Запись вебинара: https://www.youtube.com/watch?v=dY0P097dQ8s

1. Руслан Иванов
Системный инженер-консультант
Июнь 21, 2016
Варианты дизайна и лучшие практики создания
безопасного ЦОД
Cisco Support Community
Expert Series Webcast

2. Вебинар на русском языке
Июль 26, 2016
Эта презентация предназначена для всех кто работает с сетевым
оборудованием Cisco и хочет углубить свои знания и способности по
его администрированию. Во время презентации будут рассмотрены
детали архитектуры EEM и подробности работы c этим
функционалом. Будут приведены способы написания EEM
Апплетов, TCL и IOS shell скриптов. В конце презентации по итогам
голосования участников сессии будет рассмотрен пример EEM
скрипта в лаборатории.
Автоматизация задач с помощью EEM
https://supportforums.cisco.com/ru/event/13050111
Сергей Никитин

3. Как стать активным участником? Легко!
• Создавайте документы, пишите блоги, загружайте
видео, отвечайте на вопросы пользователей.
• Вклад оценивается на основе таблицы лидеров
• Также оценивается количество документов, блогов и
видео, созданных пользователем.
• Вклад оценивается только по русскоязычному
сообществу, не включая рейтинг, набранный в
глобальном Cisco Support Community.
Премия "Самый активный участник
Сообщества Поддержки Cisco"

4. Оцени контент
Ваши оценки контента дают
возможность атворам получать баллы.
Хотите чтобы поиск был удобным и
простым? Помогите нам распознать
качественный контент в Сообществе.
Оценивайте документы, видео и
блоги.
Пожалуйста, не забывайте оценивать
ответы пользователей, которые щедро
делятся своим временем и опытом
https://supportforums.cisco.com/ru/community/4926/pomoshch-help

5. 21 июня 2016 – 01 июля 2016
Сессия «Спросить Эксперта»
с Русланом Ивановым и Назимом Латыпаевым
Получить дополнительную информацию, а также
задать вопросы эксперту в рамках данной темы Вы
можете на странице, доступной по ссылке:
https://supportforums.cisco.com/community/russian/expert-
corner
Вы можете получить видеозапись данного
семинара и текст сессии Q&A в течении ближайших
5 дней по следующей ссылке
https://supportforums.cisco.com/community/russian/expert-
corner/webcast

6. Конкурс “Варианты дизайна и лучшие практики
создания безопасного ЦОД”
21 июня в 14:00 мск
Мы предлагаем Вам принять участие в конкурсе после
проведения вебкаста, который так и будет называться
«Варианты дизайна и лучшие практики создания
безопасного ЦОД»
• Первые три победителя получат фирменную флеш-карту Cisco
Support Community
• Ответы присылайте на csc-russian@external.cisco.com
• Задание конкурса будет размещено сегодня после проведения
вебкаста

7. Скачать презентацию Вы можете по ссылке:
https://supportforums.cisco.com/ru/document/13034816
Спасибо, что присоединились к нам сегодня!

8. Присылайте Ваши вопросы!
Используйте панель Q&A, чтобы задать вопрос.
Наш эксперт Назим ответит на них.
Сегодняшняя
презентация включает
опросы аудитории
Пожалуйста, примите
участие в опросах!

9. Руслан Иванов
Старший консультант по информационной безопасности
Июнь 21, 2016
Cisco Support Community Expert Series Webcast
Варианты дизайна и лучшие практики создания
безопасного ЦОД

10. Защита центров обработки данных. Механизмы
безопасности для классической фабрики и фабрики
ориентированной на приложения ACI – До, Во Время и
После

11. Безопасность и виртуализация в ЦОД
Безопасность ЦОД:
приоритеты, проблемы
Встроенные механизмы
защиты
Устройства безопасности в
ЦОД
Мониторинг и реагирование
Application Centric Infrastructure
Security
Заключение
11

12. Архитектурные вызовы в современном ЦОД
Развивающиеся
угрозы
Новые
приложения
(Физические,
виртуализированные
и облачные)
Новые тренды
распределения
трафика в сети
ЦОД
Source: Cisco Global Cloud Index, 2012

13. Просто, Эффективно и Доступно
Сегментация
• Определение границ: сеть, вычислительный ресурс, вируальная сеть
• Применение политик по функциям - устройство, организация, соответствие
• Контроль и предотвращение НСД к сети, ресурсам, приложениям
Защита от угроз
• Блокирование внешних и внутренних атак и остановки сервисов
• Патрулирование границ зон безопасности
• Контроль доступа и использования информации для предотвращения ее потери
Видимость
• Обеспечение прозрачности использования
• Применение бизнес-контекста к сетевой активности
• Упрощение операций и отчетности
Север-Юг
Восток-Запад
Защита, Обнаружение, Контроль

14. Какая архитектура для обеспечения
безопасности ЦОД является правильной?
Ориентация на
виртуализацию
Отсутствие
поддержки
физических
сред
Ограниченная
видимость
Сложность
управления (2 сети
вместо одной!)
Ориентация на
приложения
Любая нагрузка
в любом месте
Полная
видимость
Автоматизация
Ориентация на
периметр
Сложно и
много
ручных
процессов
Ошибки
конфигурации
Статическая
топология
Ограничения
применения

15. Модель безопасности ЦОД
ориентированная на угрозы
Л а н д ш а ф т у г р о з
DURING
Detect
Block
Defend
AFTER
Scope
Contain
Remediate
ДО
Контроль
Применение
Усиление
ПОСЛЕ
Видимость
Сдерживание
Устранение
Обнаружение
Блокировка
Защита
ВО ВРЕМЯ
Сеть ОблакоМобильные
устройства
Виртуальные
машины
Оконечные
устройства

16. Вопрос 1
Какая архитектура обеспечения
безопасности ЦОД является
наиболее продвинутой?
1. Ориентированная на
приложения
2. Ориентированная на периметр
ЦОД
3. Ориентированная на
виртуализацию

17. Сегментация средствами сети ЦОД
Контроль
Применение
Усиление
ДО

18. Классическая фабрика
HypervisorHypervisor Hypervisor Hypervisor
VRF Blue VRF Purple
Firewall FirewallNexus 7000
Nexus 5500
Nexus 1000V Nexus 1000V
• Традиционные механизмы для
• изоляции и сегментации на
физических коммутаторах и
виртуальных
• Зонирование для применения
политик
• Разделение физической
инфраструктуры на зоны
 Разделение L2/L3 путей при
помощи VDC/VLAN/…
 VRF – разделение таблиц
маршрутизации
 Фильтрация север-юг, запада –
восток МСЭ или списками
доступа
18

19. Управление политиками в виртуальной сети
Nexus 1000V
 Операционная модель на базе
портовых профилей Port Profiles
 Поддержка политик безопасности с
изоляцией и сегментацией при
помощи VLAN, Private VLAN, Port-
based Access Lists, Cisco Integrated
Security функций
 Обеспечение прозрачности потоков
от виртуальных машин функциями
ERSPAN и NetFlow
Виртуальный коммутатор: Nexus 1000V
Network
Team
Server
Team
Управление и
мониторинг
Роли и
ответственность
Изоляция и
сегментация
Security
Team
Nexus
1000V
19

20. Профиль порта
Nexus 1000V поддерживает:
 ACLs
 Quality of Service (QoS)
 PVLANs
 Port channels
 SPAN ports
port-profile vm180
vmware port-group pg180
switchport mode access
switchport access vlan 180
ip flow monitor ESE-flow input
ip flow monitor ESE-flow output
no shutdown
state enabled
interface Vethernet9
inherit port-profile vm180
interface Vethernet10
inherit port-profile vm180
Port Profile –> Port Group vCenter API
vMotion
Policy Stickiness
Network
Security
Server
20

21. Сервисные цепочки при помощи vPath
vPath это компонент шины данных Nexus 1000V:
• Модель вставки сервиса без привязки к
топологии
• Сервисные цепочки для нескольких
виртуальных сервисов
• Повышение производительности с vPath
например VSG flow offload
• Эффективная и масштабируемая архитектура
• Сохранение существующей модели операций
• Мобильность политик
Cloud Network Services (CNS)
Hypervisor
Nexus 1000VvPath
21

22. Архитектура TrustSec
• Классификация систем/пользователей на базе контекста (роль, устройство, место, способ
подключения)
• Контекст (роль) транслируется в метку Security Group Tag (SGT)
• МСЭ, маршрутизаторы и коммутаторы используют метку SGT для принятия решения о
фильтрации
• Классифицируем один раз – используем результат несколько раз
Users, Devices
Switch Router DC FW DC Switch
HR Servers
Enforcement
SGT Propagation
Fin Servers SGT = 4
SGT = 10
ISE Directory
Classification
SGT:5

23. Способы назначения меток SGT
Динамическая классификация Статическая классификация
• IP Address
• VLANs
• Subnets
• L2 Interface
• L3 Interface
• Virtual Port Profile
• Layer 2 Port Lookup
Классификация для
мобильных устройств
Классификация для серверов
и на базе топологии
802.1X Authentication
MAC Auth Bypass
Web
Authentication
SGT
23

24. Динамическое назначение SGT в правилах
авторизации
• Policy > Authorization >
Permissions > Security Groups
• Requires basic authorization profile
(Access Accept, Access Reject)

25. Nexus 1000V: Назначение SGT через Port Profile
• Port Profile
– Контейнер сетевых
настроек
– Применяется к разным
интерфейсам
• Серверный
администратор
назначает Port Profile
каждой VM
• VM наследует настройки
port-profile, включая SGT
• SGT следует за VM,
даже если она
переместилась

26. Статичное назначение SGT
IP to SGT mapping
cts role-based sgt-map A.B.C.D sgt SGT_Value
VLAN to SGT mapping*
cts role-based sgt-map vlan-list VLAN sgt SGT_Value
Subnet to SGT mapping
cts role-based sgt-map A.B.C.D/nn sgt SGT_Value
L3 ID to Port Mapping**
(config-if-cts-manual)#policy dynamic identity name
L3IF to SGT mapping**
cts role-based sgt-map interface name sgt SGT_Value
L2IF to SGT mapping*
(config-if-cts-manual)#policy static sgt SGT_Value
Пример для IOS CLI
* relies on IP Device Tracking
** relies on route prefix snooping

27. Механизмы распространения меток SGT
Wired
Access
Wireless
Access
DC Firewall
Enterprise
Backbone
DC
Virtual
AccessCampus Core DC Core
DC
Distribution
Physical
Server
Physical
Server
VM
Server
PCI VM
Server
DC
Physical
Access
SGT 20
SGT 30
IP Address SGT SRC
10.1.100.98 50 Local
SXP IP-SGT Binding Table
SXP
SGT = 50
ASIC ASIC
Optionally Encrypted
Inline SGT Tagging
SGT=50
ASIC
L2 Ethernet Frame
SRC: 10.1.100.98
IP Address SGT
10.1.100.98 50
SXP
Non-SGT
capable
Inline Tagging (data plane):
Поддержка SGT в ASIC
SXP (control plane):
Распространение между
устройствами без поддержки SGT в
ASIC
Tag When you can!
SXP when you have
to!

28. Примение политик SGACL (матрица
доступа)
permit tcp dst eq 443
permit tcp dst eq 80
permit tcp dst eq 22
permit tcp dst eq 3389
permit tcp dst eq 135
permit tcp dst eq 136
permit tcp dst eq 137
permit tcp dst eq 138
permit tcp des eq 139
deny ip
Portal_ACL
28

29. Каким образом TrustSec упрощает
сегментирование сетей?
Access Layer
Enterprise
Backbone
Voice
VLAN
Voice
Data
VLAN
Employee
Aggregation Layer
Supplier
Guest
VLAN
BYOD
BYOD
VLAN
Non-Compliant
Quarantine
VLAN
VLAN
Address
DHCP Scope
Redundancy
Routing
Static ACL
VACL
Политика безопасности зависит от топологии
Высокая стоимость и сложность подержки
Voice
VLAN
Voice
Data
VLAN
Employee Supplier BYODNon-Compliant
Использование существующей топологии и
автоматизация применения политик ИБ ->
снижение OpEx
ISE
No VLAN Change
No Topology Change
Central Policy Provisioning
Micro/Macro Segmentation
Employee Tag
Supplier Tag
Non-Compliant Tag
Access Layer
Enterprise
Backbone
DC Firewall / Switch
DC Servers
Policy
TrustSecТрадиционные способы сегментации

30. Контроль доступа Пользователь <> ЦОД
VLAN: Data-1VLAN: Data-2
Коммутатор
ЦОД
Коммутатор ЦОД
Application
Servers
ISE
КСПД
Remediation
Коммутатор
Voice Employee Supplier Non-CompliantVoiceEmployeeNon-Compliant
Shared
Services
Employee Tag
Supplier Tag
Non-Compliant Tag
Коммутатор ЦОД
получает только политики
для конкретных серверов
Независимо от топологии
или местоположения,
политика (Security Group
Tag) следует за
пользователем,
устройством и сервером
TrustSec значительно
упрощает управление
ACL для intra/inter-VLAN
трафика

31. Сегментация внутри ЦОД с помощью
TrustSec
Web
Servers
Database
Servers
Middleware
Servers
Storage

32. POS
Пример выполнения требований по
сегментации для соответствия PCI DSS
Store ABC
Backbone
Floor 1 SW
Floor 2 SW
Data Center
DC FW
POS
PCI DB
ISE
Common
Servers
Employee
Workstation
OS Type: Windows 8
User: John
AD Group: Floor Staff
Device Group: Nurse Workstation
Security Group = Employee
OS Type: Windows 7 Embedded
User: George
AD Group: Point-of-Sales Admin
Device Group: POS
Security Group = PCI Device
Access Privilege
Authorization with
Security Group
ASA Firewall Policy
PCI Scope

33. TrustSec for PCI Compliance
PCI Audit Partner
http://www.cisco.com/c/dam/en/us/solutions/collateral/borderles
s-networks/trustsec/trustsec_pci_validation.pdf

34. Платформы поддерживающие TrustSec
WAN
(GETVPN
DMVPN
IPSEC)
Switch Router Router Firewall DC Switch vSwitch ServerUser
Propagation EnforcementClassification
Catalyst 2960-S/-C/-Plus/-X/-XR
Catalyst 3560-E/-C/-X/-CX
Catalyst 3750-E/-X
Catalyst 3850/3650
Catalyst 4500E (Sup6E/7E)
Catalyst 4500E (Sup8)
Catalyst 6500E (Sup720/2T)
Catalyst 6800
WLC 2500/5500/5400/WiSM2/8510/8540
WLC 5760
Nexus 7000
Nexus 6000
Nexus 5500/2200
Nexus 1000v
ISRG2, CGR2000, ISR4000
IE2000/3000/CGR2000
ASA5500 (RAS VPN)
Catalyst 2960-S/-C/-Plus/-X/-XR
Catalyst 3560-E/-C/, 3750-E
Catalyst 3560-X/3750-X
Catalyst 3850/3650
Catalyst 4500E (Sup6E)
Catalyst 4500E (Sup, 7E, 7LE, 8E)
Catalyst 4500X
Catalyst 6500E (Sup720)
Catalyst 6500/Sup2T, 6800
WLC 2500/5500/5400/WiSM2/8510/8540
WLC 5760
Nexus 7000
Nexus 6000
Nexus 5500/2200
Nexus 1000v
ISRG2,ISR4000
IE2000/3000/CGR2000
ASR1000
ASA5500
Catalyst 3560-X
Catalyst 3750-X
Catalyst 3850/3650
WLC 5760
Catalyst 4500E (7E)
Catalyst 4500E (8E)
Catalyst 6500E (2T)
Catalyst 6800
Nexus 7000
Nexus 6000
Nexus 5500/5600
Nexus 1000v
ISR G2, ISR4000, CGR2000
ASR 1000 Router
CSR-1000v Router
ASA 5500 Firewall
ASAv Firewall
Web Security Appliance
SGT
Propagation PropagationClassification Enforcement
ISE

35. Что представляет собой ACI?
ACI фабрика
Неблокируемая фабрика на базе оверлеев
App DBWeb
Внешняя сеть
передачи
данных
(Tenant VRF)
QoS
Filter
QoS
Service
QoS
Filter
Application Policy
Infrastructure
Controller
APIC
1. Профиль
приложения
2. Кластер
контроллеров
3. Cеть на базе
Nexus 9000

36. “EPG Web” “EPG DB”
EP EP
EP
EP
EP
“EPG App”
EP EP
EP EP
EP
EP EP
End Point Group (EPG).
End Point Group (EPG) - основной
строительный блок в политиках ACI

37. Классификация Endpoint Groups
Ресурсы идентифицируются по их
домену подключения
(virtual/physical/outside) и методу
подключения:
• Virtual machine portgroups (VLAN, VxLAN)
• Physical interfaces / VLANs inc (v)port
channels
• External VLAN
• External subnet
Также можно использовать IP-адреса и
VM-аттрибуты для некоторых
окружений (например Vmware с AVS).

38. Интеграция гипервизоров и ACI
EPG классификация при помощи атрибутов VM
• End Point Group (EPG) могут использовать
несколько методов для классификации
• VM Port Group – это самый простой
механизм классификации ВМ
• Атрибуты ВМ так же могут использоваться
для классификации EPG
• Используется ACI релиз 11.1 с AVS
(первоначальная доступность)
• Поддержка коммутаторов в
гипервизорах VMware vDS, Microsoft
vSwitch, OVS (планируется)
Атрибуты ВМ
Guest OS
VM Name
VM (id)
VNIC (id)
Hypervisor
DVS port-group
DVS
Datacenter
Custom Attribute
MAC Address
IP Address
vCenterVMAttributes
VMTraffic
Attributes

39. Взаимодействие Endpoint Groups
Устройства внутри Endpoint group могут общаться, если имеют IP-связность (основанную на Bridge
Domain/VRF).
Общение между Endpoint group, по умолчанию, запрещено.
“EPG Web”
EP
EP
EP
EP
“EPG App”
EP EP
EP EP
“EPG DB”
EP EP
EP EP

40. “EPG Web”
EP
EP
EP
EP
“EPG App”
EP EP
EP EP
“EPG DB”
EP EP
EP EP
Контракты
Как только мы определили EPG, нам необходимо создать политики
(контракты), которые позволят им общаться.

41. “EPG Web”
EP
EP
EP
EP
“EPG App”
EP EP
EP EP
“EPG DB”
EP EP
EP EP
Контракт : разновидность reflexive
“Stateless” ACL
Фильтры
TCP: 80
TCP: 443
Контракт обычно ссылается на один
и более ‘фильтров’ чтобы явно
указать разрешённые порты и
протоколы между EPG.

42. Контракты (ACL) Consumer is Outside and
Provider is Inside
When this option is enabled, any traffic coming from
the provider back to the consumer will always have
to have the ACK bit set in the packet or else the
packets will be dropped.

43. “EPG Web”
EP
EP
EP
EP
“EPG App”
EP EP
EP EP
“EPG DB”
EP EP
EP EP
Сервисный граф
Contract Contract
При необходимости добавления L4-7 сервисов (например
безопасности), можно добавить сервисный граф к
контракту, который перенаправит трафик на обработчик
сервиса, например ASA или Firepower NGIPS

44. Добавление сервисного графа к контракту

45. “EPG Web”
EP
EP
EP
EP
“EPG App”
EP EP
EP EP
“EPG DB”
EP EP
EP EP
Профиль приложения
Contract Contract
Набор EPG и ассоциированных контрактов, определяющий их
взаимодействие называется профиль приложения.
Application Profile “My Expenses”

46. Интеграция политик TrustSec и ACI
Web App DB
ACI FabricTrustSec domain
Voice Employee Supplier BYOD
Data Center
APIC Policy Domain
APIC
Campus / Branch / Non ACI DC
TrustSec Policy Domain
Voice
VLAN
Data
VLAN
Shared Policy Groups
DB
DB
SG-ACL
SG-FW
Contract

47. ISE Retrieves:
EPG Name: PCI EPG
EPG Binding = 10.1.100.52
Использование TrustSec SGT в политиках
ACI
Enterprise
Backbone
ACI Policy Domain
ACI Border
Leaf (N9K)
ACI Spine (N9K)
NetworkLayerControllerLayer
Plain
Ethernet
(no CMD)
TrustSec Policy Domain
NetworkLayerControllerLayer
ISE
ACI Border
Leaf (N9K)Auditor
10.1.10.220
TrustSec Groups available in ACI Policies
PCI
10.1.100.52
ISE Exchanges:
SGT Name: Auditor
SGT Binding = 10.1.10.220
PCI EPG
10.1.100.52
EPG Name = Auditor
Groups= 10.1.10.220
Plain
Ethernet
(no CMD)
5
SRC:10.1.10.220
DST: 10.1.100.52
SGT: 5
x
SRC:10.1.10.220
DST: 10.1.100.52
EPG
SRC:10.1.10.220
DST: 10.1.100.52

48. Использование ACI EPG в политиках
TrustSec
ACI Policy Domain
ACI Border
Leaf (N9K)
ACI Spine (N9K)
NetworkLayerControllerLayer
Plain
Ethernet
(no CMD)
TrustSec Policy Domain
NetworkLayerControllerLayer
ISE
ISE Retrieves:
EPG Name: PCI EPG
Endpoint= 10.1.100.52
PCI
10.1.100.52
ACI Border
Leaf (N9K)
PCI EPG
Endpoint = 10.1.100.52
Auditor
10.1.10.220
Enterprise
Backbone
Endpoint Groups available in TrustSec Policies
Propagated with SXP:
Auditor = 10.1.10.220
PCI EPG = 10.1.100.52
Retrieved Groups:
Auditor, PCI EPG
SRC:10.1.10.220
DST: 10.1.100.52
SGT (Optional)

49. Настройки ACI в ISE
ACI Settings:
• Controller
• Credentials
• Tenant name defined in ACI
• L3 Routed Network defined
in ACI

50. Группы TrustSec в интерфейсе контроллера
SGTs appear as
External EPGs
Group
Members

51. Вопрос 2
Какие методы назначения меток
могут применятся в TrustSec?
1. Статические
2. Динамические
3. Статические и динамические
4. Полученные из APIC-контроллера
привязки меток к EPG
5. Все из указанных выше

52. Сегментация, обнаружение и
защита средствами
безопасности
Контроль
Применение
Усиление
ДО
Обнаружение
Блокировка
Защита
ВО ВРЕМЯ

53. МСЭ ASA и фабрика ЦОД
• ASA и Nexus Virtual Port Channel
• vPC обеспечивает распределение нагрузки по
соединениям (отсутствие заблокированных STP соед.)
• ASA использует технологии отказоустойчивости ЦОД
• Уникальная интеграция ASA и Nexus (LACP)
• IPS модуль полагается на связность от ASA –
обеспечивает DPI
• Проверенный дизайн для сегментации, защиты от угроз и
прозрачности операций (visibility)
• Transparent (рекомендован) и routed режимы
• Работает в режимах A/S и A/A failover
Уровень агрегации ЦОД
Active vPC Peer-link
vPC vPC
Core
IP1
Core
IP2
Active or
Standby
N7K VPC 41N7K VPC 40
Nexus 1000V
vPath
Hypervisor
Nexus 1000V
vPath
Hypervisor
Core Layer
Aggregatio
n Layer
Access Layers
55

54. Aggregation Layer
L2
L3
FW HA
VPCVPC
VPC
DC Core /
EDGE
VPCVPC
FHRPFHRP
SVI VLAN200 SVI VLAN200
North Zone
VLAN 200
South Zone
VLAN 201
Trunks
VLAN 200
Outside
VLAN 201
Inside
N7K VPC
40
N7K VPC
41
ASA channel
32
VPC PEER LINK
VPC PEER LINK
Access Layer
Подключение ASA к Nexus с vPC
• ASA подключается к Nexus
несколькими интерфейсами с
использованием vPC
• ASA может быть настроена на
переход на резервную коробку в
случае потери нескольких
соединений (при использовании
HA)
• Идентификаторы vPC разные
для каждого МСЭ ASA на
коммутаторе Nexus (это
меняется для кластера ASA и
cLACP [далее…])
Лучшие практики
56

55. Физический сервис для виртуального
HypervisorHypervisor Hypervisor Hypervisor
VRF Blue VRF Purple
Firewall Firewall
Nexus 7000
Nexus 5500
Nexus 1000V Nexus 1000V
• Применяем физические устр-ва для
изоляции и сегментации
виртуальных машин
• Используем зоны для применения
политик
• Физическая инфраструктура
привязывается к зоне
 Разделяем таблицы
маршрутизации по зонам через
VRF
 Политики МСЭ на зоны привязаны
к потокам север-юг, восток-запад
 Проводим L2 и L3 пути через
физические сервисы
58

56. МСЭ & виртуальная среда
Виртуальные контексты ASA для фильтрации потоков между зонами
Firewall Virtual
Context provides
inter-zone East-West
security
Aggregation
Core
Hypervisor Hypervisor
Database
ASA Context 2
Transparent Mode
ASA Context 1
Transparent Mode
ASA 5585
ASA 5585
Aggregation
Core
Physical
Layout
East-West Zone
filtering
VLAN
21
VLAN
20
VLAN
100
VLAN
101
Context1 Context2
Front-End Apps
59

57. Обзор кластера ASA
• Кластеризация поддерживается на 5580, 5585 и
5500-X (5500-X кластер из 2-х устройств)
• CCL – критическое место кластера, без него
кластер не работает
• Среди членов кластера выбирается Master для
синхронизации настроек— не влияет на путь пакета
• Новый термин “spanned port-channel” т.е.
Распределенные/общие настройки порта среди
членов кластера ASA
• Кластер может ре-балансировать потоки
• У каждого потока есть Owner и Director и возможно
Forwarder
• Шина данных кластера ДОЛЖНАиспользовать
cLACP (Spanned Port-Channel)
Cluster Control Link
vPC
Data Plane
Aggregation
Core
ASA Cluster
vPC 40
61

58. Внедрение ASAv : Облачный МСЭ+VPN
• Сегодня для фильтрации между зонами и
тенантами применяется ASA в режиме мульти-
контекст
• Для передачи трафика используются транки
• Проблема – масштабирование фильтрации
Запад-Восток требует ресурсов МСЭ и
масштабируемого транспортного решения
Zone 1 Zone 2 Zone 3
VM 1
VM 2
VM 3
VM 4
VFW 1
VM 5
VM 6
VM 7
VM 8
VFW 2 VFW 3
 ASAv – может быть пограничным МСЭ
и может обеспечивать фильтрацию
Восток-Запад
 На каждого тенанта или зону можно
развернуть одну или несколько ASAv
для FW + VPN
 Масштабируемая терминация VPN
S2S и RA
Vzone 1 Vzone 2
Multi Context Mode ASA

59. ASAv
• 3 режима примения политик
Routed Firewall
• Маршрутизация трафика между vNIC
• Поддержка таблиц ARP и маршрутов
• МСЭ на границе тенанта
Transparent
Firewall
• VLAN или VxLAN Bridging / Stitching
• Поддержка таблицы MAC
• Бесшовная интеграция в L3 дизайн
Service Tag
Switching
• Инспектирование между service tags
• Нет взаимодействия с сетью
• Режим интеграции с фабрикой
64

60. Web-zone
Fileserver-zone
Hypervisor
Nexus 7000
Nexus 5500
Nexus
1000V
VRF
VLAN 50
UCS
VLAN 200
VLAN 300
Защита приложений и видимость
• Инспекция трафика север-юг и восток-запад с
ASA
• Transparent или routed режимы
• Эластичность сервиса
ASAv
.1Q Trunk
VLAN 50
67

61. Web-zone
Fileserver-zone
Hypervisor
Nexus 7000
Nexus 5500
Nexus
1000V
VRF
VLAN 50
UCS
Защита приложений и видимость
• Инспекция трафика север-юг и восток-запад с
ASA
• Глубокая инспекция с virtual IPS – в режиме inline
(коммутация между VLAN) или promiscuous port на
vswitch
Сервисная цепочка – ASAv и vIPS
.1Q Trunk
External VLAN 50
Firesight для
анализа данных
68
Inline Set
Inline Set
Internal
External Internal
VLAN 200

62. Виртуальный IPS

63. vIPS
• Варианты включения в разрыв или пассивный
Web-zone
VLAN 200
Promiscuous
Port
vSwitch
Web-zone
VLAN 200
External
vSwitchvSwitch
70
Internal

64. ASA и FirePOWER в архитектуре ACI
ASA5585
Divert to SFR NGIPSv FirePOWER
ASAv30
ASAv10
FireSIGHT

65. Основной принцип ACI - логическая конфигурация сети, не
привязанная оборудованию
ACI фабрика
Неблокируемая фабрика на базе оверлеев
App DBWeb
Внешняя сеть
передачи
данных
(Tenant VRF)
QoS
Filter
QoS
Service
QoS
Filter
Application Policy
Infrastructure
Controller
APIC
Вставка сервисной цепочки

66. Автоматизация вставки сервиса при помощи
механизма «device package»
OpenDevice
Package
Policy
Engine
APIC реализует расширяемую модель политик
при помощи Device Package
Configuration
Model
Device Interface: REST/CLI
APIC Script Interface
Call Back Scripts
Event Engine
APIC– Policy Manager
Configuration
Model (XML File)
Call Back Script
Администратор загружает файл, содержащий
Device Package в APIC
Device Package содержит XML модель устройства,
которое находится под управлением
Device scripts транслирует вызовы APIC API
в специфичные для устройства CLI команды или API вызовы
APIC

67. • Режим одного и нескольких контекстов поддерживается для релиза
драйвера DP 1.2
• Оба режима используют возможность создания VLAN подинтерфейсов
• Transparent (bump in the wire) режим для вставки “Go-Through”
• Передача пакетов построена на базе MAC адресов. Таблица маршрутизации
влияет на NAT и инспекцию приложений
• Режим Flooding должен быть включен для ACI Bridge Domains
• Routed (Layer 3 hop) режим для вставки “Go-To”
• Общая таблица маршрутизации на контекст требует наличия статических
маршрутов или динамической маршрутизации (DP 1.2) для подключения к EPG.
• Возможность создания нескольких сервисных графов на один контекст
• Для работы требуется уникальность наименования интерфейсов и
списков доступа
Модели интеграция ASA в фабрику ACI

68. • Failover защита от выхода из строя устройства
• Failover соединения имеют один общий активный IP/MAC
• Пара Active/Standby настраивается и управляется APIC’ом. Оба
устройства ASA должны быть зарегистрированы на APIC.
• Режим Active/Active failover не поддерживается
• Кластер обеспечивает высокий уровень производительности в ACI
• До 16 устройств ASA5585-X может быть объединено в один логический
МСЭ
• Режим интерфейса Spanned Etherchannel обеспечивает общий IP и
MAC адрес
• Настройка кластера производится в режиме out of band, но APIC может
управлять им после настройки.
ASA доступность и масштабируемость

69. • Routed Mode (Go-To) Tenant
• Transparent Mode (Go-Through) Tenant
BD2BD1
Интеграция ASA в фабрику ACI
EPG A EPG BFW
Graph B 10.0.0.0/24
External Internal
External
EPG A1 EPG B
Graph A10.0.0.0/24 10.0.0.1 20.0.0.1 20.0.0.0/24
External Internal
BD2BD1
FW
Device Package 1.0 или 1.1

70. BD1 BD2
Routed Mode
BD2BD1
Интеграция ASA в фабрику
EPG A EPG BFW
Graph B
10.0.0.0/24
Tenant B
External Internal
EPG A EPG AFW
Graph A
10.0.0.1 20.0.0.1
Tenant A
External Internal
VRF1 VRF2
OSPF/BGP
OSPF/BGPOSPF/BGP
VRF1 VRF2
10.0.0.2 20.0.0.2
10.0.0.10 10.0.0.11100.0.0.0/24 200.0.0.0/24
201.0.0.0/24
202.0.0.0/24
203.0.0.0/24
101.0.0.0/24
102.0.0.0/24
103.0.0.0/24
200.0.0.0/24
201.0.0.0/24
202.0.0.0/24
203.0.0.0/24
100.0.0.0/24
101.0.0.0/24
102.0.0.0/24
103.0.0.0/24
ASA 1.2 Device Package
Transparent Mode

71. Интеграция с ACI устройств безопасности
Cisco
Подключение к фабрике
ACI
Подключение к фабрике
ACI
Настройка политик
Мониторинг и уведомления в
реальном времени
Настройка политик
События и syslog CSM
ASA Device Package
FirePOWER Device Package
Интеграция ASA Интеграция FirePOWER

72. Рендеринг сервисного графа
Для каждой функции в графе:
1. APIC выбирает логическое устройство из ранее определенных
2. APIC разрешает параметры конфигурации и готовит конфигурационный словарь
3. APIC выделяет VLAN для каждого соединения, ассоциированного с функцией
4. APIC настраивает сеть - VLAN, EPG и соответствующие фильтры
5. APIC запускает скрипт и настраивает сервисное устройство
Function
Firewall
Function
SSL offload
Function
Load Balancer
Сервисный граф: “web-application”
Firewall
Function
SSL offload
Function
Load Balancer
Выделение VLAN
1
2
3
Настройка VLAN 4
5
EPG
Web EPG
App

73. ASA5585 c SFR в сервисном графе – Etherchannel
Po1.300 Po1.301
Vlan 100 Vlan 200
vPC4
VLAN 300
vPC4
Vlan 301
App1
DB
providerconsumer
class firepower_class_map
sfr fail-close
SFR
NGIPS policy
ASA
Когда сервисный граф с сервисным устройством ASA активируется в
определенном контракте (начинается рендеринг), APIC автоматически
настроивает ASA интерфейсы и политики, включая redirection на модуль
FirePOWER. Поддерживаются L3 (GoTo) и L2 (GoThrough) режимы.
FireSIGHT независимо управляет политиками FirePOWER.
ASA 1.2 Device Package
ASA5585+SFR
APIC
Vlan 100
App2 VM

74. Cервисный граф для FirePOWER - LAG
s1p1.300 s1p2.301
Vlan 100 Vlan 200
vPC4
Vlan 300
vPC4
Vlan 301
Идентификаторы VLAN ID назначаются автоматически
из пула и для EPG и для портов сервисных устройств.
Настройка всех портов согласно логике (L2,L3)
производится автоматически.
App DB
consumer provider
FirePOWER использует
LAG (port-channel) для
подключения к фабрике
для обеспечения
отказоустойчивости к
одному коммутатору или
паре коммутаторов с
функцией vPC.
Physical
APIC использует FirePOWER
Device package для
взаимодействия с FireSIGHT
Management Center который
управляет NGIPS
APIC

75. ASAv и FirePOWERv в сервисном графе
vNIC2 vNIC3
Vlan 100 Vlan 200
App
DB
providerconsumer
Устройства ASAv и
NGIPSv разворачиваются
вручную или при помощи
оркестратора. vNIC
интерфейсы, помеченные
как consumer и provider
задействуются при
активации (рендеринге)
сервисного графа.
vNIC2 vNIC3
providerconsumer
Vlan 302 Vlan 303Vlan 300 Vlan 301
APIC полностью управляет
конфигурацией ASAv, при этом настройка
виртуального FirePOWER устройства
выполняется при помощи FireSIGHT.
APIC

76. Сервисная цепочка из двух устройств
“Подключаем”
устройства

77. Сервисная цепочка из двух устройств
Создаем шаблоны
настроек для ASA

78. Сервисная цепочка из двух устройств
Создаем шаблоны
настроек для IPS

79. Сервисная цепочка из двух устройств
Создаем
шаблон
сервисной
цепочки

80. Сервисная цепочка из двух устройств
Привязываем
сервисную
цепочку к
контракту
между EPG

81. Сервисная цепочка из двух устройств
“Привязываем”
интерфейсы
устройств

82. Сервисная цепочка из двух устройств
Работающая
сервисная цепочка

83. Сервисная цепочка из двух устройств
firewall transparent
hostname pierre
interface Management0/0
management-only
nameif mgt
security-level 100
ip address 172.26.42.12 255.255.255.192
route mgt 0.0.0.0 0.0.0.0 172.26.42.1 1
http server enable
http 0.0.0.0 0.0.0.0 mgt
user-identity default-domain LOCAL
aaa authentication telnet console LOCAL
aaa authentication http console LOCAL
username admin password e1z89R3cZe9Kt6Ib
encrypted privilege 15
interface Port-channel1
lacp max-bundle 8
no nameif
no security-level
!
interface TenGigabitEthernet0/6
channel-group 1 mode active
no nameif
no security-level
!
interface TenGigabitEthernet0/7
channel-group 1 mode active
no nameif
no security-level
same-security-traffic permit inter-interface
interface BVI1
ip address 77.10.10.254 255.255.255.0
!
interface Port-channel1.3135
vlan 3135
nameif externalIf
bridge-group 1
security-level 100
!
interface Port-channel1.3174
vlan 3174
nameif internalIf
bridge-group 1
security-level 100
access-list access-list-inbound extended permit ip any any
access-list access-list-inbound extended permit tcp any any eq www
access-list access-list-inbound extended permit tcp any any eq https
access-group access-list-inbound in interface externalIf
Начальная настройка Подключение к APIC Часть сервисной цепочки
ASA5585

84. Вопрос 3
Что необходимо и достаточно
использовать для подключения к
фабрике и управления двумя
устройствами ASA и Firepower?
1. Достаточно Device Package для
ASA и FP, а также FireSight и CSM
2. Достаточно Device Package для
ASA, а также FireSight и CSM
3. Достаточно Device Package для
ASA и FP, а также FireSight
4. Достаточно Device Package для
ASA и FP

85. Мониторинг и
реагирование
21. © 2014 Cisco92
Контроль
Применение
Усиление
ДО
Обнаружение
Блокировка
Защита
ВО ВРЕМЯ
Видимость
Сдерживание
Устранение
ПОСЛЕ

86. Применение NetFlow для безопасности
 Обнаружение сложных и стойких угроз. Выявление вредоносного
ПО внутри защищенного периметра. Выявление угроз нулевого дня.
 Выявление активности каналов управления и контроля BotNet.
Вредоносное ПО с внешними центрами управления может
использоваться для рассылки SPAM, организации DoS атак и другой
вредоносной активности.
 Обнаружение сетевого взлома. Некоторые типы атак используют
различные приемы сетевого сканирования для выбора вектора
атаки, что может быть использовано для выявления угроз.
 Обнаружение внутреннего распространения вредоносного ПО.
Распространение вредоносного ПО по сети может приводить к
потери конфиденциальных и защищенных данных.
 Выявление утечки данных. Вредоносное ПО может содержать код
для организации передачи данных в сторону атакующего. Такие
утечки могут происходить периодически в течении небольших
промежутков времени.
93

87. NetFlow в двух словах
Internal
Network
NetFlow Data
NetFlow Collector

88. Компоненты решения Cyber Threat
Defense
Cisco Network
StealthWatch
FlowCollector
StealthWatch
Management
Console
NetFlow
Users/Devices
Cisco ISE
NetFlow
StealthWatch
FlowReplicator
Other
tools/collectors
https
https
NBAR NSEL
NGA
NetFlow Generating Appliance

89. Решение Cyber Threat Defense
Data Center
Прозрачность, Контекст
и Контроль
Использование NetFlow до
уровня доступа
Унификация инструментов для
обнаружения, расследования и
отчетности
Наполнение данных
информацией идентификации,
событиями, контекстом
Кто
Что
Где
Когда
Как
Cisco ISE
Cisco ISR G2 +
NBAR
Cisco ASA + NSEL
Context

90. Решение Cisco
Обнаружение атак без сигнатур
Высокий Concern Index показывает
существенное количество подозрительных
событий, что является отклонением от
установленной нормы
Host Groups Host CI CI% Alarms Alerts
Desktops 10.10.101.118 338,137,280 112,712% High Concern index Ping, Ping_Scan, TCP_Scan
Мониторинг и нормирование активности для хоста внутри группы
97

91. Идентификация угроз и назначение атрибутов
Интеграция Cisco ISE и Lancope StealthWatch
Policy Start Active
Time
Alarm Source Source
Host
Group
Source User
Name
Target
Inside Hosts 8-Feb-2012 Suspect Data Loss 10.34.74.123 Wired
Data
Bob Multiple Hosts
98

92. Обнаружение распространения malware
NetFlow Capable
Devices
Management
StealthWatch
FlowCollector
StealthWatch
Management
Console3. Сбор и анализ данных
NetFlow 4. Добавление контекстной
информации к данным
NetFlow анализа
5. Повышение Concern index и
генерация события Worm
propagation
Cisco ISE
Initial
Infection
Secondary
Infection
1Заражение происходит по внутренней сети
в соответствии с планом атакующего
2. Инфраструктура создает записи
активности с использованием
NetFlow
Data Center
99

93. Обнаружение распространения malware
Devices
Management
StealthWatch
FlowCollector
StealthWatch
Management
Console3. Сбор и анализ данных
NetFlow 4. Добавление контекстной
информации к данным
NetFlow анализа
5. Повышение Concern index и
генерация события Worm
propagation
Cisco ISE
Tertiary
Infection
Initial
Infection
Secondary
Infection
2. Инфраструктура создает записи
активности с использованием
NetFlow
NetFlow Capable
1. Заражение происходит по внутренней
сети в соответствии с планом атакующего
Data Center
100

94. Примечание про StealthWatch и NSEL
• Поле Flow Action добавляет дополнительный контекст
• Данные о состоянии NSEL используются при поведенческом анализе в StealthWatch (concern Index
points суммируются для событий Flow Denied)
• NAT stitching убирает избыточные записи потоков от ASA и ASR1000
• Отсутствие данных о TCP флагах и счетчиков переданных и принятых байт снижает эффективность
NSEL и позволяет использовать только для обнаружения ряда угроз (ex. SYN Flood); предлагается
использовать в комбинации с дополнительными источниками NetFlow
NetFlow Secure Event Logging
103

95. Visibility в ACI
• Механизм Atomic Counters
• SPAN

96. Ускорение отражения угроз при помощи интеграции между
ACI и FirePOWER NGIPS
Host 3
Приложение 1
(Physical)
Host 1 Host 2
Приложение 2
(Physical)
V
M
V
M
V
M
1. FirePOWER IPS использует возможности ACI
фабрики по мониторингу для обнаружения
атаки на ее самой ранней фазе
Proactive Detection Mitigation Incident Response and Mission Assurance
Жизненный цикл атаки
Weaponize Execute
Deliver Control Maintain
Exploit
Recon
APIC FireSIGHT
2. Механизм «continuous analytics»
компоненты FireSIGHT Manager
обеспечивает обнаружение атаки
3. FireSIGHT использует APIC API для
программирования политики с целью
блокировки атаки (FireSIGHT System
Remediation API), а так же задействует
механизм карантина для нежелательного
трафика
4. FirePOWER IPS непрерывно собирает
информацию о событиях с ACI Фабрики, чтобы
обнаружить новые угрозы

97. UNTPUBLIC
Trusted – No Graph
CORP
APIC
172.28.199.30
Move IP to Quarantine
FireSight
10.0.0.244
FW
NGIPS
10.1.0.234
Relaxed
REST calls to
APIC NB API
ACI Fabric
N9K Leaf Switch
FirePOWER
Appliance
10.0.1.30
SPAN Traffic
AttackESXi – 10.1.0.44
1.1.1.6 1.1.1.7
FW
QUA
Strict
REM
1.1.1.3
Security Feedback Loop

98. Заключение
21.06.2016 © 2015 Cisco and/or its affiliates. All rights reserved.107

99. Отправьте свой вопрос сейчас!
Используйте панель Q&A, чтобы задать вопрос.
Эксперты ответят на Ваши вопросы.

100. Приглашаем
Вас активно
участвовать в
Сообществе и
социальных
сетях
Vkontakte http://vk.com/cisco
Facebook http://www.facebook.com/CiscoSupportCommunity
Twitter https://twitter.com/CiscoRussia
You Tube http://www.youtube.com/user/CiscoRussiaMedia
Google+ https://plus.google.com/106603907471961036146
LinkedIn http://www.linkedin.com/groups/Cisco-Russia-CIS-3798
Instgram https://instagram.com/ciscoru
Подписаться на рассылку
csc-russian@external.cisco.com

101. Мы также
предоставляем
Вашему вниманию
Сообщества на
других языках!
Если Вы говорите на Испанском, Португальском или
Японском, мы приглашаем Вас принять участие в
Сообществах:
Русское
http://russiansupportforum.cisco.com
Испанское
https://supportforums.cisco.com/community/spanish
Португальское
https://supportforums.cisco.com/community/portuguese
Японское
https://supportforums.cisco.com/community/csc-japan
Китайское
http://www.csc-china.com.cn
Если Вы говорите на Испанском,
Португальском или Японском, мы
приглашаем Вас принять участие и вести
общение на Вашем родном языке

102. Технические семинары в клубе Cisco Expo Learning Club
http://ciscoclub.ru/events

103. Пожалуйста, участвуйте в опросе
Спасибо за Ваше внимание!