Назим Латыпаев, nlatypae@cisco.com
security-request@cisco.com
Организационные вопросы
1. Нам очень важно Ваше мнение – заполняйте, пожалуйста,
предложенные анкеты, после каждой сессии!...
Основные вызовы безопасности в виртуальной
среды
Изоляция и сегментация

Физический сервер

Sensitive

Риски эксплуатации
...
Архитектура Cisco Data Center
Зоны виртуализации
Сервисы

Виртуальн.
доступ

VM

SAN

Вычисления

Доступ

Агрегация и
серв...
Физические устройства защиты
Физические
Физические устройства и модули
Cisco Multi-Scale™ data center-class Cisco®
ASA dev...
Физические устройства защиты
Сервисный Модуль ASA
Web
Server

App
Server

Database
Server

Hypervisor

Устройства ASA 5585...
Межсетевые Экраны Cisco ASA 5585-X
ASA 5585-SSP60

ASA 5585-SSP40
ASA 5585-SSP10
4 Гбит/c — пропускная
способность
межсете...
Новый модуль ASA для Catalyst 6500
Показатель

Значение

Производительность шасси

64 Гбит/сек

Производительность модуля
...
Высокий уровень масштабируемости
•

Выход за рамки традиционных
решений

•

Наращивание мощностей в
соответствии с ведущим...
Устройства Cisco IPS серии 4500
•

Специализированные
высокоскоростные устройства IPS с
учетом контекста

•

Обработка с а...
Cisco IPS 4510
Производительность
Отсеки для
жесткого диска
(пустые)

•
•
•

Порты
управления
Интегрированный
ввод-вывод
6...
Cisco IPS 4520
Производительность
Отсеки для
жесткого
диска (пустые)

•
•
•

Порты
управления
Интегрированный
ввод-вывод
6...
CSR 1000V – Cloud Services Router
Основан на IOS-XE
CSR 1000V

App

App

OS

OS

VPC/ vDC
Hypervisor

Virtual Switch
Serve...
Поддерживаемый функционал – IOS / Виртуализация
IOS-XE

Поддерживаемые функции

Маршрутизация

BGP, EIGRP, OSPFv3, RIPv2, ...
Простая Виртуальная Топология в Приватном
и/или Публичном Облаке ПО
L3 VPN

• Пример дизайна
виртуальных сервисов
• Виртуа...
Citrix NetScaler 1000V в Портфолио Облачных
Сервисов
• Citrix лучший в своем классе Контроллер
Citrix
NetScaler
1000V

пре...
NetScaler 1000V – Поддерживаемый функционал
Безопасность приложений

Platinum
Edition

Enterprise
Edition

Standard
Editio...
ASA/VSG Развертывание и дизайн размещения
•
•

•
•

•
•
•
•

•

VSG это прозрачный фаервол
Используется внутри арендатора
...
• Взаимодополняющая модель
безопасности
̶

̶

Cisco Virtual Secure Gateway (VSG) для
внутренней безопасности зоны
арендато...
• Один арендатор может иметь до трех уровней вложенности
• Каждый подуровень может иметь множественные организации
• Подде...
Уровень доступа арендатора
Отдел серверной
поддержки

VMware
vCenter

Отдел
безопасности

Атрибуты VM

Профили
портов

Cisco®
VNMC

Профили
безопасно...
VMWare
vCenter

VM
атрибуты

VM-to-IP
Binding
VSM (Nexus)
VSM
Взаимодействие
портовых профилей

Пакеты

Virtual Network Ma...
Nexus VSM

VNMC
ASA 1000V
VSG
VM

VM

VM

VM

VM

VM

VM

VM

VM 1

VM
VM
VM

VM

VM 2

VM

VM

VM

1

Nexus 1000V
Distributed Virtual Switch

vPath

VS...
Пример внедрения
VM

VM

VM

VM

VM

VM

VM

VM

VM 1

VM
VM

VM

VM

VM 2

VM

VM

VM

4

VSG
3

Nexus 1000V
Distributed ...
Пример внедрения
VM

VM

VM

VM

VM

VM

VM

VM

VM 1

VM
VM

VM

VM

VM 2

VM

VM

VM

Nexus 1000V
Distributed Virtual Sw...
Очередность сервисов
VM

VM

VM

VM

VSG решение
загружается на VEM

VM
VM

VM

VM

VM

2
VM

VM

VM

VM

VM

VM

VM

VSG
...
Очередность сервисов
VM

VM

VM

VM

VM

VM

VM

VM

VM

VM
VM

VM

VM

VM

VM

VM

VM

VSG

3
4

Nexus 1000V
Distributed ...
VSG Требования к развертыванию
VMWare vSphere 4.0+ и Virtual Center
Nexus 1000V Series коммутатор ( v1.4 и более)

vSphere...
ASA1000V Требования к развертыванию
VMWare vSphere 4.1+ и Virtual Center
vSphere

Nexus 1000V Series коммутатор (4.2(1)SV1...
Безопасность виртуализации вычислений
(серверная виртуализация)
С чем сталкиваются заказчики ?

Внедрение политик информационной безопасности
 Проблемы переноса политики с физических се...
Безопасность гипервизора - ключ к безопасности
среды виртуализации
VMSA-2009-0006
Уязвимость в ESX 3.5, Workstation, etc....
Время не стоит на месте

Уязвимость в реализации инструкции SYSRET
всех выпущенных x86-64 процессоров Intel
позволяет выхо...
Внедрение политик и сегментация для
виртуальных машин
Сегментация и изоляция VM
Обеспечение согласованной политики в пределах
физических и виртуальных границ сети
1. Сегментаци...
1

Сегментация на Унифицированной фабрики

Cisco ®
UCS VIC (Virtual Interface Card) поддерживает VM-FEX (VN-Link)

Port Pr...
Сегментация на виртуальном коммутаторе
Cisco Nexus 1000V

2

VM
#1

Server 1

VM
#2

VM
#3

VM
#4

VEM
VMware vSwitch
VMW ...
Возможности Nexus 1000V

Безопасность
Внедрение

Наблюдаемость
Управление

L2 Switching, 802.1Q Tagging, VLAN Segmentation...
Изоляция VM: Cisco Private VLAN

•

Private VLAN изоляция
хостов из одной подсети
на L2

•

Поддержка традиционных
Cisco P...
Изоляция VM и контроль трафика
•
•
•
•

ACL на портах
Ограничение трафика между VM
Настройки как между физическими
сервера...
Наблюдаемость: мониторим трафик между VMs
с помощью физических IDS и анализатора
Aggregation
ID:2

ERSPAN DST

Intrusion D...
VSG/VNMC Шаги развертывания

VMWare
vCenter

2

1)
2)
3)
4)
5)
6)
7)

Virtual Network
Установка VNMC
Management Center
Рег...
Определения
• Compute Firewall
Представление VSG
виртуальной машины в VNMC.

Используется для ассоциации
конфигурации с VS...
Определения
• Edge Device Profile
Содержит сервисные политики,
включая: routing, DHCP, и global
VPN конфигурацию.
Использу...
Определения

• Device Profile
Содержит политику устройства,
включая AAA, syslog, и SNMP
колитики.
Используется для примене...
Определения
• Policy Set
Содержит одну или более
политик
Назначаются профилю

• Policy
Содержит конкретные
правила, такие ...
Формирование политики безопасности
Policy Management > Firewall Policy > Tenant > Zones
1
2
3
4
5
6

Zones
Policies
Rules
...
Формирование политики безопасности
Policy Management > Service Policies > Tenant > Policy
helpers > Zones
1
2
3
4
5
6

Zon...
Формирование политики безопасности
Policy Management > Service Profiles > Tenant > Security Profile >
Policy Set
1
2
3
4
5...
Формирование политики безопасности
Отредактируйте политику, чтобы создать правила, где Source и Destination
основываются н...
Rule

Политики

Destination
Condition

Action

Condition

Source
Condition

Operator
Attribute Type

VM Attributes

VM Att...
Пример очередности сервисов
Свяжем VSG и ASA 1000V для арендатора в цепочку

vservice node ASA1 type asa
— ip address 172....
Пример внедрения
3-х узловая серверная зона
ASA 1000V - Edge Security Profile
VSG - Compute Security Profile
Web Client

A...
Поддержка виртуализации в ASA
Виртуальные контексты на семействе ASA

FW_1

FW_2 FW_3

до 256 виртуальных контекстов на A...
Цепочка сервисов безопасности в технологии
vPath

Интеллектуальный отвод трафика с vPath
VM

VM

VM
VM

VM
VM

VM

VM

VM
...
Разделение обязанностей
Серверная
команда

Команда по ИБ

vCenter

VNMC

VM атрибуты

XML API
VNMC

vCenter

Manager /
Orc...
Безопасность облачных сервисов
Эволюция безопасности в IT
Физический
ЦОД
• Одно приложение на
сервере
• Ручная конфигурация
политик

Виртуальный
ЦОД
• Мн...
Cloud Security Alliance (CSA)
 “Security Guidance for Critical Areas of Focus in Cloud Computing”
Whitepaper: комплексное...
Cloud Security Alliance: Руководство по
безопасности облачных вычислений
Архитектура облачных вычислений

Управление облак...
Использование облаков требуют доверия!
Полезные ресурсы по теме
Cisco







Virtualization Security
http://www.cisco.com/en/US/netsol/ns1095/index.html
De...
Спасибо
Пожалуйста, заполните анкеты.
Ваше мнение очень важно для нас.

13.01.2014

© 2013 Cisco and/or its affiliates. Al...
Безопасность ЦОД-часть 1
Upcoming SlideShare
Loading in …5
×

Безопасность ЦОД-часть 1

669 views
563 views

Published on

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
669
On SlideShare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
172
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Безопасность ЦОД-часть 1

  1. 1. Назим Латыпаев, nlatypae@cisco.com security-request@cisco.com
  2. 2. Организационные вопросы 1. Нам очень важно Ваше мнение – заполняйте, пожалуйста, предложенные анкеты, после каждой сессии! 2. Пожалуйста, помните, что в зале курить запрещено! 3. Пожалуйста, выключите ваши мобильные телефоны! 4. Пожалуйста, используйте мусорные ведра! 5. Пожалуйста, держите Ваш регистрационный пропуск при себе!
  3. 3. Основные вызовы безопасности в виртуальной среды Изоляция и сегментация Физический сервер Sensitive Риски эксплуатации Network Team Server Team Security Team Non-Sensitive Как внедрять политику? Физический сервер Отсутствие видимости
  4. 4. Архитектура Cisco Data Center Зоны виртуализации Сервисы Виртуальн. доступ VM SAN Вычисления Доступ Агрегация и сервисы Ядро Граница IPмагистраль App App App Virtual Device Contexts OS OS OS Zones, vSANs App App App OS OS Firewall Contexts OS Интернет VRFs App App App Virtual Device Contexts OS OS OS Service Profiles Virtual Machine Optimization Port Profiles & VN-Link App App App OS OS OS App App App OS OS OS IP-NGN Port Profiles & VN-Link Партнеры Fabric Extension
  5. 5. Физические устройства защиты Физические Физические устройства и модули Cisco Multi-Scale™ data center-class Cisco® ASA devices Виртуальные и облачные Облачный фаервол Продвинутая облачная безопасность Cisco Catalyst® 6500 Series ASA Services Module • Масштабируемая производительность Cisco ASA 1000V Cloud Firewall • Надежный фаервол для облака • Политики безопасности для Edge • Специфические политики для арендаторов и виртуальных машин Cisco ASA 5585-X • Гибкая модель развертывания Cisco VSG • Автоматизация и развертывание по политике
  6. 6. Физические устройства защиты Сервисный Модуль ASA Web Server App Server Database Server Hypervisor Устройства ASA 5585 VLANs Virtual Contexts Traditional Service Nodes Устройства защиты от атак Cisco IPS
  7. 7. Межсетевые Экраны Cisco ASA 5585-X ASA 5585-SSP60 ASA 5585-SSP40 ASA 5585-SSP10 4 Гбит/c — пропускная способность межсетевого экрана 2 Гбит/с — пропускная способность системы IPS 50 000 соединений в секунду ASA 5585-SSP20 10 Гбит/с — пропускная способность межсетевого экрана 3 Гбит/с — пропускная способность системы IPS 125 000 соединений в секунду Комплекс зданий 20 Гбит/с — пропускная способность межсетевого экрана 5 Гбит/с — пропускная способность системы IPS 200 000 соединений в секунду 40 Гбит/с — пропускная способность межсетевого экрана 10 Гбит/c — пропускная способность системы IPS 350 000 соединений в секунду Центр обработки данных
  8. 8. Новый модуль ASA для Catalyst 6500 Показатель Значение Производительность шасси 64 Гбит/сек Производительность модуля 16 Гбит/сек Одновременных сессий 10M Новых соединений в секунду 350K Контекстов безопасности 250 VLANs 1K
  9. 9. Высокий уровень масштабируемости • Выход за рамки традиционных решений • Наращивание мощностей в соответствии с ведущими отраслевыми системными возможностями – – 1,2 млн. соединений в секунду – 1 000 виртуальных контекстов – • 64 Гбит/с 4 000 сетей VLAN Поддержка решений для ЦОД, например развертываний частных облачных инфраструктур
  10. 10. Устройства Cisco IPS серии 4500 • Специализированные высокоскоростные устройства IPS с учетом контекста • Обработка с аппаратным ускорением Regex • Развертывания на уровне ядра ЦОД или предприятия • Один интерфейс Gigabit Ethernet, один интерфейс 10 Gigabit Ethernet и слот SFP • Масштабируемость: доступен слот для будущего наращивания мощностей
  11. 11. Cisco IPS 4510 Производительность Отсеки для жесткого диска (пустые) • • • Порты управления Интегрированный ввод-вывод 6 GE Cu Реальный средний показатель: 3 Гбит/с Реальный диапазон показателей: 1.2-5 Гбит/с Транзакционная передача по HTTP: 5 Гбит/с • • 2 RU (шасси) Многоядерный ЦП корпоративного класса (8 ядер, 16 потоков) 24 ГБ ОЗУ Резервный источник питания Аппаратное ускорение Regex Открытый слот (в верхней части) для использования в будущем Характеристики платформы: • • • • Интегрированный ввод-вывод 4 слота 10 GE SFP Индикаторы состояния 2 порта USB Порт AUX и консоль Места развертывания • • • • • Средние и крупные предприятия ЦОД кампуса Требуется 3 Гбит/с реальной пропускной способности IPS Требуется резервный источник питания Требуется специализированная система IPS
  12. 12. Cisco IPS 4520 Производительность Отсеки для жесткого диска (пустые) • • • Порты управления Интегрированный ввод-вывод 6 GE Cu Реальный средний показатель: 5 Гбит/с Реальный диапазон показателей: 2.5-7.7 Гбит/с Транзакционная передача по HTTP: 7,6 Гбит/с • • 2 RU (шасси) Многоядерный ЦП корпоративного класса (12 ядер, 24 потоков) 48 ГБ ОЗУ Резервный источник питания Аппаратное ускорение Regex (x2) Открытый слот (в верхней части) для использования в будущем Характеристики платформы: • • • • Интегрированный ввод-вывод 4 слота 10 GE SFP Индикаторы состояния 2 порта USB Порт AUX и консоль Места развертывания • • • • • Средние и крупные предприятия Центр обработки данных Требуется 5 Гбит/с реальной пропускной способности IPS Требуется резервный источник питания Требуется специализированная система IPS
  13. 13. CSR 1000V – Cloud Services Router Основан на IOS-XE CSR 1000V App App OS OS VPC/ vDC Hypervisor Virtual Switch Server  Избранный функционал IOS-XE для Облачных архитектур Инфраструктурно независимый  Сервер, Коммутатор и Мульти-Гипервизор  Cisco UCS – Intel Nehalem и выше  Работает на N1KV,vSwitch,dVS.  Поддерживается VMware ESXi 5.0. Xen и Red Hat KVM  Поддержка Amazon AMI в будущем Шлюз для Single Tenant WAN  4 vCPU (2 ядра *2 = 4 vCPU с поддержкой Hyper Threading) APIs для Облачной Автоматизации 13
  14. 14. Поддерживаемый функционал – IOS / Виртуализация IOS-XE Поддерживаемые функции Маршрутизация BGP, EIGRP, OSPFv3, RIPv2, ISIS, MPLS, LISP Безопасность Zone Based Firewall, Site-to-Site VPN, EZVPN, DMVPN, FLEX VPN L2 OTV, VPLS, L2TPv3, EVC Отказоустойчивость HSRP, VRRP Оптимизация WAN WCCPv2, AppNav Управление Flexible NetFlow , EEM, IP SLA Инфраструктура NAT, ACL, QoS, GRE, Multicast, NBAR2 / AVC Поддерживаемый Не Поддерживаемый Поддерживаемый функционал VMWare ESXi Cloning, Templates, vMotion, NIC Teaming, High Availability, DRS, Fault Tolerance (FT) Snapshots
  15. 15. Простая Виртуальная Топология в Приватном и/или Публичном Облаке ПО L3 VPN • Пример дизайна виртуальных сервисов • Виртуальный сервер – с единой точка контроля для арендатора (tenant) • Выделенная зона VSG для распределения рабочей нагрузки • Виртуальный маршрутизатор для арендатора • Миграция рабочей нагрузки Публичное облако ПО Internet ASA1000v CSR1000v vNAM vWaaS Load balancers VSG Public Zone Protected Zone Zone 1 FE Zones Zone 2 Sub Zon e W Sub Zon eY Sub Zon eX Sub Zon eZ Zone 3 Back-end Zones Nexus 1kv + VPATH 15
  16. 16. Citrix NetScaler 1000V в Портфолио Облачных Сервисов • Citrix лучший в своем классе Контроллер Citrix NetScaler 1000V предоставления виртуальных приложений (virtual application delivery controller - vADC) • Продается и поддерживается Cisco • Интеграция с Nexus 1110/1010, vPath vPath Nexus 1000V Any Hypervisor VM VM Cisco Cloud Network Services (CNS) Citrix NetScaler 1000V Prime virtual NAM Imperva SecureSphere WAF VM VSM VSM VSM = Virtual Supervisor Module DCNM = Data Center Mgt. Center DCNM* Nexus 1110 Платформа Облачных Сервисов Virtual Security Gateway
  17. 17. NetScaler 1000V – Поддерживаемый функционал Безопасность приложений Platinum Edition Enterprise Edition Standard Edition Защита от L4 DoS X X X L7 фильтрация контента и перезапись HTTP/URL X X X Коннектор XenMobile NetScaler X X X Поддержка SAML2 X X X Защита от L7 DoS X X AAA для Управления Трафиком X X МСЭ приложений Citrix с поддержкой XML X
  18. 18. ASA/VSG Развертывание и дизайн размещения • • • • • • • • • VSG это прозрачный фаервол Используется внутри арендатора (трафик восток-запад) Независит от топологии и VLAN Может фильтровать между виртуальными машинами в одной подсети и VLAN ASA 1000V маршрутизирующий МСЭ Используется на границе арендатора (трафик север-юг) Разрешает только трафик к/от VM с inside интерфейса (нет физических серверов в Inside) Служит default gateway для VMs с inside стороны Все IP с inside интерфейса должны быть в одной подсети с inside интерфейсом Virtual Security Gateway (VSG) ASA 1000V
  19. 19. • Взаимодополняющая модель безопасности ̶ ̶ Cisco Virtual Secure Gateway (VSG) для внутренней безопасности зоны арендатора VMware vCenter Cisco® Virtual Network Management Center (VNMC) Арендатор A Арендатор B VDC VDC vApp Cisco ASA 1000V для безопасности границы арендатора Cisco VSG • Прозрачная интеграция Cisco VSG С помощью Cisco Nexus® 1000V коммутатора и Cisco vPath ̶ • Расширяем гибкость решения для решения потребностей облака ̶ Много-экземплярное развертывание для масштабирования в ЦОД vApp Cisco VSG Cisco VSG Cisco ASA 1000V Cisco ASA 1000V Cisco vPath Hypervisor Cisco Nexus® 1000V
  20. 20. • Один арендатор может иметь до трех уровней вложенности • Каждый подуровень может иметь множественные организации • Поддерживаются пересекающиеся адресные планы арендаторов Уровень Арендатора vDC Уровень vApp Уровень Уровень узла Tier 1 DC 1 Арендатор A App 1 App 2 Tier 3 DC 2 Root Арендатор B Tier 2 DC 3
  21. 21. Уровень доступа арендатора
  22. 22. Отдел серверной поддержки VMware vCenter Отдел безопасности Атрибуты VM Профили портов Cisco® VNMC Профили безопасности Cisco Nexus® 1000V Управление сетью XML API Сторонние утилиты управления и оркестрации Мультиарендаторный менеджер Динамическое управление по политикам Гибкость по средствам XML API
  23. 23. VMWare vCenter VM атрибуты VM-to-IP Binding VSM (Nexus) VSM Взаимодействие портовых профилей Пакеты Virtual Network Management Center (VNMC) Профили безопасности и профили устройств VM атрибуты VSN VSG VSG Путь данных vPath Nexus 1000V Профили безопасности профили устройств VSN ASA ASA Inside и Outside ESX Servers Пакеты
  24. 24. Nexus VSM VNMC ASA 1000V VSG
  25. 25. VM VM VM VM VM VM VM VM VM 1 VM VM VM VM VM 2 VM VM VM 1 Nexus 1000V Distributed Virtual Switch vPath VSG 2 Inside Outside ASA ASA не участвует в пути связи между VM одной подсети vPath Encap links Traffic Path
  26. 26. Пример внедрения VM VM VM VM VM VM VM VM VM 1 VM VM VM VM VM 2 VM VM VM 4 VSG 3 Nexus 1000V Distributed Virtual Switch vPath Inside Outside ASA vPath Encap links Traffic Path
  27. 27. Пример внедрения VM VM VM VM VM VM VM VM VM 1 VM VM VM VM VM 2 VM VM VM Nexus 1000V Distributed Virtual Switch vPath VSG Inside Outside ASA vPath применяет политику на VEM уровне и политика сгружается от VSG к VEM vPath Encap links Traffic Path
  28. 28. Очередность сервисов VM VM VM VM VSG решение загружается на VEM VM VM VM VM VM 2 VM VM VM VM VM VM VM VSG VM 1 Nexus 1000V Distributed Virtual Switch vPath Inside Outside ASA vPath Encap links Traffic Path
  29. 29. Очередность сервисов VM VM VM VM VM VM VM VM VM VM VM VM VM VM VM VM VM VSG 3 4 Nexus 1000V Distributed Virtual Switch vPath Inside Outside ASA ASA Inline Enforcement 5 Пакет выходит из виртуализированной инфраструктуры vPath Encap links Traffic Path
  30. 30. VSG Требования к развертыванию VMWare vSphere 4.0+ и Virtual Center Nexus 1000V Series коммутатор ( v1.4 и более) vSphere vPath Один и более Активных VSGs на арендатора Virtual Network Management Center (VNMC) Заметка: Лицензирование основано на количестве защищаемых CPU сокетов (как и Nexus 1000V) VSG может защищать часть Nexus 1000V-
  31. 31. ASA1000V Требования к развертыванию VMWare vSphere 4.1+ и Virtual Center vSphere Nexus 1000V Series коммутатор (4.2(1)SV1(5.2) и более) Один и более Активных ASA на арендатора Virtual Network Management Center (VNMC) Заметка: Лицензирование основано на количестве защищаемых CPU сокетов (как и Nexus 1000V) ASA может защищать часть Nexus 1000V- vPath
  32. 32. Безопасность виртуализации вычислений (серверная виртуализация)
  33. 33. С чем сталкиваются заказчики ? Внедрение политик информационной безопасности  Проблемы переноса политики с физических серверов на виртуальные Web App DB Server Server Server  vMotion и аналоги могут нарушать политику Hypervisor Сегментация и изоляция VLANs  Потеря изоляции VM из-за ошибок конфигурации или атак Virtual Contexts  Уязвимости гипервизора и систем управления Отсутствие наблюдаемости  Отсутствие контроля над трафиком между VMs Риски эксплуатации  Разделение полномочий админов серверов, сети и безоп.  Часто администраторы имеют завышенные полномочия  Несвоевременная установка обновления на VMs и гипервизор  “Забытые” виртуальные машины
  34. 34. Безопасность гипервизора - ключ к безопасности среды виртуализации VMSA-2009-0006 Уязвимость в ESX 3.5, Workstation, etc. Исполнение кода из VM Guest на хосте Переполнение буфера в графическом драйвере Експлойт Blue Pill разработанный Йоанной Рутковской для процессоров AMD переносил хостовую ОС в виртуальную среду (2006) Классические уязвимости среды виртуализации
  35. 35. Время не стоит на месте Уязвимость в реализации инструкции SYSRET всех выпущенных x86-64 процессоров Intel позволяет выходить за пределы виртуальной машины - http://www.xakep.ru/post/58862/ 19.06.2012 http://www.xakep.ru/post/58862/ Как взломать Vmware vCenter за 60 секунда http://2012.confidence.org.pl/materials - Май 2012 VASTO (Virtualization ASsessment Toolkit) – Первый модуль поиска уязвимостей виртуализации для Metasploit доступен для широкой публики http://vasto.nibblesec.org/
  36. 36. Внедрение политик и сегментация для виртуальных машин
  37. 37. Сегментация и изоляция VM Обеспечение согласованной политики в пределах физических и виртуальных границ сети 1. Сегментация на уровне фабрики UCS Fabric Interconnect 2. Сетевая сегментация на коммутаторе Nexus 1000V или физический коммутатор ЦОД 3. Сегментация на физических устройствах безопасности ASA 5585-X, IPS 4. Сегментация на виртуальных устройствах безопасности Cisco Virtual Security Gateway, Cisco ASA 1000V
  38. 38. 1 Сегментация на Унифицированной фабрики Cisco ® UCS VIC (Virtual Interface Card) поддерживает VM-FEX (VN-Link) Port Profiles Definition Cisco UCS с сетевой картой VIC С VM-FEX, каждой виртуальной машине унифицирует виртуальные(Nexus (VM) предоставляется выделенный порт коммутатора доступа в ЦОД и физические сети 5500 или Fabric Interconnect) WEB Apps HR DB Весь трафик VM отсылается Compliance Hypervis or vEth Physical Network Hypervis or непосредственно на порт коммутатора VLAN Web VLAN HR VLAN DB VLAN Comp vNIC VM VM VM VM VM VM VM VM
  39. 39. Сегментация на виртуальном коммутаторе Cisco Nexus 1000V 2 VM #1 Server 1 VM #2 VM #3 VM #4 VEM VMware vSwitch VMW ESX VM #5 Server 2 VM #6 VM #7 VM #8 Nexus 1000V VEM VMware vSwitch VMW ESX VM #9 Server 3 VM #10 VM #11 VM #12 VMware vSwitch VEM VMW ESX Nexus 1000V • До 64 виртуальных карты Virtual Ethernet Module (VEM) • 2 виртуальных супервизора Virtual Supervisor Module (VSM) Virtual Center Nexus 1000V • Политики безопасности • Технология vPath для подключения виртуальных межсетевых экранов VSM Поддержка гипервизоров : vSphere ; анонс для Win8/Hyper-V/KVM/Xen
  40. 40. Возможности Nexus 1000V Безопасность Внедрение Наблюдаемость Управление L2 Switching, 802.1Q Tagging, VLAN Segmentation, Rate Limiting (TX)  IGMP Snooping, QoS Marking (COS & DSCP)  Коммутация  Policy Mobility, Private VLANs w/ local PVLAN Enforcement  Access Control Lists (L2–4 w/ Redirect), Port Security  Dynamic ARP inspection, IP Source Guard, DHCP Snooping  Automated vSwitch Config, Port Profiles, Virtual Center Integration  Optimized NIC Teaming with Virtual Port Channel – Host Mode  VMotion Tracking, ERSPAN, NetFlow v.9 w/ NDE, CDP v.2  VM-Level Interface Statistics  Virtual Center VM Provisioning, Cisco Network Provisioning, CiscoWorks  Cisco CLI, Radius, TACACs, Syslog, SNMP (v.1, 2, 3)
  41. 41. Изоляция VM: Cisco Private VLAN • Private VLAN изоляция хостов из одной подсети на L2 • Поддержка традиционных Cisco PVLAN: порты Isolated и Community • Физическая инфраструктура понимает PVLAN Promiscuous Port Isolated VLAN Community VLAN
  42. 42. Изоляция VM и контроль трафика • • • • ACL на портах Ограничение трафика между VM Настройки как между физическими серверами Использовать вместе с VLANs, PVLAN dcvsm(config)# ip access-list deny-vm-to-vm-traffic dcvsm(config-acl)# deny ip host 10.10.10.10 host 10.10.20.20 dcvsm(config-acl)# permit ip any any 10.10.10.1 10.10.20.20 Promiscuous Port 10.10.10.10 10.10.20.20
  43. 43. Наблюдаемость: мониторим трафик между VMs с помощью физических IDS и анализатора Aggregation ID:2 ERSPAN DST Intrusion Detection ID:1 NetFlow Analyzer NetFlow SPAN Для снятия трафика используем коммутатор Nexus 1000V с поддержкой • NetFlow v9 • ERSPAN/SPAN Используем для детектирования • атак между серверами • нецелевого использования ресурсов • нарушения политики безопасности Нужно быть готовым к большому объему трафика Zone B Zone C VDC VDC vApp vApp vPath vSphere Nexus 1000V
  44. 44. VSG/VNMC Шаги развертывания VMWare vCenter 2 1) 2) 3) 4) 5) 6) 7) Virtual Network Установка VNMC Management Center Регистрация VNMC в vCenter(VNMC) Регистрация VSM в VNMC Развертывание VSG Регистрация VSG в VNMC 3 Развертывание ASA Регистрация ASA to VNMC VSM 1 6 7 ASA 5 VSG 4 Заметка: vCenter, vSphere and Nexus 1000V (VSM & VEMs) предполагается что уже установлены; VSM может быть VM или Nexus 1110
  45. 45. Определения • Compute Firewall Представление VSG виртуальной машины в VNMC. Используется для ассоциации конфигурации с VSG • Edge Firewall Представление ASA 1000V виртуальной машины в VNMC. Используется для ассоциации конфигурации с ASA 1000V
  46. 46. Определения • Edge Device Profile Содержит сервисные политики, включая: routing, DHCP, и global VPN конфигурацию. Используется для применения конфигураций для конкретных ASA • Edge Security Profile Содержит политики безопасности: ACL, NAT, Protocol Inspections, VPN, и TCP Intercept Применяется используя vservice команду на Nexus 1000V Используется для применения конфигурации к конкретной ASA или группе VM
  47. 47. Определения • Device Profile Содержит политику устройства, включая AAA, syslog, и SNMP колитики. Используется для применения политик к устройствам разных типов.
  48. 48. Определения • Policy Set Содержит одну или более политик Назначаются профилю • Policy Содержит конкретные правила, такие как ACL записи, NAT настройки, инспекции протоколов и т.д.
  49. 49. Формирование политики безопасности Policy Management > Firewall Policy > Tenant > Zones 1 2 3 4 5 6 Zones Policies Rules Conditions Policy Set SecurityProfile 7 Assign VSG 8 ProfileBinding
  50. 50. Формирование политики безопасности Policy Management > Service Policies > Tenant > Policy helpers > Zones 1 2 3 4 5 6 Zones Policies Rules Conditions Policy Set SecurityProfile 7 Assign VSG 8 ProfileBinding
  51. 51. Формирование политики безопасности Policy Management > Service Profiles > Tenant > Security Profile > Policy Set 1 2 3 4 5 6 Zones Policies Rules Conditions Policy Set SecurityProfile 7 Assign VSG 8 ProfileBinding
  52. 52. Формирование политики безопасности Отредактируйте политику, чтобы создать правила, где Source и Destination основываются на атрибутах 1 2 3 4 5 6 Zones Policies Rules Conditions Policy Set SecurityProfile 7 Assign VSG 8 ProfileBinding
  53. 53. Rule Политики Destination Condition Action Condition Source Condition Operator Attribute Type VM Attributes VM Attributes Operator Network Attributes eq Not-in-range Prefix Network Instance Name Port Profile Name IP Address neq VM Guest OS full name Cluster Name Network Port gt member Custom Zone Name Hypervisor Name lt Not-member range Contains Parent App Name
  54. 54. Пример очередности сервисов Свяжем VSG и ASA 1000V для арендатора в цепочку vservice node ASA1 type asa — ip address 172.18.25.110 — adjacency l2 vlan 3770 vservice node VSG1 type vsg — ip address 192.168.1.97 — adjacency l3 vservice path chain-TenantA — node VSG1 profile sp-web order 10 — node ASA1 profile sp-edge order 20 port-profile type vethernet Tenant-A —org root/Tenant-A —vservice path chain-TenantA Обозначим сервисные ноды на Nexus 1000V Выставим цепочку и сервисных нод – очередь изнутри наружу Включим сервисную цепочку в портовом профиле 57
  55. 55. Пример внедрения 3-х узловая серверная зона ASA 1000V - Edge Security Profile VSG - Compute Security Profile Web Client ASA: Разрешает только порт 80(HTTP) к Веб-Серверам ASA: NAT External IP 10.10.25.100 Web Server ASA: Блокирует все внешние запросы к ДБ серверам ASA Web-Zone Web Server IP – 192.168.1.1 Database-Zone DB Server IP – 192.168.1.2 App-Zone Client IP – 192.168.1.203 VSG VSG: Разрешает доступ к ДБ серверам только от WEB-серверов Арендатор-A VSG: Разрешает клиентам соединяться только к WEB-серверам, запрещает доступ к ДБ серверам
  56. 56. Поддержка виртуализации в ASA Виртуальные контексты на семействе ASA FW_1 FW_2 FW_3 до 256 виртуальных контекстов на ASA 5585 и ASA SM (до 1000 контекстов на кластер с ASA 9.0) до 1024 VLAN, которые могут разделяться между контекстами (до 4000 VLAN на кластер с ASA 9.0) контексты в режиме L2 или L3 контекст – это полнофункциональный файервол контроль ресурсов для контекстов (MAC-адреса, соединения, инспекции, трансляции…) До 32 интерфейсов в L2-контекстах 4 интерфейса в бридж-группе. 8 бридж-групп на виртуальный контекст L2 L3 L2
  57. 57. Цепочка сервисов безопасности в технологии vPath Интеллектуальный отвод трафика с vPath VM VM VM VM VM VM VM VM VM VM VM VM VM VM VM VM VM VM 4 VSG 5 Cisco Nexus 1000V ® vPath Distributed Virtual Switch 3 2 1 Cisco ASA 1000V ®
  58. 58. Разделение обязанностей Серверная команда Команда по ИБ vCenter VNMC VM атрибуты XML API VNMC vCenter Manager / Orchestrator Tools Security Admin Server Admin • Nexus 1 KV Cisco Nexus 1000V Управление многопользовательскими ЦОД (multitenant) • Динамическое управление на основе политик • Гибкость с помощью внешнего XML API ® Network Admin Сетевая команда
  59. 59. Безопасность облачных сервисов
  60. 60. Эволюция безопасности в IT Физический ЦОД • Одно приложение на сервере • Ручная конфигурация политик Виртуальный ЦОД • Множество приложений на сервере • Динамич. конфигурация Облачный ЦОД • Множество пользователей на сервере • “Чужая” инфраструктура Гипервизор VDC-1 VDC-2 Согласованные : Политики, Функции безопасности, Управление Коммутация Nexus 7K/5K/3K/2K Nexus 1000V, VM-FEX Безопасность ASA 5585, ASA SM VSG*, ASA 1000V** Вычисления UCS for Bare Metal UCS for Virtualized Workloads * Virtual only, ** Announced
  61. 61. Cloud Security Alliance (CSA)  “Security Guidance for Critical Areas of Focus in Cloud Computing” Whitepaper: комплексное руководство, которое говорит как защищать облачные архитектуры, как управлять Облаками и как безопасно использовать облачные среды: http://www.cloudsecurityalliance.org/csaguide.pdf  Также разработан модель угроз для облачных сред “Top threats to Cloud Computing” : http://www.cloudsecurityalliance.org/topthreats/csathreats.v1.0.pdf  В состав корпоративных членов CSA входят:
  62. 62. Cloud Security Alliance: Руководство по безопасности облачных вычислений Архитектура облачных вычислений Управление облаком Governance & Enterprise Risk Management Legal & eDiscovery Compliance and Audit Data Life Cycle Management Portability & Interoperability Эксплуатация облачных сервисов Traditional Security Data Center Operations Incident Response Virtualization Identity & Access Management Application Security Encryption & Key Management
  63. 63. Использование облаков требуют доверия!
  64. 64. Полезные ресурсы по теме Cisco       Virtualization Security http://www.cisco.com/en/US/netsol/ns1095/index.html Design Guide: Security and Virtualization in the Data Center http://www.cisco.com/en/US/partner/docs/solutions/Enterprise/Data_Center/DC_3_0/dc_sec_design.html Cisco VMDC Unified Data Center for cloud or traditional environments. http://www.cisco.com/go/vmdc Vmware  Vmware Security Hardening Guide  http://www.vmware.com/resources/techresources/10198 Microsoft  Hyper-V Security Guide  technet.microsoft.com/en-us/library/dd569113.aspx PCI DSS  https://www.pcisecuritystandards.org/documents/Virtualization_InfoSupp_v2.pdf NIST - Guide to Security for Full Virtualization Technologies  http://csrc.nist.gov/publications/nistpubs/800-125/SP800-125-final.pdf Cloud Security Alliance  https://cloudsecurityalliance.org/
  65. 65. Спасибо Пожалуйста, заполните анкеты. Ваше мнение очень важно для нас. 13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved.

×