Your SlideShare is downloading. ×
0
Безопасность ЦОД-часть 1
Безопасность ЦОД-часть 1
Безопасность ЦОД-часть 1
Безопасность ЦОД-часть 1
Безопасность ЦОД-часть 1
Безопасность ЦОД-часть 1
Безопасность ЦОД-часть 1
Безопасность ЦОД-часть 1
Безопасность ЦОД-часть 1
Безопасность ЦОД-часть 1
Безопасность ЦОД-часть 1
Безопасность ЦОД-часть 1
Безопасность ЦОД-часть 1
Безопасность ЦОД-часть 1
Безопасность ЦОД-часть 1
Безопасность ЦОД-часть 1
Безопасность ЦОД-часть 1
Безопасность ЦОД-часть 1
Безопасность ЦОД-часть 1
Безопасность ЦОД-часть 1
Безопасность ЦОД-часть 1
Безопасность ЦОД-часть 1
Безопасность ЦОД-часть 1
Безопасность ЦОД-часть 1
Безопасность ЦОД-часть 1
Безопасность ЦОД-часть 1
Безопасность ЦОД-часть 1
Безопасность ЦОД-часть 1
Безопасность ЦОД-часть 1
Безопасность ЦОД-часть 1
Безопасность ЦОД-часть 1
Безопасность ЦОД-часть 1
Безопасность ЦОД-часть 1
Безопасность ЦОД-часть 1
Безопасность ЦОД-часть 1
Безопасность ЦОД-часть 1
Безопасность ЦОД-часть 1
Безопасность ЦОД-часть 1
Безопасность ЦОД-часть 1
Безопасность ЦОД-часть 1
Безопасность ЦОД-часть 1
Безопасность ЦОД-часть 1
Безопасность ЦОД-часть 1
Безопасность ЦОД-часть 1
Безопасность ЦОД-часть 1
Безопасность ЦОД-часть 1
Безопасность ЦОД-часть 1
Безопасность ЦОД-часть 1
Безопасность ЦОД-часть 1
Безопасность ЦОД-часть 1
Безопасность ЦОД-часть 1
Безопасность ЦОД-часть 1
Безопасность ЦОД-часть 1
Безопасность ЦОД-часть 1
Безопасность ЦОД-часть 1
Безопасность ЦОД-часть 1
Безопасность ЦОД-часть 1
Безопасность ЦОД-часть 1
Безопасность ЦОД-часть 1
Безопасность ЦОД-часть 1
Безопасность ЦОД-часть 1
Безопасность ЦОД-часть 1
Безопасность ЦОД-часть 1
Безопасность ЦОД-часть 1
Безопасность ЦОД-часть 1
Безопасность ЦОД-часть 1
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

Безопасность ЦОД-часть 1

435

Published on

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
435
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
167
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. Назим Латыпаев, nlatypae@cisco.com security-request@cisco.com
  • 2. Организационные вопросы 1. Нам очень важно Ваше мнение – заполняйте, пожалуйста, предложенные анкеты, после каждой сессии! 2. Пожалуйста, помните, что в зале курить запрещено! 3. Пожалуйста, выключите ваши мобильные телефоны! 4. Пожалуйста, используйте мусорные ведра! 5. Пожалуйста, держите Ваш регистрационный пропуск при себе!
  • 3. Основные вызовы безопасности в виртуальной среды Изоляция и сегментация Физический сервер Sensitive Риски эксплуатации Network Team Server Team Security Team Non-Sensitive Как внедрять политику? Физический сервер Отсутствие видимости
  • 4. Архитектура Cisco Data Center Зоны виртуализации Сервисы Виртуальн. доступ VM SAN Вычисления Доступ Агрегация и сервисы Ядро Граница IPмагистраль App App App Virtual Device Contexts OS OS OS Zones, vSANs App App App OS OS Firewall Contexts OS Интернет VRFs App App App Virtual Device Contexts OS OS OS Service Profiles Virtual Machine Optimization Port Profiles & VN-Link App App App OS OS OS App App App OS OS OS IP-NGN Port Profiles & VN-Link Партнеры Fabric Extension
  • 5. Физические устройства защиты Физические Физические устройства и модули Cisco Multi-Scale™ data center-class Cisco® ASA devices Виртуальные и облачные Облачный фаервол Продвинутая облачная безопасность Cisco Catalyst® 6500 Series ASA Services Module • Масштабируемая производительность Cisco ASA 1000V Cloud Firewall • Надежный фаервол для облака • Политики безопасности для Edge • Специфические политики для арендаторов и виртуальных машин Cisco ASA 5585-X • Гибкая модель развертывания Cisco VSG • Автоматизация и развертывание по политике
  • 6. Физические устройства защиты Сервисный Модуль ASA Web Server App Server Database Server Hypervisor Устройства ASA 5585 VLANs Virtual Contexts Traditional Service Nodes Устройства защиты от атак Cisco IPS
  • 7. Межсетевые Экраны Cisco ASA 5585-X ASA 5585-SSP60 ASA 5585-SSP40 ASA 5585-SSP10 4 Гбит/c — пропускная способность межсетевого экрана 2 Гбит/с — пропускная способность системы IPS 50 000 соединений в секунду ASA 5585-SSP20 10 Гбит/с — пропускная способность межсетевого экрана 3 Гбит/с — пропускная способность системы IPS 125 000 соединений в секунду Комплекс зданий 20 Гбит/с — пропускная способность межсетевого экрана 5 Гбит/с — пропускная способность системы IPS 200 000 соединений в секунду 40 Гбит/с — пропускная способность межсетевого экрана 10 Гбит/c — пропускная способность системы IPS 350 000 соединений в секунду Центр обработки данных
  • 8. Новый модуль ASA для Catalyst 6500 Показатель Значение Производительность шасси 64 Гбит/сек Производительность модуля 16 Гбит/сек Одновременных сессий 10M Новых соединений в секунду 350K Контекстов безопасности 250 VLANs 1K
  • 9. Высокий уровень масштабируемости • Выход за рамки традиционных решений • Наращивание мощностей в соответствии с ведущими отраслевыми системными возможностями – – 1,2 млн. соединений в секунду – 1 000 виртуальных контекстов – • 64 Гбит/с 4 000 сетей VLAN Поддержка решений для ЦОД, например развертываний частных облачных инфраструктур
  • 10. Устройства Cisco IPS серии 4500 • Специализированные высокоскоростные устройства IPS с учетом контекста • Обработка с аппаратным ускорением Regex • Развертывания на уровне ядра ЦОД или предприятия • Один интерфейс Gigabit Ethernet, один интерфейс 10 Gigabit Ethernet и слот SFP • Масштабируемость: доступен слот для будущего наращивания мощностей
  • 11. Cisco IPS 4510 Производительность Отсеки для жесткого диска (пустые) • • • Порты управления Интегрированный ввод-вывод 6 GE Cu Реальный средний показатель: 3 Гбит/с Реальный диапазон показателей: 1.2-5 Гбит/с Транзакционная передача по HTTP: 5 Гбит/с • • 2 RU (шасси) Многоядерный ЦП корпоративного класса (8 ядер, 16 потоков) 24 ГБ ОЗУ Резервный источник питания Аппаратное ускорение Regex Открытый слот (в верхней части) для использования в будущем Характеристики платформы: • • • • Интегрированный ввод-вывод 4 слота 10 GE SFP Индикаторы состояния 2 порта USB Порт AUX и консоль Места развертывания • • • • • Средние и крупные предприятия ЦОД кампуса Требуется 3 Гбит/с реальной пропускной способности IPS Требуется резервный источник питания Требуется специализированная система IPS
  • 12. Cisco IPS 4520 Производительность Отсеки для жесткого диска (пустые) • • • Порты управления Интегрированный ввод-вывод 6 GE Cu Реальный средний показатель: 5 Гбит/с Реальный диапазон показателей: 2.5-7.7 Гбит/с Транзакционная передача по HTTP: 7,6 Гбит/с • • 2 RU (шасси) Многоядерный ЦП корпоративного класса (12 ядер, 24 потоков) 48 ГБ ОЗУ Резервный источник питания Аппаратное ускорение Regex (x2) Открытый слот (в верхней части) для использования в будущем Характеристики платформы: • • • • Интегрированный ввод-вывод 4 слота 10 GE SFP Индикаторы состояния 2 порта USB Порт AUX и консоль Места развертывания • • • • • Средние и крупные предприятия Центр обработки данных Требуется 5 Гбит/с реальной пропускной способности IPS Требуется резервный источник питания Требуется специализированная система IPS
  • 13. CSR 1000V – Cloud Services Router Основан на IOS-XE CSR 1000V App App OS OS VPC/ vDC Hypervisor Virtual Switch Server  Избранный функционал IOS-XE для Облачных архитектур Инфраструктурно независимый  Сервер, Коммутатор и Мульти-Гипервизор  Cisco UCS – Intel Nehalem и выше  Работает на N1KV,vSwitch,dVS.  Поддерживается VMware ESXi 5.0. Xen и Red Hat KVM  Поддержка Amazon AMI в будущем Шлюз для Single Tenant WAN  4 vCPU (2 ядра *2 = 4 vCPU с поддержкой Hyper Threading) APIs для Облачной Автоматизации 13
  • 14. Поддерживаемый функционал – IOS / Виртуализация IOS-XE Поддерживаемые функции Маршрутизация BGP, EIGRP, OSPFv3, RIPv2, ISIS, MPLS, LISP Безопасность Zone Based Firewall, Site-to-Site VPN, EZVPN, DMVPN, FLEX VPN L2 OTV, VPLS, L2TPv3, EVC Отказоустойчивость HSRP, VRRP Оптимизация WAN WCCPv2, AppNav Управление Flexible NetFlow , EEM, IP SLA Инфраструктура NAT, ACL, QoS, GRE, Multicast, NBAR2 / AVC Поддерживаемый Не Поддерживаемый Поддерживаемый функционал VMWare ESXi Cloning, Templates, vMotion, NIC Teaming, High Availability, DRS, Fault Tolerance (FT) Snapshots
  • 15. Простая Виртуальная Топология в Приватном и/или Публичном Облаке ПО L3 VPN • Пример дизайна виртуальных сервисов • Виртуальный сервер – с единой точка контроля для арендатора (tenant) • Выделенная зона VSG для распределения рабочей нагрузки • Виртуальный маршрутизатор для арендатора • Миграция рабочей нагрузки Публичное облако ПО Internet ASA1000v CSR1000v vNAM vWaaS Load balancers VSG Public Zone Protected Zone Zone 1 FE Zones Zone 2 Sub Zon e W Sub Zon eY Sub Zon eX Sub Zon eZ Zone 3 Back-end Zones Nexus 1kv + VPATH 15
  • 16. Citrix NetScaler 1000V в Портфолио Облачных Сервисов • Citrix лучший в своем классе Контроллер Citrix NetScaler 1000V предоставления виртуальных приложений (virtual application delivery controller - vADC) • Продается и поддерживается Cisco • Интеграция с Nexus 1110/1010, vPath vPath Nexus 1000V Any Hypervisor VM VM Cisco Cloud Network Services (CNS) Citrix NetScaler 1000V Prime virtual NAM Imperva SecureSphere WAF VM VSM VSM VSM = Virtual Supervisor Module DCNM = Data Center Mgt. Center DCNM* Nexus 1110 Платформа Облачных Сервисов Virtual Security Gateway
  • 17. NetScaler 1000V – Поддерживаемый функционал Безопасность приложений Platinum Edition Enterprise Edition Standard Edition Защита от L4 DoS X X X L7 фильтрация контента и перезапись HTTP/URL X X X Коннектор XenMobile NetScaler X X X Поддержка SAML2 X X X Защита от L7 DoS X X AAA для Управления Трафиком X X МСЭ приложений Citrix с поддержкой XML X
  • 18. ASA/VSG Развертывание и дизайн размещения • • • • • • • • • VSG это прозрачный фаервол Используется внутри арендатора (трафик восток-запад) Независит от топологии и VLAN Может фильтровать между виртуальными машинами в одной подсети и VLAN ASA 1000V маршрутизирующий МСЭ Используется на границе арендатора (трафик север-юг) Разрешает только трафик к/от VM с inside интерфейса (нет физических серверов в Inside) Служит default gateway для VMs с inside стороны Все IP с inside интерфейса должны быть в одной подсети с inside интерфейсом Virtual Security Gateway (VSG) ASA 1000V
  • 19. • Взаимодополняющая модель безопасности ̶ ̶ Cisco Virtual Secure Gateway (VSG) для внутренней безопасности зоны арендатора VMware vCenter Cisco® Virtual Network Management Center (VNMC) Арендатор A Арендатор B VDC VDC vApp Cisco ASA 1000V для безопасности границы арендатора Cisco VSG • Прозрачная интеграция Cisco VSG С помощью Cisco Nexus® 1000V коммутатора и Cisco vPath ̶ • Расширяем гибкость решения для решения потребностей облака ̶ Много-экземплярное развертывание для масштабирования в ЦОД vApp Cisco VSG Cisco VSG Cisco ASA 1000V Cisco ASA 1000V Cisco vPath Hypervisor Cisco Nexus® 1000V
  • 20. • Один арендатор может иметь до трех уровней вложенности • Каждый подуровень может иметь множественные организации • Поддерживаются пересекающиеся адресные планы арендаторов Уровень Арендатора vDC Уровень vApp Уровень Уровень узла Tier 1 DC 1 Арендатор A App 1 App 2 Tier 3 DC 2 Root Арендатор B Tier 2 DC 3
  • 21. Уровень доступа арендатора
  • 22. Отдел серверной поддержки VMware vCenter Отдел безопасности Атрибуты VM Профили портов Cisco® VNMC Профили безопасности Cisco Nexus® 1000V Управление сетью XML API Сторонние утилиты управления и оркестрации Мультиарендаторный менеджер Динамическое управление по политикам Гибкость по средствам XML API
  • 23. VMWare vCenter VM атрибуты VM-to-IP Binding VSM (Nexus) VSM Взаимодействие портовых профилей Пакеты Virtual Network Management Center (VNMC) Профили безопасности и профили устройств VM атрибуты VSN VSG VSG Путь данных vPath Nexus 1000V Профили безопасности профили устройств VSN ASA ASA Inside и Outside ESX Servers Пакеты
  • 24. Nexus VSM VNMC ASA 1000V VSG
  • 25. VM VM VM VM VM VM VM VM VM 1 VM VM VM VM VM 2 VM VM VM 1 Nexus 1000V Distributed Virtual Switch vPath VSG 2 Inside Outside ASA ASA не участвует в пути связи между VM одной подсети vPath Encap links Traffic Path
  • 26. Пример внедрения VM VM VM VM VM VM VM VM VM 1 VM VM VM VM VM 2 VM VM VM 4 VSG 3 Nexus 1000V Distributed Virtual Switch vPath Inside Outside ASA vPath Encap links Traffic Path
  • 27. Пример внедрения VM VM VM VM VM VM VM VM VM 1 VM VM VM VM VM 2 VM VM VM Nexus 1000V Distributed Virtual Switch vPath VSG Inside Outside ASA vPath применяет политику на VEM уровне и политика сгружается от VSG к VEM vPath Encap links Traffic Path
  • 28. Очередность сервисов VM VM VM VM VSG решение загружается на VEM VM VM VM VM VM 2 VM VM VM VM VM VM VM VSG VM 1 Nexus 1000V Distributed Virtual Switch vPath Inside Outside ASA vPath Encap links Traffic Path
  • 29. Очередность сервисов VM VM VM VM VM VM VM VM VM VM VM VM VM VM VM VM VM VSG 3 4 Nexus 1000V Distributed Virtual Switch vPath Inside Outside ASA ASA Inline Enforcement 5 Пакет выходит из виртуализированной инфраструктуры vPath Encap links Traffic Path
  • 30. VSG Требования к развертыванию VMWare vSphere 4.0+ и Virtual Center Nexus 1000V Series коммутатор ( v1.4 и более) vSphere vPath Один и более Активных VSGs на арендатора Virtual Network Management Center (VNMC) Заметка: Лицензирование основано на количестве защищаемых CPU сокетов (как и Nexus 1000V) VSG может защищать часть Nexus 1000V-
  • 31. ASA1000V Требования к развертыванию VMWare vSphere 4.1+ и Virtual Center vSphere Nexus 1000V Series коммутатор (4.2(1)SV1(5.2) и более) Один и более Активных ASA на арендатора Virtual Network Management Center (VNMC) Заметка: Лицензирование основано на количестве защищаемых CPU сокетов (как и Nexus 1000V) ASA может защищать часть Nexus 1000V- vPath
  • 32. Безопасность виртуализации вычислений (серверная виртуализация)
  • 33. С чем сталкиваются заказчики ? Внедрение политик информационной безопасности  Проблемы переноса политики с физических серверов на виртуальные Web App DB Server Server Server  vMotion и аналоги могут нарушать политику Hypervisor Сегментация и изоляция VLANs  Потеря изоляции VM из-за ошибок конфигурации или атак Virtual Contexts  Уязвимости гипервизора и систем управления Отсутствие наблюдаемости  Отсутствие контроля над трафиком между VMs Риски эксплуатации  Разделение полномочий админов серверов, сети и безоп.  Часто администраторы имеют завышенные полномочия  Несвоевременная установка обновления на VMs и гипервизор  “Забытые” виртуальные машины
  • 34. Безопасность гипервизора - ключ к безопасности среды виртуализации VMSA-2009-0006 Уязвимость в ESX 3.5, Workstation, etc. Исполнение кода из VM Guest на хосте Переполнение буфера в графическом драйвере Експлойт Blue Pill разработанный Йоанной Рутковской для процессоров AMD переносил хостовую ОС в виртуальную среду (2006) Классические уязвимости среды виртуализации
  • 35. Время не стоит на месте Уязвимость в реализации инструкции SYSRET всех выпущенных x86-64 процессоров Intel позволяет выходить за пределы виртуальной машины - http://www.xakep.ru/post/58862/ 19.06.2012 http://www.xakep.ru/post/58862/ Как взломать Vmware vCenter за 60 секунда http://2012.confidence.org.pl/materials - Май 2012 VASTO (Virtualization ASsessment Toolkit) – Первый модуль поиска уязвимостей виртуализации для Metasploit доступен для широкой публики http://vasto.nibblesec.org/
  • 36. Внедрение политик и сегментация для виртуальных машин
  • 37. Сегментация и изоляция VM Обеспечение согласованной политики в пределах физических и виртуальных границ сети 1. Сегментация на уровне фабрики UCS Fabric Interconnect 2. Сетевая сегментация на коммутаторе Nexus 1000V или физический коммутатор ЦОД 3. Сегментация на физических устройствах безопасности ASA 5585-X, IPS 4. Сегментация на виртуальных устройствах безопасности Cisco Virtual Security Gateway, Cisco ASA 1000V
  • 38. 1 Сегментация на Унифицированной фабрики Cisco ® UCS VIC (Virtual Interface Card) поддерживает VM-FEX (VN-Link) Port Profiles Definition Cisco UCS с сетевой картой VIC С VM-FEX, каждой виртуальной машине унифицирует виртуальные(Nexus (VM) предоставляется выделенный порт коммутатора доступа в ЦОД и физические сети 5500 или Fabric Interconnect) WEB Apps HR DB Весь трафик VM отсылается Compliance Hypervis or vEth Physical Network Hypervis or непосредственно на порт коммутатора VLAN Web VLAN HR VLAN DB VLAN Comp vNIC VM VM VM VM VM VM VM VM
  • 39. Сегментация на виртуальном коммутаторе Cisco Nexus 1000V 2 VM #1 Server 1 VM #2 VM #3 VM #4 VEM VMware vSwitch VMW ESX VM #5 Server 2 VM #6 VM #7 VM #8 Nexus 1000V VEM VMware vSwitch VMW ESX VM #9 Server 3 VM #10 VM #11 VM #12 VMware vSwitch VEM VMW ESX Nexus 1000V • До 64 виртуальных карты Virtual Ethernet Module (VEM) • 2 виртуальных супервизора Virtual Supervisor Module (VSM) Virtual Center Nexus 1000V • Политики безопасности • Технология vPath для подключения виртуальных межсетевых экранов VSM Поддержка гипервизоров : vSphere ; анонс для Win8/Hyper-V/KVM/Xen
  • 40. Возможности Nexus 1000V Безопасность Внедрение Наблюдаемость Управление L2 Switching, 802.1Q Tagging, VLAN Segmentation, Rate Limiting (TX)  IGMP Snooping, QoS Marking (COS & DSCP)  Коммутация  Policy Mobility, Private VLANs w/ local PVLAN Enforcement  Access Control Lists (L2–4 w/ Redirect), Port Security  Dynamic ARP inspection, IP Source Guard, DHCP Snooping  Automated vSwitch Config, Port Profiles, Virtual Center Integration  Optimized NIC Teaming with Virtual Port Channel – Host Mode  VMotion Tracking, ERSPAN, NetFlow v.9 w/ NDE, CDP v.2  VM-Level Interface Statistics  Virtual Center VM Provisioning, Cisco Network Provisioning, CiscoWorks  Cisco CLI, Radius, TACACs, Syslog, SNMP (v.1, 2, 3)
  • 41. Изоляция VM: Cisco Private VLAN • Private VLAN изоляция хостов из одной подсети на L2 • Поддержка традиционных Cisco PVLAN: порты Isolated и Community • Физическая инфраструктура понимает PVLAN Promiscuous Port Isolated VLAN Community VLAN
  • 42. Изоляция VM и контроль трафика • • • • ACL на портах Ограничение трафика между VM Настройки как между физическими серверами Использовать вместе с VLANs, PVLAN dcvsm(config)# ip access-list deny-vm-to-vm-traffic dcvsm(config-acl)# deny ip host 10.10.10.10 host 10.10.20.20 dcvsm(config-acl)# permit ip any any 10.10.10.1 10.10.20.20 Promiscuous Port 10.10.10.10 10.10.20.20
  • 43. Наблюдаемость: мониторим трафик между VMs с помощью физических IDS и анализатора Aggregation ID:2 ERSPAN DST Intrusion Detection ID:1 NetFlow Analyzer NetFlow SPAN Для снятия трафика используем коммутатор Nexus 1000V с поддержкой • NetFlow v9 • ERSPAN/SPAN Используем для детектирования • атак между серверами • нецелевого использования ресурсов • нарушения политики безопасности Нужно быть готовым к большому объему трафика Zone B Zone C VDC VDC vApp vApp vPath vSphere Nexus 1000V
  • 44. VSG/VNMC Шаги развертывания VMWare vCenter 2 1) 2) 3) 4) 5) 6) 7) Virtual Network Установка VNMC Management Center Регистрация VNMC в vCenter(VNMC) Регистрация VSM в VNMC Развертывание VSG Регистрация VSG в VNMC 3 Развертывание ASA Регистрация ASA to VNMC VSM 1 6 7 ASA 5 VSG 4 Заметка: vCenter, vSphere and Nexus 1000V (VSM & VEMs) предполагается что уже установлены; VSM может быть VM или Nexus 1110
  • 45. Определения • Compute Firewall Представление VSG виртуальной машины в VNMC. Используется для ассоциации конфигурации с VSG • Edge Firewall Представление ASA 1000V виртуальной машины в VNMC. Используется для ассоциации конфигурации с ASA 1000V
  • 46. Определения • Edge Device Profile Содержит сервисные политики, включая: routing, DHCP, и global VPN конфигурацию. Используется для применения конфигураций для конкретных ASA • Edge Security Profile Содержит политики безопасности: ACL, NAT, Protocol Inspections, VPN, и TCP Intercept Применяется используя vservice команду на Nexus 1000V Используется для применения конфигурации к конкретной ASA или группе VM
  • 47. Определения • Device Profile Содержит политику устройства, включая AAA, syslog, и SNMP колитики. Используется для применения политик к устройствам разных типов.
  • 48. Определения • Policy Set Содержит одну или более политик Назначаются профилю • Policy Содержит конкретные правила, такие как ACL записи, NAT настройки, инспекции протоколов и т.д.
  • 49. Формирование политики безопасности Policy Management > Firewall Policy > Tenant > Zones 1 2 3 4 5 6 Zones Policies Rules Conditions Policy Set SecurityProfile 7 Assign VSG 8 ProfileBinding
  • 50. Формирование политики безопасности Policy Management > Service Policies > Tenant > Policy helpers > Zones 1 2 3 4 5 6 Zones Policies Rules Conditions Policy Set SecurityProfile 7 Assign VSG 8 ProfileBinding
  • 51. Формирование политики безопасности Policy Management > Service Profiles > Tenant > Security Profile > Policy Set 1 2 3 4 5 6 Zones Policies Rules Conditions Policy Set SecurityProfile 7 Assign VSG 8 ProfileBinding
  • 52. Формирование политики безопасности Отредактируйте политику, чтобы создать правила, где Source и Destination основываются на атрибутах 1 2 3 4 5 6 Zones Policies Rules Conditions Policy Set SecurityProfile 7 Assign VSG 8 ProfileBinding
  • 53. Rule Политики Destination Condition Action Condition Source Condition Operator Attribute Type VM Attributes VM Attributes Operator Network Attributes eq Not-in-range Prefix Network Instance Name Port Profile Name IP Address neq VM Guest OS full name Cluster Name Network Port gt member Custom Zone Name Hypervisor Name lt Not-member range Contains Parent App Name
  • 54. Пример очередности сервисов Свяжем VSG и ASA 1000V для арендатора в цепочку vservice node ASA1 type asa — ip address 172.18.25.110 — adjacency l2 vlan 3770 vservice node VSG1 type vsg — ip address 192.168.1.97 — adjacency l3 vservice path chain-TenantA — node VSG1 profile sp-web order 10 — node ASA1 profile sp-edge order 20 port-profile type vethernet Tenant-A —org root/Tenant-A —vservice path chain-TenantA Обозначим сервисные ноды на Nexus 1000V Выставим цепочку и сервисных нод – очередь изнутри наружу Включим сервисную цепочку в портовом профиле 57
  • 55. Пример внедрения 3-х узловая серверная зона ASA 1000V - Edge Security Profile VSG - Compute Security Profile Web Client ASA: Разрешает только порт 80(HTTP) к Веб-Серверам ASA: NAT External IP 10.10.25.100 Web Server ASA: Блокирует все внешние запросы к ДБ серверам ASA Web-Zone Web Server IP – 192.168.1.1 Database-Zone DB Server IP – 192.168.1.2 App-Zone Client IP – 192.168.1.203 VSG VSG: Разрешает доступ к ДБ серверам только от WEB-серверов Арендатор-A VSG: Разрешает клиентам соединяться только к WEB-серверам, запрещает доступ к ДБ серверам
  • 56. Поддержка виртуализации в ASA Виртуальные контексты на семействе ASA FW_1 FW_2 FW_3 до 256 виртуальных контекстов на ASA 5585 и ASA SM (до 1000 контекстов на кластер с ASA 9.0) до 1024 VLAN, которые могут разделяться между контекстами (до 4000 VLAN на кластер с ASA 9.0) контексты в режиме L2 или L3 контекст – это полнофункциональный файервол контроль ресурсов для контекстов (MAC-адреса, соединения, инспекции, трансляции…) До 32 интерфейсов в L2-контекстах 4 интерфейса в бридж-группе. 8 бридж-групп на виртуальный контекст L2 L3 L2
  • 57. Цепочка сервисов безопасности в технологии vPath Интеллектуальный отвод трафика с vPath VM VM VM VM VM VM VM VM VM VM VM VM VM VM VM VM VM VM 4 VSG 5 Cisco Nexus 1000V ® vPath Distributed Virtual Switch 3 2 1 Cisco ASA 1000V ®
  • 58. Разделение обязанностей Серверная команда Команда по ИБ vCenter VNMC VM атрибуты XML API VNMC vCenter Manager / Orchestrator Tools Security Admin Server Admin • Nexus 1 KV Cisco Nexus 1000V Управление многопользовательскими ЦОД (multitenant) • Динамическое управление на основе политик • Гибкость с помощью внешнего XML API ® Network Admin Сетевая команда
  • 59. Безопасность облачных сервисов
  • 60. Эволюция безопасности в IT Физический ЦОД • Одно приложение на сервере • Ручная конфигурация политик Виртуальный ЦОД • Множество приложений на сервере • Динамич. конфигурация Облачный ЦОД • Множество пользователей на сервере • “Чужая” инфраструктура Гипервизор VDC-1 VDC-2 Согласованные : Политики, Функции безопасности, Управление Коммутация Nexus 7K/5K/3K/2K Nexus 1000V, VM-FEX Безопасность ASA 5585, ASA SM VSG*, ASA 1000V** Вычисления UCS for Bare Metal UCS for Virtualized Workloads * Virtual only, ** Announced
  • 61. Cloud Security Alliance (CSA)  “Security Guidance for Critical Areas of Focus in Cloud Computing” Whitepaper: комплексное руководство, которое говорит как защищать облачные архитектуры, как управлять Облаками и как безопасно использовать облачные среды: http://www.cloudsecurityalliance.org/csaguide.pdf  Также разработан модель угроз для облачных сред “Top threats to Cloud Computing” : http://www.cloudsecurityalliance.org/topthreats/csathreats.v1.0.pdf  В состав корпоративных членов CSA входят:
  • 62. Cloud Security Alliance: Руководство по безопасности облачных вычислений Архитектура облачных вычислений Управление облаком Governance & Enterprise Risk Management Legal & eDiscovery Compliance and Audit Data Life Cycle Management Portability & Interoperability Эксплуатация облачных сервисов Traditional Security Data Center Operations Incident Response Virtualization Identity & Access Management Application Security Encryption & Key Management
  • 63. Использование облаков требуют доверия!
  • 64. Полезные ресурсы по теме Cisco       Virtualization Security http://www.cisco.com/en/US/netsol/ns1095/index.html Design Guide: Security and Virtualization in the Data Center http://www.cisco.com/en/US/partner/docs/solutions/Enterprise/Data_Center/DC_3_0/dc_sec_design.html Cisco VMDC Unified Data Center for cloud or traditional environments. http://www.cisco.com/go/vmdc Vmware  Vmware Security Hardening Guide  http://www.vmware.com/resources/techresources/10198 Microsoft  Hyper-V Security Guide  technet.microsoft.com/en-us/library/dd569113.aspx PCI DSS  https://www.pcisecuritystandards.org/documents/Virtualization_InfoSupp_v2.pdf NIST - Guide to Security for Full Virtualization Technologies  http://csrc.nist.gov/publications/nistpubs/800-125/SP800-125-final.pdf Cloud Security Alliance  https://cloudsecurityalliance.org/
  • 65. Спасибо Пожалуйста, заполните анкеты. Ваше мнение очень важно для нас. 13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved.

×