Документ описывает форум по проектированию и развертыванию центров обработки данных, прошедший в Москве в 2016 году, с акцентом на практическое использование технологий Cisco ACI и защиту веб-приложений. В ходе форума были развернуты 900 виртуальных машин, и обсуждались проблемы безопасности, включая конкуренцию между хакерами и защитниками. Также документ содержит детали о сетевой инфраструктуре и результатах мероприятия, включая высокую посещаемость и отсутствие серьезных сбоев.

1. 2016 | Москва
Data Сenter
Design&Deploy
Forum

2. Data Сenter Design&Deploy Forum
2016 | Moscow
ОЛЕГ МАТЫКОВ,
руководитель направления развития продуктов
для защиты приложений и промышленных сетей,
Positive Technologies
Практическое
использование фабрики ACI

3. Data Сenter Design&Deploy Forum 2016 | Moscow
Positive Technologies

4. Data Сenter Design&Deploy Forum 2016 | Moscow
4 года партнерства с Cisco
Исследования безопасности
устройств Cisco
Автоматическая инвентаризация и
анализ безопасности устройств Cisco
Контроль изменения конфигураций и
уровня защищенности продуктов Cisco
Защита веб-приложений в ЦОД на
базе Cisco

5. Data Сenter Design&Deploy Forum 2016 | Moscow
Positive Hack Days

6. Cisco на Positive Hack Days

7. Data Сenter Design&Deploy Forum 2016 | Moscow
PHDays VI СityF: Противостояние
ХАКЕРЫ (16) vs ЗАЩИТНИКОВ (5)
Защита (виртуальной)
инфраструктуры 5-ти компаний
Security Operation Center (3)
ЗАДАЧИ:
1. Развернуть 900 виртуальных машин с использованием
Network Functions Virtualization
2. Разграничить виртуальную инфраструктуру на 5
организаций, SOC, «как бы интернет», сегмент защиты веб-
приложений и сегмент хакеров

8. Data Сenter Design&Deploy Forum 2016 | Moscow
Физическая инфраструктура CityF
2 x Cisco Nexus 9336PQ ACI Spine Switch
2 x Cisco Nexus 9372PX ACI Leaf Switch
1 x Cisco ASA 5585-X with SSP-10
14 серверов
100+ компьютеров участников
1 x Cisco Catalyst 3850

9. Data Сenter Design&Deploy Forum 2016 | Moscow
Виртуальные технологии CityF
VMware vCenter Server
VMware vSphere Distributed Switch
Cisco CSR 1000V
Cisco ASAv
Cisco ACI with VMware VDS Integration
Check Point vSEC Virtual Edition PT Application Firewall Virtual
Appliance

10. Data Сenter Design&Deploy Forum 2016 | Moscow
Схема сети виртуальной организации CityF
200 терминальных групп (EPGs) в 10 профилях приложений
Internet
DMZ – 203.0.113.128/25
Users – 10.125.4.0/24
CP-EDGE-2
Network Management
Servers – 10.125.2.0/28
Windows Servers –
10.125.2.16/28
DB Servers – 10.125.2.32/28
203.0.113.0/29
ASA-MNG-1
Admins – 10.125.3.0/24
IOS-CORE-1
10.125.10.1
IOS-DST-2
10.125.10.4
IOS-DST-1
10.125.10.3
10.125.1.16/3010.125.1.4/30
IOS-CORE-2
10.125.10.2
10.125.1.8/30
10.125.1.12/30
10.125.1.0/30
ASA-VPN-1
203.0.113.8/29
VPN-Users
10.125.5.0/24
Branch Users –
10.125.6.0/25
Branch Servers –
10.125.6.128/25
IOS-BRCH-1
10.125.10.5
198.51.100.4/30
198.51.100.8/30
10.125.1.64/30
ASA-BRCH-1
Branch-VPN-Users
10.125.7.0/24
.10
.9
.66
.65
.5
.6
.17
.1
IOS-EDGE-1
203.0.113.17
.2
.52
ClusterXL
.36
.1
.2
.34
.50
.51
.35
.1 .1
.26
.5
.13
.27
.9
.6
.10
.14 .18
.17
.28
.9
ClusterXL
.20
.12
.1
.17
.33
HSRP .49 HSRP .33
HSRP .25
Головная
организация
Филиал
Sit-to-Site VPN
.1
.129
.21 .22
.38
.37
.130
.131
CP-EDGE-1
ClusterXL
.130
1st
Sync
10.125.10.8/30
.10.9
Unix Servers – 10.125.2.48/28
.49
10.125.1.24/29
10.125.1.48/28 10.125.1.32/28 .40
CentOS-Squid
203.0.113.16/25
IOS-ISP-2
IOS-ISP-1

11. Data Сenter Design&Deploy Forum 2016 | Moscow
ИТОГИ
• Инфраструктура было развернута за 2
недели
• Конкурс начался в назначенное время
• Трафик в сети достигал 400 Гбитс
• Серьезных сбоев не зафиксировано
• Защитники отстояли свои организации
• Форум посетили более 4000 человек
• Фабрика Cisco ACI будет использована
на следующем Positive Hack Days

12. Cisco и PT Application Firewall

13. Data Сenter Design&Deploy Forum 2016 | Moscow
Cisco ACI и PT Application Firewall:
первый опыт
Защищаемый
веб-сервер
Веб-клиент
PT Application
Firewall
1
2
APIC

14. Data Сenter Design&Deploy Forum 2016 | Moscow
Зачем нужен WAF?
Через веб-сервисы в 2015 году были
скомпрометированы 78% компаний*
*по данным опросов Ponemon Institute

15. Data Сenter Design&Deploy Forum 2016 | Moscow
Варианты развертывания WAF

16. Data Сenter Design&Deploy Forum 2016 | Moscow
PT Application Firewall – технологический лидер

17. Data Сenter Design&Deploy Forum 2016 | Moscow
Автоматизация развертывания PT
Application Firewall
Развертывание
экземпляра PT AF
Создание
сервисной цепочки
Встраивание
сервисной цепочки
Обновление
записи DNS
1
2
3
4
UCS Director использует REST API сервисной платформы CSP 2100
Платформа CSP 2100 запускает экземпляр виртуальной машины
Настройка IP-адреса управления для PT AF
Обновление записи DNS и перенаправление трафика
пользователей на PT AF
APIC
В APIC контроллер добавляется сервисное устройство
Создается профиль настроек PT AF
Создается сервисная цепочка
В существующий контракт между EPG Client и EPG Server добавляется
ссылка на сервисный граф
DNS-сервер
Enterprise
Backbone
1
CSP 2100
Веб-клиент
Защищаемый
веб-сервер
PT AF
2 3
4
Платформа
Оркестрации
(UCS Director)

18. Data Сenter Design&Deploy Forum 2016 | Moscow
PT Application Firewall на Cisco UCS
Снижение стоимости владения PT Application Firewall
за счет использования технологий Cisco UCS
Cisco UCS-E140S
Cisco UCS-C220-M4S

19. Data Сenter Design&Deploy Forum 2016 | Moscow
Лучше один раз попробовать
С ТЕХНОЛОГИЯМИ РАЗВЕРТЫВАНИЯ CISCO

20. Спасибо!
ОЛЕГ МАТЫКОВ,
руководитель направления развития продуктов
для защиты приложений и промышленных сетей,
Positive Technologies
omatykov@ptsecurity.com