Защита виртуализированных и облачных сред.

Cisco Expo
2012
Безопасность
виртуализации и
облачных
вычислений
Владимир Илибман
Cisco Systems

© 2011 Cisco and/or its affiliates. All rights reserved. 1

1.  Особенности безопасности виртуальных сред
2.  Безопасность сетевой виртуализации
3.  Виртуализация сетей хранения данных
4.  Безопасность виртуализации вычислений
5.  Внедрение политик и сегментация для виртуальных
машин
6.  Сервисы безопасности для виртуальной среды
7.  Безопасность облачных сервисов


Виртуальные
ГДЕ
ВЫ Внутренние приватные
Традиционный Виртуальный ? Виртуальные приватные облака Гибридные
ЦОД ЦОД (VDC) десктопы облака (VPC) облака

Консолидация Виртуализация Стандартизация Автоматизация
операций сервисов

Виртуализация
Облака


Гибкость
Эффективность
Безопасность Управляемость
Стоимость владения

Риски безопасности виртуализации связаны с
высокой консолидацией разнотипных данных,
вычислительных и сетевых ресурсов в единой
физической системе.

Изоляция и Риски эксплуатации
сегментация Server
Физический сервер Network Team Security
Team Team

Sensitive Non-Sensitive

Как внедрять политику? Отсутствие
наблюдаемости
Физический сервер


Зоны виртуализации
Виртуальн.& Агрегация&и& IPA&
Сервисы& VM&
доступ&
SAN& Вычисления& Доступ&
сервисы& Ядро& Граница&
магистраль&

App
App
OS

Virtual&Device&
App
OS

Contexts&
OS

Zones,& Virtual&
Firewall& Device& Интернет&
App
App
OS
vSANs& Contexts&
App

OS
OS
Contexts&
App
App

OS
VRFs&
App
OS
OS

IPANGN&
Service&
Profiles&
Port&Profiles&
Virtual&Machine& &&VNALink&
Opemizaeon&

Партнеры&
Port&Profiles&
&&VNALink&
App
Fabric&Extension&
App
OS
App
OS
OS

App
App
OS
App
OS
OS


Разделение Виртуализация Объединение
устройства подключения устройств

Si
Si Si

VSS
VLANs
L3 VPNs – MPLS VPNs, GRE, VRF-Lite, Stackwise
VRFs MPLS services (L2/L3) over GRE Virtual Port Channel
VDC (Virtual Device L2 VPNs - AToM, Unified I/O, VLAN trunks (vPC)
Context) Evolving – TRILL, 802.1ah, 802.1af HSRP/GLBP


VDC 1
Ключевая
Layer 2 Protocols Layer 3 Protocols
функция
VLAN UDLD OSPF GLBP
PVLAN CDP BGP HSRP
STP 802.1X EIGRP IGMP
LACP CTS PIM SNMP
… …

VDCs
VDC 2
Layer 2 Protocols Layer 3 Protocols
VLAN UDLD OSPF GLBP
PVLAN CDP BGP HSRP
STP 802.1X EIGRP IGMP
Nexus 7000 LACP CTS PIM SNMP
… …

Nexus 7000 VDC – Virtual Device Context
!  Разделение data plane и control plane
!  Надежное разделение контекстов управления (management plane)
!  Гибкое разделение аппаратных и программных ресурсов между
контекстами – портов, L2/L3 стеков, VLAN, VRFs, таблиц маршрутизации
!  Контроль выделяемых под контекст ресурсов
!  Изоляция процессов и программных сбоев


Virtual Device Contexts обеспечивает виртуализацию на уровне устройства,
запуская множество виртуальных копий устройства на физическом коммутаторе

L2 Protocols L3 Protocols L2 Protocols L3 Protocols

VLAN Mgr UDLD OSPF GLBP VLAN Mgr UDLD OSPF GLBP
VLAN Mgr UDLD BGP HSRP VLAN Mgr UDLD BGP HSRP
LACP CTS EIGRP VRRP
… LACP CTS EIGRP VRRP
IGMP 802.1x PIM SNMP IGMP 802.1x PIM SNMP

L2 Table RIB L2 Table RIB

Protocol Stack (IPv4/IPv6/L2) Protocol Stack (IPv4/IPv6/L2)
VDC1 VDCn

Infrastructure
Linux Kernel
Физический коммутатор

Управление VDC – модель RBAC
Network Administrator имеет доступ
к глобальной конфигурации, может
создавать/удалять VDC’s и
выделять ресурсы для VDC’s…

VDC Administrator может
изменить любую конфигурацию
ресурсов, выделяемых на VDC,
а также может создавать
пользовательские роли,
относящиеся к этому VDC с
подмножеством
конфигурационных команды ...

VDC User Role ограниченная роль в
конкретном VDC, которая может
управлять конфигурацией как это
определено VDC Администратором…


•  Разделение VDC индустриально сертифицировано .
•  NSS Labs сертифицировал использование Cisco
Nexus 7000 VDC функционал для Payment Card
Industry (PCI) среды в 2010 году.
http://www.nsslabs.com/research/network-security/virtualization/cisco-
nexus-7000-q2-2010.html
•  Federal Information Processing Standards (FIP-140-2)
сертификация была получена в 2011году
http://csrc.nist.gov/groups/STM/cmvp/documents/140-1/140sp/
140sp1533.pdf
•  Cisco Nexus 7000 получил сертификацию по
требованиям Common Criteria с уровнем сооттвествия
EAL4 в 2011 году.
http://www.niap-ccevs.org/cc-scheme/st/vid10349/


Виртуализация сетей хранения данных


D1 D2 Идентификаторы
D3 D4
устройств и
Zone
D3D4 портов сети
хранения (WWN*)
объединяются в
изолированную
группу.

Zone
H2_D1

Zone T1
H1_D1

Zone
H5_T1
H1 H2 H3 H4 H5
FC FC FC
FC FC
*WWN является аналогом
Zone MAC-адресов в Ethernet
H3H4_D2D3

•  Виртуальные SAN (VSAN) помогают достичь более высокой
безопасности и стабильности в сетях FC, обеспечивая изоляцию
устройств, подключенных к одной физической сети
•  VSAN (ANSI T11 FC-FS-2 ) можно использовать для создания множества
логических Сетей Хранения на единой физической инфраструктуре
Отдел
•  VSAN обеспечивает: ‘A’ Сеть с VSAN
"  Изоляцию трафика

Общее хранилище
Строгая изоляция между
VSAN используя
разделение сети и
тегирование фреймов)
Отдел
"  Изоляцию сервисов сети ‘B’
Независимые сервисы сети, VSAN
включая сервер имен, Trunk
зонирования, FSPF и
менеджер домена в каждой
VSAN.


•  Внедрение политик информационной безопасности
"  Проблемы переноса политики с физических серверов на
виртуальные
Web
Server
App
Server
DB
Server
"  vMotion и аналоги могут нарушать политику
•  Сегментация и изоляция
Hypervisor

"  Потеря изоляции VM из-за ошибок конфигурации или атак
VLANs

Virtual Contexts
"  Уязвимости гипервизора и систем управления
•  Отсутствие наблюдаемости
"  Отсутствие контроля над трафиком между VMs
•  Риски эксплуатации
"  Разделение полномочий админов серверов, сети и безоп.
"  Часто администраторы имеют завышенные полномочия
"  Несвоевременная установка обновления на VMs и
гипервизор
"  “Забытые” виртуальные машины


VMSA-2009-0006 Експлойт Blue Pill разработанный
!Уязвимость в ESX 3.5, Workstation, etc. Йоанной Рутковской для
!Исполнение кода из VM Guest на хосте процессоров AMD переносил
!Переполнение буфера в графическом хостовую ОС в виртуальную
драйвере среду (2006)

Классические уязвимости среды виртуализации

•  Уязвимость в реализации инструкции
SYSRET всех выпущенных x86-64
процессоров Intel позволяет выходить
за пределы виртуальной машины -
http://www.xakep.ru/post/58862/
19.06.2012
http://www.xakep.ru/post/58862/
•  Как взломать Vmware vCenter за 60
секунда http://2012.confidence.org.pl/
materials - Май 2012
•  VASTO (Virtualization ASsessment
Toolkit) – Первый модуль поиска
уязвимостей виртуализации для
Metasploit доступен для широкой
публики http://vasto.nibblesec.org/


Обеспечение согласованной политики в пределах
физических и виртуальных границ сети

1. Сегментация на уровне 3. Сегментация на
фабрики физических устройствах
UCS Fabric Interconnect
безопасности
ASA 5585-X, IPS

4. Сегментация на
2. Сетевая сегментация
виртуальных
на коммутаторе
устройствах безопасности
Nexus 1000V или физический
коммутатор ЦОД Cisco Virtual Security Gateway,
Cisco ASA 1000V


1
Port Profiles
Definition

Cisco® UCS с сетевой картой VIC WEB Apps

унифицирует виртуальные и физические сети
HR

DB

•  Cisco UCS VIC (Virtual Interface Card) Compliance

поддерживает VM-FEX (VN-Link) VLAN Web
Physical Network

•  С VM-FEX, каждой виртуальной VLAN HR
VLAN DB
машине (VM) предоставляется VLAN Comp
выделенный порт коммутатора
доступа в ЦОД (Nexus 5500 или
Fabric Interconnect)
•  Весь трафик VM отсылается
непосредственно на порт
коммутатора

Hypervisor

Hypervisor
vEth

vNIC
VM VM VM VM VM VM VM VM


2

Server 1 Server 2 Server 3
VM VM VM VM VM VM VM VM VM VM VM VM
#1 #2 #3 #4 #5 #6 #7 #8 #9 #10 #11 #12

VEM
VMware vSwitch VEM
VMware vSwitch
Nexus 1000V! VMware vSwitch
VEM
VMW ESX VMW ESX VMW ESX

Nexus 1000V
•  До 64 виртуальных карты Virtual
Ethernet Module (VEM)
Virtual Center
•  2 виртуальных супервизора
Virtual Supervisor Module (VSM) Nexus 1000V
•  Политики безопасности
•  Технология vPath для
подключения виртуальных
межсетевых экранов VSM

Поддержка гипервизоров : vSphere ; анонс для Win8/Hyper-V/KVM/Xen

!  L2 Switching, 802.1Q Tagging, VLAN Segmentation, Rate Limiting (TX)
Коммутация !  IGMP Snooping, QoS Marking (COS & DSCP)

!  Policy Mobility, Private VLANs w/ local PVLAN Enforcement

Безопасность ! 

! 
Access Control Lists (L2–4 w/ Redirect), Port Security
Dynamic ARP inspection, IP Source Guard, DHCP Snooping

!  Automated vSwitch Config, Port Profiles, Virtual Center Integration
Внедрение !  Optimized NIC Teaming with Virtual Port Channel – Host Mode

!  VMotion Tracking, ERSPAN, NetFlow v.9 w/ NDE, CDP v.2
Наблюдаемость !  VM-Level Interface Statistics

!  Virtual Center VM Provisioning, Cisco Network Provisioning, CiscoWorks
Управление !  Cisco CLI, Radius, TACACs, Syslog, SNMP (v.1, 2, 3)


•  Private VLAN изоляция
хостов из одной
подсети на L2
•  Поддержка
традиционных Cisco
PVLAN: порты Isolated
и Community Promiscuous&
Port&

•  Физическая
инфраструктура
понимает PVLAN

Isolated&& Community&
VLAN& & &&
VLAN&
&

10.10.10.1&
10.10.20.20&
•  ACL на портах
•  Ограничение
трафика между
VM
•  Настройки как
между
физическими Promiscuous&
серверами Port&

•  Использовать dcvsm(config)# ip access-list deny-vm-to-vm-traffic
dcvsm(config-acl)# deny ip host 10.10.10.10 host
вместе с VLANs, 10.10.20.20
PVLAN dcvsm(config-acl)# permit ip any any

10.10.10.10& 10.10.20.20& 28
© 2011 Cisco and/or its affiliates. All rights reserved.

Aggregation
ID:2% ERSPAN'DST'
Intrusion&Deteceon&

NetFlow
ID:1%

NetFlow&Analyzer& SPAN
Zone B Zone C
Для%снятия%трафика%используем%коммутатор%
Nexus%1000V%с%поддержкой%%
•  NetFlow&v9& VDC VDC
vApp
•  ERSPAN/SPAN&
Используем%для%детектирования%%
•  атак&между&серверами& vApp
•  нецелевого&использования&ресурсов&
•  нарушения&политики&безопасности&
Нужно%быть%готовым%к%большому%объему% vPath
трафика% Nexus 1000V

& vSphere
&

Перенаправляем трафик Применяем сетевые
3 VM через VLANs на 4 сервисы на уровне
физические устройства гипервизора

Web App Database Web App Database
Server Server Server Server Server Server

Hypervisor Hypervisor

VLANs

Virtual Contexts VSN
VSN

Традиционные сервисные узлы Виртуальные сервисные узлы


3

Модули межсетевых экранов ASA

Web App Database
Server Server Server

Hypervisor
Устройства ASA 5585

VLANs

Virtual Contexts

Устройства защиты от атак Cisco IPS

Traditional Service Nodes


Виртуальные контексты на семействе ASA
!  до 256 виртуальных контекстов на ASA 5585 и ASA FW_1 FW_2 FW_3
SM (до 1000 контекстов на кластер с ASA 9.0)
!  до 1024 VLAN, которые могут разделяться между
контекстами (до 4000 VLAN на кластер с ASA 9.0)
!  контексты в режиме L2 или L3
!  контекст – это полнофункциональный файервол
!  контроль ресурсов для контекстов (MAC-адреса,
соединения, инспекции, трансляции…)
До 32 интерфейсов в L2-контекстах
!  4 интерфейса в бридж-группе. 8 бридж-групп на
виртуальный контекст L2 L3 L2


•  Для применения политик Зона 1 Зона 2
используются зоны
•  Политики безопасности
применяются на входе/выходе Заворачиваем
в зону трафик VM на
виртуальный
контекст
•  Для привязки к физической
инфраструктуре
используються:
•  Технологии VLAN//VRF на
коммутаторах vPath
Virtual Switch Сегментированный
vPath
Virtual Switch
по зонам пул
•  Виртуальные контексты на vSphere
блейд-ресурсов vSphere
ASA


4

Virtual Security Gateway

Web App Database Сегментация VMs на
Server Server Server
основе зон внутри
Nexus 1000V
виртуального ЦОД

Hypervisor
ASA 1000V

VSN
VSN
Внедрение на границе
виртуального ЦОД
Virtual Service Nodes


Orchestration / Cloud Portals

Virtual Network Management Center Расширение операционного
управления на виртуальную среду
VSG ASA 1000V
Расширение сетевых сервисов
на виртуальную среду

Расширение сети на
виртуальную среду

Nexus 1000V vPath


Virtual Security Gateway: Зонный межсетевой экран
Контекстная
безопасность Правила с атрибутами VM
Virtual Security
Gateway Контроль на
(VSG) основе зон Создание зон безопасности

Динамическая
политика Политика следует за vMotion

Масштабируем. Отказоустойчивость, VSG
архитектура обслуживает несколько хостов

Непрерывные Команда безопасности
Virtual Network операции управляет политиками
Management
Управление на Централизованное управление,
Center (VNMC) основе политик multi-tenancy

XML API, профили
Автоматизация


Построен на технологиях IPSec VPN (Site-to-Site)
аппаратной Cisco ASA
NAT

Совместимость VSG DHCP для VM
с помощью service chaining
Шлюз по умолчанию для VM

Поддержка Virtual Extensible Статическая
LAN (VXLAN) до 16M сегментов маршрутизация

Инспекция с учетом состояния
Многопользовательское
управление VNMC (Multi Tenant) IP Audit


Интеллектуальный отвод трафика с vPath
VM VM

VM VM VM VM VM VM VM

VM VM VM VM VM VM VM VM VM

5 4 VSG
Cisco Nexus 1000V ®
vPath
Distributed Virtual Switch

3

2
1 Cisco ASA
®

1000V

•  Cisco® ASA 1000V поддерживает политики на основе сетевых атрибутов*
•  Cisco VSG поддерживает политики на основе сетевых атрибутов и атрибутов VM
Rule

Source Destination Action
Condition Condition
Condition

Operator Operator
Attribute Type VM Attributes VM Attributes Network Attributes eq Not-in-range
Network Instance Name Port Profile Name IP Address neq Prefix
VM Guest OS full name Cluster Name Network Port gt member
Custom Zone Name Hypervisor Name lt Not-member
Parent App Name range Contains

© 2011 Cisco and/or its affiliates. All rights reserved. поддержка атрибутов VM для ASA в роадмапе 40

Серверная Команда по ИБ
команда

XML API Manager /
vCenter VNMC Orchestrator
VM атрибуты
Tools
vCenter VNMC

Security
Server
Admin
Admin

Nexus 1 KV
•  Управление
многопользовательскими
Cisco
Nexus ®
ЦОД (multitenant)
1000V
Network
•  Динамическое управление
Admin на основе политик
Сетевая команда
•  Гибкость с помощью
внешнего XML API

VM VM VM VM VM VM VM VM

Nexus Nexus
1000V 1000V
VEM VEM
Nexus 1000V VMware vSphere Nexus 1000V Windows 8 Hyper-V
VSM VSM

VMware vCenter SCVMM

"  Решение адаптируется под разных вендоров гипервизоров
" Унифицированное управление безопасностью через единую консоль VMDC

* Available Q4CY12 on Cisco Nexus 1000V; roadmap item for Cisco® ASA 1000V

Пограничное Удаленное рабочее место
устройство клиента

IPSEC
IPSEC
Virtual ASA
Virtual ASA

Zone B Zone C
•  Глубокая инспекция
Zone A входящего/исходящего в Tenant B
виртуальный ЦОД трафика VDC VDC

на ASA 1000V vApp

•  NAT и DHCP на ASA 1000V
VSG
VSG
•  Шифрование трафика VSG
между облачным ЦОД и vApp
сетями клиентов на ASA
1000V
vPath •  Микросегментация на
Nexus 1000V vPath
Cisco VSG Nexus 1000V
vSphere
vSphere

Физическое устройство Виртуальное
Устройства и модули защиты Виртуальные и облачные МЭ
Увеличение виртуальной безопасности
Cisco ASA для ЦОД

Cisco ASA Cisco Catalyst® 6500 Cisco VSG Cisco ASA 1000V
5585-X Series ASA Services Cloud Firewall
Module
•  Высочайшая производительность •  МСЭ для защиты виртуальных
•  Политики для защиты периметра серверов, приложений и tenant
ЦОД •  Автоматизация настройки политик
•  Построение политик по атрибутам IP •  Построение политик на основе
атрибутов VM и атрибутов сети
•  Необходимость “отвода” трафика с
•  Фильтрация внутри серверной фермы
помощью VLAN и VRF


Устройство клиента Рабочее место

IPSEC
ASA 5585
ASA 5585

Zone B Zone C
•  Глубокая инспекция
Zone A входящего/исходящего в Tenant B Virtual
ASA
Virtual виртуальный ЦОД трафика VDC VDC
ASA
на ASA 1000V vApp

•  NAT и DHCP на ASA 1000V
VSG
VSG
•  Шифрование трафика VSG
между облачным ЦОД и vApp
сетями клиентов на ASA
1000V
vPath •  Микросегментация на
Nexus 1000V vPath
Cisco VSG Nexus 1000V
vSphere
vSphere

Физический Виртуальный Облачный
ЦОД ЦОД ЦОД

•  Одно приложение на •  Множество приложений •  Множество пользователей
сервере на сервере на сервере
•  Ручная конфигурация •  Динамич. конфигурация •  “Чужая” инфраструктура
политик

Гипервизор
VDC-1 VDC-2

Согласованные : Политики, Функции безопасности, Управление

Коммутация Nexus 7K/5K/3K/2K Nexus 1000V, VM-FEX

Безопасность ASA 5585, ASA SM VSG*, ASA 1000V**

Вычисления UCS for Bare Metal UCS for Virtualized Workloads

* Virtual only, ** Announced

!  “Security Guidance for Critical Areas of Focus in Cloud Computing”
Whitepaper: комплексное руководство, которое говорит как защищать
облачные архитектуры, как управлять Облаками и как безопасно
использовать облачные среды:
http://www.cloudsecurityalliance.org/csaguide.pdf
!  Также разработан модель угроз для облачных сред “Top threats to Cloud
Computing” :
http://www.cloudsecurityalliance.org/topthreats/csathreats.v1.0.pdf
!  В состав корпоративных членов CSA входят:


Cloud Security Alliance: Руководство по
безопасности облачных вычислений
Архитектура облачных вычислений

Эксплуатация
Управление облаком
облачных сервисов
Governance & Enterprise Traditional Security
Risk Management
Data Center Operations
Legal & eDiscovery
Incident Response

Compliance and Audit Virtualization

Identity & Access Management
Data Life Cycle Management
Application Security
Portability & Interoperability Encryption & Key
Management


Управление Безопасность
безопасностью Ядро инфраструктуры
•  Наблюдаемость
•  Корреляция событий Агрегация Обеспечивает защиту
control и data planes от
•  Детектирование деградации сервиса,
аномалий с NetFlow утечки данных и
•  Автоматизация компрометации
Разделение трафика и
Сервисы AAA
AD CSM ACS Доступ
Сервиы
Сервисы
Детектирование и
Фильтрация на входе и предотвращение атак
выходе в ЦОД. ACLs, Port Security, VN Tag, Netflow, Мониторинг и аналтз
Виртуальные контексты ERSPAN, QoS, CoPP, DHCP snooping
для разных сервисов

Сеть хранения Вирт. UCS
Дополнительные доступ
файерволы для
отдельных сервисов
Безопасность Виртуальные МЭ Аутентификация
Балансировка маскирует данных, (VSG) доступа к порту,
сервера и приложения аутентификация и ASA 1000V * QoS
контроль доступа


•  Внедрение виртуализации и облачных сервисов
требует пересмотра оценки рисков в организации

•  Для эффективного обеспечения безопасности виртуальной
среды требуется объединение традиционных физических
устройств и виртуальных средств!!

•  Безопасно построенная виртуализированная и облачная
среда не уступает по уровню надежности и защищенности
традиционной системе

ВИРТУАЛИЗАЦИЯ

•  Cisco
Virtualization Security
http://www.cisco.com/en/US/netsol/ns1095/index.html
Design Guide: Security and Virtualization in the Data Center
http://www.cisco.com/en/US/partner/docs/solutions/Enterprise/Data_Center/DC_3_0/dc_sec_design.html
Cisco VMDC Unified Data Center for cloud or traditional environments.
http://www.cisco.com/go/vmdc

•  Vmware
Vmware Security Hardening Guide
http://www.vmware.com/resources/techresources/10198

•  Microsoft
Hyper-V Security Guide
technet.microsoft.com/en-us/library/dd569113.aspx

•  PCI DSS
https://www.pcisecuritystandards.org/documents/Virtualization_InfoSupp_v2.pdf

•  NIST - Guide to Security for Full Virtualization Technologies
http://csrc.nist.gov/publications/nistpubs/800-125/SP800-125-final.pdf

•  Cloud Security Alliance
https://cloudsecurityalliance.org/


Защита виртуализированных и облачных сред.

Защита виртуализированных и облачных сред.

Recommended

Recommended

More Related Content

What's hot

What's hot (20)

Similar to Защита виртуализированных и облачных сред.

Similar to Защита виртуализированных и облачных сред. (20)

More from Cisco Russia

More from Cisco Russia (20)

Защита виртуализированных и облачных сред.