Cisco Russia , profile picture
Uploaded byCisco Russia
PDF, PPTX308 views

Защита центров обработки данных. Механизмы безопасности для классической фабрики и фабрики ориентированной на приложения ACI – До, Во Врем

Документ рассматривает защиту центров обработки данных (ЦОД) с акцентом на механизмы безопасности для классической фабрики и архитектуры, ориентированной на приложения. Он охватывает проблемы безопасности, виртуализации, сегментации сети и методы контроля доступа к информации для предотвращения угроз. Также подчеркивается интеграция новых технологий, таких как ACI и TrustSec, для управления безопасностью в динамичных экосистемах ЦОД.

Embed presentation

Download as PDF, PPTX
Защита центров обработки данных. Механизмы безопасности для классической фабрики и фабрики ориентированной на приложения ACI – До, Во Время и После Руслан Иванов ruivanov@cisco.com Станислав Рыпалов srypalov@cisco.com 23.11.15 © 2015 Cisco and/or its affiliates. All rights reserved.
Не удается отобразить рисунок. Возможно, рисунок поврежден или недостаточно памяти для его открытия. Перезагрузите компьютер, а затем снова откройте файл. Если вместо рисунка все еще отображается красный крестик, попробуйте удалить рисунок и вставить его заново. Не удается отобразить рисунок. Возможно, рисунок поврежден или недостаточно памяти для Защита центров обработки данных. Механизмы безопасности для классической фабрики и фабрики ориентированной на приложения ACI – До, Во Время и После 23.11.15 © 2015 Cisco and/or its affiliates. All rights reserved.2
Безопасность и виртуализация в ЦОД Безопасность ЦОД приоритеты, проблемы Встроенные механизмы защиты Устройства безопасности в ЦОД Мониторинг и реагирование Заключение 3
Архитектурные вызовы в современном ЦОД Развивающиеся угрозы Не удается отобразить рисунок. Возможно, рисунок поврежден или недостаточно памяти для его открытия. Перезагрузите компьютер, а затем снова откройте файл. Если вместо рисунка все еще отображается красный крестик, попробуйте удалить рисунок и вставить его заново. Новые приложения (Физические, виртуализированные и облачные) Не удается отобразить рисунок. Возможно, рисунок поврежден или недостаточно памяти для его открытия. Перезагрузите компьютер, а затем снова откройте файл. Если вместо рисунка все еще отображается красный крестик, попробуйте удалить рисунок и вставить его заново. Новые тренды распределения трафика в сети ЦОД Source: Cisco Global Cloud Index, 2012
Просто, Эффективно и Доступно Сегментация •  Определение границ: сеть, вычислительный ресурс, вируальная сеть •  Применение политик по функциям - устройство, организация, соответствие •  Контроль и предотвращение НСД к сети, ресурсам, приложениям Защита от угроз •  Блокирование внешних и внутренних атак и остановки сервисов •  Патрулирование границ зон безопасности •  Контроль доступа и использования информации для предотвращения ее потери Видимость •  Обеспечение прозрачности использования •  Применение бизнес-контекста к сетевой активности •  Упрощение операций и отчетности Север-Юг Восток-Запад Защита, Обнаружение, Контроль
Какая архитектура для обеспечения безопасности ЦОД является правильной? Ориентация на виртуализацию Отсутствие поддержки физических сред Ограниченная видимость Сложность управления (2 сети вместо одной!) Ориентация на приложения Любая нагрузка в любом месте Полная видимость Автоматизация Не удается отобразить рисунок. Возможно, рисунок Ориентация на периметр Сложно и много ручных процессов Ошибки конфигурации Статическая топология Ограничения применения
Модель безопасности ЦОД ориентированная на угрозы Л а н д ш а ф т у г р о з DURING Detect Block Defend AFTER Scope Contain Remediate ДО Контроль Применение Усиление ПОСЛЕ Видимость Сдерживание Устранение Обнаружение Блокировка Защита ВО ВРЕМЯ Сеть ОблакоМобильные устройства Виртуальные машины Оконечные устройства
Сегментация средствами сети ЦОД 23.11.15 © 2014 Cisco and/or its affiliates. All rights reserved.8 Контроль Применение Усиление ДО
Классическая фабрика HypervisorHypervisor Hypervisor Hypervisor VRF Blue VRF Purple Firewall Firewall Nexus 7000 Nexus 5500 Nexus 1000V Nexus 1000V Традиционные механизмы для изоляции и сегментации на физических коммутаторах и виртуальных Зонирование для применения политик Разделение физической инфраструктуры на зоны §  Разделение L2/L3 путей при помощи VDC/VLAN/… §  VRF – разделение таблиц маршрутизации §  Фильтрация север-юг, запада – восток МСЭ или списками доступа 9
Управление политиками в виртуальной сети Nexus 1000V § Операционная модель на базе портовых профилей Port Profiles § Поддержка политик безопасности с изоляцией и сегментацией при помощи VLAN, Private VLAN, Port-based Access Lists, TrustSec и Cisco Integrated Security функций § Обеспечение прозрачности потоков от виртуальных машин функциями ERSPAN и NetFlow Виртуальный коммутатор: Nexus 1000V Network Team Server Team Управление и мониторинг Роли и ответственность Изоляция и сегментация Security Team Nexus 1000V 10
Профиль порта Nexus 1000V поддерживает: ü  ACLs ü  Quality of Service (QoS) ü  PVLANs ü  Port channels ü  SPAN ports port-profile vm180 vmware port-group pg180 switchport mode access switchport access vlan 180 ip flow monitor ESE-flow input ip flow monitor ESE-flow output no shutdown state enabled interface Vethernet9 inherit port-profile vm180 interface Vethernet10 inherit port-profile vm180 Port Profile –> Port Group vCenter API vMotion Policy Stickiness Network Security Server 11
Сервисные цепочки при помощи vPath vPath это компонент шины данных Nexus 1000V: •  Модель вставки сервиса без привязки к топологии •  Сервисные цепочки для нескольких виртуальных сервисов •  Повышение производительности с vPath например VSG flow offload •  Эффективная и масштабируемая архитектура •  Сохранение существующей модели операций •  Мобильность политик Cloud Network Services (CNS) Hypervisor Nexus 1000V vPath 12
Архитектура TrustSec •  Классификация систем/пользователей на базе контекста (роль, устройство, место, способ подключения) •  Контекст (роль) транслируется в метку Security Group Tag (SGT) •  МСЭ, маршрутизаторы и коммутаторы используют метку SGT для принятия решения о фильтрации •  Классифицируем один раз – используем результат несколько раз 13 Users, Devices Switch Router DC FW DC Switch HR Servers Enforcement SGT Propagation Fin Servers SGT = 4 SGT = 10 ISE Directory Classification SGT:5
Назначение группы 14 Динамическая классификация Статическая классификация •  IP Address •  VLANs •  Subnets •  L2 Interface •  L3 Interface •  Virtual Port Profile •  Layer 2 Port Lookup Классификация для мобильных устройств Классификация для серверов и на базе топологии 802.1X Authentication MAC Auth Bypass Web Authentication SGT 14
Механизмы распространения меток SGT 15 Wired Access Wireless Access DC Firewall Enterprise Backbone DC Virtual AccessCampus Core DC Core DC Distribution Physical Server Physical Server VM Server PCI VM Server DC Physical Access SGT 20 SGT 30 IP Address SGT SRC 10.1.100.98 50 Local SXP IP-SGT Binding Table SXP SGT = 50 ASIC ASIC Optionally Encrypted Inline SGT Tagging SGT=50 ASIC L2 Ethernet Frame SRC: 10.1.100.98 IP Address SGT 10.1.100.98 50 SXP Non-SGT capable Inline Tagging (data plane): Поддержка SGT в ASIC SXP (control plane): Распространение между устройствами без поддержки SGT в ASIC Tag When you can! SXP when you have to!
Применение политик SGACL (матрица доступа) 16 permit tcp dst eq 443 permit tcp dst eq 80 permit tcp dst eq 22 permit tcp dst eq 3389 permit tcp dst eq 135 permit tcp dst eq 136 permit tcp dst eq 137 permit tcp dst eq 138 permit tcp des eq 139 deny ip Portal_ACL 16
Сегментация средствами ACI 23.11.15 © 2014 Cisco and/or its affiliates. All rights reserved.17 Контроль Применение Усиление ДО
Что представляет собой ACI? ACI фабрика Неблокируемая фабрика на базе оверлеев App DBWeb Внешняя сеть передачи данных (Tenant VRF) QoS Filter QoS Service QoS Filter Application Policy Infrastructure Controller APIC 1. Профиль приложения 2. Кластер контроллеров 3. Cеть на базе Nexus 9000
Tenant: Логический контейнер для размещения политик приложений.Этот контейнер может быть выделен отдельному арендатору, организации или приложению. Application Profile: профиль приложения моделирует требования приложения к сети и включает в себя необходимое количество EPG. Bridge Domain: Логическая конструкция представляющая L2- сегмент передачи данных внутри фабрики. Один или несколько EPG могут быть ассоциированы с одним BD. Объектная модель используемая в ACI Tenant A ANP 3-tier App ANP Storage BridgeDomainBD_1 BridgeDomainBD_2 Контракт КонтрактКонтракт EPG NetApp_LIF EPG VM-NIC EPG База данных EPG Сервер приложений EPG Web-сервер
End Point Group (EPG): EPG это набор физических или виртуальных объектов, для которых должны быть обеспечены одинаковые политики и сервисы при подключении к сети. Например набор виртуальных машин или интерфейсов СХД. Контракты: регламентирует правила передачи данных между EPG при помощи механизмов фильтрации, обеспечения качества обслуживания и перенаправления трафика на внешние сервисные устройства, такие как МСЭ и т.д. Объектная модель используемая в ACI Tenant A ANP 3-tier App ANP Storage BridgeDomainBD_1 BridgeDomainBD_2 Контракт КонтрактКонтракт EPG NetApp_LIF EPG VM-NIC EPG База данных EPG Сервер приложений EPG Web-сервер
Взаимодействие внутри ACI “Users”“Files” ACI Fabric Определение Endpoint Groups Любой хост внутри в любом месте фабрики виртуальный или физический Применение входящих политик Применение политик на всех портах: security in depth, embedded QoS Точка оркестрации Разделение административных ролей с использованием общего интерфейса и объектов Application Policy Infrastructure Controller (APIC) Создание контракта между Endpoint Groups Правила: drop, prioritize, push to service chain; reusable templates Service Graph Сервисное устройство Администратор безопасности определяет шаблоны политик, которые далее используются при создании контракта All TCP/UDP: Accept, Redirect UDP/16384-32767: Prioritize All Other: Drop Policy Contract “Users → Files” 21
Интеграция гипервизоров и ACI EPG классификация при помощи атрибутов VM •  End Point Group (EPG) могут использовать несколько методов для классификации •  VM Port Group – это самый простой механизм классификации ВМ •  Атрибуты ВМ так же могут использоваться для классификации EPG •  Используется ACI релиз 11.1 с AVS (первоначальная доступность) •  Поддержка коммутаторов в гипервизорах VMware vDS, Microsoft vSwitch, OVS (планируется) Атрибуты ВМ Guest OS VM Name VM (id) VNIC (id) Hypervisor DVS port-group DVS Datacenter Custom Attribute MAC Address IP Address vCenterVMAttributes VMTraffic Attributes
Интеграция ACI и TrustSec SGT ß EPG ACI-Enabled DC SGTàEPGTrustSec-Enabled Network Consistent Policy •  Cisco планирует интегрировать TrustSec и ACI дав возможность заказчикам создать интегрированную систему безопасности, которая предоставляет возможность воспользоваться контекстом TrustSec, сформулированном в территориально распределенной сети, при определении сетевой политики приложения, размещаемого в фабрике ACI ЦОД •  Возможность создать связанную политику безопасности на предприятии с одновременным использованием роли пользователя и контекста приложения •  Подход на основе групповых политик упростит дизайн, операции по поддержке и комплекс организационных мероприятий по соответствию нормативным требованиям
Сегментация, обнаружение и защита средствами безопасности 23.11.15 © 2014 Cisco and/or its affiliates. All rights reserved.24 Контроль Применение Усиление ДО Обнаружение Блокировка Защита ВО ВРЕМЯ
МСЭ ASA и фабрика ЦОД §  ASA и Nexus Virtual Port Channel §  vPC обеспечивает распределение нагрузки по соединениям (отсутствие заблокированных STP соед.) §  ASA использует технологии отказоустойчивости ЦОД §  Уникальная интеграция ASA и Nexus (LACP) §  IPS модуль полагается на связность от ASA – обеспечивает DPI §  Проверенный дизайн для сегментации, защиты от угроз и прозрачности операций (visibility) §  Transparent (рекомендован) и routed режимы §  Работает в режимах A/S и A/A failover Уровень агрегации ЦОД Active vPC Peer-link vPC vPC Core IP1 Core IP2 Active or Standby N7K VPC 41N7K VPC 40 Nexus 1000V vPath Hypervisor Nexus 1000V vPath Hypervisor Core Layer Aggregatio n Layer Access Layers 25
Aggregation Layer L2 L3 FW HA VPCVPC VPC DC Core / EDGE VPCVPC FHRPFHRP SVI VLAN200 SVI VLAN200 North Zone VLAN 200 South Zone VLAN 201 Trunks VLAN 200 Outside VLAN 201 Inside N7K VPC 40 N7K VPC 41 ASA channel 32 VPC PEER LINK VPC PEER LINK Access Layer Подключение ASA к Nexus с vPC §  ASA подключается к Nexus несколькими интерфейсами с использованием vPC •  ASA может быть настроена на переход на резервную коробку в случае потери нескольких соединений (при использовании HA) §  Идентификаторы vPC разные для каждого МСЭ ASA на коммутаторе Nexus (это меняется для кластера ASA и cLACP [далее…]) 26
Физический сервис для виртуального HypervisorHypervisor Hypervisor Hypervisor VRF Blue VRF Purple Firewall Firewall Nexus 7000 Nexus 5500 Nexus 1000V Nexus 1000V §  Применяем физические устройства для изоляции и сегментации виртуальных машин §  Используем зоны для применения политик §  Физическая инфраструктура привязывается к зоне §  Разделяем таблицы маршрутизации по зонам через VRF §  Политики МСЭ на зоны привязаны к потокам север-юг, восток-запад §  Проводим L2 и L3 пути через физические сервисы 27
МСЭ & виртуальная среда Виртуальные контексты ASA для фильтрации потоков между зонами Firewall Virtual Context provides inter-zone East-West security Aggregation Core Hypervisor Hypervisor Database ASA Context 2 Transparent Mode ASA Context 1 Transparent Mode ASA 5585 ASA 5585 Aggregation Core Physical Layout East-West Zone filtering VLAN 21 VLAN 20 VLAN 100 VLAN 101 Context1 Context2 Front-End Apps 28
Hypervisor Инспекция трафика между VLAN для VM ASA с Bridge Group внутри контекста Layer 2 Adjacent Switched Locally Direct Communication ASA 5585 Transparent Mode Aggregation Core Layer 3 Gateway VRF or SVI Aggregation Core Physical Layout East-West VLAN filtering VLAN 20 VLAN 100 interface vlan 21 10.10.20.1/24 interface vlan 101 10.10.101.1/24 interface TenGigabitEthernet0/6 channel-group 32 mode active vss-id 1 no nameif no security-level ! interface TenGigabitEthernet0/7 channel-group 32 mode active vss-id 2 no nameif no security-level ! interface BVI1 ip address 10.10.20.254 255.255.255.0 ! interface Port-channel32 no nameif no security-level ! interface Port-channel32.20 mac-address 3232.1111.3232 vlan 20 nameif inside bridge-group 1 security-level 100 ! interface Port-channel32.21 mac-address 3232.1a1a.3232 vlan 21 nameif outside bridge-group 1 security-level 0 … 29 VLAN 21 VLAN 101
Обзор кластера ASA §  Кластеризация поддерживается на 5580, 5585 и 5500-X (5500-X кластер из 2-х устройств) §  CCL – критическое место кластера, без него кластер не работает §  Среди членов кластера выбирается Master для синхронизации настроек— не влияет на путь пакета §  Новый термин “spanned port-channel” т.е. Распределенные/общие настройки порта среди членов кластера ASA §  Кластер может ре-балансировать потоки §  У каждого потока есть Owner и Director и возможно Forwarder §  Шина данных кластера ДОЛЖНА использовать cLACP (Spanned Port-Channel) Cluster Control Link vPC Data Plane Aggregation Core ASA Cluster vPC 40 30
Кластер МСЭ ASA Кластеризация ASA для требований ЦОД Cluster Control link shares state and connection information among cluster members Aggregation Core Hypervisor Hypervisor Database ASA Cluster includes Context 1 & 2 Transparent Mode ASA 5585 ASA 5585 ASA 5585 ASA 5585 Aggregation Core Physical Layout Cluster Control Link Cluster functionally the same in either transparent or routed mode Cluster members used for North-South, East- West inspection and filtering Context1 Context2 Owner Director IPS relies on ASA Clustering 31 Web Apps
Внедрение ASAv : виртуальный МСЭ+VPN 32 §  Сегодня для фильтрации между зонами и тенантами применяется ASA в режиме мульти- контекст §  Для передачи трафика используются транки §  Проблема – масштабирование фильтрации Запад-Восток требует ресурсов МСЭ и масштабируемого транспортного решения Zone 1 Zone 2 Zone 3 VM 1 VM 2 VM 3 VM 4 VFW 1 VM 5 VM 6 VM 7 VM 8 VFW 2 VFW 3 §  ASAv – может быть пограничным МСЭ и может обеспечивать фильтрацию Восток- Запад §  На каждого тенанта или зону можно развернуть одну или несколько ASAv для FW + VPN §  Масштабируемая терминация VPN S2S и RA Vzone 1 Vzone 2 Multi Context Mode ASA
Внедрение ASAv : виртуальный МСЭ+VPN 3 режима примения политик Routed Firewall •  Маршрутизация трафика между vNIC •  Поддержка таблиц ARP и маршрутов •  МСЭ на границе тенанта Transparent Firewall •  VLAN или VxLAN Bridging / Stitching •  Поддержка таблицы MAC •  Бесшовная интеграция в L3 дизайн Service Tag Switching •  Инспектирование между service tags •  Нет взаимодействия с сетью •  Режим интеграции с фабрикой 33
Routed Firewall §  Routed – граница сети контейнера/ тенанта §  Шлюз по умолчанию для хостов §  Маршрутизация между несколькими подсетями §  Традиционная L3 граница сети §  Подключение виртуальных машин и физических §  Сегментация с использованием интерфейсов ASAv Routed client Gateway Outside Inside host1 host2 Shared DMZ 34
Transparent Firewall •  Коммутация между 4 (под-) интерфейсами •  8 BVI на ASAv •  NAT и ACL •  Бесшовная интеграция для соотв. PCI •  Традиционная граница L2 между хостами •  Все сегменты в одном широковещательном домене ASAv Transp Gateway client Segment-1 Segment-3 host1 host2 Segment-2 Segment-4 35
Web-zone Fileserver-zone Hypervisor Nexus 7000 Nexus 5500 Nexus 1000V VRF VLAN 50 UCS VLAN 200 VLAN 300 Защита приложений и видимость §  Инспекция трафика север-юг и восток-запад с ASA §  Transparent или routed режимы §  Эластичность сервиса .1Q Trunk VLAN 50 36
Web-zone Fileserver-zone Hypervisor Nexus 7000 Nexus 5500 Nexus 1000V VRF VLAN 50 UCS Защита приложений и видимость Инспекция трафика север-юг и восток-запад с ASA Глубокая инспекция с virtual IPS – в режиме inline (коммутация между VLAN) или promiscuous port на vswitch Сервисная цепочка – ASAv и vIPS .1Q Trunk External VLAN 50 Defense Center с Firesight для анализа данных 37 Inline Set Inline Set Internal External Internal VLAN 200
vIPS Варианты включения: в «разрыв» или «пассивный» Web-zone VLAN 200 Promiscuous Port vSwitch Web-zone VLAN 200 External vSwitchvSwitch 38 Internal
Сегментация, обнаружение и защита средствами безопасности в ACI 23.11.15 © 2014 Cisco and/or its affiliates. All rights reserved.39 Контроль Применение Усиление ДО Обнаружение Блокировка Защита ВО ВРЕМЯ
ASA и FirePOWER в архитектуре ACI ASA5585 Divert to SFR NGIPSv FirePOWER ASAv30 ASAv10 FireSIGHT
Основной принцип ACI - логическая конфигурация сети, не привязанная оборудованию ACI фабрика Неблокируемая фабрика на базе оверлеев App DBWeb Внешняя сеть передачи данных (Tenant VRF) QoS Filter QoS Service QoS Filter Application Policy Infrastructure Controller APIC Вставка сервисной цепочки
Автоматизация вставки сервисного устройства при помощи механизма «device package» Open Device Package Policy Engine APIC реализует расширяемую модель политик при помощи Device Package Configuration Model Device Interface: REST/CLI APIC Script Interface Call Back Scripts Event Engine APIC– Policy Manager Configuration Model (XML File) Call Back Script Администратор загружает файл, содержащий Device Package в APIC Device Package содержит XML модель устройства, которое находится под управлением Device scripts транслирует вызовы APIC API в специфичные для устройства CLI команды или API вызовы APIC
§  Режим одного и нескольких контекстов поддерживается для релиза драйвера DP 1.2 §  Оба режима используют возможность создания VLAN подинтерфейсов §  Transparent (bump in the wire) режим для вставки “Go-Through” §  Передача пакетов построена на базе MAC адресов. Таблица маршрутизации влияет на NAT и инспекцию приложений §  Режим Flooding должен быть включен для ACI Bridge Domains §  Routed (Layer 3 hop) режим для вставки “Go-To” §  Общая таблица маршрутизации на контекст требует наличия статических маршрутов или динамической маршрутизации (DP 1.2) для подключения к EPG. Модели интеграция ASA в фабрику ACI
§  Failover защита от выхода из строя устройства §  Failover соединения имеют один общий активный IP/MAC §  Пара Active/Standby настраивается и управляется APIC’ом. Оба устройства ASA должны быть зарегистрированы на APIC. §  Режим Active/Active failover не поддерживается §  Кластер обеспечивает высокий уровень производительности в ACI §  До 16 устройств ASA5585-X может быть объединено в один логический МСЭ §  Режим интерфейса Spanned Etherchannel обеспечивает общий IP и MAC адрес §  Настройка кластера производится в режиме out of band, но APIC может управлять им после настройки. ASA доступность и масштабируемость
§  Routed Mode (Go-To) Tenant §  Transparent Mode (Go-Through) Tenant BD2BD1 Интеграция ASA в фабрику ACI EPG A EPG B FW Graph B 10.0.0.0/24 External Internal External EPG A1 EPG B Graph A 10.0.0.0/24 10.0.0.1 20.0.0.1 20.0.0.0/24 External Internal BD2BD1 FW Device Package 1.0 или 1.1
BD 1 BD2 §  Routed Mode §  Transparent Mode BD2BD 1 Интеграция ASA в фабрику ACI EPG A EPG B FW Graph B 10.0.0.0/24 Tenant B External Internal EPG A EPG A FW Graph A 10.0.0.1 20.0.0.1 Tenant A External Internal VRF1 VRF2 OSPF/BGP OSPF/BGPOSPF/BGP VRF1 VRF2 10.0.0.2 20.0.0.2 10.0.0.10 10.0.0.11 100.0.0.0/24 200.0.0.0/24 201.0.0.0/24 202.0.0.0/24 203.0.0.0/24 101.0.0.0/24 102.0.0.0/24 103.0.0.0/24 200.0.0.0/24 201.0.0.0/24 202.0.0.0/24 203.0.0.0/24 100.0.0.0/24 101.0.0.0/24 102.0.0.0/24 103.0.0.0/24 ASA 1.2 Device Package
BD2BD 1 Transparent Mode Вставка FirePOWER в фабрику ACI EPG A EPG B NGIPS Graph A 10.0.0.0/24 Tenant A External Internal BD 1 BD2 EPG A EPG B NGIPS Graph B 10.0.0.0/24 Tenant B External Internal VRFs VRFs OSPF/BGP 10.0.0.10 10.0.0.11 100.0.0.0/24 200.0.0.0/24 201.0.0.0/24 202.0.0.0/24 203.0.0.0/24 101.0.0.0/24 102.0.0.0/24 103.0.0.0/24
Интеграция с ACI устройств безопасности Cisco Подключение к фабрике ACI Подключение к фабрике ACI Настройка политик Мониторинг и уведомления в реальном времени Настройка политик Managing Service Producer Security Configurations and Visibility События и syslog CSM ASA Device Package FirePOWER Device Package Интеграция ASA Интеграция FirePOWER
Обработка сервисного графа Для каждой функции в графе: 1.  APIC выбирает логическое устройство из ранее определенных 2.  APIC разрешает параметры конфигурации и готовит конфигурационный словарь 3.  APIC выделяет VLAN для каждого соединения, ассоциированного с функцией 4.  APIC настраивает сеть - VLAN, EPG и соответствующие фильтры 5.  APIC запускает скрипт и настраивает сервисное устройство FuncAon Firewall FuncAon SSL offload FuncAon Load Balancer Сервисный граф: “web-applica=on” Firewall FuncAon SSL offload FuncAon Load Balancer Выделение VLAN 1 2 3 Настройка VLAN 4 5 EPG Web EPG App
ASA5585 c SFR в сервисном графе – Etherchannel Po1.300 Po1.301 Vlan 100 Vlan 200 vPC4 VLAN 300 vPC4 Vlan 301 App1 DB providerconsumer class firepower_class_map sfr fail-close SFR NGIPS policy ASA Когда сервисный граф с сервисным устройством ASA активируется в определенном контракте (начинается рендеринг), APIC автоматически настроивает ASA интерфейсы и политики, включая redirection на модуль FirePOWER. Поддерживаются L3 (GoTo) и L2 (GoThrough) режимы. FireSIGHT независимо управляет политиками FirePOWER. ASA 1.2 Device Package ASA5585+SFR APIC Vlan 100 App2 VM
Cервисный граф для FirePOWER - LAG s1p1.300 s1p2.301 Vlan 100 Vlan 200 vPC4 Vlan 300 vPC4 Vlan 301 Идентификаторы VLAN ID назначаются автоматически из пула и для EPG и для портов сервисных устройств. Настройка всех портов согласно логике (L2,L3) производится автоматически. App DB consumer provider FirePOWER использует LAG (port-channel) для подключения к фабрике для обеспечения отказоустойчивости к одному коммутатору или паре коммутаторов с функцией vPC. Physical APIC использует FirePOWER Device package для взаимодействия с FireSIGHT Management Center который управляет NGIPS APIC
ASAv и FirePOWERv в сервисном графе vNIC2 vNIC3 Vlan 100 Vlan 200 App DB providerconsumer Устройства ASAv и NGIPSv разворачиваются вручную или при помощи оркестратора. vNIC интерфейсы, помеченные как consumer и provider задействуются при активации (рендеринге) сервисного графа. vNIC2 vNIC3 providerconsumer Vlan 302 Vlan 303Vlan 300 Vlan 301 APIC полностью управляет конфигурацией ASAv, при этом настройка виртуального FirePOWER устройства выполняется при помощи FireSIGHT. APIC
Сервисная цепочка из двух устройств (пример) “Подключаем” устройства
Сервисная цепочка из двух устройств (пример) Создаем шаблоны настроек для ASA
Сервисная цепочка из двух устройств (пример) Создаем шаблоны настроек для IPS
Сервисная цепочка из двух устройств (пример) Создаем шаблон сервисной цепочки
Сервисная цепочка из двух устройств (пример) Привязываем сервисную цепочку к контракту между EPG
Сервисная цепочка из двух устройств (пример) “Привязываем” интерфейсы устройств
Сервисная цепочка из двух устройств (пример) Работающая сервисная цепочка
Сервисная цепочка из двух устройств (пример) firewall transparent hostname pierre interface Management0/0 management-only nameif mgt security-level 100 ip address 172.26.42.12 255.255.255.192 route mgt 0.0.0.0 0.0.0.0 172.26.42.1 1 http server enable http 0.0.0.0 0.0.0.0 mgt user-identity default-domain LOCAL aaa authentication telnet console LOCAL aaa authentication http console LOCAL username admin password e1z89R3cZe9Kt6Ib encrypted privilege 15 interface Port-channel1 lacp max-bundle 8 no nameif no security-level ! interface TenGigabitEthernet0/6 channel-group 1 mode active no nameif no security-level ! interface TenGigabitEthernet0/7 channel-group 1 mode active no nameif no security-level same-security-traffic permit inter-interface interface BVI1 ip address 77.10.10.254 255.255.255.0 ! interface Port-channel1.3135 vlan 3135 nameif externalIf bridge-group 1 security-level 100 ! interface Port-channel1.3174 vlan 3174 nameif internalIf bridge-group 1 security-level 100 access-list access-list-inbound extended permit ip any any access-list access-list-inbound extended permit tcp any any eq www access-list access-list-inbound extended permit tcp any any eq https access-group access-list-inbound in interface externalIf Начальная настройка Подключена к APIC Часть сервисной цепочки ASA5585
Мониторинг и реагирование 23.11.15 © 2014 Cisco and/or its affiliates. All rights reserved.61 Контроль Применение Усиление ДО Обнаружение Блокировка Защита ВО ВРЕМЯ Видимость Сдерживание Устранение ПОСЛЕ
Применение NetFlow для безопасности §  Обнаружение сложных и стойких угроз. Выявление вредоносного ПО внутри защищенного периметра. Выявление угроз нулевого дня. §  Выявление активности каналов управления и контроля BotNet. Вредоносное ПО с внешними центрами управления может использоваться для рассылки SPAM, организации DoS атак и другой вредоносной активности. §  Обнаружение сетевого взлома. Некоторые типы атак используют различные приемы сетевого сканирования для выбора вектора атаки, что может быть использовано для выявления угроз. §  Обнаружение внутреннего распространения вредоносного ПО. Распространение вредоносного ПО по сети может приводить к потери конфиденциальных и защищенных данных. §  Выявление утечки данных. Вредоносное ПО может содержать код для организации передачи данных в сторону атакующего. Такие утечки могут происходить периодически в течении небольших промежутков времени. 62
NetFlow в двух словах Internal Network NetFlow Data NetFlow Collector 63
Решение Cyber Threat Defense Data Center Прозрачность, Контекст и Контроль Использование NetFlow до уровня доступа Унификация инструментов для обнаружения, расследования и отчетности Наполнение данных информацией идентификации, событиями, контекстом Кто Что Где Когда Как Cisco ISE Cisco ISR G2 + NBAR Cisco ASA + NSEL Context 64
Компоненты решения Cyber Threat Defense Cisco Network StealthWatch FlowCollector StealthWatch Management Console NetFlow Users/Devices Cisco ISE NetFlow StealthWatch FlowReplicator Other tools/ collectors https https NBAR NSEL NGA NetFlow Generating Appliance 65
Решение Cisco Обнаружение атак без сигнатур Высокий Concern Index показывает существенное количество подозрительных событий, что является отклонением от установленной нормы Host Groups Host CI CI% Alarms Alerts Desktops 10.10.101.118 338,137,280 112,712% High Concern index Ping, Ping_Scan, TCP_Scan Мониторинг и нормирование активности для хоста внутри группы 66
Идентификация угроз и назначение атрибутов Интеграция Cisco ISE и Lancope StealthWatch Policy Start Active Time Alarm Source Source Host Group Source User Name Target Inside Hosts 8-Feb-2012 Suspect Data Loss 10.34.74.123 Wired Data Bob Multiple Hosts 67
Обнаружение распространения вредоносного ПО NetFlow Capable Devices Management StealthWatch FlowCollector StealthWatch Management Console3. Сбор и анализ данных NetFlow 4. Добавление контекстной информации к данным NetFlow анализа 5. Повышение Concern index и генерация события Worm propagation Cisco ISE Initial Infection Secondary Infection 1Заражение происходит по внутренней сети в соответствии с планом атакующего 2. Инфраструктура создает записи активности с использованием NetFlow Data Center 68
Обнаружение распространения вредоносного ПО Devices Management StealthWatch FlowCollector StealthWatch Management Console3. Сбор и анализ данных NetFlow 4. Добавление контекстной информации к данным NetFlow анализа 5. Повышение Concern index и генерация события Worm propagation Cisco ISE Tertiary Infection Initial Infection Secondary Infection 2. Инфраструктура создает записи активности с использованием NetFlow NetFlow Capable 1. Заражение происходит по внутренней сети в соответствии с планом атакующего Data Center 69
Отслеживание распространения заражения Последующие заражения Вторичное заражение Начальное заражение 70
Примечание про StealthWatch и NSEL §  Поле Flow Action добавляет дополнительный контекст §  Данные о состоянии NSEL используются при поведенческом анализе в StealthWatch (concern Index points суммируются для событий Flow Denied) §  NAT stitching убирает избыточные записи потоков от ASA и ASR1000 §  Отсутствие данных о TCP флагах и счетчиков переданных и принятых байт снижает эффективность NSEL и позволяет использовать только для обнаружения ряда угроз (ex. SYN Flood); предлагается использовать в комбинации с дополнительными источниками NetFlow NetFlow Secure Event Logging 71
Мониторинг и реагирование в ACI 23.11.15 © 2014 Cisco and/or its affiliates. All rights reserved.72 Контроль Применение Усиление ДО Обнаружение Блокировка Защита ВО ВРЕМЯ Видимость Сдерживание Устранение ПОСЛЕ
Visibility в ACI Механизм Atomic Counters 23.11.15 © 2015 Cisco and/or its affiliates. All rights reserved.73
Visibility в ACI Механизм SPAN 23.11.15 © 2015 Cisco and/or its affiliates. All rights reserved.74
Ускорение отражения угроз при помощи интеграции между ACI и FirePOWER NGIPS Host 3 Приложение 1 (Physical) Host 1 Host 2 Приложение 2 (Physical) V M V M V M 1. FirePOWER IPS использует возможности ACI фабрики по мониторингу для обнаружения атаки на ее самой ранней фазе Proactive Detection Mitigation Incident Response and Mission Assurance Жизненный цикл атаки Weaponize Execute Deliver Control Maintain Exploit Recon APIC FireSIGHT 2. Механизм «continuous analytics» компоненты FireSIGHT Manager обеспечивает обнаружение атаки 3. FireSIGHT использует APIC API для программирования политики с целью блокировки атаки (FireSIGHT System Remediation API), а так же задействует механизм карантина для нежелательного трафика 4. FirePOWER IPS непрерывно собирает информацию о событиях с ACI Фабрики, чтобы обнаружить новые угрозы
Заключение 23.11.15 © 2015 Cisco and/or its affiliates. All rights reserved.76
С чего начать? Cisco SAFE! Сеть L2/ L3 Управление доступом + TrustSec к комплексу зданий Зона общих сервисов Система предотвра- щения вторжений нового поколения Зона сервера приложений Зона соответствия стандартам PCI Зона базы данных Анализ потока Безопасность хоста Баланси- ровщик нагрузки Анализ потока МСЭ Антивре- доносное ПО Анали- тика угроз Управление доступом + TrustSec Система предотвра- щения вторжений нового поколения Межсетевой экран нового поколения Маршрутизатор Сеть L2/L3МСЭ VPN Коммута- тор МСЭ веб- приложений Централизованное управление Политики/ Конфигурация Мониторинг/ контекст Анализ/ корреляция Аналитика Регистрация в журнале/ отчетность Аналитика угроз Управление уязвимостями Мониторинг к периметру Виртуализированные функции WAN
Как внедрить? 23.11.15 © 2015 Cisco and/or its affiliates. All rights reserved.78 Возможности создания общей картины Руководство по архитектуре Дизайны CVD Руководство «Обзор Safe» Руководство по архитектуре для защищенного ЦОД Как развертывать кластер ASA Краткое руководство по созданию защищенного ЦОД Создание кластера ASA с сервисами FirePOWER УТВЕРЖДЕНО
CiscoRu Cisco CiscoRussia Ждем ваших сообщений с хештегом #CiscoConnectRu CiscoRu © 2015 Cisco and/or its affiliates. All rights reserved.
Защита центров обработки данных. Механизмы безопасности для классической фабрики и фабрики ориентированной на приложения ACI – До, Во Врем

More Related Content

PDF
Безопасность и виртуализация в центрах обработки данных (часть 1)
byCisco Russia
 
PDF
Cisco ASA с сервисами FirePOWER
byCisco Russia
 
PPTX
Подробный обзор Cisco ASA with FirePOWER Services
byCisco Russia
 
PPTX
Анонс новых решений по безопасности Cisco с выставки Interop 2014
byCisco Russia
 
PDF
VMDC: Архитектура для ITaaS
byCisco Russia
 
PDF
Краткий обзор Cisco TrustSec
byCisco Russia
 
PDF
Безопасность ЦОД-часть 2
byCisco Russia
 
PDF
Защита центров обработки данных. Механизмы безопасности для классической фабр...
byCisco Russia
 
Безопасность и виртуализация в центрах обработки данных (часть 1)
byCisco Russia
 
Cisco ASA с сервисами FirePOWER
byCisco Russia
 
Подробный обзор Cisco ASA with FirePOWER Services
byCisco Russia
 
Анонс новых решений по безопасности Cisco с выставки Interop 2014
byCisco Russia
 
VMDC: Архитектура для ITaaS
byCisco Russia
 
Краткий обзор Cisco TrustSec
byCisco Russia
 
Безопасность ЦОД-часть 2
byCisco Russia
 
Защита центров обработки данных. Механизмы безопасности для классической фабр...
byCisco Russia
 

What's hot

PDF
Система Stealthwatch
byCisco Russia
 
PDF
Обзор новой версии Cisco Identity Service Engine 2.0
byCisco Russia
 
PDF
Визуализация взломов в собственной сети PAN
byАльбина Минуллина
 
PDF
Управление доступом в сеть – развитие архитектуры Cisco TrustSec
byCisco Russia
 
PPTX
Cisco ASA with FirePOWER Services
byCisco Russia
 
PDF
Облака в Украине и ЕС как инструменты защиты ИТ: практические аспекты
byDe Novo
 
PPTX
Cisco TrustSec и Cisco ISE
byCisco Russia
 
PDF
Как компания Cisco защищает сама себя
byCisco Russia
 
PDF
Принципы и подходы Cisco для автоматизации в сетях операторов связи
byCisco Russia
 
PDF
Управление IWAN и AVC с Cisco Prime Infrastructure
byCisco Russia
 
PDF
Новые модели Cisco ASA 5506-X, 5508-X и 5516-X
byCisco Russia
 
PDF
Evgeniy gulak sherif
byMeeting Point Ukraine
 
PDF
SDN в корпоративных сетях
byCisco Russia
 
PDF
Обзор решений по управлению и мониторингу сетей предприятий. Cisco Prime Inf...
byCisco Russia
 
PPTX
Clouds NN 2012 Игорь Гормидоров "Организация защиты облачных сервисов и инфра...
byClouds NN
 
PDF
Проблемы иб в облаках
byOleg Kuzmin
 
PDF
Cisco Identity Service Engine (ISE)
byCisco Russia
 
PPTX
CloudsNN 2014. Владимир Юнев. Безопасность облака Microsoft снаружи и изнутри...
byClouds NN
 
PDF
Использование Cisco Prime Infrastructure для мониторинга, управления и оптими...
byCisco Russia
 
PPTX
Cisco ScanSafe. Защита web-доступа как услуга “из облака”
byCisco Russia
 
Система Stealthwatch
byCisco Russia
 
Обзор новой версии Cisco Identity Service Engine 2.0
byCisco Russia
 
Визуализация взломов в собственной сети PAN
byАльбина Минуллина
 
Управление доступом в сеть – развитие архитектуры Cisco TrustSec
byCisco Russia
 
Cisco ASA with FirePOWER Services
byCisco Russia
 
Облака в Украине и ЕС как инструменты защиты ИТ: практические аспекты
byDe Novo
 
Cisco TrustSec и Cisco ISE
byCisco Russia
 
Как компания Cisco защищает сама себя
byCisco Russia
 
Принципы и подходы Cisco для автоматизации в сетях операторов связи
byCisco Russia
 
Управление IWAN и AVC с Cisco Prime Infrastructure
byCisco Russia
 
Новые модели Cisco ASA 5506-X, 5508-X и 5516-X
byCisco Russia
 
Evgeniy gulak sherif
byMeeting Point Ukraine
 
SDN в корпоративных сетях
byCisco Russia
 
Обзор решений по управлению и мониторингу сетей предприятий. Cisco Prime Inf...
byCisco Russia
 
Clouds NN 2012 Игорь Гормидоров "Организация защиты облачных сервисов и инфра...
byClouds NN
 
Проблемы иб в облаках
byOleg Kuzmin
 
Cisco Identity Service Engine (ISE)
byCisco Russia
 
CloudsNN 2014. Владимир Юнев. Безопасность облака Microsoft снаружи и изнутри...
byClouds NN
 
Использование Cisco Prime Infrastructure для мониторинга, управления и оптими...
byCisco Russia
 
Cisco ScanSafe. Защита web-доступа как услуга “из облака”
byCisco Russia
 

Similar to Защита центров обработки данных. Механизмы безопасности для классической фабрики и фабрики ориентированной на приложения ACI – До, Во Врем

PDF
Варианты дизайна и лучшие практики создания безопасного ЦОД
byCisco Russia
 
PDF
Безопасность современного ЦОДа
byAleksey Lukatskiy
 
PPTX
Cisco: Архитектура защищенного ЦОДа
byExpolink
 
PDF
Архитектура защищенного ЦОД
byCisco Russia
 
PDF
Безопасность Центров Обработки Данных
byCisco Russia
 
PDF
Развитие сетевой архитектуры для ЦОД Cisco ACI
byCisco Russia
 
PDF
Cisco Connect Almaty 2014 - Security Solutions for Data Centers (russian)
byAndrey Klyuchka
 
PDF
Сетевая инфраструктура ЦОД, ориентированная на приложения и коммутаторы Nexus...
byCisco Russia
 
PDF
Проблема защиты информации в современном ЦОДе и способы ее решения
byCisco Russia
 
PDF
Ориентированная на приложения инфраструктура Cisco ACI
byCisco Russia
 
PDF
Проектирование защищенных центров обработки данных Cisco.
byCisco Russia
 
PDF
Инновационное SDN решение для ЦОД Cisco ACI Anywhere
byCisco Russia
 
PDF
Архитектура Cisco ACI и обеспечение безопасности в современном ЦОД
byCisco Russia
 
PPTX
Решения для защиты корпоративных и коммерческих цод
byDenis Batrankov, CISSP
 
PDF
Безопасность ЦОД-часть 1
byCisco Russia
 
PDF
Проблема защиты информации в современном ЦОДе и способы ее решения
byCisco Russia
 
PDF
NSX Security
byАльбина Минуллина
 
PDF
Cisco ACI. Инфраструктура, ориентированная на приложения
byCisco Russia
 
PDF
Проблема защиты информации в современном ЦОДе и способы ее решения
byCisco Russia
 
PDF
Cisco ACI - инфраструктура, ориентированная на приложения: решаемые задачи, п...
byCisco Russia
 
Варианты дизайна и лучшие практики создания безопасного ЦОД
byCisco Russia
 
Безопасность современного ЦОДа
byAleksey Lukatskiy
 
Cisco: Архитектура защищенного ЦОДа
byExpolink
 
Архитектура защищенного ЦОД
byCisco Russia
 
Безопасность Центров Обработки Данных
byCisco Russia
 
Развитие сетевой архитектуры для ЦОД Cisco ACI
byCisco Russia
 
Cisco Connect Almaty 2014 - Security Solutions for Data Centers (russian)
byAndrey Klyuchka
 
Сетевая инфраструктура ЦОД, ориентированная на приложения и коммутаторы Nexus...
byCisco Russia
 
Проблема защиты информации в современном ЦОДе и способы ее решения
byCisco Russia
 
Ориентированная на приложения инфраструктура Cisco ACI
byCisco Russia
 
Проектирование защищенных центров обработки данных Cisco.
byCisco Russia
 
Инновационное SDN решение для ЦОД Cisco ACI Anywhere
byCisco Russia
 
Архитектура Cisco ACI и обеспечение безопасности в современном ЦОД
byCisco Russia
 
Решения для защиты корпоративных и коммерческих цод
byDenis Batrankov, CISSP
 
Безопасность ЦОД-часть 1
byCisco Russia
 
Проблема защиты информации в современном ЦОДе и способы ее решения
byCisco Russia
 
NSX Security
byАльбина Минуллина
 
Cisco ACI. Инфраструктура, ориентированная на приложения
byCisco Russia
 
Проблема защиты информации в современном ЦОДе и способы ее решения
byCisco Russia
 
Cisco ACI - инфраструктура, ориентированная на приложения: решаемые задачи, п...
byCisco Russia
 

More from Cisco Russia

PDF
Service portfolio 18
byCisco Russia
 
PDF
История одного взлома. Как решения Cisco могли бы предотвратить его?
byCisco Russia
 
PDF
Об оценке соответствия средств защиты информации
byCisco Russia
 
PDF
Обзор Сервисных Услуг Cisco в России и странах СНГ.
byCisco Russia
 
PDF
Клиентские контракты на техническую поддержку Cisco Smart Net Total Care
byCisco Russia
 
PDF
Cisco Catalyst 9000 series
byCisco Russia
 
PDF
Cisco Catalyst 9500
byCisco Russia
 
PDF
Cisco Catalyst 9400
byCisco Russia
 
PDF
Cisco Umbrella
byCisco Russia
 
PDF
Cisco Endpoint Security for MSSPs
byCisco Russia
 
PDF
Cisco FirePower
byCisco Russia
 
PDF
Профессиональные услуги Cisco для Software-Defined Access
byCisco Russia
 
PDF
Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...
byCisco Russia
 
PDF
Промышленный Интернет вещей: опыт и результаты применения в нефтегазовой отрасли
byCisco Russia
 
PDF
Полугодовой отчет Cisco по информационной безопасности за 2017 год
byCisco Russia
 
PDF
Годовой отчет Cisco по кибербезопасности за 2017 год
byCisco Russia
 
PDF
Безопасность для цифровой экономики. Развитие продуктов и решений Cisco
byCisco Russia
 
PDF
Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...
byCisco Russia
 
PDF
Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...
byCisco Russia
 
PDF
Новое поколение серверов Сisco UCS. Гиперконвергентное решении Cisco HyperFle...
byCisco Russia
 
Service portfolio 18
byCisco Russia
 
История одного взлома. Как решения Cisco могли бы предотвратить его?
byCisco Russia
 
Об оценке соответствия средств защиты информации
byCisco Russia
 
Обзор Сервисных Услуг Cisco в России и странах СНГ.
byCisco Russia
 
Клиентские контракты на техническую поддержку Cisco Smart Net Total Care
byCisco Russia
 
Cisco Catalyst 9000 series
byCisco Russia
 
Cisco Catalyst 9500
byCisco Russia
 
Cisco Catalyst 9400
byCisco Russia
 
Cisco Umbrella
byCisco Russia
 
Cisco Endpoint Security for MSSPs
byCisco Russia
 
Cisco FirePower
byCisco Russia
 
Профессиональные услуги Cisco для Software-Defined Access
byCisco Russia
 
Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...
byCisco Russia
 
Промышленный Интернет вещей: опыт и результаты применения в нефтегазовой отрасли
byCisco Russia
 
Полугодовой отчет Cisco по информационной безопасности за 2017 год
byCisco Russia
 
Годовой отчет Cisco по кибербезопасности за 2017 год
byCisco Russia
 
Безопасность для цифровой экономики. Развитие продуктов и решений Cisco
byCisco Russia
 
Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...
byCisco Russia
 
Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...
byCisco Russia
 
Новое поколение серверов Сisco UCS. Гиперконвергентное решении Cisco HyperFle...
byCisco Russia
 

Защита центров обработки данных. Механизмы безопасности для классической фабрики и фабрики ориентированной на приложения ACI – До, Во Врем

  • 1.
    Защита центров обработкиданных. Механизмы безопасности для классической фабрики и фабрики ориентированной на приложения ACI – До, Во Время и После Руслан Иванов ruivanov@cisco.com Станислав Рыпалов srypalov@cisco.com 23.11.15 © 2015 Cisco and/or its affiliates. All rights reserved.
  • 2.
    Не удается отобразитьрисунок. Возможно, рисунок поврежден или недостаточно памяти для его открытия. Перезагрузите компьютер, а затем снова откройте файл. Если вместо рисунка все еще отображается красный крестик, попробуйте удалить рисунок и вставить его заново. Не удается отобразить рисунок. Возможно, рисунок поврежден или недостаточно памяти для Защита центров обработки данных. Механизмы безопасности для классической фабрики и фабрики ориентированной на приложения ACI – До, Во Время и После 23.11.15 © 2015 Cisco and/or its affiliates. All rights reserved.2
  • 3.
    Безопасность и виртуализацияв ЦОД Безопасность ЦОД приоритеты, проблемы Встроенные механизмы защиты Устройства безопасности в ЦОД Мониторинг и реагирование Заключение 3
  • 4.
    Архитектурные вызовы всовременном ЦОД Развивающиеся угрозы Не удается отобразить рисунок. Возможно, рисунок поврежден или недостаточно памяти для его открытия. Перезагрузите компьютер, а затем снова откройте файл. Если вместо рисунка все еще отображается красный крестик, попробуйте удалить рисунок и вставить его заново. Новые приложения (Физические, виртуализированные и облачные) Не удается отобразить рисунок. Возможно, рисунок поврежден или недостаточно памяти для его открытия. Перезагрузите компьютер, а затем снова откройте файл. Если вместо рисунка все еще отображается красный крестик, попробуйте удалить рисунок и вставить его заново. Новые тренды распределения трафика в сети ЦОД Source: Cisco Global Cloud Index, 2012
  • 5.
    Просто, Эффективно иДоступно Сегментация •  Определение границ: сеть, вычислительный ресурс, вируальная сеть •  Применение политик по функциям - устройство, организация, соответствие •  Контроль и предотвращение НСД к сети, ресурсам, приложениям Защита от угроз •  Блокирование внешних и внутренних атак и остановки сервисов •  Патрулирование границ зон безопасности •  Контроль доступа и использования информации для предотвращения ее потери Видимость •  Обеспечение прозрачности использования •  Применение бизнес-контекста к сетевой активности •  Упрощение операций и отчетности Север-Юг Восток-Запад Защита, Обнаружение, Контроль
  • 6.
    Какая архитектура дляобеспечения безопасности ЦОД является правильной? Ориентация на виртуализацию Отсутствие поддержки физических сред Ограниченная видимость Сложность управления (2 сети вместо одной!) Ориентация на приложения Любая нагрузка в любом месте Полная видимость Автоматизация Не удается отобразить рисунок. Возможно, рисунок Ориентация на периметр Сложно и много ручных процессов Ошибки конфигурации Статическая топология Ограничения применения
  • 7.
    Модель безопасности ЦОДориентированная на угрозы Л а н д ш а ф т у г р о з DURING Detect Block Defend AFTER Scope Contain Remediate ДО Контроль Применение Усиление ПОСЛЕ Видимость Сдерживание Устранение Обнаружение Блокировка Защита ВО ВРЕМЯ Сеть ОблакоМобильные устройства Виртуальные машины Оконечные устройства
  • 8.
    Сегментация средствами сетиЦОД 23.11.15 © 2014 Cisco and/or its affiliates. All rights reserved.8 Контроль Применение Усиление ДО
  • 9.
    Классическая фабрика HypervisorHypervisor HypervisorHypervisor VRF Blue VRF Purple Firewall Firewall Nexus 7000 Nexus 5500 Nexus 1000V Nexus 1000V Традиционные механизмы для изоляции и сегментации на физических коммутаторах и виртуальных Зонирование для применения политик Разделение физической инфраструктуры на зоны §  Разделение L2/L3 путей при помощи VDC/VLAN/… §  VRF – разделение таблиц маршрутизации §  Фильтрация север-юг, запада – восток МСЭ или списками доступа 9
  • 10.
    Управление политиками ввиртуальной сети Nexus 1000V § Операционная модель на базе портовых профилей Port Profiles § Поддержка политик безопасности с изоляцией и сегментацией при помощи VLAN, Private VLAN, Port-based Access Lists, TrustSec и Cisco Integrated Security функций § Обеспечение прозрачности потоков от виртуальных машин функциями ERSPAN и NetFlow Виртуальный коммутатор: Nexus 1000V Network Team Server Team Управление и мониторинг Роли и ответственность Изоляция и сегментация Security Team Nexus 1000V 10
  • 11.
    Профиль порта Nexus 1000Vподдерживает: ü  ACLs ü  Quality of Service (QoS) ü  PVLANs ü  Port channels ü  SPAN ports port-profile vm180 vmware port-group pg180 switchport mode access switchport access vlan 180 ip flow monitor ESE-flow input ip flow monitor ESE-flow output no shutdown state enabled interface Vethernet9 inherit port-profile vm180 interface Vethernet10 inherit port-profile vm180 Port Profile –> Port Group vCenter API vMotion Policy Stickiness Network Security Server 11
  • 12.
    Сервисные цепочки припомощи vPath vPath это компонент шины данных Nexus 1000V: •  Модель вставки сервиса без привязки к топологии •  Сервисные цепочки для нескольких виртуальных сервисов •  Повышение производительности с vPath например VSG flow offload •  Эффективная и масштабируемая архитектура •  Сохранение существующей модели операций •  Мобильность политик Cloud Network Services (CNS) Hypervisor Nexus 1000V vPath 12
  • 13.
    Архитектура TrustSec •  Классификациясистем/пользователей на базе контекста (роль, устройство, место, способ подключения) •  Контекст (роль) транслируется в метку Security Group Tag (SGT) •  МСЭ, маршрутизаторы и коммутаторы используют метку SGT для принятия решения о фильтрации •  Классифицируем один раз – используем результат несколько раз 13 Users, Devices Switch Router DC FW DC Switch HR Servers Enforcement SGT Propagation Fin Servers SGT = 4 SGT = 10 ISE Directory Classification SGT:5
  • 14.
    Назначение группы 14 Динамическая классификацияСтатическая классификация •  IP Address •  VLANs •  Subnets •  L2 Interface •  L3 Interface •  Virtual Port Profile •  Layer 2 Port Lookup Классификация для мобильных устройств Классификация для серверов и на базе топологии 802.1X Authentication MAC Auth Bypass Web Authentication SGT 14
  • 15.
    Механизмы распространения метокSGT 15 Wired Access Wireless Access DC Firewall Enterprise Backbone DC Virtual AccessCampus Core DC Core DC Distribution Physical Server Physical Server VM Server PCI VM Server DC Physical Access SGT 20 SGT 30 IP Address SGT SRC 10.1.100.98 50 Local SXP IP-SGT Binding Table SXP SGT = 50 ASIC ASIC Optionally Encrypted Inline SGT Tagging SGT=50 ASIC L2 Ethernet Frame SRC: 10.1.100.98 IP Address SGT 10.1.100.98 50 SXP Non-SGT capable Inline Tagging (data plane): Поддержка SGT в ASIC SXP (control plane): Распространение между устройствами без поддержки SGT в ASIC Tag When you can! SXP when you have to!
  • 16.
    Применение политик SGACL(матрица доступа) 16 permit tcp dst eq 443 permit tcp dst eq 80 permit tcp dst eq 22 permit tcp dst eq 3389 permit tcp dst eq 135 permit tcp dst eq 136 permit tcp dst eq 137 permit tcp dst eq 138 permit tcp des eq 139 deny ip Portal_ACL 16
  • 17.
    Сегментация средствами ACI 23.11.15© 2014 Cisco and/or its affiliates. All rights reserved.17 Контроль Применение Усиление ДО
  • 18.
    Что представляет собойACI? ACI фабрика Неблокируемая фабрика на базе оверлеев App DBWeb Внешняя сеть передачи данных (Tenant VRF) QoS Filter QoS Service QoS Filter Application Policy Infrastructure Controller APIC 1. Профиль приложения 2. Кластер контроллеров 3. Cеть на базе Nexus 9000
  • 19.
    Tenant: Логический контейнердля размещения политик приложений.Этот контейнер может быть выделен отдельному арендатору, организации или приложению. Application Profile: профиль приложения моделирует требования приложения к сети и включает в себя необходимое количество EPG. Bridge Domain: Логическая конструкция представляющая L2- сегмент передачи данных внутри фабрики. Один или несколько EPG могут быть ассоциированы с одним BD. Объектная модель используемая в ACI Tenant A ANP 3-tier App ANP Storage BridgeDomainBD_1 BridgeDomainBD_2 Контракт КонтрактКонтракт EPG NetApp_LIF EPG VM-NIC EPG База данных EPG Сервер приложений EPG Web-сервер
  • 20.
    End Point Group(EPG): EPG это набор физических или виртуальных объектов, для которых должны быть обеспечены одинаковые политики и сервисы при подключении к сети. Например набор виртуальных машин или интерфейсов СХД. Контракты: регламентирует правила передачи данных между EPG при помощи механизмов фильтрации, обеспечения качества обслуживания и перенаправления трафика на внешние сервисные устройства, такие как МСЭ и т.д. Объектная модель используемая в ACI Tenant A ANP 3-tier App ANP Storage BridgeDomainBD_1 BridgeDomainBD_2 Контракт КонтрактКонтракт EPG NetApp_LIF EPG VM-NIC EPG База данных EPG Сервер приложений EPG Web-сервер
  • 21.
    Взаимодействие внутри ACI “Users”“Files” ACIFabric Определение Endpoint Groups Любой хост внутри в любом месте фабрики виртуальный или физический Применение входящих политик Применение политик на всех портах: security in depth, embedded QoS Точка оркестрации Разделение административных ролей с использованием общего интерфейса и объектов Application Policy Infrastructure Controller (APIC) Создание контракта между Endpoint Groups Правила: drop, prioritize, push to service chain; reusable templates Service Graph Сервисное устройство Администратор безопасности определяет шаблоны политик, которые далее используются при создании контракта All TCP/UDP: Accept, Redirect UDP/16384-32767: Prioritize All Other: Drop Policy Contract “Users → Files” 21
  • 22.
    Интеграция гипервизоров иACI EPG классификация при помощи атрибутов VM •  End Point Group (EPG) могут использовать несколько методов для классификации •  VM Port Group – это самый простой механизм классификации ВМ •  Атрибуты ВМ так же могут использоваться для классификации EPG •  Используется ACI релиз 11.1 с AVS (первоначальная доступность) •  Поддержка коммутаторов в гипервизорах VMware vDS, Microsoft vSwitch, OVS (планируется) Атрибуты ВМ Guest OS VM Name VM (id) VNIC (id) Hypervisor DVS port-group DVS Datacenter Custom Attribute MAC Address IP Address vCenterVMAttributes VMTraffic Attributes
  • 23.
    Интеграция ACI иTrustSec SGT ß EPG ACI-Enabled DC SGTàEPGTrustSec-Enabled Network Consistent Policy •  Cisco планирует интегрировать TrustSec и ACI дав возможность заказчикам создать интегрированную систему безопасности, которая предоставляет возможность воспользоваться контекстом TrustSec, сформулированном в территориально распределенной сети, при определении сетевой политики приложения, размещаемого в фабрике ACI ЦОД •  Возможность создать связанную политику безопасности на предприятии с одновременным использованием роли пользователя и контекста приложения •  Подход на основе групповых политик упростит дизайн, операции по поддержке и комплекс организационных мероприятий по соответствию нормативным требованиям
  • 24.
    Сегментация, обнаружение изащита средствами безопасности 23.11.15 © 2014 Cisco and/or its affiliates. All rights reserved.24 Контроль Применение Усиление ДО Обнаружение Блокировка Защита ВО ВРЕМЯ
  • 25.
    МСЭ ASA ифабрика ЦОД §  ASA и Nexus Virtual Port Channel §  vPC обеспечивает распределение нагрузки по соединениям (отсутствие заблокированных STP соед.) §  ASA использует технологии отказоустойчивости ЦОД §  Уникальная интеграция ASA и Nexus (LACP) §  IPS модуль полагается на связность от ASA – обеспечивает DPI §  Проверенный дизайн для сегментации, защиты от угроз и прозрачности операций (visibility) §  Transparent (рекомендован) и routed режимы §  Работает в режимах A/S и A/A failover Уровень агрегации ЦОД Active vPC Peer-link vPC vPC Core IP1 Core IP2 Active or Standby N7K VPC 41N7K VPC 40 Nexus 1000V vPath Hypervisor Nexus 1000V vPath Hypervisor Core Layer Aggregatio n Layer Access Layers 25
  • 26.
    Aggregation Layer L2 L3 FW HA VPCVPC VPC DCCore / EDGE VPCVPC FHRPFHRP SVI VLAN200 SVI VLAN200 North Zone VLAN 200 South Zone VLAN 201 Trunks VLAN 200 Outside VLAN 201 Inside N7K VPC 40 N7K VPC 41 ASA channel 32 VPC PEER LINK VPC PEER LINK Access Layer Подключение ASA к Nexus с vPC §  ASA подключается к Nexus несколькими интерфейсами с использованием vPC •  ASA может быть настроена на переход на резервную коробку в случае потери нескольких соединений (при использовании HA) §  Идентификаторы vPC разные для каждого МСЭ ASA на коммутаторе Nexus (это меняется для кластера ASA и cLACP [далее…]) 26
  • 27.
    Физический сервис длявиртуального HypervisorHypervisor Hypervisor Hypervisor VRF Blue VRF Purple Firewall Firewall Nexus 7000 Nexus 5500 Nexus 1000V Nexus 1000V §  Применяем физические устройства для изоляции и сегментации виртуальных машин §  Используем зоны для применения политик §  Физическая инфраструктура привязывается к зоне §  Разделяем таблицы маршрутизации по зонам через VRF §  Политики МСЭ на зоны привязаны к потокам север-юг, восток-запад §  Проводим L2 и L3 пути через физические сервисы 27
  • 28.
    МСЭ & виртуальнаясреда Виртуальные контексты ASA для фильтрации потоков между зонами Firewall Virtual Context provides inter-zone East-West security Aggregation Core Hypervisor Hypervisor Database ASA Context 2 Transparent Mode ASA Context 1 Transparent Mode ASA 5585 ASA 5585 Aggregation Core Physical Layout East-West Zone filtering VLAN 21 VLAN 20 VLAN 100 VLAN 101 Context1 Context2 Front-End Apps 28
  • 29.
    Hypervisor Инспекция трафика междуVLAN для VM ASA с Bridge Group внутри контекста Layer 2 Adjacent Switched Locally Direct Communication ASA 5585 Transparent Mode Aggregation Core Layer 3 Gateway VRF or SVI Aggregation Core Physical Layout East-West VLAN filtering VLAN 20 VLAN 100 interface vlan 21 10.10.20.1/24 interface vlan 101 10.10.101.1/24 interface TenGigabitEthernet0/6 channel-group 32 mode active vss-id 1 no nameif no security-level ! interface TenGigabitEthernet0/7 channel-group 32 mode active vss-id 2 no nameif no security-level ! interface BVI1 ip address 10.10.20.254 255.255.255.0 ! interface Port-channel32 no nameif no security-level ! interface Port-channel32.20 mac-address 3232.1111.3232 vlan 20 nameif inside bridge-group 1 security-level 100 ! interface Port-channel32.21 mac-address 3232.1a1a.3232 vlan 21 nameif outside bridge-group 1 security-level 0 … 29 VLAN 21 VLAN 101
  • 30.
    Обзор кластера ASA § Кластеризация поддерживается на 5580, 5585 и 5500-X (5500-X кластер из 2-х устройств) §  CCL – критическое место кластера, без него кластер не работает §  Среди членов кластера выбирается Master для синхронизации настроек— не влияет на путь пакета §  Новый термин “spanned port-channel” т.е. Распределенные/общие настройки порта среди членов кластера ASA §  Кластер может ре-балансировать потоки §  У каждого потока есть Owner и Director и возможно Forwarder §  Шина данных кластера ДОЛЖНА использовать cLACP (Spanned Port-Channel) Cluster Control Link vPC Data Plane Aggregation Core ASA Cluster vPC 40 30
  • 31.
    Кластер МСЭ ASA КластеризацияASA для требований ЦОД Cluster Control link shares state and connection information among cluster members Aggregation Core Hypervisor Hypervisor Database ASA Cluster includes Context 1 & 2 Transparent Mode ASA 5585 ASA 5585 ASA 5585 ASA 5585 Aggregation Core Physical Layout Cluster Control Link Cluster functionally the same in either transparent or routed mode Cluster members used for North-South, East- West inspection and filtering Context1 Context2 Owner Director IPS relies on ASA Clustering 31 Web Apps
  • 32.
    Внедрение ASAv :виртуальный МСЭ+VPN 32 §  Сегодня для фильтрации между зонами и тенантами применяется ASA в режиме мульти- контекст §  Для передачи трафика используются транки §  Проблема – масштабирование фильтрации Запад-Восток требует ресурсов МСЭ и масштабируемого транспортного решения Zone 1 Zone 2 Zone 3 VM 1 VM 2 VM 3 VM 4 VFW 1 VM 5 VM 6 VM 7 VM 8 VFW 2 VFW 3 §  ASAv – может быть пограничным МСЭ и может обеспечивать фильтрацию Восток- Запад §  На каждого тенанта или зону можно развернуть одну или несколько ASAv для FW + VPN §  Масштабируемая терминация VPN S2S и RA Vzone 1 Vzone 2 Multi Context Mode ASA
  • 33.
    Внедрение ASAv :виртуальный МСЭ+VPN 3 режима примения политик Routed Firewall •  Маршрутизация трафика между vNIC •  Поддержка таблиц ARP и маршрутов •  МСЭ на границе тенанта Transparent Firewall •  VLAN или VxLAN Bridging / Stitching •  Поддержка таблицы MAC •  Бесшовная интеграция в L3 дизайн Service Tag Switching •  Инспектирование между service tags •  Нет взаимодействия с сетью •  Режим интеграции с фабрикой 33
  • 34.
    Routed Firewall §  Routed– граница сети контейнера/ тенанта §  Шлюз по умолчанию для хостов §  Маршрутизация между несколькими подсетями §  Традиционная L3 граница сети §  Подключение виртуальных машин и физических §  Сегментация с использованием интерфейсов ASAv Routed client Gateway Outside Inside host1 host2 Shared DMZ 34
  • 35.
    Transparent Firewall •  Коммутациямежду 4 (под-) интерфейсами •  8 BVI на ASAv •  NAT и ACL •  Бесшовная интеграция для соотв. PCI •  Традиционная граница L2 между хостами •  Все сегменты в одном широковещательном домене ASAv Transp Gateway client Segment-1 Segment-3 host1 host2 Segment-2 Segment-4 35
  • 36.
    Web-zone Fileserver-zone Hypervisor Nexus 7000 Nexus 5500 Nexus 1000V VRF VLAN50 UCS VLAN 200 VLAN 300 Защита приложений и видимость §  Инспекция трафика север-юг и восток-запад с ASA §  Transparent или routed режимы §  Эластичность сервиса .1Q Trunk VLAN 50 36
  • 37.
    Web-zone Fileserver-zone Hypervisor Nexus 7000 Nexus 5500 Nexus 1000V VRF VLAN50 UCS Защита приложений и видимость Инспекция трафика север-юг и восток-запад с ASA Глубокая инспекция с virtual IPS – в режиме inline (коммутация между VLAN) или promiscuous port на vswitch Сервисная цепочка – ASAv и vIPS .1Q Trunk External VLAN 50 Defense Center с Firesight для анализа данных 37 Inline Set Inline Set Internal External Internal VLAN 200
  • 38.
    vIPS Варианты включения: в«разрыв» или «пассивный» Web-zone VLAN 200 Promiscuous Port vSwitch Web-zone VLAN 200 External vSwitchvSwitch 38 Internal
  • 39.
    Сегментация, обнаружение изащита средствами безопасности в ACI 23.11.15 © 2014 Cisco and/or its affiliates. All rights reserved.39 Контроль Применение Усиление ДО Обнаружение Блокировка Защита ВО ВРЕМЯ
  • 40.
    ASA и FirePOWERв архитектуре ACI ASA5585 Divert to SFR NGIPSv FirePOWER ASAv30 ASAv10 FireSIGHT
  • 41.
    Основной принцип ACI- логическая конфигурация сети, не привязанная оборудованию ACI фабрика Неблокируемая фабрика на базе оверлеев App DBWeb Внешняя сеть передачи данных (Tenant VRF) QoS Filter QoS Service QoS Filter Application Policy Infrastructure Controller APIC Вставка сервисной цепочки
  • 42.
    Автоматизация вставки сервисногоустройства при помощи механизма «device package» Open Device Package Policy Engine APIC реализует расширяемую модель политик при помощи Device Package Configuration Model Device Interface: REST/CLI APIC Script Interface Call Back Scripts Event Engine APIC– Policy Manager Configuration Model (XML File) Call Back Script Администратор загружает файл, содержащий Device Package в APIC Device Package содержит XML модель устройства, которое находится под управлением Device scripts транслирует вызовы APIC API в специфичные для устройства CLI команды или API вызовы APIC
  • 43.
    §  Режим одногои нескольких контекстов поддерживается для релиза драйвера DP 1.2 §  Оба режима используют возможность создания VLAN подинтерфейсов §  Transparent (bump in the wire) режим для вставки “Go-Through” §  Передача пакетов построена на базе MAC адресов. Таблица маршрутизации влияет на NAT и инспекцию приложений §  Режим Flooding должен быть включен для ACI Bridge Domains §  Routed (Layer 3 hop) режим для вставки “Go-To” §  Общая таблица маршрутизации на контекст требует наличия статических маршрутов или динамической маршрутизации (DP 1.2) для подключения к EPG. Модели интеграция ASA в фабрику ACI
  • 44.
    §  Failover защитаот выхода из строя устройства §  Failover соединения имеют один общий активный IP/MAC §  Пара Active/Standby настраивается и управляется APIC’ом. Оба устройства ASA должны быть зарегистрированы на APIC. §  Режим Active/Active failover не поддерживается §  Кластер обеспечивает высокий уровень производительности в ACI §  До 16 устройств ASA5585-X может быть объединено в один логический МСЭ §  Режим интерфейса Spanned Etherchannel обеспечивает общий IP и MAC адрес §  Настройка кластера производится в режиме out of band, но APIC может управлять им после настройки. ASA доступность и масштабируемость
  • 45.
    §  Routed Mode(Go-To) Tenant §  Transparent Mode (Go-Through) Tenant BD2BD1 Интеграция ASA в фабрику ACI EPG A EPG B FW Graph B 10.0.0.0/24 External Internal External EPG A1 EPG B Graph A 10.0.0.0/24 10.0.0.1 20.0.0.1 20.0.0.0/24 External Internal BD2BD1 FW Device Package 1.0 или 1.1
  • 46.
    BD 1 BD2 §  Routed Mode § Transparent Mode BD2BD 1 Интеграция ASA в фабрику ACI EPG A EPG B FW Graph B 10.0.0.0/24 Tenant B External Internal EPG A EPG A FW Graph A 10.0.0.1 20.0.0.1 Tenant A External Internal VRF1 VRF2 OSPF/BGP OSPF/BGPOSPF/BGP VRF1 VRF2 10.0.0.2 20.0.0.2 10.0.0.10 10.0.0.11 100.0.0.0/24 200.0.0.0/24 201.0.0.0/24 202.0.0.0/24 203.0.0.0/24 101.0.0.0/24 102.0.0.0/24 103.0.0.0/24 200.0.0.0/24 201.0.0.0/24 202.0.0.0/24 203.0.0.0/24 100.0.0.0/24 101.0.0.0/24 102.0.0.0/24 103.0.0.0/24 ASA 1.2 Device Package
  • 47.
    BD2BD 1 Transparent Mode Вставка FirePOWERв фабрику ACI EPG A EPG B NGIPS Graph A 10.0.0.0/24 Tenant A External Internal BD 1 BD2 EPG A EPG B NGIPS Graph B 10.0.0.0/24 Tenant B External Internal VRFs VRFs OSPF/BGP 10.0.0.10 10.0.0.11 100.0.0.0/24 200.0.0.0/24 201.0.0.0/24 202.0.0.0/24 203.0.0.0/24 101.0.0.0/24 102.0.0.0/24 103.0.0.0/24
  • 48.
    Интеграция с ACIустройств безопасности Cisco Подключение к фабрике ACI Подключение к фабрике ACI Настройка политик Мониторинг и уведомления в реальном времени Настройка политик Managing Service Producer Security Configurations and Visibility События и syslog CSM ASA Device Package FirePOWER Device Package Интеграция ASA Интеграция FirePOWER
  • 49.
    Обработка сервисного графа Длякаждой функции в графе: 1.  APIC выбирает логическое устройство из ранее определенных 2.  APIC разрешает параметры конфигурации и готовит конфигурационный словарь 3.  APIC выделяет VLAN для каждого соединения, ассоциированного с функцией 4.  APIC настраивает сеть - VLAN, EPG и соответствующие фильтры 5.  APIC запускает скрипт и настраивает сервисное устройство FuncAon Firewall FuncAon SSL offload FuncAon Load Balancer Сервисный граф: “web-applica=on” Firewall FuncAon SSL offload FuncAon Load Balancer Выделение VLAN 1 2 3 Настройка VLAN 4 5 EPG Web EPG App
  • 50.
    ASA5585 c SFRв сервисном графе – Etherchannel Po1.300 Po1.301 Vlan 100 Vlan 200 vPC4 VLAN 300 vPC4 Vlan 301 App1 DB providerconsumer class firepower_class_map sfr fail-close SFR NGIPS policy ASA Когда сервисный граф с сервисным устройством ASA активируется в определенном контракте (начинается рендеринг), APIC автоматически настроивает ASA интерфейсы и политики, включая redirection на модуль FirePOWER. Поддерживаются L3 (GoTo) и L2 (GoThrough) режимы. FireSIGHT независимо управляет политиками FirePOWER. ASA 1.2 Device Package ASA5585+SFR APIC Vlan 100 App2 VM
  • 51.
    Cервисный граф дляFirePOWER - LAG s1p1.300 s1p2.301 Vlan 100 Vlan 200 vPC4 Vlan 300 vPC4 Vlan 301 Идентификаторы VLAN ID назначаются автоматически из пула и для EPG и для портов сервисных устройств. Настройка всех портов согласно логике (L2,L3) производится автоматически. App DB consumer provider FirePOWER использует LAG (port-channel) для подключения к фабрике для обеспечения отказоустойчивости к одному коммутатору или паре коммутаторов с функцией vPC. Physical APIC использует FirePOWER Device package для взаимодействия с FireSIGHT Management Center который управляет NGIPS APIC
  • 52.
    ASAv и FirePOWERvв сервисном графе vNIC2 vNIC3 Vlan 100 Vlan 200 App DB providerconsumer Устройства ASAv и NGIPSv разворачиваются вручную или при помощи оркестратора. vNIC интерфейсы, помеченные как consumer и provider задействуются при активации (рендеринге) сервисного графа. vNIC2 vNIC3 providerconsumer Vlan 302 Vlan 303Vlan 300 Vlan 301 APIC полностью управляет конфигурацией ASAv, при этом настройка виртуального FirePOWER устройства выполняется при помощи FireSIGHT. APIC
  • 53.
    Сервисная цепочка издвух устройств (пример) “Подключаем” устройства
  • 54.
    Сервисная цепочка издвух устройств (пример) Создаем шаблоны настроек для ASA
  • 55.
    Сервисная цепочка издвух устройств (пример) Создаем шаблоны настроек для IPS
  • 56.
    Сервисная цепочка издвух устройств (пример) Создаем шаблон сервисной цепочки
  • 57.
    Сервисная цепочка издвух устройств (пример) Привязываем сервисную цепочку к контракту между EPG
  • 58.
    Сервисная цепочка издвух устройств (пример) “Привязываем” интерфейсы устройств
  • 59.
    Сервисная цепочка издвух устройств (пример) Работающая сервисная цепочка
  • 60.
    Сервисная цепочка издвух устройств (пример) firewall transparent hostname pierre interface Management0/0 management-only nameif mgt security-level 100 ip address 172.26.42.12 255.255.255.192 route mgt 0.0.0.0 0.0.0.0 172.26.42.1 1 http server enable http 0.0.0.0 0.0.0.0 mgt user-identity default-domain LOCAL aaa authentication telnet console LOCAL aaa authentication http console LOCAL username admin password e1z89R3cZe9Kt6Ib encrypted privilege 15 interface Port-channel1 lacp max-bundle 8 no nameif no security-level ! interface TenGigabitEthernet0/6 channel-group 1 mode active no nameif no security-level ! interface TenGigabitEthernet0/7 channel-group 1 mode active no nameif no security-level same-security-traffic permit inter-interface interface BVI1 ip address 77.10.10.254 255.255.255.0 ! interface Port-channel1.3135 vlan 3135 nameif externalIf bridge-group 1 security-level 100 ! interface Port-channel1.3174 vlan 3174 nameif internalIf bridge-group 1 security-level 100 access-list access-list-inbound extended permit ip any any access-list access-list-inbound extended permit tcp any any eq www access-list access-list-inbound extended permit tcp any any eq https access-group access-list-inbound in interface externalIf Начальная настройка Подключена к APIC Часть сервисной цепочки ASA5585
  • 61.
    Мониторинг и реагирование 23.11.15© 2014 Cisco and/or its affiliates. All rights reserved.61 Контроль Применение Усиление ДО Обнаружение Блокировка Защита ВО ВРЕМЯ Видимость Сдерживание Устранение ПОСЛЕ
  • 62.
    Применение NetFlow длябезопасности §  Обнаружение сложных и стойких угроз. Выявление вредоносного ПО внутри защищенного периметра. Выявление угроз нулевого дня. §  Выявление активности каналов управления и контроля BotNet. Вредоносное ПО с внешними центрами управления может использоваться для рассылки SPAM, организации DoS атак и другой вредоносной активности. §  Обнаружение сетевого взлома. Некоторые типы атак используют различные приемы сетевого сканирования для выбора вектора атаки, что может быть использовано для выявления угроз. §  Обнаружение внутреннего распространения вредоносного ПО. Распространение вредоносного ПО по сети может приводить к потери конфиденциальных и защищенных данных. §  Выявление утечки данных. Вредоносное ПО может содержать код для организации передачи данных в сторону атакующего. Такие утечки могут происходить периодически в течении небольших промежутков времени. 62
  • 63.
    NetFlow в двухсловах Internal Network NetFlow Data NetFlow Collector 63
  • 64.
    Решение Cyber ThreatDefense Data Center Прозрачность, Контекст и Контроль Использование NetFlow до уровня доступа Унификация инструментов для обнаружения, расследования и отчетности Наполнение данных информацией идентификации, событиями, контекстом Кто Что Где Когда Как Cisco ISE Cisco ISR G2 + NBAR Cisco ASA + NSEL Context 64
  • 65.
    Компоненты решения CyberThreat Defense Cisco Network StealthWatch FlowCollector StealthWatch Management Console NetFlow Users/Devices Cisco ISE NetFlow StealthWatch FlowReplicator Other tools/ collectors https https NBAR NSEL NGA NetFlow Generating Appliance 65
  • 66.
    Решение Cisco Обнаружение атакбез сигнатур Высокий Concern Index показывает существенное количество подозрительных событий, что является отклонением от установленной нормы Host Groups Host CI CI% Alarms Alerts Desktops 10.10.101.118 338,137,280 112,712% High Concern index Ping, Ping_Scan, TCP_Scan Мониторинг и нормирование активности для хоста внутри группы 66
  • 67.
    Идентификация угроз иназначение атрибутов Интеграция Cisco ISE и Lancope StealthWatch Policy Start Active Time Alarm Source Source Host Group Source User Name Target Inside Hosts 8-Feb-2012 Suspect Data Loss 10.34.74.123 Wired Data Bob Multiple Hosts 67
  • 68.
    Обнаружение распространения вредоносногоПО NetFlow Capable Devices Management StealthWatch FlowCollector StealthWatch Management Console3. Сбор и анализ данных NetFlow 4. Добавление контекстной информации к данным NetFlow анализа 5. Повышение Concern index и генерация события Worm propagation Cisco ISE Initial Infection Secondary Infection 1Заражение происходит по внутренней сети в соответствии с планом атакующего 2. Инфраструктура создает записи активности с использованием NetFlow Data Center 68
  • 69.
    Обнаружение распространения вредоносногоПО Devices Management StealthWatch FlowCollector StealthWatch Management Console3. Сбор и анализ данных NetFlow 4. Добавление контекстной информации к данным NetFlow анализа 5. Повышение Concern index и генерация события Worm propagation Cisco ISE Tertiary Infection Initial Infection Secondary Infection 2. Инфраструктура создает записи активности с использованием NetFlow NetFlow Capable 1. Заражение происходит по внутренней сети в соответствии с планом атакующего Data Center 69
  • 70.
  • 71.
    Примечание про StealthWatchи NSEL §  Поле Flow Action добавляет дополнительный контекст §  Данные о состоянии NSEL используются при поведенческом анализе в StealthWatch (concern Index points суммируются для событий Flow Denied) §  NAT stitching убирает избыточные записи потоков от ASA и ASR1000 §  Отсутствие данных о TCP флагах и счетчиков переданных и принятых байт снижает эффективность NSEL и позволяет использовать только для обнаружения ряда угроз (ex. SYN Flood); предлагается использовать в комбинации с дополнительными источниками NetFlow NetFlow Secure Event Logging 71
  • 72.
    Мониторинг и реагированиев ACI 23.11.15 © 2014 Cisco and/or its affiliates. All rights reserved.72 Контроль Применение Усиление ДО Обнаружение Блокировка Защита ВО ВРЕМЯ Видимость Сдерживание Устранение ПОСЛЕ
  • 73.
    Visibility в ACI МеханизмAtomic Counters 23.11.15 © 2015 Cisco and/or its affiliates. All rights reserved.73
  • 74.
    Visibility в ACI МеханизмSPAN 23.11.15 © 2015 Cisco and/or its affiliates. All rights reserved.74
  • 75.
    Ускорение отражения угрозпри помощи интеграции между ACI и FirePOWER NGIPS Host 3 Приложение 1 (Physical) Host 1 Host 2 Приложение 2 (Physical) V M V M V M 1. FirePOWER IPS использует возможности ACI фабрики по мониторингу для обнаружения атаки на ее самой ранней фазе Proactive Detection Mitigation Incident Response and Mission Assurance Жизненный цикл атаки Weaponize Execute Deliver Control Maintain Exploit Recon APIC FireSIGHT 2. Механизм «continuous analytics» компоненты FireSIGHT Manager обеспечивает обнаружение атаки 3. FireSIGHT использует APIC API для программирования политики с целью блокировки атаки (FireSIGHT System Remediation API), а так же задействует механизм карантина для нежелательного трафика 4. FirePOWER IPS непрерывно собирает информацию о событиях с ACI Фабрики, чтобы обнаружить новые угрозы
  • 76.
    Заключение 23.11.15 © 2015Cisco and/or its affiliates. All rights reserved.76
  • 77.
    С чего начать?Cisco SAFE! Сеть L2/ L3 Управление доступом + TrustSec к комплексу зданий Зона общих сервисов Система предотвра- щения вторжений нового поколения Зона сервера приложений Зона соответствия стандартам PCI Зона базы данных Анализ потока Безопасность хоста Баланси- ровщик нагрузки Анализ потока МСЭ Антивре- доносное ПО Анали- тика угроз Управление доступом + TrustSec Система предотвра- щения вторжений нового поколения Межсетевой экран нового поколения Маршрутизатор Сеть L2/L3МСЭ VPN Коммута- тор МСЭ веб- приложений Централизованное управление Политики/ Конфигурация Мониторинг/ контекст Анализ/ корреляция Аналитика Регистрация в журнале/ отчетность Аналитика угроз Управление уязвимостями Мониторинг к периметру Виртуализированные функции WAN
  • 78.
    Как внедрить? 23.11.15 ©2015 Cisco and/or its affiliates. All rights reserved.78 Возможности создания общей картины Руководство по архитектуре Дизайны CVD Руководство «Обзор Safe» Руководство по архитектуре для защищенного ЦОД Как развертывать кластер ASA Краткое руководство по созданию защищенного ЦОД Создание кластера ASA с сервисами FirePOWER УТВЕРЖДЕНО
  • 79.
    CiscoRu Cisco CiscoRussia Ждемваших сообщений с хештегом #CiscoConnectRu CiscoRu © 2015 Cisco and/or its affiliates. All rights reserved.