SlideShare a Scribd company logo

Безопасность и виртуализация в центрах обработки данных (часть 1)

Cisco Russia
Cisco Russia

Обсудим общие проблемы безопасности для виртуализации. Поймем как применять виртуализованные и физические устройства безопасности для защиты ресурсов. Сфокусируемся на инструментах унификации политик и их применения для виртуальных сред. Опишем методы повышения прозрачности операций и контроля трафика в виртуальных средах. Рассмотрим архитектуру ACI (application centric infrastructure) и интеграцию сервисов безопасности.

Technology
1 of 50
Download to read offline
Станислав Рыпалов системный инженер CCIE R&S, Security, CISSP Безопасность и виртуализация в центрах обработки данных (часть 1) 26.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved.
Безопасность и виртуализация в центрах обработки данных (часть 1) КОД ПРЕЗЕНТАЦИИ: 1435 Станислав Рыпалов системный инженер CCIE R&S, Security, CISSP 26.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved. 2
Задачи Обсудим общие проблемы безопасности для виртуализации Поймем как применять виртуализованные и физические устройства безопасности для защиты ресурсов Сфокусируемся на инструментах унификации политик и их применения для виртуальных сред Опишем методы повышения прозрачности операций и контроля трафика в виртуальных средах Рассмотрим архитектуру ACI (application centric infrastructure) и интеграцию сервисов безопасности 3
Безопасность и виртуализация в ЦОД Тренды виртуализации, приоритеты, проблемы Сервисы безопасности для виртуальных сетей Физические сервисы защиты для виртуализации Обнаружение угроз и корреляция Application Centric Infrastructure Security Заключение 4
Source: IDC, Nov 2010 Точка перехода Традиционный Виртуализованный c App OS App OS App OS App OS App OS App OS App OS App OS App OS ...1 сервер, или “хост” Много прил., или “VM”… Hypervisor App OS App OS App OS 1 Приложение… ...1 Сервер App OS App OS App OS Переход Развитие архитектуры ЦОД Виртуализация на обычных платформах 5
Наращивание емкости для нагрузки (кол-во серверов и VM) Масштабирование и распределение нагрузки (разнесение серверов и VM по стойкам, рядам, между рядами, … ) Эффективная фабрика для ЦОД  Цель архитектуры – баланс между возможностью расширения и обеспечением доступности и управляемости сетевой фабрики Повышение эффективности ЦОД требует более наращиваемого и гибкого дизайна сетевой фабрики Точка старта– Вычислительный Домен 6
Виртуализация сервера На одном физическом сервере работают несколько независимых гостевых ОС и приложений Гипервизор обеспечивает абстракцию аппаратного обеспечения от гостевых ОС и приложений Разделение системных ресурсов: CPU, память, диск, сеть Приложения & ОС инкапсулированы как виртальные машины 7
Общие проблемы виртуализации Общее применение политик Применяются к хосту—не к индивидуальной VM Невозможность применения политик к VM при миграции Управления и операционная деятельность Отсутствие видимости VM, учета и согласованности Сложная модель управления и отстутствие эффективных механизмов обнаружения неисправностей Роли и ответственность Ответственный за виртальную сеть - серверный администратор Организационная двойственность –> проблемы соответсвия Сегментация машин и приложений Изоляция серверов и приложений на одном хосте Нет разделения между compliant и non-compliant системами… Политики, процессы, управление Roles and Responsibilities Isolation and Segmentation Management and Monitoring Hypervisor Initial Infection Secondary Infection 8
Безопасность виртуализации Collateral hacking? Сегментация? Атаки Side channel? Видимость? Идентификация угроз и защита? Как насчет взлома гипервизора? VM Escape? Что еще? Синдром дефицита внимания Virtualization Security V-Motion (Memory) V-Storage (VMDK) VM Segmentation Hypervisor Security Role Based Access Physical Security VM OS Hardening Patch Management VM Sprawl 9
Просто, Эффективно и Доступно Сегментация •Определение границ: сеть, вычислительный ресурс, вируальная сеть •Применение политик по функциям - устройство, организация, соответствие •Контроль и предотвращение НСД к сети, ресурсам, приложениям Защита от угроз •Блокирование внешних и внутренних атак и остановки сервисов •Патрулирование границ зон безопасности •Контроль доступа и использования информации для предотвращения ее потери Видимость •Обеспечение прозрачности использования •Применение бизнес-контекста к сетевой активности •Упрощение операций и отчетности Север-Юг Восток-Запад Защита, Обнаружение, Контроль
Виртуальная сеть и сервисы безопасности 26.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved. 11
Управление политиками в виртуальной сети Nexus 1000V Операционная модель на базе портовых профилей Port Profiles Поддержка политик безопасности с изоляцией и сегментацией при помощи VLAN, Private VLAN, Port- based Access Lists, Cisco Integrated Security функций Обеспечение прозрачности потоков от виртуальных машин функциями ERSPAN и NetFlow Виртуальный коммутатор: Nexus 1000V Network Team Server Team Управление и мониторинг Роли и ответственность Изоляция и сегментация Security Team Nexus 1000V 12
Что такое портовый профиль (Port-Profile) Nexus? Профиль порта – контейнер для определения общего набора настроек/команд, которые используются на нескольких интерфейсах Определяется один раз, применяется многократно Упрощение управления через сохранение конфигурации интерфейса Ключевой компонент для совместного управления сетевыми ресурсами виртуальной сети Почему это не как шаблон или макрос «SmartPort»?  Портовые профили это «живые» политики  Изменение включенного профиля влечет изменение настроек на всех подключенных интерфейсах, которые используют данный профиль * Более подробно на потоке ЦОД 13
Профиль порта Nexus 1000V поддерживает: ACLs Quality of Service (QoS) PVLANs Port channels SPAN ports port-profile vm180 vmware port-group pg180 switchport mode access switchport access vlan 180 ip flow monitor ESE-flow input ip flow monitor ESE-flow output no shutdown state enabled interface Vethernet9 inherit port-profile vm180 interface Vethernet10 inherit port-profile vm180 Port Profile –> Port Group vCenter API vMotion Policy Stickiness Network Security Server 14
Функции безопасности Nexus 1000V Закладывая основу Switching L2 Switching, 802.1Q Tagging, VLAN Segmentation, Rate Limiting (TX) IGMP Snooping, QoS Marking (COS & DSCP) Security Virtual Service Domain, Private VLANs w/ local PVLAN Enforcement Access Control Lists (L2–4 w/ Redirect), Port Security, vPATH/VSG Dynamic ARP inspection, IP Source Guard, DHCP Snooping Provisioning Automated vSwitch Config, Port Profiles, Virtual Center Integration Optimized NIC Teaming with Virtual Port Channel – Host Mode Visibility VMotion Tracking, ERSPAN, NetFlow v9, CDP v2 VM-Level Interface Statistics Management Virtual Center VM Provisioning, Cisco Network Provisioning, CiscoWorks Cisco CLI, Radius, TACACs, Syslog, SNMP (v.1, 2, 3) 15
Сервисные цепочки при помощи vPath vPath это компонент шины данных Nexus 1000V: Модель вставки сервиса без привязки к топологии Сервисные цепочки для нескольких виртуальных сервисов Повышение производительности с vPath например VSG flow offload Эффективная и масштабируемая архитектура Сохранение существующей модели операций Мобильность политик Cloud Network Services (CNS) Hypervisor Nexus 1000V vPath 16
Что такое Virtual Security Gateway? VSG это L2 МСЭ, который работает как фильтр между виртуальными машинами Похоже на режим transparent для ASA Обеспечивает инспекцию/фильтрацию между виртуальными машинами в одной L2 сети (одна подсеть или VLAN) Для описания политик может использовать атрибуты VMware Разделение потоков трафика Восток-Запад Один или более VSG на тенанта Требует Nexus 1000V Virtual Distributed Switch и использует vPath для коммутации 17 Virtual Hosts Virtual Hosts Virtual Hosts
Атрибуты VSG Название Значение Источник vm.name имя VM vCenter vm.host-name имя ESX-хоста vCenter vm.os-fullname имя гостевой OS vCenter vm.vapp-name имя ассоциированного vApp vCenter vm.cluster-name имя кластера vCenter vm.portprofile-name имя профиля порта Port-profile атрибуты VM attribute используются при создании политики безопасности Профиль Security Policy Profile Определяется/управляется через VNMC / PNSC Привязка политики через профиль порта Cisco Nexus 1000V VSM Атрибуты vCenter VM 18
Network Admin Security Admin Процесс определения политики Устранение операционных ошибок между командами Команда безопасности определяет политики безопасности Команда сетевых администраторов включает политику в профили портов Серверная команда назначает профили портов к VM Сервер, Сеть, Безопасность Server Admin vCenter Nexus 1KV Prime NSC Port Group Port Profile Security Profile 19
Представляем виртуальный МСЭ ASA (ASAv) Полноценный МСЭ ASA работающий как виртуальная машина Nexus1000V не требуется Поддерживает VMWare и другие гипервизоры Паритет функциональности с ASA (с исключениями) Нет поддержки: 1.кластеризации ASA 2.режима нескольких контекстов 3.интерфейсов Etherchannel 4.Режима Active/Active Failover (требует режима multi context) 20 ASAv Firewall (Virtualized ASA)
Внедрение ASAv : Облачный МСЭ+VPN 21 Сегодня для фильтрации между зонами и тенантами применяется ASA в режиме мульти-контекст Для передачи трафика используются транки Проблема – масштабирование фильтрации Запад-Восток требует ресурсов МСЭ и масштабируемого транспортного решения Zone 1 Zone 2 Zone 3 VM 1 VM 2 VM 3 VM 4 VFW 1 VM 5 VM 6 VM 7 VM 8 VFW 2 VFW 3 ASAv – может быть пограничным МСЭ и может обеспечивать фильтрацию Восток-Запад На каждого тенанта или зону можно развернуть одну или несколько ASAv для FW + VPN Масштабируемая терминация VPN S2S и RA Vzone 1 Vzone 2 Multi Context Mode ASA
ASAv 3 режима примения политик Routed Firewall •Маршрутизация трафика между vNIC •Поддержка таблиц ARP и маршрутов •МСЭ на границе тенанта Transparent Firewall •VLAN или VxLAN Bridging / Stitching •Поддержка таблицы MAC •Бесшовная интеграция в L3 дизайн Service Tag Switching •Инспектирование между service tags •Нет взаимодействия с сетью •Режим интеграции с фабрикой 22
Routed Firewall Routed – граница сети контейнера/тенанта Шлюз по умолчанию для хостов Маршрутизация между несколькими подсетями Традиционная L3 граница сети Подключение виртуальных машин и физических Сегментация с использованием интерфейсов ASAv Routed client Gateway Outside Inside host1 host2 Shared DMZ 23
Transparent Firewall • Коммутация между 4 (под-) интерфейсами • 8 BVIs на ASAv • NAT и ACL • Бесшовная интеграция для соотв. PCI • Традиционная граница L2 между хостами • Все сегменты в одном широковещательном домене ASAv Transp Gateway client Segment-1 Segment-3 host1 host2 Segment-2 Segment-4 24
Web-zone Fileserver-zone Hypervisor Nexus 7000 Nexus 5500 Nexus 1000V VRF VLAN 50 UCS VLAN 200 VLAN 300 Защита приложений и видимость Инспекция трафика север-юг и восток-запад с ASA Transparent или routed режимы Эластичность сервиса ASAv .1Q Trunk VLAN 50 25
Web-zone Fileserver-zone Hypervisor Nexus 7000 Nexus 5500 Nexus 1000V VRF VLAN 50 UCS Защита приложений и видимость Инспекция трафика север-юг и восток-запад с ASA Глубокая инспекция с virtual IPS – в режиме inline (коммутация между VLAN) или promiscuous port на vswitch Сервисная цепочка – ASAv и vIPS .1Q Trunk External VLAN 50 Defense Center с Firesight для анализа данных 26 Inline Set Inline Set Internal External Internal VLAN 200
Виртуальный IPS 26.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved. 27
vIPS Варианты включения в разрыв или пассивный Web-zone VLAN 200 Promiscuous Port vSwitch Web-zone VLAN 200 External vSwitch vSwitch 28 Internal
Контекстная информация FireSIGHT Защита приложений и контроль Трафик приложений… Приложения и риск… Кто их использует? Какие операционные системы? Что еще происходило с пользователями? What does their traffic look like over time?
Защита приложений и видимость Defense Center c FireSight 30
Защита приложений и видимость Информация геолокации 31
Защита приложений и видимость Defense Center с FireSight 32
Примеры внедрения 26.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved. 33
Web-zone Application-zone Fileserver-zone Hypervisor Nexus 7000 Nexus 1000V Primary VLAN 20 VRF VLAN 20 UCS VLAN 100 Isolated VLAN 200 Isolated VLAN 300 Community Сегментация L2 VM в одной подсети могут быть изолированы Взаимодействие только со шлюзом L3 Используем ACL на шлюзе для фильтрации по IP из PVLAN PVLAN для изоляции VM *PVLANs также поддерживаются на VMware vswitch .1Q Trunk 34
Web-zone Application-zone Fileserver-zone Hypervisor Nexus 1000V UCS VLAN 100 Isolated VLAN 200 Isolated VLAN 300 Community VM обеспечение прозрачности операций Потоки от VM могут быть отзеркалированы через span-порт на виртуальном коммутаторе. Можно также применить ERSPAN для отправки через L3 (например на 6500 NAM модуль). Анализ потоков VM через NetFlow для контроля производительности и безопасности NetFlow для анализа поведения VM NetFlow/ERSPAN/SPAN NetFlow Data Collector 6500 w/ Layer 3 NAM Layer 2 35
Изоляция систем через микросегментацию Политики на приложение, VM, vNIC Tenant B VSD Web App Web DB Nexus 1000V VSD ASAv и vIPS Nexus 1000V Web Tier App Tier Контроль ingress/egress & трафик между VM vFirewall, ACL, PVLAN Видимость трафика и угроз vIPS, Netflow, SPAN/ERSPAN Применение политик прозрачно для мобильности Port Profiles Разделение ролей Сервер • Сеть • Безопасность Tenant A ASAv и vIPS 36 VSG SVM
Оркестрация виртуальной безопасности Автоматизация внедрения сервисов безопасности SDN ACI Рассмотрим ACI как пример: Web Server End Point Group A App Server End Point Group B Application Construct Services inst inst … Firewall/IPS inst inst … load balancer graph …. start end 1 ….. N contract rule: redirect Продукты оркестрации: Embrane 37
Физические сервисы безопасности для виртуализации 26.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved. 38
Physical to Virtual Сегментация VRF-VLAN-Virtual ASAv/ VSG vIPS ASAv Zone B Zone C Nexus 7K ASA CTX1 CTX2 CTX3 VLANx1 VLANx2 VLANy1 VLANy2 VLANz1 VLANz2 SGT SGT SGT SGT SGT SGT Segmentation Building Blocks Соединяем физическую и виртуальную инфраструктуры Зоны используются для определения и применения политик Уникальные политики применяются для каждой зоны Физическая инфраструктура привязывается к зоне VRF, Nexus Virtual Device Context, VLAN, SGT 39
МСЭ ASA и фабрика ЦОД ASA и Nexus Virtual Port Channel vPC обеспечивает распределение нагрузки по соединениям (отсутствие заблокированных STP соед.) ASA использует технологии отказоустойчивости ЦОД Уникальная интеграция ASA и Nexus (LACP) IPS модуль полагается на связность от ASA – обеспечивает DPI Проверенный дизайн для сегментации, защиты от угроз и прозрачности операций (visibility) Transparent (рекомендован) и routed режимы Работает в режимах A/S и A/A failover Уровень агрегации ЦОД Active vPC Peer-link vPC vPC Core IP1 Core IP2 Active or Standby N7K VPC 41 N7K VPC 40 Nexus 1000V vPath Hypervisor Nexus 1000V vPath Hypervisor Core Layer Aggregation Layer Access Layers 40
Aggregation Layer L2 L3 FW HA VPC VPC VPC DC Core / EDGE VPC VPC FHRP FHRP SVI VLAN200 SVI VLAN200 North Zone VLAN 200 South Zone VLAN 201 Trunks VLAN 200 Outside VLAN 201 Inside N7K VPC 40 N7K VPC 41 ASA channel 32 VPC PEER LINK VPC PEER LINK Access Layer Подключение ASA к Nexus с vPC ASA подключается к Nexus несколькими интерфейсами с использованием vPC ASA может быть настроена на переход на резервную коробку в случае потери нескольких соединений (при использовании HA) Идентификаторы vPC разные для каждого МСЭ ASA на коммутаторе Nexus (это меняется для кластера ASA и cLACP [далее…]) Лучшие практики 41
North Zone VLAN 200 South Zone VLAN 201 VPC VLAN 200 Outside VLAN 201 Inside interface TenGigabitEthernet0/6 channel-group 32 mode active no nameif no security-level ! interface TenGigabitEthernet0/7 channel-group 32 mode active no nameif no security-level ! Server in VLAN 201 VPC Trunk Allowed 1,201 SVI VLAN200 172.16.25.253 FHRP – 172.16.25.1 SVI VLAN200 172.16.25.254 FHRP – 172.16.25.1 172.16.25.86/24 Режим Transparent в ЦОД 2 интерфейса interface BVI1 ip address 172.16.25.86 255.255.255.0 ! interface Port-channel32 no nameif no security-level ! interface Port-channel32.201 mac-address 3232.1111.3232 vlan 201 nameif inside bridge-group 1 security-level 100 ! interface Port-channel32.200 mac-address 3232.1a1a.3232 vlan 200 nameif outside bridge-group 1 security-level 0 42
Физический сервис для виртуального Hypervisor Hypervisor Hypervisor Hypervisor VRF Blue VRF Purple Firewall Firewall Nexus 7000 Nexus 5500 Nexus 1000V Nexus 1000V Применяем физические устр-ва для изоляции и сегментации виртуальных машин Используем зоны для применения политик Физическая инфраструктура привязывается к зоне  Разделяем таблицы маршрутизации по зонам через VRF  Политики МСЭ на зоны привязаны к потокам север-юг, восток-запад  Проводим L2 и L3 пути через физические сервисы 43
МСЭ & виртуальная среда Виртуальные контексты ASA для фильтрации потоков между зонами Firewall Virtual Context provides inter-zone East- West security Aggregation Core Hypervisor Hypervisor Database ASA Context 2 Transparent Mode ASA Context 1 Transparent Mode ASA 5585 ASA 5585 Aggregation Core Physical Layout East-West Zone filtering VLAN 21 VLAN 20 VLAN 100 VLAN 101 Context1 Context2 Front-End Apps 44
Hypervisor Инспекция трафика между VLAN для VM ASA с Bridge Group внутри контекста Layer 2 Adjacent Switched Locally Direct Communication ASA 5585 Transparent Mode Aggregation Core Layer 3 Gateway VRF or SVI Aggregation Core Physical Layout East-West VLAN filtering VLAN 20 VLAN 100 interface vlan 21 10.10.20.1/24 interface vlan 101 10.10.101.1/24 interface TenGigabitEthernet0/6 channel-group 32 mode active vss-id 1 no nameif no security-level ! interface TenGigabitEthernet0/7 channel-group 32 mode active vss-id 2 no nameif no security-level ! interface BVI1 ip address 10.10.20.254 255.255.255.0 ! interface Port-channel32 no nameif no security-level ! interface Port-channel32.20 mac-address 3232.1111.3232 vlan 20 nameif inside bridge-group 1 security-level 100 ! interface Port-channel32.21 mac-address 3232.1a1a.3232 vlan 21 nameif outside bridge-group 1 security-level 0 … 45 VLAN 21 VLAN 101
Обзор кластера ASA Кластеризация поддерживается на 5580, 5585 и 5500-X (5500-X кластер из 2-х устройств) CCL – критическое место кластера, без него кластер не работает Среди членов кластера выбирается Master для синхронизации настроек— не влияет на путь пакета Новый термин “spanned port-channel” т.е. Распределенные/общие настройки порта среди членов кластера ASA Кластер может ре-балансировать потоки У каждого потока есть Owner и Director и возможно Forwarder Шина данных кластера ДОЛЖНАиспользовать cLACP (Spanned Port-Channel) Cluster Control Link vPC Data Plane Aggregation Core ASA Cluster vPC 40 46
Кластер МСЭ ASA Кластеризация ASA для требований ЦОД Cluster Control link shares state and connection information among cluster members Aggregation Core Hypervisor Hypervisor Database ASA Cluster includes Context 1 & 2 Transparent Mode ASA 5585 ASA 5585 ASA 5585 ASA 5585 Aggregation Core Physical Layout Cluster Control Link Cluster functionally the same in either transparent or routed mode Cluster members used for North-South, East-West inspection and filtering Context1 Context2 Owner Director IPS relies on ASA Clustering 47 Web Apps
Итого по МСЭ в ЦОД Физические и виртуальные устройства безопасности предлагают различные варианты для обеспечения контроля в ЦОД Виртуальные МСЭ в различных режимах обеспечивают контроль между VRF и Nexus VDC Transparent (L2) режим дает набор преимуществ по сравнению с routed режимом Нет помех для прохождения протоколов маршрутизации, multicast, IPSEC и пр. Используйте LACP для агрегации соединений в ЦОД Кластеризация МСЭ обеспечивает высокий уровень производительности и возможность плавного ее наращивания. Интеграция с новыми технологиями - ACI 48
ВОПРОСЫ ? 26.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved. 49
CiscoRu Cisco CiscoRussia #CiscoConnectRu Пожалуйста, используйте код для оценки доклада 1435 Ваше мнение очень важно для нас Спасибо за внимание! 26.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved.

Recommended

Защита центров обработки данных. Механизмы безопасности для классической фабр...
Защита центров обработки данных. Механизмы безопасности для классической фабр...Защита центров обработки данных. Механизмы безопасности для классической фабр...
Защита центров обработки данных. Механизмы безопасности для классической фабр...Cisco Russia
 
Защита центров обработки данных. Механизмы безопасности для классической фабр...
Защита центров обработки данных. Механизмы безопасности для классической фабр...Защита центров обработки данных. Механизмы безопасности для классической фабр...
Защита центров обработки данных. Механизмы безопасности для классической фабр...Cisco Russia
 
Автоматизированое развертывание виртуализированной инфраструктуры с интегриро...
Автоматизированое развертывание виртуализированной инфраструктуры с интегриро...Автоматизированое развертывание виртуализированной инфраструктуры с интегриро...
Автоматизированое развертывание виртуализированной инфраструктуры с интегриро...Cisco Russia
 
Управление доступом в сеть – развитие архитектуры Cisco TrustSec
Управление доступом в сеть – развитие архитектуры Cisco TrustSecУправление доступом в сеть – развитие архитектуры Cisco TrustSec
Управление доступом в сеть – развитие архитектуры Cisco TrustSecCisco Russia
 
Краткий обзор Cisco TrustSec
Краткий обзор Cisco TrustSecКраткий обзор Cisco TrustSec
Краткий обзор Cisco TrustSecCisco Russia
 
Решения Cisco в области ИБ для центров обработки данных
Решения Cisco в области ИБ для центров обработки данныхРешения Cisco в области ИБ для центров обработки данных
Решения Cisco в области ИБ для центров обработки данныхCisco Russia
 
Проблема защиты информации в современном ЦОДе и способы ее решения
Проблема защиты информации в современном ЦОДе и способы ее решенияПроблема защиты информации в современном ЦОДе и способы ее решения
Проблема защиты информации в современном ЦОДе и способы ее решенияCisco Russia
 
Cisco UCS Director - простое средство управления инфраструктурой частного обл...
Cisco UCS Director - простое средство управления инфраструктурой частного обл...Cisco UCS Director - простое средство управления инфраструктурой частного обл...
Cisco UCS Director - простое средство управления инфраструктурой частного обл...Cisco Russia
 

Recommended

Защита центров обработки данных. Механизмы безопасности для классической фабр...
Защита центров обработки данных. Механизмы безопасности для классической фабр...Защита центров обработки данных. Механизмы безопасности для классической фабр...
Защита центров обработки данных. Механизмы безопасности для классической фабр...Cisco Russia
 
Защита центров обработки данных. Механизмы безопасности для классической фабр...
Защита центров обработки данных. Механизмы безопасности для классической фабр...Защита центров обработки данных. Механизмы безопасности для классической фабр...
Защита центров обработки данных. Механизмы безопасности для классической фабр...Cisco Russia
 
Автоматизированое развертывание виртуализированной инфраструктуры с интегриро...
Автоматизированое развертывание виртуализированной инфраструктуры с интегриро...Автоматизированое развертывание виртуализированной инфраструктуры с интегриро...
Автоматизированое развертывание виртуализированной инфраструктуры с интегриро...Cisco Russia
 
Управление доступом в сеть – развитие архитектуры Cisco TrustSec
Управление доступом в сеть – развитие архитектуры Cisco TrustSecУправление доступом в сеть – развитие архитектуры Cisco TrustSec
Управление доступом в сеть – развитие архитектуры Cisco TrustSecCisco Russia
 
Краткий обзор Cisco TrustSec
Краткий обзор Cisco TrustSecКраткий обзор Cisco TrustSec
Краткий обзор Cisco TrustSecCisco Russia
 
Решения Cisco в области ИБ для центров обработки данных
Решения Cisco в области ИБ для центров обработки данныхРешения Cisco в области ИБ для центров обработки данных
Решения Cisco в области ИБ для центров обработки данныхCisco Russia
 
Проблема защиты информации в современном ЦОДе и способы ее решения
Проблема защиты информации в современном ЦОДе и способы ее решенияПроблема защиты информации в современном ЦОДе и способы ее решения
Проблема защиты информации в современном ЦОДе и способы ее решенияCisco Russia
 
Cisco UCS Director - простое средство управления инфраструктурой частного обл...
Cisco UCS Director - простое средство управления инфраструктурой частного обл...Cisco UCS Director - простое средство управления инфраструктурой частного обл...
Cisco UCS Director - простое средство управления инфраструктурой частного обл...Cisco Russia
 
Подробный обзор Cisco ASA with FirePOWER Services
Подробный обзор Cisco ASA with FirePOWER ServicesПодробный обзор Cisco ASA with FirePOWER Services
Подробный обзор Cisco ASA with FirePOWER ServicesCisco Russia
 
Коммутация и сервисы в виртуализированной вычислительной среде
Коммутация и сервисы в виртуализированной вычислительной среде Коммутация и сервисы в виртуализированной вычислительной среде
Коммутация и сервисы в виртуализированной вычислительной среде Cisco Russia
 
Cisco ASA с сервисами FirePOWER
Cisco ASA с сервисами FirePOWERCisco ASA с сервисами FirePOWER
Cisco ASA с сервисами FirePOWERCisco Russia
 
Новые модели Cisco ASA 5506-X, 5508-X и 5516-X
Новые модели Cisco ASA 5506-X, 5508-X и 5516-XНовые модели Cisco ASA 5506-X, 5508-X и 5516-X
Новые модели Cisco ASA 5506-X, 5508-X и 5516-XCisco Russia
 
Физическая безопасность от Cisco: новинки компании, новые реалии рынка, измен...
Физическая безопасность от Cisco: новинки компании, новые реалии рынка, измен...Физическая безопасность от Cisco: новинки компании, новые реалии рынка, измен...
Физическая безопасность от Cisco: новинки компании, новые реалии рынка, измен...Cisco Russia
 
Защита корпоративных и персональных мобильных устройств в сети
Защита корпоративных и персональных мобильных устройств в сетиЗащита корпоративных и персональных мобильных устройств в сети
Защита корпоративных и персональных мобильных устройств в сетиCisco Russia
 
Как компания Cisco защищает сама себя
Как компания Cisco защищает сама себяКак компания Cisco защищает сама себя
Как компания Cisco защищает сама себяCisco Russia
 
Облака в Украине и ЕС как инструменты защиты ИТ: практические аспекты
Облака в Украине и ЕС как инструменты защиты ИТ: практические аспектыОблака в Украине и ЕС как инструменты защиты ИТ: практические аспекты
Облака в Украине и ЕС как инструменты защиты ИТ: практические аспектыDe Novo
 
Cisco ASA1000 v Cloud Firewall
Cisco ASA1000 v Cloud FirewallCisco ASA1000 v Cloud Firewall
Cisco ASA1000 v Cloud FirewallCisco Russia
 
Обзор новой версии Cisco Identity Service Engine 2.0
Обзор новой версии Cisco Identity Service Engine 2.0Обзор новой версии Cisco Identity Service Engine 2.0
Обзор новой версии Cisco Identity Service Engine 2.0Cisco Russia
 
Инфраструктура Cisco для построения облачной платформы
Инфраструктура Cisco для построения облачной платформыИнфраструктура Cisco для построения облачной платформы
Инфраструктура Cisco для построения облачной платформыCisco Russia
 
IT-инфраструктура
IT-инфраструктураIT-инфраструктура
IT-инфраструктураSoftline
 
Обзор новой версии Cisco AnyConnect 4.2
Обзор новой версии Cisco AnyConnect 4.2Обзор новой версии Cisco AnyConnect 4.2
Обзор новой версии Cisco AnyConnect 4.2Cisco Russia
 
Cisco safe
Cisco safeCisco safe
Cisco safemoldovaictsummit2016
 
Аккорд-В_Конкурс продуктов портала VirtualizationSecurityGroup.Ru_продукт пре...
Аккорд-В_Конкурс продуктов портала VirtualizationSecurityGroup.Ru_продукт пре...Аккорд-В_Конкурс продуктов портала VirtualizationSecurityGroup.Ru_продукт пре...
Аккорд-В_Конкурс продуктов портала VirtualizationSecurityGroup.Ru_продукт пре...VirtSGR
 
Cisco ASA with FirePOWER Services
Cisco ASA with FirePOWER ServicesCisco ASA with FirePOWER Services
Cisco ASA with FirePOWER ServicesCisco Russia
 
Тенденции рынка инфраструктуры ЦОД
Тенденции рынка инфраструктуры ЦОДТенденции рынка инфраструктуры ЦОД
Тенденции рынка инфраструктуры ЦОДCisco Russia
 
SafeNet Authentication Service
SafeNet Authentication ServiceSafeNet Authentication Service
SafeNet Authentication ServiceMichael Oreshin
 
Программируемая сеть, думающая за вас: ночной кошмар или светлое будущее?!
Программируемая сеть, думающая за вас: ночной кошмар или светлое будущее?!Программируемая сеть, думающая за вас: ночной кошмар или светлое будущее?!
Программируемая сеть, думающая за вас: ночной кошмар или светлое будущее?!Cisco Russia
 
Сквозное управление доступом - от пользователя и дальше
Сквозное управление доступом - от пользователя и дальшеСквозное управление доступом - от пользователя и дальше
Сквозное управление доступом - от пользователя и дальшеCisco Russia
 
Архитектура защищенного ЦОД
Архитектура защищенного ЦОДАрхитектура защищенного ЦОД
Архитектура защищенного ЦОДCisco Russia
 
SDN в корпоративных сетях
SDN в корпоративных сетяхSDN в корпоративных сетях
SDN в корпоративных сетяхCisco Russia
 

More Related Content

What's hot

Подробный обзор Cisco ASA with FirePOWER Services
Подробный обзор Cisco ASA with FirePOWER ServicesПодробный обзор Cisco ASA with FirePOWER Services
Подробный обзор Cisco ASA with FirePOWER ServicesCisco Russia
 
Коммутация и сервисы в виртуализированной вычислительной среде
Коммутация и сервисы в виртуализированной вычислительной среде Коммутация и сервисы в виртуализированной вычислительной среде
Коммутация и сервисы в виртуализированной вычислительной среде Cisco Russia
 
Cisco ASA с сервисами FirePOWER
Cisco ASA с сервисами FirePOWERCisco ASA с сервисами FirePOWER
Cisco ASA с сервисами FirePOWERCisco Russia
 
Новые модели Cisco ASA 5506-X, 5508-X и 5516-X
Новые модели Cisco ASA 5506-X, 5508-X и 5516-XНовые модели Cisco ASA 5506-X, 5508-X и 5516-X
Новые модели Cisco ASA 5506-X, 5508-X и 5516-XCisco Russia
 
Физическая безопасность от Cisco: новинки компании, новые реалии рынка, измен...
Физическая безопасность от Cisco: новинки компании, новые реалии рынка, измен...Физическая безопасность от Cisco: новинки компании, новые реалии рынка, измен...
Физическая безопасность от Cisco: новинки компании, новые реалии рынка, измен...Cisco Russia
 
Защита корпоративных и персональных мобильных устройств в сети
Защита корпоративных и персональных мобильных устройств в сетиЗащита корпоративных и персональных мобильных устройств в сети
Защита корпоративных и персональных мобильных устройств в сетиCisco Russia
 
Как компания Cisco защищает сама себя
Как компания Cisco защищает сама себяКак компания Cisco защищает сама себя
Как компания Cisco защищает сама себяCisco Russia
 
Облака в Украине и ЕС как инструменты защиты ИТ: практические аспекты
Облака в Украине и ЕС как инструменты защиты ИТ: практические аспектыОблака в Украине и ЕС как инструменты защиты ИТ: практические аспекты
Облака в Украине и ЕС как инструменты защиты ИТ: практические аспектыDe Novo
 
Cisco ASA1000 v Cloud Firewall
Cisco ASA1000 v Cloud FirewallCisco ASA1000 v Cloud Firewall
Cisco ASA1000 v Cloud FirewallCisco Russia
 
Обзор новой версии Cisco Identity Service Engine 2.0
Обзор новой версии Cisco Identity Service Engine 2.0Обзор новой версии Cisco Identity Service Engine 2.0
Обзор новой версии Cisco Identity Service Engine 2.0Cisco Russia
 
Инфраструктура Cisco для построения облачной платформы
Инфраструктура Cisco для построения облачной платформыИнфраструктура Cisco для построения облачной платформы
Инфраструктура Cisco для построения облачной платформыCisco Russia
 
IT-инфраструктура
IT-инфраструктураIT-инфраструктура
IT-инфраструктураSoftline
 
Обзор новой версии Cisco AnyConnect 4.2
Обзор новой версии Cisco AnyConnect 4.2Обзор новой версии Cisco AnyConnect 4.2
Обзор новой версии Cisco AnyConnect 4.2Cisco Russia
 
Аккорд-В_Конкурс продуктов портала VirtualizationSecurityGroup.Ru_продукт пре...
Аккорд-В_Конкурс продуктов портала VirtualizationSecurityGroup.Ru_продукт пре...Аккорд-В_Конкурс продуктов портала VirtualizationSecurityGroup.Ru_продукт пре...
Аккорд-В_Конкурс продуктов портала VirtualizationSecurityGroup.Ru_продукт пре...VirtSGR
 
Cisco ASA with FirePOWER Services
Cisco ASA with FirePOWER ServicesCisco ASA with FirePOWER Services
Cisco ASA with FirePOWER ServicesCisco Russia
 
Тенденции рынка инфраструктуры ЦОД
Тенденции рынка инфраструктуры ЦОДТенденции рынка инфраструктуры ЦОД
Тенденции рынка инфраструктуры ЦОДCisco Russia
 
SafeNet Authentication Service
SafeNet Authentication ServiceSafeNet Authentication Service
SafeNet Authentication ServiceMichael Oreshin
 
Программируемая сеть, думающая за вас: ночной кошмар или светлое будущее?!
Программируемая сеть, думающая за вас: ночной кошмар или светлое будущее?!Программируемая сеть, думающая за вас: ночной кошмар или светлое будущее?!
Программируемая сеть, думающая за вас: ночной кошмар или светлое будущее?!Cisco Russia
 
Сквозное управление доступом - от пользователя и дальше
Сквозное управление доступом - от пользователя и дальшеСквозное управление доступом - от пользователя и дальше
Сквозное управление доступом - от пользователя и дальшеCisco Russia
 

What's hot (20)

Подробный обзор Cisco ASA with FirePOWER Services
Подробный обзор Cisco ASA with FirePOWER ServicesПодробный обзор Cisco ASA with FirePOWER Services
Подробный обзор Cisco ASA with FirePOWER Services
 
Коммутация и сервисы в виртуализированной вычислительной среде
Коммутация и сервисы в виртуализированной вычислительной среде Коммутация и сервисы в виртуализированной вычислительной среде
Коммутация и сервисы в виртуализированной вычислительной среде
 
Cisco ASA с сервисами FirePOWER
Cisco ASA с сервисами FirePOWERCisco ASA с сервисами FirePOWER
Cisco ASA с сервисами FirePOWER
 
Новые модели Cisco ASA 5506-X, 5508-X и 5516-X
Новые модели Cisco ASA 5506-X, 5508-X и 5516-XНовые модели Cisco ASA 5506-X, 5508-X и 5516-X
Новые модели Cisco ASA 5506-X, 5508-X и 5516-X
 
Физическая безопасность от Cisco: новинки компании, новые реалии рынка, измен...
Физическая безопасность от Cisco: новинки компании, новые реалии рынка, измен...Физическая безопасность от Cisco: новинки компании, новые реалии рынка, измен...
Физическая безопасность от Cisco: новинки компании, новые реалии рынка, измен...
 
Защита корпоративных и персональных мобильных устройств в сети
Защита корпоративных и персональных мобильных устройств в сетиЗащита корпоративных и персональных мобильных устройств в сети
Защита корпоративных и персональных мобильных устройств в сети
 
Как компания Cisco защищает сама себя
Как компания Cisco защищает сама себяКак компания Cisco защищает сама себя
Как компания Cisco защищает сама себя
 
Облака в Украине и ЕС как инструменты защиты ИТ: практические аспекты
Облака в Украине и ЕС как инструменты защиты ИТ: практические аспектыОблака в Украине и ЕС как инструменты защиты ИТ: практические аспекты
Облака в Украине и ЕС как инструменты защиты ИТ: практические аспекты
 
Cisco ASA1000 v Cloud Firewall
Cisco ASA1000 v Cloud FirewallCisco ASA1000 v Cloud Firewall
Cisco ASA1000 v Cloud Firewall
 
Обзор новой версии Cisco Identity Service Engine 2.0
Обзор новой версии Cisco Identity Service Engine 2.0Обзор новой версии Cisco Identity Service Engine 2.0
Обзор новой версии Cisco Identity Service Engine 2.0
 
Инфраструктура Cisco для построения облачной платформы
Инфраструктура Cisco для построения облачной платформыИнфраструктура Cisco для построения облачной платформы
Инфраструктура Cisco для построения облачной платформы
 
IT-инфраструктура
IT-инфраструктураIT-инфраструктура
IT-инфраструктура
 
Обзор новой версии Cisco AnyConnect 4.2
Обзор новой версии Cisco AnyConnect 4.2Обзор новой версии Cisco AnyConnect 4.2
Обзор новой версии Cisco AnyConnect 4.2
 
Cisco safe
Cisco safeCisco safe
Cisco safe
 
Аккорд-В_Конкурс продуктов портала VirtualizationSecurityGroup.Ru_продукт пре...
Аккорд-В_Конкурс продуктов портала VirtualizationSecurityGroup.Ru_продукт пре...Аккорд-В_Конкурс продуктов портала VirtualizationSecurityGroup.Ru_продукт пре...
Аккорд-В_Конкурс продуктов портала VirtualizationSecurityGroup.Ru_продукт пре...
 
Cisco ASA with FirePOWER Services
Cisco ASA with FirePOWER ServicesCisco ASA with FirePOWER Services
Cisco ASA with FirePOWER Services
 
Тенденции рынка инфраструктуры ЦОД
Тенденции рынка инфраструктуры ЦОДТенденции рынка инфраструктуры ЦОД
Тенденции рынка инфраструктуры ЦОД
 
SafeNet Authentication Service
SafeNet Authentication ServiceSafeNet Authentication Service
SafeNet Authentication Service
 
Программируемая сеть, думающая за вас: ночной кошмар или светлое будущее?!
Программируемая сеть, думающая за вас: ночной кошмар или светлое будущее?!Программируемая сеть, думающая за вас: ночной кошмар или светлое будущее?!
Программируемая сеть, думающая за вас: ночной кошмар или светлое будущее?!
 
Сквозное управление доступом - от пользователя и дальше
Сквозное управление доступом - от пользователя и дальшеСквозное управление доступом - от пользователя и дальше
Сквозное управление доступом - от пользователя и дальше
 

Similar to Безопасность и виртуализация в центрах обработки данных (часть 1)

Архитектура защищенного ЦОД
Архитектура защищенного ЦОДАрхитектура защищенного ЦОД
Архитектура защищенного ЦОДCisco Russia
 
SDN в корпоративных сетях
SDN в корпоративных сетяхSDN в корпоративных сетях
SDN в корпоративных сетяхCisco Russia
 
Инновационное SDN решение для ЦОД Cisco ACI Anywhere
Инновационное SDN решение для ЦОД Cisco ACI AnywhereИнновационное SDN решение для ЦОД Cisco ACI Anywhere
Инновационное SDN решение для ЦОД Cisco ACI AnywhereCisco Russia
 
Варианты дизайна и лучшие практики создания безопасного ЦОД
Варианты дизайна и лучшие практики создания безопасного ЦОДВарианты дизайна и лучшие практики создания безопасного ЦОД
Варианты дизайна и лучшие практики создания безопасного ЦОДCisco Russia
 
Развитие сетевой архитектуры для ЦОД Cisco ACI
Развитие сетевой архитектуры для ЦОД Cisco ACIРазвитие сетевой архитектуры для ЦОД Cisco ACI
Развитие сетевой архитектуры для ЦОД Cisco ACICisco Russia
 
Практические вопросы внедрения VBlock.
Практические вопросы внедрения VBlock.Практические вопросы внедрения VBlock.
Практические вопросы внедрения VBlock.Cisco Russia
 
Cisco ACI - инфраструктура, ориентированная на приложения: решаемые задачи, п...
Cisco ACI - инфраструктура, ориентированная на приложения: решаемые задачи, п...Cisco ACI - инфраструктура, ориентированная на приложения: решаемые задачи, п...
Cisco ACI - инфраструктура, ориентированная на приложения: решаемые задачи, п...Cisco Russia
 
Развертывание и настройка коммутатора Nexus1000V для сред OpenStack KVM и Hyp...
Развертывание и настройка коммутатора Nexus1000V для сред OpenStack KVM и Hyp...Развертывание и настройка коммутатора Nexus1000V для сред OpenStack KVM и Hyp...
Развертывание и настройка коммутатора Nexus1000V для сред OpenStack KVM и Hyp...Cisco Russia
 
Сетевая виртуализация в корпоративных сетях Cisco - новые возможности для WAN...
Сетевая виртуализация в корпоративных сетях Cisco - новые возможности для WAN...Сетевая виртуализация в корпоративных сетях Cisco - новые возможности для WAN...
Сетевая виртуализация в корпоративных сетях Cisco - новые возможности для WAN...Cisco Russia
 
SAFE упрощает обеспечение безопасности
SAFE упрощает обеспечение безопасностиSAFE упрощает обеспечение безопасности
SAFE упрощает обеспечение безопасностиCisco Russia
 
Практика внедрения виртуализированной сетевой инфраструктуры
Практика внедрения виртуализированной сетевой инфраструктуры Практика внедрения виртуализированной сетевой инфраструктуры
Практика внедрения виртуализированной сетевой инфраструктуры Cisco Russia
 
Управление IWAN и AVC с Cisco Prime Infrastructure
Управление IWAN и AVC с Cisco Prime InfrastructureУправление IWAN и AVC с Cisco Prime Infrastructure
Управление IWAN и AVC с Cisco Prime InfrastructureCisco Russia
 
Использование Cisco Prime Infrastructure для мониторинга, управления и оптими...
Использование Cisco Prime Infrastructure для мониторинга, управления и оптими...Использование Cisco Prime Infrastructure для мониторинга, управления и оптими...
Использование Cisco Prime Infrastructure для мониторинга, управления и оптими...Cisco Russia
 
Mасштабируемое управление и автоматизация серверной платформы и интегрирован...
Mасштабируемое управление и автоматизация серверной платформы и интегрирован...Mасштабируемое управление и автоматизация серверной платформы и интегрирован...
Mасштабируемое управление и автоматизация серверной платформы и интегрирован...Cisco Russia
 
Развитие вычислительной платформы Cisco UCS
Развитие вычислительной платформы Cisco UCSРазвитие вычислительной платформы Cisco UCS
Развитие вычислительной платформы Cisco UCSCisco Russia
 
Обзор архитектуры ETSI MANO для управления сетями NFV и реализация Cisco
Обзор архитектуры ETSI MANO для управления сетями NFV и реализация CiscoОбзор архитектуры ETSI MANO для управления сетями NFV и реализация Cisco
Обзор архитектуры ETSI MANO для управления сетями NFV и реализация CiscoCisco Russia
 
Программные решения Cisco для ЦОД Окунев Михаил
Программные решения Cisco для ЦОД Окунев МихаилПрограммные решения Cisco для ЦОД Окунев Михаил
Программные решения Cisco для ЦОД Окунев МихаилCisco Russia
 
Cisco. Унифицированные вычисления практические аспекты перехода к частному об...
Cisco. Унифицированные вычисления практические аспекты перехода к частному об...Cisco. Унифицированные вычисления практические аспекты перехода к частному об...
Cisco. Унифицированные вычисления практические аспекты перехода к частному об...Yulia Sedova
 
Cisco Network Functions Virtualization Infrastructure (NFVI)
Cisco Network Functions Virtualization Infrastructure (NFVI)Cisco Network Functions Virtualization Infrastructure (NFVI)
Cisco Network Functions Virtualization Infrastructure (NFVI)Cisco Russia
 

Similar to Безопасность и виртуализация в центрах обработки данных (часть 1) (20)

Архитектура защищенного ЦОД
Архитектура защищенного ЦОДАрхитектура защищенного ЦОД
Архитектура защищенного ЦОД
 
SDN в корпоративных сетях
SDN в корпоративных сетяхSDN в корпоративных сетях
SDN в корпоративных сетях
 
Инновационное SDN решение для ЦОД Cisco ACI Anywhere
Инновационное SDN решение для ЦОД Cisco ACI AnywhereИнновационное SDN решение для ЦОД Cisco ACI Anywhere
Инновационное SDN решение для ЦОД Cisco ACI Anywhere
 
Варианты дизайна и лучшие практики создания безопасного ЦОД
Варианты дизайна и лучшие практики создания безопасного ЦОДВарианты дизайна и лучшие практики создания безопасного ЦОД
Варианты дизайна и лучшие практики создания безопасного ЦОД
 
Развитие сетевой архитектуры для ЦОД Cisco ACI
Развитие сетевой архитектуры для ЦОД Cisco ACIРазвитие сетевой архитектуры для ЦОД Cisco ACI
Развитие сетевой архитектуры для ЦОД Cisco ACI
 
Практические вопросы внедрения VBlock.
Практические вопросы внедрения VBlock.Практические вопросы внедрения VBlock.
Практические вопросы внедрения VBlock.
 
Cisco ACI - инфраструктура, ориентированная на приложения: решаемые задачи, п...
Cisco ACI - инфраструктура, ориентированная на приложения: решаемые задачи, п...Cisco ACI - инфраструктура, ориентированная на приложения: решаемые задачи, п...
Cisco ACI - инфраструктура, ориентированная на приложения: решаемые задачи, п...
 
Развертывание и настройка коммутатора Nexus1000V для сред OpenStack KVM и Hyp...
Развертывание и настройка коммутатора Nexus1000V для сред OpenStack KVM и Hyp...Развертывание и настройка коммутатора Nexus1000V для сред OpenStack KVM и Hyp...
Развертывание и настройка коммутатора Nexus1000V для сред OpenStack KVM и Hyp...
 
Сетевая виртуализация в корпоративных сетях Cisco - новые возможности для WAN...
Сетевая виртуализация в корпоративных сетях Cisco - новые возможности для WAN...Сетевая виртуализация в корпоративных сетях Cisco - новые возможности для WAN...
Сетевая виртуализация в корпоративных сетях Cisco - новые возможности для WAN...
 
SAFE упрощает обеспечение безопасности
SAFE упрощает обеспечение безопасностиSAFE упрощает обеспечение безопасности
SAFE упрощает обеспечение безопасности
 
Практика внедрения виртуализированной сетевой инфраструктуры
Практика внедрения виртуализированной сетевой инфраструктуры Практика внедрения виртуализированной сетевой инфраструктуры
Практика внедрения виртуализированной сетевой инфраструктуры
 
Управление IWAN и AVC с Cisco Prime Infrastructure
Управление IWAN и AVC с Cisco Prime InfrastructureУправление IWAN и AVC с Cisco Prime Infrastructure
Управление IWAN и AVC с Cisco Prime Infrastructure
 
Не бойтесь виртуализации АСУ ТП
Не бойтесь виртуализации АСУ ТПНе бойтесь виртуализации АСУ ТП
Не бойтесь виртуализации АСУ ТП
 
Использование Cisco Prime Infrastructure для мониторинга, управления и оптими...
Использование Cisco Prime Infrastructure для мониторинга, управления и оптими...Использование Cisco Prime Infrastructure для мониторинга, управления и оптими...
Использование Cisco Prime Infrastructure для мониторинга, управления и оптими...
 
Mасштабируемое управление и автоматизация серверной платформы и интегрирован...
Mасштабируемое управление и автоматизация серверной платформы и интегрирован...Mасштабируемое управление и автоматизация серверной платформы и интегрирован...
Mасштабируемое управление и автоматизация серверной платформы и интегрирован...
 
Развитие вычислительной платформы Cisco UCS
Развитие вычислительной платформы Cisco UCSРазвитие вычислительной платформы Cisco UCS
Развитие вычислительной платформы Cisco UCS
 
Обзор архитектуры ETSI MANO для управления сетями NFV и реализация Cisco
Обзор архитектуры ETSI MANO для управления сетями NFV и реализация CiscoОбзор архитектуры ETSI MANO для управления сетями NFV и реализация Cisco
Обзор архитектуры ETSI MANO для управления сетями NFV и реализация Cisco
 
Программные решения Cisco для ЦОД Окунев Михаил
Программные решения Cisco для ЦОД Окунев МихаилПрограммные решения Cisco для ЦОД Окунев Михаил
Программные решения Cisco для ЦОД Окунев Михаил
 
Cisco. Унифицированные вычисления практические аспекты перехода к частному об...
Cisco. Унифицированные вычисления практические аспекты перехода к частному об...Cisco. Унифицированные вычисления практические аспекты перехода к частному об...
Cisco. Унифицированные вычисления практические аспекты перехода к частному об...
 
Cisco Network Functions Virtualization Infrastructure (NFVI)
Cisco Network Functions Virtualization Infrastructure (NFVI)Cisco Network Functions Virtualization Infrastructure (NFVI)
Cisco Network Functions Virtualization Infrastructure (NFVI)
 

More from Cisco Russia

Service portfolio 18
Service portfolio 18Service portfolio 18
Service portfolio 18Cisco Russia
 
История одного взлома. Как решения Cisco могли бы предотвратить его?
История одного взлома. Как решения Cisco могли бы предотвратить его?История одного взлома. Как решения Cisco могли бы предотвратить его?
История одного взлома. Как решения Cisco могли бы предотвратить его?Cisco Russia
 
Об оценке соответствия средств защиты информации
Об оценке соответствия средств защиты информацииОб оценке соответствия средств защиты информации
Об оценке соответствия средств защиты информацииCisco Russia
 
Обзор Сервисных Услуг Cisco в России и странах СНГ.
Обзор Сервисных Услуг Cisco в России и странах СНГ.Обзор Сервисных Услуг Cisco в России и странах СНГ.
Обзор Сервисных Услуг Cisco в России и странах СНГ.Cisco Russia
 
Клиентские контракты на техническую поддержку Cisco Smart Net Total Care
Клиентские контракты на техническую поддержку Cisco Smart Net Total CareКлиентские контракты на техническую поддержку Cisco Smart Net Total Care
Клиентские контракты на техническую поддержку Cisco Smart Net Total CareCisco Russia
 
Cisco Catalyst 9000 series
Cisco Catalyst 9000 series Cisco Catalyst 9000 series
Cisco Catalyst 9000 series Cisco Russia
 
Cisco Endpoint Security for MSSPs
Cisco Endpoint Security for MSSPsCisco Endpoint Security for MSSPs
Cisco Endpoint Security for MSSPsCisco Russia
 
Профессиональные услуги Cisco для Software-Defined Access
Профессиональные услуги Cisco для Software-Defined AccessПрофессиональные услуги Cisco для Software-Defined Access
Профессиональные услуги Cisco для Software-Defined AccessCisco Russia
 
Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...
Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...
Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...Cisco Russia
 
Промышленный Интернет вещей: опыт и результаты применения в нефтегазовой отрасли
Промышленный Интернет вещей: опыт и результаты применения в нефтегазовой отраслиПромышленный Интернет вещей: опыт и результаты применения в нефтегазовой отрасли
Промышленный Интернет вещей: опыт и результаты применения в нефтегазовой отраслиCisco Russia
 
Полугодовой отчет Cisco по информационной безопасности за 2017 год
Полугодовой отчет Cisco по информационной безопасности за 2017 год Полугодовой отчет Cisco по информационной безопасности за 2017 год
Полугодовой отчет Cisco по информационной безопасности за 2017 год Cisco Russia
 
Годовой отчет Cisco по кибербезопасности за 2017 год
Годовой отчет Cisco по кибербезопасности за 2017 годГодовой отчет Cisco по кибербезопасности за 2017 год
Годовой отчет Cisco по кибербезопасности за 2017 годCisco Russia
 
Безопасность для цифровой экономики. Развитие продуктов и решений Cisco
Безопасность для цифровой экономики. Развитие продуктов и решений CiscoБезопасность для цифровой экономики. Развитие продуктов и решений Cisco
Безопасность для цифровой экономики. Развитие продуктов и решений CiscoCisco Russia
 
Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...
Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...
Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...Cisco Russia
 
Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...
Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...
Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...Cisco Russia
 
Новое поколение серверов Сisco UCS. Гиперконвергентное решении Cisco HyperFle...
Новое поколение серверов Сisco UCS. Гиперконвергентное решении Cisco HyperFle...Новое поколение серверов Сisco UCS. Гиперконвергентное решении Cisco HyperFle...
Новое поколение серверов Сisco UCS. Гиперконвергентное решении Cisco HyperFle...Cisco Russia
 

More from Cisco Russia (20)

Service portfolio 18
Service portfolio 18Service portfolio 18
Service portfolio 18
 
История одного взлома. Как решения Cisco могли бы предотвратить его?
История одного взлома. Как решения Cisco могли бы предотвратить его?История одного взлома. Как решения Cisco могли бы предотвратить его?
История одного взлома. Как решения Cisco могли бы предотвратить его?
 
Об оценке соответствия средств защиты информации
Об оценке соответствия средств защиты информацииОб оценке соответствия средств защиты информации
Об оценке соответствия средств защиты информации
 
Обзор Сервисных Услуг Cisco в России и странах СНГ.
Обзор Сервисных Услуг Cisco в России и странах СНГ.Обзор Сервисных Услуг Cisco в России и странах СНГ.
Обзор Сервисных Услуг Cisco в России и странах СНГ.
 
Клиентские контракты на техническую поддержку Cisco Smart Net Total Care
Клиентские контракты на техническую поддержку Cisco Smart Net Total CareКлиентские контракты на техническую поддержку Cisco Smart Net Total Care
Клиентские контракты на техническую поддержку Cisco Smart Net Total Care
 
Cisco Catalyst 9000 series
Cisco Catalyst 9000 series Cisco Catalyst 9000 series
Cisco Catalyst 9000 series
 
Cisco Catalyst 9500
Cisco Catalyst 9500Cisco Catalyst 9500
Cisco Catalyst 9500
 
Cisco Catalyst 9400
Cisco Catalyst 9400Cisco Catalyst 9400
Cisco Catalyst 9400
 
Cisco Umbrella
Cisco UmbrellaCisco Umbrella
Cisco Umbrella
 
Cisco Endpoint Security for MSSPs
Cisco Endpoint Security for MSSPsCisco Endpoint Security for MSSPs
Cisco Endpoint Security for MSSPs
 
Cisco FirePower
Cisco FirePowerCisco FirePower
Cisco FirePower
 
Профессиональные услуги Cisco для Software-Defined Access
Профессиональные услуги Cisco для Software-Defined AccessПрофессиональные услуги Cisco для Software-Defined Access
Профессиональные услуги Cisco для Software-Defined Access
 
Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...
Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...
Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...
 
Промышленный Интернет вещей: опыт и результаты применения в нефтегазовой отрасли
Промышленный Интернет вещей: опыт и результаты применения в нефтегазовой отраслиПромышленный Интернет вещей: опыт и результаты применения в нефтегазовой отрасли
Промышленный Интернет вещей: опыт и результаты применения в нефтегазовой отрасли
 
Полугодовой отчет Cisco по информационной безопасности за 2017 год
Полугодовой отчет Cisco по информационной безопасности за 2017 год Полугодовой отчет Cisco по информационной безопасности за 2017 год
Полугодовой отчет Cisco по информационной безопасности за 2017 год
 
Годовой отчет Cisco по кибербезопасности за 2017 год
Годовой отчет Cisco по кибербезопасности за 2017 годГодовой отчет Cisco по кибербезопасности за 2017 год
Годовой отчет Cisco по кибербезопасности за 2017 год
 
Безопасность для цифровой экономики. Развитие продуктов и решений Cisco
Безопасность для цифровой экономики. Развитие продуктов и решений CiscoБезопасность для цифровой экономики. Развитие продуктов и решений Cisco
Безопасность для цифровой экономики. Развитие продуктов и решений Cisco
 
Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...
Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...
Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...
 
Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...
Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...
Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...
 
Новое поколение серверов Сisco UCS. Гиперконвергентное решении Cisco HyperFle...
Новое поколение серверов Сisco UCS. Гиперконвергентное решении Cisco HyperFle...Новое поколение серверов Сisco UCS. Гиперконвергентное решении Cisco HyperFle...
Новое поколение серверов Сisco UCS. Гиперконвергентное решении Cisco HyperFle...
 

Безопасность и виртуализация в центрах обработки данных (часть 1)

  • 1. Станислав Рыпалов системный инженер CCIE R&S, Security, CISSP Безопасность и виртуализация в центрах обработки данных (часть 1) 26.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved.
  • 2. Безопасность и виртуализация в центрах обработки данных (часть 1) КОД ПРЕЗЕНТАЦИИ: 1435 Станислав Рыпалов системный инженер CCIE R&S, Security, CISSP 26.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved. 2
  • 3. Задачи Обсудим общие проблемы безопасности для виртуализации Поймем как применять виртуализованные и физические устройства безопасности для защиты ресурсов Сфокусируемся на инструментах унификации политик и их применения для виртуальных сред Опишем методы повышения прозрачности операций и контроля трафика в виртуальных средах Рассмотрим архитектуру ACI (application centric infrastructure) и интеграцию сервисов безопасности 3
  • 4. Безопасность и виртуализация в ЦОД Тренды виртуализации, приоритеты, проблемы Сервисы безопасности для виртуальных сетей Физические сервисы защиты для виртуализации Обнаружение угроз и корреляция Application Centric Infrastructure Security Заключение 4
  • 5. Source: IDC, Nov 2010 Точка перехода Традиционный Виртуализованный c App OS App OS App OS App OS App OS App OS App OS App OS App OS ...1 сервер, или “хост” Много прил., или “VM”… Hypervisor App OS App OS App OS 1 Приложение… ...1 Сервер App OS App OS App OS Переход Развитие архитектуры ЦОД Виртуализация на обычных платформах 5
  • 6. Наращивание емкости для нагрузки (кол-во серверов и VM) Масштабирование и распределение нагрузки (разнесение серверов и VM по стойкам, рядам, между рядами, … ) Эффективная фабрика для ЦОД  Цель архитектуры – баланс между возможностью расширения и обеспечением доступности и управляемости сетевой фабрики Повышение эффективности ЦОД требует более наращиваемого и гибкого дизайна сетевой фабрики Точка старта– Вычислительный Домен 6
  • 7. Виртуализация сервера На одном физическом сервере работают несколько независимых гостевых ОС и приложений Гипервизор обеспечивает абстракцию аппаратного обеспечения от гостевых ОС и приложений Разделение системных ресурсов: CPU, память, диск, сеть Приложения & ОС инкапсулированы как виртальные машины 7
  • 8. Общие проблемы виртуализации Общее применение политик Применяются к хосту—не к индивидуальной VM Невозможность применения политик к VM при миграции Управления и операционная деятельность Отсутствие видимости VM, учета и согласованности Сложная модель управления и отстутствие эффективных механизмов обнаружения неисправностей Роли и ответственность Ответственный за виртальную сеть - серверный администратор Организационная двойственность –> проблемы соответсвия Сегментация машин и приложений Изоляция серверов и приложений на одном хосте Нет разделения между compliant и non-compliant системами… Политики, процессы, управление Roles and Responsibilities Isolation and Segmentation Management and Monitoring Hypervisor Initial Infection Secondary Infection 8
  • 9. Безопасность виртуализации Collateral hacking? Сегментация? Атаки Side channel? Видимость? Идентификация угроз и защита? Как насчет взлома гипервизора? VM Escape? Что еще? Синдром дефицита внимания Virtualization Security V-Motion (Memory) V-Storage (VMDK) VM Segmentation Hypervisor Security Role Based Access Physical Security VM OS Hardening Patch Management VM Sprawl 9
  • 10. Просто, Эффективно и Доступно Сегментация •Определение границ: сеть, вычислительный ресурс, вируальная сеть •Применение политик по функциям - устройство, организация, соответствие •Контроль и предотвращение НСД к сети, ресурсам, приложениям Защита от угроз •Блокирование внешних и внутренних атак и остановки сервисов •Патрулирование границ зон безопасности •Контроль доступа и использования информации для предотвращения ее потери Видимость •Обеспечение прозрачности использования •Применение бизнес-контекста к сетевой активности •Упрощение операций и отчетности Север-Юг Восток-Запад Защита, Обнаружение, Контроль
  • 11. Виртуальная сеть и сервисы безопасности 26.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved. 11
  • 12. Управление политиками в виртуальной сети Nexus 1000V Операционная модель на базе портовых профилей Port Profiles Поддержка политик безопасности с изоляцией и сегментацией при помощи VLAN, Private VLAN, Port- based Access Lists, Cisco Integrated Security функций Обеспечение прозрачности потоков от виртуальных машин функциями ERSPAN и NetFlow Виртуальный коммутатор: Nexus 1000V Network Team Server Team Управление и мониторинг Роли и ответственность Изоляция и сегментация Security Team Nexus 1000V 12
  • 13. Что такое портовый профиль (Port-Profile) Nexus? Профиль порта – контейнер для определения общего набора настроек/команд, которые используются на нескольких интерфейсах Определяется один раз, применяется многократно Упрощение управления через сохранение конфигурации интерфейса Ключевой компонент для совместного управления сетевыми ресурсами виртуальной сети Почему это не как шаблон или макрос «SmartPort»?  Портовые профили это «живые» политики  Изменение включенного профиля влечет изменение настроек на всех подключенных интерфейсах, которые используют данный профиль * Более подробно на потоке ЦОД 13
  • 14. Профиль порта Nexus 1000V поддерживает: ACLs Quality of Service (QoS) PVLANs Port channels SPAN ports port-profile vm180 vmware port-group pg180 switchport mode access switchport access vlan 180 ip flow monitor ESE-flow input ip flow monitor ESE-flow output no shutdown state enabled interface Vethernet9 inherit port-profile vm180 interface Vethernet10 inherit port-profile vm180 Port Profile –> Port Group vCenter API vMotion Policy Stickiness Network Security Server 14
  • 15. Функции безопасности Nexus 1000V Закладывая основу Switching L2 Switching, 802.1Q Tagging, VLAN Segmentation, Rate Limiting (TX) IGMP Snooping, QoS Marking (COS & DSCP) Security Virtual Service Domain, Private VLANs w/ local PVLAN Enforcement Access Control Lists (L2–4 w/ Redirect), Port Security, vPATH/VSG Dynamic ARP inspection, IP Source Guard, DHCP Snooping Provisioning Automated vSwitch Config, Port Profiles, Virtual Center Integration Optimized NIC Teaming with Virtual Port Channel – Host Mode Visibility VMotion Tracking, ERSPAN, NetFlow v9, CDP v2 VM-Level Interface Statistics Management Virtual Center VM Provisioning, Cisco Network Provisioning, CiscoWorks Cisco CLI, Radius, TACACs, Syslog, SNMP (v.1, 2, 3) 15
  • 16. Сервисные цепочки при помощи vPath vPath это компонент шины данных Nexus 1000V: Модель вставки сервиса без привязки к топологии Сервисные цепочки для нескольких виртуальных сервисов Повышение производительности с vPath например VSG flow offload Эффективная и масштабируемая архитектура Сохранение существующей модели операций Мобильность политик Cloud Network Services (CNS) Hypervisor Nexus 1000V vPath 16
  • 17. Что такое Virtual Security Gateway? VSG это L2 МСЭ, который работает как фильтр между виртуальными машинами Похоже на режим transparent для ASA Обеспечивает инспекцию/фильтрацию между виртуальными машинами в одной L2 сети (одна подсеть или VLAN) Для описания политик может использовать атрибуты VMware Разделение потоков трафика Восток-Запад Один или более VSG на тенанта Требует Nexus 1000V Virtual Distributed Switch и использует vPath для коммутации 17 Virtual Hosts Virtual Hosts Virtual Hosts
  • 18. Атрибуты VSG Название Значение Источник vm.name имя VM vCenter vm.host-name имя ESX-хоста vCenter vm.os-fullname имя гостевой OS vCenter vm.vapp-name имя ассоциированного vApp vCenter vm.cluster-name имя кластера vCenter vm.portprofile-name имя профиля порта Port-profile атрибуты VM attribute используются при создании политики безопасности Профиль Security Policy Profile Определяется/управляется через VNMC / PNSC Привязка политики через профиль порта Cisco Nexus 1000V VSM Атрибуты vCenter VM 18
  • 19. Network Admin Security Admin Процесс определения политики Устранение операционных ошибок между командами Команда безопасности определяет политики безопасности Команда сетевых администраторов включает политику в профили портов Серверная команда назначает профили портов к VM Сервер, Сеть, Безопасность Server Admin vCenter Nexus 1KV Prime NSC Port Group Port Profile Security Profile 19
  • 20. Представляем виртуальный МСЭ ASA (ASAv) Полноценный МСЭ ASA работающий как виртуальная машина Nexus1000V не требуется Поддерживает VMWare и другие гипервизоры Паритет функциональности с ASA (с исключениями) Нет поддержки: 1.кластеризации ASA 2.режима нескольких контекстов 3.интерфейсов Etherchannel 4.Режима Active/Active Failover (требует режима multi context) 20 ASAv Firewall (Virtualized ASA)
  • 21. Внедрение ASAv : Облачный МСЭ+VPN 21 Сегодня для фильтрации между зонами и тенантами применяется ASA в режиме мульти-контекст Для передачи трафика используются транки Проблема – масштабирование фильтрации Запад-Восток требует ресурсов МСЭ и масштабируемого транспортного решения Zone 1 Zone 2 Zone 3 VM 1 VM 2 VM 3 VM 4 VFW 1 VM 5 VM 6 VM 7 VM 8 VFW 2 VFW 3 ASAv – может быть пограничным МСЭ и может обеспечивать фильтрацию Восток-Запад На каждого тенанта или зону можно развернуть одну или несколько ASAv для FW + VPN Масштабируемая терминация VPN S2S и RA Vzone 1 Vzone 2 Multi Context Mode ASA
  • 22. ASAv 3 режима примения политик Routed Firewall •Маршрутизация трафика между vNIC •Поддержка таблиц ARP и маршрутов •МСЭ на границе тенанта Transparent Firewall •VLAN или VxLAN Bridging / Stitching •Поддержка таблицы MAC •Бесшовная интеграция в L3 дизайн Service Tag Switching •Инспектирование между service tags •Нет взаимодействия с сетью •Режим интеграции с фабрикой 22
  • 23. Routed Firewall Routed – граница сети контейнера/тенанта Шлюз по умолчанию для хостов Маршрутизация между несколькими подсетями Традиционная L3 граница сети Подключение виртуальных машин и физических Сегментация с использованием интерфейсов ASAv Routed client Gateway Outside Inside host1 host2 Shared DMZ 23
  • 24. Transparent Firewall • Коммутация между 4 (под-) интерфейсами • 8 BVIs на ASAv • NAT и ACL • Бесшовная интеграция для соотв. PCI • Традиционная граница L2 между хостами • Все сегменты в одном широковещательном домене ASAv Transp Gateway client Segment-1 Segment-3 host1 host2 Segment-2 Segment-4 24
  • 25. Web-zone Fileserver-zone Hypervisor Nexus 7000 Nexus 5500 Nexus 1000V VRF VLAN 50 UCS VLAN 200 VLAN 300 Защита приложений и видимость Инспекция трафика север-юг и восток-запад с ASA Transparent или routed режимы Эластичность сервиса ASAv .1Q Trunk VLAN 50 25
  • 26. Web-zone Fileserver-zone Hypervisor Nexus 7000 Nexus 5500 Nexus 1000V VRF VLAN 50 UCS Защита приложений и видимость Инспекция трафика север-юг и восток-запад с ASA Глубокая инспекция с virtual IPS – в режиме inline (коммутация между VLAN) или promiscuous port на vswitch Сервисная цепочка – ASAv и vIPS .1Q Trunk External VLAN 50 Defense Center с Firesight для анализа данных 26 Inline Set Inline Set Internal External Internal VLAN 200
  • 27. Виртуальный IPS 26.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved. 27
  • 28. vIPS Варианты включения в разрыв или пассивный Web-zone VLAN 200 Promiscuous Port vSwitch Web-zone VLAN 200 External vSwitch vSwitch 28 Internal
  • 29. Контекстная информация FireSIGHT Защита приложений и контроль Трафик приложений… Приложения и риск… Кто их использует? Какие операционные системы? Что еще происходило с пользователями? What does their traffic look like over time?
  • 30. Защита приложений и видимость Defense Center c FireSight 30
  • 31. Защита приложений и видимость Информация геолокации 31
  • 32. Защита приложений и видимость Defense Center с FireSight 32
  • 33. Примеры внедрения 26.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved. 33
  • 34. Web-zone Application-zone Fileserver-zone Hypervisor Nexus 7000 Nexus 1000V Primary VLAN 20 VRF VLAN 20 UCS VLAN 100 Isolated VLAN 200 Isolated VLAN 300 Community Сегментация L2 VM в одной подсети могут быть изолированы Взаимодействие только со шлюзом L3 Используем ACL на шлюзе для фильтрации по IP из PVLAN PVLAN для изоляции VM *PVLANs также поддерживаются на VMware vswitch .1Q Trunk 34
  • 35. Web-zone Application-zone Fileserver-zone Hypervisor Nexus 1000V UCS VLAN 100 Isolated VLAN 200 Isolated VLAN 300 Community VM обеспечение прозрачности операций Потоки от VM могут быть отзеркалированы через span-порт на виртуальном коммутаторе. Можно также применить ERSPAN для отправки через L3 (например на 6500 NAM модуль). Анализ потоков VM через NetFlow для контроля производительности и безопасности NetFlow для анализа поведения VM NetFlow/ERSPAN/SPAN NetFlow Data Collector 6500 w/ Layer 3 NAM Layer 2 35
  • 36. Изоляция систем через микросегментацию Политики на приложение, VM, vNIC Tenant B VSD Web App Web DB Nexus 1000V VSD ASAv и vIPS Nexus 1000V Web Tier App Tier Контроль ingress/egress & трафик между VM vFirewall, ACL, PVLAN Видимость трафика и угроз vIPS, Netflow, SPAN/ERSPAN Применение политик прозрачно для мобильности Port Profiles Разделение ролей Сервер • Сеть • Безопасность Tenant A ASAv и vIPS 36 VSG SVM
  • 37. Оркестрация виртуальной безопасности Автоматизация внедрения сервисов безопасности SDN ACI Рассмотрим ACI как пример: Web Server End Point Group A App Server End Point Group B Application Construct Services inst inst … Firewall/IPS inst inst … load balancer graph …. start end 1 ….. N contract rule: redirect Продукты оркестрации: Embrane 37
  • 38. Физические сервисы безопасности для виртуализации 26.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved. 38
  • 39. Physical to Virtual Сегментация VRF-VLAN-Virtual ASAv/ VSG vIPS ASAv Zone B Zone C Nexus 7K ASA CTX1 CTX2 CTX3 VLANx1 VLANx2 VLANy1 VLANy2 VLANz1 VLANz2 SGT SGT SGT SGT SGT SGT Segmentation Building Blocks Соединяем физическую и виртуальную инфраструктуры Зоны используются для определения и применения политик Уникальные политики применяются для каждой зоны Физическая инфраструктура привязывается к зоне VRF, Nexus Virtual Device Context, VLAN, SGT 39
  • 40. МСЭ ASA и фабрика ЦОД ASA и Nexus Virtual Port Channel vPC обеспечивает распределение нагрузки по соединениям (отсутствие заблокированных STP соед.) ASA использует технологии отказоустойчивости ЦОД Уникальная интеграция ASA и Nexus (LACP) IPS модуль полагается на связность от ASA – обеспечивает DPI Проверенный дизайн для сегментации, защиты от угроз и прозрачности операций (visibility) Transparent (рекомендован) и routed режимы Работает в режимах A/S и A/A failover Уровень агрегации ЦОД Active vPC Peer-link vPC vPC Core IP1 Core IP2 Active or Standby N7K VPC 41 N7K VPC 40 Nexus 1000V vPath Hypervisor Nexus 1000V vPath Hypervisor Core Layer Aggregation Layer Access Layers 40
  • 41. Aggregation Layer L2 L3 FW HA VPC VPC VPC DC Core / EDGE VPC VPC FHRP FHRP SVI VLAN200 SVI VLAN200 North Zone VLAN 200 South Zone VLAN 201 Trunks VLAN 200 Outside VLAN 201 Inside N7K VPC 40 N7K VPC 41 ASA channel 32 VPC PEER LINK VPC PEER LINK Access Layer Подключение ASA к Nexus с vPC ASA подключается к Nexus несколькими интерфейсами с использованием vPC ASA может быть настроена на переход на резервную коробку в случае потери нескольких соединений (при использовании HA) Идентификаторы vPC разные для каждого МСЭ ASA на коммутаторе Nexus (это меняется для кластера ASA и cLACP [далее…]) Лучшие практики 41
  • 42. North Zone VLAN 200 South Zone VLAN 201 VPC VLAN 200 Outside VLAN 201 Inside interface TenGigabitEthernet0/6 channel-group 32 mode active no nameif no security-level ! interface TenGigabitEthernet0/7 channel-group 32 mode active no nameif no security-level ! Server in VLAN 201 VPC Trunk Allowed 1,201 SVI VLAN200 172.16.25.253 FHRP – 172.16.25.1 SVI VLAN200 172.16.25.254 FHRP – 172.16.25.1 172.16.25.86/24 Режим Transparent в ЦОД 2 интерфейса interface BVI1 ip address 172.16.25.86 255.255.255.0 ! interface Port-channel32 no nameif no security-level ! interface Port-channel32.201 mac-address 3232.1111.3232 vlan 201 nameif inside bridge-group 1 security-level 100 ! interface Port-channel32.200 mac-address 3232.1a1a.3232 vlan 200 nameif outside bridge-group 1 security-level 0 42
  • 43. Физический сервис для виртуального Hypervisor Hypervisor Hypervisor Hypervisor VRF Blue VRF Purple Firewall Firewall Nexus 7000 Nexus 5500 Nexus 1000V Nexus 1000V Применяем физические устр-ва для изоляции и сегментации виртуальных машин Используем зоны для применения политик Физическая инфраструктура привязывается к зоне  Разделяем таблицы маршрутизации по зонам через VRF  Политики МСЭ на зоны привязаны к потокам север-юг, восток-запад  Проводим L2 и L3 пути через физические сервисы 43
  • 44. МСЭ & виртуальная среда Виртуальные контексты ASA для фильтрации потоков между зонами Firewall Virtual Context provides inter-zone East- West security Aggregation Core Hypervisor Hypervisor Database ASA Context 2 Transparent Mode ASA Context 1 Transparent Mode ASA 5585 ASA 5585 Aggregation Core Physical Layout East-West Zone filtering VLAN 21 VLAN 20 VLAN 100 VLAN 101 Context1 Context2 Front-End Apps 44
  • 45. Hypervisor Инспекция трафика между VLAN для VM ASA с Bridge Group внутри контекста Layer 2 Adjacent Switched Locally Direct Communication ASA 5585 Transparent Mode Aggregation Core Layer 3 Gateway VRF or SVI Aggregation Core Physical Layout East-West VLAN filtering VLAN 20 VLAN 100 interface vlan 21 10.10.20.1/24 interface vlan 101 10.10.101.1/24 interface TenGigabitEthernet0/6 channel-group 32 mode active vss-id 1 no nameif no security-level ! interface TenGigabitEthernet0/7 channel-group 32 mode active vss-id 2 no nameif no security-level ! interface BVI1 ip address 10.10.20.254 255.255.255.0 ! interface Port-channel32 no nameif no security-level ! interface Port-channel32.20 mac-address 3232.1111.3232 vlan 20 nameif inside bridge-group 1 security-level 100 ! interface Port-channel32.21 mac-address 3232.1a1a.3232 vlan 21 nameif outside bridge-group 1 security-level 0 … 45 VLAN 21 VLAN 101
  • 46. Обзор кластера ASA Кластеризация поддерживается на 5580, 5585 и 5500-X (5500-X кластер из 2-х устройств) CCL – критическое место кластера, без него кластер не работает Среди членов кластера выбирается Master для синхронизации настроек— не влияет на путь пакета Новый термин “spanned port-channel” т.е. Распределенные/общие настройки порта среди членов кластера ASA Кластер может ре-балансировать потоки У каждого потока есть Owner и Director и возможно Forwarder Шина данных кластера ДОЛЖНАиспользовать cLACP (Spanned Port-Channel) Cluster Control Link vPC Data Plane Aggregation Core ASA Cluster vPC 40 46
  • 47. Кластер МСЭ ASA Кластеризация ASA для требований ЦОД Cluster Control link shares state and connection information among cluster members Aggregation Core Hypervisor Hypervisor Database ASA Cluster includes Context 1 & 2 Transparent Mode ASA 5585 ASA 5585 ASA 5585 ASA 5585 Aggregation Core Physical Layout Cluster Control Link Cluster functionally the same in either transparent or routed mode Cluster members used for North-South, East-West inspection and filtering Context1 Context2 Owner Director IPS relies on ASA Clustering 47 Web Apps
  • 48. Итого по МСЭ в ЦОД Физические и виртуальные устройства безопасности предлагают различные варианты для обеспечения контроля в ЦОД Виртуальные МСЭ в различных режимах обеспечивают контроль между VRF и Nexus VDC Transparent (L2) режим дает набор преимуществ по сравнению с routed режимом Нет помех для прохождения протоколов маршрутизации, multicast, IPSEC и пр. Используйте LACP для агрегации соединений в ЦОД Кластеризация МСЭ обеспечивает высокий уровень производительности и возможность плавного ее наращивания. Интеграция с новыми технологиями - ACI 48
  • 49. ВОПРОСЫ ? 26.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved. 49
  • 50. CiscoRu Cisco CiscoRussia #CiscoConnectRu Пожалуйста, используйте код для оценки доклада 1435 Ваше мнение очень важно для нас Спасибо за внимание! 26.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved.