Your SlideShare is downloading. ×
0
Защита центров обработки данных
Защита центров обработки данных
Защита центров обработки данных
Защита центров обработки данных
Защита центров обработки данных
Защита центров обработки данных
Защита центров обработки данных
Защита центров обработки данных
Защита центров обработки данных
Защита центров обработки данных
Защита центров обработки данных
Защита центров обработки данных
Защита центров обработки данных
Защита центров обработки данных
Защита центров обработки данных
Защита центров обработки данных
Защита центров обработки данных
Защита центров обработки данных
Защита центров обработки данных
Защита центров обработки данных
Защита центров обработки данных
Защита центров обработки данных
Защита центров обработки данных
Защита центров обработки данных
Защита центров обработки данных
Защита центров обработки данных
Защита центров обработки данных
Защита центров обработки данных
Защита центров обработки данных
Защита центров обработки данных
Защита центров обработки данных
Защита центров обработки данных
Защита центров обработки данных
Защита центров обработки данных
Защита центров обработки данных
Защита центров обработки данных
Защита центров обработки данных
Защита центров обработки данных
Защита центров обработки данных
Защита центров обработки данных
Защита центров обработки данных
Защита центров обработки данных
Защита центров обработки данных
Защита центров обработки данных
Защита центров обработки данных
Защита центров обработки данных
Защита центров обработки данных
Защита центров обработки данных
Защита центров обработки данных
Защита центров обработки данных
Защита центров обработки данных
Защита центров обработки данных
Защита центров обработки данных
Защита центров обработки данных
Защита центров обработки данных
Защита центров обработки данных
Защита центров обработки данных
Защита центров обработки данных
Защита центров обработки данных
Защита центров обработки данных
Защита центров обработки данных
Защита центров обработки данных
Защита центров обработки данных
Защита центров обработки данных
Защита центров обработки данных
Защита центров обработки данных
Защита центров обработки данных
Защита центров обработки данных
Защита центров обработки данных
Защита центров обработки данных
Защита центров обработки данных
Защита центров обработки данных
Защита центров обработки данных
Защита центров обработки данных
Защита центров обработки данных
Защита центров обработки данных
Защита центров обработки данных
Защита центров обработки данных
Защита центров обработки данных
Защита центров обработки данных
Защита центров обработки данных
Защита центров обработки данных
Защита центров обработки данных
Защита центров обработки данных
Защита центров обработки данных
Защита центров обработки данных
Защита центров обработки данных
Защита центров обработки данных
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

Защита центров обработки данных

1,088

Published on

Published in: Technology
0 Comments
6 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
1,088
On Slideshare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
0
Comments
0
Likes
6
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide
  • Broaden the conversation to architectures
  • New trends through time have changed the face of the data center. Each of these trends has built on the lower.Historically, the conversation in the data center has been dominated by scalability and simplicity. How fast does the data center move, and how easy is it to implement and operate.More recently, trends like outsourcing and partnerships has forced the traditionally closed data center to open. These new users of the network often need controlled access deep into the data center. This is changing traditional data center models.Virtualization and asset consolidation are also changing the data center. The cost benefit of virtualization are driving rapid adoption across verticals, fundamentally altering the face of the data center.Finally, as cloud computing begins to emerge as a viable architecture, it promises even higher cost advantages through scale and elasticity.
  • The virtual environment brings with it a host of new security problems. These problems can be divided into two groups:Security in the Server Access Layer: These are today’s largest pain pointsRegaining visibility in the access layer is the first step at securing it. Regaining inter-host visibility in the virtual world provides key security forensics intelligence – which hosts are communicating, and in the event of an outbreak, where did it originate.Securing the access layer from DCHP and ARP attacks such as eavesdropping and VLAN hopping.Security at Higher Layers: These are emerging pain points that we need to addressVirtual policy enforcement creates segmentation and separation in the virtual world similar to that available in the physical. Note that this can be provided either through fully virtual enforcement points, or physical enforcement points that are virtual awareFinally, the physical and virtual worlds need to be tied together in a common operational environment with a common policy infrastructure.
  • Overall picture: list of Cisco security solutions with perhaps the architecture as a backdrop.Cisco TrustSec, Cisco AnyConnect Secure Mobility, Cisco Virtual Office, PCI DSS Compliance, Threat Defense (Firewall, IPS), Cisco Content Security (email/web), Cisco Data Center Security, Cisco Virtualization and Cloud Security
  • Cisco’s vision in virtualization enables a seamless transition from physical to virtual enforcement. The vast majority of environments will be hybrid environments for years to come, and Cisco will provide a consistent solution across both.<Build>The Nexus 1000v provides critical Layer 2-4 security capabilities today, solving today’s largest virtualization pain points. By building on the Nexus software base, customers can share a common operational environment with their physical Nexus switches<Build>Cisco’s roadmap for Layer 4-7 security services involves two approaches. Cisco will use Service Chaining to connect the physical to the virtual. Cisco will also provide a fully virtual enforcement platform to provide L4-7 security inside the virtualization infrastructure itself.
  • Public and Private Clouds are an architecture that brings together all elements of Scale and Simplicity, Openness, and Virtualization into an elastic, on demand environment. This environment brings with it a new set of security concerns.First, the need to establish trust on the cloud infrastructure itself. How does one maintain the integrity of the cloud environment?Second, the need to connect users and internal networks into the cloud infrastructure. How do users get access to the cloud services?Third, how do I secure the applications in the cloud, whether in a public cloud or a private?
  • Today, flexibility is key as Cisco delivers common capabilities delivering consistent and therefore less complex operationsThree key form factors deliver this today:Appliance – with ASA and IPSModules – modules with Cat6k integrated service modules andVirtual – Supported today with physical form-factors via virtual context, allowing external security to be applied to virtualized applications, and leveraging the recently launched Nexus 1000v switch which provides switch services on the hypervisor and has ACL capabilities for segmentation todayNext steps for ASA – Spyker, multi-gig, multi-service platformIntegrated service modules, with Bennu as an immediate next step and 3xFWSM performance to Osiris a 40G service module for Nexus 7000And to virtual with extending contexts beyond current levels to support larger SP delpoyments and a virtual firewall which will service virtualized security needs as scale increases.All of which will also extend dc security into cloud modelsFinally as network performance demand grow both in the enterprise and the cloud, clustering support provides 100s of Gig of FW performance in multiple form factors.
  • Although we opened the network to external parties, we must continue to gain visibility and control. Focusing on both visibility into the threat environment and maintenance of the compliance environment from a segmentation and threat perspective is critical.This is where, User-awareness begins with directory services being tied to security, allowing for authentication and authorization of users so that we know the “who” in our formula.And Application awareness becomes the “what” as far leveraging domain names and identifying the applications inside the data center.Finally the “how” by Creating Zones of trust ties the “who” and “what” together in a logical manner that allow maintenance of segmentation in the new open DC.Delivering next steps based on this structure is control of SaaS applications, enabling access policies for any app, anywhere in the world with WSA.Along with Identity Firewall and Application Awareness, TrustSec brings next generation network segmentation based on domains of trust within the open data center infrastructure with seamless authorization for various access typesThis provides topology independent, role-based, dynamic policy provisioning.So now that we’ve talked about Scale and Openness, let’s talk about the next step toward the Borderless DC which is Virtualization….
  • We find the Secure Borderless Data Center Architecture of tomorrow.This will include some additional items above and beyond today’s requirements in the Enterprise. First, you will see the emergence of the cloud itself a an important security layer to the Enterprise. The cloud is secured for the Enterprise by Cisco in two ways. (1) at the cloud edge itself with Firewall and IPS services being delivered to protest the cloud infrastructure itself. (2) in the Cloud Services Security Layer, in which cloud provides can provide both a virtual and physical footprint to customers of IaaS and PaaS services to protect the applications running in the cloud. This would be delivered in a virtual firewall and virtual context form in the ASA.Secondly, we see the emergence of the Secure Virtual Access Layer. This layer in the data center grows out of the massive move from traditional deployments to virtualization in the DC. As the requirement for virtual security zones increases, the need for layer 2 through 7 security also emerges. This is where the virtual firewall becomes important, as the scale of the VMs grows larger and segmentation and security service needs grow with it.Concurrently, the physical firewall will always play a role in the DC as there are many applications that will not be virtualized and continue to require an external, performance guaranteed solutions.
  • Transcript

    • 1. Защищенный центр обработки данных без границ Алексей Лукацкий Бизнес-консультант по безопасностиPresentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential
    • 2. Основные предпосылки Давление, оказываемое на современные ЦОД,1 приводит к пересмотру границ ЦОД и подходов к его ИБ "Без границ" не значит "без периметра" —2 напротив, это значит "динамический, интеллектуальный, контекстно-зависимый периметр" Масштабируемость и3 простота, открытость, виртуализация и распределенные сетевые сервисы — основные элементы архитектуры защищенного ЦОД "без границ"Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 3/75
    • 3. Архитектура системы безопасности сети без границ ПолитикаПолитика 4 (Контроль доступа,допустимое использование, вредоносное ПО, защита данных) без границКорпоративный периметр Платформа Инфраструктура ЦОДПриложения как сервис как сервис X 3 и данные ПО как сервис как сервисЦентральный офис без границ Интернет 2 зоны без границ Филиал Оконечные Аэропорт Домашний офис 1 Мобильный Кафе пользователь Атакующие Партнеры Заказчики Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 4/75
    • 4. Современный ЦОД Давление со всех сторон Соответствие нормативным требованиям БыстроеВнутренние выделениепользователи ресурсовМобильные Совместнопользователи Пользователи ЦОД Доступ работающие приложенияВнешние к сервисам Гибкостьпользователи сервисовАтакующие Производительность приложений Оптимизация эксплуатации Глобальная доступность Защита Использование окружающей ресурсов среды Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 5/75
    • 5. Эволюция ЦОДНовые тенденции влияют на архитектуру ЦОД Распределенность Контроль доступа; масштабируемость Виртуализация Консолидация; оптимизация; гибкость Открытость Защищенный доступ мобильных и внешних пользователейМасштабируемость и простотаМасштабирование емкости и производительности в соответствии с бизнес-требованиями2000 2005 2010 2015 Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 6/75
    • 6. Сложности обеспечения ИБ в ЦОД Виртуализация Сети хранения Приложения Утечки данных Соответствие ДоступностьPresentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 7/75
    • 7. Предыдущее целостное видение Cisco для центров обработки данных Серверная L2/L3 Сеть хранения Frontend и приложения ферма сеть Clustered Servers Resilient Security Application Business IP Networking Applications Application Control VPN Engine SANОсновной ЦОД Disk SSL Firewall Infiniband GSS IDS NAS Tape Anomaly Detect/Guard Wide Area Application Services IBM GE/ WAFS 10GE Metro Network WAN Optical/Ethernet WAAS MDS Clients ONS 15000 9216 Резервный ЦОД Филиал Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 8/75
    • 8. Ключевые элементы ИБ1 Безопасность периметра ЦОД2 Безопасность сети хранения данных (SAN)3 Безопасность на уровне Nexus / Catalyst4 Безопасность виртуализации5 Безопасность ЛВС ЦОДPresentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 9/75
    • 9. Общие принципы безопасности ЦОДPresentation_ID © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Public 10
    • 10. Сначала было такПример отказоустойчивого многофункционального внедрения Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 11/75
    • 11. Потом стало так: появление контекстов Мониторинг, безопасность и LB Web-серверы  Группирует коммутаторы доступа и восходящие каналы связи в ядро Серверы приложений  Развитые приложения и функции безопасности, разделяемые между серверами из разных стоек / соединенных с разными Серверы баз данных коммутаторами доступаPresentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 12/75
    • 12. Архитектура современного ЦОДУровень ядра NEXUS 7000Уровеньраспределения MDS- Services Storage NEXUS 7000 Ex. Catalyst 6500 vPC & VDC w ww NEXUS 7000 NEXUS vPC 5000 NEXUS 2000 Expanded Memory NEXUS 1000v VM VM NEXUS VM VM VM VM 1000v VM VM VM VM VM VM VM VM Virtual Adapter VM VM VM VM VM VM VM VM VM VM Nexus 5000 10 GE Nexus 7000 N2K / N5K N2K / N7K Unified Compute FCoE 1/10GE 1 GE 1 GEУровеньдоступа Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 13/75
    • 13. Как обеспечить ИБ? Распределение информационных активов по их критичности: Что поддерживает Ваш бизнес? Как Вы зарабатываете деньги? Равносильна ли потеря данных или конфиденциальности потере $? Каким регулирующим требованиям Вы должны соответствовать? Как Вы защищаете данные критичные для бизнеса? Как подержать высокую репутацию бренда и не оказаться в скандальных заголовках газет? Ответив на эти вопросы мы можем сформулировать какой должна быть система ИБPresentation_ID Cisco Systems, Inc. All rights reserved. © 2006 © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 14 14/75
    • 14. Полный жизненный цикл безопасности Система безопасности – один из элементов жизненного цикла системы Потребности бизнеса Нужды Анализ Какие операции хочет осуществлять ваша бизнеса риска организация с сетью? Анализ риска Каково соотношение риска и затрат? Политика безопасности Политические Политика безопасности правила, принципы, стандарты Каковы политические правила, стандарты и рекомендации по удовлетворению потребностей бизнеса и снижению риска? Лучший Технологии Лучший отраслевой практический опыт отраслевой безопасности опыт Каковы надежные, хорошо понятные и рекомендуемые лучшие практические приемы обеспечения безопасности? Операции безопасности Операции обеспечения безопасности Разрешение инцидентов, мониторинг и сопровождение, Реакция на проверки соответствия инциденты, мониторинг, сопровождение и Presentation_ID соответствия системы. rights reserved. аудит © 2009 Cisco Systems, Inc. All Cisco Confidential 15/75
    • 15. Среда управления ИБ, созданная Cisco Cisco SAFE Next GenerationЦели безопасности Действия  Введение единой терминологии и таксономии Идентификация  Обеспечение Контроль согласованности решений и Мониторинг сервисов Обнаружение, мониторинг, сбор, обнаружение и Корреляция  Особое внимание вопросам классификация пользователей, эксплуатации трафика, приложений и протоколов сетей, созданных в Защита соответствии с архитектурой Управле- ние Изоляция  Помогает идентифицировать векторы угроз и выбрать Защита, повышение Выполнение технические средства надежности, ограничение доступа и изоляция защиты устройств, Описание пользователей, трафика, действий, обеспечивающих приложений и контроль и управление протоколов Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 16/75
    • 16. ―Ключевые области‖ безопасности Все они могут быть применены к конечной точке, к приложению, к сети или к целому ЦОД Защита Идентифи- Это сфокусированный соединений кация и способ реализовать управление требуемые критерии доступом безопасности Управление Выявление и безопасностью Помогает лучше понять устранение различные технологии и их угроз оптимальную синергию Защита Из-за ограниченности инфраструктуры времени мы не будем рассматривать защищенные соединения. Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 17/75
    • 17. Общий подход к защите ЦОДВчера? Сегодня! И завтра!? •Идентификация и контроль доступа: 802.1x, списки доступа, МСЭ •Обнаружение и предотвращение атак: NetFlow, Syslog, SNMP, MARS, IDS, IPS •Защита инфраструктуры: AAA, CoPP, SSH, uRPF, SNMP v3, IGP/EGP MD5, L2 security features •Защита приложений: ASA, ASA-CX, WSA, IPS •Управление безопасностью: CSMPresentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 18/75
    • 18. Подходы одинаковые везде Безопасность сетей хранения VLAN VSAN ACL hard/soft zoning Ethernet Port Security FC Port Security IPSec FCSec, как часть FC-SP И т.д.Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 19/75
    • 19. Безопасность периметра ЦОДPresentation_ID © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Public 20
    • 20. Набор решений Cisco для защиты периметра ЦОД Cisco Secure XКомпоненты системызащиты Управление безопасностью  Cisco ISE, CSM управляют безопасностью Защита приложений  ASA, ASA- CX, IPS, IronPort обеспечивает защиту приложений Защита контента  Решения IronPort защищают контент  ASA, IPS в канале Защита сети передачи данных защищают сеть  Защита инфраструктуры реализуется на Защита инфраструктуры маршрутизаторах, коммут аторах и МСЭ Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 21/75
    • 21. Безопасность ЛВС ЦОДPresentation_ID © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Public 22
    • 22. Арсенал ИБ коммутаторов Catalyst с IOS/CatOS или Nexus с NX-OS  Базовая безопасность Списки контроля доступа Cisco Express Forwarding Control-plane Rate Limiting Scavenger-Class Queue Port Security Broadcast Suppression BPDU-Guard/Root-Guard и т.д.  Расширенная безопасность МСЭ, IPS, IPSec VPN, балансировка нагрузки и т.д. (пока только для Catalyst 6500)February 2003, v1 Presentation_ID © 2003, Cisco Systems, Inc. All rightsAll rights reserved. © 2009 Cisco Systems, Inc. reserved. Cisco Confidential 23 23/75
    • 23. Технологии защиты инфраструктуры Защита уровня  Защита STP root guard управления (CoPP)  AAA CLI Инфраструктурные  SSH списки ACL  SNMPv3 Антиспуфинг RFC2827  Ограничители скорости uRPF  Планировщики ресурсов Динамическое инспектирование ARP Отслеживание DHCP Механизм защиты BPDU Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 24/75
    • 24. Технологии выявления и подавления угроз Системы предотвращения  Syslog вторжений на базе сетей  Системы корреляции (NIPS) событий Устройства адаптивной безопасности (ASA) Система мониторинга, анализа и IPS ответных мер (MARS) Cisco IOS IPS  Ловушки SNMP NetFlow  Удаленный мониторинг «Черные дыры» с  Захват пакетов удаленной инициацией Маршрутизация со сбросом Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 25/75
    • 25. Технологии идентификации и управления доступом Управление доступом в  Безопасность портов сеть (NAC)  Web-аутентификация NAC на базе маршрутизатора NAC на базе коммутатора  Обход аутентификации Устройство NAC Mac (Clean Access)  Списки управления IEEE 802.1x/Cisco IBNS доступом (ACL) VMPS  Межсетевые экраны Инспектирование параметров X-Auth состояния Lock and key Инспектирование приложений AAA RADIUS и TACACS+ Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 26/75
    • 26. Безопасность SANPresentation_ID © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Public 27
    • 27. Проблемы безопасности SAN Целостность и безопасность данных Управление SAN Протокол безопасности Доступ в SAN SAN Доступ к системам хранения Протоколы SAN Target Сеть Хранения IP сеть хранения Целостность и Безопасность конфиденциальность доступа к данных Безопасность системам хранения доступа к SAN iSCSI Безопасность IP SAN Безопасность (iSCSI/FCIP) управления SAN Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 28/75
    • 28. Управление SAN: угрозы Нарушение процесса коммутации Результат: Коммутатор не может реагировать на события в сети Нарушение стабильности сети Результат: Отказ сервиса, незапланированный простой Нарушение целостности и Out-of-band конфиденциальности управление Результат: Повреждение LUN, повреждание данных, кража или потеря данных Случайные или намеренные вредоносные управляющие действияPresentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 29/75
    • 29. Управление SAN: безопасность• Authentication, Authorization, Account SAN Management Security Infrastructure ing (AAA) всех действий • RADIUS/TACACS+ Сеть Управления IP-over-FC, резервное соединение • Syslog • SNMP Traps • CallHome (SMTP) RADIUS• Ролевое управление контролем доступа Out-of-band Управление• Безопасный транспорт для TACACS+ по сети Ethernet управления • SSH • SNMPv3 • SSL/TLS SNMP• Контроль доступа интерфейсов управления NTP Cisco Fabric Manager MDS 9000 NX-OS CLI SNMPv3 SSH/SFTP• Согласованность политик NTP switch> config t безопасности для всех switch(config)> analyzer on switch(config)> exit switch> коммутаторов сети хранения Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 30/75
    • 30. Доступ к SAN: угрозы Повреждение данных приложений Результат: Незапланированный простой, потеря данных Нарушение целостности LUN Результат: Подключение Доступ к системам Незапланированный серверов хранения простой, потеря данных Снижение производительности приложений Результат: Незапланированный простой, низкая производительность В/ВPresentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 31/75
    • 31. Безопасность Fibre Channel Зонирование FC обеспечивает разделение между системами хранения Режим порта предотвращает формирование ISL на edge портах Port Security помогает защищаться от подмены WWN Виртуальные SAN (VSAN) обеспечивают разделение между виртуальными сетями FC Security Protocol (FC-SP) финальный шаг для безопасности FCPresentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 32/75
    • 32. Доступ к SAN: зонирование FC D1 D2 D3 D4 Zone D3D4 Zone H2_D1 Zone T1 H1_D1 Zone H5_T1 H1 H2 H3 H4 H5 FC FC FC FC FC Zone H3H4_D2D3Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 33/75
    • 33. Доступ к SAN: зонирование FC Зоны состоят из одного или более элементов Элементы зоны могут быть: Port WWN устройства (индивидуально для интерфейса) Node WWN устройства (глобально для устройства) Port WWN порта коммутатора Коммутатор + Интерфейс Символическое Имя (iSCSI) Один или более элементов могут определяться псевдонимами (Alias) WWN + LUNPresentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 34/75
    • 34. Доступ к SAN: зонирование FC Зоны обеспечивают разделение групп хостов и систем хранения в SAN Некоторые операционные системы пытаются записать метку на все обнаруженные диски, вызывая потерю или порчу данных Зонирование обеспечивает разделение, но не имеет какой–либо аутентификации Обход зонирования путем имперсонации устройства (WWN spoofing) возможно и достаточно просто http://www.emulex.com/ts/fc/docs/wnt2k/2.00/pu.htmPresentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 35/75
    • 35. Доступ к SAN: зонирование FC Soft Zoning Сеть ограничивает информацию элементам, не входящим в зону На программном уровне Устройство входит в сеть и опрашивает сервер имен, какие устройства доступны; и получит информацию только о тех устройствах, которые входят в те же зоны Hard Zoning Сеть не передает трафик элементам, не входящим в зону На аппаратном уровне, для каждого фрейма Стандарт не определяет проверять ли входящие или исходящие фреймыPresentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 36/75
    • 36. Зонирование в Cisco MDS 9000 Зонирование в коммутаторах Cisco MDS реализовано на аппаратном уровне fWWN-1 fWWN-3 Вне зависимости от использования WWN и Port_ID-1 Port_ID-3 Port_ID в одной зоне—все на аппаратном уровне 1 pWWN-1 pWWN-3 WWN переводятся в FCID для фильтрации fWWN-2 fWWN-4 Port_ID-2 Port_ID-4 фреймов 2 pWWN-4 Выделенные высокоскоростные фильтры (TCAM) проверяют все фреймы на аппаратном pWWN-2 FCID-2 Аппаратная WWN переводятся в фильтрация уровне на каждом порту FCID для фильтров фреймов (TCAM) До 20,000 правил состоящих из зон и элементов зоны Зона А Фильтрация на полной линейной скорости— (активная) никакого влияния вне зависимости от количества зон или элементов зон Оптимизированная программация при активации набора зон — инкрементальные обновления * SCN сохраняются в пределах зон в VSAN Для добавления нового хоста в Зону А и активации, добавочные Выборочное поведение ―Default zone‖ — по элементы TCAM программируются умолчанию deny (индивидуально для VSAN) на соответствующие порты – без прерывания работы существующих зон Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 37/75
    • 37. Улучшенное зонирование Cisco Зонирование LUN это возможность Зонирование LUN позволяет зонировать инициатор и часть LUN контролировать доступ к конкретным LUN на системе хранения Зона А 1 X Сервер может обнаружить все LUN, но подключиться только к LUN, входящим в 2 X зону X X pWWN-1 pWWN-2 X X Недоступные LUN отсеиваются X X коммутатором на входящем порту Предоставляет мощное решение совместно с маскированием LUN в report_LUN системах хранения для увеличения 10 LUNs available безопасности сети report_size LUN_1 LUN_1 50GB Случайное открытие LUN report_size LUN_3 предотвращается сетью LUN_3 is unavailable Зонирование Read-Only использует аппаратную обработку фреймов Зоны read-only не позволяют посылать Семейства MDS 9000 команды ‗write‘ к системам хранения Фильтрует управляющие фреймы FC4 Media Server Зона А по признаку является ли команда чтением или записью Для систем, которым необходимо только чтение с дисков, таких как мультимедиа Streaming сервера Server * Зона B (read-only) Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 38/75
    • 38. Протокол Fibre Channel: угрозы Rogue Switch Нарушение стабильности сети Результат: Незапланированный простой, нестабильность сети Нарушение безопасности данных Результат: Незапланированный Целостность управляющего простой, потеря данных протокола Снижение производительности приложений Результат: Незапланированный простой, низкая производительность В/ВPresentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 39/75
    • 39. Протокол Fibre Channel:безопасность Fabric Protocol Security Очень важно защитить управляющие протоколы сети для обеспечения стабильности сети Отдел Отдел Первый шаг – Cisco RBAC для безопасности ‗A‘ ‗B‘ доступа к настройке управляющих протоколов VSAN Port-security для защиты ISL портов Trunk 1 7 2 8 5 5 6 6 FC-SP для аутентификации switch-to-switch Cisco MDS 9222i следующий критичный шаг для блокировки Port Channel вредоносных ISL для HA и производительност 3 4 Директор Настройка plug-n-play протокола сети удобна — и 3 3 4 4 Cisco MDS однако статическая настройка более безопасна VSAN Trunks Статический управляющий коммутатор по оптическим сетям Статические domain ID DWDM / CWDM RCF-reject защищает от Статические FCIDs перенастройки сети *необязательно, но рекомендуется* Статический управляющий Большая польза для сред HP-UX и AIX коммутатор для всех VSAN Статический domainID RCF-reject, особенно для соединений на большие для всех VSAN расстояния защищает от RCF 1 1 2 2 Tape VSAN RSCN-suppression где необходимо VSAN для разделения и управления отдельными сетями и увеличения устойчивости сетейPresentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 40/75
    • 40. Безопасность уровня доступа:Режим порта Режим порта—разрешает edge портам быть только F_Port или FL_Port; т.е не ISL/EISL Cisco MDS 9000 поддерживает режим Fx_Port RBAC позволяет ‘E_Port’ ‘Auto’ ограничить пользователей, Любой режим которые могут менять режим ‘Fx_Port’ ‘F_Port’ портов Только F,FL Только F ‘E_Port’ или ‘Fx_Port’ ‘Auto’ Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 41/75
    • 41. Безопасность уровня доступа:Port Security Port Security — Разрешает доступ в сеть в зависимости от атрибутов устройства Используется для контроля подключения к коммутатору— неудача приводит к ошибке входа на уровне соединения Предотвращает подделку S_ID в фрейме FC Поддерживает безопасность device-to-switch и switch-to-switch Использует многочисленные атрибуты для конфигурации pWWN—port WWN подключенного устройства nWWN—node WWN подключенного устройтва fWWN—fabric WWN порта коммутатора sWWN—WWN коммутатора Port_ID—идентификатор порта коммутатора (fc1/2) Режим Auto-learning упрощает начальную настройку Fabric Binding — Разрешает подключение к сети только коммутаторов, указанных в списке разрешенных Проверяются sWWN и Domain_ID при подключении коммутатора и активации новой базы fabric bindingPresentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 42/75
    • 42. Безопасность уровня доступа: группы и политики S1 Port Security fWWN-2 fWWN-1 Создаются ‗группы‘ и активируется как Port_ID-2 Port_ID-1 ‗набор групп‘ для обеспечения политики pWWN-D1_1 Политика______ Группа__________nWWN-H1 Security Group – S1 1 Хост H1 на S1 (любой порт) pWWN-H1_1 или nWWN-1 sWWN-S1 fWWN-5 H1 Port_ID-5 D1 2 Хост H1 на S1 порт 2 Security Group – S1 pWWN-H1_1 или nWWN-H1FC Port_ID-2 или fWWN-2FC pWWN-H1_1 fWWN-6 3 Хост H1 HBA-1 на S1 Security Group – S1 Port_ID-6 порт 2 pWWN-H1_1 Port_ID-2 или fWWN-2pWWN-H1_2 pWWN-D1_2 4 Хост H1, Диск D1 на Security Group – S1 S1 (любой порт) pWWN-H1_1 или nWWN-H1 fWWN-4 nWWN-D1 pWWN-D1_1 или nWWN-D1 fWWN-3 Port_ID-4 Port_ID-3 5 S2 на S1 ISL Security Group – S1 (fabric binding) sWWN-2 S2 6 S2 на S1 порт 5 ISL Security Group – S1 sWWN-S2 (fabric binding) sWWN-2 Port_ID-5 или fWWN-5 Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 43/75
    • 43. Безопасность уровня доступа: Виртуальные SAN (VSAN)  Виртуальные SAN (VSAN) помогают достичь более высокую безопасность и стабильность в сетях FC, обеспечивая изоляцию устройств, подключенных к одной физической сети  VSAN можно использовать для создания множества логических Сетей Хранения на единой физической инфраструктуре Отдел• VSAN обеспечивает: ‗A‘ Сеть с VSAN Изоляцию трафика Общее хранилище Строгая изоляция между VSAN используя разделение сети и тегирование фреймов Сервисы сети в VSAN Независимые сервисы сети, включая сервер имен, зонирования, FSPF и Отдел менеджер домена в каждой VSAN ‗B‘ Отказ одного из этих сервисов в одной VSAN VSAN не влияет на другие VSAN Trunk Общую Топология Множество VSAN могут совместно использовать одну физическую топологию• ANSI T11 FC-FS-2 Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 44/75
    • 44. Аутентификация в SAN Аутентификация устройств по протоколам Fibre Channel Authentication Protocol (FCAP) или Fibre Channel Password Authentication Protocol (FCPAP) Аутентификация портов коммутатора по протоколу Switch Link Authentication Protocol (SLAP) Для блокирования «чужих» устройств Набор протоколов Fiber Channel – Security Protocol (FC- SP) для аутентификации, обмена ключами, шифрования между устройствами Fibre Channel Адаптированные к FC протоколы ESP и Diffie-Hellman (DH- CHAP) для решения задач, аналогичных FC-SP RFC3723 – адаптация IPSec и IKE к сетям Fibre Channel и SCSI (iSCSI, iFCP, FCIP) Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 45/75
    • 45. Безопасность уровня доступа:FC Security Protocol (FC-SP) DH-CHAP Аутентификация устройств используя FC-SP обеспечивает более сильные методы идентификации устройств WWN легко подделать ANSI T11.3 FC-SP—Рабочая группа по Протоколам Безопасности Поддерживается несколько протоколов, включая DH- CHAP и FCAP Switch-to-switch аутентификация FC-SP используя DH-CHAP поддерживается начиная с SANOS v1.3 Device-to-switch аутентификация с помощью производителей HBA используя DH-CHAP начиная с SANOS v1.3 DH-CHAP обеспечивает механизм аутентификацииPresentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 46/75
    • 46. Безопасность уровня доступа: FC Security Protocol (FC-SP) DH-CHAP Сеть Управления HBA с поддержкой DH-CHAP RAD (Emulex, Qlogic) Сервер RADIUS Новый сервер в сети для аутентификаци и Out-of-band управление пользователей Новый коммутатор TAC+ в сетиСервер TACACS+ для аутентификации пользователей DH-CHAP DH-CHAPRADIUS и/или TACACS+ FCIPсервера могут содержать Сетьимена пользователей ипароли DH-CHAP для Новый коммутатор вцентрализованной сети по FCIPаутентификации Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 47/75
    • 47. IP Storage Security:SCSI-over-IP (iSCSI) iSCSI использует in-band аутентификацию Использует CHAP IESG рекомендует использовать туннели IPSec, где требуются безопасность сообщений, аутентификация источника, целостность, защита от повторов iSCSI может использовать множество функций безопасности, унаследованных от Ethernet и IP Ethernet Access Control List (ACL) ↔ FC зоны Ethernet VLAN ↔ FC VSAN Ethernet 802.1x port security ↔ FC port security iSCSI аутентификация ↔ FC DH-CHAP аутентификация iSCSI обычно предлагает возможности LUN mapping/masking как часть функций шлюза iSCSI также может использовать функции безопасности сети FC, отображая инициаторы iSCSI (IQN) в FC WWNPresentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 48/75
    • 48. Безопасность IP SAN:FC-over-IP (FCIP) FCIP позволяет соединить острова SAN через сети IP Стандарт FCIP не обеспечивает никаких in-band механизмов безопасности Аутентификация источника сообщений, целостность, защита от повторов, обеспечиваются независимыми туннелями IPsec FCIP туннель = виртуальный ISL — может использовать существующие механизмы безопасности сети FC FC Port Security FC-SP DH-CHAP switch-to-switch аутентификацияPresentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 49/75
    • 49. Безопасность IP SAN IP ACLs FCIP Сервер RADIUS 802.1X Auth. Туннели RAD для централизации Ethernet VLANs по сети FC-SP аккаунтов iSCSI IPSEC DH-CHAP Аутентификация для туннелей Cisco Catalyst 6500 Multilayer LAN Switches FCIP pWWN1 iQN1 iSCSI Login iQN2 отображается на iSCSI имена назначенные pWWN и определены на регистрирует iQN используя CHAP iSCSI регистрируется в сети клиенте iSCSI iSCSI iQN1 = аутентификацию pWWN1/nWWN1Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 50/75
    • 50. Cisco Storage Media Encryption (SME) Сервер  Шифрование данных на носителях Приложений Шифрование AES-256 Name: XYZ Интегрированный прозрачный сервис сети SSN: 1234567890 Amount: $123,456 Status: Gold Key Management  Поддержка систем хранения разных Center IP производителей Шифрование  Сжатие данных Name: XYZ @!$%!%!%!%%^&  Безопасное управление ключами SSN: 1234567890 *&^%$#&%$#$%*!^ Amount: $123,456 @*%$*^^^^%$@*) Status: Gold %#*@(*$%%%%#@  Восстановление вынесенных данных Ленточная библиотека Не забывайте про вопросы легитимности шифрования!Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 51/75
    • 51. Рекомендации: доступ к SAN Использовать зонирование для изоляции Use FCID to Soft zoning gain access По портам или WWN, на аппаратном уровне Зоны read-only для систем хранения read-only Зонирование LUN как дополнительная мера Occupy the Add port- Политику default-zone установить в ‗deny‘ port to gain based zoning access Настраивать зоны на 1 или 2 коммутаторах RBAC–роль ‗permit‘ на этих коммутатотах RBAC–роль ‗deny‘ на других коммутаторах Spoof WWN Add WWN- Или использовать RADIUS / TACACS+ для to gain based zoning назначения ролей на конкретных коммутаторах access Использовать зонирование WWN для удобства Spoof WWN and occupy Add port- Использовать port-security для расширенной port to gain security безопасности access Port-security привязывает WWN к порту DH-CHAP добавляет аутентификацию Need full Add auth to gain DH-CHAP access Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 52/75
    • 52. Рекомендации: управление SAN Использовать RBAC для назначения достаточных привилегий администраторам SAN Отдать некоторые функции меньшему числу пользователей с ролью ‗super-admin‘ Определение VSAN, обновление Firmware, назначение ролей, параметры RADIUS и TACACS+, SSH и т.д. Использовать RADIUS или TACACS+ для централизованного управления учетными записями Обеспечивает консистентное и своевременное удаление пользователей (если необходимо) Использование аккаунтинга RADIUS для аудита конфигурирования Использовать только безопасные протоколы—остальные отключить SSH, SFTP, SCP, SNMPV3, SSL для поддержки SMI-S Отключить TELNET, FTP, TFTP, SNMPV1,V2 Включить NTP на всех коммутаторах для единых временных меток событий Журналировать и архивировать все Включить централизованный SYSLOG Регулярно копировать конфигурации MDS 9000 (например, используя CiscoWorks RME) Включить © 2009 Cisco Systems, Inc. All rights reserved.Presentation_ID функцию Cisco MDS 9000 ―Call Confidential для оповещения об аномалиях Cisco Home‖ 53/75
    • 53. Безопасность NexusPresentation_ID © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Public 54
    • 54. Место Nexus в современном ЦОД Internet Data Center Core VDC Data Center POD Nexus 7018 Nexus 7018 vPC vPC SERVICES vPC vPC vPC vPC Nexus Nexus Catalyst 5020 5020 6500 Nexus Nexus 5010 5010 Nexus Nexus 2148T 2148T ASA ACE IPS Zone 10Gig Server Rack ? ? ?Zone Services Block 1Gig Server RackPresentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 55/75
    • 55. Арсенал ИБ коммутаторов Catalyst с IOS/CatOS или Nexus с NX-OS  Базовая безопасность Списки контроля доступа Cisco Express Forwarding Control-plane Rate Limiting Scavenger-Class Queue Port Security Broadcast Suppression BPDU-Guard/Root-Guard и т.д.  Расширенная безопасность МСЭ, IPS, IPSec VPN, балансировка нагрузки и т.д. (пока только для Catalyst 6500)February 2003, v1 Presentation_ID © 2003, Cisco Systems, Inc. All rightsAll rights reserved. © 2009 Cisco Systems, Inc. reserved. Cisco Confidential 56 56/75
    • 56. Контексты с помощью VDC Ключевая VDC 1 функция Layer 2 Protocols Layer 3 Protocols VLAN UDLD OSPF GLBP PVLAN CDP BGP HSRP STP 802.1X EIGRP IGMP LACP CTS PIM SNMP … … VDCs VDC 2 Layer 2 Protocols Layer 3 Protocols VLAN UDLD OSPF GLBP PVLAN CDP BGP HSRP STP 802.1X EIGRP IGMP LACP CTS PIM SNMP … … Nexus 7000 VDC – Virtual Device Context  Гибкое разделение аппаратных и программных ресурсов между контекстами  Полное разделение data plane и control plane  Полная изоляция программных сбоев  Надежное разделение контекстов управленияPresentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 57/75
    • 57. Опции внедрения функций ИБ Уровень распределения  Функции безопасности вынесены на уровень распределения  Средства защиты могут фильтровать трафик между VDC Core FW Context1 VDC 1 IPS  Routed или Bridge Distribution  IPS inline или passive Server  Single или Multiple LBServices Contexts Access FW Context2 VDC 2  Failover на аггрегирующих коммутаторах требует failover на Учтите: средствах защиты  Поддержка EtherChannel требуется на средствах защиты для Presentation_ID интеграции с vPC © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 58/75
    • 58. Опции внедрения функций ИБ Блок сервисов  Масштабируемое централизованное внедрение и управление средствами Core защиты  Позволяет эффективно использовать все функции виртуализации: Services Distribution VDC, vPC, VSSFW  Failover на коммутаторе распределенияLB не требует failover средств защитыIPS  Гибкие модули внедрения (модули или устройства) Access  Могут быть использованы существующие коммутаторы Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 59/75
    • 59. Безопасность виртуализацииPresentation_ID © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Public 60
    • 60. X86 сервера сегодня Switch Switch Switch Server Server Server Server Server ServerPresentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 61/75
    • 61. X86 виртуализация сегодня Switch Hypervisor Hypervisor Soft Soft Switch Switch Virtual Virtual Virtual Virtual Virtual VirtualMachine Machine Machine Machine Machine MachinePresentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 62/75
    • 62. Проблемы виртуализации Ошибки в ​настройке Смешанный режим Server Network Team Security Физический сервер Team Team Sensitive Non-Sensitive Видимость Сегментация Физический серверPresentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 63/75
    • 63. Безопасность в виртуальной средеЗащита виртуальной среды Виртуальный сервер Контроль виртуальной сети Зона 1 Зона 2  Контроль трафика между ВМ Безопасность виртуального уровня доступа  Сохранение контроля за уровнем доступа Обеспечение выполнения виртуальных политик  Обеспечение выполнения политик контроля доступа в виртуальной среде  Выполнение политик в физической и Виртуальный коммутатор виртуальной средах Эксплуатация и управление Физические  Единая среда для управления МСЭ и IPS физической и виртуальной ИТ- инфраструктурамиPresentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 64/75
    • 64. Программный коммутатор Nexus 1000v Cisco Software Switch в Hypervisor Известная модель управления сетью / серверами Расширенная диагностика & мониторинг Расширенный контроль VM Switch Mgmt Hypervisor Hypervisor Virtual Virtual Virtual Virtual Virtual Virtual Machine Machine Machine Machine Machine Machine Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 65/75
    • 65. Возможности Nexus 1000V  L2 Switching, 802.1Q Tagging, VLAN Segmentation, Rate Limiting (TX)Коммутация  IGMP Snooping, QoS Marking (COS & DSCP)  Policy Mobility, Private VLANs w/ local PVLAN EnforcementБезопасность   Access Control Lists (L2–4 w/ Redirect), Port Security Dynamic ARP inspection, IP Source Guard, DHCP Snooping  Automated vSwitch Config, Port Profiles, Virtual Center IntegrationProvisioning  Optimized NIC Teaming with Virtual Port Channel – Host Mode  VMotion Tracking, ERSPAN, NetFlow v.9 w/ NDE, CDP v.2 Visibility  VM-Level Interface Statistics  Virtual Center VM Provisioning, Cisco Network Provisioning, CiscoWorksУправление  Cisco CLI, Radius, TACACs, Syslog, SNMP (v.1, 2, 3) Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 66/75
    • 66. UCS & Nexus1000v Расширенное разделение трафика в связке Nexus1000v и Cisco UCS Перекрытие на UCS некоторых функций Nexus1000v ACLs, ERSPAN, Netflow, H ost Mode vPC, VSD Сегментация системного трафика от трафика данных Применение разных политик безопасности Сегментация трафика VM в отдельные транкиPresentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 67/75
    • 67. Зонирование UCS + Nexus ивиртуальные МСЭ Маппирование зон в виртуальные контексты Сегментация виртуальной инфраструктуры Направление трафика VM в контексты МСЭ Сегментация сетевого трафика внутри зоны Системный трафик Трафик VM Трафик управленияPresentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 68/75
    • 68. Cisco ASA 5585-X для ЦОД и виртуализации  CTXВысокопроизводительные ASA Context Mode Firewall, VPN и IPS для  vPC ЦОД Virtual PortChannel  VDCs Nexus 7000 Series Virtual Device Contexts Поддержка и  VSS интеграция Cisco Catalyst 6500 Series Virtual Switching System  VXI Cisco Virtualization Experience Infrastructure Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 69/75
    • 69. Портфолио Cisco Data Center Security Сетевая Безопасность Защищенный безопасность виртуализации доступ• ASA 5585-X с • Cisco Nexus® 1000V • Cisco AnyConnect firewall и IPS switch: • TrustSec распределенный• ASA Services виртуализированный • Identity Services Module свитч Engine• Cisco Security • Cisco Virtual Security • SaaS gateway Intelligence Gateway (cloud security) Operations (SIO)• Cisco Security Manager Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 70/75
    • 70. Cisco Virtual Security Gateway V-Motion (Memory) Physical V-Storage Security (VMDK) Role VMBased SegmentationAccess Virtualization Security VM OS HypervisorHardening Security Patch VM Management Sprawl Virtual Security Gateway на Nexus 1000V с vPath Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 71/75
    • 71. Кратко о Virtual Security Gateway Механизм правил на основе контекста, где для ACL могут быть использованы любые комбинации IP протокола (5-tuple), собственные и VM атрибуты Нет необходимости разворачивать на каждом физическом сервере (функционал 1000V vPath) Может быть развернут на выделенном сервере или на Nexus 1010 appliance Оптимизация производительности Performance optimization с помощью off-load на 1000V vPath Высокая доступность Virtual Security Gateway (VSG)Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 72/75
    • 72. Место Cisco Virtual Security GatewayVirtual Network Nexus 1000V with vPathManagement Center • Распределенный virtual• Консоль управления VSG switch• Запуск на одной из VMs • Запускается как часть гипервизора Port Group ФизическийVirtual Security Gateway сервер• Программный МСЭ • UCS или• Запускается на одной из VMs • Другой x86 server• Сегментация и политики для всех VMs Security Service Admin Admin Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 73/75
    • 73. Физический МСЭ и VSG Физический Физический МСЭ с МСЭ с Зонами на Зонами на базе vPC Peer-link базе контекстов контекстовFirewall Firewall Firewall FirewallVirtual Virtual Virtual VirtualContext Context Context ContextPod A Pod C Pod D Pod B Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 74/75
    • 74. Детали дизайна Дифференциация трафика с помощью зон, сегментирование с помощью VLANs и VRFs Intra-VM защита с помощью VSG Intra-zone защита с помощью обоих VSG ASA/ASA-SM Inter-zone защита с помощью ASA или ASA-SM Многоуровневая безопасность посредством сегментации VRF с использованием маршрутизации Доступ на основе идентификации и сегментации с помощью 802.1x + SGTs (TrustSec) + ISEPresentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 75/75
    • 75. МСЭ для всех бизнес-моделей Аппаратная Виртуальная и ОблакоАППАРАТНЫЕ УИТРОЙСТВА И МОДУЛИ Облачные МЭMulti-scale™ data center-class ASA devices МСЭ для облаков и коммерческих ЦОДов New! Cisco ASA ASA SM for Cisco Virtual Cisco ASA 1000V 5585-x Catalyst 6500 Security Gateway (VSG)• Наращиваемая производительность •Испытанный МЭ для облака• Политики безопасности на границе ЦОД • Tenant-edge to VM-specific policies• Гибкие опции внедрения • Автоматическое, основанное на политиках реагирование Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 76/75
    • 76. Cisco ASA 1000V Cloud Firewall Проверенные технологии Cisco теперь и для виртуализированных сред Совместная модель безопасности VSG для зон безопасности на уровне одного заказчика ASA 1000V для контроля безопасности границы между заказчиками Бесшовная интеграция С Nexus 1000V & vPath Масштабирование по необходимостиPresentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 77/75
    • 77. Контроль доступа на выходе с использованием групп безопасности SGT = 100 Я контрактор Моя группа ИТ Финансы(SGT=10) Кадры(SGT=11)802.1X/MAB/Web Auth. SGACL Контрактор & ИТ SGT = 5  Контроль доступа основанный на Группах Безопасности позволяет: Сохранять существующий логический дизайн на уровне доступа Изменять / применять политику для соответствия текущим бизнес-требованиями Распределять политику с центрального сервера управления Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 78/75
    • 78. Простая политика для Nexus и ASA Назначение SGTИсточник Public Portal Internal Portal IT Portal АСУ ТПSGT (SGT 8) (SGT 9) (SGT 4) (SGT 10) Web Web Web Нет доступаОператор АСУ ТП File Share(SGT 7) Web Web SSH SSH SSH RDP Полный RDP RDP File Share доступIT Admin (SGT 5) File Share File SharePresentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 79/75
    • 79. Пример контроля доступа с ISE SXP IP Address 10.1.204.126 = SGT 5 ISE RADIUS (Access Request) EAPOL (dot1x) 10.1.204.126 RADIUS (Access Accept, SGT = 5) 6506 10.1.204.254 SG ACL Matrix IP Address to SGT Mapping HR Nexus 7000 Server #1 Core VDC 10.1.200.50 10.1.200.254 Nexus 7000 Agg VDC ASAFinance ✓ Finance VSG Finance Server #1Finance HR 10.1.200.100 Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 80/75
    • 80. Внутрезоновая сегментация ЦОД Campus Access с NexusTrustSec для внутризоновой сегментациисерверного трафика Cat6500 Cat4500 Cat35750/E  Вручную заданный IP адрес сервер Branch Access транслируется в SGT на Nexus 7000 или IPM (Identity Port Mapping to ISE) ISR w/ EtherSwitch or standalone switch для централизованного управления SGT  Сервер, подключенный к коммутатору доступа может быть SGACL Enforcement Data Center сегментирован, используя Private VLAN на коммутаторе Nexus 7010 распределения SGT Assignment via IPM SXP or statically Nexus 7000 SRC Server A Server B Server C DST (111) (222) (333) Cat6500 Cat4500 DirectoryServer A Service --- SGACL-A Permit all (111)Serer B Permit all --- SGACL-B File Server WEB Server SQL Server ACS5.1 (222) 111 222 333Server C Deny all Deny all --- (333) Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 81/75
    • 81. Защищенный VDI-доступ к ресурсамЦОД с 6500 и Nexus• Пользователь заходит на VM Campus Access после прохождения аутентификации по 802.1x• Аутентификация успешна. Пользователь связывается с SGT User A• Трафик доходит до точки RDP контроля• Только разрешенный путь Connection Broker прохождения трафика (от source SGT к destination SGT) Auth=OK Data Center разрешается SGT=10 SXP 802.1x Pools of VMs File Web Server SRC DST WEB Server Server(111) (222) Cat4500 Directory User A (10) Permit all Deny All Service User B (20) Deny all SGACL-C File Server WEB Server SQL Server ISEPresentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 82/75
    • 82. Согласованное обеспечение выполнения политикПлавный переход к виртуальной ИТ-инфраструктуре Вирт. серверы Вирт. серверы CSM Выделение ресурсов, мониторинг, устранен ие неполадок Единая среда Физическая реализация Виртуальная реализация управления Уровни 2–4 Уровни 4-7 Эксплуатация Nexus 1000v План: Совместная: физической и Средства Service Chaining для виртуальной инфраструктурКонтроль трафика между ВМ связи инфраструктур (L2–4)Защита на уровне вирт. порта План: Виртуальная платформа ИБ Виртуальная платформа ИБ Совместная: физической и Поддержка списков ACL ("виртуальный МСЭ" ) ("виртуальный МСЭ" ) - план виртуальной инфраструктур (L4–7) Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 83/75
    • 83. РезюмеPresentation_ID © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Public 84
    • 84. Гибкость сегодня, масштабируемость для решения будущих задач Согласованные функциональные возможностиобеспечивают согласованный набор сервисов и простоту эксплуатацииУстройства Модули Виртуальные Распределен- ASA 5585 компоненты ные сетевые ASA-SM Nexus 1000v ASA CX сервисы ACE 250 вирт. В разработке: IPS 4270 контекстов расширение средств IPS 4300 VSG безопасности ЦОД IPS 4500 на платформы ASA 1000v распределенных ―Osiris‖ - 40 Гбит/с, NexusCatalyst / Nexus 7000 – сетевых сервисов Кластеризация для масштабирования - план Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 86/75
    • 85. Защищенный ЦОД без границ: архитектура будущегоУровень защиты распределенных сетевых сервисов В корпоративной сети или в сети сервисов Вирт. Виртуальный  Защита приложений, предоставляемых МСЭ контекст с помощью сервисов ASA Периметр распределенных сетевых сервисов ASA 5500 Защита сети поставщика сервисов с IPS Управление Периметр корпоративной сети и ЦОД w ww Шлюз SaaS – в рамках WSA WSA МСЭ — интенсивная фильтрация CSM AAA и политика Уровень сервисов безопасности МСЭ и IPS  Политики с учетом идентификационных данных Зоны доверия Модули ASA 5500 (TrustSec) ASA:  Service Chaining (связь виртуальной с IPS для Catalyst и физической инфраструктуры) и NexusЗащищенный виртуальный уровень доступа Вирт. Виртуальная физическая МСЭ Защита виртуальных уровней 2 — 7 Nexus 1000v  Nexus 1000v и платформа виртуального межсетевого экрана Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 88/75
    • 86. Проверенные дизайны Партнерство: VMWare, EMC, NetApp, BMC, Citr ix, WYSE, Microsoft, и другие Vblock, FlexPod Дизайн для бизнеса и операторов связи Защищенный дизайн Multi- Tenant Облачные вычисления & и автоматизация Рекомендации по архитектуре – доступность, масштабируемость, безопасность, интеграция функционала, сервисы приложений и безопасностиPresentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 89/75
    • 87. Основные результаты Структура ЦОД меняется1 Эти изменения сильно сказываются на системе обеспечения безопасности2 Cisco располагает долговременной стратегией создания защищенных ЦОД без границ3 Обеспечьте соответствие целям заказчика по созданию ЦОД, чтобы развивать свой бизнесPresentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 90/75

    ×