Защита центров обработки данных

1,612 views

Published on

Published in: Technology
  • Be the first to comment

Защита центров обработки данных

  1. 1. Защищенный центр обработки данных без границ Алексей Лукацкий Бизнес-консультант по безопасностиPresentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential
  2. 2. Основные предпосылки Давление, оказываемое на современные ЦОД,1 приводит к пересмотру границ ЦОД и подходов к его ИБ "Без границ" не значит "без периметра" —2 напротив, это значит "динамический, интеллектуальный, контекстно-зависимый периметр" Масштабируемость и3 простота, открытость, виртуализация и распределенные сетевые сервисы — основные элементы архитектуры защищенного ЦОД "без границ"Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 3/75
  3. 3. Архитектура системы безопасности сети без границ ПолитикаПолитика 4 (Контроль доступа,допустимое использование, вредоносное ПО, защита данных) без границКорпоративный периметр Платформа Инфраструктура ЦОДПриложения как сервис как сервис X 3 и данные ПО как сервис как сервисЦентральный офис без границ Интернет 2 зоны без границ Филиал Оконечные Аэропорт Домашний офис 1 Мобильный Кафе пользователь Атакующие Партнеры Заказчики Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 4/75
  4. 4. Современный ЦОД Давление со всех сторон Соответствие нормативным требованиям БыстроеВнутренние выделениепользователи ресурсовМобильные Совместнопользователи Пользователи ЦОД Доступ работающие приложенияВнешние к сервисам Гибкостьпользователи сервисовАтакующие Производительность приложений Оптимизация эксплуатации Глобальная доступность Защита Использование окружающей ресурсов среды Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 5/75
  5. 5. Эволюция ЦОДНовые тенденции влияют на архитектуру ЦОД Распределенность Контроль доступа; масштабируемость Виртуализация Консолидация; оптимизация; гибкость Открытость Защищенный доступ мобильных и внешних пользователейМасштабируемость и простотаМасштабирование емкости и производительности в соответствии с бизнес-требованиями2000 2005 2010 2015 Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 6/75
  6. 6. Сложности обеспечения ИБ в ЦОД Виртуализация Сети хранения Приложения Утечки данных Соответствие ДоступностьPresentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 7/75
  7. 7. Предыдущее целостное видение Cisco для центров обработки данных Серверная L2/L3 Сеть хранения Frontend и приложения ферма сеть Clustered Servers Resilient Security Application Business IP Networking Applications Application Control VPN Engine SANОсновной ЦОД Disk SSL Firewall Infiniband GSS IDS NAS Tape Anomaly Detect/Guard Wide Area Application Services IBM GE/ WAFS 10GE Metro Network WAN Optical/Ethernet WAAS MDS Clients ONS 15000 9216 Резервный ЦОД Филиал Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 8/75
  8. 8. Ключевые элементы ИБ1 Безопасность периметра ЦОД2 Безопасность сети хранения данных (SAN)3 Безопасность на уровне Nexus / Catalyst4 Безопасность виртуализации5 Безопасность ЛВС ЦОДPresentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 9/75
  9. 9. Общие принципы безопасности ЦОДPresentation_ID © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Public 10
  10. 10. Сначала было такПример отказоустойчивого многофункционального внедрения Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 11/75
  11. 11. Потом стало так: появление контекстов Мониторинг, безопасность и LB Web-серверы  Группирует коммутаторы доступа и восходящие каналы связи в ядро Серверы приложений  Развитые приложения и функции безопасности, разделяемые между серверами из разных стоек / соединенных с разными Серверы баз данных коммутаторами доступаPresentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 12/75
  12. 12. Архитектура современного ЦОДУровень ядра NEXUS 7000Уровеньраспределения MDS- Services Storage NEXUS 7000 Ex. Catalyst 6500 vPC & VDC w ww NEXUS 7000 NEXUS vPC 5000 NEXUS 2000 Expanded Memory NEXUS 1000v VM VM NEXUS VM VM VM VM 1000v VM VM VM VM VM VM VM VM Virtual Adapter VM VM VM VM VM VM VM VM VM VM Nexus 5000 10 GE Nexus 7000 N2K / N5K N2K / N7K Unified Compute FCoE 1/10GE 1 GE 1 GEУровеньдоступа Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 13/75
  13. 13. Как обеспечить ИБ? Распределение информационных активов по их критичности: Что поддерживает Ваш бизнес? Как Вы зарабатываете деньги? Равносильна ли потеря данных или конфиденциальности потере $? Каким регулирующим требованиям Вы должны соответствовать? Как Вы защищаете данные критичные для бизнеса? Как подержать высокую репутацию бренда и не оказаться в скандальных заголовках газет? Ответив на эти вопросы мы можем сформулировать какой должна быть система ИБPresentation_ID Cisco Systems, Inc. All rights reserved. © 2006 © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 14 14/75
  14. 14. Полный жизненный цикл безопасности Система безопасности – один из элементов жизненного цикла системы Потребности бизнеса Нужды Анализ Какие операции хочет осуществлять ваша бизнеса риска организация с сетью? Анализ риска Каково соотношение риска и затрат? Политика безопасности Политические Политика безопасности правила, принципы, стандарты Каковы политические правила, стандарты и рекомендации по удовлетворению потребностей бизнеса и снижению риска? Лучший Технологии Лучший отраслевой практический опыт отраслевой безопасности опыт Каковы надежные, хорошо понятные и рекомендуемые лучшие практические приемы обеспечения безопасности? Операции безопасности Операции обеспечения безопасности Разрешение инцидентов, мониторинг и сопровождение, Реакция на проверки соответствия инциденты, мониторинг, сопровождение и Presentation_ID соответствия системы. rights reserved. аудит © 2009 Cisco Systems, Inc. All Cisco Confidential 15/75
  15. 15. Среда управления ИБ, созданная Cisco Cisco SAFE Next GenerationЦели безопасности Действия  Введение единой терминологии и таксономии Идентификация  Обеспечение Контроль согласованности решений и Мониторинг сервисов Обнаружение, мониторинг, сбор, обнаружение и Корреляция  Особое внимание вопросам классификация пользователей, эксплуатации трафика, приложений и протоколов сетей, созданных в Защита соответствии с архитектурой Управле- ние Изоляция  Помогает идентифицировать векторы угроз и выбрать Защита, повышение Выполнение технические средства надежности, ограничение доступа и изоляция защиты устройств, Описание пользователей, трафика, действий, обеспечивающих приложений и контроль и управление протоколов Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 16/75
  16. 16. ―Ключевые области‖ безопасности Все они могут быть применены к конечной точке, к приложению, к сети или к целому ЦОД Защита Идентифи- Это сфокусированный соединений кация и способ реализовать управление требуемые критерии доступом безопасности Управление Выявление и безопасностью Помогает лучше понять устранение различные технологии и их угроз оптимальную синергию Защита Из-за ограниченности инфраструктуры времени мы не будем рассматривать защищенные соединения. Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 17/75
  17. 17. Общий подход к защите ЦОДВчера? Сегодня! И завтра!? •Идентификация и контроль доступа: 802.1x, списки доступа, МСЭ •Обнаружение и предотвращение атак: NetFlow, Syslog, SNMP, MARS, IDS, IPS •Защита инфраструктуры: AAA, CoPP, SSH, uRPF, SNMP v3, IGP/EGP MD5, L2 security features •Защита приложений: ASA, ASA-CX, WSA, IPS •Управление безопасностью: CSMPresentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 18/75
  18. 18. Подходы одинаковые везде Безопасность сетей хранения VLAN VSAN ACL hard/soft zoning Ethernet Port Security FC Port Security IPSec FCSec, как часть FC-SP И т.д.Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 19/75
  19. 19. Безопасность периметра ЦОДPresentation_ID © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Public 20
  20. 20. Набор решений Cisco для защиты периметра ЦОД Cisco Secure XКомпоненты системызащиты Управление безопасностью  Cisco ISE, CSM управляют безопасностью Защита приложений  ASA, ASA- CX, IPS, IronPort обеспечивает защиту приложений Защита контента  Решения IronPort защищают контент  ASA, IPS в канале Защита сети передачи данных защищают сеть  Защита инфраструктуры реализуется на Защита инфраструктуры маршрутизаторах, коммут аторах и МСЭ Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 21/75
  21. 21. Безопасность ЛВС ЦОДPresentation_ID © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Public 22
  22. 22. Арсенал ИБ коммутаторов Catalyst с IOS/CatOS или Nexus с NX-OS  Базовая безопасность Списки контроля доступа Cisco Express Forwarding Control-plane Rate Limiting Scavenger-Class Queue Port Security Broadcast Suppression BPDU-Guard/Root-Guard и т.д.  Расширенная безопасность МСЭ, IPS, IPSec VPN, балансировка нагрузки и т.д. (пока только для Catalyst 6500)February 2003, v1 Presentation_ID © 2003, Cisco Systems, Inc. All rightsAll rights reserved. © 2009 Cisco Systems, Inc. reserved. Cisco Confidential 23 23/75
  23. 23. Технологии защиты инфраструктуры Защита уровня  Защита STP root guard управления (CoPP)  AAA CLI Инфраструктурные  SSH списки ACL  SNMPv3 Антиспуфинг RFC2827  Ограничители скорости uRPF  Планировщики ресурсов Динамическое инспектирование ARP Отслеживание DHCP Механизм защиты BPDU Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 24/75
  24. 24. Технологии выявления и подавления угроз Системы предотвращения  Syslog вторжений на базе сетей  Системы корреляции (NIPS) событий Устройства адаптивной безопасности (ASA) Система мониторинга, анализа и IPS ответных мер (MARS) Cisco IOS IPS  Ловушки SNMP NetFlow  Удаленный мониторинг «Черные дыры» с  Захват пакетов удаленной инициацией Маршрутизация со сбросом Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 25/75
  25. 25. Технологии идентификации и управления доступом Управление доступом в  Безопасность портов сеть (NAC)  Web-аутентификация NAC на базе маршрутизатора NAC на базе коммутатора  Обход аутентификации Устройство NAC Mac (Clean Access)  Списки управления IEEE 802.1x/Cisco IBNS доступом (ACL) VMPS  Межсетевые экраны Инспектирование параметров X-Auth состояния Lock and key Инспектирование приложений AAA RADIUS и TACACS+ Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 26/75
  26. 26. Безопасность SANPresentation_ID © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Public 27
  27. 27. Проблемы безопасности SAN Целостность и безопасность данных Управление SAN Протокол безопасности Доступ в SAN SAN Доступ к системам хранения Протоколы SAN Target Сеть Хранения IP сеть хранения Целостность и Безопасность конфиденциальность доступа к данных Безопасность системам хранения доступа к SAN iSCSI Безопасность IP SAN Безопасность (iSCSI/FCIP) управления SAN Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 28/75
  28. 28. Управление SAN: угрозы Нарушение процесса коммутации Результат: Коммутатор не может реагировать на события в сети Нарушение стабильности сети Результат: Отказ сервиса, незапланированный простой Нарушение целостности и Out-of-band конфиденциальности управление Результат: Повреждение LUN, повреждание данных, кража или потеря данных Случайные или намеренные вредоносные управляющие действияPresentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 29/75
  29. 29. Управление SAN: безопасность• Authentication, Authorization, Account SAN Management Security Infrastructure ing (AAA) всех действий • RADIUS/TACACS+ Сеть Управления IP-over-FC, резервное соединение • Syslog • SNMP Traps • CallHome (SMTP) RADIUS• Ролевое управление контролем доступа Out-of-band Управление• Безопасный транспорт для TACACS+ по сети Ethernet управления • SSH • SNMPv3 • SSL/TLS SNMP• Контроль доступа интерфейсов управления NTP Cisco Fabric Manager MDS 9000 NX-OS CLI SNMPv3 SSH/SFTP• Согласованность политик NTP switch> config t безопасности для всех switch(config)> analyzer on switch(config)> exit switch> коммутаторов сети хранения Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 30/75
  30. 30. Доступ к SAN: угрозы Повреждение данных приложений Результат: Незапланированный простой, потеря данных Нарушение целостности LUN Результат: Подключение Доступ к системам Незапланированный серверов хранения простой, потеря данных Снижение производительности приложений Результат: Незапланированный простой, низкая производительность В/ВPresentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 31/75
  31. 31. Безопасность Fibre Channel Зонирование FC обеспечивает разделение между системами хранения Режим порта предотвращает формирование ISL на edge портах Port Security помогает защищаться от подмены WWN Виртуальные SAN (VSAN) обеспечивают разделение между виртуальными сетями FC Security Protocol (FC-SP) финальный шаг для безопасности FCPresentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 32/75
  32. 32. Доступ к SAN: зонирование FC D1 D2 D3 D4 Zone D3D4 Zone H2_D1 Zone T1 H1_D1 Zone H5_T1 H1 H2 H3 H4 H5 FC FC FC FC FC Zone H3H4_D2D3Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 33/75
  33. 33. Доступ к SAN: зонирование FC Зоны состоят из одного или более элементов Элементы зоны могут быть: Port WWN устройства (индивидуально для интерфейса) Node WWN устройства (глобально для устройства) Port WWN порта коммутатора Коммутатор + Интерфейс Символическое Имя (iSCSI) Один или более элементов могут определяться псевдонимами (Alias) WWN + LUNPresentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 34/75
  34. 34. Доступ к SAN: зонирование FC Зоны обеспечивают разделение групп хостов и систем хранения в SAN Некоторые операционные системы пытаются записать метку на все обнаруженные диски, вызывая потерю или порчу данных Зонирование обеспечивает разделение, но не имеет какой–либо аутентификации Обход зонирования путем имперсонации устройства (WWN spoofing) возможно и достаточно просто http://www.emulex.com/ts/fc/docs/wnt2k/2.00/pu.htmPresentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 35/75
  35. 35. Доступ к SAN: зонирование FC Soft Zoning Сеть ограничивает информацию элементам, не входящим в зону На программном уровне Устройство входит в сеть и опрашивает сервер имен, какие устройства доступны; и получит информацию только о тех устройствах, которые входят в те же зоны Hard Zoning Сеть не передает трафик элементам, не входящим в зону На аппаратном уровне, для каждого фрейма Стандарт не определяет проверять ли входящие или исходящие фреймыPresentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 36/75
  36. 36. Зонирование в Cisco MDS 9000 Зонирование в коммутаторах Cisco MDS реализовано на аппаратном уровне fWWN-1 fWWN-3 Вне зависимости от использования WWN и Port_ID-1 Port_ID-3 Port_ID в одной зоне—все на аппаратном уровне 1 pWWN-1 pWWN-3 WWN переводятся в FCID для фильтрации fWWN-2 fWWN-4 Port_ID-2 Port_ID-4 фреймов 2 pWWN-4 Выделенные высокоскоростные фильтры (TCAM) проверяют все фреймы на аппаратном pWWN-2 FCID-2 Аппаратная WWN переводятся в фильтрация уровне на каждом порту FCID для фильтров фреймов (TCAM) До 20,000 правил состоящих из зон и элементов зоны Зона А Фильтрация на полной линейной скорости— (активная) никакого влияния вне зависимости от количества зон или элементов зон Оптимизированная программация при активации набора зон — инкрементальные обновления * SCN сохраняются в пределах зон в VSAN Для добавления нового хоста в Зону А и активации, добавочные Выборочное поведение ―Default zone‖ — по элементы TCAM программируются умолчанию deny (индивидуально для VSAN) на соответствующие порты – без прерывания работы существующих зон Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 37/75
  37. 37. Улучшенное зонирование Cisco Зонирование LUN это возможность Зонирование LUN позволяет зонировать инициатор и часть LUN контролировать доступ к конкретным LUN на системе хранения Зона А 1 X Сервер может обнаружить все LUN, но подключиться только к LUN, входящим в 2 X зону X X pWWN-1 pWWN-2 X X Недоступные LUN отсеиваются X X коммутатором на входящем порту Предоставляет мощное решение совместно с маскированием LUN в report_LUN системах хранения для увеличения 10 LUNs available безопасности сети report_size LUN_1 LUN_1 50GB Случайное открытие LUN report_size LUN_3 предотвращается сетью LUN_3 is unavailable Зонирование Read-Only использует аппаратную обработку фреймов Зоны read-only не позволяют посылать Семейства MDS 9000 команды ‗write‘ к системам хранения Фильтрует управляющие фреймы FC4 Media Server Зона А по признаку является ли команда чтением или записью Для систем, которым необходимо только чтение с дисков, таких как мультимедиа Streaming сервера Server * Зона B (read-only) Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 38/75
  38. 38. Протокол Fibre Channel: угрозы Rogue Switch Нарушение стабильности сети Результат: Незапланированный простой, нестабильность сети Нарушение безопасности данных Результат: Незапланированный Целостность управляющего простой, потеря данных протокола Снижение производительности приложений Результат: Незапланированный простой, низкая производительность В/ВPresentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 39/75
  39. 39. Протокол Fibre Channel:безопасность Fabric Protocol Security Очень важно защитить управляющие протоколы сети для обеспечения стабильности сети Отдел Отдел Первый шаг – Cisco RBAC для безопасности ‗A‘ ‗B‘ доступа к настройке управляющих протоколов VSAN Port-security для защиты ISL портов Trunk 1 7 2 8 5 5 6 6 FC-SP для аутентификации switch-to-switch Cisco MDS 9222i следующий критичный шаг для блокировки Port Channel вредоносных ISL для HA и производительност 3 4 Директор Настройка plug-n-play протокола сети удобна — и 3 3 4 4 Cisco MDS однако статическая настройка более безопасна VSAN Trunks Статический управляющий коммутатор по оптическим сетям Статические domain ID DWDM / CWDM RCF-reject защищает от Статические FCIDs перенастройки сети *необязательно, но рекомендуется* Статический управляющий Большая польза для сред HP-UX и AIX коммутатор для всех VSAN Статический domainID RCF-reject, особенно для соединений на большие для всех VSAN расстояния защищает от RCF 1 1 2 2 Tape VSAN RSCN-suppression где необходимо VSAN для разделения и управления отдельными сетями и увеличения устойчивости сетейPresentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 40/75
  40. 40. Безопасность уровня доступа:Режим порта Режим порта—разрешает edge портам быть только F_Port или FL_Port; т.е не ISL/EISL Cisco MDS 9000 поддерживает режим Fx_Port RBAC позволяет ‘E_Port’ ‘Auto’ ограничить пользователей, Любой режим которые могут менять режим ‘Fx_Port’ ‘F_Port’ портов Только F,FL Только F ‘E_Port’ или ‘Fx_Port’ ‘Auto’ Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 41/75
  41. 41. Безопасность уровня доступа:Port Security Port Security — Разрешает доступ в сеть в зависимости от атрибутов устройства Используется для контроля подключения к коммутатору— неудача приводит к ошибке входа на уровне соединения Предотвращает подделку S_ID в фрейме FC Поддерживает безопасность device-to-switch и switch-to-switch Использует многочисленные атрибуты для конфигурации pWWN—port WWN подключенного устройства nWWN—node WWN подключенного устройтва fWWN—fabric WWN порта коммутатора sWWN—WWN коммутатора Port_ID—идентификатор порта коммутатора (fc1/2) Режим Auto-learning упрощает начальную настройку Fabric Binding — Разрешает подключение к сети только коммутаторов, указанных в списке разрешенных Проверяются sWWN и Domain_ID при подключении коммутатора и активации новой базы fabric bindingPresentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 42/75
  42. 42. Безопасность уровня доступа: группы и политики S1 Port Security fWWN-2 fWWN-1 Создаются ‗группы‘ и активируется как Port_ID-2 Port_ID-1 ‗набор групп‘ для обеспечения политики pWWN-D1_1 Политика______ Группа__________nWWN-H1 Security Group – S1 1 Хост H1 на S1 (любой порт) pWWN-H1_1 или nWWN-1 sWWN-S1 fWWN-5 H1 Port_ID-5 D1 2 Хост H1 на S1 порт 2 Security Group – S1 pWWN-H1_1 или nWWN-H1FC Port_ID-2 или fWWN-2FC pWWN-H1_1 fWWN-6 3 Хост H1 HBA-1 на S1 Security Group – S1 Port_ID-6 порт 2 pWWN-H1_1 Port_ID-2 или fWWN-2pWWN-H1_2 pWWN-D1_2 4 Хост H1, Диск D1 на Security Group – S1 S1 (любой порт) pWWN-H1_1 или nWWN-H1 fWWN-4 nWWN-D1 pWWN-D1_1 или nWWN-D1 fWWN-3 Port_ID-4 Port_ID-3 5 S2 на S1 ISL Security Group – S1 (fabric binding) sWWN-2 S2 6 S2 на S1 порт 5 ISL Security Group – S1 sWWN-S2 (fabric binding) sWWN-2 Port_ID-5 или fWWN-5 Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 43/75
  43. 43. Безопасность уровня доступа: Виртуальные SAN (VSAN)  Виртуальные SAN (VSAN) помогают достичь более высокую безопасность и стабильность в сетях FC, обеспечивая изоляцию устройств, подключенных к одной физической сети  VSAN можно использовать для создания множества логических Сетей Хранения на единой физической инфраструктуре Отдел• VSAN обеспечивает: ‗A‘ Сеть с VSAN Изоляцию трафика Общее хранилище Строгая изоляция между VSAN используя разделение сети и тегирование фреймов Сервисы сети в VSAN Независимые сервисы сети, включая сервер имен, зонирования, FSPF и Отдел менеджер домена в каждой VSAN ‗B‘ Отказ одного из этих сервисов в одной VSAN VSAN не влияет на другие VSAN Trunk Общую Топология Множество VSAN могут совместно использовать одну физическую топологию• ANSI T11 FC-FS-2 Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 44/75
  44. 44. Аутентификация в SAN Аутентификация устройств по протоколам Fibre Channel Authentication Protocol (FCAP) или Fibre Channel Password Authentication Protocol (FCPAP) Аутентификация портов коммутатора по протоколу Switch Link Authentication Protocol (SLAP) Для блокирования «чужих» устройств Набор протоколов Fiber Channel – Security Protocol (FC- SP) для аутентификации, обмена ключами, шифрования между устройствами Fibre Channel Адаптированные к FC протоколы ESP и Diffie-Hellman (DH- CHAP) для решения задач, аналогичных FC-SP RFC3723 – адаптация IPSec и IKE к сетям Fibre Channel и SCSI (iSCSI, iFCP, FCIP) Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 45/75
  45. 45. Безопасность уровня доступа:FC Security Protocol (FC-SP) DH-CHAP Аутентификация устройств используя FC-SP обеспечивает более сильные методы идентификации устройств WWN легко подделать ANSI T11.3 FC-SP—Рабочая группа по Протоколам Безопасности Поддерживается несколько протоколов, включая DH- CHAP и FCAP Switch-to-switch аутентификация FC-SP используя DH-CHAP поддерживается начиная с SANOS v1.3 Device-to-switch аутентификация с помощью производителей HBA используя DH-CHAP начиная с SANOS v1.3 DH-CHAP обеспечивает механизм аутентификацииPresentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 46/75
  46. 46. Безопасность уровня доступа: FC Security Protocol (FC-SP) DH-CHAP Сеть Управления HBA с поддержкой DH-CHAP RAD (Emulex, Qlogic) Сервер RADIUS Новый сервер в сети для аутентификаци и Out-of-band управление пользователей Новый коммутатор TAC+ в сетиСервер TACACS+ для аутентификации пользователей DH-CHAP DH-CHAPRADIUS и/или TACACS+ FCIPсервера могут содержать Сетьимена пользователей ипароли DH-CHAP для Новый коммутатор вцентрализованной сети по FCIPаутентификации Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 47/75
  47. 47. IP Storage Security:SCSI-over-IP (iSCSI) iSCSI использует in-band аутентификацию Использует CHAP IESG рекомендует использовать туннели IPSec, где требуются безопасность сообщений, аутентификация источника, целостность, защита от повторов iSCSI может использовать множество функций безопасности, унаследованных от Ethernet и IP Ethernet Access Control List (ACL) ↔ FC зоны Ethernet VLAN ↔ FC VSAN Ethernet 802.1x port security ↔ FC port security iSCSI аутентификация ↔ FC DH-CHAP аутентификация iSCSI обычно предлагает возможности LUN mapping/masking как часть функций шлюза iSCSI также может использовать функции безопасности сети FC, отображая инициаторы iSCSI (IQN) в FC WWNPresentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 48/75
  48. 48. Безопасность IP SAN:FC-over-IP (FCIP) FCIP позволяет соединить острова SAN через сети IP Стандарт FCIP не обеспечивает никаких in-band механизмов безопасности Аутентификация источника сообщений, целостность, защита от повторов, обеспечиваются независимыми туннелями IPsec FCIP туннель = виртуальный ISL — может использовать существующие механизмы безопасности сети FC FC Port Security FC-SP DH-CHAP switch-to-switch аутентификацияPresentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 49/75
  49. 49. Безопасность IP SAN IP ACLs FCIP Сервер RADIUS 802.1X Auth. Туннели RAD для централизации Ethernet VLANs по сети FC-SP аккаунтов iSCSI IPSEC DH-CHAP Аутентификация для туннелей Cisco Catalyst 6500 Multilayer LAN Switches FCIP pWWN1 iQN1 iSCSI Login iQN2 отображается на iSCSI имена назначенные pWWN и определены на регистрирует iQN используя CHAP iSCSI регистрируется в сети клиенте iSCSI iSCSI iQN1 = аутентификацию pWWN1/nWWN1Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 50/75
  50. 50. Cisco Storage Media Encryption (SME) Сервер  Шифрование данных на носителях Приложений Шифрование AES-256 Name: XYZ Интегрированный прозрачный сервис сети SSN: 1234567890 Amount: $123,456 Status: Gold Key Management  Поддержка систем хранения разных Center IP производителей Шифрование  Сжатие данных Name: XYZ @!$%!%!%!%%^&  Безопасное управление ключами SSN: 1234567890 *&^%$#&%$#$%*!^ Amount: $123,456 @*%$*^^^^%$@*) Status: Gold %#*@(*$%%%%#@  Восстановление вынесенных данных Ленточная библиотека Не забывайте про вопросы легитимности шифрования!Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 51/75
  51. 51. Рекомендации: доступ к SAN Использовать зонирование для изоляции Use FCID to Soft zoning gain access По портам или WWN, на аппаратном уровне Зоны read-only для систем хранения read-only Зонирование LUN как дополнительная мера Occupy the Add port- Политику default-zone установить в ‗deny‘ port to gain based zoning access Настраивать зоны на 1 или 2 коммутаторах RBAC–роль ‗permit‘ на этих коммутатотах RBAC–роль ‗deny‘ на других коммутаторах Spoof WWN Add WWN- Или использовать RADIUS / TACACS+ для to gain based zoning назначения ролей на конкретных коммутаторах access Использовать зонирование WWN для удобства Spoof WWN and occupy Add port- Использовать port-security для расширенной port to gain security безопасности access Port-security привязывает WWN к порту DH-CHAP добавляет аутентификацию Need full Add auth to gain DH-CHAP access Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 52/75
  52. 52. Рекомендации: управление SAN Использовать RBAC для назначения достаточных привилегий администраторам SAN Отдать некоторые функции меньшему числу пользователей с ролью ‗super-admin‘ Определение VSAN, обновление Firmware, назначение ролей, параметры RADIUS и TACACS+, SSH и т.д. Использовать RADIUS или TACACS+ для централизованного управления учетными записями Обеспечивает консистентное и своевременное удаление пользователей (если необходимо) Использование аккаунтинга RADIUS для аудита конфигурирования Использовать только безопасные протоколы—остальные отключить SSH, SFTP, SCP, SNMPV3, SSL для поддержки SMI-S Отключить TELNET, FTP, TFTP, SNMPV1,V2 Включить NTP на всех коммутаторах для единых временных меток событий Журналировать и архивировать все Включить централизованный SYSLOG Регулярно копировать конфигурации MDS 9000 (например, используя CiscoWorks RME) Включить © 2009 Cisco Systems, Inc. All rights reserved.Presentation_ID функцию Cisco MDS 9000 ―Call Confidential для оповещения об аномалиях Cisco Home‖ 53/75
  53. 53. Безопасность NexusPresentation_ID © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Public 54
  54. 54. Место Nexus в современном ЦОД Internet Data Center Core VDC Data Center POD Nexus 7018 Nexus 7018 vPC vPC SERVICES vPC vPC vPC vPC Nexus Nexus Catalyst 5020 5020 6500 Nexus Nexus 5010 5010 Nexus Nexus 2148T 2148T ASA ACE IPS Zone 10Gig Server Rack ? ? ?Zone Services Block 1Gig Server RackPresentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 55/75
  55. 55. Арсенал ИБ коммутаторов Catalyst с IOS/CatOS или Nexus с NX-OS  Базовая безопасность Списки контроля доступа Cisco Express Forwarding Control-plane Rate Limiting Scavenger-Class Queue Port Security Broadcast Suppression BPDU-Guard/Root-Guard и т.д.  Расширенная безопасность МСЭ, IPS, IPSec VPN, балансировка нагрузки и т.д. (пока только для Catalyst 6500)February 2003, v1 Presentation_ID © 2003, Cisco Systems, Inc. All rightsAll rights reserved. © 2009 Cisco Systems, Inc. reserved. Cisco Confidential 56 56/75
  56. 56. Контексты с помощью VDC Ключевая VDC 1 функция Layer 2 Protocols Layer 3 Protocols VLAN UDLD OSPF GLBP PVLAN CDP BGP HSRP STP 802.1X EIGRP IGMP LACP CTS PIM SNMP … … VDCs VDC 2 Layer 2 Protocols Layer 3 Protocols VLAN UDLD OSPF GLBP PVLAN CDP BGP HSRP STP 802.1X EIGRP IGMP LACP CTS PIM SNMP … … Nexus 7000 VDC – Virtual Device Context  Гибкое разделение аппаратных и программных ресурсов между контекстами  Полное разделение data plane и control plane  Полная изоляция программных сбоев  Надежное разделение контекстов управленияPresentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 57/75
  57. 57. Опции внедрения функций ИБ Уровень распределения  Функции безопасности вынесены на уровень распределения  Средства защиты могут фильтровать трафик между VDC Core FW Context1 VDC 1 IPS  Routed или Bridge Distribution  IPS inline или passive Server  Single или Multiple LBServices Contexts Access FW Context2 VDC 2  Failover на аггрегирующих коммутаторах требует failover на Учтите: средствах защиты  Поддержка EtherChannel требуется на средствах защиты для Presentation_ID интеграции с vPC © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 58/75
  58. 58. Опции внедрения функций ИБ Блок сервисов  Масштабируемое централизованное внедрение и управление средствами Core защиты  Позволяет эффективно использовать все функции виртуализации: Services Distribution VDC, vPC, VSSFW  Failover на коммутаторе распределенияLB не требует failover средств защитыIPS  Гибкие модули внедрения (модули или устройства) Access  Могут быть использованы существующие коммутаторы Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 59/75
  59. 59. Безопасность виртуализацииPresentation_ID © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Public 60
  60. 60. X86 сервера сегодня Switch Switch Switch Server Server Server Server Server ServerPresentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 61/75
  61. 61. X86 виртуализация сегодня Switch Hypervisor Hypervisor Soft Soft Switch Switch Virtual Virtual Virtual Virtual Virtual VirtualMachine Machine Machine Machine Machine MachinePresentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 62/75
  62. 62. Проблемы виртуализации Ошибки в ​настройке Смешанный режим Server Network Team Security Физический сервер Team Team Sensitive Non-Sensitive Видимость Сегментация Физический серверPresentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 63/75

×