1C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены.
ТЕНДЕНЦИИ ЦОД
ОБЛАЧНЫЕ
СРЕДЫВИРТУАЛИЗАЦИЯ
СООТВЕТСТВИЕ
ТРЕБОВАНИЯМ
ПРИОРИТЕТЫ
50%
55%
58%
59%
62%
65%
66%
66%
68%
69%
70%
76%
0% 10% 20% 30% 40% 50% 60% 70% 80%
Инициативы повышения энергоэ...
АДЕКВАТНОСТЬ
МОЖЕТ решить проблемы
виртуализации и перехода на
облачные среды
МОЖЕТ сократить циклы обновления
центров обр...
C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 5
• Сегментация физических и виртуальных рес...
C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 6
• Множество продуктов, политик, неуправляе...
Бизнес-контекст
УПРАВЛЕНИЕ
Вычисления
В
ы
ч
и
с
л
е
н
и
я
С
е
т
ь
Х
р
а
н
е
н
и
е
Сеть Хранение Управление
УНИФИЦИРОВАННЫЙ...
C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 8
Сегментация
• Установление границ: сеть, в...
C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 9
• Одно приложение на сервер
• Статическая
...
C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 10
ТРАДИЦИОННАЯ
СЕТЕВАЯ МОДЕЛЬ
ТЕКУЩАЯ МОДЕЛ...
C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 11
Сегментация с помощью
матрицы коммутации
...
7%
17%
76%
Трафик между ЦОДами
Восток – Запад
Север–Юг
ТЕНДЕНЦИИ ТРАФИКА ЦЕНТРОВ ОБРАБОТКИ ДАННЫХ
C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 13
Физическаясреда
Cisco® ASA 5585-X
Модуль ...
C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 14
Область применения
Performance
Max Firewa...
Конфиденциальная информация CiscoC97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 15
Сервисны...
C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 16
Возможность ASASM FWSM
Списки ACL реальны...
C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 17
Сервисы МСЭ, IPS и VPN для ЦОД
Производит...
C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 18
• CTX
ASA Context Mode
• vPC
Virtual Port...
C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 19
• Разделение контекстов VDC является
серт...
C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 20
ASA 5585-S10P10
ASA 5585-S20P20
ASA 5585-...
C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 21
• С версии ASA 9.0:
• До 8 ASA в кластере...
C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 22
Security
Admin
Port
Group
Service
Admin
V...
C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 23
• Проверенная безопасность,
обеспечиваема...
• Защищает трафик между
виртуальными машинами одного
заказчика
• Layer 2 МСЭ для защиты трафика
«восток-запад»
• Списки до...
C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 25
Компания X Компания Y
Виртуальная
машина ...
C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 26
Компания X Компания X’ (клон)
Виртуальная...
C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 27
Компания X
Виртуальная
машина 1
Виртуальн...
C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 28
Cisco® ASAv
Проверенное аппаратное решени...
C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 29
Кластеризация и
мультиконтекст
ASAvАппара...
C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 30
Функционал ASA
ASAv
Нет кластеризации и
м...
C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 31
Динамический контент
Пользователи и
устро...
C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 32
Идентификация Классификация Назначение Ра...
C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 33
• Контроль доступа основанный на Группах ...
C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 34
Защита
Недовольные сотрудники
- Устройств...
C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 35
Cisco IPS 4500 /
Sourcefire NGIPS
Защита ...
C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 36
Модель Средняя производительность Список
...
C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 37
Показатель Значение
Cisco® IPS
4510
Cisco...
• Гибкая интеграция в программное
обеспечение
NGIPS,NGFW, AMP
• Гибкая интеграция в аппаратное
обеспечение
Масштабируемост...
C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 39
Зоны высокого
риска
Низкое
количество
раз...
C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 40
Cisco ASA FWNG
Оборудование Интеграция Пр...
C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 41
Высокоскоростная проверка контента
123.45...
КАТЕГОРИИ ПРИМЕРЫ
SOURCEFIRE
СИСТЕМЫ
ПРЕДОТВРАЩЕНИЯ
ВТОРЖЕНИЙ И
МЕЖСЕТВЫЕ ЭКРАНЫ
НОВОГО ПОКОЛЕНИЯ
СТАНДАРТНАЯ
СИСТЕМА
ПРЕД...
C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 43
Dynamic Profiling
Сигнатуры атак
HTTP Pro...
C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 44
Web
Application
Firewall
Сервер
управлени...
C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 45
WAN
маршрутизатор
Tenant A
Физическая
инф...
C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 46
Управление и
отчетность
• Cisco® Security...
C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 47
БEЗОПАСНОСТЬ
СЕТЬ ВЫЧИСЛЕНИЯ
Атрибуты вир...
C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 48
• Позволяет выполнять логическую сегмента...
C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 49
• Cisco® ASA 1000V поддерживает политики,...
C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 50
• Гибкая модель безопасность
Cisco Virtua...
C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 51
LAN Switch
(vSwitch)
Security
Gateway
(VS...
C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 52
Корпоративное
облако
Private/Hosted/Manag...
C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 53
TrustSec
Enabled
Enterprise
Network
Ident...
ASA 5585
vPath
Hypervisor
Aggregation
Nexus 1000VVirtual Security
Gateway
Secure
Container
Virtual Flow
Sensor
Flow
Collec...
C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 55
Испытано в лаборатории и утверждено архит...
56C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены.
C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 57
Прозрачность
CSM NetFlow VNMCISE
Сегмента...
УНИФИЦИРОВАННЫЙ
ЦЕНТР ОБРАБОТКИ
ДАННЫХ
БЕЗОПАСНОСТЬ
АПРОБИРОВАННАЯ
АРХИТЕКТУРА
Средний
уровень
Высокий
уровень
Низкий
уров...
C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 60
Интернет-
периметр
РАСПРЕДЕЛЕНИЕ
Сеть
хра...
C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 61
* Продемонстрировано на VMworld 2011
* Пр...
Формирование
доверительных отношений
 Защищенная инфраструктура
распределенных сетевых сервисов
Защищенные подключения и ...
C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 63
Структура и технологии ЦОД меняются
Эти и...
C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 64
http://www.facebook.com/CiscoRu
http://tw...
Благодарим за
внимание!
security-request@cisco.com
Проблема защиты информации в современном ЦОДе и способы ее решения
Upcoming SlideShare
Loading in...5
×

Проблема защиты информации в современном ЦОДе и способы ее решения

432

Published on

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
432
On Slideshare
0
From Embeds
0
Number of Embeds
2
Actions
Shares
0
Downloads
11
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Проблема защиты информации в современном ЦОДе и способы ее решения

  1. 1. 1C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены.
  2. 2. ТЕНДЕНЦИИ ЦОД ОБЛАЧНЫЕ СРЕДЫВИРТУАЛИЗАЦИЯ СООТВЕТСТВИЕ ТРЕБОВАНИЯМ
  3. 3. ПРИОРИТЕТЫ 50% 55% 58% 59% 62% 65% 66% 66% 68% 69% 70% 76% 0% 10% 20% 30% 40% 50% 60% 70% 80% Инициативы повышения энергоэффективности/экологичности Возможность использования новых приложений Централизация ИТ-сервисов Консолидация оборудования Повышение масштабируемости Консолидация ЦОД Расширение возможностей управления Виртуализация Снижение эксплуатационных затрат Хранение данных/резервное копирование Сокращение простоев Повышение уровня безопасности Основные причины инвестиций в технологии центров обработки данных Процент респондентов, выставивших балл 6 или 7 Стимулы Источник: Стратегии развертывания центров обработки данных: Исследование североамериканских компаний, Infonetics, февраль 2011 г. Повышение уровня безопасности
  4. 4. АДЕКВАТНОСТЬ МОЖЕТ решить проблемы виртуализации и перехода на облачные среды МОЖЕТ сократить циклы обновления центров обработки данных МОЖЕТ решить проблемы соответствия нормативным требованиям МОЖЕТ обеспечить отличие вашего подхода от предложений конкурентов МОЖЕТ увеличить объем сделок МОЖЕТ повысить ваш статус доверенного советника БЕЗОПАСНОСТЬ Превращение ВОЗМОЖНОСТИ в РЕАЛЬНОСТЬ
  5. 5. C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 5 • Сегментация физических и виртуальных ресурсов • Виртуализация и различные гипервизоры • Защита в сетях хранения данных • Контроль приложений • Утечки данных • Соответствие требованиям • Доступность и обеспечение бесперебойного функционирования • Переход к облачным вычислениям
  6. 6. C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 6 • Множество продуктов, политик, неуправляемых и чужих устройств, а также доступ в облака
  7. 7. Бизнес-контекст УПРАВЛЕНИЕ Вычисления В ы ч и с л е н и я С е т ь Х р а н е н и е Сеть Хранение Управление УНИФИЦИРОВАННЫЙ ЦЕНТР ОБРАБОТКИ ДАННЫХ БЕЗОПАСНОСТЬСегментация Защита от угроз Прозрачность АПРОБИРОВАННАЯ АРХИТЕКТУРА Data Center Security CVD Виртуальный мультисервисный центр обработки данных Физическая | Виртуальная | Облачная среда
  8. 8. C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 8 Сегментация • Установление границ: сеть, вычисления, виртуальные ресурсы • Реализация политики по функциям, устройствам, организациям • Контроль доступа к сетям, ресурсам. приложениям Защита от угроз • Блокирование внутренних и внешних атак • Контроль границ зоны и периметра • Доступ к управляющей информации и ее использование Прозрачность • Обеспечение прозрачности использования • Применение бизнес-контекста к работе сети • Упрощение отчетности по операциям и соответствию нормативным требованиям
  9. 9. C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 9 • Одно приложение на сервер • Статическая • Выделение ресурсов вручную • Множество приложений на сервер • Мобильная • Динамическое выделение ресурсов • Множество пользователей на сервер • Адаптивная • Автоматическое масштабирование ГИПЕРВИЗОР VDC-1 VDC-2 НАГРУЗКА В ФИЗИЧЕСКОЙ СРЕДЕ НАГРУЗКА В ВИРТУАЛЬНОЙ СРЕДЕ НАГРУЗКА В ОБЛАЧНОЙ СРЕДЕ Cisco Nexus® 1000V, Nexus 1010, VM-FEX UCS для виртуализованных сред NetApp, EMC Сеть Вычисления Хранение Cisco Nexus 7K/6K/5K/4K/3K/2K Cisco UCS для оборудования без установленного ПО EMC, NetApp Мультиконтекстное устройство ASA, ASA 1000V, виртуальное устройство WSA/ESA VSG Периметр Зона Cisco ASA5585, ASA-SM, IPS4500, WSA --- Проекты Data Center Security CVD Виртуальный мультисервисный центр обработки данных (VMDC)
  10. 10. C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 10 ТРАДИЦИОННАЯ СЕТЕВАЯ МОДЕЛЬ ТЕКУЩАЯ МОДЕЛЬ SDN В ЦОДАХ БУДУЩАЯ ОТКРЫТАЯ МОДЕЛЬ Сеть узлов Виртуализация SDN Application Centric Infrastructure Виртуализированные МСЭ Cisco ASA 1000V / VSG Cisco ONE / eXtensible Network Controller Cisco vESA / vWSA Imperva WAF / Citrix NetScaler Традиционные решения по защите ЦОД Межсетевой экран «север-юг» Предотвращение вторжений Cisco ACI Cisco Application Programmable Interface Controller (APIC) Cisco ASAv
  11. 11. C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 11 Сегментация с помощью матрицы коммутации UCS Fabric Interconnect Сегментация сети Физическая среда Виртуальная среда (VLAN, VRF) Виртуализованная среда (зоны) Сегментация с помощью межсетевого экрана Динамический аварийный/рефлективный список ACL Мультиконтекстная сеть VPN Сегментация с учетом контекста Метки для групп безопасности (SGT) Протокол безопасной передачи (SXP) ACL-списки для групп безопасности TrustSec Реализация согласованных политик независимо от физических и виртуальных границ для защиты данных стационарных и мобильных систем.
  12. 12. 7% 17% 76% Трафик между ЦОДами Восток – Запад Север–Юг ТЕНДЕНЦИИ ТРАФИКА ЦЕНТРОВ ОБРАБОТКИ ДАННЫХ
  13. 13. C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 13 Физическаясреда Cisco® ASA 5585-X Модуль ASA SM для Cisco Catalyst 6500 • Проверка всего трафика центра обработки данных в устройстве обеспечения безопасности периметра сети • Высокая скорость для всех сервисов, включая всю систему предотвращения вторжений (IPS), благодаря единой среде передачи данных между зонами доверия • Разделение внешних и внутренних объектов сети (трафик «север-юг») Трафик «север - юг». Проверка всего входящего и исходящего трафика центра обработки данных Виртуальная/ многопользовательская среда Виртуальный межсетевой экран ASA 1000V контролирует границы сети Виртуальный шлюз безопасности (VSG) контролирует зоны Виртуальный шлюз безопасности Cisco (VSG) Cisco ASA 1000V Виртуальный межсетевой экран Трафик «восток-запад». Создание безопасных зон доверия между приложениями и пользователями в центре обработки данных • Разделение пользователей в многопользовательских средах • Разделяет приложения или виртуальные машины у одного пользователя Сегментация
  14. 14. C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 14 Область применения Performance Max Firewall Max IPS Max IPSec VPN Max IPSec/SSL VPN Peers Platform Capabilities Max Firewall Conns Max Conns/Second Packets/Second (64 byte) Base I/O Max I/O VLANs Supported HA Supported Internet Edge/ Campus ASA 5585 SSP-20 10 Gbps 3 Gbps 2 Gbps 10,000 1,000,000 125,000 3,000,000 8 GE + 2 10 GE 16 GE + 4 10 GE 250 A/A and A/S Campus/ Data Center ASA 5585 SSP-40 20 Gbps 5 Gbps 3 Gbps 10,000 2,000,000 200,000 5,000,000 6 GE + 4 10GE 12 GE + 8 10GE 250 A/A and A/S Data Center ASA 5585 SSP-60 35 Gbps 10 Gbps 5 Gbps 10,000 2,000,000 350,000 9,000,000 6 GE + 4 10GE 12 GE + 8 10GE 250 A/A and A/S Internet Edge/ Campus ASA 5585 SSP-10 4 Gbps 2 Gbps 1 Gbps 5000 750,000 50,000 1,500,000 8 GE + 2 10 GE 16 GE + 4 10 GE 250 A/A and A/S
  15. 15. Конфиденциальная информация CiscoC97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 15 Сервисный модуль ASAУстройство ASA 5585 Обеспечивает плотность в 8 раз выше, чем продукты конкурирующих производителей В 4 раза большее количество сеансов В 2 раза большее количество соединений в секунду В 2 раза более высокая эффективность защиты В 6 раз ниже потребление электроэнергии Выход за рамки традиционных решений благодаря лидирующим в отрасли системным возможностям 64 Гбит/с 1,2 млн соединений в секунду 1000 виртуальных контекстов 4000 сетей VLAN Cisco® ASA 5585-X v9.0 с функцией кластеризации Сегментация с использованием межсетевого экрана
  16. 16. C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 16 Возможность ASASM FWSM Списки ACL реальных IP-адресов/ Да Нет Глобальные списки ACL IPv6 по технологии Fast-Path Да (16 Гбит/с) Нет (80 Мбит/c) Максимальная пропускная способность объединительной панели 10 Гбит/с 1 Гбит/с Кол-во записей управления доступом 2 миллиона 80 тысяч Записи Инъекция очищенного трафика на маршруте Нет Да Сеть VPN Полная поддержка Только управление после FCS
  17. 17. C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 17 Сервисы МСЭ, IPS и VPN для ЦОД Производительность • 35 Gbps производительности МСЭ • Производительность МСЭ и IPS 10 Gbps • Мастабируется до 10,000 VPN-пользователей Защита инвестиций • Масштабируемая аппаратная платформа Мультисервисная безопасность от лидера • Защита от современных угроз с Botnet Traffic Filtering и аппаратно-ускоренной IPS с сервисом глобальной корреляции • Безопасный доступ с Cisco AnyConnect™ Высокопроизводительная и масштабируемая аппаратная платформа
  18. 18. C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 18 • CTX ASA Context Mode • vPC Virtual PortChannel • VDCs Nexus 7000 Series Virtual Device Contexts • VSS Cisco Catalyst 6500 Series Virtual Switching System • VXI Cisco Virtualization Experience Infrastructure Высокопроизводительные Firewall, VPN и IPS для ЦОД Поддержка и интеграция
  19. 19. C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 19 • Разделение контекстов VDC является сертифицированным отраслевым механизмом защиты от утечки информации Лаборатории NSS для сред, соответствующих стандартам PCI FIPS 140-2 Стандарт Common Criteria Evaluation and Validation Scheme — сертификат №10349
  20. 20. C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 20 ASA 5585-S10P10 ASA 5585-S20P20 ASA 5585-S40P40 ASA 5585-S60P60 Производительностьимасштабируемость ЦОДЛокальная сетьФилиал Удовлетворение требований клиентов FWSM ASASM
  21. 21. C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 21 • С версии ASA 9.0: • До 8 ASA в кластере • обновление ПО без остановки сервиса • Управление потоками трафика для обеспечения инспекции • Отсутствие единой точки отказа • Синхронизация состояний внутри кластера для аутентификации и высокой доступности • Централизованное управление и мониторинг • Можно начинать с двух МСЭ • Inter DC Clustering (с ASA 9.1.4) 2x10GbEDataTrafficPortChannel ClusterControlLink
  22. 22. C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 22 Security Admin Port Group Service Admin Virtual Network Management Center • Консоль управления VSG • Запуск на одной из VMs Virtual Security Gateway • Программный МСЭ • Запускается на одной из VMs • Сегментация и политики для всех VMs Nexus 1000V with vPath • Распределенный virtual switch • Запускается как часть гипервизора Физический сервер • UCS или • Другой x86 server
  23. 23. C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 23 • Проверенная безопасность, обеспечиваемая Cisco®: согласованность физической и виртуальной безопасности • Модель объединенной безопасности ̶ Виртуальный шлюз безопасности Cisco Virtual Secure Gateway (VSG) для пользовательских защищенных зон ̶ Cisco ASA 1000V для управления периметром пользовательской сети • Прозрачная интеграция ̶ С помощью коммутатора Cisco Nexus® 1000V и Cisco vPath • Гибкость масштабирования для удовлетворения потребностей в облачных средах ̶ Внедрение нескольких экземпляров для развертывания в масштабе ЦОД Пользователь БПользователь А VDC Виртуальное приложение vApp Виртуальное приложение vApp Гипервизор Cisco Nexus® 1000V Cisco vPath VDC Центр управления виртуальными сетями Cisco® (VNMC) VMware vCenter Cisco VSG Cisco VSG Cisco VSG Cisco ASA 1000V Cisco ASA 1000V Cisco VSG
  24. 24. • Защищает трафик между виртуальными машинами одного заказчика • Layer 2 МСЭ для защиты трафика «восток-запад» • Списки доступа с сетевыми атрибутами и атрибутами виртуальной машины • Фильтрация на базе первого пакета с ускорением через vPath • Защита границы сети заказчика • Шлюз по умолчанию и Layer 3 МСЭ для защиты трафика «север-юг» • МСЭ функционал включает списки доступа, site-to-site VPN, NAT, DHCP, инспекцию, IP audit, VXLAN шлюз. • Все пакеты проходят через Cisco ASA 1000V Cisco® VSG Cisco ASA 1000V Безопасность Intra-Tenant Безопасность на границе Nexus 1000V vPath Hypervisor
  25. 25. C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 25 Компания X Компания Y Виртуальная машина 1 Виртуальная машина 2 Виртуальная машина 3 Cisco VSG Cisco® ASA 1000V Cisco ASA 1000VВиртуализованные web-серверы физическая среда компании X Физический сервер 1 Физический сервер 1 Виртуальная машина 4 Виртуальная машина 5 Физическое устройство Cisco ASA Сеть IPsec VPN для связи между объектами • Компания X намерена развернуть свои web-серверы в облаке, • Компания X также располагает локально размещенными физическими серверами • Разработчикам компании X необходим доступ к web-серверам в виртуализованной среде. • В процессе настройки устанавливается VPN-туннель между объектами. Пример использования:
  26. 26. C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 26 Компания X Компания X’ (клон) Виртуальная машина 1 Виртуальная машина 2 Виртуальная машина 3 Cisco VSG Cisco® ASA 1000V Виртуализованные web-серверы Виртуальная машина 1 Виртуальная машина 1 • Компания X клонирует своего пользователя, в результате чего IP-адреса двух пользователей перекрываются. • ASA 1000V позволяет клиентам изолировать сети с перекрывающимися адресами, используя динамическое преобразование сетевых адресов (NAT) при сохраняющемся обмене данными с внешней сетью. Пример использования: Внешняя сеть
  27. 27. C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 27 Компания X Виртуальная машина 1 Виртуальная машина 2 Виртуальная машина 3 Cisco VSG Cisco® ASA 1000V Виртуализованные web-серверы Виртуальная машина 1 Виртуальная машина 1 Виртуальные машины быстро запускаются и останавливаются в виртуальных средах. Для этих виртуальных машин необходимо динамическое назначение IP-адресов. Ducati выполняет функцию DHCP-сервера и выделяет IP-адреса при получении запроса от любой виртуальной машины у пользователя. Пример использования: Компания Y
  28. 28. C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 28 Cisco® ASAv Проверенное аппаратное решение безопасности от Cisco теперь в виртуализированной среде Открытая архитектура Multi-hypervisor Multi-vswitch Открытые API Гибкая модель лицензирования
  29. 29. C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 29 Кластеризация и мультиконтекст ASAvАппаратная ASA Transparent Не-vPATH Кластеризация Мультиконтекст ASA1000V
  30. 30. C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 30 Функционал ASA ASAv Нет кластеризации и мультиконтестности • Соответствие функционала физической ASA • Масштабирование через виртуализацию • До 10 vNIC интерфейсов • Программная криптография • SDN и традиционные методы управления • Масштабируется до 4 vCPUs и 8 GB памяти • Возможность поддерживать 1 политику на физических и виртуальных ASA
  31. 31. C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 31 Динамический контент Пользователи и устройства Ресурсы и запросы Маркировка трафика данными о контексте в рамках единой политики (устройство, группа, роль), невосприимчивая к изменениям сети Несвязанная политика Бизнес-политика X Распределенная реализация Метка групп безопасностиМЕТКА Сегментация
  32. 32. C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 32 Идентификация Классификация Назначение Распространение Идентификатор: Пользователь, устройство Роль: Кадровая служба компании Метка: SGT 5 Совместное использование: сетевые переходы Приложения, данные и сервисы Отсутствие привязки политики, в результате чего определение отделяется от реализации Классификация объектов: системы и пользователи Контекст: роль системы или роль пользователя, устройство, местоположение и метод доступа Распространение классификации на основе контекста с использованием меток групп безопасности Межсетевые экраны, маршрутизаторы и коммутаторы используют метки групп в интеллектуальной политике Коммутатор Маршрутизатор Межсетевой экран ЦОД Коммутатор ЦОД Серверы Сегментация
  33. 33. C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 33 • Контроль доступа основанный на Группах Безопасности позволяет: Сохранять существующий логический дизайн на уровне доступа Изменять / применять политику для соответствия текущим бизнес- требованиями Распределять политику с центрального сервера управления SGACL 802.1X/MAB/Web Auth. Финансы(SGT=10) Кадры(SGT=11) Я контрактор Моя группа ИТ Контрактор & ИТ SGT = 5 SGT = 100 Сегментация
  34. 34. C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 34 Защита Недовольные сотрудники - Устройство обеспечения безопасности IPS 4500 - Контроль приложений Cisco® ASA CX Хакеры Киберпреступники Организованная преступность Защита компаний от внешних и внутренних угроз
  35. 35. C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 35 Cisco IPS 4500 / Sourcefire NGIPS Защита для критически важных центров обработки данных • Обеспечивает аппаратное ускорение проверки, производительность, соответствующую реальным условиям эксплуатации, высокую плотность портов и энергоэффективность в расширяемом шасси • Обеспечивает защиту от внешних и внутренних атак Cisco ASA NGFW Sourcefire NGFW Межсетевой экран с учетом приложений и контекста • Обеспечивает проверку с аппаратным ускорением, производительность, соответствующую реальным условиям эксплуатации, высокую плотность портов и энергоэффективность в расширяемом шасси • Обеспечивает защиту от внешних и внутренних атак Защита от угроз
  36. 36. C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 36 Модель Средняя производительность Список IPS-4510-K9 3 Гбит/с $79,995 IPS-4520-K9 5 Гбит/с $135,995 10 Гбит/c для будущих разработок Конкурентоспособное решение с оптимальным соотношением «цена/качество» для центра обработки данных
  37. 37. C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 37 Показатель Значение Cisco® IPS 4510 Cisco IPS 4520 Средняя производительность проверки Реальный трафик Cisco использует пять сторонних тестов, которые показывают состав смешанного трафика развертываний. 3 Гбит/с 5 Гбит/с Максимальная производительность проверки Реальный трафик Cisco использует пять сторонних тестов, которые показывают состав смешанного трафика развертываний. 5 Гбит/с 10 Гбит/с Максимальное количество подключений Динамично функционирующим центрам обработки данных требуется большое количество подключений. 3,800,000 8,400,000 Кол-во подключений в секунду Беспроблемная обработка всплесков подключений. 72,000 100,000 Среднее время задержки Большинство сбоев транзакций происходит из-за проблем с TTL. <150 микросекунд <150 микросекунд Защита от угроз Эффективны решения, ориентированные на устранение уязвимостей. Более 25 000 угроз Более 25 000 угроз
  38. 38. • Гибкая интеграция в программное обеспечение NGIPS,NGFW, AMP • Гибкая интеграция в аппаратное обеспечение Масштабируемость: 50 Мбит/с -> 60 Гбит/с Стекирование для масштабирования, кластеризация для отказоустойчивости • Экономичность Лучшие в своем классе для систем предотвращения вторжения, межсетевых экранов нового поколения от NSS Labs До 320 ядер RISC
  39. 39. C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 39 Зоны высокого риска Низкое количество развертываний 0 10 20 30 40 50 60 70 80 90 Behind VPN Concentrator In front of Public Facing Web Application In front of primary Data Center In Network Core Perimeter behind FW Perimeter in front of FW Between different business units Between Corporate Campuses Between different business functions За VPN- концентратором Перед общедоступным web- приложением Перед основным ЦОД В ядре сети Периметр перед межсетевым экраном Между различными подразделе- ниями Большинство клиентов выполняют развертывания только по периметру Зоны высокого риска Низкое количество развертываний Низкое количество развертываний в зонах высокого риска = большие возможности Периметр за межсетевым экраном Между комплексами зданий предприятия Между различными отделами
  40. 40. C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 40 Cisco ASA FWNG Оборудование Интеграция Программное обеспечение Несколько форм-факторов Учет контекста • Наиболее полный контроль: приложения, пользователи и устройства • Наиболее широко развернутый удаленный доступ • Веб-безопасность бизнес-класса Учет угроз • Защита от совершенно новых угроз • Анализ глобальных данных из нескольких источников угроз • Анализ репутации с помощью человеческого и компьютерного интеллекта Надежный анализ с учетом состояния и широчайший набор элементов управления с учетом контекста
  41. 41. C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 41 Высокоскоростная проверка контента 123.45.67.89 Johnson-PC Операционная система: Windows 7 имя хоста: laptop1 Пользователь: jsmith IP 12.134.56.78 12.122.13.62 SQL Реальность: сегодня основой безопасности является предотвращение угроз Реальность сегодня: 612 нарушений безопасности в 2012 г. • 92% происходит от внешний агентов • 52% используют какую- либо из форм хакерства • 40% приходится на долю вредоносных программ • 78% атак не отличаются высокой сложностью Утечка данных Verizon в 2013 г. Отчет о расследовании
  42. 42. КАТЕГОРИИ ПРИМЕРЫ SOURCEFIRE СИСТЕМЫ ПРЕДОТВРАЩЕНИЯ ВТОРЖЕНИЙ И МЕЖСЕТВЫЕ ЭКРАНЫ НОВОГО ПОКОЛЕНИЯ СТАНДАРТНАЯ СИСТЕМА ПРЕДОТВРАЩЕН ИЯ ВТОРЖЕНИЙ СТАНДАРТНЫЙ МЕЖСЕТЕВОЙ ЭКРАН НОВОГО ПОКОЛЕНИЯ Угрозы Атаки, аномалии ✔ ✔ ✔ Пользователи AD, LDAP, POP3 ✔ ✗ ✔ Веб-приложения Facebook Chat, Ebay ✔ ✗ ✔ Протоколы приложений HTTP, SMTP, SSH ✔ ✗ ✔ Передача файлов PDF, Office, EXE, JAR ✔ ✗ ✔ Вредоносное ПО Conficker, Flame ✔ ✗ ✗ Серверы C&C Интеллектуальная система безопасности C&C ✔ ✗ ✗ Клиентские приложения Firefox, IE6, BitTorrent ✔ ✗ ✗ Сетевые серверы Apache 2.3.1, IIS4 ✔ ✗ ✗ Операционные системы Windows, Linux ✔ ✗ ✗ Маршрутизаторы и коммутаторы Cisco, Nortel, Wireless ✔ ✗ ✗ Мобильные устройства iPhone, Android, Jail ✔ ✗ ✗ Принтеры HP, Xerox, Canon ✔ ✗ ✗ VoIP-телефоны Avaya, Polycom ✔ ✗ ✗ Виртуальные машины VMware, Xen, RHEV ✔ ✗ ✗
  43. 43. C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 43 Dynamic Profiling Сигнатуры атак HTTP Protocol Validation Защита Cookie Web Fraud Detection Предотвращение мошенничества Защита от технических атак Защита от атак на бизнес-логику Корреляцияатак Геолокация IP Репутация IP Anti-Scraping Policies Bot Mitigation Policies
  44. 44. C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 44 Web Application Firewall Сервер управления (MX) Пользователи Web сервера Web сервера Web Application Firewall Web сервера Web Application Firewall
  45. 45. C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 45 WAN маршрутизатор Tenant A Физическая инфраструктура Виртуализованный /облачный ЦОД Коммутатор Виртуализированные сетевые сервисы Cisco Nexus 1000V vPath VXLAN Multi-Hypervisor (VMware, Microsoft, RedHat*, Citrix*) ASA 1000V Cloud Firewall Cisco Virtual Security GatewayCitrix NetScale r VPX Imperva SecureSpher e WAF Cloud Services Router 1000V Network Analysis Module (vNAM) vWAAS Cisco Nexus 1000V • Распределен ный коммутатор • Согласованно сть с NX-OS VSG • Контроль на уровне VM • Zone-based FW ASA 1000V • МСЭ периметра, VPN • Инспекция протоколов vWAAS • WAN оптимизация • Трафик приложений CSR 1000V (Cloud Router) • WAN L3 шлюз • Маршрутизац ия и VPN • Citrix NetScaler VPX virtual ADC • Imperva Web App Firewall Ecosystem Services Zone A Zone B Сервера Email / Web Security (vESA /vWSA)
  46. 46. C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 46 Управление и отчетность • Cisco® Security Manager (SM) • Центр управления виртуальными сетями Cisco (VNMC) Сбор информации • Cisco NetFlow Координация политик • Cisco Identity Services Engine (ISE) • Маркировка для групп безопасности Cisco TrustSec (SGT) Поддержание соответствия нормативным требованиям и получение информации об операциях центра обработки данных
  47. 47. C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 47 БEЗОПАСНОСТЬ СЕТЬ ВЫЧИСЛЕНИЯ Атрибуты виртуальной машины Профили безопасности Профили портов vCenter Администратор сервера N1KV Администратор сети CSM Администратор безопасности VNMC Администратор безопасности Физическая среда Виртуальная среда NetFlow Администратор сети Cisco® NetFlow Прозрачность
  48. 48. C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 48 • Позволяет выполнять логическую сегментацию виртуальных машин и применять политики к этим логическим кластерам виртуальных машин  снижение сложности реализации политик Корень Пользователь А Пользователь Б ЦОД 3 ЦОД 2 ЦОД 1 Приложение 1 Приложение 2 Категория 2 Категория 3 Категория 1 Уровень пользователя Уровень vDC Уровень виртуального приложения vApp Уровень категории
  49. 49. C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 49 • Cisco® ASA 1000V поддерживает политики, основанные на атрибутах сети • Cisco VSG поддерживает политики, основанные на атрибутах сети и атрибутах виртуальной машины (VM) Правило Условие для источника Условие для точки назначения Действие Тип атрибута Сеть Виртуальная машина Специальный Атрибуты виртуальной машины Имя экземпляра Полное имя ОС гостя Имя зоны Имя родительского приложения Атрибуты виртуальной машины Имя профиля порта Имя кластера Имя гипервизора Атрибуты сети IP-адрес Сетевой порт Оператор eq neq gt lt range Оператор Not-in-range Prefix member Not-member Contains Условие
  50. 50. C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 50 • Гибкая модель безопасность Cisco Virtual Secure Gateway (VSG) для внутризоновой защиты Cisco ASA 1000V для контроля между зонами • Прозрачная интеграция С Cisco Nexus 1000V и Cisco vPath • Единый контроль доступа с помощью Cisco ISE • Контроль аномалий в сети с помощью Sourcefire Virtual Appliance и Cisco CTD • Расширение защитных функций Cisco vESA/vWSA, Imperva WAF Tenant A vAp p Гипервизор Cisco Nexus 1000V Cisco vPath VDC Cisco Virtual Network Management Center (VNMC) VMware vCenter Cisco VSG Cisc o VSG Cisco ASA 1000V Cisco ASA 1000V Cisc o VSG Cisc o VSG vAp p Tenant BVDC
  51. 51. C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 51 LAN Switch (vSwitch) Security Gateway (VSG) Identity Services (vISE) Adaptive Security (vASA) WAN Acceleration (vWAAS) Mobility Services (vMSE) Wireless LAN Control (vWLC) Cloud Services Router (vCE) Network Analysis (vNAM) Video Cache Network Management (PRIME NCS) Network Analytics (vDNA) .. Многие известные сетевые сервисы уже оптимизированы или разработаны заново для виртуальной реализации
  52. 52. C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 52 Корпоративное облако Private/Hosted/Managed Cisco Nexus1000V vSwitch Облако провайдера Public/Utility/Community N1KV InterCloud Другие потребите ли L2 Virtual Private Cloud Nexus 1000V InterCloud Коммутация Nexus | Маршрутизация IOS | Сетевые сервисы Интеграция VM Manager API интеграции с облаком ASP VNMC InterCloud Сценарии • Всплески (события, сезонность, вывод на рынок…) • Обновление/миграция • Непрерывность/избежание катастроф • Защита от «наездов» Преимущества • Согласованность сети/сервисов/политик • Защита и шифрование • Единая точка управления • Выбор между провайдерами Защищенное гибридное облако = Защищенное расширение частного облака в публичное
  53. 53. C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 53 TrustSec Enabled Enterprise Network Identity Services Engine NetFlow: Switches, Routers, и ASA 5500 Контекст: NBAR/AVC Cisco Cyber Threat Detection - повышает эффективность и действенность анализа и обеспечивает ключевое понимание внутренней активности в сети Телеметрия NetFlow Cisco Switches, Routers и ASA 5500 Данные о контексте угрозы Cisco Identity, Device, Posture, Application
  54. 54. ASA 5585 vPath Hypervisor Aggregation Nexus 1000VVirtual Security Gateway Secure Container Virtual Flow Sensor Flow Collector StealthWatc h Managemen t Console Cisco NetFlow 1. Инфицированные хосты открывают соединения и экспортируют данные 2. Ифраструктура генерирует записи события используя Netflow 3. Сбор и анализ данных Netflow 4. Сигнал тревоги о возможной утечке данных 3. Сбор и анализ данных Netflow
  55. 55. C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 55 Испытано в лаборатории и утверждено архитектором. Интернет- периметр РАСПРЕДЕЛЕНИЕ Сеть хранения ASA 5585- X ASA 5585- X VDC Nexus 7018 Nexus 7018 ЯДРО Nexus серии 7000 Nexus серии 5000 Nexus серии 2100 Зона Унифицированная вычислительная система Nexus 1000V VSG Многозонная структура Catalyst 6500 СЕРВИСЫ VS S Межсетевой экран ACE Модуль анализа сети (NAM) Система предотвращения вторжений (IPS) VS S VPCVPCVPCVPCVPCVPCVPCVPC Физический центр обработки данных Безопасность, апробированные архитектуры Cisco (CVD) Виртуальный центр обработки данных Виртуализованный мультисервисный центр обработки данных (VMDC) Проверено. Совместимость | Масштабируемость | Надежность
  56. 56. 56C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены.
  57. 57. C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 57 Прозрачность CSM NetFlow VNMCISE Сегментация ASA 5585-X ASA 1000V VSG Nexus 1000V TrustSec Защита от угроз IPS4500 ASA CX WSA
  58. 58. УНИФИЦИРОВАННЫЙ ЦЕНТР ОБРАБОТКИ ДАННЫХ БЕЗОПАСНОСТЬ АПРОБИРОВАННАЯ АРХИТЕКТУРА Средний уровень Высокий уровень Низкий уровеньТекущие возможности
  59. 59. C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 60 Интернет- периметр РАСПРЕДЕЛЕНИЕ Сеть хранения ASA 5585-X ASA 5585-X VDC Nexus 7018 Nexus 7018 ЯДРО = вычисления = сеть = безопасность Nexus серии 7000 Nexus серии 5000 Nexus серии 2100 Зона Унифицированная вычислительная система Nexus 1000V VSG Многозонная структура Catalyst 6500 СЕРВИСЫ VSS Межсетевой экран ACE Модуль анализа сети (NAM) Система предотвращения вторжений (IPS) VSSVPCVPCVPCVPCVPCVPCVPCVPC Серверная стойка 10G Серверная стойка 10 G Унифицированные вычисления Унифицированный доступ
  60. 60. C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 61 * Продемонстрировано на VMworld 2011 * Продемонстрировано на VMworld 2011 Cisco® VSG Cisco ASA 1000V • Защита виртуальной инфраструктуры на разных уровнях (категория, виртуальное приложение, виртуальный ЦОД и пользователь) • Динамическое масштабирование в ходе эксплуатации • Поддержка мобильности виртуальной машины • Предотвращение избыточного трафика в физическую инфраструктуру; независимо от VLAN • Управление виртуальной машиной на основе контекста для Cisco VSG Безопасность виртуальных сред Cisco ASA-SM Cisco ASA 5500-X серии Безопасность внутренних сегментов сети • Сегментированная внутренняя сеть • Политика, применяемая к VLAN • Использование виртуальных контекстов Cisco ASA 5500-X серии Интернет- периметр сети • Фильтрация внешнего трафика • Широкая поддержка протоколов приложений • Защита доступа к VPN и нейтрализация угроз
  61. 61. Формирование доверительных отношений  Защищенная инфраструктура распределенных сетевых сервисов Защищенные подключения и доступ  Защищенное увеличение емкости  Защищенный доступ для пользователей, работающих в офисе, и мобильных пользователей Защищенные приложения на распределенной платформе  Защита от угроз  Подтверждение соответствия нормативным требованиям Безопасное расширение в среды XaaS SaaS IaaS PaaS Защищенный доступ Филиал Мобильные пользователи Внутренние пользователи Защищенное подключение 62
  62. 62. C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 63 Структура и технологии ЦОД меняются Эти изменения сильно сказываются на системе обеспечения безопасности Cisco располагает долговременной стратегией создания защищенных ЦОД без границ Сосредоточьтесь на развитии своего бизнеса, а Cisco поможет построить ЦОД, удовлетворяющий потребностям вашей компании 1 2 3
  63. 63. C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 64 http://www.facebook.com/CiscoRu http://twitter.com/CiscoRussia http://www.youtube.com/CiscoRussiaMedia http://www.flickr.com/photos/CiscoRussia http://vkontakte.ru/Cisco http://blog.cisco.ru/
  64. 64. Благодарим за внимание! security-request@cisco.com
  1. A particular slide catching your eye?

    Clipping is a handy way to collect important slides you want to go back to later.

×