Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Интеграция решений Radware в Cisco ACI, Cisco UCS, SDN

864 views

Published on

Интеграция решений Radware в Cisco ACI, Cisco UCS, SDN

Published in: Technology
  • Be the first to comment

Интеграция решений Radware в Cisco ACI, Cisco UCS, SDN

  1. 1. Regional Team Director michaels@radware.com Интеграция решений Radware в Cisco ACI, Cisco UCS, SDN Michael Soukonnik June 2015
  2. 2. Два слова о Radware Текущая ситуация Технология отражения атак, внедряемая в Cisco Совместные решения Radware/Cisco Summary
  3. 3. Немного статистики Global  Technology  Partners   Более10,000  клиентов   3   43.7     54.8     68.4     77.6     81.4     88.6     94.6     108.9     144.1     167.0     189.2     193.0     221.9   1%   25%   25%   13%   5%   9%   7%   15%   32%   16%   13%   2%   15%    50.00    100.00    150.00    200.00   2002   2003   2004   2005   2006   2007   2008   2009   2010   2011   2012   2013   2014     USD     Millions   Рост  продаж  
  4. 4. Radware предлагает решение, обеспечивающее производительность в соответствие с SLA даже во время атаки Контроллеры  доставки  приложений(ADC)   Система  отражения  атак  (AMS)   •  Серверная  балансировка  нагрузки   (соответствие  SLA  для  всех   пользователей)   •  Повышение  производительности   приложений  (removing  SSL,  cashing,   TCP,    compression,  etc)   •  vADC  –  полная  изоляция   приложений   •  Производительность  работы   пользователей  (SLA),  мониторинг  в   реальном  времени   •  Ускорение  загрузки  WEB  страниц   •  Обеспечение  работы  легитимных   пользователей  в  соответствие  с  SLA   даже  во  время  атаки   •  Защита  от  DoS/DDoS  атак  в   автоматическом  режиме   •  IPS   •  Поведенческий  анализ   •  Cloud&Hybrid   •  Автоматическая  защита  против  атак   на  уязвимости  OWASP-­‐10  (WAF)    
  5. 5. Лидер в системах отражения атак 7  из  14  Мировых  Фондовых  Бирж     12  из  22  Крупнейших  Банков   6  из  20  Крупнейших  ретейлеров     NBA,  NHL,  MLB  &  Nascar   6  из  10  Мировых  Телеком   Компаний   2  из  5  Ведущих  Облачных   Провайдеров   5  
  6. 6. Текущая ситуация
  7. 7. Посмотрим вместе: 1.   WW3  map  (one  of)  –  Карта  боевых  действий   2.   Easy  and  cheap  (to  start)  –  Просто  и  дешево   3. Hard  to  mizgate  –  Сложно  противостоять  
  8. 8. Легко заказать
  9. 9. Мотивация атакующих 10 Source: Hackmageddon.com Преступники • Деньги   • И  снова  деньги   Хактивизм • Протест   • Месть   Шпионаж • Хищение  секретов   • Национальная   безопасность   • Экономика   Война • Задачи:   уничтожить,   замедлить,   заблокировать   • Политика   10  
  10. 10. Злоумышленник маскируется Slide  11   •  Маскировка   –  Использование  динамических  IP  адресов   –  Несколько  атакующих,  использующих  один  IP  адрес   •  Типовой  инструментарий   –  Content  Delivery  Network  (CDN)   –  Proxy  servers   –  Proxy  botnets   –  NAT  devices     –  Anonymizers     –  Encrypted  communicazon   •  Результат:  Атаку  сложней  идентифицировать  и  отразить.   11  
  11. 11. Несколько  векторов  атаки  одновременно   Volumetric  network  flood  aˆacks   SSL  based  aˆacks   SYN flood attack Applicazon  Flood  aˆacks   Web  aˆacks:  XSS,  Brute  force   Port scan “Low  &  Slow”  aˆacks   Network scan Intrusion Applicazon  vulnerability,  malware   Web  aˆacks:  SQL  Injeczon   12   Достаточно одного успешного вектора атаки для остановки бизнеса!
  12. 12. Как противостоять 13 Cloud Interne t of Things Perimeter Breakdown Policy Enforcement Weakness Slow Incident Response Limited Security Testing Endpoint Security Chaos Network Virtualizat ion Тенденции ИТ Управление безопасностью 13  
  13. 13. Принципы атаки и противодействия
  14. 14. Никто  не  в  безопасности     Ресурсы  –  основная  цель     Скорость  определит  победителя    
  15. 15. Никто не будет в безопасности – Неожиданные цели Цели  в  новых  секторах  экономики,  и   организациях     Здравоохранение  и  образование  –  новые  цели   злоумышленников   Онлайн  игры,  хостинг  и  ISP  –  высокая   вероятность  атак   Финансовый  сектор  –  некоторое  снижение   рисков   2014   Изменения  с  2013   16  
  16. 16. Интернет  канал  –  в  основном  большие  пакеты  –  размеры   канала     Брандмауэр  и  другие  аналитические  устройства  (stateful   devices)  –  производительность,  количество  пакетов     Серверы  –  ограничения  производительности,  очереди  на   обслуживание,  количество  запросов,  открытые  сессии,  SSL     Приложения  –  использование  уязвимостей  и  ограничений     Основные цели - рессурсы
  17. 17. Мультивекторная атака IPS/IDS   “Low  &  Slow”  DoS  aˆacks   (e.g.Sockstress)   Large  volume  network   flood  aˆacks   Syn   Floods   Network   Scan   HTTP  Floods   SSL  Floods   App  Misuse   Brute  Force   Облачная  DDoS  защита   DDoS  защита   Поведенческий   анализ   IPS   WAF   Защита  от  атак   под  SSL   Интернет  канал   Брандмауэр   Балансировщики   Атакуемые  серверы   SQL  серверы   18  
  18. 18. Добавление  новых  ресурсов  обходится  дороже,  чем  совершенствование  атаки     Тратить  деньги  или  отразить  атаку?     Ресурсы во время атаки Принципы  противостояния:   •  Боремся  за  доступность  ресурсов  для  легитимных  пользователей  и   исполнение  их  SLA   •  Технологии  ограничения  пропускной  способности  (rate  limit)    –   атомная  бомба,  убивающая  всех.   •  Мы  должны  отличать  легитимного  пользователя  от   злоумышленника.   •  Наконец,  должны  быть  отброшены  только  атакующие  пакеты,   запрос,  сессии.  
  19. 19. Время – Продолжительность атак растет Атаки  стали  сложные  и   продолжительные     В  предыдущие  годы  продолжительные  атаки   редко  превышали  6%  от  общего  количества   В  2014  -­‐  19%    были  продолжительными/ постоянными     52%    респондентов    могут  бороться  только   против    однодневных  атак  или  даже  менее   продолжительных  атак   %   5%   10%   15%   20%   25%   30%   35%   40%   Less  than  a  day   1  hour-­‐1  day   1  day-­‐1  week   over  a  week   Constantly   2011   2012   2013   2014   В  2014,  19%  of  атак     были  постоянными   20  
  20. 20. Проблема  не  только  в  продолжительности  атаки.  Современные  атаки  могут   менять  вектора  раз  в    3-­‐7  минут!   Устаревшие  методы  –  анализ  и  отражение  «вручную»  недостаточно   производительны  и  не  обеспечивают  эффективности.   Время Принципы  противостояния:   •  Время  реакции  –  секунды!   •  Постоянное  противостояние  злоумышленнику   •  Работа  в  автоматическом  режиме  
  21. 21. Система Отражения Атак Radware Attack Mitigation System (AMS)
  22. 22. DefensePro  –  уровни  защиты   Поведенческая  защиты   DME DDoS Mitigation Engine (200M PPS) L7 Regex Acceleration ASIC Multi Purpose Multi Cores CPU’s (Up to 300 Gbps) &  Reputaxon  Engine   Hardware  Architecture  –    Tailored  for  Aˆack  Mizgazon  
  23. 23. Attack Degree = 10 (Attack) Abnormal rate of packets,… Aˆack  Case     Rate-based anomaly axis Y-axis X-axis Z-axis AttackDegreeaxis Attack area Suspicious area Normal adapted area Принятие  решения  -­‐  Атака   Slide  24   Abnormal protocol distribution [%] Slide  24  
  24. 24. Принятие  решения  –  рост  легитимного  траффика   Rate  parameter  input   Rate-­‐invariant  input  parameter     Degree  of  AEack  (DoA)   AEack  area   Suspicious    area   Normal  adapted  area   Low  DoA   Flash  crowd  scenario   Slide  25  
  25. 25. Доступные   сервисы   Behavioral DoS Real Time Signature Network Challenge Response Behavioral Anti- Scan SSL Session and Network Protection Behavioral DNS Protection DNS Challenge Response Behavioral HTTP Flood Protection Behavioral Server Cracking HTTP Polymorphic Challenge Response Приложения   Серверы   Сеть   Уникальные  технологии  Radware   Web   Advanced Fingerprinting Signaling Encrypted Challenge Response
  26. 26. Attack Mitigation System Ключевые  «моменты»:   •  Защита  всех  ресурсов   •  Базируется  на  информации  с  3-­‐го  по  7-­‐й  уровень  OSI  для   определения  поведения  легитимных  клиентов.  Дает  возможность   работы  под  атакой.  Лицензируется  по  легитимному  трафику.   •  Построение  динамической  сигнатуры  против  атаки  за  18  секунд!   •  Не  требует  участия  администратора  ИБ   •  Включает  как  собственное  оборудование,  так  и  облачный  сервис   •  Защищает  от  всех  атак  OWASP-­‐10   •  Все  изменения  в  WEB  –  автоматически  определяются,  уязвимости   блокируются  
  27. 27. Два слова о Radware Текущая ситуация Технология отражения атак, внедряемая в Cisco Совместные решения Radware/Cisco Summary
  28. 28. Traditional Data Center Network  Layer   Business  Applicazons   29 Service  Layer   Command  &  Control   Command  &  Control   Command  &  Control  
  29. 29. Data Center Transformation – Software Defined … 30  Automazon   Orchestrazon   Stacks    IT/DevOps   Network  Layer   Business  Applicazons   Service  Layer   Command  &  Control   Command  &  Control  SDN  Controller  
  30. 30. Data Center Transformation – Software Defined …  Automazon   Orchestrazon   Stacks    IT/DevOps   31 Security   Apps Delivery   Network  Layer   Business  Applicazons   Command  &  Control   SDN  Controller  
  31. 31. Data Center Transformation – Software Defined Services Business  Applicazons    Automazon   Orchestrazon   Stacks    IT/DevOps   32 Radware  is  the  only  vendor  that  provides  A}ack  Mixgaxon  Soluxons!   Security   Apps Delivery   Security   Network  Layer  
  32. 32. Data Center Transformation – Software Defined Services Network  Layer   Business  Applicazons   33 Radware’s  synergexc  approach  guarantees  the  highest  service-­‐level   Security   Apps Delivery   Normal Operaxon   Performance   Degradaxon   Outage  
  33. 33. Introducing Radware Radware/Cisco Solution Mapping Solutions Overview & Differentiators Summary
  34. 34. Radware/Cisco Joint Solutions Mapping OpenDaylight  SDN  UCS  Nexus  9000  ACI   35
  35. 35. Cisco ACI - Alteon Integration DDoS   ADC     ACI  in  the  data  center  is  a  holiszc  architecture  with  centralized   automazon  and  policy-­‐driven  applicazon  profiles.       ACI  delivers  sožware  flexibility  with  the  scalability                                                                                             of  hardware  performance.   36 Typical     Applicaxons:     w w w  
  36. 36. Cisco ACI-Alteon Integration DDoS   ADC   37 Typical     Applicaxons:     w w w   Radware  Service  Engines   Available  as:   ADC  Hypervisor  
  37. 37. Cisco ACI-DefensePro Integration DoS/DDoS     Protecxon   ADC   Typical  Applicaxons:     Per-­‐tenant  aˆack  proteczon     Infrastructure  proteczon     Value-­‐add  security  services   Radware  Aˆack  Mizgazon  PlaŸorms   Available  as:   DDoS  Protecxon   Appliance     Protecxon  Policy  per   Applicaxon   38 Typical     Applicaxons:     w w w  
  38. 38. Cisco UCS: About   Cisco  Unified  Compuzng  System  (UCS)  is  a  next-­‐ generazon  data  center  plaŸorm  that:   -  Unites  compute,  network,  storage  access,  and   virtualizazon  into  a  cohesive  system   -  Enterprise-­‐class,  x86-­‐architecture  servers   -  Designed  to  reduce  TCO  and  increase  business  agility   39   Typical     Applicaxons:     w w w  
  39. 39. Cisco UCS: Building Blocks www.   ADC   ADC  DNS   40
  40. 40. Cisco UCS: Alteon NFV Integration www.   DNS   Typical  Applicaxons:     •  Carrier  core  network  applicazons   •  Online  giant  web  applicazons   41
  41. 41. Cisco UCS: Alteon VA Integration www.   Alteon  VA:   Load  Balancing,  WAF,   Defense  Messaging   42
  42. 42. Cisco UCS: DefensePro Integration www.   Typical  Applicaxons:   •  Per-­‐applicazon  aˆack  monitoring   •  Per-­‐applicazon  aˆack  mizgazon   •  Infrastructure  proteczon   •  Value-­‐add  security  services   43
  43. 43. Cisco SDN Solutions 44 SDN  Control  Layer   Northbound  API   OpenFlow  API   SDN  Applicazons   SDN  Data  Plane     The  Cisco  Open  SDN  Controller  is  a  commercial  distribuzon  of  OpenDaylight     Delivers  business  agility  through  automazon  of  standard-­‐based  network   infrastructure     Cisco  supports  SDN  through  a  range  of  Cisco  switches  and  routers  
  44. 44. Cisco SDN – Radware DDoS Protection SDN  Data  Plane   45 SDN  Control  Layer   SDN  Applicazons   DefensePro   Northbound  API   OpenFlow  API     Radware  DefenseFlow:  SDN  Applicazon  that  programs  networks  for  aˆack  proteczon     Radware  DefensePro:   -  Best  DDoS  proteczon  and  aˆack  mizgazon  soluzon  in  the  industry   -  Connect  anywhere  in  the  network   -  Virtualize  security  services  per  protected  object  
  45. 45. Cisco SDN – Radware DDoS Protection Perimeter   LAN   DefensePro   Traffic     Monitoring   Clean  traffic  forwarded   to  desznazon   Diverted   suspicious   traffic   Internet   Cisco  Switch   Traffic  Monitoring     Typical  Applicaxons:     Per  network  tenant  aˆack  proteczon     Infrastructure  proteczon     Value-­‐add  security  services   A}ack  Detected:     Suspicious  traffic  diverted   Clean  traffic  forwarded  to  desznazon   46
  46. 46. Два слова о Radware Текущая ситуация Технология отражения атак, внедряемая в Cisco Совместные решения Radware/Cisco Summary
  47. 47. Итоги   Самое  быстрое  и  точное  решение  для  борьбы  с  DDoS  атаками  на  всех   уровнях     Единственное  интегрированное  решение,  позволяющее  обеспечить   SLA     Первая  система  контроля  доставки  приложений  для  NFV     Повышение  гибкости  ЦОД  и  услуг       Интеграция  во  все  новые  решения  Cisco  для  ЦОД  и  сетей  операторов   48  
  48. 48. www.radware.com.ru  

×