Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
Интеграция сервисов информационной
безопасности в NFV инфраструктуру.
Как сделать из ИБ сервиса VNF?
Антоненко Виталий
План
• Что такое NFV инфраструктура?
• Что такое сетевая функция? Чем отличается от сервиса?
• Что такое vCPE?
• Как описа...
Ключевые технологии
Software Defined
Networking
Network Function
Virtualization
Control Plane
Data Plane
Функциональность
...
Что такое NFVI?
• Инфраструктура виртуализации сетевых функций (NFVI) —
совокупность аппаратного и программного обеспечени...
Что такое сетевая функция?
Функции базовой настройки
– DHCP
L2 функции
– Firewall, IDS, learning switch
L3 функции
– NAT, ...
Что такое жизненный цикл сетевой
функции?
24.05.17 ARCCN, Antonenko, PHDays 2017 6
Шаблон(ы) Конфигурация
Функционирование...
Что такое MANO?
ARCCN, Antonenko, PHDays 2017 7
Уровень Оркестрации Сервисов (NFVO)
Уровень Управления Функциями (VNFM)
Ур...
Что такое С2?
ARCCN, Antonenko, PHDays 2017 8
Уровень Оркестрации Сервисов (NFVO)
Уровень Управления Функциями (VNFM)
Уров...
Зачем это нужно?
24.05.17 ARCCN, Antonenko, PHDays 2017 9
Автоматизация
установки и настройки
• Компонент
инфраструктуры о...
Сервис ИБ
24.05.17 ARCCN, Antonenko, PHDays 2017 10
Безопасность облачной инфраструктуры
Безопасность на базе
облачной инф...
Что такое vCPE?
• virtual Customer Premises Equipment
• физические иили виртуальные устройства на стороне клиента и
виртуа...
Что такое vCPE?
CPE
DHCP FW NAT
ISP Интернет
ARCCN, Antonenko, PHDays 2017 1224.05.17
Что такое vCPE?
CPE ISP Интернет
ISP
Cloud
vDHCP
vFW
vNAT
ARCCN, Antonenko, PHDays 2017 1324.05.17
Сетевая функция PTAF
ARCCN, Antonenko, PHDays 2017 1424.05.17
Application Firewall
Что значит описать функцию?
VNF
Образ
• Образ ОС
• Образ ОС + ПО
tosca_definitions_version: tosca_simple_yaml_1_0
descript...
Как описать PTAF для оркестрации в облаке?
ARCCN, Antonenko, PHDays 2017 16
Виртуальная Машина
ptaf:
type: tosca.nodes.C2C...
Как описать PTAF для оркестрации в облаке?
24.05.17 ARCCN, Antonenko, PHDays 2017 17
port1:
type:
tosca.nodes.network.C2Po...
Как описать PTAF для оркестрации в облаке?
ARCCN, Antonenko, PHDays 2017 18
Управляющая сеть
ext_net:
type: tosca.nodes.ne...
ВМ
PTAF
Как описать PTAF для оркестрации в облаке?
ARCCN, Antonenko, PHDays 2017 19
Service_net Ext_net
ext_router
24.05.1...
Как описать PTAF для оркестрации в облаке?
ARCCN, Antonenko, PHDays 2017 20
ВМ
PTAFService_net Ext_net
ext_router
24.05.17...
Как описать PTAF для оркестрации в облаке?
24.05.17 ARCCN, Antonenko, PHDays 2017 21
Выходные параметры
outputs:
ip:
descr...
Как описать PTAF для оркестрации в облаке?
ARCCN, Antonenko, PHDays 2017 22
Политика восстановления
icmp_policy:
type:
tos...
Масштабирование PTAF в облаке
ARCCN, Antonenko, PHDays 2017 23
Service_net
24.05.17
Трафик сервисной цепочки
Ext_net ext_r...
C2
Верхнеуровневая архитектура
18.10.16 24
CPE
Оркестратор
VNF 1
VNF
n
. . .
...
MPLS
VXLAN
IPSec
…
GATE
Tag to Network Se...
IPSec tunnel
Физическая инфраструктура
24.05.17 ARCCN, Antonenko, PHDays 2017 25
CPE
DCRack SwitchIPSec
C2 Compute 1 C2 Co...
IPSec tunnel
Виртуальная инфраструктура
24.05.17 ARCCN, Antonenko, PHDays 2017 26
CPE
DCRack SwitchIPSec
C2 Compute 1 C2 C...
IPSec tunnel
Виртуальный сервис
24.05.17 ARCCN, Antonenko, PHDays 2017 27
CPE
DC
br-lan
Rack SwitchIPSec
C2 Compute 1 C2 C...
28
Видео
ARCCN, Antonenko, PHDays 201724.05.17
Дальнейшие планы
• Добавление новых функций и нагрузочное тестирование
разработанных функций
• Формирование списка рекомен...
24.05.17 ARCCN, Antonenko, PHDays 2017 30
SDN & NFV + Security = ♥️
ОЖИДАНИЯ VS …
Антоненко Виталий
vantonenko@arccn.ru
www.arccn.ru
Спасибо за внимание!
ARCCN, Antonenko, PHDays 2017 3124.05.17
,спасибо ...
Upcoming SlideShare
Loading in …5
×

Интеграция сервисов информационной безопасности в NFV-инфраструктуру

0 views

Published on

В рамках секции: Построение безопасного облака

Published in: Technology
  • Be the first to comment

  • Be the first to like this

Интеграция сервисов информационной безопасности в NFV-инфраструктуру

  1. 1. Интеграция сервисов информационной безопасности в NFV инфраструктуру. Как сделать из ИБ сервиса VNF? Антоненко Виталий
  2. 2. План • Что такое NFV инфраструктура? • Что такое сетевая функция? Чем отличается от сервиса? • Что такое vCPE? • Как описать WAF для интеграции в NFV облако? • Как оркестрировать сетевую функцию WAF в NFV облаке? • Демонстрация текущих результатов • Дальнейшие планы ARCCN, Antonenko, PHDays 2017 224.05.17
  3. 3. Ключевые технологии Software Defined Networking Network Function Virtualization Control Plane Data Plane Функциональность Программная Реализация 24.05.17 ARCCN, Antonenko, PHDays 2017 3
  4. 4. Что такое NFVI? • Инфраструктура виртуализации сетевых функций (NFVI) — совокупность аппаратного и программного обеспечения, образующего окружение, в котором могут быть установлены и работать виртуальные сетевые функции • Основа для поддержки жизненного цикла виртуальных сетевых функций • Управление подобными инфраструктурами осуществляется при помощи MANO платформ 24.05.17 ARCCN, Antonenko, PHDays 2017 4
  5. 5. Что такое сетевая функция? Функции базовой настройки – DHCP L2 функции – Firewall, IDS, learning switch L3 функции – NAT, DPI, LB L4 – L7 функции – Web-server, DB-server, VPN * Сетевой сервис – последовательность сетевых функций Зачем нужны сетевые функции? Обеспечивать мониторинг состояния функции Масштабируемость Доступность 24.05.17 ARCCN, Antonenko, PHDays 2017 5
  6. 6. Что такое жизненный цикл сетевой функции? 24.05.17 ARCCN, Antonenko, PHDays 2017 6 Шаблон(ы) Конфигурация ФункционированиеДеинициализация Инициализация Масштабирование Восстановление
  7. 7. Что такое MANO? ARCCN, Antonenko, PHDays 2017 7 Уровень Оркестрации Сервисов (NFVO) Уровень Управления Функциями (VNFM) Уровень Управления Инфраструктурой (VIM) 24.05.17 С2 Платформа
  8. 8. Что такое С2? ARCCN, Antonenko, PHDays 2017 8 Уровень Оркестрации Сервисов (NFVO) Уровень Управления Функциями (VNFM) Уровень Управления Инфраструктурой (VIM) С2 Orchestrator С2 Manager С2 Core (+ OpenStack Plugin) С2 Monitoring С2 GUI С2 Network 24.05.17
  9. 9. Зачем это нужно? 24.05.17 ARCCN, Antonenko, PHDays 2017 9 Автоматизация установки и настройки • Компонент инфраструктуры облака • Компонент пользователя и оператора • Поддержка нескольких поставщиков инфраструктуры Целостность облачных приложений • Поддержка жизненного цикла (ЖЦ) сетевого сервиса и ВМ • Восстановление после сбоев • Интеграция облачной сети с транспортной сетью Безопасность • Шифрование пользовательского трафика • Безопасность периметра • Безопасное окружение приложений пользователя • Безопасность на каналах между распределенными компонентами облака
  10. 10. Сервис ИБ 24.05.17 ARCCN, Antonenko, PHDays 2017 10 Безопасность облачной инфраструктуры Безопасность на базе облачной инфраструктуры
  11. 11. Что такое vCPE? • virtual Customer Premises Equipment • физические иили виртуальные устройства на стороне клиента и виртуальная инфраструктура в ЦОД провайдера или в облаке • «Облачная модель» или Cloud-модель – все виртуальные функции размещаются на стороне провайдера ЦОД или облака • Edge-модель – все виртуальные функции размещаются на стороне клиента • Гибридная модель 24.05.17 ARCCN, Antonenko, PHDays 2017 11
  12. 12. Что такое vCPE? CPE DHCP FW NAT ISP Интернет ARCCN, Antonenko, PHDays 2017 1224.05.17
  13. 13. Что такое vCPE? CPE ISP Интернет ISP Cloud vDHCP vFW vNAT ARCCN, Antonenko, PHDays 2017 1324.05.17
  14. 14. Сетевая функция PTAF ARCCN, Antonenko, PHDays 2017 1424.05.17 Application Firewall
  15. 15. Что значит описать функцию? VNF Образ • Образ ОС • Образ ОС + ПО tosca_definitions_version: tosca_simple_yaml_1_0 description: > Snort. server: type: tosca.nodes.Compute attributes: ports: in: port1 out: port1 capabilities: host: properties: disk_size: 10 GB mem_size: 4096 MB os: properties: architecture: x86_64 … TOSCA Example • Описание параметров ВМ • Описание внутренней топологии • Описание параметров мониторинга • Описание политик оркестрации • Восстановление функции • Масштабирование функции • … ARCCN, Antonenko, PHDays 2017 15 Скрипты Шаблон TOSCA yaml 24.05.17
  16. 16. Как описать PTAF для оркестрации в облаке? ARCCN, Antonenko, PHDays 2017 16 Виртуальная Машина ptaf: type: tosca.nodes.C2Compute attributes: ports: in: port1 out: port2 capabilities: host: properties: disk_size: 40 GB mem_size: 4 GB num_cpus: 2 ptaf: … properties: os_image: ptaf initialization_system: false Операционная система 24.05.17 Сервисный порт 1 Служебный Порт Сервисный порт 2
  17. 17. Как описать PTAF для оркестрации в облаке? 24.05.17 ARCCN, Antonenko, PHDays 2017 17 port1: type: tosca.nodes.network.C2Port properties: order: 1 Сервисный порт 1 Служебный Порт Сервисный порт 2 port2: type: tosca.nodes.network.C2Port properties: order: 2 …
  18. 18. Как описать PTAF для оркестрации в облаке? ARCCN, Antonenko, PHDays 2017 18 Управляющая сеть ext_net: type: tosca.nodes.network.Network Управляющий порт Маршрутизатор во внешнюю сеть ext_router: type: tosca.nodes.Router properties: external: true Внешний порт router_port: type: tosca.nodes.network.Port requirements: – binding: ext_router – link: ext_net 24.05.17 web_int_port: type: tosca.nodes.network.C2Port properties: need_ip: true order: 0 requirements: – binding: ptaf – link: ext_net
  19. 19. ВМ PTAF Как описать PTAF для оркестрации в облаке? ARCCN, Antonenko, PHDays 2017 19 Service_net Ext_net ext_router 24.05.17 port1 port2 web_int _port router_port Трафик сервисной цепочки
  20. 20. Как описать PTAF для оркестрации в облаке? ARCCN, Antonenko, PHDays 2017 20 ВМ PTAFService_net Ext_net ext_router 24.05.17 port1 port2 web_int _port router_port Трафик сервисной цепочки FW 1 IDS 2 3
  21. 21. Как описать PTAF для оркестрации в облаке? 24.05.17 ARCCN, Antonenko, PHDays 2017 21 Выходные параметры outputs: ip: description: url value: { concat: [get_attribute: [web_int_port, ip_address], ':8443'] }
  22. 22. Как описать PTAF для оркестрации в облаке? ARCCN, Antonenko, PHDays 2017 22 Политика восстановления icmp_policy: type: tosca.policies.Healing.Zabbix properties: triggers: [ICMP_60] targets: [ptaf] default_action: reboot scaling_out_policy: type: tosca.policies.Scaling.Out.Zabbix properties: targets: [ptaf, ext_router, ext_net] triggers: [CPU_60sec_80perc] Политика масштабирования вширь (out) Политика масштабирования внутрь (in) scaling_in_policy: type: tosca.policies.Scaling.In.Zabbix properties: triggers: [CPU_60sec_20perc] targets: [ptaf, ext_router, ext_net] 24.05.17
  23. 23. Масштабирование PTAF в облаке ARCCN, Antonenko, PHDays 2017 23 Service_net 24.05.17 Трафик сервисной цепочки Ext_net ext_router router_port ВМ PTAF port1 port2 web _int_ port Ext_net ext_router router_port ВМ PTAF port1 port2 web _int_ port С2-net С2-net С2-net С2-net Balancer
  24. 24. C2 Верхнеуровневая архитектура 18.10.16 24 CPE Оркестратор VNF 1 VNF n . . . ... MPLS VXLAN IPSec … GATE Tag to Network Segment rule CPE контроллер VXLAN tags OSS/BSS ARCCN Webinars, Antonenko Vitaly
  25. 25. IPSec tunnel Физическая инфраструктура 24.05.17 ARCCN, Antonenko, PHDays 2017 25 CPE DCRack SwitchIPSec C2 Compute 1 C2 Compute 2 C2 Controller Ext Gate eth0 eth0 eth0 eth1 eth0 Внешняя сеть wlan eth1
  26. 26. IPSec tunnel Виртуальная инфраструктура 24.05.17 ARCCN, Antonenko, PHDays 2017 26 CPE DCRack SwitchIPSec C2 Compute 1 C2 Compute 2 eth0 wlan eth1 C2 Controller eth1 eth0 eth0 eth0 Ext Gate br-lan Внешняя сеть br-tun br-int vxlan1 vxlan br-int br-tunvxlan br-gate-vlan vlan br-gate-vxlan vxlan С2 CUBE OpenFlowControl Plane OpenFlow br-tun br-intbr-lb Control Plane OpenFlow br-lb Control Plane OpenFlow exit_vlan DHCP NAT PTAF
  27. 27. IPSec tunnel Виртуальный сервис 24.05.17 ARCCN, Antonenko, PHDays 2017 27 CPE DC br-lan Rack SwitchIPSec C2 Compute 1 C2 Compute 2 eth0 vxlan1 wlan eth1 C2 Controller eth1 eth0 br-gate-vlan br-int br-gate-vxlan br-tun eth0 eth0 Ext Gate br-tun br-int br-tun br-int Внешняя сеть DHCP NAT PTAF vxlan vxlan vlan vxlan С2 CUBE OpenFlowControl Plane OpenFlow br-lb br-lb Control Plane OpenFlow Control Plane OpenFlow exit_vlan SFC to mac1 SFC to mac2 SFC to mac_ext SFC to gate
  28. 28. 28 Видео ARCCN, Antonenko, PHDays 201724.05.17
  29. 29. Дальнейшие планы • Добавление новых функций и нагрузочное тестирование разработанных функций • Формирование списка рекомендаций для разработчиков VNF • Пилотирование проекта в лабораториях разработчиков функций и телеком операторов • Разработка системы проверки функций (sandbox) перед добавлением в облако • Формирование E2E решения (от CPE до интеграции с OSS/BSS потенциального заказчика) 24.05.17 ARCCN, Antonenko, PHDays 2017 29
  30. 30. 24.05.17 ARCCN, Antonenko, PHDays 2017 30 SDN & NFV + Security = ♥️ ОЖИДАНИЯ VS …
  31. 31. Антоненко Виталий vantonenko@arccn.ru www.arccn.ru Спасибо за внимание! ARCCN, Antonenko, PHDays 2017 3124.05.17 ,спасибо за PTAF!

×