More Related Content Similar to Cisco: Архитектура защищенного ЦОДа Similar to Cisco: Архитектура защищенного ЦОДа (20) Cisco: Архитектура защищенного ЦОДа3. C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 3
Давление со всех сторон
Глобальная
доступность
Использование
ресурсов
Защита
окружающей
среды
Соответствие
нормативным
требованиям
Оптимизация
эксплуатации
ЦОД
Гибкость
сервисов
Быстрое
выделение
ресурсов
Производительность
приложений
Доступ
к сервисам
Совместно
работающие
приложения
Пользователи
Внутренние
пользователи
Мобильные
пользователи
Атакующие
Внешние
пользователи
4. C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 4
Виртуализация
Облачная среда
Традиционный
центр обработки
данных
Виртуализованный
центр
обработки данных
(VDC)
Виртуализо-
ванные
настольные
системы
Внутренние, частные
облачные среды
Виртуальные частные
облачные среды (VPC)
Общедоступные
облачные среды
ВЫ
НАХОДИТЕСЬ
ЗДЕСЬ
?
Консолидация
ресурсов
Виртуализация
среды
Автоматизация
предоставления
услуг
Стандартизация
операций
5. C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 5
• Сегментация физических и виртуальных ресурсов
• Виртуализация и различные гипервизоры
• Защита в сетях хранения данных
• Контроль приложений
• Утечки данных
• Соответствие требованиям
• Доступность и обеспечение
бесперебойного
функционирования
• Переход к облачным вычислениям
6. C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 6
• Потребности бизнеса
Какие операции хочет осуществлять ваша
организация с сетью?
• Анализ риска
Каково соотношение риска и затрат?
• Политика безопасности
Каковы политические правила, стандарты и
рекомендации по удовлетворению
потребностей бизнеса и снижению риска?
• Лучший отраслевой практический опыт
Каковы надежные, хорошо понятные и
рекомендуемые лучшие практические приемы
обеспечения безопасности?
• Операции обеспечения безопасности
Реакция на
инциденты, мониторинг, сопровождение и
аудит соответствия системы.
Технологии
безопасности
Операции безопасности
Разрешение инцидентов, мониторинг
и сопровождение,
проверки соответствия
Лучший
отраслевой
опыт
Нужды
бизнеса
Анализ
риска
Политика безопасности
Политические
правила, принципы, стандарты
7. C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 7
• Множество продуктов, политик, неуправляемых и чужих
устройств, а также доступ в облака
9. C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 9
Сегментация
• Установление границ: сеть, вычисления, виртуальные ресурсы
• Реализация политики по функциям, устройствам, организациям
• Контроль доступа к сетям, ресурсам. приложениям
Защита от угроз
• Блокирование внутренних и внешних атак
• Контроль границ зоны и периметра
• Доступ к управляющей информации и ее
использование
Прозрачность
• Обеспечение прозрачности использования
• Применение бизнес-контекста к работе сети
• Упрощение отчетности по операциям и соответствию
нормативным требованиям
11. C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 11
• Одно приложение на сервер
• Статическая
• Выделение ресурсов вручную
• Множество приложений на сервер
• Мобильная
• Динамическое выделение
ресурсов
• Множество пользователей на
сервер
• Адаптивная
• Автоматическое масштабирование
ГИПЕРВИЗОР
VDC-1 VDC-2
НАГРУЗКА В
ФИЗИЧЕСКОЙ
СРЕДЕ
НАГРУЗКА В
ВИРТУАЛЬНОЙ
СРЕДЕ
НАГРУЗКА
В ОБЛАЧНОЙ
СРЕДЕ
Cisco Nexus® 1000V, Nexus 1010, VM-FEX
UCS для виртуализованных сред
NetApp, EMC
Сеть
Вычисления
Хранение
Cisco Nexus 7K/6K/5K/4K/3K/2K
Cisco UCS для оборудования без
установленного ПО
EMC, NetApp
Мультиконтекстные МСЭ, виртуальные МСЭ,
виртуальное устройство защиты приложений
VSG
Периметр
Зона
Традиционные МСЭ и IPS
Защита приложений
Проекты Data Center Security CVD Виртуальный мультисервисный центр
обработки данных (VMDC)
12. C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 12
Сегментация с помощью
матрицы коммутации
UCS Fabric Interconnect
Сегментация сети
Физическая среда
Виртуальная среда (VLAN, VRF)
Виртуализованная среда (зоны)
Сегментация с помощью
межсетевого экрана
Динамический
аварийный/рефлективный список ACL
Мультиконтекстная
сеть VPN
Сегментация с учетом
контекста
Метки для групп безопасности (SGT)
Протокол безопасной передачи (SXP)
ACL-списки для групп безопасности
TrustSec
Реализация согласованных политик независимо от физических и
виртуальных границ для защиты данных стационарных и мобильных
систем.
13. C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 13
Физическаясреда
Физический
межсетевой экран
Модуль МСЭ для
коммутатора
• Проверка всего трафика центра обработки данных в
устройстве обеспечения безопасности периметра сети
• Высокая скорость для всех сервисов, включая всю систему
предотвращения вторжений (IPS), благодаря единой среде
передачи данных между зонами доверия
• Разделение внешних и внутренних объектов сети (трафик
«север-юг»)
Трафик «север - юг». Проверка всего входящего и
исходящего трафика центра обработки данных
Виртуальная/
многопользовательская
среда
Виртуальный межсетевой экран контролирует границы сети
Виртуальный шлюз безопасности контролирует зоны
Виртуальный шлюз
безопасности
(VSG)
Виртуальный
межсетевой экран
Трафик «восток-запад». Создание безопасных зон доверия
между приложениями и пользователями в центре обработки
данных
• Разделение пользователей в многопользовательских средах
• Разделяет приложения или виртуальные машины у одного
пользователя
Сегментация
14. Контроль виртуальной сети
Контроль трафика между ВМ
Безопасность виртуального уровня доступа
Сохранение контроля за уровнем доступа
Обеспечение выполнения
виртуальных политик
Обеспечение выполнения политик
контроля доступа в виртуальной среде
Выполнение политик в физической и
виртуальной средах
Эксплуатация и управление
Единая среда для управления
физической и виртуальной ИТ-
инфраструктурами
Защита виртуальной среды
Виртуальный сервер
Зона 1 Зона 2
Виртуальный
коммутатор
Физические
МСЭ и IPS
15. C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 15
• Маппирование зон в виртуальные
контексты
• Сегментация виртуальной
инфраструктуры
• Направление трафика VM в контексты
МСЭ
• Сегментация сетевого
трафика внутри зоны
Системный трафик
Трафик VM
Трафик управления
16. C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 16
Security
Admin
Port
Group
Service
Admin
Virtual Network
Management Center
• Консоль управления VSG
• Запуск на одной из VMs
Virtual Security Gateway
• Программный МСЭ
• Запускается на одной из VMs
• Сегментация и политики для
всех VMs
Виртуальный коммутатор
• Распределенный virtual switch
• Запускается как часть
гипервизора
Физический
сервер
• UCS или
• Другой x86
server
17. C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 17
• Проверенная
безопасность, обеспечиваемая Cisco®:
согласованность физической и виртуальной
безопасности
• Модель объединенной безопасности
̶ Виртуальный шлюз безопасности Virtual
Secure Gateway (VSG) для
пользовательских защищенных зон
̶ Виртуальный МСЭ для управления
периметром пользовательской сети
• Прозрачная интеграция
̶ С помощью виртуального коммутатора
• Гибкость масштабирования для
удовлетворения потребностей в облачных
средах
̶ Внедрение нескольких экземпляров для
развертывания в масштабе ЦОД
Пользователь БПользователь А
VDC
Виртуальное
приложение vApp
Виртуальное
приложение vApp
Гипервизор
Nexus® 1000V
vPath
VDC
Центр управления виртуальными сетями (VNMC)
VMware vCenter
VSG
VSG VSG
vFWvFW
VSG
18. C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 18
Динамический контент
Пользователи и
устройства
Ресурсы и запросы
Маркировка трафика данными о контексте в рамках единой политики
(устройство, группа, роль), невосприимчивая к изменениям сети
Несвязанная политика
Бизнес-политика
X
Распределенная
реализация
Метка групп безопасностиМЕТКА
Сегментация
19. C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 19
Идентификация Классификация Назначение Распространение
Идентификатор:
Пользователь, устройство
Роль: Кадровая служба
компании
Метка: SGT 5 Совместное использование:
сетевые переходы
Приложения, данные и
сервисы
Отсутствие привязки политики, в результате чего определение отделяется от реализации
Классификация объектов: системы и пользователи
Контекст: роль системы или роль пользователя, устройство, местоположение и метод доступа
Распространение классификации на основе контекста с использованием меток групп безопасности
Межсетевые экраны, маршрутизаторы и коммутаторы используют метки групп в интеллектуальной
политике
Коммутатор Маршрутизатор Межсетевой
экран ЦОД
Коммутатор ЦОД Серверы
Сегментация
20. C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 20
• Контроль доступа основанный на Группах Безопасности позволяет:
Сохранять существующий логический дизайн на уровне доступа
Изменять / применять политику для соответствия текущим бизнес-
требованиями
Распределять политику с центрального сервера управления
SGACL
802.1X/MAB/Web Auth.
Финансы(SGT=10)
Кадры(SGT=11)
Я контрактор
Моя группа ИТ
Контрактор
& ИТ
SGT = 5
SGT = 100
Сегментация
21. C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 21
Защита
Недовольные сотрудники
- Системы предотвращения вторжений
- Контроль приложений
Хакеры
Киберпреступники
Организованная преступность
Защита компаний от внешних и внутренних угроз
22. C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 22
IPS Защита для критически важных центров
обработки данных
• Обеспечивает аппаратное ускорение
проверки, производительность, соответствующую реальным
условиям эксплуатации, высокую плотность портов и
энергоэффективность в расширяемом шасси
• Обеспечивает защиту от внешних и внутренних атак
FWNG / App FW Межсетевой экран с учетом приложений и
контекста
• Обеспечивает проверку с аппаратным
ускорением, производительность, соответствующую реальным
условиям эксплуатации, высокую плотность портов и
энергоэффективность в расширяемом шасси
• Обеспечивает защиту от внешних и внутренних атак
Защита от угроз
23. C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 23
FW NG
Оборудование Интеграция Программное обеспечение
Несколько форм-факторов
Учет контекста
• Наиболее полный контроль: приложения,
пользователи и устройства
• Наиболее широко развернутый удаленный
доступ
• Веб-безопасность бизнес-класса
Учет угроз
• Защита от совершенно новых угроз
• Анализ глобальных данных из нескольких
источников угроз
• Анализ репутации с помощью
человеческого и компьютерного
интеллекта
Надежный анализ с учетом состояния и широчайший набор элементов управления с
учетом контекста
24. C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 24
Known Attackers
Bots
Web Attacks
Undesirable
Countries
Web Fraud
App DDoS
Scrapers
Phishing Sites
Comment
Spammers
Vulnerabilities
© Copyright 2012 Imperva, Inc. All rights reserved.
24
25. C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 25
Dynamic Profiling
Сигнатуры атак
HTTP Protocol Validation
Защита Cookie
Web Fraud Detection
Предотвращение
мошенничества
Защита от
технических
атак
Защита от атак на
бизнес-логику
Корреляцияатак
Геолокация IP
Репутация IP
Anti-Scraping Policies
Bot Mitigation Policies
26. C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 26
Web
Application
Firewall
Сервер
управления (MX)
Пользователи
Web
сервера
Web
сервера
Web
Application
Firewall
Web
сервера
Web
Application
Firewall
27. C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 27
Управление и
отчетность
• Центр управления ИБ
• Центр управления виртуальными
сетями
Сбор информации
• NetFlow / sFlow
Координация политик
• Identity Services Engine (ISE)
• Маркировка для групп безопасности (SGT)
Поддержание соответствия нормативным требованиям и получение
информации об операциях внутри центра обработки данных
28. C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 28
СЕТЬ
Видимость всего трафика
Маршрутизация всех запросов
Источники всех данных
Контроль всех потоков
Управление всеми устройствами
Контроль всех пользователей
Контроль всех потоков
31. C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 31
sFlowNetFlow:
Cisco Switches, Routers, и
ASA 5500
Сенсоры NetFlow/sFlow
Консоль управления
• Наблюдаемость и управление
• Агрегация от 25 FlowCollector-ов —
До 1.5 миллионов потоков в секунду
NetFlow генерируется на:
• Cisco switches, routers, ASA 5500
• FlowSensors на участках, которые не
имеют Netflow
FlowCollector
Identity:
ISE
Приложения:
NBAR/AVC на
Cisco Routers
• Агрегация потоков, анализ, разбор
содержания
• Хранит и анализирует до 2,000
источников потоков и до 120K потоков в
секунду
• ISE, NBAR/AVC обеспечивают контекст
SMC
FC
Контекст угроз
32. © 2013 Lancope, Inc. All rights reserved.
ИнтернетМосква
Казань
Тверь
ASR-1000
Cat6k
UCS с
Nexus
1000v
ASA
Cat6k
3925 ISR
3560-X
3850
Stack(s)
Cat4kЦОД
WAN
DMZ
Доступ
Xen, VMware,
Hyper-V
33. C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 33
Что делает
10.10.101.89?
Политика Время
начала
Тревога Источник Source Host
Groups
Цель Детали
Desktops
& Trusted
Wireless
Янв 3, 2013 Вероятная
утечка
данных
10.10.101.89 Атланта,
Десктопы
Множество
хостов
Наблюдается 5.33 Гб.
Политика позволяет
максимум до 500 Мб
© 2013 Lancope, Inc. All rights reserved.
34. C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 34
Политика Время
старта
Тревога Источник Группа хостов
источника
Имя
пользователя
Тип
устройства
Цель
Desktops &
Trusted
Wireless
Янв 3,
2013
Вероятная
утечка
данных
10.10.101.89 Атланта,
Десктопы
Джон Смит Apple-iPad Множество
хостов
© 2013 Lancope, Inc. All rights reserved.
35. C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 35
• Проверка настроек межсетевых экранов и сетевого
оборудования
• Расследование инцидентов
• Troubleshooting
© 2013 Lancope, Inc. All rights reserved.
37. C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 37
Общие
требования Конкретные
требования
38. C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 38
• №21 от 18.02.2013 «Об утверждении
Состава и содержания
организационных и технических мер
по обеспечению безопасности
персональных данных при их
обработке в информационных
системах персональных данных»
• Отменяет Приказ ФСТЭК от
05.02.2010 №58
• Меры по защите ПДн в ГИС
принимаются в соответствии с
требованиями о защите
информации, содержащейся в ГИС
39. C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 39
• №17 от 12.02.2013 «О защите
информации, не составляющей
государственную тайну, содержащейся
в государственных информационных
системах»
• Все новые и модернизируемые
системы должны создаваться по
новому приказу, а не по СТР-К
Старые системы «живут» по СТР-К
• Меры по защите ПДн в ГИС
принимаются в соответствии с
требованиями о защите информации,
содержащейся в ГИС
40. C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 40
• Меры по защите среды виртуализации должны исключать
несанкционированный доступ к персональным
данным, обрабатываемым в виртуальной инфраструктуре, и к
компонентам виртуальной инфраструктуры и (или) воздействие на
них, в том числе к средствам управления виртуальной
инфраструктурой, монитору виртуальных машин
(гипервизору), системе хранения данных (включая систему
хранения образов виртуальной инфраструктуры), сети передачи
данных через элементы виртуальной или физической
инфраструктуры, гостевым операционным системам, виртуальным
машинам (контейнерам), системе и сети
репликации, терминальным и виртуальным устройствам, а также
системе резервного копирования и создаваемым ею копиям
41. C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 41
Содержание мер УЗ4 УЗ3 УЗ2 УЗ1
ЗСВ.1 Идентификация и аутентификация субъектов доступа и объектов доступа в
виртуальной инфраструктуре, в том числе администраторов управления средствами
виртуализации
+ + + +
ЗСВ.2 Управление доступом субъектов доступа к объектам доступа в виртуальной
инфраструктуре, в том числе внутри виртуальных машин
+ + + +
ЗСВ.3 Регистрация событий безопасности в виртуальной инфраструктуре
+ + +
ЗСВ.4 Управление (фильтрация, маршрутизация, контроль соединения, однонаправленная
передача) потоками информации между компонентами виртуальной инфраструктуры, а
также по периметру виртуальной инфраструктуры
ЗСВ.5 Доверенная загрузка серверов виртуализации, виртуальной машины (контейнера),
серверов управления виртуализацией
ЗСВ.6 Управление перемещением виртуальных машин (контейнеров) и обрабатываемых на
них данных
+ +
ЗСВ.7 Контроль целостности виртуальной инфраструктуры и ее конфигураций
+ +
ЗСВ.8 Резервное копирование данных, резервирование технических средств, программного
обеспечения виртуальной инфраструктуры, а также каналов связи внутри виртуальной
инфраструктуры
+ +
ЗСВ.9 Реализация и управление антивирусной защитой в виртуальной инфраструктуре
+ + +
ЗСВ.10 Разбиение виртуальной инфраструктуры на сегменты (сегментирование виртуальной
инфраструктуры) для обработки персональных данных отдельным пользователем и
(или) группой пользователей
+ + +
43. C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 43
• Коммутаторы SAN
Ролевое управление
доступом (RBAC)
Защищенное управление
Контроль доступа
Зонирование FC
Поддержка VSAN
Поддержка FC-SP и FCIP
Port Security
Поддержка
SLAP, FCAP, FCPAP и
RFC3723
iSCSI
• Storage Media Encryption
Безопасность
управления SAN
Протокол
безопасности
SAN
Безопасность
доступа к SAN
Целостность и безопасность данных
Безопасность
доступа к
системам
хранения
Безопасность
IP SAN
(iSCSI/FCIP)
Сеть Хранения
iSCSI
Target
44. C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 44
• Безопасность сетей хранения
VLAN VSAN
ACL hard/soft zoning
Ethernet Port Security FC Port Security
IPSec FCSec, как часть FC-SP
• Безопасность виртуализации
VLAN виртуальные контексты (virtual device context)
ACL атрибуты виртуальных машин
Ethernet Port Virtual PortChannel
• Есть нюанс – сертифицированные СЗИ
Ориентироваться на них или нет?
45. C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 45
Интернет-
периметр
РАСПРЕДЕЛЕНИЕ
Сеть
хранения
ASA 5585-X ASA 5585-X
VDC
Nexus 7018 Nexus 7018
ЯДРО
= вычисления
= сеть
= безопасность
Nexus
серии
7000
Nexus
серии
5000
Nexus
серии
2100
Зона
Унифицированная
вычислительная
система
Nexus
1000V
VSG
Многозонная
структура
Catalyst
6500
СЕРВИСЫ
VSS
Межсетевой
экран
ACE
Модуль
анализа сети
(NAM)
Система
предотвращения
вторжений (IPS)
VSSVPCVPCVPCVPCVPCVPCVPCVPC
Серверная стойка 10G Серверная стойка 10 G Унифицированные
вычисления
Унифицированный доступ
46. C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 46
Самостоятельные
некритичные сервисы
Управляющие
некритичные сервисы
Управляющие
критичные сервисы
47. C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 47
Своя ИТ-
служба
Хостинг-
провайдер
IaaS PaaS SaaS
Данные Данные Данные Данные Данные
Приложения Приложения Приложения Приложения Приложения
VM VM VM VM VM
Сервер Сервер Сервер Сервер Сервер
Хранение Хранение Хранение Хранение Хранение
Сеть Сеть Сеть Сеть Сеть
- Контроль у заказчика
- Контроль распределяется между заказчиком и владельцем внешнего ЦОД
- Контроль у владельца внешнего ЦОД
48. C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 48
• Стратегия безопасности во внешнем ЦОД
Пересмотрите свой взгляд на понятие «периметра ИБ»
Оцените риски – стратегические, операционные, юридические
Сформируйте модель угроз
Сформулируйте требования по безопасности
Пересмотрите собственные процессы обеспечения ИБ
Проведите обучение пользователей
Продумайте процедуры контроля аутсорсера
Юридическая проработка взаимодействия с аутсорсером
• Стратегия выбора внешнего ЦОД-партнера
Чеклист оценки ИБ для внешнего ЦОД
49. C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 49
• Финансовая устойчивость аутсорсера
• Схема аутсорсинга
XaaS, hosted service, MSS
• Клиентская база
• Архитектура
• Безопасность и privacy
• Отказоустойчивость и резервирование
• Планы развития новых функций
50. C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 50
• Финансовые гарантии
• Завершение контракта
• Интеллектуальная собственность
51. Формирование
доверительных отношений
Защищенная инфраструктура
распределенных сетевых сервисов
Защищенные подключения и доступ
Защищенное увеличение емкости
Защищенный доступ для
пользователей, работающих
в офисе, и мобильных пользователей
Защищенные приложения на
распределенной платформе
Защита от угроз
Подтверждение соответствия
нормативным требованиям
Безопасное расширение в среды XaaS
SaaS
IaaS
PaaS
Защищенный
доступ
Филиал
Мобильные
пользователи
Внутренние
пользователи
Защищенное
подключение
51
53. C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 53
Структура и технологии ЦОД меняются
Эти изменения сильно сказываются
на системе обеспечения безопасности
Необходимо выстраивать долговременную
стратегию создания защищенных ЦОД без границ
Нормативные требования регуляторов по ИБ
непросто применить к современным подходам
построения распределенных ЦОДов
1
2
3
54. C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 54
http://www.facebook.com/CiscoRu
http://twitter.com/CiscoRussia
http://www.youtube.com/CiscoRussiaMedia
http://www.flickr.com/photos/CiscoRussia
http://vkontakte.ru/Cisco
http://blog.cisco.ru/
Editor's Notes UC.4 – need to create a very complex large network environment, provides rapid turn-up w/o resource planning, space, procurement, etc. Visibility into the new network isn’t the only challenge that IT faces. There continues to be a lingering disconnect between the goals and objectives of the Network and Security teams. What is needed is a holistic approach that addresses the big picture that the CEO is facing. You need a solution that drives these different objectives towards each other – that enables business acceleration while securing the entire distributed environment. But how do you do that? PhysicalVirtual (VLAN, VRF)Virtualized (Zones) The virtual environment brings with it a host of new security problems. These problems can be divided into two groups:Security in the Server Access Layer: These are today’s largest pain pointsRegaining visibility in the access layer is the first step at securing it. Regaining inter-host visibility in the virtual world provides key security forensics intelligence – which hosts are communicating, and in the event of an outbreak, where did it originate.Securing the access layer from DCHP and ARP attacks such as eavesdropping and VLAN hopping.Security at Higher Layers: These are emerging pain points that we need to addressVirtual policy enforcement creates segmentation and separation in the virtual world similar to that available in the physical. Note that this can be provided either through fully virtual enforcement points, or physical enforcement points that are virtual awareFinally, the physical and virtual worlds need to be tied together in a common operational environment with a common policy infrastructure. Thanks for sharing. In general looks good. Some remarks:- Instead of “Cloud Services Agent”, please use “Cloud Connectors”- you could say something like: that onePK provides the foundational APIs allowing customers to build their own “Cloud Connectors”. The onePK APIs make it possible to leverage intelligent network services and apply these through “Cloud Connectors” residing on the ISR to the delivery of cloud services to users in the branch resulting in improved user experience, improved security and/or simplified operations.Cisco is showing in the “routing booth” a proof of concept for a “Cloud Connector Development Environment” with as an “Example a Storage Connector” leveraging In this case, we could use the CTERA example as a talking point. This shows how the OnePK API enables the CTERA 3rd party storage cloud connector to deliver additional customer value, by leveraging knowledge from the network. Learn more at the demo pods, etc. Unlike other next-generation firewalls, ASA CX addresses today’s evolving security needs by delivering end-to-end network intelligence to help administrators make effective security decisions. With fine-grain control of applications, micro applications, and tasks within specific micro-applications, plus threat intelligence feeds for near-real-time protection from zero-day threats, AS CX is a comprehensive context-aware solution. The key to Cisco’s Cyber Threat Defense Solution is NetFlow. NetFlow is a very simple technology that Cisco created in the early 90s as a way of providing visibility into the network.As data flows between a source and destination, Cisco equipment collects key information about that data and sends it to a device called a NetFlow Collector.This exchange of data is called a “flow”. Flows can tell you what kind of data was exchanged, how much, and at what rate. The information in a flow can be used to describe network behaviors, and by applying the correct analysis, can also be used to detect threats. Flow Action field can provide additional contextState-based NSEL reporting is taken into consideration in StealthWatch’s behavioral analysisConcern Index points accumulated for Flow Denied eventsNAT stitching Public and Private Clouds are an architecture that brings together all elements of Scale and Simplicity, Openness, and Virtualization into an elastic, on demand environment. This environment brings with it a new set of security concerns.First, the need to establish trust on the cloud infrastructure itself. How does one maintain the integrity of the cloud environment?Second, the need to connect users and internal networks into the cloud infrastructure. How do users get access to the cloud services?Third, how do I secure the applications in the cloud, whether in a public cloud or a private?