Безопасность современного ЦОДа

ТЕНДЕНЦИИ ЦОД
ОБЛАЧНЫЕ
СРЕДЫВИРТУАЛИЗАЦИЯ
СООТВЕТСТВИЕ
ТРЕБОВАНИЯМ

C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 3
Давление со всех сторон
Глобальная
доступность
Использование
ресурсов
Защита
окружающей
среды
Соответствие
нормативным
требованиям
Оптимизация
эксплуатации
ЦОД
Гибкость
сервисов
Быстрое
выделение
ресурсов
Производительность
приложений
Доступ
к сервисам
Совместно
работающие
приложения
Пользователи
Внутренние
пользователи
Мобильные
Атакующие
Внешние

Виртуализация
Облачная среда
Традиционный
центр обработки
данных
Виртуализованный
центр
обработки данных
(VDC)
Виртуализо-
ванные
настольные
системы
Внутренние, частные
облачные среды
Виртуальные частные
облачные среды (VPC)
Общедоступные
облачные среды
ВЫ
НАХОДИТЕСЬ
ЗДЕСЬ
?
Консолидация
ресурсов
среды
Автоматизация
предоставления
услуг
Стандартизация
операций

•  Сегментация физических и виртуальных ресурсов
•  Виртуализация и различные гипервизоры
•  Защита в сетях хранения данных
•  Контроль приложений
•  Утечки данных
•  Соответствие требованиям
•  Доступность и обеспечение
бесперебойного
функционирования
•  Переход к облачным вычислениям

•  Потребности бизнеса
Какие операции хочет осуществлять ваша
организация с сетью?
•  Анализ риска
Каково соотношение риска и затрат?
•  Политика безопасности
Каковы политические правила, стандарты и
рекомендации по удовлетворению
потребностей бизнеса и снижению риска?
•  Лучший отраслевой практический опыт
Каковы надежные, хорошо понятные и
рекомендуемые лучшие практические приемы
обеспечения безопасности?
•  Операции обеспечения безопасности
Реакция на инциденты, мониторинг,
сопровождение и аудит соответствия системы.
Технологии
безопасности
Операции безопасности
Разрешение инцидентов, мониторинг
и сопровождение,
проверки соответствия
Лучший
отраслевой
опыт
Нужды
бизнеса
Анализ
риска
Политика безопасности
Политические правила, принципы,
стандарты

•  Множество продуктов, политик, неуправляемых и чужих
устройств, а также доступ в облака

Бизнес-контекст
УПРАВЛЕНИЕ
Вычисления Сеть Хранение Управление
УНИФИЦИРОВАННЫЙ
ЦЕНТР ОБРАБОТКИ
ДАННЫХ
БЕЗОПАСНОСТЬСегментация Защита от угроз Прозрачность
АПРОБИРОВАННАЯ
АРХИТЕКТУРА
Data Center
Security CVD
Виртуальный мультисервисный
центр обработки данных
Физическая | Виртуальная | Облачная среда

Сегментация
•  Установление границ: сеть, вычисления, виртуальные ресурсы
•  Реализация политики по функциям, устройствам, организациям
•  Контроль доступа к сетям, ресурсам. приложениям
Защита от угроз
•  Блокирование внутренних и внешних атак
•  Контроль границ зоны и периметра
•  Доступ к управляющей информации и ее
использование
Прозрачность
•  Обеспечение прозрачности использования
•  Применение бизнес-контекста к работе сети
•  Упрощение отчетности по операциям и соответствию
нормативным требованиям

Периметр ЦОД
Сеть хранения данных (SAN)
1
2
4
Инфраструктура ЦОД3
Сервера и приложения5
Облака6

•  Одно приложение на сервер
•  Статическая
•  Выделение ресурсов вручную
•  Множество приложений на сервер
•  Мобильная
•  Динамическое выделение
ресурсов
•  Множество пользователей на
сервер
•  Адаптивная
•  Автоматическое масштабирование
ГИПЕРВИЗОР
VDC-1 VDC-2
НАГРУЗКА В
ФИЗИЧЕСКОЙ
СРЕДЕ
НАГРУЗКА В
ВИРТУАЛЬНОЙ
СРЕДЕ
НАГРУЗКА
В ОБЛАЧНОЙ
СРЕДЕ
Cisco Nexus® 1000V, Nexus 1010, VM-FEX
UCS для виртуализованных сред
NetApp, EMC
Сеть
Вычисления
Хранение
Cisco Nexus 7K/6K/5K/4K/3K/2K
Cisco UCS для оборудования без
установленного ПО
EMC, NetApp
Мультиконтекстные МСЭ, виртуальные МСЭ,
виртуальное устройство защиты приложений
VSG
Периметр
Зона
Традиционные МСЭ и IPS
Защита приложений
Проекты Data Center Security CVD Виртуальный мультисервисный центр
обработки данных (VMDC)

Сегментация с помощью
матрицы коммутации
UCS Fabric Interconnect
Сегментация сети
Физическая среда
Виртуальная среда (VLAN, VRF)
Виртуализованная среда (зоны)
Сегментация с помощью
межсетевого экрана
Динамический аварийный/
рефлективный список ACL
Мультиконтекстная
сеть VPN
Сегментация с учетом
контекста
Метки для групп безопасности (SGT)
Протокол безопасной передачи (SXP)
ACL-списки для групп безопасности
TrustSec
Реализация согласованных политик независимо от физических и
виртуальных границ для защиты данных стационарных и мобильных
систем.

Физическаясреда
Физический
межсетевой экран
Модуль МСЭ для
коммутатора
•  Проверка всего трафика центра обработки данных в
устройстве обеспечения безопасности периметра сети
•  Высокая скорость для всех сервисов, включая всю систему
предотвращения вторжений (IPS), благодаря единой среде
передачи данных между зонами доверия
•  Разделение внешних и внутренних объектов сети (трафик
«север-юг»)
Трафик «север - юг». Проверка всего входящего и
исходящего трафика центра обработки данных
Виртуальная/
многопользовательская
среда
Виртуальный межсетевой экран контролирует границы сети
Виртуальный шлюз безопасности контролирует зоны
Виртуальный шлюз
(VSG)
Виртуальный
межсетевой экран
Трафик «восток-запад». Создание безопасных зон доверия
между приложениями и пользователями в центре обработки
данных
•  Разделение пользователей в многопользовательских средах
•  Разделяет приложения или виртуальные машины у одного
пользователя

Контроль виртуальной сети
§  Контроль трафика между ВМ
Безопасность виртуального уровня доступа
§  Сохранение контроля за уровнем доступа
Обеспечение выполнения
виртуальных политик
§  Обеспечение выполнения политик
контроля доступа в виртуальной среде
§  Выполнение политик в физической и
виртуальной средах
Эксплуатация и управление
§  Единая среда для управления
физической и виртуальной ИТ-
инфраструктурами
Защита виртуальной среды
Виртуальный сервер
Зона 1 Зона 2
Виртуальный
коммутатор
Физические
МСЭ и IPS

•  Маппирование зон в виртуальные
контексты
•  Сегментация виртуальной
инфраструктуры
•  Направление трафика VM в контексты
МСЭ
•  Сегментация сетевого
трафика внутри зоны
Системный трафик
Трафик VM
Трафик управления

Security
Admin
Port
Group
Service
Admin
Virtual Network
Management Center
•  Консоль управления VSG
•  Запуск на одной из VMs
Virtual Security Gateway
•  Программный МСЭ
•  Запускается на одной из VMs
•  Сегментация и политики для
всех VMs
Виртуальный коммутатор
•  Распределенный virtual switch
•  Запускается как часть
гипервизора
Физический
сервер
•  UCS или
•  Другой x86
server

•  Проверенная безопасность,
обеспечиваемая Cisco®: согласованность
физической и виртуальной безопасности
•  Модель объединенной безопасности
̶  Виртуальный шлюз безопасности Virtual
Secure Gateway (VSG) для
пользовательских защищенных зон
̶  Виртуальный МСЭ для управления
периметром пользовательской сети
•  Прозрачная интеграция
̶  С помощью виртуального коммутатора
•  Гибкость масштабирования для
удовлетворения потребностей в облачных
средах
̶  Внедрение нескольких экземпляров для
развертывания в масштабе ЦОД
Пользователь БПользователь А
VDC
Виртуальное
приложение vApp
Виртуальное
приложение vApp
Гипервизор
Nexus® 1000V
vPath
VDC
Центр управления виртуальными сетями (VNMC)
VMware vCenter
VSG
VSG VSG
vFWvFW
VSG

Динамический контент
Пользователи и
устройства
Ресурсы и запросы
Маркировка трафика данными о контексте в рамках единой политики
(устройство, группа, роль), невосприимчивая к изменениям сети
Несвязанная политика
Бизнес-политика
X
Распределенная
реализация
Метка групп безопасностиМЕТКА

Идентификация Классификация Назначение Распространение
Идентификатор:
Пользователь, устройство
Роль: Кадровая служба
компании
Метка: SGT 5 Совместное использование:
сетевые переходы
Приложения, данные и
сервисы
Отсутствие привязки политики, в результате чего определение отделяется от реализации
Классификация объектов: системы и пользователи
Контекст: роль системы или роль пользователя, устройство, местоположение и метод доступа
Распространение классификации на основе контекста с использованием меток групп безопасности
Межсетевые экраны, маршрутизаторы и коммутаторы используют метки групп в интеллектуальной
политике
Коммутатор Маршрутизатор Межсетевой
экран ЦОД
Коммутатор ЦОД Серверы

•  Контроль доступа основанный на Группах Безопасности позволяет:
Сохранять существующий логический дизайн на уровне доступа
Изменять / применять политику для соответствия текущим бизнес-
требованиями
Распределять политику с центрального сервера управления
SGACL
802.1X/MAB/Web Auth.
Финансы(SGT=10)
Кадры(SGT=11)
Я контрактор
Моя группа ИТ
Контрактор
& ИТ
SGT = 5
SGT = 100

Защита
Недовольные сотрудники
-  Системы предотвращения вторжений
-  Контроль приложений
Хакеры
Киберпреступники
Организованная преступность
Защита компаний от внешних и внутренних угроз

IPS Защита для критически важных центров
обработки данных
•  Обеспечивает аппаратное ускорение проверки,
производительность, соответствующую реальным условиям
эксплуатации, высокую плотность портов и энергоэффективность в
расширяемом шасси
•  Обеспечивает защиту от внешних и внутренних атак
FWNG / App FW Межсетевой экран с учетом приложений и
контекста
•  Обеспечивает проверку с аппаратным ускорением,
производительность, соответствующую реальным условиям
эксплуатации, высокую плотность портов и энергоэффективность в
расширяемом шасси
•  Обеспечивает защиту от внешних и внутренних атак
Защита от угроз

FW NG
Оборудование Интеграция Программное обеспечение
Несколько форм-факторов
Учет контекста
•  Наиболее полный контроль: приложения,
пользователи и устройства
•  Наиболее широко развернутый удаленный
доступ
•  Веб-безопасность бизнес-класса
Учет угроз
•  Защита от совершенно новых угроз
•  Анализ глобальных данных из нескольких
источников угроз
•  Анализ репутации с помощью
человеческого и компьютерного интеллекта
Надежный анализ с учетом состояния и широчайший набор элементов управления с
учетом контекста

Known Attackers
Bots
Web Attacks
Undesirable
Countries
Web Fraud
App DDoS
Scrapers
Phishing Sites
Comment
Spammers
Vulnerabilities
© Copyright 2012 Imperva, Inc. All rights reserved.
24

Dynamic Profiling
Сигнатуры атак
HTTP Protocol Validation
Защита Cookie
Web Fraud Detection
Предотвращение
мошенничества
Защита от
технических
атак
Защита от атак на
бизнес-логику
Корреляцияатак
Геолокация IP
Репутация IP
Anti-Scraping Policies
Bot Mitigation Policies

Web
Application
Firewall
Сервер
управления (MX)
Пользователи
Web
сервера
Web
сервера
Web
Application
Firewall
Web
сервера
Web
Application
Firewall

Управление и
отчетность
• Центр управления ИБ
• Центр управления виртуальными
сетями
Сбор информации
• NetFlow / sFlow
Координация политик
• Identity Services Engine (ISE)
• Маркировка для групп безопасности (SGT)
Поддержание соответствия нормативным требованиям и получение
информации об операциях внутри центра обработки данных

СЕТЬ
Видимость всего трафика
Маршрутизация всех запросов
Источники всех данных
Контроль всех потоков
Управление всеми устройствами
Контроль всех пользователей
Контроль всех потоков

sFlowNetFlow:
Cisco Switches, Routers, и
ASA 5500
Сенсоры NetFlow/sFlow
Консоль управления
•  Наблюдаемость и управление
•  Агрегация от 25 FlowCollector-ов —
До 1.5 миллионов потоков в секунду
NetFlow генерируется на:
•  Cisco switches, routers, ASA 5500
•  FlowSensors на участках, которые не
имеют Netflow
FlowCollector
Identity:
ISE
Приложения:
NBAR/AVC на
Cisco Routers
•  Агрегация потоков, анализ, разбор
содержания
•  Хранит и анализирует до 2,000
источников потоков и до 120K потоков в
секунду
•  ISE, NBAR/AVC обеспечивают контекст
SMC
FC
Контекст угроз

© 2013 Lancope, Inc. All rights reserved.
Интернет
Москва

Казань

Тверь

ASR-‐1000

Cat6k

UCS
с

Nexus

1000v

ASA

Cat6k

3925
ISR

3560-‐X

3850

Stack(s)

Cat4k
ЦОД

WAN

DMZ

Доступ

Xen,
VMware,

Hyper-‐V

Что делает
10.10.101.89?
Политика Время
начала
Тревога Источник Source Host
Groups
Цель Детали
Desktops
& Trusted
Wireless
Янв 3, 2013 Вероятная
утечка
данных
10.10.101.89 Атланта,
Десктопы
Множество
хостов
Наблюдается 5.33 Гб.
Политика позволяет
максимум до 500 Мб

Политика Время
старта
Тревога Источник Группа хостов
источника
Имя
пользователя
Тип
устройства
Цель
Desktops &
Trusted
Wireless
Янв 3,
2013
Вероятная
утечка
данных
10.10.101.89 Атланта,
Десктопы
Джон Смит Apple-iPad Множество
хостов

•  Проверка настроек межсетевых экранов и сетевого
оборудования
•  Расследование инцидентов
•  Troubleshooting

Общие
требования Конкретные
требования

•  №21 от 18.02.2013 «Об утверждении
Состава и содержания
организационных и технических мер
по обеспечению безопасности
персональных данных при их
обработке в информационных
системах персональных данных»
•  Отменяет Приказ ФСТЭК от
05.02.2010 №58
•  Меры по защите ПДн в ГИС
принимаются в соответствии с
требованиями о защите
информации, содержащейся в ГИС

•  №17 от 12.02.2013 «О защите
информации, не составляющей
государственную тайну, содержащейся
в государственных информационных
системах»
•  Все новые и модернизируемые
системы должны создаваться по
новому приказу, а не по СТР-К
Старые системы «живут» по СТР-К
•  Меры по защите ПДн в ГИС
принимаются в соответствии с
требованиями о защите информации,
содержащейся в ГИС

•  Меры по защите среды виртуализации должны исключать
несанкционированный доступ к персональным данным,
обрабатываемым в виртуальной инфраструктуре, и к компонентам
виртуальной инфраструктуры и (или) воздействие на них, в том
числе к средствам управления виртуальной инфраструктурой,
монитору виртуальных машин (гипервизору), системе хранения
данных (включая систему хранения образов виртуальной
инфраструктуры), сети передачи данных через элементы
виртуальной или физической инфраструктуры, гостевым
операционным системам, виртуальным машинам (контейнерам),
системе и сети репликации, терминальным и виртуальным
устройствам, а также системе резервного копирования и
создаваемым ею копиям

Содержание мер
УЗ4
УЗ3
УЗ2
УЗ1

ЗСВ.1
Идентификация и аутентификация субъектов доступа и объектов доступа в
виртуальной инфраструктуре, в том числе администраторов управления средствами
виртуализации

+
+
+
+

ЗСВ.2
Управление доступом субъектов доступа к объектам доступа в виртуальной
инфраструктуре, в том числе внутри виртуальных машин

+
+
+
+

ЗСВ.3
Регистрация событий безопасности в виртуальной инфраструктуре

+
+
+

ЗСВ.4
Управление (фильтрация, маршрутизация, контроль соединения, однонаправленная
передача) потоками информации между компонентами виртуальной инфраструктуры, а
также по периметру виртуальной инфраструктуры

ЗСВ.5
Доверенная загрузка серверов виртуализации, виртуальной машины (контейнера),
серверов управления виртуализацией

ЗСВ.6
Управление перемещением виртуальных машин (контейнеров) и обрабатываемых на
них данных

+
+

ЗСВ.7
Контроль целостности виртуальной инфраструктуры и ее конфигураций

+
+

ЗСВ.8
Резервное копирование данных, резервирование технических средств, программного
обеспечения виртуальной инфраструктуры, а также каналов связи внутри виртуальной
инфраструктуры

+
+

ЗСВ.9
Реализация и управление антивирусной защитой в виртуальной инфраструктуре

+
+
+

ЗСВ.10
Разбиение виртуальной инфраструктуры на сегменты (сегментирование виртуальной
инфраструктуры) для обработки персональных данных отдельным пользователем и
(или) группой пользователей

+
+
+

•  Коммутаторы SAN
Ролевое управление
доступом (RBAC)
Защищенное управление
Контроль доступа
Зонирование FC
Поддержка VSAN
Поддержка FC-SP и FCIP
Port Security
Поддержка SLAP, FCAP,
FCPAP и RFC3723
iSCSI
•  Storage Media Encryption
Безопасность
управления SAN
Протокол
SAN
доступа к SAN
Целостность и безопасность данных
доступа к
системам
хранения
IP SAN
(iSCSI/FCIP)
Сеть Хранения
iSCSI
Target

•  Безопасность сетей хранения
VLAN → VSAN
ACL → hard/soft zoning
Ethernet Port Security → FC Port Security
IPSec → FCSec, как часть FC-SP
•  Безопасность виртуализации
VLAN → виртуальные контексты (virtual device context)
ACL → атрибуты виртуальных машин
Ethernet Port → Virtual PortChannel
•  Есть нюанс – сертифицированные СЗИ
Ориентироваться на них или нет?

Интернет-
периметр
РАСПРЕДЕЛЕНИЕ
Сеть
хранения
ASA 5585-X ASA 5585-X
VDC
Nexus 7018 Nexus 7018
ЯДРО
= вычисления
= сеть
= безопасность
Nexus
серии
7000
Nexus
серии
5000
Nexus
серии
2100
Зона
Унифицированная
вычислительная
система
Nexus
1000V
VSG
Многозонная
структура
Catalyst
6500
СЕРВИСЫ
VSS
Межсетевой
экран ACE
Модуль
анализа сети
(NAM)
Система
предотвращения
вторжений (IPS)
VSSVPCVPCVPCVPCVPCVPCVPCVPC
Серверная стойка 10G Серверная стойка 10 G Унифицированные
вычисления
Унифицированный доступ

Самостоятельные
некритичные сервисы
Управляющие
некритичные сервисы
Управляющие
критичные сервисы

Своя ИТ-
служба
Хостинг-
провайдер
IaaS PaaS SaaS
Данные Данные Данные Данные Данные
Приложения Приложения Приложения Приложения Приложения
VM VM VM VM VM
Сервер Сервер Сервер Сервер Сервер
Хранение Хранение Хранение Хранение Хранение
Сеть Сеть Сеть Сеть Сеть
- Контроль у заказчика
- Контроль распределяется между заказчиком и владельцем внешнего ЦОД
- Контроль у владельца внешнего ЦОД

•  Стратегия безопасности во внешнем ЦОД
Пересмотрите свой взгляд на понятие «периметра ИБ»
Оцените риски – стратегические, операционные, юридические
Сформируйте модель угроз
Сформулируйте требования по безопасности
Пересмотрите собственные процессы обеспечения ИБ
Проведите обучение пользователей
Продумайте процедуры контроля аутсорсера
Юридическая проработка взаимодействия с аутсорсером
•  Стратегия выбора внешнего ЦОД-партнера
Чеклист оценки ИБ для внешнего ЦОД

•  Финансовая устойчивость аутсорсера
•  Схема аутсорсинга
XaaS, hosted service, MSS
•  Клиентская база
•  Архитектура
•  Безопасность и privacy
•  Отказоустойчивость и резервирование
•  Планы развития новых функций

•  Финансовые гарантии
•  Завершение контракта
•  Интеллектуальная собственность

Формирование
доверительных отношений
§  Защищенная инфраструктура
распределенных сетевых сервисов
Защищенные подключения и доступ
§  Защищенное увеличение емкости
§  Защищенный доступ для
пользователей, работающих
в офисе, и мобильных пользователей
Защищенные приложения на
распределенной платформе
§  Защита от угроз
§  Подтверждение соответствия
нормативным требованиям
Безопасное расширение в среды XaaS
SaaS
IaaS
PaaS
Защищенный
доступ
Филиал
Мобильные
Внутренние
Защищенное
подключение
51

Структура и технологии ЦОД меняются
Эти изменения сильно сказываются
на системе обеспечения безопасности
Необходимо выстраивать долговременную
стратегию создания защищенных ЦОД без границ
Нормативные требования регуляторов по ИБ
непросто применить к современным подходам
построения распределенных ЦОДов
1
2
3

http://www.facebook.com/CiscoRu
http://twitter.com/CiscoRussia
http://www.youtube.com/CiscoRussiaMedia
http://www.flickr.com/photos/CiscoRussia
http://vkontakte.ru/Cisco
http://blog.cisco.ru/

Благодарим за
внимание!
security-request@cisco.com

Безопасность современного ЦОДа

More Related Content

What's hot

Viewers also liked

Similar to Безопасность современного ЦОДа

More from Aleksey Lukatskiy

Безопасность современного ЦОДа