![Page 1: Cisco Connect Almaty 2014 - Security Solutions for Data Centers (russian)](https://reader033.vdocuments.mx/reader033/viewer/2022052602/55caafd8bb61eb68228b45e2/html5/thumbnails/1.jpg)
Андрей Ключка Системный инженер Cisco CCIE #30274 (Security)
Безопасность Центров Обработки Данных
![Page 2: Cisco Connect Almaty 2014 - Security Solutions for Data Centers (russian)](https://reader033.vdocuments.mx/reader033/viewer/2022052602/55caafd8bb61eb68228b45e2/html5/thumbnails/2.jpg)
Безопасность ЦОД
Угрозы, тренды, приоритеты
Архитектура защищенного ЦОД
Безопасность виртуальных контейнеров
Идентификация и применение политик на базе меток SGT
Поиск угроз и корреляция
Заключение
![Page 3: Cisco Connect Almaty 2014 - Security Solutions for Data Centers (russian)](https://reader033.vdocuments.mx/reader033/viewer/2022052602/55caafd8bb61eb68228b45e2/html5/thumbnails/3.jpg)
Основные приоритеты обеспечения безопасности ЦОД
Сегментация • Установление границ: сеть, вычисления, виртуальные ресурсы • Реализация политики по функциям, устройствам, организациям • Контроль доступа к сетям, ресурсам, приложениям
Защита от угроз • Блокировка внутренних и внешних атак • Контроль границ зоны и периметра • Контроль доступа к информации, ее использования и утечки
Мониторинг
• Обеспечение прозрачности использования • Применение бизнес-‐контекста к работе сети • Упрощение отчетности по операциям и соответствию
нормативным требованиям
Технологии обеспечения безопасности ДОЛЖНЫ изначально интегрироваться с
технологиями и сервисами ЦОД для поддержки целостности сетевой
коммутационной структуры ЦОД и безопасного предоставления информации и
доступа к ней. Без наложений — безопасность должна быть максимально естественной и всеобъемлющей.
Без перерабо
ток — проект сети должен оставаться оптимальным и неизменным.
Без упр
ощения сети ЦОД!
Бе
з дополнительной потери пакетов
Без компромиссов — ЦОД имеет очень важное значение!
![Page 4: Cisco Connect Almaty 2014 - Security Solutions for Data Centers (russian)](https://reader033.vdocuments.mx/reader033/viewer/2022052602/55caafd8bb61eb68228b45e2/html5/thumbnails/4.jpg)
«59% организаций не хватает лабораторных ресурсов или сред тестирования для подтверждения спецификаций поставщиков».
— Институт SANS
«В организациях явно недостаточно четко определенных стандартов, процедур и ресурсов для определения отказоустойчивости критически
важных сетевых устройств и систем.... Необходима методичная проверка отказоустойчивости с использованием комбинации реального трафика,
высокой нагрузки и атак, угрожающих безопасности сети». —SANS и TOGAG
Утвержденные дизайны Cisco дают результаты ЦОД / Утвержденные дизайны защищенного ЦОД Cisco — www.cisco.com/go/vmdc
![Page 5: Cisco Connect Almaty 2014 - Security Solutions for Data Centers (russian)](https://reader033.vdocuments.mx/reader033/viewer/2022052602/55caafd8bb61eb68228b45e2/html5/thumbnails/5.jpg)
Межсетевые экраны в ЦОД
![Page 6: Cisco Connect Almaty 2014 - Security Solutions for Data Centers (russian)](https://reader033.vdocuments.mx/reader033/viewer/2022052602/55caafd8bb61eb68228b45e2/html5/thumbnails/6.jpg)
Физические МСЭ
• 2 слота (2 RU): FW, FW+IPS or FW+NGFW • Топовые 5585 обеспечивают 4 10GE порта(SFP+) • I/O карта или дополнительный IPS module добавляют 4 10GE порта • Производительность 20 Гбит/с (multiprotocol) на МСЭ • 10M соединенний на МСЭ • Результаты тестирования BreakingPoint:
http://blogs.ixiacom.com/ixia-blog/cisco-asa-live-validation-with-breakingpoint-firestorm-ctm/
• Отчет Miercom : http://www.miercom.com/2011/06/cisco-asa-5585-x-vs-juniper-srx3600/
![Page 7: Cisco Connect Almaty 2014 - Security Solutions for Data Centers (russian)](https://reader033.vdocuments.mx/reader033/viewer/2022052602/55caafd8bb61eb68228b45e2/html5/thumbnails/7.jpg)
ASA Firewall и фабрика ЦОД
ASA и Nexus Virtual Port Channel § vPC обеспечивает равномерную загрузку активных
линков (отсутствие заблоированных STP линков) § ASA использует технологии отказоустойчивости в
ЦОД § Уникальная интеграция ASA и Nexus (LACP)
IPS модуль использует связность ASA – обеспечивает DPI Проверенный дизайн для сегментации, защиты от угроз и прозрачности операций Работает в режимах A/S и A/A
Уровень агрегации в ЦОД
Active vPC Peer-link
vPC vPC
Core IP1
Core IP2
Active or Standby
N7K VPC 41 N7K VPC 40
Nexus 1000V vPath
Hypervisor Nexus 1000V
vPath
Hypervisor
Core Layer
Aggregation Layer
Access Layers
![Page 8: Cisco Connect Almaty 2014 - Security Solutions for Data Centers (russian)](https://reader033.vdocuments.mx/reader033/viewer/2022052602/55caafd8bb61eb68228b45e2/html5/thumbnails/8.jpg)
Внедрение ASA Firewall
Варианты применения
Layer 2!
ASA 5585
Nexus 1000V vPath
Hypervisor
Layer 3!
ASA 5585
Nexus 1000V vPath
Hypervisor Nexus 1000V
vPath
Hypervisor
Clustering!
ASA 5585
Aggregation
Core
![Page 9: Cisco Connect Almaty 2014 - Security Solutions for Data Centers (russian)](https://reader033.vdocuments.mx/reader033/viewer/2022052602/55caafd8bb61eb68228b45e2/html5/thumbnails/9.jpg)
МСЭ & виртуальная среда
ASA инспектирует трафик между VLAN
Layer 2 Adjacent!Switched Locally!
Direct Communication!
ASA 5585 Transparent Mode
Aggregation
Core
Hypervisor
Layer 3 Gateway!VRF or SVI !
Inter-VLAN VM Inspection!
Aggregation
Core
Physical Layout!
East-West VLAN filtering!
![Page 10: Cisco Connect Almaty 2014 - Security Solutions for Data Centers (russian)](https://reader033.vdocuments.mx/reader033/viewer/2022052602/55caafd8bb61eb68228b45e2/html5/thumbnails/10.jpg)
Кластер ASA
С версии ASA 9.0: • До 8 ASA в кластере • обновление ПО без остановки сервиса • Управление потоками трафика для обеспечения
инспекции • Отсутствие единой точки отказа • Синхронизация состояний внутри кластера для
аутентификации и высокой доступности • Централизованное управление и мониторинг • Можно начинать с двух МСЭ
Производительность 100+ Гбит/c
2 x
10G
bE D
ata
Traf
fic P
ort C
hann
el
Cluster C
ontrol Link
ASA 9.1.4: • Inter DC Clustering
![Page 11: Cisco Connect Almaty 2014 - Security Solutions for Data Centers (russian)](https://reader033.vdocuments.mx/reader033/viewer/2022052602/55caafd8bb61eb68228b45e2/html5/thumbnails/11.jpg)
Кластер ASA ASA кластер удовлетворяет требования ЦОД
Cluster Control линк обеспечивает обмен информацией внутри
кластера
Aggregation
Core
Hypervisor Hypervisor
Database
Кластер ASA включает Context 1 & 2 в
Transparent режиме
ASA 5585 ASA 5585 ASA 5585 ASA 5585
Aggregation
Core
Физическая схема
Cluster Control Link
Поддерживается transparent, routed, mixed mode
Кластер используется как для North-South так и для
East-West инспекции и фильтрации
Context1 Context2
Проверенный дизайн для FabricPath
Owner! Director!
IPS использует кластер ASA
![Page 12: Cisco Connect Almaty 2014 - Security Solutions for Data Centers (russian)](https://reader033.vdocuments.mx/reader033/viewer/2022052602/55caafd8bb61eb68228b45e2/html5/thumbnails/12.jpg)
ASA для Catalyst 6500
Показатель Значение
Производительность шасси 64 Гбит/сек
Производительность модуля 16 Гбит/сек
Одновременных сессий 10M
Новых соединений в секунду 350K
Контекстов безопасности 250
VLANs 1K
![Page 13: Cisco Connect Almaty 2014 - Security Solutions for Data Centers (russian)](https://reader033.vdocuments.mx/reader033/viewer/2022052602/55caafd8bb61eb68228b45e2/html5/thumbnails/13.jpg)
Высокий уровень масштабируемости • Выход за рамки традиционных
решений
• Наращивание мощностей в соответствии с ведущими отраслевыми системными возможностями
– 64 Гбит/с
– 1 000 виртуальных контекстов
– 4 000 сетей VLAN
• Поддержка решений для ЦОД, например развертываний частных облачных инфраструктур
![Page 14: Cisco Connect Almaty 2014 - Security Solutions for Data Centers (russian)](https://reader033.vdocuments.mx/reader033/viewer/2022052602/55caafd8bb61eb68228b45e2/html5/thumbnails/14.jpg)
Nexus 7000 VDC
![Page 15: Cisco Connect Almaty 2014 - Security Solutions for Data Centers (russian)](https://reader033.vdocuments.mx/reader033/viewer/2022052602/55caafd8bb61eb68228b45e2/html5/thumbnails/15.jpg)
Создание эффективной коммутационной структуры ЦОД с возможностью масштабирования Масштабирование сетевой коммутационной структуры — виртуальный контекст (Virtual Device Context, VDC)
Nexus 7000 VDC — виртуальный контекст (до 8 VDC плюс 1 VDC управления — SUP2E с NXOS 6.04/6.1) § Гибкое разделение и распределение аппаратных ресурсов и программных компонентов § Полное разделение уровня данных и уровня управления § Полная локализация программных сбоев § Безопасно определенные административные контексты § Каждый физический интерфейс может быть активен только в одном виртуальном контексте (VDC)
Протоколы 2-‐го уровня Протоколы 3-‐го уровня VLAN PVLAN
OSPF BGP EIGRP
GLBP HSRP IGMP
UDLD CDP
802.1X STP LACP PIM CTS SNMP
… …
VDC 1
Протоколы 3-‐го уровня OSPF BGP EIGRP
GLBP HSRP IGMP
PIM SNMP …
VDC 2 Протоколы 2-‐го уровня VLAN PVLAN
UDLD CDP
802.1X STP LACP CTS
…
Виртуальные контексты (VDC)
![Page 16: Cisco Connect Almaty 2014 - Security Solutions for Data Centers (russian)](https://reader033.vdocuments.mx/reader033/viewer/2022052602/55caafd8bb61eb68228b45e2/html5/thumbnails/16.jpg)
Доступ
Ядро Ядро
Агрегация
Агрегация
Ядро
Агрегация
Использование VDC для вертикальной консолидации
• Возможность консолидации уровней ядра и агрегации при одновременном сохранении иерархии сети
• Без сокращения количества портов или каналов, но с уменьшением числа физических коммутаторов ‒ Медные кабели Twinax (CX-1) являются недорогим вариантом осуществления межсоединений 10G
Один из самых распространенных способов использования VDC
![Page 17: Cisco Connect Almaty 2014 - Security Solutions for Data Centers (russian)](https://reader033.vdocuments.mx/reader033/viewer/2022052602/55caafd8bb61eb68228b45e2/html5/thumbnails/17.jpg)
Использование VDC для интернет-периметра, ДМЗ, ядра сети
§ Возможность удовлетворения нескольких потребностей — VDC интернет-периметра (XL), ДМЗ и ядра сети
§ Поддержка модели обеспечения безопасности с логическим разделением
Интернет-периметр (XL)
ДМЗ
Ядро
Интернет-периметр (XL)
ДМЗ
Ядро
Интернет-периметр (XL)
ДМЗ
Ядро
Интернет
![Page 18: Cisco Connect Almaty 2014 - Security Solutions for Data Centers (russian)](https://reader033.vdocuments.mx/reader033/viewer/2022052602/55caafd8bb61eb68228b45e2/html5/thumbnails/18.jpg)
Сертификация безопасности VDC § Разделение контекстов VDC является сертифицированным отраслевым механизмом защиты от утечки информации
§ Лаборатории NSS для сред, соответствующих стандартам PCI — hJp://www.nsslabs.com
§ FIPS 140-2 hJp://csrc.nist.gov/groups/STM/cmvp/documents/140-‐1/140InProcess.pdf
§ Стандарт Common Criteria Evaluation and Validation Scheme — сертификат №10349 hJp://www.niap-‐ccevs.org/st/vid10349/
![Page 19: Cisco Connect Almaty 2014 - Security Solutions for Data Centers (russian)](https://reader033.vdocuments.mx/reader033/viewer/2022052602/55caafd8bb61eb68228b45e2/html5/thumbnails/19.jpg)
IPS и NGIPS
![Page 20: Cisco Connect Almaty 2014 - Security Solutions for Data Centers (russian)](https://reader033.vdocuments.mx/reader033/viewer/2022052602/55caafd8bb61eb68228b45e2/html5/thumbnails/20.jpg)
Устройства Cisco IPS серии 4500 • Специализированные высокоскоростные
устройства IPS
• Обработка с аппаратным ускорением Regex
• Развертывания на уровне агрегации ЦОД
• Один интерфейс Gigabit Ethernet, один интерфейс 10 Gigabit Ethernet и слот SFP
• Масштабируемость: доступен слот для будущего наращивания мощностей
• Защита АСУ ТП
![Page 21: Cisco Connect Almaty 2014 - Security Solutions for Data Centers (russian)](https://reader033.vdocuments.mx/reader033/viewer/2022052602/55caafd8bb61eb68228b45e2/html5/thumbnails/21.jpg)
Cisco IPS 4510
Производительность • Реальный средний показатель: 3 Гбит/с • Реальный диапазон показателей: 1.2-5 Гбит/с • Транзакционная передача по HTTP: 5 Гбит/с Характеристики платформы: • 2 RU (шасси) • Многоядерный ЦП корпоративного класса (8
ядер, 16 потоков) • 24 ГБ ОЗУ • Резервный источник питания • Аппаратное ускорение Regex • Открытый слот (в верхней части) для
использования в будущем Места развертывания • Средние и крупные предприятия • ЦОД кампуса • Требуется 3 Гбит/с реальной пропускной
способности IPS • Требуется резервный источник питания • Требуется специализированная система IPS
Порт AUX и консоль
Интегрированный ввод-вывод
6 GE Cu
Индикаторы состояния
Порты управления
Отсеки для жесткого диска (пустые)
Интегрированный ввод-вывод
4 слота 10 GE SFP
2 порта USB
![Page 22: Cisco Connect Almaty 2014 - Security Solutions for Data Centers (russian)](https://reader033.vdocuments.mx/reader033/viewer/2022052602/55caafd8bb61eb68228b45e2/html5/thumbnails/22.jpg)
Cisco IPS 4520
Производительность • Реальный средний показатель: 5 Гбит/с • Реальный диапазон показателей: 2.5-7.7 Гбит/с • Транзакционная передача по HTTP: 7,6 Гбит/с Характеристики платформы: • 2 RU (шасси) • Многоядерный ЦП корпоративного класса (12
ядер, 24 потоков) • 48 ГБ ОЗУ • Резервный источник питания • Аппаратное ускорение Regex (x2) • Открытый слот (в верхней части) для
использования в будущем Места развертывания • Средние и крупные предприятия • Центр обработки данных • Требуется 5 Гбит/с реальной пропускной
способности IPS • Требуется резервный источник питания • Требуется специализированная система IPS
Порт AUX и консоль
Интегрированный ввод-вывод
6 GE Cu
Индикаторы состояния
Порты управления
Отсеки для жесткого диска (пустые)
Интегрированный ввод-вывод
4 слота 10 GE SFP
2 порта USB
![Page 23: Cisco Connect Almaty 2014 - Security Solutions for Data Centers (russian)](https://reader033.vdocuments.mx/reader033/viewer/2022052602/55caafd8bb61eb68228b45e2/html5/thumbnails/23.jpg)
Sourcefire, теперь часть Cisco Знакомьтесь - Snorty
Из этого…
2001
В это…
2002
![Page 24: Cisco Connect Almaty 2014 - Security Solutions for Data Centers (russian)](https://reader033.vdocuments.mx/reader033/viewer/2022052602/55caafd8bb61eb68228b45e2/html5/thumbnails/24.jpg)
![Page 25: Cisco Connect Almaty 2014 - Security Solutions for Data Centers (russian)](https://reader033.vdocuments.mx/reader033/viewer/2022052602/55caafd8bb61eb68228b45e2/html5/thumbnails/25.jpg)
7030
8270
8260
8250
8140
8120
7120
7110
7020 7010
20 Gbps
10 Gbps
6 Gbps
4 Gbps
2 Gbps
1 Gbps
500 Mbps
250 Mbps
100 Mbps
50 Mbps
IPS Throughput
Mod
ular
Con
nect
ivity
Sta
ckab
le
8130
1.5 Gbps
40 Gbps
30 Gbps
8290
Устройства FirePOWER
7125
750 Mbps 7115
1.25 Gbps
Fixe
d C
onne
ctiv
ity
Mix
ed /
SFP
NG
IPS
/ App
Con
trol
/ N
GFW
/ A
MP
Виртуальный сенсор
Виртуальный центр защиты
![Page 26: Cisco Connect Almaty 2014 - Security Solutions for Data Centers (russian)](https://reader033.vdocuments.mx/reader033/viewer/2022052602/55caafd8bb61eb68228b45e2/html5/thumbnails/26.jpg)
Результаты тестов NSS Labs § высочайшая производительность § низкая цена за Мбит/с § энергоэффективность на Мбит/с
Источник: NSS Labs, “Network IPS 2010 Comparative Test Results,” December 2010 and “Sourcefire 3D8260 IPS Appliance Test Report,” April 2011.
Параметры
Ближайший конкурент
Производительность IPS
27.6 Gbps 11.5 Gbps
Цена / Mbps $19 $33
3D8260
Te c h n o l o g y Лидеры квадрата Gartner
![Page 27: Cisco Connect Almaty 2014 - Security Solutions for Data Centers (russian)](https://reader033.vdocuments.mx/reader033/viewer/2022052602/55caafd8bb61eb68228b45e2/html5/thumbnails/27.jpg)
Безопасность виртуализации: Сетевые сервисы
![Page 28: Cisco Connect Almaty 2014 - Security Solutions for Data Centers (russian)](https://reader033.vdocuments.mx/reader033/viewer/2022052602/55caafd8bb61eb68228b45e2/html5/thumbnails/28.jpg)
Проблемы безопасности в виртуализации
• Трафик между VM • Консолидация ресурсов создает сложную среду для выявления и устранения неисправностей
• vMotion и аналоги могут нарушать политики
• Разделение полномочий админов серверов, сети и безопасности
• Проблемы переноса политики с физических серверов на виртуальные
Hypervisor
Угроза распространяется через внутреннюю сетьI
Initial Infection
Secondary Infection
Роли и Ответсвенность
Изоляция и сегментация
Управление и мониторинг
![Page 29: Cisco Connect Almaty 2014 - Security Solutions for Data Centers (russian)](https://reader033.vdocuments.mx/reader033/viewer/2022052602/55caafd8bb61eb68228b45e2/html5/thumbnails/29.jpg)
Управление политиками виртуальной сети
Nexus 1000V § Поддерживает текущую модель работы с профилями портов
§ Обеспечивает работу политик безопасности через VLAN изоляцию и сегментацию, Private VLAN, списки доступа Port-based Access Lists, интегрированные функции безопасности
§ Обеспечивает контроль за виртуальными машинами с использованием традиционных сетевых функций таких как ERSPAN и NetFlow
Network Team
Server Team
Управление и мониторинг
Роли и ответственность
Изоляция и сегментация
Security Team
Nexus 1000V
![Page 30: Cisco Connect Almaty 2014 - Security Solutions for Data Centers (russian)](https://reader033.vdocuments.mx/reader033/viewer/2022052602/55caafd8bb61eb68228b45e2/html5/thumbnails/30.jpg)
Профили портов
port-profile vm180 vmware port-group pg180 switchport mode access switchport access vlan 180 ip flow monitor ESE-flow input ip flow monitor ESE-flow output no shutdown state enabled interface Vethernet9 inherit port-profile vm180 interface Vethernet10 inherit port-profile vm180
Port Profile –> Port Group vCenter API
Nexus 1000V поддерживает:
ü ACLs
ü Quality of Service (QoS)
ü PVLANs
ü Port channels
ü SPAN ports
![Page 31: Cisco Connect Almaty 2014 - Security Solutions for Data Centers (russian)](https://reader033.vdocuments.mx/reader033/viewer/2022052602/55caafd8bb61eb68228b45e2/html5/thumbnails/31.jpg)
VDC vApp
vApp
VDC
Nexus 1000V vPath
vSphere
Наблюдаемость: мониторим трафик между VMs с помощью физических IDS и анализатора
NetFlow Analyzer
ERSPAN DST
ID:1
ID:2 Aggregation
Zone B Zone C
Intrusion Detecqon
NetFlow SPAN
Для снятия трафика используем коммутатор Nexus 1000V с поддержкой • NetFlow v9 • ERSPAN/SPAN Используем для детектирования • атак между серверами • нецелевого использования ресурсов • нарушения политики безопасности Нужно быть готовым к большому объему трафика
![Page 32: Cisco Connect Almaty 2014 - Security Solutions for Data Centers (russian)](https://reader033.vdocuments.mx/reader033/viewer/2022052602/55caafd8bb61eb68228b45e2/html5/thumbnails/32.jpg)
Виртуальные МСЭ
• Виртуальные МСЭ – программные МСЭ оптимизированные для работы на гипервизоре
• У Cisco есть два решения: Virtual Security Gateway (VSG) и ASA1000V
• Оба требуют Nexus 1000V с “Advanced” лицензией
• Виртуальные МСЭ зависят от ресурсов CPU и памяти RAM
Apply hypervisor-based network services
Network Admin
Security Admin
Server Admin
vCenter Nexus 1KV NSC
Nexus 1000V vPath
VSG
ASA 1000V
Hypervisor
UCS
![Page 33: Cisco Connect Almaty 2014 - Security Solutions for Data Centers (russian)](https://reader033.vdocuments.mx/reader033/viewer/2022052602/55caafd8bb61eb68228b45e2/html5/thumbnails/33.jpg)
Сервисы безопасности для виртуализации
• Защищает трафик между виртуальными машинами одного заказчика
• Layer 2 МСЭ для защиты трафика east-to-west
• Списки доступа с сетевыми атрибутами и атрибутами виртуальной машины
• Фильтрация на базе первого пакета с ускорением через vPath
• Защита границы сети заказчика • Шлюз по умолчанию и Layer 3 МСЭ для защиты трафика north-to-south
• МСЭ функционал включает списки доступа, site-to-site VPN, NAT, DHCP, инспекцию, IP audit, VXLAN шлюз.
• Все пакеты проходят через Cisco ASA 1000V
Cisco® VSG Cisco ASA 1000V
Безопасность Intra-Tenant
Безопасность на границе
Nexus 1000V vPath
Hypervisor
![Page 34: Cisco Connect Almaty 2014 - Security Solutions for Data Centers (russian)](https://reader033.vdocuments.mx/reader033/viewer/2022052602/55caafd8bb61eb68228b45e2/html5/thumbnails/34.jpg)
Архитектура многоуровневых приложений
По-уровневое внедрение • Архитектура многоуровневых приложений • Требования по внедрению • Может состоять из
• Web (presentation) уровня • Уровень приложений • Уровень БД
• Сервисы WEB и приложений обычно на разных физических серверах и иногда на одном
• Обычная схема работы клиент->web->приложение->база данных
• Нет прямого обращения клиента к базе данных • Часто используются технологии кластеризации
Web!Server!Web!Server!
Permit Only Port 80(HTTP) of Web
Servers
Permit Only Port 22 (SSH) to application
servers
Only Permit Web servers access to Application servers
Web!Client!
Web-zone
DB!server!DB!server!
Database-zone
App!Server!App"Server!
Application-zone
Only Permit Application servers access to Database servers
Block all external access to database
servers
Physical Firewall!
Protected VRF!
Secure Container!
![Page 35: Cisco Connect Almaty 2014 - Security Solutions for Data Centers (russian)](https://reader033.vdocuments.mx/reader033/viewer/2022052602/55caafd8bb61eb68228b45e2/html5/thumbnails/35.jpg)
Виртуальный МСЭ на границе контейнеров
На ASA 1000V доступны 4 интерфейса Ethernet interfaces для данных и отказоустойчивости: один для управления, 2 для трафика, 1 для failover
§ Management 0/0 § Data GE 0/0, 0/1 § Failover GE 0/2
ASA 1000V поддерживает только статическую маршрутизацию ASA 1000V использует и таблицы маршрутизации, и трансляций (XLATE) для пересылки пакетов
Интерфейсы и обработка
Layer 3!
Hypervisor
Protected VRF!10.1.1.254
10.1.1.252 10.1.1.253
Nexus 1000V vPath
ASA 1000V
ASA1000V(config)# route outside 172.18.30.0 255.255.255.0 10.1.1.254!ASA1000V(config)# route outside 0 0 10.1.1.254!ASA1000V(config)# route outside 0 0 172.18.50.1 tunneled!
172.18.30.x
172.18.50.1
![Page 36: Cisco Connect Almaty 2014 - Security Solutions for Data Centers (russian)](https://reader033.vdocuments.mx/reader033/viewer/2022052602/55caafd8bb61eb68228b45e2/html5/thumbnails/36.jpg)
Управление политиками Cisco Prime Network Services Controller aka VNMC
![Page 37: Cisco Connect Almaty 2014 - Security Solutions for Data Centers (russian)](https://reader033.vdocuments.mx/reader033/viewer/2022052602/55caafd8bb61eb68228b45e2/html5/thumbnails/37.jpg)
Nexus 1000V Distributed Virtual Switch
VM VM VM
VM VM
VM
VM VM VM
VM
VM
VM VM
VM VM VM
VM
vPath
Initial Packet Flow
ASA Outside
Inside
ASA inline Enforcement
3
vPath Encap links Traffic Path
VSG
Traffic flow after first packet
2
4
vPath - поочередное выполнение сервисов VSG и ASA 1000v Из Inside в outside
1
5
![Page 38: Cisco Connect Almaty 2014 - Security Solutions for Data Centers (russian)](https://reader033.vdocuments.mx/reader033/viewer/2022052602/55caafd8bb61eb68228b45e2/html5/thumbnails/38.jpg)
Citrix NetScaler 1000V на Nexus 1110
VSM = Virtual Supervisor Module DCNM = Data Center Network Manager
Nexus 1000V
vPath
Any Hypervisor
VM VM VM
• Citrix лучший в своем классе Контроллер предоставления виртуальных приложений (virtual application delivery controller - vADC)
• Продается и поддерживается Cisco • Интеграция с Nexus 1110/1010, vPath
Cisco Cloud Network Services (CNS) Citrix
NetScaler 1000V
Prime virtual NAM
Imperva SecureSphere
WAF
Virtual Security Gateway
Nexus 1110 Платформа Облачных Сервисов
VSM VSM DCNM*
Citrix NetScaler
1000V
![Page 39: Cisco Connect Almaty 2014 - Security Solutions for Data Centers (russian)](https://reader033.vdocuments.mx/reader033/viewer/2022052602/55caafd8bb61eb68228b45e2/html5/thumbnails/39.jpg)
NetScaler 1000V – Поддерживаемый функционал обеспечения безопасности
Безопасность приложений Platinum Edition
Enterprise Edition
Standard Edition
L7 фильтрация контента и перезапись HTTP/URL
X X X
Коннектор XenMobile NetScaler X X X
Поддержка SAML2 X X X Защита от DoS X AAA для Управления Трафиком X X Защита от атак 0 дня Х МСЭ приложений Citrix с поддержкой XML X
https://www.citrix.com/products/netscaler-application-delivery-controller/features/editions.html Сравнение редакций:
![Page 40: Cisco Connect Almaty 2014 - Security Solutions for Data Centers (russian)](https://reader033.vdocuments.mx/reader033/viewer/2022052602/55caafd8bb61eb68228b45e2/html5/thumbnails/40.jpg)
vPath - поочередное выполнение сервисов VSG и Citrix Netscaler 1000v
Cisco Nexus 1000V Distributed Virtual Switch
VM VM VM
VM VM
VM
VM VM VM
VM
VM VM VM
VM VM VM VM
Cisco vPath
Cisco VSG
1 2
3
45
Use Case 2: SLB/WAF & VSG
Netscaler 1000v
![Page 41: Cisco Connect Almaty 2014 - Security Solutions for Data Centers (russian)](https://reader033.vdocuments.mx/reader033/viewer/2022052602/55caafd8bb61eb68228b45e2/html5/thumbnails/41.jpg)
ASAv
![Page 42: Cisco Connect Almaty 2014 - Security Solutions for Data Centers (russian)](https://reader033.vdocuments.mx/reader033/viewer/2022052602/55caafd8bb61eb68228b45e2/html5/thumbnails/42.jpg)
Представляем новинку - Cisco ASAv
Cisco® ASAv
Проверенное аппаратное решение безопасности от Cisco теперь в виртуализированной среде
Открытая архитектура Multi-hypervisor
Multi-vswitch
Открытые API
Гибкая модель лицензирования
![Page 43: Cisco Connect Almaty 2014 - Security Solutions for Data Centers (russian)](https://reader033.vdocuments.mx/reader033/viewer/2022052602/55caafd8bb61eb68228b45e2/html5/thumbnails/43.jpg)
Развитие линейки ASA
Кластеризация и мультиконтекст
ASAv Аппаратная ASA
Transparent Не-vPATH
Кластеризация Мультиконтекст
ASA1000V
![Page 44: Cisco Connect Almaty 2014 - Security Solutions for Data Centers (russian)](https://reader033.vdocuments.mx/reader033/viewer/2022052602/55caafd8bb61eb68228b45e2/html5/thumbnails/44.jpg)
ASAv Сравнение функционала с физической ASA
Функционал ASA
ASAv
Нет кластеризации и мультиконтестности
• Соответствие функционала физической ASA • Масштабирование через виртуализацию • До 10 vNIC интерфейсов • Программная криптография
• SDN и традиционные методы управления • Масштабируется до 4 vCPUs и 8 GB памяти • Возможность поддерживать 1 политику на физических и виртуальных ASA
![Page 45: Cisco Connect Almaty 2014 - Security Solutions for Data Centers (russian)](https://reader033.vdocuments.mx/reader033/viewer/2022052602/55caafd8bb61eb68228b45e2/html5/thumbnails/45.jpg)
ASAv – Гибкое лицензирование
Бессрочный контракт до прекращения
Сервис провайдер
На основе использования (часы кол-во ядер)
По факту (по-месячно / по-квартально)
На основе использования
Срок
Заказчик
Модель лицензирования
Биллинг
Повременное
1 год
Предприятие
Традиционная оплата
Предоплата
3 год 5 год
![Page 46: Cisco Connect Almaty 2014 - Security Solutions for Data Centers (russian)](https://reader033.vdocuments.mx/reader033/viewer/2022052602/55caafd8bb61eb68228b45e2/html5/thumbnails/46.jpg)
Сегментация для ЦОД: TrustSec
![Page 47: Cisco Connect Almaty 2014 - Security Solutions for Data Centers (russian)](https://reader033.vdocuments.mx/reader033/viewer/2022052602/55caafd8bb61eb68228b45e2/html5/thumbnails/47.jpg)
Почему TrustSec ?
• Упрощение политик
• Снижение сложности дизайна контроля доступа и сегментации
• Автоматизация управления правилами на МСЭ в средах ЦОД
• Снижение нагрузки на отдел ИБ
• Использование функций сетевой инфраструктуры для безопасности
• Распределенные внедрения и масштабируемость
• Поддержка в том числе и не виртуализированных сред
47
![Page 48: Cisco Connect Almaty 2014 - Security Solutions for Data Centers (russian)](https://reader033.vdocuments.mx/reader033/viewer/2022052602/55caafd8bb61eb68228b45e2/html5/thumbnails/48.jpg)
Работа TrustSec
1. Запрос на доступ в сеть
2. Разрешение + атрибуты доступа (VLAN, ACL,
SGT, MacSec)
3. Трафик с метками SGT
4. МЭ - фильтрация трафика на основе меток
групп
0. Категорирование пользователей и ресурсов
Сервер Б Сервер A
Пользователь А Пользователь Б
200
ISE
Канальное шифрование
300
20 30
access-list DCin permit tcp ... SGT 30 any SGT 300 eq sql
![Page 49: Cisco Connect Almaty 2014 - Security Solutions for Data Centers (russian)](https://reader033.vdocuments.mx/reader033/viewer/2022052602/55caafd8bb61eb68228b45e2/html5/thumbnails/49.jpg)
ЦОД с подержкой TrustSec
Data Center Core Layer
DC Aggregation Layer
DC Service Layer
DC Access Layer
Virtual Access
SGACL enabled Device
SG Firewall enabled Device
Virtual Servers
Physical Servers
Применение политик SGA На Nexus 7000 ASA с использованием средств автоматизации
Применение политик SGA На Catalyst 6500, ASASM с использованием средств автоматизации
Security Group ACLs • Определение правил сегментации в таблице • Применение на Nexus 7000/5500/2000 независимо от топологии
Security Group классификация • Nexus 1000V может классифицировать и присваивать метки SGT и использовать SXP для отправки на устройства фильтрации
![Page 50: Cisco Connect Almaty 2014 - Security Solutions for Data Centers (russian)](https://reader033.vdocuments.mx/reader033/viewer/2022052602/55caafd8bb61eb68228b45e2/html5/thumbnails/50.jpg)
§ Защита от MitM-аттак
§ Шифрование по стандарту AES-GCM (AES-128)
§ Шифрование/Дешифрование на каждом устройстве
§ Проверка целостности
Конфиденциальность и целостность
2/25/14 © 2013 Cisco and/or its affiliates. All rights reserved. 50
DST 802.1AE Header
802.1Q
CMD ETYPE
ICV
CRC
MISEec EtherType
TCI/AN SL
Packet Number
SCI (optional)
Encrypted Authenticated
0x88e5
SRC PAYLOAD
Version
Length
CMD EtherType
SGT Opt Type
SGT Value
Other CMD Options
![Page 51: Cisco Connect Almaty 2014 - Security Solutions for Data Centers (russian)](https://reader033.vdocuments.mx/reader033/viewer/2022052602/55caafd8bb61eb68228b45e2/html5/thumbnails/51.jpg)
Централизованное управление политиками
permit tcp dst eq 443 permit tcp dst eq 80 permit tcp dst eq 22 permit tcp dst eq 3389 permit tcp dst eq 135 permit tcp dst eq 136 permit tcp dst eq 137 permit tcp dst eq 138 permit tcp des eq 139 deny ip
Portal_ACL Portal_ACL
Определение политик – ISE
![Page 52: Cisco Connect Almaty 2014 - Security Solutions for Data Centers (russian)](https://reader033.vdocuments.mx/reader033/viewer/2022052602/55caafd8bb61eb68228b45e2/html5/thumbnails/52.jpg)
Cisco Cyber Thread Defense: Прозрачность операций и защита от угроз для ЦОД
![Page 53: Cisco Connect Almaty 2014 - Security Solutions for Data Centers (russian)](https://reader033.vdocuments.mx/reader033/viewer/2022052602/55caafd8bb61eb68228b45e2/html5/thumbnails/53.jpg)
Безопасность периметра – не панацея
Устройства периметра
Контроль и управление
Сетевая разведка и распространение
Кража данных
Целевые угрозы зачастую обходят
периметр
Только вся сеть целиком имеет достаточный уровень наблюдаемости для
выявления сложных угроз
© 2013 Cisco and/or its affiliates. All rights reserved.
![Page 54: Cisco Connect Almaty 2014 - Security Solutions for Data Centers (russian)](https://reader033.vdocuments.mx/reader033/viewer/2022052602/55caafd8bb61eb68228b45e2/html5/thumbnails/54.jpg)
TrustSec Enabled
Enterprise Network
Identity Services Engine
NetFlow: Switches, Routers, и ASA 5500
Контекст: NBAR/AVC
Cisco Cyber Threat Detection - повышает эффективность и действенность анализа и обеспечивает ключевое понимание внутренней активности в сети
Flow
Телеметрия NetFlow Cisco Switches, Routers и ASA 5500
Данные о контексте угрозы Cisco Identity, Device, Posture, Application
Cyber Threat Defense = Cisco + Lancope
© 2013 Cisco and/or its affiliates. All rights reserved.
![Page 55: Cisco Connect Almaty 2014 - Security Solutions for Data Centers (russian)](https://reader033.vdocuments.mx/reader033/viewer/2022052602/55caafd8bb61eb68228b45e2/html5/thumbnails/55.jpg)
Обнаружение утечек
55
NetFlow как инструмент безопасности
§ Сбор и корреляция NetFlow данных
§ Обнаружение и идентификация канала утечки
55
ASA 5585!
vPath
Hypervisor
Aggregation!
Nexus 1000V!Virtual Security Gateway!
Secure Container!
Virtual Flow Sensor!
Flow Collector!
StealthWatch
Management Console
Cisco NetFlow
1. Инфицированные хосты открывают соединения и экспортируют данные
2. Ифраструктура генерирует записи события используя Netflow
3. Сбор и анализ данных Netflow
4. Сигнал тревоги о возможной утечке данных
3. Сбор и анализ данных Netflow
![Page 56: Cisco Connect Almaty 2014 - Security Solutions for Data Centers (russian)](https://reader033.vdocuments.mx/reader033/viewer/2022052602/55caafd8bb61eb68228b45e2/html5/thumbnails/56.jpg)
Компоненты решения Cyber Threat Defense
Cisco Network
StealthWatch FlowCollector
StealthWatch Management
Console
NetFlow
StealthWatch FlowSensor
StealthWatch FlowSensor
VE Users/Devices
Cisco ISE
NetFlow
StealthWatch FlowReplicator
Другие коллекторы
https
https
NBAR NSEL
© 2013 Cisco and/or its affiliates. All rights reserved.
![Page 57: Cisco Connect Almaty 2014 - Security Solutions for Data Centers (russian)](https://reader033.vdocuments.mx/reader033/viewer/2022052602/55caafd8bb61eb68228b45e2/html5/thumbnails/57.jpg)
Пример: определение утечки информации
Customizable “Data Loss” Alarm Alarm Delivers Alerts Prioritized by Severity Level
Глубокий анализ данных Объем переданного трафика и % исходящего трафика
Опрос Cisco ISE для поиска пользователя, группы, Posture, Device Profile
Query Cisco SenderBase for Host Reputation Information
Опрос Cisco SenderBase для определения репутации хоста
57
![Page 58: Cisco Connect Almaty 2014 - Security Solutions for Data Centers (russian)](https://reader033.vdocuments.mx/reader033/viewer/2022052602/55caafd8bb61eb68228b45e2/html5/thumbnails/58.jpg)
Решаемые задачи
• Обнаружение брешей в настройках МСЭ • Обнаружение незащищенных коммуникаций • Обнаружение P2P-трафика • Обнаружение неавторизованной установки локального Web-сервера или точки доступа
• Обнаружение попыток несанкционированного доступа • Обнаружение ботнетов (командных серверов) • Обнаружение атак «отказ в обслуживании» • Обнаружение инсайдеров • Расследование инцидентов • Обнаружение неисправностей
© 2013 Cisco and/or its affiliates. All rights reserved.
![Page 59: Cisco Connect Almaty 2014 - Security Solutions for Data Centers (russian)](https://reader033.vdocuments.mx/reader033/viewer/2022052602/55caafd8bb61eb68228b45e2/html5/thumbnails/59.jpg)
Ссылки на полезные материалы по теме
Cisco Validated Design: http://www.cisco.com/go/cvd VMDC: http://www.cisco.com/go/vmdc Cisco Secure Data Center for Enterprise Solution: First-Look Guide: http://www.cisco.com/en/US/solutions/collateral/ns340/ns414/ns742/ns744/docs/sdc-dg.pdf Cisco Secure Data Center for Enterprise Design Guide: http://www.cisco.com/c/en/us/td/docs/solutions/Enterprise/Security/SDC/DG/SDC_DesignGuide/SDC_DG_2013-11-25_v10.html TrustSec Design Guide (текущая версия 2.1) http://www.cisco.com/en/US/solutions/ns340/ns414/ns742/ns744/landing_DesignZone_TrustSec.html Cisco Cyber Threat Defense for the Data Center Solution: First Look Guide: http://www.cisco.com/en/US/solutions/collateral/ns340/ns414/ns742/ns744/docs/ctd-first-look-design-guide.pdf ASA Clustering / Testing: http://www.cisco.com/en/US/docs/solutions/Enterprise/Data_Center/VMDC/ASA_Cluster/ASA_Cluster.html PCI Compliance Letter: http://www.cisco.com/en/US/docs/solutions/Enterprise/Data_Center/VMDC/2.2/Cisco_PCI_Compliance_Letter.pdf FISMA Compliance: http://www.cisco.com/en/US/docs/solutions/Enterprise/Data_Center/VMDC/SecureState/VMDC_SecureState.pdf
![Page 60: Cisco Connect Almaty 2014 - Security Solutions for Data Centers (russian)](https://reader033.vdocuments.mx/reader033/viewer/2022052602/55caafd8bb61eb68228b45e2/html5/thumbnails/60.jpg)
Пожалуйста, заполните анкеты. Ваше мнение очень важно для нас.
Спасибо
Напишите мне: Андрей Ключка [email protected] +7 (727) 2442138
![Page 61: Cisco Connect Almaty 2014 - Security Solutions for Data Centers (russian)](https://reader033.vdocuments.mx/reader033/viewer/2022052602/55caafd8bb61eb68228b45e2/html5/thumbnails/61.jpg)
Дополнительные материалы
![Page 62: Cisco Connect Almaty 2014 - Security Solutions for Data Centers (russian)](https://reader033.vdocuments.mx/reader033/viewer/2022052602/55caafd8bb61eb68228b45e2/html5/thumbnails/62.jpg)
Физические или виртуальные серверы ДМЗ периметра
Периметр ЦОД
Интернет / внешняя сеть
Ядро ЦОД (маршрутизация)
Уровень агрегации ЦОД Уровень 2
Уровень 3
КЛАСТЕР МСЭ
Вычислительная зона ДМЗ
Пункт доставки
Виртуальные серверы ДМЗ
Ядро BGP/OSPF
ASA A/S HA
Уровень виртуального доступа
VRF – DMZExt
VRF-‐ DMZExt
VRF – DMZExt
VRF – DMZExt
CTX1 CTX1
VL900
Выделенные блейд-‐серверы
CTX CTX
VL900
ДМЗ VLAN90 172.16.90.0/24
vDMZ 172.16.90.0/24
VL900
VL999 VL999
VL999 VL999
VL90 VL999
Устройства ASA периметра, работающие под управлением стандартного A/S HA, —отказоустойчивые ASA периметра — наряду с vPC могут использовать избыточный интерфейс, чтобы сократить вероятность аварийного переключения при высокой доступности. ASA периметра реализуют прозрачный контекст вирт. МСЭ сети VLN для ДМЗ, соединяя VL90 (ДМЗ) с VL999 (N7000 vRF). Некоторые серверы ДМЗ могут физически находиться в коммутаторе ДМЗ, тогда как другие серверы будут предоставляться с уровня виртуального доступа. Nexus 7000 передает трафик с VL999 через vRF – DMZExt, перемещает пакеты через маршрутизируемый уровень ядра на уровень распределения. Запрос или отклик ARP из VLAN 90 передается по каналам на уровень виртуального доступа. Кластеризованные ASA на уровне распределения связывают VL999 (DMZExt vRF) с VL900, местом, где существуют виртуальные серверы ДМЗ. Здесь будет реализована политика безопасности, ограничивающая доступ только к подсетям ДМЗ по сети, сервису или приложению. Для обеспечения безопасности (соответствия требованиям) на уровне виртуального доступа рекомендуется использовать выделенное серверное оборудование. Можно создать дополнительные профили портов и использовать шлюз Virtual Security Gateway (VSG) для зонирования «восток-‐запад» между ВМ в ДМЗ. Для дальнейшего разделения на уровне пакетов можно использовать метки групп безопасности.
Пример схемы «Плавательная дорожка» для виртуальной ДМЗ
DMZ Subnet(172.16.90.0/24)VLAN90 <-‐> vFW(BVI) <-‐>VLAN999<-‐>vRF DMZExt <-‐> VLAN999 <-‐> vFW(BVI)<-‐>VLAN900/ DMZ Subnet(172.16.90.0/24)
Внешнее зонирование
![Page 63: Cisco Connect Almaty 2014 - Security Solutions for Data Centers (russian)](https://reader033.vdocuments.mx/reader033/viewer/2022052602/55caafd8bb61eb68228b45e2/html5/thumbnails/63.jpg)
Пример внутреннего зонирования для разработки — вариант 1 Физическое разделение Модель может использоваться для тестирования нагрузки на приложение. Если требуется выделенный путь через уровень ядра, рекомендуется использовать DEV vRF. Если требуется выделенный периметр, рекомендуется использовать контексты вирт. МСЭ на устройствах ASA периметра или отдельную (низкого уровня) пару ASA. DEV VDC, созданный в Nexus 7000, присоединенный к CORE VDC и поддерживающий собственную дочку доставки. ASA на уровне агрегации могут быть настроены несколькими способами. 1. Один кластер ASA с отдельными контекстами вирт. МСЭ для зон DEV — порты на ASA должны быть физически подключены к каждому VDC. 2. Отдельные кластеры ASA с контекстами вирт. МСЭ или без них. В вычислительной структуре создается зеркальная серверная среда для функционирования DEV в собственной точке доставки.
Периметр ЦОД
Интернет / внешняя сеть
VDC ядра ЦОД (маршрутизация)
VDC уровня агрегации производства
Уровень 2
Уровень 3
КЛАСТЕР МСЭ
Пункт доставки
Ядро BGP/OSPF
ASA A/S HA
Уровень виртуального
доступа
Виртуальный коммутатор
Гипервизор
VDC уровня агрегации разработки
Пункт доставки
CTX CTX
Виртуальный коммутатор
Гипервизор
DEV VRF
DEV VRF
DEV VRF
Вычислительная зона разработки
Вычислительная зона производства
CTX
![Page 64: Cisco Connect Almaty 2014 - Security Solutions for Data Centers (russian)](https://reader033.vdocuments.mx/reader033/viewer/2022052602/55caafd8bb61eb68228b45e2/html5/thumbnails/64.jpg)
Периметр ЦОД
Интернет / внешняя сеть
VDC ядра ЦОД (маршрутизация)
VDC уровня агрегации Уровень 2
Уровень 3
КЛАСТЕР МСЭ
Ядро BGP/OSPF
ASA A/S HA
Уровень виртуального доступа
Пример внутреннего зонирования для разработки — вариант 2 Виртуальное разделение
В модели виртуального разделения используется общая физическая инфраструктура (Nexus) для маршрутизации и транспорта данных. ASA используются для разделения трафика разработки и производства. Виртуальные ресурсы могут использовать общее физическое серверное оборудование и точку доступа. Обеспечение безопасность осуществляется аналогично действиям в защищенной многопользовательской среде.