Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Архитектура защищенного ЦОД

824 views

Published on

В рамках данной сессии мы обсудим решения компании Cisco для защиты Центров обработки данных. Рассмотрим задачи и проблемы возникающие при переходе к виртуализованным средам и особенности их защиты. Основной акцент будет сделан на физические устройства защиты, их место в сети и особенности дизайна для обеспечения высокого уровня производительности. Так же будут рассматриваться решения по защите виртуальных сред, сегментации и фильтрации.

Published in: Technology
  • Be the first to comment

  • Be the first to like this

Архитектура защищенного ЦОД

  1. 1. Архитектура защищенного ЦОД Назим Латыпаев Системный инженер nlatypae@cisco.com 01.10.15 © 2015 Cisco and/or its affiliates. All rights reserved.
  2. 2. Организационныe моменты 1.  Пожалуйста, переведите Ваш смартфон в «тихий режим» 2.  Распивать спиртные напитки на презентации и курить кальян запрещено 3.  На забывайте свои вещи на презентации 4.  Пожалуйста, заполните анкеты 5.  Пожалуйста, апплодируйте презентующим, им это нравится :) 01.10.15 © 2015 Cisco and/or its affiliates. All rights reserved.
  3. 3. © 2015 Cisco and/or its affiliates. All rights reserved. Cisco PublicBRKSEC-1205
  4. 4. Source: IDC, Nov 2010 Переломный момент Традиционные Виртуализированные c App OS App OS App OS App OS App OS App OS App OS App OS App OS ...1 сервер или “Host” Множество приложений, или “VMs”…Hypervisor App OS App OS App OS 1 приложение… ...1 сервер App OS App OS App OS Переход Архитектура ЦОД уже изменилась Виртуализация используется повсеместно 8
  5. 5. Какие проблемы характерны при построении защищённого ЦОД? 01.10.15 © 2015 Cisco and/or its affiliates. All rights reserved. Уменьшение сложности и фрагментированности решений Maintain Security and Compliance while the data center evolves Борьба с реальными угрозами 95% инцидентов, связанных с обходом МСЭ связаны с ошибками конфигурирования* Прогнозируется увеличение количества соединений в секунду, обрабатываемых в ЦОД, на 3000% в 2015 году Больше ста тысяч новых угроз каждый день * Greg Young, Gartner Inc Управление, внедрение и сопровождение Масштабируемость Обнаружение, защита и противодействие современным угрозам
  6. 6. 7% 17% 76% Inter DC Трафик (DCI) Восток – Запад Север–Юг ГЛОБАЛЬНЫЙ ТРАФИК В ЦОД
  7. 7. Что вызывает вопросы при использовании виртуализации? Унифицированные политики безопасности: §  Часто применяются к физическому серверу, а не к VM §  Как быть с мигрирующими VM? Процессы и управление: §  Кто, где, что и как? Как ответить на эти вопросы для VM? §  Неудобное управление и сложности с поиском неисправностей. Роли и распределение ответственности: §  Кто должен настраивать сеть для виртуальных машин? §  Как отвечать требованиям регуляторов и стандартов? Сегментация серверов и приложений на них: §  Сегментация самого сервера и VM; §  Разделение между доверенными и недоверенными системами. Политики, Процессы, Операционное управление: Roles and Responsibilities Isolation and Segmentation Management and Monitoring Hypervisor Initial Infection Secondary Infection 11
  8. 8. Просто, Эффективно, Достижимо Сегментирование •  Создание зон: сеть, вычисления, виртуализация •  Применение унифицированных политик •  Защита от несанкционированного доступа Противодейстиве угрозам •  Остановить внешние и внутренние атаки без прерывания сервиса •  Патрулирование внутри зоны и на её границах •  Контроль доступа и использования информации, предотвращение потерь и утечек данных Прозрачность происходящего •  Обеспечение прозрачности происходящих процессов •  Соотношение сетевого контекста и бизнес-параметров •  Снижение сложности операционного управления и соответствие требованиям регуляторов Север Юг Защита, Обнаружение, Контроль 12 ВостокЗапад
  9. 9. Режимы работы МСЭ Routed Mode традиционный режим. Два или больше интерфейсов разделяющих L3 домены Transparent Mode работает как бридж на уровне L2 Multi-context виртуальные МСЭ внутри физического устройства. Mixed mode комбинирование Routed и Transparent контекстов (ASA 9.0+) 13
  10. 10. Рекомендации для режима Transparent Используются бридж-группы для сегментации трафика, каждая группа имеет 1 BVI BVI (Bridged Virtual Interface) адрес обязателен для управления и для прохождения трафика через МСЭ До 4 интерфейсов можно поместить в бридж-группу (inside, outside, DMZ1, DMZ2) До 250 бридж-групп (9.3) на ASA, раньше ограничение было 8 бридж-групп 14
  11. 11. Что такое направление трафика Север-Юг и Восток-Запад? Поток Север – Юг идут от уровня Доступа в сторону уровня Агрегации и Ядра Поток Восток – Запад остается в виртуальой зоне или перемещаются между зонами, обычно это трафик от сервера к серверу Web App Доступ Агрегации Ядро Database Восток - Запад Север-Юг Virtual Hosts Virtual Hosts Virtual Hosts 15
  12. 12. Port Channel •  Лучшие практики: использование Link Aggregation Control Protocol (LACP) где возможно •  LACP позволяет динамически добавлять или убирать (если необходимо) линки в сторону port channel •  До 8 активных линков в ASA 8.4+ и 16 активных линков 9.2(1)+ •  Лучшие практики: использование в Nexus DC технологии Virtual Port Channels (vPC) interface TenGigabitEthernet0/8 ! channel-group 40 mode active! no nameif
 no security-level ! !
 interface TenGigabitEthernet0/9 ! channel-group 40 mode active ! no nameif
 no security-level! !! interface Port-channel40 ! nameif inside! ip add 10.1.1.2 255.255.255.0! LACP между коммутаторами 16
  13. 13. Virtual Port Channel (vPC) и ASA •  Virtual Port Channels (vPC) это port channel где оба линка отправляют пакеты одновременно •  Нет необходимости что-то дополнительно настраивать на ASA •  Работает только с коммутаторами Nexus •  VPC Design Guide: http://www.cisco.com/en/US/prod/collateral/switches/ps9441/ps9670/ C07-572830-00_Agg_Dsgn_Config_DG.pdf Nexus 5K/7Ks ASA 17
  14. 14. Где располагать МСЭ? Централизованность это классика МСЭ в ядре, уровне распределения или на периметре Большой вопрос это масштабируемость Ограничивающий фактор количество соединений и производительность Микросегментация? Виртуальная мобильность хостов? Hosts Hosts Hosts 18
  15. 15. Сеть виртуализации и сервисы безопасности
  16. 16. Управление виртуальными сетевыми политиками § Использование профилей портов позволяет сохранить текущие процессы и сделать процесс незаметным; § Создание политик по изоляции и сегментации с помощью VLAN, Private VLAN, Port-based Access Lists, встроенных функций обеспечения безопасности § Прозрачность трафика между виртуальными машинами благодаря поддержке ERSPAN and NetFlow Виртуальные коммутаторы: Nexus 1000V Сетевики Серверная команда Управление и мониторинг Роли и зоны ответственности Изоляция и сегментация Безопасники Nexus 1000V 20
  17. 17. Что такое Virtual Security Gateway? VSG – это межсетевой экран второго уровня, в виде виртуальной машины, работающей в «разрыв» между защищаемыми сегментами; Похоже на L2 режим ASA; Инспектирует трафик* между хостами в одном и том же VLAN или подсети; Может использовать атрибуты среды виртуализации Vmware в политиках; Базовое разделение потоков трафика Запад- Восток; Можно использовать множество экземпляров VSG 21 Virtual Hosts Virtual Hosts Virtual Hosts *Требует Nexus 1000V для работы
  18. 18. Cisco® ASAv Проверенное аппаратное решение безопасности от Cisco теперь в виртуализированной среде Открытая архитектура Multi-hypervisor Multi-vswitch Открытые API Гибкая модель лицензирования Cisco ASAv
  19. 19. Функционал ASA ASAv Нет кластеризации и мультиконтекстности •  Соответствие функционала физической ASA •  Масштабирование через виртуализацию •  До 1316 vNIC интерфейсов •  Поддержка VXLAN •  Программная криптография •  SDN и традиционные методы управления •  Масштабируется до 4 vCPUs и 8 GB памяти •  Возможность поддерживать 1 политику на физических и виртуальных ASA Сравнение функционала с обычной ASA
  20. 20. 100 Mbps 1 Gbps 2 Gbps Cisco® ASAv5 Cisco® ASAv10 Cisco® ASAv30 Платформы ASAv
  21. 21. Сравнение виртуальных МСЭ Cisco ASAv Virtual Security Gateway Режимы L2 и L3 Режим L2 (прозрачный) Динамическая и статическая маршрутизация Нет маршрутизации Поддержка DHCP server и client Нет поддержки DHCP Поддержка S2S и RA VPN Нет поддержки IPSEC Управляется CLI, ASDM, CSM, APIC Управляется только PNSC Полный код ASA, CLI, SSH, REST API* Минимальная настройка через CLI, SSH
  22. 22. Внедрение ASAv : Облачный МСЭ+VPN 26 Сегодня для фильтрации между зонами и тенантами применяется ASA в режиме мульти-контекст Для передачи трафика используются транки Проблема – масштабирование фильтрации Запад-Восток требует ресурсов МСЭ и масштабируемого транспортного решения Zone 1 Zone 2 Zone 3 VM 1 VM 2 VM 3 VM 4 VFW 1 VM 5 VM 6 VM 7 VM 8 VFW 2 VFW 3 §  ASAv – может быть пограничным МСЭ и может обеспечивать фильтрацию Восток-Запад §  На каждого тенанта или зону можно развернуть одну или несколько ASAv для FW + VPN §  Масштабируемая терминация VPN S2S и RA Vzone 1 Vzone 2 Multi Context Mode ASA
  23. 23. Physical to Virtual Сегментация VRF-VLAN-Virtual ASAv/ VSG vIPS ASAv Zone B Zone C Nexus 7K ASA CTX1 CTX2 CTX3 VLANx1 VLANx2 VLANy1 VLANy2 VLANz1 VLANz2 SGTSGT SGTSGT SGTSGT Segmentation Building Blocks Соединяем физическую и виртуальную инфраструктуры Зоны используются для определения и применения политик Уникальные политики применяются для каждой зоны Физическая инфраструктура привязывается к зоне §  VRF, Nexus Virtual Device Context, VLAN, SGT 27
  24. 24. МСЭ ASA и фабрика ЦОД ASA и Nexus Virtual Port Channel §  vPC обеспечивает распределение нагрузки по соединениям (отсутствие заблокированных STP соед.) §  ASA использует технологии отказоустойчивости ЦОД §  Уникальная интеграция ASA и Nexus (LACP) IPS модуль полагается на связность от ASA – обеспечивает DPI Проверенный дизайн для сегментации, защиты от угроз и прозрачности операций (visibility) Transparent (рекомендован) и routed режимы Работает в режимах A/S и A/A failover Уровень агрегации ЦОД Active vPC Peer-link vPC vPC Core IP1 Core IP2 Active or Standby N7K VPC 41N7K VPC 40 Nexus 1000V vPath Hypervisor Nexus 1000V vPath Hypervisor Core Layer Aggregatio n Layer Access Layers 28
  25. 25. Физический сервис для виртуального HypervisorHypervisor Hypervisor Hypervisor VRF Blue VRF Purple Firewall Firewall Nexus 7000 Nexus 5500 Nexus 1000V Nexus 1000V Применяем физические устр-ва для изоляции и сегментации виртуальных машин Используем зоны для применения политик Физическая инфраструктура привязывается к зоне §  Разделяем таблицы маршрутизации по зонам через VRF §  Политики МСЭ на зоны привязаны к потокам север-юг, восток-запад §  Проводим L2 и L3 пути через физические сервисы 29
  26. 26. Обзор кластера ASA Кластеризация поддерживается на 5580, 5585 и 5500-X (5500-X кластер из 2-х устройств) CCL – критическое место кластера, без него кластер не работает Среди членов кластера выбирается Master для синхронизации настроек— не влияет на путь пакета Новый термин “spanned port-channel” т.е. Распределенные/общие настройки порта среди членов кластера ASA Кластер может ре-балансировать потоки У каждого потока есть Owner и Director и возможно Forwarder Шина данных кластера ДОЛЖНА использовать cLACP (Spanned Port-Channel) Cluster Control Link vPC Data Plane Aggregation Core ASA Cluster vPC 40 30
  27. 27. Используем лучшее из доступного… Physical Hosts NGIPS ASA FW Clustering •  Контроль трафика по направлению Север/Юг с помощью ASA 5585 •  Масштабируемость и отказоустойчивость с помощью кластеризации •  Инспектирование трафика Север/Юг с помощью NGIPS •  Сегментация и защита виртуальной среды с помощью ASAv и vNGIPS
  28. 28. …с помощью лучшей архитектуры … 32 Virtual Hosts B Physical Hosts NGIPS SGT SGTSGT SGT SGT SGT SGT SGT SGT SGT Virtual Hosts B Physical Hosts NGIPS SGT SGTSGT SGT SGT SGT SGT SGT SGT Кластеризация между двумя активными ЦОД OTV
  29. 29. … и мы готовы к ЦОД следующего поколения. 33 33 Physical Hosts NGIPS ASA FW Clustering VIRTUAL ENDPOINT ACI Fabric PHYSICAL ENDPOINT SERVICE NODES SECURITY NODES Application Centric Infrastructure -  Масштабируемая -  Простая -  Гибкая -  Надёжная -  Автоматизированная -  Надёжная
  30. 30. Cisco Confidential 34© 2013-2014 Cisco and/or its affiliates. All rights reserved. Модель политик безопасности в ACI Application Centric КОМПОНЕНТЫ ПРИКЛАДНОЙ ПОЛИТИКИ Endpoint Group: Набор хостов (VM/ серверы) с одинаковой политикой Contracts: Набор правил, определяющих взаимодействие между группами хостов Service Chain: Набор сетевых сервисов между группами хостов OUTSIDE WEBAPPDBCRM APP ADC F/W ADC ContractContract
  31. 31. Cisco Confidential 35© 2013-2014 Cisco and/or its affiliates. All rights reserved. ACI + ASA: Хорошая масштабируемость, производительность и прозрачность процессов Firewall Cluster APIC Централизованные политики безопасности и сетевых настроек на контроллере APIC: –  Политики ИБ не зависят от инфраструктуры –  Предсказуемая загрузка с контролем имеющихся ресурсов «Безопасность по требованию»: –  Автоматическое создание политик безопасности для приложений на основе доступности МСЭ и наличия свободных ресурсов –  Location independent stitching for Security Policy Enforcement Распределённые сервисы безопасности с контролем состояния сессий: –  Уникальная особенность кластеризации Cisco ASA
  32. 32. Cisco Confidential 36© 2013-2014 Cisco and/or its affiliates. All rights reserved. ACI + ASA: Хорошая масштабируемость, производительность и прозрачность процессов Firewall Cluster APIC Прозрачность происходящих в фабрике процессов: –  Благодаря поддержке Netflow/NSEL, ASA великолепно интегрируется с Lancope и похожими решениями Общая операционная модель с широким использованием API: –  Поддержка ASA 5585, ASAv и Firepower 9300
  33. 33. Типовая сервисная цепочка Полная абстракция внутри сервисной цепочки §  Каждое устройство выполняет только собственные функции и обменивается пакетами с фабрикой в соответствии с инструкциями §  Различные пути возможны на основании решения (например в зависимости от решения политики МСЭ) или пункта назначения §  Высокая степень модульности с слабой зависимостью, заменимость устройств ACI обеспечивает симметричность потоков через устройства в сервисной цепочке SSL Firewall Policy rules, NAT, Inspection IPS Analyzer EPG “Users” EPG “Web” EPG “DB” 37
  34. 34. Cisco TrustSec
  35. 35. Сегментация в ЦОД с TrustSec 39 Voice PCI Non-PCI PCI Tag NonPCI Tag LOB1 Tag LOB2 TagData Center Firewall Enterprise Core Data Center Enterprise Campus/Branch •  Существующий дизайн налагает требования к топологии Access Layer SGT Обзор SGT/ DGT* PCI NonPC I LOB1 LOB2 PCI Permit DENY Permit DENY NonPCI DENY Permit DENY Permit LOB1 Permit DENY Permit DENY LOB2 DENY Permit DENY Permit LOB1 LOB2PCI •  Независимо от топологии или места политики (SGT) «остаются» вместе с пользователями, устройствами и серверами •  TrustSec упрощает управление политиками для intra/inter-VLAN трафика •  * SGT sometimes is referred to as “Source Group Tag” as well •  * DGT stands for “Destination Group Tag”
  36. 36. Компоненты архитектуры SGT 40 Identity Services Engine Управление политиками WLAN LAN Remote Access (roadmap) Классификация Catalyst 3K Catalyst 4K Catalyst 6K Nexus 7000 Nexus 6000 Nexus 5500 WLC (7.4) 5760 Nexus 1000vCatalyst 2K Распространение N7K (SXP/Inline) N6K (SXP Speaker/Inline) N5K (SXP Speaker/Inline) N1Kv (SXP Speaker/Inline(beta)) ASR1K (SXP/Inline) ISR G2 (SXP/Inline) ASA (SXP/Inline(beta)) Cat 2K-S (SXP) Cat 3K (SXP) Cat 3K-X (SXP/Inline) Cat 4K Sup7 (SXP/Inline) Cat 6K Sup720 (SXP) Cat 6K Sup2T (SXP/Inline) Применение N7K / N6K/N5K/N1KV (SGACL) Cat6K/4K (SGACL) Cat3K-X/3850 (SGACL) ASA (SGFW) ASR1K/ISRG2 (SGFW) SGT Review ASR1K/ISRG2 (SGFW) ASA (SGFW)
  37. 37. Security Group Firewall (SGFW) – ASA в ЦОД 41 Примеры Campus /Branch Network Data Center SXP IP Address SGT 10.1.10.1 Marketing (10) SGFW SGACL •  Соображения для дизайна •  Целостность классификации/применения между FW и коммутаторами. •  Синхронизация имен SGT между ISE и CSM/ASDM •  Дополнительные требования к логированию можно перенести на SGFW – URL logging, etc. •  Снижение OpEx – автоматизация правил МСЭ для пользователей и серверов Enforcement on a firewall Enforcement on a switch Security group tags assigned based on attributes (user, location, posture, access type, device type) ISE for SGACL Policies ASDM/CSM Policies SGT Name Download SGT 10 = PCI_User SGT 100 = PCI_Svr SXP SGT PCI_Svr
  38. 38. •  Сегментация серверов в зоны; •  Ролевая модель доступа; •  Применение политик и для виртуальных, и для физических серверов. 42 Сегментация в ЦОД Web Servers Middleware Servers Database Servers Storage Web Servers R R Q Q Middleware Servers R R R R Database Servers Q R R R Storage Q R R R Switch Определим политику: Web Servers Middleware Servers Database Servers Storage Blocked
  39. 39. Использование SGACL и SG-FW функционала совместно 43 Risk Level 1 ISE Risk Level 2 PCI_Web PCI_App PCI_DB SXP SXP LOB2_DB PCI_Users •  SGACL на коммутаторах для применения политики для каждого Risk Level; •  ASA применяет политику доступа между разными Risk Levels (привязки IP/SGT мы получаем от коммутаторов).
  40. 40. Поддержка на платформах 44 Use Cases Классификация Распространение Применение Catalyst 2960-S/-C/-Plus/-X/-XR Catalyst 3560-E/-C/-X Catalyst 3750-E/-X Catalyst 4500E (Sup6E/7L-E) Catalyst 4500E (Sup8E) Catalyst 6500E (Sup720/2T), 6880X Catalyst 3850, 3650 WLC 5760 Wireless LAN Controller 2500/5500/WiSM2 Nexus 7000 Nexus 5500 Nexus 1000v (Port Profile) ISR G2 Router, CGR2000 Catalyst 2960-S/-C/-Plus/-X/-XR Catalyst 3560-E/-C/, 3750-E Catalyst 3560-X, 3750-X Catalyst 3650, 3850 Catalyst 4500E (Sup6E) Catalyst 4500E (Sup 7E)***, 4500X Catalyst 4500 (Sup8E)*** Catalyst 6500E (Sup720) Catalyst 6500E (Sup 2T)**** / 6880X WLC 2500, 5500, WiSM2** WLC 5760 Nexus 1000v Nexus 5500/22xx FEX** Nexus 7000/22xx FEX ISRG2, CGR2000 ASR1000 ASA5500(X) Firewall, ASASM SXP SXP IE2000/3000, CGS2000 ASA5500X, ASAv (VPN RAS) SXP SGT SXP SXP SGT SXP SXP SGT SXP SGT SXP SXP SGT SXP SGT SXP SGT SXP SGT SGT Beta SGT Beta GETVPN GETVPN •  All ISRG2 Inline SGT (except C800): Today •  ISRG2/ASR1K: DMVPN, FlexVPN: Q3CY14 Catalyst 3560-X Catalyst 3750-X Catalyst 4500E (Sup7E) Catalyst 4500E (Sup8E) Catalyst 6500E (Sup2T) / 6880X Catalyst 3850, 3650 WLC 5760 Nexus 7000 Nexus 5500/5600 Nexus 1000v ISR G2 Router, CGR2000 ASA 5500/5500X Firewal ASAvl Beta SGFW SGFW SGFW ASR 1000 Router SXP SGT SGACL SGACL SGACL SGACL SGACL SGACL Nexus 6000 Q3CY14 ** WLC 2500, 5500, WiSM2, Nexus 5K only supports SXP Speaker role *** 4500E (Sup7E/8E) requires 47XX Line cards for Inline SGT **** 6500 (Sup2T) requires 69xx Line cards for Inline SGT SGT Q3CY14 SXP SGT SXP SGT SXP Q3CY14 IPSec IPSec
  41. 41. Advanced сценарии
  42. 42. Inter Data Center (DC) Clustering Clustering assumes rather than requires data interface adjacency at Layer 2 Geographically separated clusters supported in ASA 9.1(4)+ §  “Dark Media” CCL with up to 10ms of one-way latency §  No tolerance for packet re-ordering or loss §  Routed firewall in Individual interface mode only ASA 9.2(1) extends inter-DC clustering support to Spanned Etherchannel mode §  Transparent firewall only §  Routed firewall support presents design challenges 46
  43. 43. Split or Single Individual Mode Cluster in Inter DC Site BSite A Data CCL CCL is fully extended between DCs at L2 with <10ms of latency ASA Cluster CCL Data CCL CCL Transit connections are not contained to local site when extending data VLANs vPC 1 vPC 2 ASA 9.1(4) Local vPC/VSS pairs at each site Local vPC/VSS pairs at each site Data interfaces connect to local switch pair only Data VLANs should not extend with a split cluster to localize traffic to site 47
  44. 44. Extended Spanned Etherchannel Cluster in Inter DC Site BSite A Data CCL DataCCL vPC Peer Link vPC logical switch pair is stretched across sites CCL is fully extended between DCs at L2 with <10ms of latency ASA Cluster All data interfaces bundle into a single Spanned Etherchannel Each cluster member can single- or dual-connect to the VSS/vPC pair for CCL and Data Transit connections are not contained to the local site ASA 9.2(1) 48
  45. 45. Split Spanned Etherchannel Cluster in Inter DC Site BSite A DataCCL CCL is fully extended between DCs at L2 with <10ms of latency ASA Cluster CCL DataCCL CCL Data VLANs are typically not extended; filters on inter-site connection are needed to prevent loops and address conflicts vPC 1 vPC 2 Local vPC/VSS pairs at each site Local vPC/VSS pairs at each site Single Spanned Etherchannel for Data on cluster side ASA 9.2(1) Local Data Etherchannels on each VPC/VSS switch pair Local Data Etherchannels on each vPC/VSS switch pair 49
  46. 46. East-West Inter DC Clustering ASA 9.3(2)Site A Site B 1. CCL is fully extended between DCs at Layer 2 with <10ms of latency OTV OTV DB App FHRP FHRP 3. Each segment uses a local first-hop router with same virtual MAC and IP addresses across all sites 2. Protected data VLANs are fully extended at Layer 2 between sites 4. OTV prevents overlapping virtual IP and MAC addresses of the first-hop routers from leaking between sites 5. ASA cluster in transparent mode inserts between the endpoints and first-hop router on each segment 6. If all local cluster members or first-hop routers fail at a given site, OTV filter must be removed manually to fail over to another site 50
  47. 47. Future East-West Inter DC Scenario ASA 9.5(1)Site A Site B OTV OTV DB App 1. ASA cluster in routed mode inserts as first hop router between all internal segments and external links 2. Each segment uses cluster virtual MAC and IP addresses across all sites; OTV/VACL perform filtering MAC A MAC A outside outside 3. Connections establish locally at each site 4. VM live-migrates to a different site 5. New connections establish locally through new site 6. Traffic for existing connections traverses the original owner and uses extended data subnet 7. PROBLEM: Access switch at new site sees MAC A flapping between local and OTV ports SOLUTION: Per-site MAC addresses in ASA 9.5(1) 51
  48. 48. Per-Site MAC Addresses Routed Spanned Etherchannel cluster uses different MAC addresses in 9.5(1) §  Global interface MAC address is used to receive and source frames by default §  Per-site MAC addresses are optionally used to source frames on extended segments Dynamic routing is centralized, so it does not work with split outside networks Global MAC address localization is required through OTV or similar mechanism asa(config)# cluster group DC-ASA asa(cfg-cluster)# site-id 2 asa(cfg-cluster)# interface Port-Channel1.1000 asa(config-if)# mac-address 0001.aaaa.0001 site-id 1 asa(config-if)# mac-address 0001.aaaa.0002 site-id 2 asa(config-if)# mac-address 0001.aaaa.aaaa Site-specific MAC address is used to forward data frames and source ARP Global MAC address is used across all sites to receive traffic as default gateway 52
  49. 49. Заключение
  50. 50. Архитектура Cisco SAFE для ЦОД
  51. 51. © 2015 Cisco and/or its affiliates. All rights reserved. Cisco PublicBRKSEC-1205
  52. 52. © 2015 Cisco and/or its affiliates. All rights reserved. Cisco PublicBRKSEC-1205
  53. 53. Комплексная защита от угроз для всего жизненного цикла атаки Защита в момент времени Непрерывная защита Сеть Терминал Мобильное устройство Виртуальная машина Облако Исследование Внедрение политик Укрепление Обнаружение Блокирование Защита Локализация Изолирование Восстановление Жизненный цикл атаки ДО АТАКИ ВО ВРЕМЯ АТАКИ ПОСЛЕ АТАКИ
  54. 54. Изоляция систем через микросегментацию Политики для каждого приложения, каждой VM, каждого vNIC Tenant B VSD Web App Web DB Nexus 1000V VSD ASAv and vIPS Nexus 1000V Web Tier App Tier Контроль входящего/исходящего & меж-VM трафика vFirewall, ACL, PVLAN Обнаружение угроз и анализ трафика vIPS, Netflow, SPAN/ERSPAN Прозрачное применение политик Port Profiles Распределение зон ответственности Server • Network • Security Tenant A ASAv and vIPS 58 VSG
  55. 55. Заключение Виртуализированные сетевые сервисы: §  Контроль исполнения политик; §  Прозрачность происходящих процессов; §  Упрощение взаимодействия разных департаментов. Унифицированная политика безопасности; Противодействие как внешним, так и внутренним угрозам; ACI §  Автоматическое подключение сервисов безопасности когда это требуется. Защита, Обнаружение, Контроль 59
  56. 56. Ждем ваших сообщений с хештегом #CiscoConnectKZ © 2015 Cisco and/or its affiliates. All rights reserved. Спасибо Пожалуйста, заполните анкеты. Ваше мнение очень важно для нас. Контакты: Назим Латыпаев +7-727-2442120 nlatypae@cisco.com
  57. 57. Дополнительные слайды
  58. 58. Non-Stop Forwarding (NSF) aka Graceful Restart Traditionally when a network device restarts, all routing peers associated with that device will remove the routes from that peer and update their routing table At scale this could create an unstable routing environment across multiple routing domains which is detrimental to overall network performance Modern dual processor systems solve this problem by restarting the control plane on one processor while continuing to forward traffic on the other For devices that support NSF, route removal and insertion caused by restarts is no longer necessary thus adding network stability Uses protcol extensions to allow network device a grace period in which traffic will continue to be forwarded via existing routes 62
  59. 59. Non-Stop Forwarding (NSF) on ASA (9.3)+ Pre 9.3: Routing Information Base is replicated in A/S failover and Spanned Etherchannel clustering §  Active unit or master establish dynamic routing adjacencies and keep standby and slaves up-to-date §  When the active unit or master fails, the failover pair or cluster continue traffic forwarding based on RIB §  New active unit or master re-establish the dynamic routing adjacencies and update the RIB §  Adjacent routers flush routes upon adjacency re-establishment and cause momentary traffic black holing 9.3 and after: Non Stop Forwarding (NSF) / Graceful Restart (GR) §  Cisco or IETF compatible for OSPFv2, OSPF3; RFC 4724 for BGPv4 §  ASA notifies compatible peer routers after a switchover in failover or Spanned Etherchannel clustering §  ASA acts as a helper to support a graceful or unexpected restart of a peer router in all modes 63
  60. 60. N7k1-­‐VDC-­‐2   Aggrega0on   vrf1   vrf2   L2 FW: Inter VDC Insertion Transparent (L2) firewall services are “sandwiched” between Nexus Virtual Device Contexts (VDC) Allows for other services (IPS, LB, etc) to be layered in as needed ASAs can be virtualized to for 1x1 mapping to VRFs Useful for topologies that require a FW between aggregation and core Firewalls could be L2 or L3 N7k1-­‐VDC-­‐1   Core   vrf1   vrf2   64
  61. 61. Атрибуты среды виртуализации, используемые VSG Название Значение Источник vm.name Имя VM vCenter vm.host-name Имя данного ESX-host vCenter vm.os-fullname Название гостевой OS vCenter vm.vapp-name Название ассоциированного vApp vCenter vm.cluster-name Имя кластера vCenter vm.portprofile-name Используемый port-profile Port-profile Атрибуты собираются автоматически, для последующего использования в политиках Security Policy Profile §  Задаётся/управляется в VNMC / Prime Network Services Controller NSC §  Привязаны к Cisco Nexus 1000V VSM port-profile vCenter VM Attributes 65
  62. 62. Network Admin Security Admin Процесс применения политик Избегаем операционных ошибок на границах зон ответственности; Безопасники создают политики безопасности; Сетевики привязывают профиль порта к сервисному профилю VSG; Серверная команда назначает профиль порта виртуальной машине. Сервер, Сеть, Безопасность Server Admin vCenter Nexus 1KV Prime NSC Port Group Port Profile Security Profile 66
  63. 63. Физическое устройство Виртуальное устройство Nexus® 1000V Third-Party Switch vSwitch VMware Полный набор возможностей ASA Унифицированное гибкое лицензирование API BASED APIC KVM Hyper-V Xen Third-Party CMP CSM PNSC ASDM CLI Единая платформа – разные формы
  64. 64. Постоянный контракт Service Provider Pay Per Use (кол-во часов х кол-во ядер) Постоплата 1 Year Enterprise Обычный платёж Предоплата 3 Year 5 Year
  65. 65. ASAv Три модели применения политик Маршрутизируемый •  Маршрутизирует трафик между vNIC •  Имеет таблицы ARP и маршрутов •  МСЭ границы зоны Прозрачный •  VLAN или VxLAN Bridging / Stitching •  Имеет таблицу MAC-адресов •  Не влияет на сетевую топологию Коммутация сервисных меток EPG •  Инспектирование между EPG •  Незаметна для сети •  Режим интеграции в сетевую фабрику 69
  66. 66. Маршрутизирующий МСЭ Сценарий границы зоны виртуализации; First-hop gateway для виртуальных машин; Хорошо масштабируется; Маршрутизация между множеством подсетей; Традиционная схема сегментации во многих сетях; ASAv Routed client Gateway Outside Inside host1 host2 Shared DMZ 70
  67. 67. Прозрачный МСЭ •  Коммутация до 4 (суб)интерфейсов; •  До 8 BVI на экземпляр ASAv; •  Доступны NAT и ACL; •  Внедрение PCI compliance без прерывания сервиса; •  Традиционная схема сегментации во многих ЦОД; •  Все сегменты в одном broadcast-домене. ASAv Transp Gateway client Segment-1 Segment-3 host1 host2 Segment-2 Segment-4 71
  68. 68. New TCP Connection ASA Clusterinside outside Flow Owner Flow Forwarder Flow Director Client Server 5. Deliver TCP SYN ACK to Client 1. Attempt new connection with TCP SYN 6. Update Director 2. Become Owner, add TCP SYN Cookie and deliver to Server 3. Respond with TCP SYN ACK through another unit 4. Redirect to Owner based on TCP SYN Cookie, become Forwarder 72
  69. 69. New UDP-Like Connection ASA Cluster inside outside Flow Owner Flow Forwarder Flow DirectorClient Server 10. Deliver response to Client 1. Attempt new UDP or another pseudo- stateful connection 2. Query Director 4. Become Owner, deliver to Server 6. Respond through another unit 9. Redirect to Owner, become Forwarder 7. Query Director 3. Not found 8. Return Owner 5. Update Director 73
  70. 70. Owner Failure ASA Cluster inside outside Flow Owner Flow Owner Flow Director Client Server 1. Connection is established through the cluster 3. Next packet load-balanced to another member 4. Query Director 6. Become Owner, deliver to Server 2. Owner fails 5. Assign Owner 7. Update Director 74
  71. 71. North-South Inter DC Clustering Inside A Inside B Site A Site B 1. CCL is fully extended between DCs at Layer 2 with <10ms of latency 2. EIGRP/OSPF peering through local cluster members 3. EIGRP/OSPF peering 3. EIGRP/OSPF peering 4. Default route advertised inbound through local members 5. Inside routes advertised outbound through local members 6. Default routes from opposite sites exchanged (higher metric) 7. Inside routes from opposite sites exchanged (higher metric) 8. Connections normally pass through local cluster members (lower metric) 9. On local cluster failure, connections traverse remote site ASA 9.1(4) 75
  72. 72. Example: N-S Split Individual Mode Cluster A pair of standalone (non-vPC) Nexus switches at each site §  One Individual mode cluster unit per switch, single attached §  Routed firewall-on-a-stick VRF sandwich with OSPF Inside VLAN is fully extended between sites with OTV §  Each pair of switches uses localized GLBP as first hop router §  GLBP traffic is blocked between sites §  OSPF allows re-routing in case of local cluster unit failure Traffic symmetry is achievable without NAT §  Outbound connections use the directly attached cluster member §  Inbound traffic requires LISP to eliminate tromboning due to ECMP Site BSite A CCL Outside GLBP GLBP OTV Inside OSPF OSPF 76
  73. 73. .5.4 N-S Split Individual Cluster Sample Configuration .13.12.11 .2 .10 Site BSite A CCL 10.0.0.0/24 Outside VLAN 100 172.16.1.0/24 VLAN 10 192.168.1.0/24 .1 .3 .4 .5 .1.2 .3 .11 .12 .13 .10 VLAN 20 192.168.2.0/24 interface Ethernet3/1 channel-group 1 mode active interface Ethernet3/2 channel-group 1 mode active interface Port-Channel1 switchport trunk allowed vlans 10,20 ip local pool OUTSIDE 192.168.2.2- 192.168.2.17 interface Port-Channel10.20 vlan 20 nameif FW-outside ip address 192.168.2.1 255.255.255.0 cluster-pool OUTSIDE ip local pool OUTSIDE 192.168.1.2- 192.168.1.17 interface Port-Channel10.10 vlan 10 nameif FW-inside ip address 192.168.1.1 255.255.255.0 cluster-pool INSIDE interface Vlan10 vrf member INSIDE ip address 192.168.1.13/24 ip router ospf 2 area 0.0.0.0 interface Vlan100 vrf member INSIDE ip router ospf 2 area 0.0.0.0 interface Vlan20 vrf member OUTSIDE ip address 192.168.2.13/24 ip router ospf 1 area 0.0.0.0 router ospf 1 network 0.0.0.0 0.0.0.0 area 0.0.0.0 .1 .1 mac-list GLBP_FILTER seq 10 deny 0007.b400.0000 ffff.ffff.0000 mac-list GLBP_FILTER seq 20 permit 0000.0000.0000 0000.0000.0000 otv-isis default vpn Overlay1 redistribute filter route-map GLBP_FILTER ip access-list NON_GLBP 10 deny udp any 224.0.0.102/32 eq 3222 20 permit ip any any vlan access-map FILTER 10 match ip address NON_GLBP action forward vlan filter FILTER vlan-list 100 GLBP .1 .1GLBP OTV .10 .11 .12 .13 OTV MAC Filter for GLBP GLBP VLAN Filter 77
  74. 74. A vPC pair of Nexus switches at each site §  Split Spanned Etherchannel cluster in transparent mode to separate internal segments §  Separate Etherchannel to local cluster members per vPC pair §  Acceptable impact from passing ASA twice between segments Internal VLANs are fully extended between sites with OTV §  Each site uses localized HSRP as first hop router §  HSRP traffic is blocked between sites §  Full Layer 2 reachability from each router to remote site §  OTV filters must be manually removed on full upstream path failure Must implement LISP to avoid excessive flow redirection Example: E-W Split Spanned Etherchannel Cluster Site BSite A CCL vPC vPC vPC vPC Application OTV Database HSRP HSRP 78
  75. 75. E-W Split Spanned Cluster Sample Configuration Site BSite A CCL 10.0.0.0/24 interface Port-Channel10 port-channel span-cluster interface Port-Channel10.100 vlan 100 nameif DB-inside bridge-group 1 interface Port-Channel10.101 vlan 101 nameif DB-outside bridge-group 1 interface Port-Channel10.200 vlan 200 nameif App-inside bridge-group 2 interface Port-Channel10.201 vlan 201 nameif App-outside bridge-group 2 interface BVI1 ip address 192.168.1.4 255.255.255.0 interface BVI2 ip address 192.168.2.4 255.255.255.0 vPC vPC vPC vPC VLAN 200 192.168.2.0/24 mac-list HSRP_FILTER seq 10 deny 0000.0c07.ac00 ffff.ffff.ff00 mac-list HSRP_FILTER seq 20 deny 0000.0c9f.f000 ffff.ffff.ff00 mac-list HSRP_FILTER seq 30 permit 0000.0000.0000 0000.0000.0000 otv-isis default vpn Overlay1 redistribute filter route-map HSRP_FILTER ! ip access-list HSRP_TRAFFIC 10 permit udp any 224.0.0.2/32 eq 1985 20 permit udp any 224.0.0.102/32 eq 1985 ip access-list ALL 10 permit ip any any vlan access-map HSRP_FILTER 10 match ip address HSRP_TRAFFIC action drop vlan access-map HSRP_FILTER 20 match ip address ALL action forward vlan filter FILTER vlan-list 100, 200 interface Vlan101 ip address 192.168.1.2/24 hsrp 10 preempt ip 192.168.1.1 interface Vlan201 ip address 192.168.2.2/24 hsrp 20 preempt ip 192.168.2.1 OTV VLAN 100 192.168.1.0/24 HSRP.1 HSRP.1 VLAN 100↔101 VLAN 200↔201 interface Vlan101 ip address 192.168.1.3/24 hsrp 10 ip 192.168.1.1 interface Vlan201 ip address 192.168.2.3/24 hsrp 20 ip 192.168.2.1 79 79

×