Обсудим общие проблемы безопасности для виртуализации.
Поймем как применять виртуализованные и физические устройства безопасности для защиты ресурсов.
Сфокусируемся на инструментах унификации политик и их применения для виртуальных сред.
Опишем методы повышения прозрачности операций и контроля трафика в виртуальных средах.
Рассмотрим архитектуру ACI (application centric infrastructure) и интеграцию сервисов безопасности.
3. Задачи
Обсудим общие проблемы безопасности для виртуализации
Поймем как применять виртуализованные и физические устройства безопасности для защиты ресурсов
Сфокусируемся на инструментах унификации политик и их применения для виртуальных сред
Опишем методы повышения прозрачности операций и контроля трафика в виртуальных средах
Рассмотрим архитектуру ACI (application centric infrastructure) и интеграцию сервисов безопасности
3
4. Безопасность и виртуализация в ЦОД
Тренды виртуализации, приоритеты, проблемы
Сервисы безопасности для виртуальных сетей
Физические сервисы защиты для виртуализации
Обнаружение угроз и корреляция
Application Centric Infrastructure Security
Заключение
4
5. Source: IDC, Nov 2010
Точка перехода
Традиционный
Виртуализованный
c
App
OS
App
OS
App
OS
App
OS
App
OS
App
OS
App
OS
App
OS
App
OS
...1 сервер,
или “хост”
Много прил.,
или “VM”…
Hypervisor
App
OS
App
OS
App
OS
1 Приложение…
...1 Сервер
App
OS
App
OS
App
OS
Переход
Развитие архитектуры ЦОД
Виртуализация на обычных платформах
5
6. Наращивание емкости для нагрузки (кол-во серверов и VM)
Масштабирование и распределение нагрузки (разнесение серверов и VM по стойкам, рядам, между рядами, … )
Эффективная фабрика для ЦОД
Цель архитектуры – баланс между возможностью расширения и обеспечением доступности и управляемости сетевой фабрики
Повышение эффективности ЦОД требует более наращиваемого и гибкого дизайна сетевой фабрики
Точка старта– Вычислительный Домен
6
7. Виртуализация сервера
На одном физическом сервере работают несколько независимых гостевых ОС и приложений
Гипервизор обеспечивает абстракцию аппаратного обеспечения от гостевых ОС и приложений
Разделение системных ресурсов: CPU, память, диск, сеть
Приложения & ОС инкапсулированы как виртальные машины
7
8. Общие проблемы виртуализации
Общее применение политик
Применяются к хосту—не к индивидуальной VM
Невозможность применения политик к VM при миграции
Управления и операционная деятельность
Отсутствие видимости VM, учета и согласованности
Сложная модель управления и отстутствие эффективных механизмов обнаружения неисправностей
Роли и ответственность
Ответственный за виртальную сеть - серверный администратор
Организационная двойственность –> проблемы соответсвия
Сегментация машин и приложений
Изоляция серверов и приложений на одном хосте
Нет разделения между compliant и non-compliant системами…
Политики, процессы, управление
Roles and Responsibilities
Isolation and
Segmentation
Management and Monitoring
Hypervisor
Initial Infection
Secondary Infection
8
9. Безопасность виртуализации
Collateral hacking?
Сегментация?
Атаки Side channel?
Видимость?
Идентификация угроз и защита?
Как насчет взлома гипервизора?
VM Escape?
Что еще?
Синдром дефицита внимания
Virtualization
Security
V-Motion (Memory)
V-Storage (VMDK)
VM Segmentation
Hypervisor Security
Role Based Access
Physical Security
VM OS Hardening
Patch Management
VM Sprawl
9
10. Просто, Эффективно и Доступно
Сегментация
•Определение границ: сеть, вычислительный ресурс, вируальная сеть
•Применение политик по функциям - устройство, организация, соответствие
•Контроль и предотвращение НСД к сети, ресурсам, приложениям
Защита от угроз
•Блокирование внешних и внутренних атак и остановки сервисов
•Патрулирование границ зон безопасности
•Контроль доступа и использования информации для предотвращения ее потери
Видимость
•Обеспечение прозрачности использования
•Применение бизнес-контекста к сетевой активности
•Упрощение операций и отчетности
Север-Юг
Восток-Запад
Защита, Обнаружение, Контроль
12. Управление политиками в виртуальной сети
Nexus 1000V
Операционная модель на базе портовых профилей Port Profiles
Поддержка политик безопасности с изоляцией и сегментацией при помощи VLAN, Private VLAN, Port- based Access Lists, Cisco Integrated Security функций
Обеспечение прозрачности потоков от виртуальных машин функциями ERSPAN и NetFlow
Виртуальный коммутатор: Nexus 1000V
Network
Team
Server
Team
Управление и мониторинг
Роли и ответственность
Изоляция и сегментация
Security Team
Nexus 1000V
12
13. Что такое портовый профиль (Port-Profile) Nexus?
Профиль порта – контейнер для определения общего набора настроек/команд, которые используются на нескольких интерфейсах
Определяется один раз, применяется многократно
Упрощение управления через сохранение конфигурации интерфейса
Ключевой компонент для совместного управления сетевыми ресурсами виртуальной сети
Почему это не как шаблон или макрос «SmartPort»?
Портовые профили это «живые» политики
Изменение включенного профиля влечет изменение настроек на всех подключенных интерфейсах, которые используют данный профиль
* Более подробно на потоке ЦОД
13
14. Профиль порта
Nexus 1000V поддерживает:
ACLs
Quality of Service (QoS)
PVLANs
Port channels
SPAN ports
port-profile vm180 vmware port-group pg180 switchport mode access switchport access vlan 180 ip flow monitor ESE-flow input ip flow monitor ESE-flow output no shutdown state enabled interface Vethernet9 inherit port-profile vm180 interface Vethernet10 inherit port-profile vm180
Port Profile –> Port Group
vCenter API
vMotion
Policy Stickiness
Network
Security
Server
14
15. Функции безопасности Nexus 1000V
Закладывая основу
Switching
L2 Switching, 802.1Q Tagging, VLAN Segmentation, Rate Limiting (TX)
IGMP Snooping, QoS Marking (COS & DSCP)
Security
Virtual Service Domain, Private VLANs w/ local PVLAN Enforcement
Access Control Lists (L2–4 w/ Redirect), Port Security, vPATH/VSG
Dynamic ARP inspection, IP Source Guard, DHCP Snooping
Provisioning
Automated vSwitch Config, Port Profiles, Virtual Center Integration
Optimized NIC Teaming with Virtual Port Channel – Host Mode
Visibility
VMotion Tracking, ERSPAN, NetFlow v9, CDP v2
VM-Level Interface Statistics
Management
Virtual Center VM Provisioning, Cisco Network Provisioning, CiscoWorks
Cisco CLI, Radius, TACACs, Syslog, SNMP (v.1, 2, 3)
15
16. Сервисные цепочки при помощи vPath
vPath это компонент шины данных Nexus
1000V:
Модель вставки сервиса без привязки к
топологии
Сервисные цепочки для нескольких
виртуальных сервисов
Повышение производительности с vPath
например VSG flow offload
Эффективная и масштабируемая
архитектура
Сохранение существующей модели
операций
Мобильность политик
Cloud Network Services (CNS)
Hypervisor
Nexus 1000V vPath
16
17. Что такое Virtual Security Gateway?
VSG это L2 МСЭ, который работает как фильтр между виртуальными машинами
Похоже на режим transparent для ASA
Обеспечивает инспекцию/фильтрацию между виртуальными машинами в одной L2 сети (одна подсеть или VLAN)
Для описания политик может использовать атрибуты VMware
Разделение потоков трафика Восток-Запад
Один или более VSG на тенанта
Требует Nexus 1000V Virtual Distributed Switch и использует vPath для коммутации
17
Virtual Hosts
Virtual Hosts
Virtual Hosts
18. Атрибуты VSG
Название
Значение
Источник
vm.name
имя VM
vCenter
vm.host-name
имя ESX-хоста
vCenter
vm.os-fullname
имя гостевой OS
vCenter
vm.vapp-name
имя ассоциированного vApp
vCenter
vm.cluster-name
имя кластера
vCenter
vm.portprofile-name
имя профиля порта
Port-profile
атрибуты VM attribute используются при создании политики безопасности
Профиль Security Policy Profile
Определяется/управляется через VNMC / PNSC
Привязка политики через профиль порта Cisco Nexus 1000V VSM
Атрибуты vCenter VM
18
19. Network Admin
Security Admin
Процесс определения политики
Устранение операционных ошибок между командами
Команда безопасности определяет политики безопасности
Команда сетевых администраторов включает политику в профили портов
Серверная команда назначает профили портов к VM
Сервер, Сеть, Безопасность
Server Admin
vCenter
Nexus 1KV
Prime NSC
Port Group
Port Profile
Security Profile
19
20. Представляем виртуальный МСЭ ASA (ASAv)
Полноценный МСЭ ASA работающий как виртуальная машина
Nexus1000V не требуется
Поддерживает VMWare и другие гипервизоры
Паритет функциональности с ASA (с исключениями)
Нет поддержки:
1.кластеризации ASA
2.режима нескольких контекстов
3.интерфейсов Etherchannel
4.Режима Active/Active Failover (требует режима multi context)
20
ASAv Firewall
(Virtualized ASA)
21. Внедрение ASAv : Облачный МСЭ+VPN
21
Сегодня для фильтрации между зонами и тенантами применяется ASA в режиме мульти-контекст
Для передачи трафика используются транки
Проблема – масштабирование фильтрации Запад-Восток требует ресурсов МСЭ и масштабируемого транспортного решения
Zone 1
Zone 2
Zone 3
VM 1
VM 2
VM 3
VM 4
VFW 1
VM 5
VM 6
VM 7
VM 8
VFW 2
VFW 3
ASAv – может быть пограничным МСЭ и может обеспечивать фильтрацию Восток-Запад
На каждого тенанта или зону можно развернуть одну или несколько ASAv для FW + VPN
Масштабируемая терминация VPN S2S и RA
Vzone 1
Vzone 2
Multi Context Mode ASA
22. ASAv
3 режима примения политик
Routed Firewall
•Маршрутизация трафика между vNIC
•Поддержка таблиц ARP и маршрутов
•МСЭ на границе тенанта
Transparent Firewall
•VLAN или VxLAN Bridging / Stitching
•Поддержка таблицы MAC
•Бесшовная интеграция в L3 дизайн
Service Tag Switching
•Инспектирование между service tags
•Нет взаимодействия с сетью
•Режим интеграции с фабрикой
22
23. Routed Firewall
Routed – граница сети контейнера/тенанта
Шлюз по умолчанию для хостов
Маршрутизация между несколькими подсетями
Традиционная L3 граница сети
Подключение виртуальных машин и физических
Сегментация с использованием интерфейсов ASAv
Routed
client
Gateway
Outside
Inside
host1
host2
Shared
DMZ
23
24. Transparent Firewall
• Коммутация между 4 (под-) интерфейсами
• 8 BVIs на ASAv
• NAT и ACL
• Бесшовная интеграция для соотв. PCI
• Традиционная граница L2 между хостами
• Все сегменты в одном широковещательном домене
ASAv
Transp
Gateway
client
Segment-1
Segment-3
host1
host2
Segment-2
Segment-4
24
25. Web-zone
Fileserver-zone
Hypervisor
Nexus 7000
Nexus 5500
Nexus 1000V
VRF VLAN 50
UCS
VLAN 200
VLAN 300
Защита приложений и видимость
Инспекция трафика север-юг и восток-запад с ASA
Transparent или routed режимы
Эластичность сервиса
ASAv
.1Q Trunk
VLAN 50
25
26. Web-zone
Fileserver-zone
Hypervisor
Nexus 7000
Nexus 5500
Nexus 1000V
VRF VLAN 50
UCS
Защита приложений и видимость
Инспекция трафика север-юг и восток-запад с ASA
Глубокая инспекция с virtual IPS – в режиме inline (коммутация между VLAN) или promiscuous port на vswitch
Сервисная цепочка – ASAv и vIPS
.1Q Trunk
External
VLAN 50
Defense Center с Firesight для анализа данных
26
Inline Set
Inline Set
Internal
External
Internal
VLAN 200
28. vIPS
Варианты включения в разрыв или пассивный
Web-zone
VLAN 200
Promiscuous Port
vSwitch
Web-zone
VLAN 200
External
vSwitch
vSwitch
28
Internal
29. Контекстная информация FireSIGHT Защита приложений и контроль
Трафик приложений…
Приложения и риск…
Кто их использует?
Какие операционные системы?
Что еще происходило с пользователями?
What does their traffic look like over time?
34. Web-zone Application-zone Fileserver-zone
Hypervisor
Nexus 7000
Nexus
1000V
Primary VLAN 20
VRF
VLAN 20
UCS
VLAN 100
Isolated
VLAN 200
Isolated
VLAN 300
Community
Сегментация L2
VM в одной подсети могут быть
изолированы
Взаимодействие только со шлюзом L3
Используем ACL на шлюзе для
фильтрации по IP из PVLAN
PVLAN для изоляции VM
*PVLANs также
поддерживаются
на VMware
vswitch
.1Q Trunk
34
35. Web-zone Application-zone Fileserver-zone
Hypervisor
Nexus
1000V
UCS
VLAN 100
Isolated
VLAN 200
Isolated
VLAN 300
Community
VM обеспечение прозрачности операций
Потоки от VM могут быть отзеркалированы
через span-порт на виртуальном коммутаторе.
Можно также применить ERSPAN для отправки
через L3 (например на 6500 NAM модуль).
Анализ потоков VM через NetFlow для контроля
производительности и безопасности
NetFlow для анализа поведения VM
NetFlow/ERSPAN/SPAN
NetFlow Data Collector
6500 w/
Layer 3 NAM
Layer 2
35
36. Изоляция систем через микросегментацию
Политики на приложение, VM, vNIC
Tenant B
VSD
Web App
Web DB
Nexus 1000V
VSD
ASAv и vIPS
Nexus 1000V
Web Tier App Tier
Контроль ingress/egress & трафик
между VM
vFirewall, ACL, PVLAN
Видимость трафика и угроз
vIPS, Netflow, SPAN/ERSPAN
Применение политик прозрачно для
мобильности
Port Profiles
Разделение ролей
Сервер • Сеть • Безопасность
Tenant A
ASAv и vIPS
36
VSG
SVM
37. Оркестрация виртуальной безопасности
Автоматизация внедрения сервисов безопасности
SDN
ACI
Рассмотрим ACI как пример:
Web Server
End Point
Group A
App Server
End Point Group B
Application
Construct
Services
inst
inst
…
Firewall/IPS
inst
inst
…
load balancer
graph
….
start
end
1
…..
N
contract rule: redirect
Продукты оркестрации: Embrane
37
39. Physical to Virtual
Сегментация VRF-VLAN-Virtual
ASAv/ VSG
vIPS
ASAv
Zone B
Zone C
Nexus 7K
ASA
CTX1
CTX2
CTX3
VLANx1
VLANx2
VLANy1
VLANy2
VLANz1
VLANz2
SGT
SGT
SGT
SGT
SGT
SGT
Segmentation Building Blocks
Соединяем физическую и виртуальную инфраструктуры
Зоны используются для определения и применения политик
Уникальные политики применяются для каждой зоны
Физическая инфраструктура привязывается к зоне
VRF, Nexus Virtual Device Context, VLAN, SGT
39
40. МСЭ ASA и фабрика ЦОД
ASA и Nexus Virtual Port Channel
vPC обеспечивает распределение нагрузки по соединениям (отсутствие заблокированных STP соед.)
ASA использует технологии отказоустойчивости ЦОД
Уникальная интеграция ASA и Nexus (LACP)
IPS модуль полагается на связность от ASA – обеспечивает DPI
Проверенный дизайн для сегментации, защиты от угроз и прозрачности операций (visibility)
Transparent (рекомендован) и routed режимы
Работает в режимах A/S и A/A failover
Уровень агрегации ЦОД
Active
vPC Peer-link
vPC
vPC
Core IP1
Core IP2
Active or Standby
N7K VPC 41
N7K VPC 40
Nexus 1000V
vPath
Hypervisor
Nexus 1000V
vPath
Hypervisor
Core Layer
Aggregation Layer
Access Layers
40
41. Aggregation Layer
L2
L3
FW HA
VPC
VPC
VPC
DC Core / EDGE
VPC
VPC
FHRP
FHRP
SVI VLAN200
SVI VLAN200
North Zone VLAN 200
South Zone VLAN 201
Trunks
VLAN 200 Outside
VLAN 201 Inside
N7K VPC 40
N7K VPC 41
ASA channel 32
VPC PEER LINK
VPC PEER LINK
Access Layer
Подключение ASA к Nexus с vPC
ASA подключается к Nexus несколькими интерфейсами с использованием vPC
ASA может быть настроена на переход на резервную коробку в случае потери нескольких соединений (при использовании HA)
Идентификаторы vPC разные для каждого МСЭ ASA на коммутаторе Nexus (это меняется для кластера ASA и cLACP [далее…])
Лучшие практики
41
42. North Zone VLAN 200
South Zone VLAN 201
VPC
VLAN 200 Outside
VLAN 201 Inside
interface TenGigabitEthernet0/6
channel-group 32 mode active
no nameif
no security-level
!
interface TenGigabitEthernet0/7
channel-group 32 mode active
no nameif
no security-level
!
Server in VLAN 201
VPC
Trunk Allowed 1,201
SVI VLAN200 172.16.25.253
FHRP – 172.16.25.1
SVI VLAN200 172.16.25.254
FHRP – 172.16.25.1
172.16.25.86/24
Режим Transparent в ЦОД
2 интерфейса
interface BVI1
ip address 172.16.25.86 255.255.255.0
!
interface Port-channel32
no nameif
no security-level
!
interface Port-channel32.201
mac-address 3232.1111.3232
vlan 201
nameif inside
bridge-group 1
security-level 100
!
interface Port-channel32.200
mac-address 3232.1a1a.3232
vlan 200
nameif outside
bridge-group 1
security-level 0
42
43. Физический сервис для виртуального
Hypervisor Hypervisor Hypervisor Hypervisor
VRF Blue VRF Purple
Firewall Firewall
Nexus 7000
Nexus 5500
Nexus 1000V Nexus 1000V
Применяем физические устр-ва для
изоляции и сегментации виртуальных
машин
Используем зоны для применения
политик
Физическая инфраструктура
привязывается к зоне
Разделяем таблицы
маршрутизации по зонам через
VRF
Политики МСЭ на зоны привязаны
к потокам север-юг, восток-запад
Проводим L2 и L3 пути через
физические сервисы
43
45. Hypervisor
Инспекция трафика между VLAN для VM
ASA с Bridge Group внутри контекста
Layer 2 Adjacent
Switched Locally
Direct Communication
ASA 5585
Transparent Mode
Aggregation
Core
Layer 3 Gateway
VRF or SVI
Aggregation
Core
Physical Layout
East-West VLAN filtering
VLAN 20
VLAN 100
interface vlan 21 10.10.20.1/24 interface vlan 101 10.10.101.1/24
interface TenGigabitEthernet0/6
channel-group 32 mode active vss-id 1
no nameif
no security-level
!
interface TenGigabitEthernet0/7
channel-group 32 mode active vss-id 2
no nameif
no security-level
!
interface BVI1
ip address 10.10.20.254 255.255.255.0
!
interface Port-channel32
no nameif
no security-level
!
interface Port-channel32.20
mac-address 3232.1111.3232
vlan 20
nameif inside
bridge-group 1
security-level 100
!
interface Port-channel32.21
mac-address 3232.1a1a.3232
vlan 21
nameif outside
bridge-group 1
security-level 0
…
45
VLAN 21
VLAN 101
46. Обзор кластера ASA
Кластеризация поддерживается на 5580, 5585 и 5500-X (5500-X кластер из 2-х устройств)
CCL – критическое место кластера, без него кластер не работает
Среди членов кластера выбирается Master для синхронизации настроек— не влияет на путь пакета
Новый термин “spanned port-channel” т.е. Распределенные/общие настройки порта среди членов кластера ASA
Кластер может ре-балансировать потоки
У каждого потока есть Owner и Director и возможно Forwarder
Шина данных кластера ДОЛЖНАиспользовать cLACP (Spanned Port-Channel)
Cluster Control Link
vPC
Data Plane
Aggregation
Core
ASA Cluster
vPC 40
46
47. Кластер МСЭ ASA
Кластеризация ASA для требований ЦОД
Cluster Control link shares state and connection information among cluster members
Aggregation
Core
Hypervisor
Hypervisor
Database
ASA Cluster includes Context 1 & 2 Transparent Mode
ASA 5585
ASA 5585
ASA 5585
ASA 5585
Aggregation
Core
Physical Layout
Cluster Control Link
Cluster functionally the same in either transparent or routed mode
Cluster members used for North-South, East-West inspection and filtering
Context1
Context2
Owner
Director
IPS relies on ASA Clustering
47
Web
Apps
48. Итого по МСЭ в ЦОД
Физические и виртуальные устройства безопасности предлагают различные варианты для обеспечения контроля в ЦОД
Виртуальные МСЭ в различных режимах обеспечивают контроль между VRF и Nexus VDC
Transparent (L2) режим дает набор преимуществ по сравнению с routed режимом
Нет помех для прохождения протоколов маршрутизации, multicast, IPSEC и пр.
Используйте LACP для агрегации соединений в ЦОД
Кластеризация МСЭ обеспечивает высокий уровень производительности и возможность плавного ее наращивания.
Интеграция с новыми технологиями - ACI
48