторов с функцией vPC.
Physical
APIC использует FirePOWER Device package для
взаимодействия с FireSIGHT Management Center который
управляет NGIPS
APIC
![Page 52: Защита центров обработки данных. Механизмы безопасности для классической фабрики и фабрики ориентированной](https://reader031.vdocuments.mx/reader031/viewer/2022020213/58a8b5dc1a28abbd6b8b589b/html5/thumbnails/52.jpg)
ASAv и FirePOWERv в сервисном графе
vNIC2 vNIC3
Vlan 100 Vlan 200 App DB
provider consumer Устройства ASAv и NGIPSv разворачиваются вручную или при помощи оркестратора. vNIC
интерфейсы, помеченные как consumer и provider задействуются при
активации (рендеринге) сервисного графа.
vNIC2 vNIC3 provider consumer
Vlan 302 Vlan 303 Vlan 300 Vlan 301
APIC полностью управляет конфигурацией ASAv, при этом настройка виртуального FirePOWER устройства выполняется при помощи FireSIGHT.
APIC
![Page 53: Защита центров обработки данных. Механизмы безопасности для классической фабрики и фабрики ориентированной](https://reader031.vdocuments.mx/reader031/viewer/2022020213/58a8b5dc1a28abbd6b8b589b/html5/thumbnails/53.jpg)
Сервисная цепочка из двух устройств (пример)
“Подключаем” устройства
![Page 54: Защита центров обработки данных. Механизмы безопасности для классической фабрики и фабрики ориентированной](https://reader031.vdocuments.mx/reader031/viewer/2022020213/58a8b5dc1a28abbd6b8b589b/html5/thumbnails/54.jpg)
Сервисная цепочка из двух устройств (пример)
Создаем шаблоны настроек для ASA
![Page 55: Защита центров обработки данных. Механизмы безопасности для классической фабрики и фабрики ориентированной](https://reader031.vdocuments.mx/reader031/viewer/2022020213/58a8b5dc1a28abbd6b8b589b/html5/thumbnails/55.jpg)
Сервисная цепочка из двух устройств (пример)
Создаем шаблоны настроек для IPS
![Page 56: Защита центров обработки данных. Механизмы безопасности для классической фабрики и фабрики ориентированной](https://reader031.vdocuments.mx/reader031/viewer/2022020213/58a8b5dc1a28abbd6b8b589b/html5/thumbnails/56.jpg)
Сервисная цепочка из двух устройств (пример)
Создаем шаблон сервисной цепочки
![Page 57: Защита центров обработки данных. Механизмы безопасности для классической фабрики и фабрики ориентированной](https://reader031.vdocuments.mx/reader031/viewer/2022020213/58a8b5dc1a28abbd6b8b589b/html5/thumbnails/57.jpg)
Сервисная цепочка из двух устройств (пример)
Привязываем сервисную цепочку к контракту между EPG
![Page 58: Защита центров обработки данных. Механизмы безопасности для классической фабрики и фабрики ориентированной](https://reader031.vdocuments.mx/reader031/viewer/2022020213/58a8b5dc1a28abbd6b8b589b/html5/thumbnails/58.jpg)
Сервисная цепочка из двух устройств (пример)
“Привязываем” интерфейсы устройств
![Page 59: Защита центров обработки данных. Механизмы безопасности для классической фабрики и фабрики ориентированной](https://reader031.vdocuments.mx/reader031/viewer/2022020213/58a8b5dc1a28abbd6b8b589b/html5/thumbnails/59.jpg)
Сервисная цепочка из двух устройств (пример)
Работающая сервисная цепочка
![Page 60: Защита центров обработки данных. Механизмы безопасности для классической фабрики и фабрики ориентированной](https://reader031.vdocuments.mx/reader031/viewer/2022020213/58a8b5dc1a28abbd6b8b589b/html5/thumbnails/60.jpg)
Сервисная цепочка из двух устройств (пример)
firewall transparent hostname pierre interface Management0/0 management-only nameif mgt security-level 100 ip address 172.26.42.12 255.255.255.192 route mgt 0.0.0.0 0.0.0.0 172.26.42.1 1 http server enable http 0.0.0.0 0.0.0.0 mgt user-identity default-domain LOCAL aaa authentication telnet console LOCAL aaa authentication http console LOCAL username admin password e1z89R3cZe9Kt6Ib encrypted privilege 15
interface Port-channel1 lacp max-bundle 8 no nameif no security-level! interface TenGigabitEthernet0/6 channel-group 1 mode active no nameif no security-level!interface TenGigabitEthernet0/7 channel-group 1 mode active no nameif no security-level same-security-traffic permit inter-interface
interface BVI1 ip address 77.10.10.254 255.255.255.0!interface Port-channel1.3135 vlan 3135 nameif externalIf bridge-group 1 security-level 100!interface Port-channel1.3174 vlan 3174 nameif internalIf bridge-group 1 security-level 100 access-list access-list-inbound extended permit ip any anyaccess-list access-list-inbound extended permit tcp any any eq wwwaccess-list access-list-inbound extended permit tcp any any eq https access-group access-list-inbound in interface externalIf
Начальная настройка Подключена к APIC Часть сервисной цепочки ASA5585
![Page 61: Защита центров обработки данных. Механизмы безопасности для классической фабрики и фабрики ориентированной](https://reader031.vdocuments.mx/reader031/viewer/2022020213/58a8b5dc1a28abbd6b8b589b/html5/thumbnails/61.jpg)
Мониторинг и реагирование
23.11.15 © 2014 Cisco and/or its affiliates. All rights reserved. 61
Контроль Применение Усиление
ДО Обнаружение Блокировка Защита
ВО ВРЕМЯ Видимость Сдерживание Устранение
ПОСЛЕ
![Page 62: Защита центров обработки данных. Механизмы безопасности для классической фабрики и фабрики ориентированной](https://reader031.vdocuments.mx/reader031/viewer/2022020213/58a8b5dc1a28abbd6b8b589b/html5/thumbnails/62.jpg)
Применение NetFlow для безопасности
§ Обнаружение сложных и стойких угроз. Выявление вредоносного ПО внутри защищенного периметра. Выявление угроз нулевого дня.
§ Выявление активности каналов управления и контроля BotNet. Вредоносное ПО с внешними центрами управления может использоваться для рассылки SPAM, организации DoS атак и другой вредоносной активности.
§ Обнаружение сетевого взлома. Некоторые типы атак используют различные приемы сетевого сканирования для выбора вектора атаки, что может быть использовано для выявления угроз.
§ Обнаружение внутреннего распространения вредоносного ПО. Распространение вредоносного ПО по сети может приводить к потери конфиденциальных и защищенных данных.
§ Выявление утечки данных. Вредоносное ПО может содержать код для организации передачи данных в сторону атакующего. Такие утечки могут происходить периодически в течении небольших промежутков времени.
62
![Page 63: Защита центров обработки данных. Механизмы безопасности для классической фабрики и фабрики ориентированной](https://reader031.vdocuments.mx/reader031/viewer/2022020213/58a8b5dc1a28abbd6b8b589b/html5/thumbnails/63.jpg)
NetFlow в двух словах
Internal Network
NetFlow Data
NetFlow Collector
63
![Page 64: Защита центров обработки данных. Механизмы безопасности для классической фабрики и фабрики ориентированной](https://reader031.vdocuments.mx/reader031/viewer/2022020213/58a8b5dc1a28abbd6b8b589b/html5/thumbnails/64.jpg)
Решение Cyber Threat Defense
Data Center
Прозрачность, Контекст и Контроль
Использование NetFlow до уровня доступа
Унификация инструментов для обнаружения, расследования и
отчетности
Наполнение данных информацией идентификации,
событиями, контекстом
Кто
Что Где
Когда
Как
Cisco ISE
Cisco ISR G2 + NBAR
Cisco ASA + NSEL
Context
64
![Page 65: Защита центров обработки данных. Механизмы безопасности для классической фабрики и фабрики ориентированной](https://reader031.vdocuments.mx/reader031/viewer/2022020213/58a8b5dc1a28abbd6b8b589b/html5/thumbnails/65.jpg)
Компоненты решения Cyber Threat Defense
Cisco Network
StealthWatch FlowCollector
StealthWatch Management
Console
NetFlow
Users/Devices
Cisco ISE
NetFlow
StealthWatch FlowReplicator
Other tools/collectors
https
https
NBAR NSEL NGA
NetFlow Generating Appliance
65
![Page 66: Защита центров обработки данных. Механизмы безопасности для классической фабрики и фабрики ориентированной](https://reader031.vdocuments.mx/reader031/viewer/2022020213/58a8b5dc1a28abbd6b8b589b/html5/thumbnails/66.jpg)
Решение Cisco Обнаружение атак без сигнатур
Высокий Concern Index показывает существенное количество подозрительных событий, что является отклонением от
установленной нормы
Host Groups Host CI CI% Alarms Alerts
Desktops 10.10.101.118 338,137,280 112,712% High Concern index Ping, Ping_Scan, TCP_Scan
Мониторинг и нормирование активности для хоста внутри группы
66
![Page 67: Защита центров обработки данных. Механизмы безопасности для классической фабрики и фабрики ориентированной](https://reader031.vdocuments.mx/reader031/viewer/2022020213/58a8b5dc1a28abbd6b8b589b/html5/thumbnails/67.jpg)
Идентификация угроз и назначение атрибутов Интеграция Cisco ISE и Lancope StealthWatch
Policy Start Active Time
Alarm Source Source Host
Group
Source User Name
Target
Inside Hosts 8-Feb-2012 Suspect Data Loss 10.34.74.123 Wired Data
Bob Multiple Hosts
67
![Page 68: Защита центров обработки данных. Механизмы безопасности для классической фабрики и фабрики ориентированной](https://reader031.vdocuments.mx/reader031/viewer/2022020213/58a8b5dc1a28abbd6b8b589b/html5/thumbnails/68.jpg)
Обнаружение распространения вредоносного ПО
NetFlow Capable
Devices
Management StealthWatch FlowCollector
StealthWatch Management
Console 3. Сбор и анализ данных NetFlow 4. Добавление контекстной
информации к данным NetFlow анализа
5. Повышение Concern index и генерация события Worm propagation
Cisco ISE
Initial Infection
Secondary Infection
1Заражение происходит по внутренней сети в соответствии с планом атакующего
2. Инфраструктура создает записи активности с использованием NetFlow
Data Center
68
![Page 69: Защита центров обработки данных. Механизмы безопасности для классической фабрики и фабрики ориентированной](https://reader031.vdocuments.mx/reader031/viewer/2022020213/58a8b5dc1a28abbd6b8b589b/html5/thumbnails/69.jpg)
Обнаружение распространения вредоносного ПО
Devices
Management StealthWatch FlowCollector
StealthWatch Management
Console 3. Сбор и анализ данных NetFlow 4. Добавление контекстной
информации к данным NetFlow анализа
5. Повышение Concern index и генерация события Worm propagation
Cisco ISE
Tertiary Infection
Initial Infection
Secondary Infection
2. Инфраструктура создает записи активности с использованием NetFlow
NetFlow Capable 1. Заражение происходит по внутренней сети в соответствии с планом атакующего
Data Center
69
![Page 70: Защита центров обработки данных. Механизмы безопасности для классической фабрики и фабрики ориентированной](https://reader031.vdocuments.mx/reader031/viewer/2022020213/58a8b5dc1a28abbd6b8b589b/html5/thumbnails/70.jpg)
Отслеживание распространения заражения
Последующие заражения
Вторичное заражение
Начальное заражение
70
![Page 71: Защита центров обработки данных. Механизмы безопасности для классической фабрики и фабрики ориентированной](https://reader031.vdocuments.mx/reader031/viewer/2022020213/58a8b5dc1a28abbd6b8b589b/html5/thumbnails/71.jpg)
Примечание про StealthWatch и NSEL
§ Поле Flow Action добавляет дополнительный контекст § Данные о состоянии NSEL используются при поведенческом анализе в StealthWatch
(concern Index points суммируются для событий Flow Denied) § NAT stitching убирает избыточные записи потоков от ASA и ASR1000 § Отсутствие данных о TCP флагах и счетчиков переданных и принятых байт снижает эффективность NSEL и позволяет использовать только для обнаружения ряда угроз (ex. SYN Flood); предлагается использовать в комбинации с дополнительными источниками NetFlow
NetFlow Secure Event Logging
71
![Page 72: Защита центров обработки данных. Механизмы безопасности для классической фабрики и фабрики ориентированной](https://reader031.vdocuments.mx/reader031/viewer/2022020213/58a8b5dc1a28abbd6b8b589b/html5/thumbnails/72.jpg)
Мониторинг и реагирование в ACI
23.11.15 © 2014 Cisco and/or its affiliates. All rights reserved. 72
Контроль Применение Усиление
ДО Обнаружение Блокировка Защита
ВО ВРЕМЯ Видимость Сдерживание Устранение
ПОСЛЕ
![Page 73: Защита центров обработки данных. Механизмы безопасности для классической фабрики и фабрики ориентированной](https://reader031.vdocuments.mx/reader031/viewer/2022020213/58a8b5dc1a28abbd6b8b589b/html5/thumbnails/73.jpg)
Visibility в ACI Механизм Atomic Counters
23.11.15 © 2015 Cisco and/or its affiliates. All rights reserved. 73
![Page 74: Защита центров обработки данных. Механизмы безопасности для классической фабрики и фабрики ориентированной](https://reader031.vdocuments.mx/reader031/viewer/2022020213/58a8b5dc1a28abbd6b8b589b/html5/thumbnails/74.jpg)
Visibility в ACI Механизм SPAN
23.11.15 © 2015 Cisco and/or its affiliates. All rights reserved. 74
![Page 75: Защита центров обработки данных. Механизмы безопасности для классической фабрики и фабрики ориентированной](https://reader031.vdocuments.mx/reader031/viewer/2022020213/58a8b5dc1a28abbd6b8b589b/html5/thumbnails/75.jpg)
Ускорение отражения угроз при помощи интеграции между ACI и FirePOWER NGIPS
Host 3
Приложение 1 (Physical)
Host 1 Host 2
Приложение 2 (Physical)
VM
VM
VM
1. FirePOWER IPS использует возможности ACI фабрики по мониторингу для обнаружения атаки на ее самой ранней фазе
Proactive Detection Mitigation Incident Response and Mission Assurance
Жизненный цикл атаки
Weaponize Execute
Deliver Control Maintain
Exploit
Recon
APIC FireSIGHT
2. Механизм «continuous analytics» компоненты FireSIGHT Manager обеспечивает обнаружение атаки
3. FireSIGHT использует APIC API для программирования политики с целью блокировки атаки (FireSIGHT System Remediation API), а так же задействует механизм карантина для нежелательного трафика
4. FirePOWER IPS непрерывно собирает информацию о событиях с ACI Фабрики, чтобы обнаружить новые угрозы
![Page 76: Защита центров обработки данных. Механизмы безопасности для классической фабрики и фабрики ориентированной](https://reader031.vdocuments.mx/reader031/viewer/2022020213/58a8b5dc1a28abbd6b8b589b/html5/thumbnails/76.jpg)
Заключение
23.11.15 © 2015 Cisco and/or its affiliates. All rights reserved. 76
![Page 77: Защита центров обработки данных. Механизмы безопасности для классической фабрики и фабрики ориентированной](https://reader031.vdocuments.mx/reader031/viewer/2022020213/58a8b5dc1a28abbd6b8b589b/html5/thumbnails/77.jpg)
С чего начать? Cisco SAFE!
Сеть L2/L3
Управление доступом + TrustSec
к комплексу зданий
Зона общих сервисов
Система предотвра-щения вторжений нового поколения
Зона сервера приложений
Зона соответствия
стандартам PCI
Зона базы данных
Анализ потока
Безопасность хоста
Баланси-ровщик нагрузки
Анализ потока
МСЭ
Антивре-доносное ПО
Анали-тика угроз
Управление доступом + TrustSec
Система предотвра-щения вторжений нового поколения
Межсетевой экран нового поколения Маршрутизатор
Сеть L2/L3 МСЭ VPN
Коммута-тор
МСЭ веб-приложений
Централизованное управление
Политики/ Конфигурация
Мониторинг/ контекст
Анализ/ корреляция
Аналитика
Регистрация в журнале/ отчетность
Аналитика угроз
Управление уязвимостями
Мониторинг
к периметру
Виртуализированные функции
WAN
![Page 78: Защита центров обработки данных. Механизмы безопасности для классической фабрики и фабрики ориентированной](https://reader031.vdocuments.mx/reader031/viewer/2022020213/58a8b5dc1a28abbd6b8b589b/html5/thumbnails/78.jpg)
Как внедрить?
23.11.15 © 2015 Cisco and/or its affiliates. All rights reserved. 78
Возможности создания общей картины
Руководство по архитектуре
Дизайны CVD
Руководство «Обзор Safe»
Руководство по архитектуре для защищенного ЦОД
Как развертывать кластер ASA
Краткое руководство по созданию защищенного ЦОД
Создание кластера ASA с сервисами FirePOWER УТВЕРЖДЕНО
![Page 79: Защита центров обработки данных. Механизмы безопасности для классической фабрики и фабрики ориентированной](https://reader031.vdocuments.mx/reader031/viewer/2022020213/58a8b5dc1a28abbd6b8b589b/html5/thumbnails/79.jpg)
CiscoRu Cisco CiscoRussia
Ждем ваших сообщений с хештегом #CiscoConnectRu
CiscoRu © 2015 Cisco and/or its affiliates. All rights reserved.
![Page 80: Защита центров обработки данных. Механизмы безопасности для классической фабрики и фабрики ориентированной](https://reader031.vdocuments.mx/reader031/viewer/2022020213/58a8b5dc1a28abbd6b8b589b/html5/thumbnails/80.jpg)