More Related Content
Similar to Защита виртуализированных и облачных сред.
Similar to Защита виртуализированных и облачных сред. (20)
More from Cisco Russia (20)
Защита виртуализированных и облачных сред.
- 1. Cisco Expo
2012
Безопасность
виртуализации и
облачных
вычислений
Владимир Илибман
Cisco Systems
© 2011 Cisco and/or its affiliates. All rights reserved. 1
- 2. 1. Особенности безопасности виртуальных сред
2. Безопасность сетевой виртуализации
3. Виртуализация сетей хранения данных
4. Безопасность виртуализации вычислений
5. Внедрение политик и сегментация для виртуальных
машин
6. Сервисы безопасности для виртуальной среды
7. Безопасность облачных сервисов
© 2011 Cisco and/or its affiliates. All rights reserved. 2
- 3. Виртуальные
ГДЕ
ВЫ Внутренние приватные
Традиционный Виртуальный ? Виртуальные приватные облака Гибридные
ЦОД ЦОД (VDC) десктопы облака (VPC) облака
Консолидация Виртуализация Стандартизация Автоматизация
операций сервисов
Виртуализация
Облака
© 2011 Cisco and/or its affiliates. All rights reserved. 3
- 4. Presentation_ID © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Public 4
- 5. Гибкость
Эффективность
Безопасность Управляемость
Стоимость владения
Риски безопасности виртуализации связаны с
высокой консолидацией разнотипных данных,
вычислительных и сетевых ресурсов в единой
физической системе.
© 2011 Cisco and/or its affiliates. All rights reserved. 5
- 6. © 2011 Cisco and/or its affiliates. All rights reserved. 6
- 7. Изоляция и Риски эксплуатации
сегментация Server
Физический сервер Network Team Security
Team Team
Sensitive Non-Sensitive
Как внедрять политику? Отсутствие
наблюдаемости
Физический сервер
© 2011 Cisco and/or its affiliates. All rights reserved. 7
- 8. Зоны виртуализации
Виртуальн.& Агрегация&и& IPA&
Сервисы& VM&
доступ&
SAN& Вычисления& Доступ&
сервисы& Ядро& Граница&
магистраль&
App
App
OS
Virtual&Device&
App
OS
Contexts&
OS
Zones,& Virtual&
Firewall& Device& Интернет&
App
App
OS
vSANs& Contexts&
App
OS
OS
Contexts&
App
App
OS
VRFs&
App
OS
OS
IPANGN&
Service&
Profiles&
Port&Profiles&
Virtual&Machine& &&VNALink&
Opemizaeon&
Партнеры&
Port&Profiles&
&&VNALink&
App
Fabric&Extension&
App
OS
App
OS
OS
App
App
OS
App
OS
OS
© 2011 Cisco and/or its affiliates. All rights reserved. 8
- 9. Presentation_ID © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Public 9
- 10. Разделение Виртуализация Объединение
устройства подключения устройств
Si
Si Si
VSS
VLANs
L3 VPNs – MPLS VPNs, GRE, VRF-Lite, Stackwise
VRFs MPLS services (L2/L3) over GRE Virtual Port Channel
VDC (Virtual Device L2 VPNs - AToM, Unified I/O, VLAN trunks (vPC)
Context) Evolving – TRILL, 802.1ah, 802.1af HSRP/GLBP
© 2011 Cisco and/or its affiliates. All rights reserved. 10
- 11. VDC 1
Ключевая
Layer 2 Protocols Layer 3 Protocols
функция
VLAN UDLD OSPF GLBP
PVLAN CDP BGP HSRP
STP 802.1X EIGRP IGMP
LACP CTS PIM SNMP
… …
VDCs
VDC 2
Layer 2 Protocols Layer 3 Protocols
VLAN UDLD OSPF GLBP
PVLAN CDP BGP HSRP
STP 802.1X EIGRP IGMP
Nexus 7000 LACP CTS PIM SNMP
… …
Nexus 7000 VDC – Virtual Device Context
! Разделение data plane и control plane
! Надежное разделение контекстов управления (management plane)
! Гибкое разделение аппаратных и программных ресурсов между
контекстами – портов, L2/L3 стеков, VLAN, VRFs, таблиц маршрутизации
! Контроль выделяемых под контекст ресурсов
! Изоляция процессов и программных сбоев
© 2011 Cisco and/or its affiliates. All rights reserved. 11
- 12. Virtual Device Contexts обеспечивает виртуализацию на уровне устройства,
запуская множество виртуальных копий устройства на физическом коммутаторе
L2 Protocols L3 Protocols L2 Protocols L3 Protocols
VLAN Mgr UDLD OSPF GLBP VLAN Mgr UDLD OSPF GLBP
VLAN Mgr UDLD BGP HSRP VLAN Mgr UDLD BGP HSRP
LACP CTS EIGRP VRRP
… LACP CTS EIGRP VRRP
IGMP 802.1x PIM SNMP IGMP 802.1x PIM SNMP
L2 Table RIB L2 Table RIB
Protocol Stack (IPv4/IPv6/L2) Protocol Stack (IPv4/IPv6/L2)
VDC1 VDCn
Infrastructure
Linux Kernel
Физический коммутатор
© 2011 Cisco and/or its affiliates. All rights reserved. 12
- 13. Управление VDC – модель RBAC
Network Administrator имеет доступ
к глобальной конфигурации, может
создавать/удалять VDC’s и
выделять ресурсы для VDC’s…
VDC Administrator может
изменить любую конфигурацию
ресурсов, выделяемых на VDC,
а также может создавать
пользовательские роли,
относящиеся к этому VDC с
подмножеством
конфигурационных команды ...
VDC User Role ограниченная роль в
конкретном VDC, которая может
управлять конфигурацией как это
определено VDC Администратором…
© 2011 Cisco and/or its affiliates. All rights reserved. 13
- 14. • Разделение VDC индустриально сертифицировано .
• NSS Labs сертифицировал использование Cisco
Nexus 7000 VDC функционал для Payment Card
Industry (PCI) среды в 2010 году.
http://www.nsslabs.com/research/network-security/virtualization/cisco-
nexus-7000-q2-2010.html
• Federal Information Processing Standards (FIP-140-2)
сертификация была получена в 2011году
http://csrc.nist.gov/groups/STM/cmvp/documents/140-1/140sp/
140sp1533.pdf
• Cisco Nexus 7000 получил сертификацию по
требованиям Common Criteria с уровнем сооттвествия
EAL4 в 2011 году.
http://www.niap-ccevs.org/cc-scheme/st/vid10349/
© 2011 Cisco and/or its affiliates. All rights reserved. 14
- 16. D1 D2 Идентификаторы
D3 D4
устройств и
Zone
D3D4 портов сети
хранения (WWN*)
объединяются в
изолированную
группу.
Zone
H2_D1
Zone T1
H1_D1
Zone
H5_T1
H1 H2 H3 H4 H5
FC FC FC
FC FC
*WWN является аналогом
Zone MAC-адресов в Ethernet
H3H4_D2D3
© 2011 Cisco and/or its affiliates. All rights reserved. 16
- 17. • Виртуальные SAN (VSAN) помогают достичь более высокой
безопасности и стабильности в сетях FC, обеспечивая изоляцию
устройств, подключенных к одной физической сети
• VSAN (ANSI T11 FC-FS-2 ) можно использовать для создания множества
логических Сетей Хранения на единой физической инфраструктуре
Отдел
• VSAN обеспечивает: ‘A’ Сеть с VSAN
" Изоляцию трафика
Общее хранилище
Строгая изоляция между
VSAN используя
разделение сети и
тегирование фреймов)
Отдел
" Изоляцию сервисов сети ‘B’
Независимые сервисы сети, VSAN
включая сервер имен, Trunk
зонирования, FSPF и
менеджер домена в каждой
VSAN.
© 2011 Cisco and/or its affiliates. All rights reserved. 17
- 18. Presentation_ID © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Public 18
- 19. • Внедрение политик информационной безопасности
" Проблемы переноса политики с физических серверов на
виртуальные
Web
Server
App
Server
DB
Server
" vMotion и аналоги могут нарушать политику
• Сегментация и изоляция
Hypervisor
" Потеря изоляции VM из-за ошибок конфигурации или атак
VLANs
Virtual Contexts
" Уязвимости гипервизора и систем управления
• Отсутствие наблюдаемости
" Отсутствие контроля над трафиком между VMs
• Риски эксплуатации
" Разделение полномочий админов серверов, сети и безоп.
" Часто администраторы имеют завышенные полномочия
" Несвоевременная установка обновления на VMs и
гипервизор
" “Забытые” виртуальные машины
© 2011 Cisco and/or its affiliates. All rights reserved. 19
- 20. VMSA-2009-0006 Експлойт Blue Pill разработанный
!Уязвимость в ESX 3.5, Workstation, etc. Йоанной Рутковской для
!Исполнение кода из VM Guest на хосте процессоров AMD переносил
!Переполнение буфера в графическом хостовую ОС в виртуальную
драйвере среду (2006)
Классические уязвимости среды виртуализации
© 2011 Cisco and/or its affiliates. All rights reserved. 20
- 21. • Уязвимость в реализации инструкции
SYSRET всех выпущенных x86-64
процессоров Intel позволяет выходить
за пределы виртуальной машины -
http://www.xakep.ru/post/58862/
19.06.2012
http://www.xakep.ru/post/58862/
• Как взломать Vmware vCenter за 60
секунда http://2012.confidence.org.pl/
materials - Май 2012
• VASTO (Virtualization ASsessment
Toolkit) – Первый модуль поиска
уязвимостей виртуализации для
Metasploit доступен для широкой
публики http://vasto.nibblesec.org/
© 2011 Cisco and/or its affiliates. All rights reserved. 21
- 22. Presentation_ID © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Public 22
- 23. Обеспечение согласованной политики в пределах
физических и виртуальных границ сети
1. Сегментация на уровне 3. Сегментация на
фабрики физических устройствах
UCS Fabric Interconnect
безопасности
ASA 5585-X, IPS
4. Сегментация на
2. Сетевая сегментация
виртуальных
на коммутаторе
устройствах безопасности
Nexus 1000V или физический
коммутатор ЦОД Cisco Virtual Security Gateway,
Cisco ASA 1000V
© 2011 Cisco and/or its affiliates. All rights reserved. 23
- 24. 1
Port Profiles
Definition
Cisco® UCS с сетевой картой VIC WEB Apps
унифицирует виртуальные и физические сети
HR
DB
• Cisco UCS VIC (Virtual Interface Card) Compliance
поддерживает VM-FEX (VN-Link) VLAN Web
Physical Network
• С VM-FEX, каждой виртуальной VLAN HR
VLAN DB
машине (VM) предоставляется VLAN Comp
выделенный порт коммутатора
доступа в ЦОД (Nexus 5500 или
Fabric Interconnect)
• Весь трафик VM отсылается
непосредственно на порт
коммутатора
Hypervisor
Hypervisor
vEth
vNIC
VM VM VM VM VM VM VM VM
© 2011 Cisco and/or its affiliates. All rights reserved. 24
- 25. 2
Server 1 Server 2 Server 3
VM VM VM VM VM VM VM VM VM VM VM VM
#1 #2 #3 #4 #5 #6 #7 #8 #9 #10 #11 #12
VEM
VMware vSwitch VEM
VMware vSwitch
Nexus 1000V! VMware vSwitch
VEM
VMW ESX VMW ESX VMW ESX
Nexus 1000V
• До 64 виртуальных карты Virtual
Ethernet Module (VEM)
Virtual Center
• 2 виртуальных супервизора
Virtual Supervisor Module (VSM) Nexus 1000V
• Политики безопасности
• Технология vPath для
подключения виртуальных
межсетевых экранов VSM
Поддержка гипервизоров : vSphere ; анонс для Win8/Hyper-V/KVM/Xen
© 2011 Cisco and/or its affiliates. All rights reserved. 25
- 26. ! L2 Switching, 802.1Q Tagging, VLAN Segmentation, Rate Limiting (TX)
Коммутация ! IGMP Snooping, QoS Marking (COS & DSCP)
! Policy Mobility, Private VLANs w/ local PVLAN Enforcement
Безопасность !
!
Access Control Lists (L2–4 w/ Redirect), Port Security
Dynamic ARP inspection, IP Source Guard, DHCP Snooping
! Automated vSwitch Config, Port Profiles, Virtual Center Integration
Внедрение ! Optimized NIC Teaming with Virtual Port Channel – Host Mode
! VMotion Tracking, ERSPAN, NetFlow v.9 w/ NDE, CDP v.2
Наблюдаемость ! VM-Level Interface Statistics
! Virtual Center VM Provisioning, Cisco Network Provisioning, CiscoWorks
Управление ! Cisco CLI, Radius, TACACs, Syslog, SNMP (v.1, 2, 3)
© 2011 Cisco and/or its affiliates. All rights reserved. 26
- 27. • Private VLAN изоляция
хостов из одной
подсети на L2
• Поддержка
традиционных Cisco
PVLAN: порты Isolated
и Community Promiscuous&
Port&
• Физическая
инфраструктура
понимает PVLAN
Isolated&& Community&
VLAN& & &&
VLAN&
&
© 2011 Cisco and/or its affiliates. All rights reserved. 27
- 28. 10.10.10.1&
10.10.20.20&
• ACL на портах
• Ограничение
трафика между
VM
• Настройки как
между
физическими Promiscuous&
серверами Port&
• Использовать dcvsm(config)# ip access-list deny-vm-to-vm-traffic
dcvsm(config-acl)# deny ip host 10.10.10.10 host
вместе с VLANs, 10.10.20.20
PVLAN dcvsm(config-acl)# permit ip any any
10.10.10.10& 10.10.20.20& 28
© 2011 Cisco and/or its affiliates. All rights reserved.
- 29. Aggregation
ID:2% ERSPAN'DST'
Intrusion&Deteceon&
NetFlow
ID:1%
NetFlow&Analyzer& SPAN
Zone B Zone C
Для%снятия%трафика%используем%коммутатор%
Nexus%1000V%с%поддержкой%%
• NetFlow&v9& VDC VDC
vApp
• ERSPAN/SPAN&
Используем%для%детектирования%%
• атак&между&серверами& vApp
• нецелевого&использования&ресурсов&
• нарушения&политики&безопасности&
Нужно%быть%готовым%к%большому%объему% vPath
трафика% Nexus 1000V
& vSphere
&
© 2011 Cisco and/or its affiliates. All rights reserved. 29
- 30. Presentation_ID © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Public 30
- 31. Перенаправляем трафик Применяем сетевые
3 VM через VLANs на 4 сервисы на уровне
физические устройства гипервизора
Web App Database Web App Database
Server Server Server Server Server Server
Hypervisor Hypervisor
VLANs
Virtual Contexts VSN
VSN
Традиционные сервисные узлы Виртуальные сервисные узлы
© 2011 Cisco and/or its affiliates. All rights reserved. 31
- 32. 3
Модули межсетевых экранов ASA
Web App Database
Server Server Server
Hypervisor
Устройства ASA 5585
VLANs
Virtual Contexts
Устройства защиты от атак Cisco IPS
Traditional Service Nodes
© 2011 Cisco and/or its affiliates. All rights reserved. 32
- 33. Виртуальные контексты на семействе ASA
! до 256 виртуальных контекстов на ASA 5585 и ASA FW_1 FW_2 FW_3
SM (до 1000 контекстов на кластер с ASA 9.0)
! до 1024 VLAN, которые могут разделяться между
контекстами (до 4000 VLAN на кластер с ASA 9.0)
! контексты в режиме L2 или L3
! контекст – это полнофункциональный файервол
! контроль ресурсов для контекстов (MAC-адреса,
соединения, инспекции, трансляции…)
До 32 интерфейсов в L2-контекстах
! 4 интерфейса в бридж-группе. 8 бридж-групп на
виртуальный контекст L2 L3 L2
© 2011 Cisco and/or its affiliates. All rights reserved. 33
- 34. • Для применения политик Зона 1 Зона 2
используются зоны
безопасности
• Политики безопасности
применяются на входе/выходе Заворачиваем
в зону трафик VM на
виртуальный
контекст
• Для привязки к физической
инфраструктуре
используються:
• Технологии VLAN//VRF на
коммутаторах vPath
Virtual Switch Сегментированный
vPath
Virtual Switch
по зонам пул
• Виртуальные контексты на vSphere
блейд-ресурсов vSphere
ASA
© 2011 Cisco and/or its affiliates. All rights reserved. 34
- 35. 4
Virtual Security Gateway
Web App Database Сегментация VMs на
Server Server Server
основе зон внутри
Nexus 1000V
виртуального ЦОД
Hypervisor
ASA 1000V
VSN
VSN
Внедрение на границе
виртуального ЦОД
Virtual Service Nodes
© 2011 Cisco and/or its affiliates. All rights reserved. 35
- 36. Orchestration / Cloud Portals
Virtual Network Management Center Расширение операционного
управления на виртуальную среду
VSG ASA 1000V
Расширение сетевых сервисов
на виртуальную среду
Расширение сети на
виртуальную среду
Nexus 1000V vPath
© 2011 Cisco and/or its affiliates. All rights reserved. 36
- 37. Virtual Security Gateway: Зонный межсетевой экран
Контекстная
безопасность Правила с атрибутами VM
Virtual Security
Gateway Контроль на
(VSG) основе зон Создание зон безопасности
Динамическая
политика Политика следует за vMotion
Масштабируем. Отказоустойчивость, VSG
архитектура обслуживает несколько хостов
Непрерывные Команда безопасности
Virtual Network операции управляет политиками
Management
Управление на Централизованное управление,
Center (VNMC) основе политик multi-tenancy
XML API, профили
Автоматизация
безопасности
© 2011 Cisco and/or its affiliates. All rights reserved. 37
- 38. Построен на технологиях IPSec VPN (Site-to-Site)
аппаратной Cisco ASA
NAT
Совместимость VSG DHCP для VM
с помощью service chaining
Шлюз по умолчанию для VM
Поддержка Virtual Extensible Статическая
LAN (VXLAN) до 16M сегментов маршрутизация
Инспекция с учетом состояния
Многопользовательское
управление VNMC (Multi Tenant) IP Audit
© 2011 Cisco and/or its affiliates. All rights reserved. 38
- 39. Интеллектуальный отвод трафика с vPath
VM VM
VM VM VM VM VM VM VM
VM VM VM VM VM VM VM VM VM
5 4 VSG
Cisco Nexus 1000V ®
vPath
Distributed Virtual Switch
3
2
1 Cisco ASA
®
1000V
© 2011 Cisco and/or its affiliates. All rights reserved. 39
- 40. • Cisco® ASA 1000V поддерживает политики на основе сетевых атрибутов*
• Cisco VSG поддерживает политики на основе сетевых атрибутов и атрибутов VM
Rule
Source Destination Action
Condition Condition
Condition
Operator Operator
Attribute Type VM Attributes VM Attributes Network Attributes eq Not-in-range
Network Instance Name Port Profile Name IP Address neq Prefix
VM Guest OS full name Cluster Name Network Port gt member
Custom Zone Name Hypervisor Name lt Not-member
Parent App Name range Contains
© 2011 Cisco and/or its affiliates. All rights reserved. поддержка атрибутов VM для ASA в роадмапе 40
- 41. Серверная Команда по ИБ
команда
XML API Manager /
vCenter VNMC Orchestrator
VM атрибуты
Tools
vCenter VNMC
Security
Server
Admin
Admin
Nexus 1 KV
• Управление
многопользовательскими
Cisco
Nexus ®
ЦОД (multitenant)
1000V
Network
• Динамическое управление
Admin на основе политик
Сетевая команда
• Гибкость с помощью
внешнего XML API
© 2011 Cisco and/or its affiliates. All rights reserved. 41
- 42. VM VM VM VM VM VM VM VM
Nexus Nexus
1000V 1000V
VEM VEM
Nexus 1000V VMware vSphere Nexus 1000V Windows 8 Hyper-V
VSM VSM
VMware vCenter SCVMM
" Решение адаптируется под разных вендоров гипервизоров
" Унифицированное управление безопасностью через единую консоль VMDC
* Available Q4CY12 on Cisco Nexus 1000V; roadmap item for Cisco® ASA 1000V
© 2011 Cisco and/or its affiliates. All rights reserved. 42
- 43. Пограничное Удаленное рабочее место
устройство клиента
IPSEC
IPSEC
Virtual ASA
Virtual ASA
Zone B Zone C
• Глубокая инспекция
Zone A входящего/исходящего в Tenant B
виртуальный ЦОД трафика VDC VDC
на ASA 1000V vApp
• NAT и DHCP на ASA 1000V
VSG
VSG
• Шифрование трафика VSG
между облачным ЦОД и vApp
сетями клиентов на ASA
1000V
vPath • Микросегментация на
Nexus 1000V vPath
Cisco VSG Nexus 1000V
vSphere
vSphere
© 2011 Cisco and/or its affiliates. All rights reserved. 43
- 44. Физическое устройство Виртуальное
Устройства и модули защиты Виртуальные и облачные МЭ
Увеличение виртуальной безопасности
Cisco ASA для ЦОД
Cisco ASA Cisco Catalyst® 6500 Cisco VSG Cisco ASA 1000V
5585-X Series ASA Services Cloud Firewall
Module
• Высочайшая производительность • МСЭ для защиты виртуальных
• Политики для защиты периметра серверов, приложений и tenant
ЦОД • Автоматизация настройки политик
• Построение политик по атрибутам IP • Построение политик на основе
атрибутов VM и атрибутов сети
• Необходимость “отвода” трафика с
• Фильтрация внутри серверной фермы
помощью VLAN и VRF
© 2011 Cisco and/or its affiliates. All rights reserved. 44
- 45. Устройство клиента Рабочее место
IPSEC
ASA 5585
ASA 5585
Zone B Zone C
• Глубокая инспекция
Zone A входящего/исходящего в Tenant B Virtual
ASA
Virtual виртуальный ЦОД трафика VDC VDC
ASA
на ASA 1000V vApp
• NAT и DHCP на ASA 1000V
VSG
VSG
• Шифрование трафика VSG
между облачным ЦОД и vApp
сетями клиентов на ASA
1000V
vPath • Микросегментация на
Nexus 1000V vPath
Cisco VSG Nexus 1000V
vSphere
vSphere
© 2011 Cisco and/or its affiliates. All rights reserved. 45
- 46. Presentation_ID © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Public 46
- 47. Физический Виртуальный Облачный
ЦОД ЦОД ЦОД
• Одно приложение на • Множество приложений • Множество пользователей
сервере на сервере на сервере
• Ручная конфигурация • Динамич. конфигурация • “Чужая” инфраструктура
политик
Гипервизор
VDC-1 VDC-2
Согласованные : Политики, Функции безопасности, Управление
Коммутация Nexus 7K/5K/3K/2K Nexus 1000V, VM-FEX
Безопасность ASA 5585, ASA SM VSG*, ASA 1000V**
Вычисления UCS for Bare Metal UCS for Virtualized Workloads
© 2011 Cisco and/or its affiliates. All rights reserved. 47
* Virtual only, ** Announced
- 48. ! “Security Guidance for Critical Areas of Focus in Cloud Computing”
Whitepaper: комплексное руководство, которое говорит как защищать
облачные архитектуры, как управлять Облаками и как безопасно
использовать облачные среды:
http://www.cloudsecurityalliance.org/csaguide.pdf
! Также разработан модель угроз для облачных сред “Top threats to Cloud
Computing” :
http://www.cloudsecurityalliance.org/topthreats/csathreats.v1.0.pdf
! В состав корпоративных членов CSA входят:
© 2011 Cisco and/or its affiliates. All rights reserved. 48
- 49. Cloud Security Alliance: Руководство по
безопасности облачных вычислений
Архитектура облачных вычислений
Эксплуатация
Управление облаком
облачных сервисов
Governance & Enterprise Traditional Security
Risk Management
Data Center Operations
Legal & eDiscovery
Incident Response
Compliance and Audit Virtualization
Identity & Access Management
Data Life Cycle Management
Application Security
Portability & Interoperability Encryption & Key
Management
© 2011 Cisco and/or its affiliates. All rights reserved. 49
- 50. © 2011 Cisco and/or its affiliates. All rights reserved. 50
- 51. Presentation_ID © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Public 51
- 52. Управление Безопасность
безопасностью Ядро инфраструктуры
• Наблюдаемость
• Корреляция событий Агрегация Обеспечивает защиту
control и data planes от
• Детектирование деградации сервиса,
аномалий с NetFlow утечки данных и
• Автоматизация компрометации
Разделение трафика и
Сервисы AAA
AD CSM ACS Доступ
Сервиы
Сервисы
Детектирование и
Фильтрация на входе и предотвращение атак
выходе в ЦОД. ACLs, Port Security, VN Tag, Netflow, Мониторинг и аналтз
Виртуальные контексты ERSPAN, QoS, CoPP, DHCP snooping
для разных сервисов
Сеть хранения Вирт. UCS
Дополнительные доступ
файерволы для
отдельных сервисов
Безопасность Виртуальные МЭ Аутентификация
Балансировка маскирует данных, (VSG) доступа к порту,
сервера и приложения аутентификация и ASA 1000V * QoS
контроль доступа
© 2011 Cisco and/or its affiliates. All rights reserved. 52
- 53. • Внедрение виртуализации и облачных сервисов
требует пересмотра оценки рисков в организации
• Для эффективного обеспечения безопасности виртуальной
среды требуется объединение традиционных физических
устройств и виртуальных средств!!
• Безопасно построенная виртуализированная и облачная
среда не уступает по уровню надежности и защищенности
традиционной системе
ВИРТУАЛИЗАЦИЯ
© 2011 Cisco and/or its affiliates. All rights reserved. 53
- 54. • Cisco
Virtualization Security
http://www.cisco.com/en/US/netsol/ns1095/index.html
Design Guide: Security and Virtualization in the Data Center
http://www.cisco.com/en/US/partner/docs/solutions/Enterprise/Data_Center/DC_3_0/dc_sec_design.html
Cisco VMDC Unified Data Center for cloud or traditional environments.
http://www.cisco.com/go/vmdc
• Vmware
Vmware Security Hardening Guide
http://www.vmware.com/resources/techresources/10198
• Microsoft
Hyper-V Security Guide
technet.microsoft.com/en-us/library/dd569113.aspx
• PCI DSS
https://www.pcisecuritystandards.org/documents/Virtualization_InfoSupp_v2.pdf
• NIST - Guide to Security for Full Virtualization Technologies
http://csrc.nist.gov/publications/nistpubs/800-125/SP800-125-final.pdf
• Cloud Security Alliance
https://cloudsecurityalliance.org/
© 2011 Cisco and/or its affiliates. All rights reserved. 54