Проектирование защищенных центров обработки данных Cisco.

ТЕНДЕНЦИИ ЦОД
ОБЛАЧНЫЕ
СРЕДЫВИРТУАЛИЗАЦИЯ
СООТВЕТСТВИЕ
ТРЕБОВАНИЯМ

ПРИОРИТЕТЫ
50%
55%
58%
59%
62%
65%
66%
66%
68%
69%
70%
76%
0% 10% 20% 30% 40% 50% 60% 70% 80%
Инициативы повышения энергоэффективности/экологичности
Возможность использования новых приложений
Централизация ИТ-сервисов
Консолидация оборудования
Повышение масштабируемости
Консолидация ЦОД
Расширение возможностей управления
Виртуализация
Снижение эксплуатационных затрат
Хранение данных/резервное копирование
Сокращение простоев
Повышение уровня безопасности
Основные причины инвестиций в технологии центров обработки данных
Процент респондентов, выставивших балл 6 или 7
Стимулы
Источник: Стратегии развертывания центров обработки данных:
Исследование североамериканских компаний, Infonetics, февраль 2011 г.
Повышение уровня безопасности

АДЕКВАТНОСТЬ
МОЖЕТ решить проблемы
виртуализации и перехода на
облачные среды
МОЖЕТ сократить циклы обновления
центров обработки данных
МОЖЕТ решить проблемы
соответствия нормативным
требованиям
МОЖЕТ обеспечить отличие вашего
подхода от предложений
конкурентов
МОЖЕТ увеличить объем сделок
МОЖЕТ повысить ваш статус
доверенного советника
БЕЗОПАСНОСТЬ
Превращение ВОЗМОЖНОСТИ в РЕАЛЬНОСТЬ

C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 5
• Сегментация физических и виртуальных ресурсов
• Виртуализация и различные гипервизоры
• Защита в сетях хранения данных
• Контроль приложений
• Утечки данных
• Соответствие требованиям
• Доступность и обеспечение
бесперебойного
функционирования
• Переход к облачным вычислениям

• Множество продуктов, политик, неуправляемых и чужих
устройств, а также доступ в облака

СЕТЬ
Видимость всего трафика
Маршрутизация всех запросов
Источники всех данных
Контроль всех потоков
Управление всеми устройствами
Контроль всех пользователей
Контроль всех потоков

Интегрированная
архитектура ИБ
Локальный и
глобальный анализ
угроз
Общие политика
&
Управление
Сеть,
реализующая
политику
Многофункциона-
льное устройство
Анализ угроз
Политика &
Управление
Hardware
Сеть
Одноцелевое
устройство
Network
Security
Content
Security
Ана-
лиз
угроз
Policy
&
Mgmt
HW
Ана-
лиз
угроз
Policy
&
Mgmt
HW
Сеть
Архитектура Cisco обеспечивает:
• Понимание контекста
• Всесторонний обзор
• Масштабируемый контроль
• Динамическая адаптация к новым угрозам
• Защита данных и приложений

Архитектурный подход для…
Профессиональные сервисы, Соответствие, CVD
Cisco Intelligent Network
Общие политика и управление
Глобальный и локальный анализ угроз
Облако
Защита перехода к
виртуализации и облакам
BYOD
Защищенный доступ для
распределенного рабочего
места
КоммутаторыУстройства Wi-FiВиртуалка МаршрутизаторыЧастное облако
Интегрированная защита от угроз
Email МСЭ WebVPNПолитика IPS
Сеть, реализующая политику
Взаимодействие
Защищенные приложения,
контент и трафик

C
I2 I4
A
ЛОКАЛЬНО
Бизнес Контекст
Кто
Что
Как
Откуда
Когда
Внутри ВАШЕЙ сети
ГЛОБАЛЬНО
Ситуационный
анализ угроз
Снаружи ВАШЕЙ сети
Репутация
Взаимо-
действия
APP Приложения
URL Сайты

Динамический контекст Абстрагированная политика
Бизнес-политика
Ресурсы и требования
X
Распределенное
применение
Пользователи и
устройства
Распределенный
движок политик

Обзор Контроль
0010 010 10010111001 10 100111 010 000100101 110011 01100111010000110000111000111010011101 1100001110001110 1001 1101 1110011 0110011 101000
0010 010 10010111001 10 100111 010 000100101 110011 01100111010000110000111000111010011101 1100001110001110 1001 1101 1110011 0110011 101000
Cisco SIO
1.6M
ГЛОБАЛЬНЫХ СЕНСОРОВ
75TB
ДАННЫХ ЕЖЕДНЕВНО
150M+
УСТАНОВЛЕННЫХ ENDPOINT
35%
МИРОВОГО EMAIL ТРАФИКА
13B
WEB-ЗАПРОСОВ
WWW
Email WebУстройства
IPS EndpointsСети
24x7x365
ОПЕРАЦИИ
40+
ЯЗЫКОВ
600+
ИНЖЕНЕРОВ И ИССЛЕДОВАТЕЛЕЙ
80+
PH.D.S, CCIE, CISSP, MSCE
$100M+
ТРАТИТСЯ НА ИССЛЕДОВАНИЯ И
РАЗРАБОТКИ
От 3 до 5
МИНУТ ИНТЕРВАЛ МЕЖДУ
ОБНОВЛЕНИЯМИ
5,500+
IPS СИГНАТУР ВЫПУЩЕНО
8M+
ПРАВИЛ В ДЕНЬ
200+
ПАРАМЕТРОВ ОТСЛЕЖИВАЕТСЯ
70+
ПУБЛИКАЦИЙ ВЫПУЩЕНО
Облачный глобальный анализ угроз
Информация
Действия
WWW
ESA ASA WSA
AnyConnectCWS IPS

Защищенный
унифицирован-
ный доступ
Интегрирован-
ная защита от
угроз
центр
обработки
данных
Использование
разрешенных
приложений &
контента
Распределенное
рабочее место &
BYOD
Расширенный
периметр & новые
угрозы
Применение новых
средств
взаимодействия
Переход к
виртуализации &
облакам
• Защищенная динамическая сегментация
• Встроенная защита от угроз
• Обзор через «физику», виртуалку и
облака
• Гибкие идентификация и контроль
приложений
• Внедрение в облаке и в локальной
инфраструктуре
• Federated identity (SAML)
• Гибкие опции внедрения
• Учет состояния / политики
• Понимание глобального /
локального контекста
• Идентификация всех устройств
• Контекстный доступ
• Унифицированный wired/wireless/VPN
доступ

Бизнес-контекст
УПРАВЛЕНИЕ
Вычисления
В
ы
ч
и
с
л
е
н
и
я
С
е
т
ь
Х
р
а
н
е
н
и
е
Сеть Хранение Управление
УНИФИЦИРОВАННЫЙ
ЦЕНТР ОБРАБОТКИ
ДАННЫХ
БЕЗОПАСНОСТЬСегментация Защита от угроз Прозрачность
АПРОБИРОВАННАЯ
АРХИТЕКТУРА
Data Center
Security CVD
Виртуальный мультисервисный
центр обработки данных
Физическая | Виртуальная | Облачная среда

Сегментация
• Установление границ: сеть, вычисления, виртуальные ресурсы
• Реализация политики по функциям, устройствам, организациям
• Контроль доступа к сетям, ресурсам. приложениям
Защита от угроз
• Блокирование внутренних и внешних атак
• Контроль границ зоны и периметра
• Доступ к управляющей информации и ее
использование
Прозрачность
• Обеспечение прозрачности использования
• Применение бизнес-контекста к работе сети
• Упрощение отчетности по операциям и соответствию
нормативным требованиям

• Одно приложение на сервер
• Статическая
• Выделение ресурсов вручную
• Множество приложений на сервер
• Мобильная
• Динамическое выделение
ресурсов
• Множество пользователей на
сервер
• Адаптивная
• Автоматическое масштабирование
ГИПЕРВИЗОР
VDC-1 VDC-2
НАГРУЗКА В
ФИЗИЧЕСКОЙ
СРЕДЕ
НАГРУЗКА В
ВИРТУАЛЬНОЙ
СРЕДЕ
НАГРУЗКА
В ОБЛАЧНОЙ
СРЕДЕ
Cisco Nexus® 1000V, Nexus 1010, VM-FEX
UCS для виртуализованных сред
NetApp, EMC
Сеть
Вычисления
Хранение
Cisco Nexus 7K/6K/5K/4K/3K/2K
Cisco UCS для оборудования без
установленного ПО
EMC, NetApp
Мультиконтекстное устройство ASA, ASA 1000V,
виртуальное устройство WSA/ESA
VSG
Периметр
Зона
Cisco ASA5585, ASA-SM, IPS4500,
WSA
---
Проекты Data Center Security CVD Виртуальный мультисервисный центр
обработки данных (VMDC)

Сегментация с помощью
матрицы коммутации
UCS Fabric Interconnect
Сегментация сети
Физическая среда
Виртуальная среда (VLAN, VRF)
Виртуализованная среда (зоны)
Сегментация с помощью
межсетевого экрана
Динамический
аварийный/рефлективный список ACL
Мультиконтекстная
сеть VPN
Сегментация с учетом
контекста
Метки для групп безопасности (SGT)
Протокол безопасной передачи (SXP)
ACL-списки для групп безопасности
TrustSec
Реализация согласованных политик независимо от физических и
виртуальных границ для защиты данных стационарных и мобильных
систем.

Физическаясреда
Cisco® ASA 5585-X
Модуль ASA SM для
Cisco Catalyst 6500
• Проверка всего трафика центра обработки данных в
устройстве обеспечения безопасности периметра сети
• Высокая скорость для всех сервисов, включая всю систему
предотвращения вторжений (IPS), благодаря единой среде
передачи данных между зонами доверия
• Разделение внешних и внутренних объектов сети (трафик
«север-юг»)
Трафик «север - юг». Проверка всего входящего и
исходящего трафика центра обработки данных
Виртуальная/
многопользовательская
среда
Виртуальный межсетевой экран ASA 1000V контролирует
границы сети
Виртуальный шлюз безопасности (VSG) контролирует зоны
Виртуальный шлюз
безопасности Cisco
(VSG)
Cisco ASA 1000V
Виртуальный
межсетевой экран
Трафик «восток-запад». Создание безопасных зон доверия
между приложениями и пользователями в центре обработки
данных
• Разделение пользователей в многопользовательских средах
• Разделяет приложения или виртуальные машины у одного
пользователя

Конфиденциальная информация CiscoC97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 20
Сервисный модуль ASAУстройство ASA 5585
Обеспечивает плотность в 8 раз выше, чем продукты
конкурирующих производителей
В 4 раза большее количество сеансов
В 2 раза большее количество соединений в секунду
В 2 раза более высокая эффективность защиты
В 6 раз ниже потребление электроэнергии
Выход за рамки традиционных решений благодаря
лидирующим в отрасли системным возможностям
64 Гбит/с
1,2 млн соединений в секунду
1000 виртуальных контекстов
4000 сетей VLAN
Cisco® ASA 5585-X v9.0 с функцией кластеризации
Сегментация с использованием
межсетевого экрана

Возможность ASASM FWSM
Списки ACL реальных IP-адресов/ Да Нет
Глобальные списки ACL
IPv6 по технологии Fast-Path Да (16 Гбит/с) Нет (80 Мбит/c)
Максимальная пропускная способность
объединительной панели 10 Гбит/с 1 Гбит/с
Кол-во записей управления доступом 2 миллиона 80 тысяч
Записи
Инъекция очищенного трафика на маршруте Нет Да
Сеть VPN Полная поддержка Только управление
после FCS

Сервисы МСЭ, IPS и VPN для ЦОД
Производительность
• 35 Gbps производительности МСЭ
• Производительность МСЭ и IPS 10 Gbps
• Мастабируется до 10,000 VPN-пользователей
Защита инвестиций
• Масштабируемая аппаратная платформа
Мультисервисная безопасность от лидера
• Защита от современных угроз с Botnet Traffic Filtering и
аппаратно-ускоренной IPS
с сервисом глобальной корреляции
• Безопасный доступ с Cisco AnyConnect™
Высокопроизводительная и масштабируемая
аппаратная платформа

• CTX
ASA Context Mode
• vPC
Virtual PortChannel
• VDCs
Nexus 7000 Series Virtual
Device Contexts
• VSS
Cisco Catalyst 6500 Series
Virtual Switching System
• VXI
Cisco Virtualization
Experience Infrastructure
Высокопроизводительные
Firewall, VPN и IPS для
ЦОД
Поддержка и
интеграция

ASA 5585-S10P10
ASA 5585-S20P20
ASA 5585-S40P40
ASA 5585-S60P60
Производительностьимасштабируемость
ЦОДЛокальная сетьФилиал
Удовлетворение требований клиентов
FWSM ASASM

Security
Admin
Port
Group
Service
Admin
Virtual Network
Management Center
• Консоль управления VSG
• Запуск на одной из VMs
Virtual Security Gateway
• Программный МСЭ
• Запускается на одной из VMs
• Сегментация и политики для
всех VMs
Nexus 1000V with vPath
• Распределенный virtual
switch
• Запускается как часть
гипервизора
Физический
сервер
• UCS или
• Другой x86
server

• Проверенная безопасность,
обеспечиваемая Cisco®: согласованность
физической и виртуальной безопасности
• Модель объединенной безопасности
̶ Виртуальный шлюз безопасности Cisco
Virtual Secure Gateway (VSG) для
пользовательских защищенных зон
̶ Cisco ASA 1000V для управления
периметром пользовательской сети
• Прозрачная интеграция
̶ С помощью коммутатора Cisco Nexus®
1000V и Cisco vPath
• Гибкость масштабирования для
удовлетворения потребностей в облачных
средах
̶ Внедрение нескольких экземпляров для
развертывания в масштабе ЦОД
Пользователь БПользователь А
VDC
Виртуальное
приложение vApp
Виртуальное
приложение vApp
Гипервизор
Cisco Nexus® 1000V
Cisco vPath
VDC
Центр управления виртуальными сетями Cisco®
(VNMC)
VMware vCenter
Cisco
VSG Cisco
VSG
Cisco
VSG
Cisco ASA
1000V
Cisco ASA
1000V
Cisco
VSG

Динамический контент
Пользователи и
устройства
Ресурсы и запросы
Маркировка трафика данными о контексте в рамках единой политики
(устройство, группа, роль), невосприимчивая к изменениям сети
Несвязанная политика
Бизнес-политика
X
Распределенная
реализация
Метка групп безопасностиМЕТКА

Идентификация Классификация Назначение Распространение
Идентификатор:
Пользователь, устройство
Роль: Кадровая служба
компании
Метка: SGT 5 Совместное использование:
сетевые переходы
Приложения, данные и
сервисы
Отсутствие привязки политики, в результате чего определение отделяется от реализации
Классификация объектов: системы и пользователи
Контекст: роль системы или роль пользователя, устройство, местоположение и метод доступа
Распространение классификации на основе контекста с использованием меток групп безопасности
Межсетевые экраны, маршрутизаторы и коммутаторы используют метки групп в интеллектуальной
политике
Коммутатор Маршрутизатор Межсетевой
экран ЦОД
Коммутатор ЦОД Серверы

• Контроль доступа основанный на Группах Безопасности позволяет:
Сохранять существующий логический дизайн на уровне доступа
Изменять / применять политику для соответствия текущим бизнес-
требованиями
Распределять политику с центрального сервера управления
SGACL
802.1X/MAB/Web Auth.
Финансы(SGT=10)
Кадры(SGT=11)
Я контрактор
Моя группа ИТ
Контрактор
& ИТ
SGT = 5
SGT = 100

Защита
Недовольные сотрудники
- Устройство обеспечения безопасности IPS 4500
- Контроль приложений Cisco® ASA CX
Хакеры
Киберпреступники
Организованная преступность
Защита компаний от внешних и внутренних угроз

Cisco IPS 4500 Защита для критически важных центров
обработки данных
• Обеспечивает аппаратное ускорение проверки,
производительность, соответствующую реальным условиям
эксплуатации, высокую плотность портов и энергоэффективность в
расширяемом шасси
• Обеспечивает защиту от внешних и внутренних атак
Cisco ASA CX Межсетевой экран с учетом приложений и
контекста
• Обеспечивает проверку с аппаратным ускорением,
производительность, соответствующую реальным условиям
эксплуатации, высокую плотность портов и энергоэффективность в
расширяемом шасси
• Обеспечивает защиту от внешних и внутренних атак

Модель Средняя производительность Список
IPS-4510-K9 3 Гбит/с $79,995
IPS-4520-K9 5 Гбит/с $135,995
10 Гбит/c для будущих разработок
Конкурентоспособное решение с оптимальным соотношением
«цена/качество» для центра обработки данных

Показатель Значение
Cisco® IPS
4510
Cisco IPS
4520
Средняя
производительность
проверки
Реальный трафик
Cisco использует пять сторонних
тестов, которые показывают состав
смешанного трафика
развертываний.
3 Гбит/с 5 Гбит/с
Максимальная
производительность
проверки
Реальный трафик
Cisco использует пять сторонних
тестов, которые показывают состав
смешанного трафика
развертываний.
5 Гбит/с 10 Гбит/с
Максимальное
количество
подключений
Динамично функционирующим
центрам обработки данных
требуется большое количество
подключений.
3,800,000 8,400,000
Кол-во подключений
в секунду
Беспроблемная обработка
всплесков
подключений.
72,000 100,000
Среднее время
задержки
Большинство сбоев транзакций
происходит из-за проблем с TTL.
<150 микросекунд <150 микросекунд
Эффективны решения,
ориентированные
на устранение уязвимостей.
Более 25 000 угроз Более 25 000 угроз

Зоны высокого
риска
Низкое
развертываний
0
10
20
30
40
50
60
70
80
90
Behind VPN
Concentrator
In front of
Public Facing
Web
Application
In front of
primary Data
Center
In Network
Core
Perimeter
behind FW
Perimeter in
front of FW
Between
different
business units
Between
Corporate
Campuses
Between
different
business
functions
За VPN-
концентратором
Перед
общедоступным
web-
приложением
Перед
основным
ЦОД
В ядре сети Периметр
перед
межсетевым
экраном
Между
различными
подразделе-
ниями
Большинство
клиентов
выполняют
развертывания только
по периметру
Зоны высокого
риска
Низкое
развертываний
Низкое количество
развертываний в
зонах высокого риска =
большие возможности
Периметр за
межсетевым
экраном
Между
комплексами
зданий
предприятия
Между
различными
отделами

Управление и
отчетность
• Cisco® Security Manager (SM)
• Центр управления виртуальными
сетями Cisco (VNMC)
Сбор информации
• Cisco NetFlow
Координация политик
• Cisco Identity Services Engine (ISE)
• Маркировка для групп безопасности Cisco TrustSec (SGT)
Поддержание соответствия нормативным требованиям и получение
информации об операциях центра обработки данных

БEЗОПАСНОСТЬ
СЕТЬ ВЫЧИСЛЕНИЯ
Атрибуты виртуальной машины
Профили
безопасности
Профили
портов
vCenter
Администратор
сервера
N1KV
сети
CSM
VNMC
Физическая среда Виртуальная среда
NetFlow
сети
Cisco® NetFlow

Испытано в лаборатории и утверждено архитектором.
Интернет-
периметр
РАСПРЕДЕЛЕНИЕ
Сеть
хранения ASA 5585-
X
ASA 5585-
X
VDC
Nexus 7018 Nexus 7018
ЯДРО
Nexus
серии
7000
Nexus
серии
5000
Nexus
серии
2100
Зона
Унифицированная
вычислительная
система
Nexus
1000V
VSG
Многозонная
структура
Catalyst
6500
СЕРВИСЫ
VS
S
Межсетевой
экран ACE
Модуль
анализа сети
(NAM)
Система
предотвращения
вторжений (IPS)
VS
S
VPCVPCVPCVPCVPCVPCVPCVPC
Физический центр
Безопасность,
апробированные
архитектуры Cisco (CVD)
Виртуальный центр
Виртуализованный
мультисервисный центр
обработки данных (VMDC)
Проверено. Совместимость | Масштабируемость | Надежность

ПОКУПАТЕЛИЧЕРЕЗ КОГО ОСНОВНЫЕ
КАТЕГОРИИ
SPECIALISTS
CHANNEL PARTNERS
SALES GENERALISTS
NETWORK OPS
SECURITY OPS
APPLICATION TEAMS
DATA CENTER OPS
CSO
ROUTER SECURITY
NETWORK APPLIANCE
CONTENT SECURITY
ENTERPRISE LICENSE
AGREEMENT
ARCHITECTURE PLAY
ALL C-LEVELSSMART SOLUTIONS CIO

Преимущества решений Cisco Отличие от конкурентов
Эксплуатационная согласованность
• Компания Cisco предлагает продукты для обеспечения безопасности
физических и виртуальных центров обработки данных, созданных на основе
одной и той же базовой технологии, ASA и IPS
• Выгода для клиентов состоит в идентичности функций управления, обучения
использованию продуктов и знаний, а также в одинаковых методах оценки
уровня безопасности развертываемых форм-факторов, интегрированных в
сеть или наложенных платформ
• Компания Cisco поддерживает плавный переход от физической к виртуальной
и облачной инфраструктуре
Апробированные архитектуры центров
• Компания Cisco проектирует и проводит лабораторные испытания архитектур
центров обработки данных, чтобы обеспечить соответствие самым строгим
требованиям, предъявляемым к современным сетям
• Выгода для клиентов заключается в том, что Cisco апробирует архитектуры,
сокращая время на развертывание, упрощая эксплуатацию и включая
средства обеспечения безопасности в архитектуры на этапе проектирования
Интеграция с сетью
• Компания Cisco закладывает средства обеспечения безопасности при
проектировании сети, используя такие инновационные технологии, как VM-
Fex, решение Cisco для виртуализации транспорта (OTV), протокол Locator/ID
Separation Protocol (LISP) и vPath
• Клиент получает полную прозрачность всего трафика, а не ограниченный
доступ через определенные сетевые интерфейсы и порты SPAN
Выделение отличительных преимуществ

*Infonetics Data Center Security report 2011
**SFDC Analysis
Secure Data Center
Обычный DC Deal
+
Рост за счет Security
Cisco Nexus 7K/5K/3K/2K
Cisco UCS
Cisco Nexus 1000V, Nexus 1010,
VM-FEX
UCS для виртуализации
Обзор инфраструктуры
$151K
За счет Security
41%
Увеличение
размера сделки
$523k
Secure DC
Общий размер
сделки

ТК22 ТК122 ТК362 РГ ЦБ
«Безопасность
ИТ» (ISO SC27 в
России)
«Защита
информации в
кредитных
учреждениях»
«Защита
информации»
при ФСТЭК
Разработка рекомендаций по ПДн,
СТО БР ИББС v4 и 382-П/2831-У
ФСБ МКС ФСТЭК РАЭК РКН
Экспертиза
документов
Предложения
Экспертиза и
разработка
Экспертиза и
разработка
Консультативный
совет

• №21 от 18.02.2013 «Об утверждении
Состава и содержания
организационных и технических мер
по обеспечению безопасности
персональных данных при их
обработке в информационных
системах персональных данных»
• Отменяет Приказ ФСТЭК от
05.02.2010 №58
• Меры по защите ПДн в ГИС
принимаются в соответствии с
требованиями о защите
информации, содержащейся в ГИС

• №17 от 12.02.2013 «О защите
информации, не составляющей
государственную тайну, содержащейся
в государственных информационных
системах»
• Все новые и модернизируемые
системы должны создаваться по
новому приказу, а не по СТР-К
Старые системы «живут» по СТР-К
• Меры по защите ПДн в ГИС
принимаются в соответствии с
требованиями о защите информации,
содержащейся в ГИС

• Меры по защите среды виртуализации должны исключать
несанкционированный доступ к персональным данным,
обрабатываемым в виртуальной инфраструктуре, и к компонентам
виртуальной инфраструктуры и (или) воздействие на них, в том
числе к средствам управления виртуальной инфраструктурой,
монитору виртуальных машин (гипервизору), системе хранения
данных (включая систему хранения образов виртуальной
инфраструктуры), сети передачи данных через элементы
виртуальной или физической инфраструктуры, гостевым
операционным системам, виртуальным машинам (контейнерам),
системе и сети репликации, терминальным и виртуальным
устройствам, а также системе резервного копирования и
создаваемым ею копиям

Содержание мер УЗ4 УЗ3 УЗ2 УЗ1
ЗСВ.1 Идентификация и аутентификация субъектов доступа и объектов доступа в
виртуальной инфраструктуре, в том числе администраторов управления средствами
виртуализации
+ + + +
ЗСВ.2 Управление доступом субъектов доступа к объектам доступа в виртуальной
инфраструктуре, в том числе внутри виртуальных машин
+ + + +
ЗСВ.3 Регистрация событий безопасности в виртуальной инфраструктуре
+ + +
ЗСВ.4 Управление (фильтрация, маршрутизация, контроль соединения, однонаправленная
передача) потоками информации между компонентами виртуальной инфраструктуры, а
также по периметру виртуальной инфраструктуры
ЗСВ.5 Доверенная загрузка серверов виртуализации, виртуальной машины (контейнера),
серверов управления виртуализацией
ЗСВ.6 Управление перемещением виртуальных машин (контейнеров) и обрабатываемых на
них данных
+ +
ЗСВ.7 Контроль целостности виртуальной инфраструктуры и ее конфигураций
+ +
ЗСВ.8 Резервное копирование данных, резервирование технических средств, программного
обеспечения виртуальной инфраструктуры, а также каналов связи внутри виртуальной
инфраструктуры
+ +
ЗСВ.9 Реализация и управление антивирусной защитой в виртуальной инфраструктуре
+ + +
ЗСВ.10 Разбиение виртуальной инфраструктуры на сегменты (сегментирование виртуальной
инфраструктуры) для обработки персональных данных отдельным пользователем и
(или) группой пользователей
+ + +

550+ ФСБ НДВ 28 112
Сертификатов
ФСТЭК на
продукцию Cisco
Сертифицировала
решения Cisco
(совместно с С-
Терра СиЭсПи)
Отсутствуют в
ряде
продуктовых
линеек Cisco
Линеек
продукции
Cisco прошли
сертификацию
по схеме
«серийное
производство»
Продуктовых
линеек Cisco
сертифицированы
во ФСТЭК

• Многофункциональные защитные устройства
Cisco ASA 5512-X, 5515-X, 5525-X, 5545-X, 5555-X
Cisco ASA 5585-X – уже сертифицирован
• Системы предотвращения вторжений
Cisco IPS 4345, 4360, 4510, 4520
Cisco IPS for АСУ ТП
• Межсетевые экраны
Cisco ASA 1000v
Cisco ASA SM
Cisco ASA CX
Cisco VSG
• Системы сегментации
Cisco Interconnect / Cisco Nexus 1000V / Cisco Nexus 3K/4K/5K/6K

CSM NetFlow VNMCISE
ASA 5585-X ASA 1000V VSG Nexus 1000V TrustSec
IPS4500 ASA CX WSA

УНИФИЦИРОВАННЫЙ
ЦЕНТР ОБРАБОТКИ
ДАННЫХ
БЕЗОПАСНОСТЬ
АПРОБИРОВАННАЯ
АРХИТЕКТУРА
Средний
уровень
Высокий
уровень
Низкий
уровеньТекущие возможности

Интернет-
периметр
РАСПРЕДЕЛЕНИЕ
Сеть
хранения
ASA 5585-X ASA 5585-X
VDC
Nexus 7018 Nexus 7018
ЯДРО
= вычисления
= сеть
= безопасность
Nexus
серии
7000
Nexus
серии
5000
Nexus
серии
2100
Зона
Унифицированная
вычислительная
система
Nexus
1000V
VSG
Многозонная
структура
Catalyst
6500
СЕРВИСЫ
VSS
Межсетевой
экран ACE
Модуль
анализа сети
(NAM)
Система
предотвращения
вторжений (IPS)
VSSVPCVPCVPCVPCVPCVPCVPCVPC
Серверная стойка 10G Серверная стойка 10 G Унифицированные
вычисления
Унифицированный доступ

* Продемонстрировано на VMworld 2011
* Продемонстрировано на VMworld 2011
Cisco®
VSG
Cisco ASA
1000V
• Защита виртуальной инфраструктуры на разных
уровнях (категория, виртуальное приложение,
виртуальный ЦОД и пользователь)
• Динамическое масштабирование в ходе
эксплуатации
• Поддержка мобильности виртуальной машины
• Предотвращение избыточного трафика в
физическую инфраструктуру; независимо от VLAN
• Управление виртуальной машиной на основе
контекста для Cisco VSG
Безопасность
виртуальных
сред
Cisco
ASA-SM
Cisco
ASA 5500-X
серии
Безопасность
внутренних
сегментов
сети
• Сегментированная внутренняя сеть
• Политика, применяемая к VLAN
• Использование виртуальных контекстов
Cisco
ASA 5500-X
серии
Интернет-
периметр
сети
• Фильтрация внешнего трафика
• Широкая поддержка протоколов приложений
• Защита доступа к VPN и нейтрализация угроз

Формирование
доверительных отношений
 Защищенная инфраструктура
распределенных сетевых сервисов
Защищенные подключения и доступ
 Защищенное увеличение емкости
 Защищенный доступ для
пользователей, работающих
в офисе, и мобильных пользователей
Защищенные приложения на
распределенной платформе
 Защита от угроз
 Подтверждение соответствия
нормативным требованиям
Безопасное расширение в среды XaaS
SaaS
IaaS
PaaS
доступ
Филиал
Мобильные
пользователи
Внутренние
пользователи
Защищенное
подключение
55

Структура и технологии ЦОД меняются
Эти изменения сильно сказываются
на системе обеспечения безопасности
Cisco располагает долговременной стратегией
создания защищенных ЦОД без границ
Сосредоточьтесь на развитии своего бизнеса, а
Cisco поможет построить ЦОД, удовлетворяющий
потребностям вашей компании
1
2
3

http://www.facebook.com/CiscoRu
http://twitter.com/CiscoRussia
http://www.youtube.com/CiscoRussiaMedia
http://www.flickr.com/photos/CiscoRussia
http://vkontakte.ru/Cisco
http://blog.cisco.ru/

Благодарим за
внимание!
security-request@cisco.com

Проектирование защищенных центров обработки данных Cisco.

More Related Content

What's hot

Viewers also liked

Similar to Проектирование защищенных центров обработки данных Cisco.

More from Cisco Russia

Проектирование защищенных центров обработки данных Cisco.