• Share
  • Email
  • Embed
  • Like
  • Save
  • Private Content
Безопасность ЦОД-часть 2
 

Безопасность ЦОД-часть 2

on

  • 516 views

 

Statistics

Views

Total Views
516
Views on SlideShare
516
Embed Views
0

Actions

Likes
0
Downloads
132
Comments
0

0 Embeds 0

No embeds

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

    Безопасность ЦОД-часть 2 Безопасность ЦОД-часть 2 Presentation Transcript

    • Назим Латыпаев, nlatypae@cisco.com security-request@cisco.com
    • Организационные вопросы 1. Нам очень важно Ваше мнение – заполняйте, пожалуйста, предложенные анкеты, после каждой сессии! 2. Пожалуйста, помните, что в зале курить запрещено! 3. Пожалуйста, выключите ваши мобильные телефоны! 4. Пожалуйста, используйте мусорные ведра! 5. Пожалуйста, держите Ваш регистрационный пропуск при себе!
    • Современный центр обработки данных ПРОБЛЕМЫ, СТОЯЩИЕ ПЕРЕД БИЗНЕСОМ Динамичность бизнеса Непрерывность бизнеса Безопасность и соответствие нормативным требованиям Ограничения бюджета Тенденции бизнеса и технологий, оказывающие влияние на функционирование ЦОД Облако Интенсивный рост количества данных Быстрое увеличение количества устройств Энергосбережение ТЕНДЕНЦИИ ТЕХНОЛОГИИ
    • Основные характеристики и показатели современного ЦОД Высокая масштабируемость Обработка больших объемов рабочих нагрузок Ежедневное увеличение плотности виртуализации Элементы партнерских решений Данные ОС настольных систем Виртуализация настольных систем Высокая доступность Доступность свыше 99,999(9) и гарантированное предоставление сервисов Отсутствие простоев — отсутствие потери пакетов Приложение Приложение Посредник VDI Хранилищ е Гипервизор Динамические рабочие нагрузки Предоставление сервисов по запросу Безотлагательная необходимость выделения и координации новых сервисов и приложений Соответствие нормативным требованиям и управляемость Надежная поддержка неограниченного количества приложений и типов данных Возможности вычислений и хранения данных, соответствующие нормативным требованиям Структурированная сеть и мониторинг соблюдения норм Унифицированная коммутационная структура Унифицированные сетевые сервисы Унифицированные вычисления Платформа Cisco Data Center Business Advantage Такая же необходимость обеспечения безопасности
    • Основные приоритеты обеспечения безопасности ЦОД • Сегментация Установление границ: сеть, вычисления, виртуальные ресурсы • Реализация политики по функциям, устройствам, организациям • • • Контроль границ зоны и периметра Контроль доступа к информации, ее использования и утечки • Мониторинг Блокировка внутренних и внешних атак • Защита от угроз Контроль доступа к сетям, ресурсам, приложениям Обеспечение прозрачности использования • • Применение бизнес-контекста к работе сети Упрощение отчетности по операциям и соответствию нормативным требованиям 5
    • Основные приоритеты обеспечения безопасности ЦОД • Контроль доступа к сетям, ресурсам, приложениям Блокировка внутренних и внешних атак • Контроль границ зоны и периметра • Контроль доступа к информации, ее использования и утечки • Мониторинг Реализация политики по функциям, устройствам, организациям • Защита от угроз • • Сегментация Установление границ: сеть, вычисления, виртуальные ресурсы Обеспечение прозрачности использования • • Применение бизнес-контекста к работе сети Упрощение отчетности по операциям и соответствию нормативным требованиям 6
    • Апробированные проекты Cisco дают результаты ЦОД / Апробированные проекты защищенного ЦОД Cisco — www.cisco.com/go/vmdc «59% организаций не хватает лабораторных ресурсов или сред тестирования для подтверждения спецификаций поставщиков». — Институт SANS «В организациях явно недостаточно четко определенных стандартов, процедур и ресурсов для определения отказоустойчивости критически важных сетевых устройств и систем.... Необходима методичная проверка отказоустойчивости с использованием комбинации реального трафика, высокой нагрузки и атак, угрожающих безопасности сети». —SANS и TOGAG
    • Архитектура Формирование основы для защищенных проектов 8
    • Архитектура традиционного ЦОД - - - - - Архитектура Представлены компоненты как физической сетевой коммутационной структуры, так и виртуализации. Четко определенный периметр сети ЦОД (уровень 3) обеспечивает возможности подключения к (из) ЦОД и Интернету и внешней сети и предоставляет сервисы безопасности. Маршрутизация в ядре ЦОД (OSPF, BGP, EIGRP) выполняется с помощью ECMP. На уровне агрегации ЦОД находятся сервисы обеспечения физической безопасности, контролирующие потоки данных как без пересечения уровня ядра (восток-запад), так и с пересечением уровня ядра (север-юг). На уровнях агрегации, вычислений и доступа представлены различные варианты развертываний как в конце ряда стоек (EoR), так и в верхней части стойки (ToR). Виртуальные сервисы безопасности используют виртуальные коммутаторы Nexus 1000v. 9
    • Проект традиционного защищенного ЦОД — базовый и упрощенный Центр обработки данных 2 2 Виртуальная 1 Физическая сетевая коммутационная структура 1 A Внешний периметр сети ЦОД B Внутреннее зонирование ЦОД коммутационная структура и вычислительная среда A Виртуальные рабочие нагрузки B Виртуальные сервисы 1. 1 Физическая сетевая коммутационная структура 1 — формирует общую физическую инфраструктуру для перемещения пакетов в рамках ЦОД (направления — север, юг, восток, запад) — использует технологии коммутации Cisco Nexus уровня ЦОД A Внешний периметр сети ЦОД — (внешнее зонирование) — граница между ЦОД и остальной корпоративной сетью (или Интернетом) (север-юг) B Внутренние зоны ЦОД — внутреннее разделение с учетом состояния — предоставляют возможность формирования защищенных зон или надежных анклавов в рамках сетевой коммутационной структуры ЦОД с безопасным разделением с помощью внешних зон ЦОД или других внутренних зон ЦОД (сервер-юг) — должны изначально использовать преимущества оптимизированной сетевой инфраструктуры без нарушения правильно определенных целей проектирования ЦОД Высокая доступность / Отсутствие простоев Масштабируемость / Обработка больших объемов рабочих нагрузок Отказоустойчивость / Избыточность Малая задержка / Отсутствие потери пакетов Потоки асимметричного трафика
    • Проект традиционного защищенного ЦОД — базовый и упрощенный Центр обработки данных 2 2 Виртуальная 1 Физическая сетевая коммутационная структура 1 A Внешний периметр сети ЦОД B Внутреннее зонирование ЦОД коммутационная структура и вычислительная среда A Защищенные виртуальные рабочие нагрузки B Виртуальные сервисы обеспечения безопасности Виртуальная коммутационная структура и вычислительная среда — формирует общую виртуальную инфраструктуру для перемещения пакетов в рамках виртуализованного ЦОД — использует технологии виртуализации и вычислений Cisco Nexus, системы унифицированных вычислений (UCS) и ПО для виртуализации, например VMWare, Citrix и т. д. A Защищенные виртуальные рабочие нагрузки — защита всех запросов пользователей и приложений виртуальной системы — обычно определяются как независимые единицы: интегрированный стек, состоящий из приложения, связующего ПО, базы данных и операционной системы, который предназначен для выполнения конкретной вычислительной задачи B Виртуальные сервисы обеспечения безопасности — виртуальные сервисы, определенные для успешной защиты и оптимизации виртуальной рабочей нагрузки — виртуальные МСЭ, виртуальная маршрутизация, управление сетями, виртуальные системы распределения нагрузки, Cloud Interconnect, сети VPN и т. д. 2 1. 2
    • Архитектура Защищенный ЦОД: стандартные сценарии использования 1 Защита внутренней зоны от внешней зоны 2 Интернет Защита данных в сценарии обеспечения соответствия требованиям [PCI, FISMA, HIPAA и т. д.] VDC1 CTX1 ДМЗ CTX2 vPC VDC2 Cisco VXI vPC Комплекс зданий / ЦОД 3 Защита уровней приложений Защищенная многопользовательская среда 4 Внешняя сеть Внешний интерфейс (Представление) Поставщик CTX1 CTX1 CTX2 Партнер Веб-уровень (бизнес-логика) CTX2 vPC Уровень баз данных (доступ к данным)
    • Архитектура Защищенный ЦОД: сценарии расширенного развертывания VDC1 VDC2 1 Традиционный (физический) ЦОД 2 vPC VMDC Настраиваемый ЦОД Виртуальный ЦОД IPSEC/SSL 3 5 Виртуальный рабочий стол Виртуальное частное облако Интернет Cisco VXI 6 Общедоступное Платформа как услуга (PaaS) облако 4 Физическая среда Виртуальная среда Внутреннее частное облако Частное облако ПО как услуга (SaaS) Общедоступное облако
    • Архитектура Развивающаяся архитектура ЦОД  Цель 1. Понять текущий подход (Разделение элементов проекта)  Цель 2. Понять имеющиеся варианты создания более эффективной архитектуры (Повторная сборка элементов в более гибкий проект) Уровень агрегации • • • • Рабочая нагрузка локализована в блоке агрегации Централизованное место для входящих и исходящих потоков данных ЦОД Может быть пограничной точкой для уровней 2 и 3 Возможность масштабирования сервисов по мере расширения ЦОД Уровень ядра ЦОД Уровень 3 Уровень 2 Уровень агрегации ЦОД Уровень сервисов (дополнительно) • • • Дополнительное расположение сервисов для конкретной защиты и оптимизации фермы серверов Сервисы, локализованные в приложениях, запущенных на серверах, которые подключены к физическому оборудованию — системам SLB, мониторам и т. д. Разгрузка использования портов с уровня агрегации Уровень сервисов ЦОД Уровень доступа ЦОД Виртуальная сеть и доступ • • • Физические и виртуальные форм-факторы для подключений серверов Расположение в верхней части стойки обеспечивает достаточную плотность портов для подключений серверов Точка объединения физических и виртуальных сетей Хранилище Аутентификация безопасности данных и контроль доступа Виртуальный доступ UCS Виртуальный межсетевой экран Мониторинг в режиме реального времени Правила межсетевого экрана Аутентификация безопасности портов, функции QoS 14
    • Архитектура Развивающаяся архитектура ЦОД Добавление сервисов многоуровневой защиты Периметр ЦОД • Физическое определение всего входящего и исходящего трафика для ЯДРА ЦОД — традиционные модели безопасности применяются к защите в направлении север-юг Уровень агрегации • • • Начальный фильтр для всего входящего и исходящего трафика для сервисов и вычислительной среды ЦОД — защита в направлении север-юг Фильтрация и ведение журнала с учетом состояния для всех потоков входящего и исходящего трафика Физические устройств могут быть виртуализованы и применены к группам серверов Уровень сервисов (дополнительно) • Дополнительное расположение сервисов для конкретной защиты и фермы серверов и других зон Виртуальная сеть и доступ • • • • Виртуальный МСЭ, фильтрация на основе зон или анклавов Списки управления доступом на основе IP Политики ВМ на основе атрибутов — необходимость следования ВМ Защита в направлении восток-запад Хранилище Виртуальный доступ Аутентификация безопасности данных и контроль доступа Виртуальный межсетевой экран Мониторинг в режиме реального времени Правила межсетевого экрана 15 UCS Аутентификация безопасности портов, функции QoS
    • Соединения Проекты VDC и VPC
    • Проект традиционного защищенного ЦОД — лучшие практики формирования сетевой коммутационной структуры 1 1 1. ЦОД 1 Физическая сетевая коммутационная структура 1 A Внешний периметр сети ЦОД B Внутреннее зонирование ЦОД 2 Виртуальная коммутационная структура и вычислительная среда A Виртуальные рабочие нагрузки B Виртуальные сервисы Физическая сетевая коммутационная структура — использование всех возможностей коммутационной инфраструктуры Cisco Nexus — безопасность является всесторонней несмотря на то, что она иногда снижает уровень удобства; сокращение необходимой функциональности сети недопустимо. A Внешний периметр сети ЦОД — (внешнее зонирование) — использование подключений периметра (маршрутизация) — обеспечение безопасности на уровне периметра (как минимум, использованием МСЭ) — возможность успешного применения функций межсетевой защиты уровня 3 (с NAT или без NAT) — обеспечение дополнительного мониторинга и защиты с помощью систем IPS и систем нового поколения — если в периметре ЦОД требуются функции объединения, высокоскоростного МСЭ, ASR1000 предоставляет возможности МСЭ с производительностью до 100 Гбит/c с высокой доступностью с учетом состояния — разнесение путей в ЦОД (если это возможно). Без учета состояния с федерацией для аутентификации в приложении, учет состояния с федерацией для соответствия нормативным требованиям B Внутренние зоны ЦОД — внутреннее разделение с учетом состояния — поддержка маршрутизации (прозрачный режим развертывания МСЭ) — использование vPC/vPC+ и (или) технологии FabricPath для повышения эффективности потока трафика ЦОД — ожидается, что все потоки будут асимметричными, поэтому они должны поддерживаться проектом зоны — дополнительная потеря пакетов не предусматривается — должны поддерживаться обновления МСЭ с нулевым временем задержек — важное значение имеет отказоустойчивость и высокая доступность в МСЭ и устройствах IPS
    • Соединения Создание эффективной коммутационной структуры ЦОД с возможностью масштабирования Масштабирование сетевой коммутационной структуры — виртуальный контекст (Virtual Device Context, VDC) VDC 1 Виртуальные контексты (VDC) Протоколы 2-го уровня VLAN UDLD PVLAN CDP STP 802.1X LACP CTS … Протоколы 3-го уровня OSPF GLBP BGP HSRP EIGRP IGMP PIM SNMP … VDC 2 Протоколы 2-го уровня VLAN UDLD PVLAN CDP STP 802.1X LACP CTS … Протоколы 3-го уровня OSPF BGP EIGRP PIM GLBP HSRP IGMP SNMP … Nexus 7000 VDC — виртуальный контекст (до 8 VDC плюс 1 контекст VDC управления — SUP2E с NXOS 6.04/6.1)  Гибкое разделение и распределение аппаратных ресурсов и программных компонентов  Полное разделение уровня данных и уровня управления  Полная локализация программных сбоев  Безопасно определенные административные контексты  Каждый физический интерфейс может быть активен только в одном виртуальном контексте (VDC) 18
    • Соединения Использование VDC для вертикальной консолидации Один из самых распространенных способов использования VDC • Возможность консолидации уровней ядра и агрегации при одновременном сохранении иерархии сети • Без сокращения количества портов или каналов, но с уменьшением числа физических коммутаторов ‒ Медные кабели Twinax (CX-1) являются недорогим вариантом осуществления межсоединений 10G Ядро Ядро Агрегаци я Доступ Ядро Агрегаци я Агрегаци я
    • Соединения Использование VDC для интернет-периметра, ДМЗ, ядра сети  Возможность удовлетворения нескольких потребностей — VDC интернетпериметра (XL), ДМЗ и ядра сети  Поддержка модели обеспечения безопасности с логическим разделением Интернет Интернетпериметр (XL) Интернетпериметр (XL) ДМЗ ДМЗ Ядро ДМЗ Интернетпериметр (XL) Ядро Ядро Межсетевые экраны для потоков трафика между контекстов VDC и внутри них
    • Соединения Сертификация безопасности VDC  Разделение контекстов VDC является сертифицированным отраслевым механизмом защиты от утечки информации  Лаборатории NSS для сред, соответствующих стандартам PCI — http://www.nsslabs.com  FIPS 140-2 http://csrc.nist.gov/groups/STM/cmvp/documents/140-1/140InProcess.pdf  Стандарт Common Criteria Evaluation and Validation Scheme — сертификат №10349 http://www.niap-ccevs.org/st/vid10349/ 21
    • Соединения Использование контекстов VDC для сегментации в соответствии с требованиями PCI • Поддержка соответствующей требованиям модели безопасности с физическим разделением ‒ Расположение МСЭ и системы IPS на границе зоны CDE в соответствии со стандартом PCI-DSS 2.0 Интернет Интернетпериметр (XL) Ядро Интернетпериметр (XL) PCI PCI Ядро PCI Интернетпериметр (XL) Ядро
    • Создание эффективной коммутационной структуры ЦОД с возможностью масштабирования Соединения Логическая топология без vPC Масштабирование сетевой коммутационной структуры — Virtual Port Channel (vPC) • • Исключение портов, заблокированных протоколом STP • Упрощение путей уровня 2 за счет поддержки неблокирующих параллельных путей уровня 2 без циклов • Работа двудомного сервера в режиме «активный-активный» • Агрегация Предоставление одному устройству возможности использования портаканала между двумя коммутаторами восходящей связи (MCEC) Обеспечение быстрой конвергенции после отказа канала или сбоя устройства Доступ Логическая топология с vPC ! Enable vpc on the switch dc11-5020-1(config)# feature vpc Агрегация Одноранговые каналы vPC MCEC ! Check the feature status dc11-5020-1(config)# show feature | include vpc vpc 1 enabled Доступ Одноранговые каналы vPC MCEC 23
    • Что такое Virtual Port Channel (vPC)? • vPC — это принцип расширения агрегации канала до двух отдельных физических коммутаторов. • vPC позволяет одному устройству использовать порт-канал между двумя соседними коммутаторами (одноранговые каналы vPC). • • Соединения Одноранговый канал vPC применяется для синхронизации состояния между одноранговыми устройствами vPC. Он должен поддерживать 10GE. Исключает порты, заблокированные протоколом STP, задержки и вычисления STP и использует доступную полосу пропускания канала восходящей связи («активныйактивный»). ‒ Не отключает STP — это делает FabricPath. • Поддерживается только в коммутаторах NX-OS. • Рекомендуется для постоянного использования LACP для динамических групп объединения каналов. • Руководство по проектированию vPC и лучшие практики: http://www.cisco.com/en/US/prod/collateral/switches/ps9441/ps9670/C07-57283000_Agg_Dsgn_Config_DG.pdf ОДНОРАНГОВЫ Й КАНАЛ VPC
    • Соединения Причины использования vPC — Multi-Chassis Etherchannel (MEC) Без порт-канала: STP допускает использование только одного активного канала Неоптимальное использование потоков и ресурсов Порт-канал LACP с одним шасси: Оба канала активны, но избыточность устройств отсутствует (один коммутатор) Распределение нагрузки LACP истназнач-IP (хэш) vPC порт-канал LACP с несколькими шасси: Оба канала активны, оптимальная избыточность, все каналы активны Распределение нагрузки LACP истназнач-IP (хэш) ОДНОРАНГОВЫЙ КАНАЛ VPC Открытый документ Cisco © Компания Cisco и (или) ее дочерние компании, 2013 г. Все права защищены. 25
    • Соединения VPC с несколькими устройствами ASA — аварийное переключение «активный-резервный» или «активный-активный» • Часть архитектуры CVD с июля 2011 г. • vPC предотвращает потерю пакетов в случае сбоя канала, отказа коммутатора, сброса VDC или потери однорангового канала vPC. Канал ASA 32 Каналы состояния и аварийного переключения ‒ Работает при аварийном переключении «активный-резервный» или «активный-активный» (и при кластеризации ASA 9x). • Позволяет ASA поддерживать необходимые технологии избыточности для ЦОД с ожидаемой асимметричностью потоков. • ASA является единственным МСЭ для ЦОД на рынке, которое одновременно выполняет следующие действия: 1. Выполнение стандартизованного LACP протокола для динамической группы агрегирования каналов в системе виртуальных коммутаторов (VSS)Nexus vPC/vPC+ или Cat6000 с соответствующими семантиками объединения. отсутствие «черных дыр» в трафике или потери состояния из-за ожидаемой асимметрии потоков или беспорядочных пакетов N7000 VPC 41 N7000 VPC 40 ОДНОРАНГОВЫЙ КАНАЛ VPC 2. Поддержка всех тех же самых значений хэша распределения нагрузки, что и в коммутационной структуре [def. = src-dst IP]. 3. Поддержка динамической группы агрегирования каналов (протокола LACP) во всех режимах: маршрутизируемом, прозрачном, мультиконтекстном, со смешанными контекстами, кластеризованном. 4. Успешная обработка ожидаемой асимметрии потоков и беспорядочных пакетов, поступающих с нескольких шасси одновременно. Открытый документ Cisco © Компания Cisco и (или) ее дочерние компании, 2013 г. Все права защищены. 26
    • Соединения Подключение ASA к Nexus с помощью vPC (базовое) interface Ethernet4/1 switchport mode trunk channel-group 40 mode active no shutdown ! interface Ethernet4/2 switchport mode trunk channel-group 40 mode active no shutdown ! interface port-channel4 0 switchport switchport mode trunk switchport trunk allowed vlan 1,200,201 vpc 40 ! vpc domain 10 role priority 50 peer-keepalive dest 10.1.1.2 source 10.1.1.1 vrf vpc-mgmt peer-gateway Примечание. В примере приведена только одна часть конфигурации: N7K1 и ASA1. Полная конфигурация предполагается. ASA подключается к Nexus с помощью vPC и формирует пару внешней зоны ЦОД между VL200 (сервер) и VL201(юг). В этом примере ASA развертывается в прозрачном режиме (уровень 2) с целью сокращения числа изменений сетевой коммутационной структуры (более подробное обсуждение см. позднее). ОДНОРАНГОВЫЙ КАНАЛ VPC Сеть VLAN 200 северной зоны interface TenGigabitEthernet0/6 channel-group 32 mode active vss-id 1 no nameif no security-level ! interface TenGigabitEthernet0/7 channel-group 32 mode active vss-id 2 no nameif no security-level ! interface BVI1 ip address 172.16.25.86 255.255.255.0 ! interface Port-channel32 no nameif no security-level ! interface Port-channel32.201 mac-address 3232.1111.3232 vlan 201 nameif inside bridge-group 1 security-level 100 ! interface Port-channel32.200 mac-address 3232.1a1a.3232 vlan 200 nameif outside bridge-group 1 security-level 0 N7000 VPC 40 Транки VPC Канал ASA 32 VLAN 200 снаружи VLAN 201 внутри Сеть VLAN 201 южной зоны
    • Соединения Подключение ASA к Nexus с помощью vPC (лучшие практики) • ASA подключается к Nexus с помощью нескольких физических интерфейсов в vPC. ‒ • ASA можно настроить для аварийного переключения после потери определенного количества каналов (при использовании высокой доступности). Следует учесть, что для каждого ASA в коммутаторе Nexus используются разные идентификаторы vPC (это отличие от функции кластеризации ASA и cLACP [не показано]) Ядро ЦОД / ПЕРИМЕТР Уровень 3 Уровень 2 SVI VLAN200 SVI VLAN200 ОДНОРАНГОВЫЙ КАНАЛ VPC FHRP FHRP N7000 VPC 40 VPC Канал ASA 32 N7000 VPC 41 VPC Транки VPC VPC Уровень агрегации VLAN 200 снаружи Сеть VLAN 200 северной зоны Высокая доступность МСЭ VLAN 201 внутри ОДНОРАНГОВЫЙ КАНАЛ VPC Уровень доступа VPC Сеть VLAN 201 южной зоны
    • Сегментация Основные элементы защищенного проекта
    • Сегментация Основной элемент безопасности: сегментация • Не являясь технологией обеспечения безопасности, сегментация долгое время использовалась в качестве средства группировки схожих ресурсов с целью применения конкретной конфигурации или политики. • Иногда сегментация предоставляет технические преимущества. • Примером служит использование сетей VLAN для сокращения объема трафика широковещательного домена уровня 2 и повышения производительности сети. • Как правило, VRF (виртуальная маршрутизация и пересылка) используется для виртуализации сервисов уровня 3. • VDC (виртуальные контексты) на платформах Nexus позволяют развертывать несколько независимых виртуализованных коммутаторов в одном физическом коммутаторе. • Зоны — это общий термин, относящийся к единицам в ЦОД, которые имеют аналогичные особенности и могут упростить сложность эксплуатации с помощью физических и виртуализованных узлов и сервисов. 30
    • Сегментация Основной элемент безопасности: сегментация 6 уровней разделения Основные элементы сегментации Nexus 7000 Nexus 7000 1. Виртуальный контекст VDC1 2. Виртуальная маршрутизация и пересылка (VRF) Можно без труда использовать функцию VRF-Lite, поскольку для нее не требуется MPLS 3. Сети VLAN 4. Метки для групп безопасности (SGT в пакете) 5. Шифрование 802.1AE MACSEC ASA 6. Виртуальный контекст МСЭ (виртуализованный МСЭ) VRF1 VRF2 VRF3 CTX1 CTX2 CTX3 VLANx1 VLANy1 VLANz1 VLANx2 VLANy2 VLANz2 SGT SGT SGT SGT ASA Вирт. МСЭ SGT SGT 802.1AE (шифрование)
    • Режимы развертывания межсетевого экрана
    • Сегментация Проект межсетевого экрана: режимы работы • Маршрутизируемый режим является традиционным режимом работы МСЭ. Два или более интерфейсов, которые разделяют домены уровня 3. • В прозрачном режиме МСЭ выступает в роли моста, работая, главным образом, на уровне 2. • Мультиконтекстный режим предполагает использование виртуальных МСЭ, которые могут работать либо в маршрутизируемом, либо в прозрачном режиме. • Смешанный режим представляет собой принцип использования виртуализации для сочетания виртуальных МСЭ в маршрутизируемом и прозрачном режиме. • МСЭ, функционирующие в ЦОД в прозрачном режиме, предоставляют ряд уникальных преимуществ. 33
    • Режимы развертывания межсетевого экрана
    • Сегментация Проект межсетевого экрана: режимы работы • Маршрутизируемый режим является традиционным режимом работы МСЭ. Два или более интерфейсов, которые разделяют домены уровня 3. • В прозрачном режиме МСЭ выступает в роли моста, работая, главным образом, на уровне 2. • Мультиконтекстный режим предполагает использование виртуальных МСЭ, которые могут работать либо в маршрутизируемом, либо в прозрачном режиме. • Смешанный режим представляет собой принцип использования виртуализации для сочетания виртуальных МСЭ в маршрутизируемом и прозрачном режиме. • МСЭ, функционирующие в ЦОД в прозрачном режиме, предоставляют ряд уникальных преимуществ. 35
    • Сегментация Причины развертывания прозрачного режима • Для использования межсетевого экрана уровня 2 не требуется вносить изменения в существующую сетевую коммуникационную структуру Nexus. • • На МСЭ не нужно выполнять протоколы маршрутизации и он не должен быть шлюзом сегмента. • • • • • • Процесс развертывания так же прост, как изменение ИД VLAN узла. МСЭ больше подходят для анализа на основе потоков (а не для пересылки пакетов, как маршрутизатор). Протоколы маршрутизации могут устанавливать связи в рамках МСЭ. Пересекать МСЭ могут такие протоколы, как HSRP, VRRP, GLBP. Через МСЭ могут проходить потоки многоадресной рассылки. Разрешается трафик, отличный от IP (IPX, MPLS, BPDU). (CVD) В 9 из 10 сценариев внутреннего зонирования вместо маршрутизируемого МСЭ (уровня 3) рекомендуется развернуть прозрачный МСЭ (уровня L2). 36
    • Сегментация Межсетевой экран — прозрачный режим Межсетевой экран уровня 2 • МСЭ функционирует в качестве моста (встроенного в канал) на уровне 2. Без явного списка ACL передаются только пакеты ARP. • Использует стандартные списки ACL. • Не пересылает протокол Cisco Discovery Protocol (CDP). • Та же самая подсеть существует во всех интерфейсах в группе моста. • Разные сети VLAN во внутренних и внешних интерфейсах. • Наряду с расширенными списками ACL для ограничения или разрешения использования протоколов уровня 2 можно применять EtherType ACL. 37
    • Сегментация Требования к прозрачному режиму • Для управления и передачи трафика через прозрачный МСЭ требуется BVI-адрес. • Шлюзы уровня 3 по умолчанию для узлов задаются на обратной стороне МСЭ, НЕ в IP-адресе управления МСЭ. • Для группы мостов допускается использование не более 4 интерфейсов. • • Всего 32 интерфейса для каждого контекста вирт. МСЭ. • • До 8 групп мостов для каждого виртуального контекста. Всего 1000 сетей VLAN. В мультиконтекстном режиме интерфейс не может быть общим для всех контекстов (вирт. МСЭ). 38
    • Конфигурация прозрачного режима в ЦОД (2 интерфейса) interface TenGigabitEthernet0/6 channel-group 32 mode active vss-id 1 no nameif no security-level ! interface TenGigabitEthernet0/7 channel-group 32 mode active vss-id 2 no nameif no security-level ! interface BVI1 ip address 172.16.25.86 255.255.255.0 ! interface Port-channel32 no nameif no security-level ! interface Port-channel32.201 mac-address 3232.1111.3232 vlan 201 nameif inside bridge-group 1 security-level 100 ! interface Port-channel32.200 mac-address 3232.1a1a.3232 vlan 200 nameif outside bridge-group 1 security-level 0 SVI VLAN200 172.16.25.253 FHRP – 172.16.25.1 SVI VLAN200 172.16.25.254 FHRP – 172.16.25.1 Сеть VLAN 200 северной зоны VPC VLAN 200 снаружи VLAN 201 внутри VPC 172.16.25.86/24 Разрешенный транк 1,201 Сервер в сети VLAN 201 Сеть VLAN 201 южной зоны
    • Прозрачный режим ASA: локальное место назначения 1 1 10.10.44.100 Запрос сеанса к серверу 172.16.25.200 из источника 10.10.44.100 1 1 SVI VLAN200 172.16.25.254 FHRP – 172.16.25.1 SVI VLAN200 172.16.25.253 FHRP – 172.16.25.1 2 2 Сеть VLAN 200 северной зоны 22 4 4 Запрос ARP (или поиск) 172.16.25.200 в VLAN 200 — отклик ARP с ASA с локальным MAC-адресом (снаружи) в маркере VLAN 200. Пакет запроса ARP фактически проходит через ASA и во время возврата к N7000 ASA обновляет таблицу MAC-адресов MAC-адресом сервера с VLAN 201 (внутри). Он пересылает запрос на Nexus 7000 с внешним MAC-адресом интерфейса и маркером VLAN 200 (перезаписанным). Теперь Nexus может направлять трафик через ASA на сервер. 33 Поскольку у Nexus 7000 отсутствует SVI для VLAN 201, он пересылает пакеты по своему локальному транку, допускающему использование маркера VLAN 201, — с южной привязкой к 5000. Исходным MAC-адресом является адрес ASA. 55 VLAN 200 снаружи ASA получает пакет с адресом назначения сервера 172.16.25.200 и обрабатывает политику безопасности. Если разрешено, устройство пересылает пакет обратно на Nexus 7000 с маркером VLAN 201. 44 VPC Запрос доставляется на сервер 172.16.25.200 в сети VLAN 201. 3 3 VLAN 201 внутри VPC Разрешенный транк 1, 201 5 5 Сеть VLAN 201 южной зоны Сервер в сети VLAN 201 172.16.25.200
    • Прозрачный режим ASA: удаленное место назначения 1 1 10.10.44.100 Возврат пути с сервера 172.16.25.200 в сети VLAN 201 по адресу удаленного назначения 10.10.44.100 5 5 SVI VLAN200 172.16.25.254 FHRP – 172.16.25.1 SVI VLAN200 172.16.25.253 FHRP – 172.16.25.1 22 33 Пакет, полученный в Nexus 7000 с сервера в сети VLAN 201. MAC-адрес в таблице, обрабатывающей эти пакеты, является внутренним интерфейсом ASA (из примера с южной привязкой). Трафик перенаправляется к маркеру VLAN 201 ASA (внутри). ASA получает пакет с адресом назначения 10.10.44.100 и обрабатывает исходящую политику безопасности (если таковая имеется). Поскольку в качестве значения интерфейса по умолчанию используется интерфейс с низким уровнем доверия, передача трафика должна быть разрешена. Если MAC-адрес ASA отсутствует в таблице, устройство отправляет пакет ICMP-Echo по адресу 10.10.44.100 (источник из IP-адреса BVI) с TTL=1. FHRP в Nexus 7000 сообщит об истечении времени, MAC-адрес = FHRP MAC VLAN 200 (снаружи) обновит таблицу MACадресов ASA с помощью сопоставления MAC- и IP-адресов Nexus 7000 в сети VLAN 200 (снаружи). 4 4 Nexus выполняет запрос ARP (если необходимо) для стандартной функции маршрутизации. Запрос пересылается по адресу назначения 10.10.44.100. Сеть VLAN 200 северной зоны 2 2 VPC VLAN 200 снаружи 3 3 VLAN 201 внутри VPC ASA перенаправляет пакет по адресу Nexus 7000 SVI (FHRP) 172.16.25.1 в сети VLAN 200 для доставки по адресу назначения 10.10.44.100. 5 5 4 4 Разрешенный транк 1, 201 1 1 Сервер в сети VLAN 201 172.16.25.200 Сеть VLAN 201 южной зоны
    • Сегментация Межсетевой экран — контексты виртуального МСЭ смешанного режима • Смешанный режим — это концепция использования виртуальных МСЭ, часть из которых запущена в режиме маршрутизации, а часть — в прозрачном (уровень 2) режиме. • Он поддерживается только в ASA под управлением как минимум версии 9.0 или любой версии ASA-SM. • Для каждого контекста поддерживается до 8 пар физических интерфейсов. • Возможно, в этом случае МСЭ периметра (уровень 3) и внутренний МСЭ (уровень 2) смогут находиться в одном наборе физических устройств mode multiple context context1 firewall transparent allocate-interface vlan99 outside allocate-interface vlan100 inside config-url disk0:/ctx1.cfg member gold context context2 allocate-interface vlan200 outside allocate-interface vlan210 inside config-url disk0:/ctx2.cfg
    • Внешнее зонирование Пример виртуализованной ДМЗ
    • Стандартные практики внешнего зонирования Внешнее зонирование (Список не является полным) • Необходимо следовать стандартным практикам обеспечения безопасности периметра. ‒ В частности, если периметр является общим с Интернетом. ‒ МСЭ с учетом состояния + защита от угроз (IPS, веб-безопасность, антишпионские программы и т. д.). • Не следует перегружать каналы входа в ЦОД и выхода из него. ‒ Масштабирование необходимо выполнять должным образом, например ASR1000 поддерживает функции межсетевой защиты (с федерацией) на скорости 100 Гбит/с, а также терминирование DMVPN через MPLS. ‒ Рекомендуется обратить внимание на видеосервисы, многоадресную рассылку и сервисы, чувствительные к потере данных. • Следование принципу построения схемы «Плавательные дорожки» для виртуальных вычислительных сервисов для внешнего обмена данными с соблюдением соответствия требованиям.
    • Пример схемы «Плавательная дорожка» для виртуальной ДМЗ Устройства ASA периметра, работающие под управлением стандартного A/S HA, —отказоустойчивые ASA периметра — наряду с vPC могут использовать избыточный интерфейс, чтобы сократить вероятность аварийного переключения при высокой доступности. Интернет / внешняя сеть CTX Физические или виртуальные серверы ДМЗ периметра VL90 CTX ASA A/S HA ASA периметра реализуют прозрачный контекст вирт. МСЭ сети VLN для ДМЗ, соединяя VL90 (ДМЗ) с VL999 (N7000 vRF). Некоторые серверы ДМЗ могут физически находиться в коммутаторе ДМЗ, тогда как другие серверы будут предоставляться с уровня виртуального доступа. VL999 Внешнее зонирование ДМЗ VLAN90 172.16.90.0/24 Периметр ЦОД VL999 VL999 VRF – DMZExt VRFDMZExt Ядро ЦОД (маршрутизация) Ядро BGP/OSPF Nexus 7000 передает трафик с VL999 через vRF – DMZExt, перемещает пакеты через маршрутизируемый уровень ядра на уровень распределения. Уровень 3 Уровень 2 Запрос или отклик ARP из VLAN 90 передается по каналам на уровень виртуального доступа. Кластеризованные ASA на уровне распределения связывают VL999 (DMZExt vRF) с VL900, местом, где существуют виртуальные серверы ДМЗ. Здесь будет реализована политика безопасности, ограничивающая доступ только к подсетям ДМЗ по сети, сервису или приложению. VRF – DMZExt VRF – DMZExt VL999 Уровень агрегации ЦОД VL999 CTX1 CTX1 КЛАСТЕР МСЭ VL900 VL900 Уровень виртуального доступа Выделенные блейд-серверы Пункт доставки Для обеспечения безопасности (соответствия требованиям) на уровне виртуального доступа рекомендуется использовать выделенное серверное оборудование. Можно создать дополнительные профили портов и использовать шлюз Virtual Security Gateway (VSG) для зонирования «востокзапад» между ВМ в ДМЗ. VL900 Для дальнейшего разделения на уровне пакетов можно использовать метки групп безопасности. Виртуальные серверы ДМЗ vDMZ 172.16.90.0/24 Вычислительная зона ДМЗ DMZ Subnet(172.16.90.0/24)VLAN90 <-> vFW(BVI) <->VLAN999<->vRF DMZExt <-> VLAN999 <-> vFW(BVI)<->VLAN900/ DMZ Subnet(172.16.90.0/24)
    • Примеры внутреннего зонирования Физическое и виртуальное внутреннее зонирование
    • Пример внутреннего зонирования для разработки — вариант 1 Физическое разделение Внутреннее зонирование Интернет / внешняя сеть Модель может использоваться для тестирования нагрузки на приложение. Если требуется выделенный путь через уровень ядра, рекомендуется использовать DEV vRF. Периметр ЦОД Если требуется выделенный периметр, рекомендуется использовать контексты вирт. МСЭ на устройствах ASA периметра Уровень или отдельную (низкого уровня) пару ASA. VDC ядра ЦОД (маршрутизация) DEV VRF DEV VRF 3 VDC уровня агрегации производства DEV VDC, созданный в Nexus 7000, присоединенный к CORE VDC и поддерживающий собственную дочку доставки. VDC уровня агрегации разработки КЛАСТЕР МСЭ CTX CTX Пункт доставки Уровень виртуального доступа Пункт доставки Виртуальный коммутатор Виртуальный коммутатор Гипервизор В вычислительной структуре создается зеркальная серверная среда для функционирования DEV в собственной точке доставки. DEV VRF Ядро BGP/OSPF Уровень 2 ASA на уровне агрегации могут быть настроены несколькими способами. 1. Один кластер ASA с отдельными контекстами вирт. МСЭ для зон DEV — порты на ASA должны быть физически подключены к каждому VDC. 2. Отдельные кластеры ASA с контекстами вирт. МСЭ или без них. CTX ASA A/S HA Гипервизор Вычислительная зона производства Вычислительная зона разработки
    • Пример внутреннего зонирования для разработки — вариант 2 Виртуальное разделение Интернет / внешняя сеть ASA A/S HA В модели виртуального разделения используется общая физическая инфраструктура (Nexus) для маршрутизации и транспорта данных. ASA используются для разделения трафика разработки и производства. Периметр ЦОД VDC ядра ЦОД (маршрутизация) Ядро BGP/OSPF Уровень 3 Уровень 2 Виртуальные ресурсы могут использовать общее физическое серверное оборудование и точку доступа. Обеспечение безопасность осуществляется аналогично действиям в защищенной многопользовательской среде. VDC уровня агрегации КЛАСТЕР МСЭ Уровень виртуального доступа Внутреннее зонирование
    • Внутреннее зонирование Проблемы безопасности при виртуализации Реализация политик Применяются к физическому серверу, а не к отдельным ВМ Реализуются только для ВМ, функционирование которых приостановлено Операции и управление Недостаток мониторинга, учета и согласованности ВМ Сложная модель управления и отсутствие возможности эффективного устранения неполадок Роли и обязанности Непонятные принципы владения, поскольку администраторам серверов приходится настраивать виртуальные сети Организационная избыточность приводит к возникновению проблем, связанных с обеспечением соответствия требованиям Сегментация компьютеров Изоляция серверов и приложений на одном и том же физическом сервере Отсутствие разделения между совместимыми и несовместимыми системами…
    • Виртуальные сети Cisco и облачные сетевые сервисы Внутреннее зонирование Облачные сетевые сервисы Виртуализованный / облачный ЦОД Imperva SecureSphere WAF Серверы Маршрутизат ор WAN Citrix NetScaler VPX Виртуальный маршрутизатор Cloud Services Router 1000V Пользователь А Виртуальный шлюз безопасности Cisco VCG Облачный МСЭ ASA 1000V Модуль Cloud анализа Firewall сети (vNAM) vWAAS Коммутаторы Зона A Зона B Физическая инфраструктура vPath Nexus 1000V VXLAN Поддержка нескольких гипервизоров (VMware, Microsoft*, RedHat*, Citrix*) Nexus 1000V VSG ASA 1000V (Рспр. виртуальный коммутатор) (МСЭ на основе зон) (Облачный МСЭ) vWAAS (Оптимизация глобальных беспроводных сетей) CSR 1000V Модуль vNAM (маршрутизатор Cloud Router) (аналитика сети) • Распределенный коммутатор • Управление уровня ВМ • МСЭ периметра, VPN • Оптимизация WAN • Шлюз WAN уровня 3 • Согласованность NXOS • МСЭ на основе зон • Анализ протоколов • Трафик приложений • Маршрутизация и VPN Более 7000 клиентов Доступен сейчас Доступен сейчас Доступен сейчас 1 полугодие 2013 года • Мониторинг приложений (уровень 2–7) Оверлейная аналитика (OTV, Пилотный проект: 1 VXLAN, FP**) • Сервисы экосистемы • Виртуальный экземпляр ADC Citrix NetScaler VPX • Веб-приложение МСЭ Imperva полугодие 2013 года **Майкрософт: 2 кв. 2013 г.; открытый исх. код: в пилотном проекте FabricPath **FP: N1110: 1 полугодие 2013 календарного года vPath: 2 полугодие 2013 календарного года
    • Управление политикой виртуальных сетей Группа обслуживания сетей Группа обслуживания серверов Группа обеспечения безопасности Внутреннее зонирование Nexus 1000V (1110/1010)  Модель бесперебойной эксплуатации для обслуживания текущих рабочих процессов с помощью профилей портов Nexus 1000V  Поддержка политик безопасности сети с изоляцией и сегментацией с помощью сетей VLAN, частных сетей VLAN, списков доступа на основе портов, интегрированных функций безопасности Cisco Изоляция и сегментация Управление и мониторинг Роли и обязанности  Обеспечение мониторинга (самоанализа ВМ) потоков трафика виртуальных машин с помощью стандартных сетевых функций, таких как ERSPAN и NetFlow
    • Внутреннее зонирование Набор решений Cisco для обеспечения безопасности виртуальных сред Cisco® VSG Безопасность внутри многопользовательской среды • Защита передачи трафика между виртуальными машинами в рамках многопользовательской среды • МСЭ уровня 2 и 3 для защиты трафика «восток–запад» • Списки ACL с атрибутами сети и виртуальных машин • Ускорение поиска первого пакета и производительности с помощью vPath Cisco ASA 1000V Безопасность периметра многопользовательской среды • Защита периметра многопользовательской среды • Шлюз по умолчанию; МСЭ уровня 3 для защиты трафика «сервер–юг» • Возможности МСЭ периметра, включая списки ACL на основе атрибутов сети, сеть VPN между площадками, NAT, DHCP, анализ и IP-аудит • Все пакеты проходят через Cisco ASA 1000V
    • Внутреннее зонирование Безопасность виртуализации Виртуальный шлюз безопасности Зоновая межпользовательская сегментация виртуальных машин Nexus 1000V ASA 1000V Виртуальные сервисные узлы vPATH Nexus 1000V Гипервизор Развертывание входного и выходного периметра пользовательской сети vCenter Администрато р сервера Nexus 1KV Администра тор сети VNMC Администрат ор безопасност и
    • Внутреннее зонирование Микросегментация Политика для каждой зоны, виртуальной машины, карты vNIC Контроль входящего, исходящего трафика и трафика, передаваемого между виртуальными машинами Виртуальное устройство ASA Атрибуты МСЭ, списков ACL, виртуальных машин Зона A Виртуальное устройство ASA Зона B Зона C Обеспечение динамического выделения ресурсов VSG vPath Nexus 1000V vSphere Прозрачная реализация мобильности вирт. приложение VSG вирт. VSG приложени е Административное разделение Сервер • Сеть • Безопасность vPath Nexus 1000V vSphere
    • Внутреннее зонирование Преобразование физической среды в виртуальную • Зоны, используемые для определения реализации политики • Уникальные решения для политик и трафика, примененные к каждой зоне Передача трафика виртуальных машин в контекст МСЭ • Физическая инфраструктура, сопоставленная с каждой зоной ‒ VRF, виртуальный контекст • Объединение физической и виртуальной инфраструктур Виртуальный коммутатор Сегментация пулов ресурсов блейдсерверов для каждой зоны Виртуальный коммутатор Гипервизор Гипервизор 55
    • Внутреннее зонирование Интеллектуальная технология vPath: формирование цепочки сервисов ASA 1000V и VSG • vservice node ASA1 type asa ip address 172.31.2.11 adjacency l2 vlan 3770 Определение узла сервиса в Nexus 1000V • vservice node VSG1 type vsg ip address 10.10.11.202 adjacency l3 • vservice path chain-VSG-ASA node VSG1 profile sp-web order 10 node ASA1 profile sp-edge order 20 • port-profile type vethernet Tenant-1 org root/Tenant-1 vservice path chain-VSG-ASA Последовательность формирование цепочки узлов сервисов — изнутри наружу Предоставление цепочки сервисов для каждого профиля порта 56
    • Внутреннее зонирование Виртуальный МСЭ и физическая сеть Развертывание ASA 1000V Ядро Агрегация 10.1.2.254 Уровень 3 10.1.2.254 Защищенная пересылка по виртуальным маршрутам (VRF) ASA 5585 ASA 5585 Уровень 3 10.1.1.254 Уровень 3 10.1.3.254 Уровень 2 10.1.1.252 10.1.1.253 ASA 1000V vPath Nexus 1000V Гипервизор vPath vPath Nexus 1000V Nexus 1000V Гипервизор Подзоны 57 Гипервизор
    • Внутреннее зонирование Архитектура многоуровневого приложения МСЭ периметра • Вебклиент Развертывание уровня • Архитектуры многоуровневых приложений • Часто поставщик приложений предлагает конкретные рекомендации по развертыванию приложения. ASA 1000V • Может состоять из • веб-уровня (уровня представления) Разрешен только порт 80(HTTP) веб-серверов • уровня приложений Разрешен только порт 22 (SSH) к серверам приложений Блокировка всего внешнего доступа к серверам баз данных • уровня баз данных • Веб-сервисы и сервисы приложений могут находиться на физически разделенных серверах или в некоторых случаях объединяться на одном сервере. ВебВебсервер сервер Сервер приложений Сервер приложений Зона приложени я • Как правило, обычный поток осуществляется по следующей схеме: клиент->веб->приложение->база данных. Веб-зона • Клиент не связывается с базой данных напрямую. К серверам приложений разрешен доступ только веб-серверов • Для обеспечения высокой доступности серверы могут быть объединены в кластер. Для обмена состояниями часто используется протокол многоадресной рассылки 2-го уровня. 58 Сервер Сервер БД БД Зона базы данных К серверам баз данных разрешен доступ только серверов приложений
    • Зонирование для обеспечения соответствия требований стандартов
    • Вариант проекта, соответствующий требованиям стандарта PCI — физическое разделение с VDC Соответствие требованиям Интернет / внешняя сеть Устройства ASA периметра могут реализовывать конкретный контекст для соответствия нормативным требованиям или же можно использовать другую пару ASA. IPSec ASA A/S HA Nexus 7000 передает трафик из контекста ASA через vRF – PCI VRF — перемещает пакеты через маршрутизируемый уровень ядра в контекст VDC распределения PCI. Для обеспечения поэтапного шифрования в Nexus 7000 можно использовать доступ для групп безопасности с MACSEC. CTX CTX Периметр ЦОД PCI VRF SGT VDC ядра ЦОД (маршрутизация) Уровень 3 Выделенные устройства ASA (или контексты вирт. Уровень МСЭ) в VDC уровня распределения вызывают политику безопасности «сервер-юг», возможно даже при ее реализации с помощью меток SGT (с помощью SXP), ограничивая отвечающий требованиям доступ только для серверов зоны PCI по сети, сервису или приложению. 2 802.1AE (шифрование) PCI VRF SGT SGT VRF PCI Ядро BGP/OSPF PCI VRF VDC уровня агрегации производства VDC уровня агрегации PCI КЛАСТЕР МСЭ CTX CTX Для обеспечения безопасности (соответствия требованиям) на уровне виртуального доступа рекомендуется использовать выделенное серверное оборудование. Пункт доставки SGT Уровень виртуального доступа Пункт доставки Можно создать дополнительные профили портов и использовать шлюз Virtual Security Gateway (VSG) для зонирования «восток-запад» между ВМ в ДМЗ. ASA1000v также можно использовать для развертывания Secure IPSec VPN в другом защищенном месте назначения. Виртуальный коммутатор Виртуальный коммутатор Гипервизор Гипервизор Производственные серверы Серверы зоны соответствия требованиям
    • Спасибо Пожалуйста, заполните анкеты. Ваше мнение очень важно для нас. 13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved.