Cisco Russia , profile picture
Uploaded byCisco Russia
PDF, PPTX2,058 views

Безопасность Центров Обработки Данных

Документ освещает вопросы безопасности центров обработки данных (ЦОД), включая архитектуру защищенного ЦОД и методы сегментации сети. Основное внимание уделяется интеграции технологий безопасности в инфраструктуру ЦОД, обеспечивает анализ угроз и внедрение политик доступа. Обсуждаются современные технологии, такие как виртуальные межсетевые экраны, и предлагаются решения для обеспечения высокой доступности и отказоустойчивости сетевых устройств.

Embed presentation

Download as PDF, PPTX
Андрей Ключка Системный инженер Cisco CCIE #30274 (Security) Безопасность Центров Обработки Данных
Безопасность ЦОД Угрозы, тренды, приоритеты Архитектура защищенного ЦОД Безопасность виртуальных контейнеров Идентификация и применение политик на базе меток SGT Поиск угроз и корреляция Заключение
Основные приоритеты обеспечения безопасности ЦОД Сегментация •  Установление+границ:!сеть,!вычисления,!виртуальные!ресурсы! •  Реализация+политики+по!функциям,!устройствам,!организациям! •  Контроль+доступа+к!сетям,!ресурсам,!приложениям! Защита+от+угроз+ •  Блокировка!внутренних!и!внешних!атак+ •  Контроль+границ!зоны!и!периметра! •  Контроль+доступа!к!информации,!ее!использования!и!утечки! Мониторинг •  Обеспечение!прозрачности!использования! •  Применение!бизнес>контекста+к!работе!сети!! •  Упрощение!отчетности!по!операциям!и!соответствию! нормативным!требованиям! Технологии обеспечения безопасности ДОЛЖНЫ изначально интегрироваться с технологиями и сервисами ЦОД для поддержки целостности сетевой коммутационной структуры ЦОД и безопасного предоставления информации и доступа к ней. Без наложений — безопасность должна быть максимально естественной и всеобъемлющей. Без переработок — проект сети должен оставаться оптимальным и неизменным. Без упрощения сети ЦОД! Без дополнительной потери пакетов Без компромиссов — ЦОД имеет очень важное значение!
«59% организаций не хватает лабораторных ресурсов или сред тестирования для подтверждения спецификаций поставщиков». —"Институт"SANS" «В организациях явно недостаточно четко определенных стандартов, процедур и ресурсов для определения отказоустойчивости критически важных сетевых устройств и систем.... Необходима методичная проверка отказоустойчивости с использованием комбинации реального трафика, высокой нагрузки и атак, угрожающих безопасности сети». —SANS"и"TOGAG" Утвержденные дизайны Cisco дают результаты ЦОД / Утвержденные дизайны защищенного ЦОД Cisco — www.cisco.com/go/ vmdc
Межсетевые экраны в ЦОД
Физические МСЭ •  2 слота (2 RU): FW, FW+IPS or FW+NGFW •  Топовые 5585 обеспечивают 4 10GE порта(SFP+) •  I/O карта или дополнительный IPS module добавляют 4 10GE порта •  Производительность 20 Гбит/с (multiprotocol) на МСЭ •  10M соединенний на МСЭ •  Результаты тестирования BreakingPoint: http://blogs.ixiacom.com/ixia-blog/cisco-asa-live-validation-with-breakingpoint-firestorm-ctm/ •  Отчет Miercom : http://www.miercom.com/2011/06/cisco-asa-5585-x-vs-juniper-srx3600/
ASA Firewall и фабрика ЦОД ASA и Nexus Virtual Port Channel !  vPC обеспечивает равномерную загрузку активных линков (отсутствие заблоированных STP линков) !  ASA использует технологии отказоустойчивости в ЦОД !  Уникальная интеграция ASA и Nexus (LACP) IPS модуль использует связность ASA – обеспечивает DPI Проверенный дизайн для сегментации, защиты от угроз и прозрачности операций Работает в режимах A/S и A/A Уровень агрегации в ЦОД Active vPC Peer-link vPC vPC Core IP1 Core IP2 Active or Standby N7K VPC 41N7K VPC 40 Nexus 1000V vPath Hypervisor Nexus 1000V vPath Hypervisor Core Layer Aggregation Layer Access Layers
Внедрение ASA Firewall Варианты применения Layer 2! ASA 5585 Nexus 1000V vPath Hypervisor Layer 3! ASA 5585 Nexus 1000V vPath Hypervisor Nexus 1000V vPath Hypervisor Clustering! ASA 5585 Aggregation Core
МСЭ & виртуальная среда ASA инспектирует трафик между VLAN Layer 2 Adjacent! Switched Locally! Direct Communication! ASA 5585 Transparent Mode Aggregation Core Hypervisor Layer 3 Gateway! VRF or SVI ! Inter-VLAN VM Inspection! Aggregation Core Physical Layout! East-West VLAN filtering!
Кластер ASA С версии ASA 9.0: •  До 8 ASA в кластере •  обновление ПО без остановки сервиса •  Управление потоками трафика для обеспечения инспекции •  Отсутствие единой точки отказа •  Синхронизация состояний внутри кластера для аутентификации и высокой доступности •  Централизованное управление и мониторинг •  Можно начинать с двух МСЭ Производительность 100+ Гбит/c 2x10GbEDataTrafficPortChannel ClusterControlLink ASA 9.1.4: •  Inter DC Clustering
Кластер ASA ASA кластер удовлетворяет требования ЦОД Cluster Control линк обеспечивает обмен информацией внутри кластера Aggregation Core Hypervisor Hypervisor Database Кластер ASA включает Context 1 & 2 в Transparent режиме ASA 5585 ASA 5585 ASA 5585 ASA 5585 Aggregation Core Физическая схема Cluster Control Link Поддерживается transparent, routed, mixed mode Кластер используется как для North-South так и для East-West инспекции и фильтрации Context1 Context2 Проверенный дизайн для FabricPath Owner! Director! IPS использует кластер ASA
ASA для Catalyst 6500 Показатель Значение Производительность шасси 64 Гбит/сек Производительность модуля 16 Гбит/сек Одновременных сессий 10M Новых соединений в секунду 350K Контекстов безопасности 250 VLANs 1K
Высокий уровень масштабируемости •  Выход за рамки традиционных решений •  Наращивание мощностей в соответствии с ведущими отраслевыми системными возможностями –  64 Гбит/с –  1 000 виртуальных контекстов –  4 000 сетей VLAN •  Поддержка решений для ЦОД, например развертываний частных облачных инфраструктур
Nexus 7000 VDC
Создание эффективной коммутационной структуры ЦОД с возможностью масштабирования Масштабирование сетевой коммутационной структуры — виртуальный контекст (Virtual Device Context, VDC) Nexus 7000 VDC — виртуальный контекст (до 8 VDC плюс 1 VDC управления — SUP2E с NXOS 6.04/6.1) !  Гибкое разделение и распределение аппаратных ресурсов и программных компонентов !  Полное разделение уровня данных и уровня управления !  Полная локализация программных сбоев !  Безопасно определенные административные контексты !  Каждый физический интерфейс может быть активен только в одном виртуальном контексте (VDC) Протоколы+2>го+уровня+ Протоколы+3>го+уровня+ VLAN+ PVLAN+ OSPF+ BGP+ EIGRP+ GLBP+ HSRP+ IGMP+ UDLD+ CDP+ 802.1X+STP+ LACP+ PIM+CTS+ SNMP+ …+…+ VDC+1+ Протоколы+3>го+уровня+ OSPF+ BGP+ EIGRP+ GLBP+ HSRP+ IGMP+ PIM+ SNMP+ …+ VDC+2+ Протоколы+2>го+уровня+ VLAN+ PVLAN+ UDLD+ CDP+ 802.1X+STP+ LACP+ CTS+ …+ Виртуальные! контексты! (VDC)!
Доступ+ Ядро Ядро Агрегаци я Агрегаци я Ядро Агрегаци я Использование VDC для вертикальной консолидации •  Возможность консолидации уровней ядра и агрегации при одновременном сохранении иерархии сети •  Без сокращения количества портов или каналов, но с уменьшением числа физических коммутаторов ‒  Медные кабели Twinax (CX-1) являются недорогим вариантом осуществления межсоединений 10G Один из самых распространенных способов использования VDC
Использование VDC для интернет-периметра, ДМЗ, ядра сети !  Возможность удовлетворения нескольких потребностей — VDC интернет- периметра (XL), ДМЗ и ядра сети !  Поддержка модели обеспечения безопасности с логическим разделением Интернет- периметр (XL) ДМЗ Ядро Интернет- периметр (XL) ДМЗ Ядро Интернет- периметр (XL) ДМЗ Ядро Интернет!
Сертификация безопасности VDC !  Разделение контекстов VDC является сертифицированным отраслевым механизмом защиты от утечки информации !  Лаборатории NSS для сред, соответствующих стандартам PCI — hJp://www.nsslabs.com!! !  FIPS 140-2 hJp://csrc.nist.gov/groups/STM/cmvp/documents/140f1/140InProcess.pdf! !  Стандарт Common Criteria Evaluation and Validation Scheme — сертификат №10349 hJp://www.niapfccevs.org/st/vid10349/!
IPS и NGIPS
Устройства Cisco IPS серии 4500 •  Специализированные высокоскоростные устройства IPS •  Обработка с аппаратным ускорением Regex •  Развертывания на уровне агрегации ЦОД •  Один интерфейс Gigabit Ethernet, один интерфейс 10 Gigabit Ethernet и слот SFP •  Масштабируемость: доступен слот для будущего наращивания мощностей •  Защита АСУ ТП
Cisco IPS 4510 Производительность •  Реальный средний показатель: 3 Гбит/с •  Реальный диапазон показателей: 1.2-5 Гбит/с •  Транзакционная передача по HTTP: 5 Гбит/с Характеристики платформы: •  2 RU (шасси) •  Многоядерный ЦП корпоративного класса (8 ядер, 16 потоков) •  24 ГБ ОЗУ •  Резервный источник питания •  Аппаратное ускорение Regex •  Открытый слот (в верхней части) для использования в будущем Места развертывания •  Средние и крупные предприятия •  ЦОД кампуса •  Требуется 3 Гбит/с реальной пропускной способности IPS •  Требуется резервный источник питания •  Требуется специализированная система IPS Порт AUX и консоль Интегрированный ввод-вывод 6 GE Cu Индикаторы состояния Порты управления Отсеки для жесткого диска (пустые) Интегрированный ввод-вывод 4 слота 10 GE SFP 2 порта USB
Cisco IPS 4520 Производительность •  Реальный средний показатель: 5 Гбит/с •  Реальный диапазон показателей: 2.5-7.7 Гбит/с •  Транзакционная передача по HTTP: 7,6 Гбит/с Характеристики платформы: •  2 RU (шасси) •  Многоядерный ЦП корпоративного класса (12 ядер, 24 потоков) •  48 ГБ ОЗУ •  Резервный источник питания •  Аппаратное ускорение Regex (x2) •  Открытый слот (в верхней части) для использования в будущем Места развертывания •  Средние и крупные предприятия •  Центр обработки данных •  Требуется 5 Гбит/с реальной пропускной способности IPS •  Требуется резервный источник питания •  Требуется специализированная система IPS Порт AUX и консоль Интегрированный ввод-вывод 6 GE Cu Индикаторы состояния Порты управления Отсеки для жесткого диска (пустые) Интегрированный ввод-вывод 4 слота 10 GE SFP 2 порта USB
Sourcefire, теперь часть Cisco Знакомьтесь - Snorty Из этого… 2001 В это… 2002
7030 8270 8260 8250 8140 8120 7120 7110 7020 7010 20 Gbps 10 Gbps 6 Gbps 4 Gbps 2 Gbps 1 Gbps 500 Mbps 250 Mbps 100 Mbps 50 Mbps IPS Throughput ModularConnectivity Stackable 8130 1.5 Gbps 40 Gbps 30 Gbps 8290 Устройства FirePOWER 7125 750 Mbps 7115 1.25 Gbps FixedConnectivity Mixed/SFP NGIPS/AppControl/NGFW/AMP Виртуальный сенсор Виртуальный центр защиты
Результаты тестов NSS Labs !  высочайшая производительность !  низкая цена за Мбит/с !  энергоэффективность на Мбит/с Источник: NSS Labs, “Network IPS 2010 Comparative Test Results,” December 2010 and “Sourcefire 3D8260 IPS Appliance Test Report,” April 2011. Параметры Ближайший конкурент Производительность IPS 27.6 Gbps 11.5 Gbps Цена / Mbps $19 $33 3D8260 Te c h n o l o g y Лидеры квадрата Gartner
Безопасность виртуализации: Сетевые сервисы
Проблемы безопасности в виртуализации •  Трафик между VM •  Консолидация ресурсов создает сложную среду для выявления и устранения неисправностей •  vMotion и аналоги могут нарушать политики •  Разделение полномочий админов серверов, сети и безопасности •  Проблемы переноса политики с физических серверов на виртуальные Hypervisor Угроза распространяется через внутреннюю сетьI Initial Infection Secondary Infection Роли и Ответсвенность Изоляция и сегментация Управление и мониторинг
Управление политиками виртуальной сети Nexus 1000V !  Поддерживает текущую модель работы с профилями портов !  Обеспечивает работу политик безопасности через VLAN изоляцию и сегментацию, Private VLAN, списки доступа Port-based Access Lists, интегрированные функции безопасности !  Обеспечивает контроль за виртуальными машинами с использованием традиционных сетевых функций таких как ERSPAN и NetFlow Network Team Server Team Управление и мониторинг Роли и ответственность Изоляция и сегментация Security Team Nexus 1000V
Профили портов port-profile vm180 vmware port-group pg180 switchport mode access switchport access vlan 180 ip flow monitor ESE-flow input ip flow monitor ESE-flow output no shutdown state enabled interface Vethernet9 inherit port-profile vm180 interface Vethernet10 inherit port-profile vm180 Port Profile –> Port Group vCenter API Nexus 1000V поддерживает: "  ACLs "  Quality of Service (QoS) "  PVLANs "  Port channels "  SPAN ports
VDC vApp vApp VDC Nexus 1000V vPath vSphere Наблюдаемость: мониторим трафик между VMs с помощью физических IDS и анализатора NetFlow!Analyzer! ERSPAN"DST" ID:1+ ID:2+ Aggregation Zone B Zone C Intrusion!Detecqon! NetFlow SPAN Для+снятия+трафика+используем+коммутатор+Nexus+ 1000V+с+поддержкой++ •  NetFlow!v9! •  ERSPAN/SPAN! Используем+для+детектирования++ •  атак!между!серверами! •  нецелевого!использования!ресурсов! •  нарушения!политики!безопасности! Нужно+быть+готовым+к+большому+объему+трафика!
Виртуальные МСЭ •  Виртуальные МСЭ – программные МСЭ оптимизированные для работы на гипервизоре •  У Cisco есть два решения: Virtual Security Gateway (VSG) и ASA1000V •  Оба требуют Nexus 1000V с “Advanced” лицензией •  Виртуальные МСЭ зависят от ресурсов CPU и памяти RAM Apply hypervisor-based network services Network Admin Security Admin Server Admin vCenter Nexus 1KV NSC Nexus 1000V vPath VSG ASA 1000V Hypervisor UCS
Сервисы безопасности для виртуализации •  Защищает трафик между виртуальными машинами одного заказчика •  Layer 2 МСЭ для защиты трафика east-to-west •  Списки доступа с сетевыми атрибутами и атрибутами виртуальной машины •  Фильтрация на базе первого пакета с ускорением через vPath •  Защита границы сети заказчика •  Шлюз по умолчанию и Layer 3 МСЭ для защиты трафика north-to-south •  МСЭ функционал включает списки доступа, site-to-site VPN, NAT, DHCP, инспекцию, IP audit, VXLAN шлюз. •  Все пакеты проходят через Cisco ASA 1000V Cisco® VSG Cisco ASA 1000V Безопасность Intra-Tenant Безопасность на границе Nexus 1000V vPath Hypervisor
Архитектура многоуровневых приложений По-уровневое внедрение •  Архитектура многоуровневых приложений •  Требования по внедрению •  Может состоять из •  Web (presentation) уровня •  Уровень приложений •  Уровень БД •  Сервисы WEB и приложений обычно на разных физических серверах и иногда на одном •  Обычная схема работы клиент->web- >приложение->база данных •  Нет прямого обращения клиента к базе данных •  Часто используются технологии кластеризации Web! Server! Web! Server! Permit Only Port 80(HTTP) of Web Servers Permit Only Port 22 (SSH) to application servers Only Permit Web servers access to Application servers Web! Client! Web-zone DB! server! DB! server! Database-zone App! Server!App" Server! Application-zone Only Permit Application servers access to Database servers Block all external access to database servers Physical Firewall! Protected VRF! Secure Container!
Виртуальный МСЭ на границе контейнеров На ASA 1000V доступны 4 интерфейса Ethernet interfaces для данных и отказоустойчивости: один для управления, 2 для трафика, 1 для failover !  Management 0/0 !  Data GE 0/0, 0/1 !  Failover GE 0/2 ASA 1000V поддерживает только статическую маршрутизацию ASA 1000V использует и таблицы маршрутизации, и трансляций (XLATE) для пересылки пакетов Интерфейсы и обработка Layer 3! Hypervisor Protected VRF! 10.1.1.254 10.1.1.252 10.1.1.253 Nexus 1000V vPath ASA 1000V ASA1000V(config)# route outside 172.18.30.0 255.255.255.0 10.1.1.254! ASA1000V(config)# route outside 0 0 10.1.1.254! ASA1000V(config)# route outside 0 0 172.18.50.1 tunneled! 172.18.30.x 172.18.50.1
Управление политиками Cisco Prime Network Services Controller aka VNMC
Nexus 1000V Distributed Virtual Switch VM VM VM VM VM VM VM VM VM VM VM VM VM VM VMVM VM vPath Initial Packet Flow ASA Outside Inside ASA inline Enforcement 3 vPath Encap links Traffic Path VSG Traffic flow after first packet 2 4 vPath - поочередное выполнение сервисов VSG и ASA 1000v Из Inside в outside 5
Citrix NetScaler 1000V на Nexus 1110 VSM = Virtual Supervisor Module DCNM = Data Center Network Manager Nexus 1000V vPath Any Hypervisor VM VM VM •  Citrix лучший в своем классе Контроллер предоставления виртуальных приложений (virtual application delivery controller - vADC) •  Продается и поддерживается Cisco •  Интеграция с Nexus 1110/1010, vPath Cisco Cloud Network Services (CNS) Citrix NetScaler 1000V Prime virtual NAM Imperva SecureSphere WAF Virtual Security Gateway Nexus 1110 Платформа Облачных Сервисов VSMVSM DCNM* Citrix NetScaler 1000V
NetScaler 1000V – Поддерживаемый функционал обеспечения безопасности Безопасность приложений Platinum Edition Enterprise Edition Standard Edition L7 фильтрация контента и перезапись HTTP/ URL X X X Коннектор XenMobile NetScaler X X X Поддержка SAML2 X X X Защита от DoS X AAA для Управления Трафиком X X Защита от атак 0 дня Х МСЭ приложений Citrix с поддержкой XML X https://www.citrix.com/products/netscaler-application-delivery-controller/features/editions.html Сравнение редакций:
vPath - поочередное выполнение сервисов VSG и Citrix Netscaler 1000v Cisco Nexus 1000V Distributed Virtual Switch VM VM VM VM VM VM VM VM VM VM VM VM VM VM VM VMVM Cisco vPath Cisco VSG 1 2 3 45 Use Case 2: SLB/WAF & VSG Netscaler 1000v
ASAv
Представляем новинку - Cisco ASAv Cisco® ASAv Проверенное аппаратное решение безопасности от Cisco теперь в виртуализированной среде Открытая архитектура Multi-hypervisor Multi-vswitch Открытые API Гибкая модель лицензирования
Развитие линейки ASA Кластеризация и мультиконтекст ASAvАппаратная ASA Transparent Не-vPATH Кластеризация Мультиконтекст ASA1000V
ASAv Сравнение функционала с физической ASA Функционал ASA ASAv Нет кластеризации и мультиконтестности •  Соответствие функционала физической ASA •  Масштабирование через виртуализацию •  До 10 vNIC интерфейсов •  Программная криптография •  SDN и традиционные методы управления •  Масштабируется до 4 vCPUs и 8 GB памяти •  Возможность поддерживать 1 политику на физических и виртуальных ASA
ASAv – Гибкое лицензирование Бессрочный контракт до прекращения Сервис провайдер На основе использования (часы кол-во ядер) По факту (по-месячно / по-квартально) На основе использования Срок Заказчик Модель лицензирования Биллинг Повременное 1 год Предприятие Традиционная оплата Предоплата 3 год 5 год
Сегментация для ЦОД: TrustSec
Почему TrustSec ? •  Упрощение политик •  Снижение сложности дизайна контроля доступа и сегментации •  Автоматизация управления правилами на МСЭ в средах ЦОД •  Снижение нагрузки на отдел ИБ •  Использование функций сетевой инфраструктуры для безопасности •  Распределенные внедрения и масштабируемость •  Поддержка в том числе и не виртуализированных сред 47
Работа TrustSec 1.  Запрос на доступ в сеть 2.  Разрешение + атрибуты доступа (VLAN, ACL, SGT, MacSec) 3.  Трафик с метками SGT 4.  МЭ - фильтрация трафика на основе меток групп 0. Категорирование пользователей и ресурсов Сервер БСервер A Пользователь А Пользователь Б 200 ISE Канальное шифрование 300 20 30 access-list DCin permit tcp ... SGT 30 any SGT 300 eq sql
ЦОД с подержкой TrustSec Data Center Core Layer DC Aggregation Layer DC Service Layer DC Access Layer Virtual Access SGACL enabled Device SG Firewall enabled Device Virtual Servers Physical Servers Применение политик SGA На Nexus 7000 ASA с использованием средств автоматизации Применение политик SGA На Catalyst 6500, ASASM с использованием средств автоматизации Security Group ACLs •  Определение правил сегментации в таблице •  Применение на Nexus 7000/5500/2000 независимо от топологии Security Group классификация •  Nexus 1000V может классифицировать и присваивать метки SGT и использовать SXP для отправки на устройства фильтрации
! Защита от MitM-аттак ! Шифрование по стандарту AES-GCM (AES-128) ! Шифрование/Дешифрование на каждом устройстве ! Проверка целостности Конфиденциальность и целостность 2/25/14 © 2013 Cisco and/or its affiliates. All rights reserved. 50 DST 802.1AE Header 802.1Q CMD ETYPE ICV CRC MISEec EtherType TCI/AN SL Packet Number SCI (optional) Encrypted Authenticated 0x88e5 SRC PAYLOAD Version LengthCMD EtherType SGT Opt Type SGT Value Other CMD Options
Централизованное управление политиками permit tcp dst eq 443 permit tcp dst eq 80 permit tcp dst eq 22 permit tcp dst eq 3389 permit tcp dst eq 135 permit tcp dst eq 136 permit tcp dst eq 137 permit tcp dst eq 138 permit tcp des eq 139 deny ip Portal_ACL Portal_ACL Определение политик – ISE
Cisco Cyber Thread Defense: Прозрачность операций и защита от угроз для ЦОД
Безопасность периметра – не панацея Устройства периметра Контроль и управление Сетевая разведка и распространение Кража данных Целевые угрозы зачастую обходят периметр Только вся сеть целиком имеет достаточный уровень наблюдаемости для выявления сложных угроз © 2013 Cisco and/or its affiliates. All rights reserved.
TrustSec Enabled Enterprise Network Identity Services Engine NetFlow: Switches, Routers, и ASA 5500 Контекст: NBAR/AVC Cisco Cyber Threat Detection - повышает эффективность и действенность анализа и обеспечивает ключевое понимание внутренней активности в сети Flow Телеметрия NetFlow Cisco Switches, Routers и ASA 5500 Данные о контексте угрозы Cisco Identity, Device, Posture, Application Cyber Threat Defense = Cisco + Lancope © 2013 Cisco and/or its affiliates. All rights reserved.
Обнаружение утечек 55 NetFlow как инструмент безопасности !  Сбор и корреляция NetFlow данных !  Обнаружение и идентификация канала утечки 55 ASA 5585! vPath Hypervisor Aggregation! Nexus 1000V!Virtual Security Gateway! Secure Container! Virtual Flow Sensor! Flow Collector! StealthWatc h Managemen t Console Cisco NetFlow 1. Инфицированные хосты открывают соединения и экспортируют данные 2. Ифраструктура генерирует записи события используя Netflow 3. Сбор и анализ данных Netflow 4. Сигнал тревоги о возможной утечке данных 3. Сбор и анализ данных Netflow
Компоненты решения Cyber Threat Defense Cisco Network StealthWatch FlowCollector StealthWatch Management Console NetFlow StealthWatch FlowSensor StealthWatch FlowSensor VE Users/Devices Cisco ISE NetFlow StealthWatch FlowReplicator Другие коллекторы https https NBAR NSEL © 2013 Cisco and/or its affiliates. All rights reserved.
Пример: определение утечки информации Customizable “Data Loss” Alarm Alarm Delivers Alerts Prioritized by Severity Level Глубокий анализ данных Объем переданного трафика и % исходящего трафика Опрос Cisco ISE для поиска пользователя, группы, Posture, Device Profile Query Cisco SenderBase for Host Reputation Information Опрос Cisco SenderBase для определения репутации хоста 57
Решаемые задачи •  Обнаружение брешей в настройках МСЭ •  Обнаружение незащищенных коммуникаций •  Обнаружение P2P-трафика •  Обнаружение неавторизованной установки локального Web-сервера или точки доступа •  Обнаружение попыток несанкционированного доступа •  Обнаружение ботнетов (командных серверов) •  Обнаружение атак «отказ в обслуживании» •  Обнаружение инсайдеров •  Расследование инцидентов •  Обнаружение неисправностей © 2013 Cisco and/or its affiliates. All rights reserved.
Ссылки на полезные материалы по теме Cisco Validated Design: http://www.cisco.com/go/cvd VMDC: http://www.cisco.com/go/vmdc Cisco Secure Data Center for Enterprise Solution: First-Look Guide: http://www.cisco.com/en/US/solutions/collateral/ns340/ns414/ns742/ns744/docs/sdc-dg.pdf Cisco Secure Data Center for Enterprise Design Guide: http://www.cisco.com/c/en/us/td/docs/solutions/Enterprise/Security/SDC/DG/SDC_DesignGuide/SDC_DG_2013-11-25_v10.html TrustSec Design Guide (текущая версия 2.1) http://www.cisco.com/en/US/solutions/ns340/ns414/ns742/ns744/landing_DesignZone_TrustSec.html Cisco Cyber Threat Defense for the Data Center Solution: First Look Guide: http://www.cisco.com/en/US/solutions/collateral/ns340/ns414/ns742/ns744/docs/ctd-first-look-design-guide.pdf ASA Clustering / Testing: http://www.cisco.com/en/US/docs/solutions/Enterprise/Data_Center/VMDC/ASA_Cluster/ASA_Cluster.html PCI Compliance Letter: http://www.cisco.com/en/US/docs/solutions/Enterprise/Data_Center/VMDC/2.2/Cisco_PCI_Compliance_Letter.pdf FISMA Compliance: http://www.cisco.com/en/US/docs/solutions/Enterprise/Data_Center/VMDC/SecureState/VMDC_SecureState.pdf
Пожалуйста, заполните анкеты. Ваше мнение очень важно для нас. Спасибо Напишите мне: Андрей Ключка aklyuchk@cisco.com +7 (727) 2442138
Дополнительные материалы
Физические!или!виртуальные! серверы!ДМЗ!периметра! Периметр!ЦОД! Интернет!/! внешняя!сеть! Ядро!ЦОД! (маршрутизация)! Уровень!агрегации!ЦОД!Уровень!2! Уровень!3! КЛАСТЕР!МСЭ! Вычислительная! зона!ДМЗ! Пункт!доставки! Виртуальные+серверы+ДМЗ+ Ядро!BGP/OSPF! ! ASA!A/S!HA! Уровень!виртуального! доступа! VRF+–+ DMZExt++ + VRF>+ DMZExt+ + VRF+–+ DMZExt++ + VRF+–+ DMZExt++ + CTX1+ CTX1+ VL900 Выделенные+блейд>серверы+ CTX+CTX+ VL900 ДМЗ+VLAN90+ 172.16.90.0/24+ vDMZ+172.16.90.0/24+ VL900 VL999 VL999 VL999 VL999 VL90VL999 Устройства+ASA+периметра,+работающие+под+управлением++ стандартного+A/S+HA,+—отказоустойчивые+ ASA+периметра+—+наряду+с+vPC+могут+использовать+избыточный+ интерфейс,+чтобы+сократить+вероятность+аварийного+ переключения+при+высокой+доступности.+ ASA+периметра+реализуют+прозрачный+контекст+вирт.+МСЭ+сети+VLN+ для+ДМЗ,+соединяя+VL90+(ДМЗ)+с+VL999+(N7000+vRF).+ Некоторые+серверы+ДМЗ+могут+физически+находиться+в+ коммутаторе+ДМЗ,+тогда+как+другие+серверы+будут+ предоставляться+с+уровня+виртуального+доступа. Nexus+7000+передает+трафик+с+VL999+через+vRF+–+DMZExt,+ перемещает+пакеты+через+маршрутизируемый+уровень+ядра+на+ уровень+распределения.+ Запрос+или+отклик+ARP+из+VLAN+90+передается+по+каналам+на+ уровень+виртуального+доступа.++ Кластеризованные+ASA+на+уровне+распределения+связывают+VL999+ (DMZExt+vRF)+с+VL900,+местом,+где+существуют+виртуальные+ серверы+ДМЗ.+ Здесь+будет+реализована+политика+безопасности,+ограничивающая+ доступ+только+к+подсетям+ДМЗ+по+сети,+сервису+или+приложению.+ Для+обеспечения+безопасности+(соответствия+требованиям)+на+ уровне+виртуального+доступа+рекомендуется+использовать+ выделенное+серверное+оборудование.+ Можно+создать+дополнительные+профили+портов+и+использовать+ шлюз+Virtual+Security+Gateway+(VSG)+для+зонирования+«восток> запад»+между+ВМ+в+ДМЗ.+ Для+дальнейшего+разделения+на+уровне+пакетов+можно+ использовать+метки+групп+безопасности.+ Пример схемы «Плавательная дорожка» для виртуальной ДМЗ DMZ+Subnet(172.16.90.0/24)VLAN90+<>>+vFW(BVI)+<>>VLAN999<>>vRF+DMZExt+<>>+VLAN999+<>>+vFW(BVI)<>>VLAN900/+DMZ+Subnet(172.16.90.0/24)++ Внешнее!зонирование!
Пример внутреннего зонирования для разработки — вариант 1 Физическое разделение Модель может использоваться для тестирования нагрузки на приложение. Если требуется выделенный путь через уровень ядра, рекомендуется использовать DEV vRF. Если требуется выделенный периметр, рекомендуется использовать контексты вирт. МСЭ на устройствах ASA периметра или отдельную (низкого уровня) пару ASA. DEV VDC, созданный в Nexus 7000, присоединенный к CORE VDC и поддерживающий собственную дочку доставки. ASA на уровне агрегации могут быть настроены несколькими способами. 1. Один кластер ASA с отдельными контекстами вирт. МСЭ для зон DEV — порты на ASA должны быть физически подключены к каждому VDC. 2. Отдельные кластеры ASA с контекстами вирт. МСЭ или без них. В вычислительной структуре создается зеркальная серверная среда для функционирования DEV в собственной точке доставки. Периметр ЦОД Интернет / внешняя сеть VDC ядра ЦОД (маршрутизация) VDC уровня агрегации производства Уровень 2 Уровень 3 КЛАСТЕР МСЭ Пункт доставки Ядро BGP/OSPF ASA A/S HA Уровень виртуального доступа Виртуальный коммутатор Гипервизор VDC уровня агрегации разработки Пункт доставки CTX CTX Виртуальный коммутатор Гипервизор DEV VRF DEV VRF DEV VRF Вычислительная зона разработки Вычислительная зона производства CTX+
Периметр!ЦОД! Интернет!/! внешняя!сеть! VDC!ядра!ЦОД! (маршрутизация)! VDC!уровня!агрегации! Уровень!2! Уровень!3! КЛАСТЕР!МСЭ! Ядро!! BGP/OSPF! ASA!A/S!HA! Уровень!! виртуального!доступа! Пример внутреннего зонирования для разработки — вариант 2 Виртуальное разделение В модели виртуального разделения используется общая физическая инфраструктура (Nexus) для маршрутизации и транспорта данных. ASA используются для разделения трафика разработки и производства. Виртуальные ресурсы могут использовать общее физическое серверное оборудование и точку доступа. Обеспечение безопасность осуществляется аналогично действиям в защищенной многопользовательской среде.

More Related Content

PDF
Cisco Connect Almaty 2014 - Security Solutions for Data Centers (russian)
byAndrey Klyuchka
 
PDF
Решения компании Cisco для обеспечения безопасности сетей операторов связи и ...
byCisco Russia
 
PDF
Безопасность ЦОД-часть 1
byCisco Russia
 
PDF
Безопасность ЦОД-часть 2
byCisco Russia
 
PDF
DNA Security. Безопасность, встроенная в сетевую инфраструктуру
byCisco Russia
 
PDF
Cистема сетевой аналитики для ЦОД Cisco Tetration Analytics
byCisco Russia
 
PDF
Гиперконвергентное решение Cisco HyperFlex
byCisco Russia
 
PDF
7 способов «провалиться» в качестве Wi-Fi эксперта
byCisco Russia
 
Cisco Connect Almaty 2014 - Security Solutions for Data Centers (russian)
byAndrey Klyuchka
 
Решения компании Cisco для обеспечения безопасности сетей операторов связи и ...
byCisco Russia
 
Безопасность ЦОД-часть 1
byCisco Russia
 
Безопасность ЦОД-часть 2
byCisco Russia
 
DNA Security. Безопасность, встроенная в сетевую инфраструктуру
byCisco Russia
 
Cистема сетевой аналитики для ЦОД Cisco Tetration Analytics
byCisco Russia
 
Гиперконвергентное решение Cisco HyperFlex
byCisco Russia
 
7 способов «провалиться» в качестве Wi-Fi эксперта
byCisco Russia
 

What's hot

PDF
Инновации Cisco для коммутации в корпоративных сетях
byCisco Russia
 
PDF
Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...
byCisco Russia
 
PDF
Безопасность для цифровой экономики. Развитие продуктов и решений Cisco
byCisco Russia
 
PDF
Cisco Enterprise NFV
byCisco Russia
 
PPTX
Совместный вебинар Orange и «С-Терра СиЭсПи», 28.06.2016
byS-Terra CSP
 
PDF
Новое поколение серверов Сisco UCS. Гиперконвергентное решении Cisco HyperFle...
byCisco Russia
 
PDF
Инновационное SDN решение для ЦОД Cisco ACI Anywhere
byCisco Russia
 
PDF
Вебинар по криптомаршрутизаторам, 14.12.2016
byS-Terra CSP
 
PPTX
Актуальные решения S-Terra для защиты корпоративной сети (31.03.2016, Екатери...
byS-Terra CSP
 
PDF
ащита удаленного доступа с помощью континент Tls vpn
byOleg Boyko
 
PPTX
Актуальные решения C-Терра
byS-Terra CSP
 
PDF
Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...
byCisco Russia
 
PDF
Защита центров обработки данных. Механизмы безопасности для классической фабр...
byCisco Russia
 
PDF
Современные VPN-решения от компании «С-Терра СиЭсПи»: Что есть и что будет?
byS-Terra CSP
 
PDF
Новая Cisco ASA: тотальный контроль над пользователем
bySkillFactory
 
PDF
Решения С-Терра для защиты трансграничных каналов связи. Порядок экспорта СКЗИ.
byS-Terra CSP
 
PDF
Новые возможности межсетевых экранов Cisco ASA версий 9.2 - 9.5
byCisco Russia
 
PDF
Маршрутизаторы Cisco - от чего зависит производительность или как получить ма...
byCisco Russia
 
PDF
Построение отказоустойчивой ИТ-­‐инфраструктуры для Универсиады-­‐2013 в Казани
byCisco Russia
 
PDF
Cisco ASA CX
byCisco Russia
 
Инновации Cisco для коммутации в корпоративных сетях
byCisco Russia
 
Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...
byCisco Russia
 
Безопасность для цифровой экономики. Развитие продуктов и решений Cisco
byCisco Russia
 
Cisco Enterprise NFV
byCisco Russia
 
Совместный вебинар Orange и «С-Терра СиЭсПи», 28.06.2016
byS-Terra CSP
 
Новое поколение серверов Сisco UCS. Гиперконвергентное решении Cisco HyperFle...
byCisco Russia
 
Инновационное SDN решение для ЦОД Cisco ACI Anywhere
byCisco Russia
 
Вебинар по криптомаршрутизаторам, 14.12.2016
byS-Terra CSP
 
Актуальные решения S-Terra для защиты корпоративной сети (31.03.2016, Екатери...
byS-Terra CSP
 
ащита удаленного доступа с помощью континент Tls vpn
byOleg Boyko
 
Актуальные решения C-Терра
byS-Terra CSP
 
Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...
byCisco Russia
 
Защита центров обработки данных. Механизмы безопасности для классической фабр...
byCisco Russia
 
Современные VPN-решения от компании «С-Терра СиЭсПи»: Что есть и что будет?
byS-Terra CSP
 
Новая Cisco ASA: тотальный контроль над пользователем
bySkillFactory
 
Решения С-Терра для защиты трансграничных каналов связи. Порядок экспорта СКЗИ.
byS-Terra CSP
 
Новые возможности межсетевых экранов Cisco ASA версий 9.2 - 9.5
byCisco Russia
 
Маршрутизаторы Cisco - от чего зависит производительность или как получить ма...
byCisco Russia
 
Построение отказоустойчивой ИТ-­‐инфраструктуры для Универсиады-­‐2013 в Казани
byCisco Russia
 
Cisco ASA CX
byCisco Russia
 

Similar to Безопасность Центров Обработки Данных

PDF
Проблема защиты информации в современном ЦОДе и способы ее решения
byCisco Russia
 
PDF
Проблема защиты информации в современном ЦОДе и способы ее решения
byCisco Russia
 
PDF
Проектирование защищенных центров обработки данных Cisco.
byCisco Russia
 
PDF
Защита центров обработки данных. Механизмы безопасности для классической фабр...
byCisco Russia
 
PPTX
Cisco: Архитектура защищенного ЦОДа
byExpolink
 
PDF
Архитектура и решения Cisco для современного ЦОД
byCisco Russia
 
PDF
Развитие архитектуры ЦОД и ориентированная на приложения инфраструктура Cisco...
byCisco Russia
 
PDF
Безопасность современного ЦОДа
byAleksey Lukatskiy
 
PDF
Проблема защиты информации в современном ЦОДе и способы ее решения
byCisco Russia
 
PDF
Архитектура корпоративной сети Cisco, варианты внедрения и позиционирование
byCisco Russia
 
PDF
Развитие сетевой архитектуры для ЦОД Cisco ACI
byCisco Russia
 
PDF
ЦОД нового поколения: автоматизация, упрощение, аналитика и безопасность
byCisco Russia
 
PDF
Как выбрать сетевое решение для нового ЦОД или расширения существующего?
byCisco Russia
 
PDF
Архитектура защищенного ЦОД
byCisco Russia
 
PDF
Развитие сетевой архитектуры для ЦОД Cisco ACI
byCisco Russia
 
PDF
Инфраструктура Cisco для построения облачной платформы
byCisco Russia
 
PDF
Архитектура корпоративной сети Cisco, варианты внедрения и позиционирование
byCisco Russia
 
PDF
Решения Cisco для создания защищенного ЦОД
byCisco Russia
 
PDF
VMDC: Архитектура для ITaaS
byCisco Russia
 
PDF
Новое поколение DPI решений для задач контентной фильтрации и виртуализации с...
byCisco Russia
 
Проблема защиты информации в современном ЦОДе и способы ее решения
byCisco Russia
 
Проблема защиты информации в современном ЦОДе и способы ее решения
byCisco Russia
 
Проектирование защищенных центров обработки данных Cisco.
byCisco Russia
 
Защита центров обработки данных. Механизмы безопасности для классической фабр...
byCisco Russia
 
Cisco: Архитектура защищенного ЦОДа
byExpolink
 
Архитектура и решения Cisco для современного ЦОД
byCisco Russia
 
Развитие архитектуры ЦОД и ориентированная на приложения инфраструктура Cisco...
byCisco Russia
 
Безопасность современного ЦОДа
byAleksey Lukatskiy
 
Проблема защиты информации в современном ЦОДе и способы ее решения
byCisco Russia
 
Архитектура корпоративной сети Cisco, варианты внедрения и позиционирование
byCisco Russia
 
Развитие сетевой архитектуры для ЦОД Cisco ACI
byCisco Russia
 
ЦОД нового поколения: автоматизация, упрощение, аналитика и безопасность
byCisco Russia
 
Как выбрать сетевое решение для нового ЦОД или расширения существующего?
byCisco Russia
 
Архитектура защищенного ЦОД
byCisco Russia
 
Развитие сетевой архитектуры для ЦОД Cisco ACI
byCisco Russia
 
Инфраструктура Cisco для построения облачной платформы
byCisco Russia
 
Архитектура корпоративной сети Cisco, варианты внедрения и позиционирование
byCisco Russia
 
Решения Cisco для создания защищенного ЦОД
byCisco Russia
 
VMDC: Архитектура для ITaaS
byCisco Russia
 
Новое поколение DPI решений для задач контентной фильтрации и виртуализации с...
byCisco Russia
 

More from Cisco Russia

PDF
Service portfolio 18
byCisco Russia
 
PDF
История одного взлома. Как решения Cisco могли бы предотвратить его?
byCisco Russia
 
PDF
Об оценке соответствия средств защиты информации
byCisco Russia
 
PDF
Обзор Сервисных Услуг Cisco в России и странах СНГ.
byCisco Russia
 
PDF
Клиентские контракты на техническую поддержку Cisco Smart Net Total Care
byCisco Russia
 
PDF
Cisco Catalyst 9000 series
byCisco Russia
 
PDF
Cisco Catalyst 9500
byCisco Russia
 
PDF
Cisco Catalyst 9400
byCisco Russia
 
PDF
Cisco Umbrella
byCisco Russia
 
PDF
Cisco Endpoint Security for MSSPs
byCisco Russia
 
PDF
Cisco FirePower
byCisco Russia
 
PDF
Профессиональные услуги Cisco для Software-Defined Access
byCisco Russia
 
PDF
Промышленный Интернет вещей: опыт и результаты применения в нефтегазовой отрасли
byCisco Russia
 
PDF
Полугодовой отчет Cisco по информационной безопасности за 2017 год
byCisco Russia
 
PDF
Годовой отчет Cisco по кибербезопасности за 2017 год
byCisco Russia
 
PDF
Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...
byCisco Russia
 
PDF
Новая эра корпоративных сетей с Cisco Catalyst 9000 и другие инновации для ма...
byCisco Russia
 
PDF
Как развернуть кампусную сеть Cisco за 10 минут? Новые технологии для автомат...
byCisco Russia
 
PDF
Безопасность сети. От точечных решений к целостной стратегии
byCisco Russia
 
PDF
Интуитивная сеть как платформа для надежного бизнеса
byCisco Russia
 
Service portfolio 18
byCisco Russia
 
История одного взлома. Как решения Cisco могли бы предотвратить его?
byCisco Russia
 
Об оценке соответствия средств защиты информации
byCisco Russia
 
Обзор Сервисных Услуг Cisco в России и странах СНГ.
byCisco Russia
 
Клиентские контракты на техническую поддержку Cisco Smart Net Total Care
byCisco Russia
 
Cisco Catalyst 9000 series
byCisco Russia
 
Cisco Catalyst 9500
byCisco Russia
 
Cisco Catalyst 9400
byCisco Russia
 
Cisco Umbrella
byCisco Russia
 
Cisco Endpoint Security for MSSPs
byCisco Russia
 
Cisco FirePower
byCisco Russia
 
Профессиональные услуги Cisco для Software-Defined Access
byCisco Russia
 
Промышленный Интернет вещей: опыт и результаты применения в нефтегазовой отрасли
byCisco Russia
 
Полугодовой отчет Cisco по информационной безопасности за 2017 год
byCisco Russia
 
Годовой отчет Cisco по кибербезопасности за 2017 год
byCisco Russia
 
Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...
byCisco Russia
 
Новая эра корпоративных сетей с Cisco Catalyst 9000 и другие инновации для ма...
byCisco Russia
 
Как развернуть кампусную сеть Cisco за 10 минут? Новые технологии для автомат...
byCisco Russia
 
Безопасность сети. От точечных решений к целостной стратегии
byCisco Russia
 
Интуитивная сеть как платформа для надежного бизнеса
byCisco Russia
 

Безопасность Центров Обработки Данных

  • 1.
    Андрей Ключка Системный инженерCisco CCIE #30274 (Security) Безопасность Центров Обработки Данных
  • 2.
    Безопасность ЦОД Угрозы, тренды,приоритеты Архитектура защищенного ЦОД Безопасность виртуальных контейнеров Идентификация и применение политик на базе меток SGT Поиск угроз и корреляция Заключение
  • 3.
    Основные приоритеты обеспечениябезопасности ЦОД Сегментация •  Установление+границ:!сеть,!вычисления,!виртуальные!ресурсы! •  Реализация+политики+по!функциям,!устройствам,!организациям! •  Контроль+доступа+к!сетям,!ресурсам,!приложениям! Защита+от+угроз+ •  Блокировка!внутренних!и!внешних!атак+ •  Контроль+границ!зоны!и!периметра! •  Контроль+доступа!к!информации,!ее!использования!и!утечки! Мониторинг •  Обеспечение!прозрачности!использования! •  Применение!бизнес>контекста+к!работе!сети!! •  Упрощение!отчетности!по!операциям!и!соответствию! нормативным!требованиям! Технологии обеспечения безопасности ДОЛЖНЫ изначально интегрироваться с технологиями и сервисами ЦОД для поддержки целостности сетевой коммутационной структуры ЦОД и безопасного предоставления информации и доступа к ней. Без наложений — безопасность должна быть максимально естественной и всеобъемлющей. Без переработок — проект сети должен оставаться оптимальным и неизменным. Без упрощения сети ЦОД! Без дополнительной потери пакетов Без компромиссов — ЦОД имеет очень важное значение!
  • 4.
    «59% организаций нехватает лабораторных ресурсов или сред тестирования для подтверждения спецификаций поставщиков». —"Институт"SANS" «В организациях явно недостаточно четко определенных стандартов, процедур и ресурсов для определения отказоустойчивости критически важных сетевых устройств и систем.... Необходима методичная проверка отказоустойчивости с использованием комбинации реального трафика, высокой нагрузки и атак, угрожающих безопасности сети». —SANS"и"TOGAG" Утвержденные дизайны Cisco дают результаты ЦОД / Утвержденные дизайны защищенного ЦОД Cisco — www.cisco.com/go/ vmdc
  • 5.
  • 6.
    Физические МСЭ •  2слота (2 RU): FW, FW+IPS or FW+NGFW •  Топовые 5585 обеспечивают 4 10GE порта(SFP+) •  I/O карта или дополнительный IPS module добавляют 4 10GE порта •  Производительность 20 Гбит/с (multiprotocol) на МСЭ •  10M соединенний на МСЭ •  Результаты тестирования BreakingPoint: http://blogs.ixiacom.com/ixia-blog/cisco-asa-live-validation-with-breakingpoint-firestorm-ctm/ •  Отчет Miercom : http://www.miercom.com/2011/06/cisco-asa-5585-x-vs-juniper-srx3600/
  • 7.
    ASA Firewall ифабрика ЦОД ASA и Nexus Virtual Port Channel !  vPC обеспечивает равномерную загрузку активных линков (отсутствие заблоированных STP линков) !  ASA использует технологии отказоустойчивости в ЦОД !  Уникальная интеграция ASA и Nexus (LACP) IPS модуль использует связность ASA – обеспечивает DPI Проверенный дизайн для сегментации, защиты от угроз и прозрачности операций Работает в режимах A/S и A/A Уровень агрегации в ЦОД Active vPC Peer-link vPC vPC Core IP1 Core IP2 Active or Standby N7K VPC 41N7K VPC 40 Nexus 1000V vPath Hypervisor Nexus 1000V vPath Hypervisor Core Layer Aggregation Layer Access Layers
  • 8.
    Внедрение ASA Firewall Вариантыприменения Layer 2! ASA 5585 Nexus 1000V vPath Hypervisor Layer 3! ASA 5585 Nexus 1000V vPath Hypervisor Nexus 1000V vPath Hypervisor Clustering! ASA 5585 Aggregation Core
  • 9.
    МСЭ & виртуальнаясреда ASA инспектирует трафик между VLAN Layer 2 Adjacent! Switched Locally! Direct Communication! ASA 5585 Transparent Mode Aggregation Core Hypervisor Layer 3 Gateway! VRF or SVI ! Inter-VLAN VM Inspection! Aggregation Core Physical Layout! East-West VLAN filtering!
  • 10.
    Кластер ASA С версииASA 9.0: •  До 8 ASA в кластере •  обновление ПО без остановки сервиса •  Управление потоками трафика для обеспечения инспекции •  Отсутствие единой точки отказа •  Синхронизация состояний внутри кластера для аутентификации и высокой доступности •  Централизованное управление и мониторинг •  Можно начинать с двух МСЭ Производительность 100+ Гбит/c 2x10GbEDataTrafficPortChannel ClusterControlLink ASA 9.1.4: •  Inter DC Clustering
  • 11.
    Кластер ASA ASA кластерудовлетворяет требования ЦОД Cluster Control линк обеспечивает обмен информацией внутри кластера Aggregation Core Hypervisor Hypervisor Database Кластер ASA включает Context 1 & 2 в Transparent режиме ASA 5585 ASA 5585 ASA 5585 ASA 5585 Aggregation Core Физическая схема Cluster Control Link Поддерживается transparent, routed, mixed mode Кластер используется как для North-South так и для East-West инспекции и фильтрации Context1 Context2 Проверенный дизайн для FabricPath Owner! Director! IPS использует кластер ASA
  • 12.
    ASA для Catalyst6500 Показатель Значение Производительность шасси 64 Гбит/сек Производительность модуля 16 Гбит/сек Одновременных сессий 10M Новых соединений в секунду 350K Контекстов безопасности 250 VLANs 1K
  • 13.
    Высокий уровень масштабируемости • Выход за рамки традиционных решений •  Наращивание мощностей в соответствии с ведущими отраслевыми системными возможностями –  64 Гбит/с –  1 000 виртуальных контекстов –  4 000 сетей VLAN •  Поддержка решений для ЦОД, например развертываний частных облачных инфраструктур
  • 14.
  • 15.
    Создание эффективной коммутационнойструктуры ЦОД с возможностью масштабирования Масштабирование сетевой коммутационной структуры — виртуальный контекст (Virtual Device Context, VDC) Nexus 7000 VDC — виртуальный контекст (до 8 VDC плюс 1 VDC управления — SUP2E с NXOS 6.04/6.1) !  Гибкое разделение и распределение аппаратных ресурсов и программных компонентов !  Полное разделение уровня данных и уровня управления !  Полная локализация программных сбоев !  Безопасно определенные административные контексты !  Каждый физический интерфейс может быть активен только в одном виртуальном контексте (VDC) Протоколы+2>го+уровня+ Протоколы+3>го+уровня+ VLAN+ PVLAN+ OSPF+ BGP+ EIGRP+ GLBP+ HSRP+ IGMP+ UDLD+ CDP+ 802.1X+STP+ LACP+ PIM+CTS+ SNMP+ …+…+ VDC+1+ Протоколы+3>го+уровня+ OSPF+ BGP+ EIGRP+ GLBP+ HSRP+ IGMP+ PIM+ SNMP+ …+ VDC+2+ Протоколы+2>го+уровня+ VLAN+ PVLAN+ UDLD+ CDP+ 802.1X+STP+ LACP+ CTS+ …+ Виртуальные! контексты! (VDC)!
  • 16.
    Доступ+ Ядро Ядро Агрегаци я Агрегаци я Ядро Агрегаци я Использование VDCдля вертикальной консолидации •  Возможность консолидации уровней ядра и агрегации при одновременном сохранении иерархии сети •  Без сокращения количества портов или каналов, но с уменьшением числа физических коммутаторов ‒  Медные кабели Twinax (CX-1) являются недорогим вариантом осуществления межсоединений 10G Один из самых распространенных способов использования VDC
  • 17.
    Использование VDC дляинтернет-периметра, ДМЗ, ядра сети !  Возможность удовлетворения нескольких потребностей — VDC интернет- периметра (XL), ДМЗ и ядра сети !  Поддержка модели обеспечения безопасности с логическим разделением Интернет- периметр (XL) ДМЗ Ядро Интернет- периметр (XL) ДМЗ Ядро Интернет- периметр (XL) ДМЗ Ядро Интернет!
  • 18.
    Сертификация безопасности VDC ! Разделение контекстов VDC является сертифицированным отраслевым механизмом защиты от утечки информации !  Лаборатории NSS для сред, соответствующих стандартам PCI — hJp://www.nsslabs.com!! !  FIPS 140-2 hJp://csrc.nist.gov/groups/STM/cmvp/documents/140f1/140InProcess.pdf! !  Стандарт Common Criteria Evaluation and Validation Scheme — сертификат №10349 hJp://www.niapfccevs.org/st/vid10349/!
  • 19.
  • 20.
    Устройства Cisco IPSсерии 4500 •  Специализированные высокоскоростные устройства IPS •  Обработка с аппаратным ускорением Regex •  Развертывания на уровне агрегации ЦОД •  Один интерфейс Gigabit Ethernet, один интерфейс 10 Gigabit Ethernet и слот SFP •  Масштабируемость: доступен слот для будущего наращивания мощностей •  Защита АСУ ТП
  • 21.
    Cisco IPS 4510 Производительность • Реальный средний показатель: 3 Гбит/с •  Реальный диапазон показателей: 1.2-5 Гбит/с •  Транзакционная передача по HTTP: 5 Гбит/с Характеристики платформы: •  2 RU (шасси) •  Многоядерный ЦП корпоративного класса (8 ядер, 16 потоков) •  24 ГБ ОЗУ •  Резервный источник питания •  Аппаратное ускорение Regex •  Открытый слот (в верхней части) для использования в будущем Места развертывания •  Средние и крупные предприятия •  ЦОД кампуса •  Требуется 3 Гбит/с реальной пропускной способности IPS •  Требуется резервный источник питания •  Требуется специализированная система IPS Порт AUX и консоль Интегрированный ввод-вывод 6 GE Cu Индикаторы состояния Порты управления Отсеки для жесткого диска (пустые) Интегрированный ввод-вывод 4 слота 10 GE SFP 2 порта USB
  • 22.
    Cisco IPS 4520 Производительность • Реальный средний показатель: 5 Гбит/с •  Реальный диапазон показателей: 2.5-7.7 Гбит/с •  Транзакционная передача по HTTP: 7,6 Гбит/с Характеристики платформы: •  2 RU (шасси) •  Многоядерный ЦП корпоративного класса (12 ядер, 24 потоков) •  48 ГБ ОЗУ •  Резервный источник питания •  Аппаратное ускорение Regex (x2) •  Открытый слот (в верхней части) для использования в будущем Места развертывания •  Средние и крупные предприятия •  Центр обработки данных •  Требуется 5 Гбит/с реальной пропускной способности IPS •  Требуется резервный источник питания •  Требуется специализированная система IPS Порт AUX и консоль Интегрированный ввод-вывод 6 GE Cu Индикаторы состояния Порты управления Отсеки для жесткого диска (пустые) Интегрированный ввод-вывод 4 слота 10 GE SFP 2 порта USB
  • 23.
    Sourcefire, теперь частьCisco Знакомьтесь - Snorty Из этого… 2001 В это… 2002
  • 25.
    7030 8270 8260 8250 8140 8120 7120 7110 7020 7010 20 Gbps 10 Gbps 6Gbps 4 Gbps 2 Gbps 1 Gbps 500 Mbps 250 Mbps 100 Mbps 50 Mbps IPS Throughput ModularConnectivity Stackable 8130 1.5 Gbps 40 Gbps 30 Gbps 8290 Устройства FirePOWER 7125 750 Mbps 7115 1.25 Gbps FixedConnectivity Mixed/SFP NGIPS/AppControl/NGFW/AMP Виртуальный сенсор Виртуальный центр защиты
  • 26.
    Результаты тестов NSSLabs !  высочайшая производительность !  низкая цена за Мбит/с !  энергоэффективность на Мбит/с Источник: NSS Labs, “Network IPS 2010 Comparative Test Results,” December 2010 and “Sourcefire 3D8260 IPS Appliance Test Report,” April 2011. Параметры Ближайший конкурент Производительность IPS 27.6 Gbps 11.5 Gbps Цена / Mbps $19 $33 3D8260 Te c h n o l o g y Лидеры квадрата Gartner
  • 27.
  • 28.
    Проблемы безопасности ввиртуализации •  Трафик между VM •  Консолидация ресурсов создает сложную среду для выявления и устранения неисправностей •  vMotion и аналоги могут нарушать политики •  Разделение полномочий админов серверов, сети и безопасности •  Проблемы переноса политики с физических серверов на виртуальные Hypervisor Угроза распространяется через внутреннюю сетьI Initial Infection Secondary Infection Роли и Ответсвенность Изоляция и сегментация Управление и мониторинг
  • 29.
    Управление политиками виртуальнойсети Nexus 1000V !  Поддерживает текущую модель работы с профилями портов !  Обеспечивает работу политик безопасности через VLAN изоляцию и сегментацию, Private VLAN, списки доступа Port-based Access Lists, интегрированные функции безопасности !  Обеспечивает контроль за виртуальными машинами с использованием традиционных сетевых функций таких как ERSPAN и NetFlow Network Team Server Team Управление и мониторинг Роли и ответственность Изоляция и сегментация Security Team Nexus 1000V
  • 30.
    Профили портов port-profile vm180 vmwareport-group pg180 switchport mode access switchport access vlan 180 ip flow monitor ESE-flow input ip flow monitor ESE-flow output no shutdown state enabled interface Vethernet9 inherit port-profile vm180 interface Vethernet10 inherit port-profile vm180 Port Profile –> Port Group vCenter API Nexus 1000V поддерживает: "  ACLs "  Quality of Service (QoS) "  PVLANs "  Port channels "  SPAN ports
  • 31.
    VDC vApp vApp VDC Nexus 1000V vPath vSphere Наблюдаемость: мониторимтрафик между VMs с помощью физических IDS и анализатора NetFlow!Analyzer! ERSPAN"DST" ID:1+ ID:2+ Aggregation Zone B Zone C Intrusion!Detecqon! NetFlow SPAN Для+снятия+трафика+используем+коммутатор+Nexus+ 1000V+с+поддержкой++ •  NetFlow!v9! •  ERSPAN/SPAN! Используем+для+детектирования++ •  атак!между!серверами! •  нецелевого!использования!ресурсов! •  нарушения!политики!безопасности! Нужно+быть+готовым+к+большому+объему+трафика!
  • 32.
    Виртуальные МСЭ •  ВиртуальныеМСЭ – программные МСЭ оптимизированные для работы на гипервизоре •  У Cisco есть два решения: Virtual Security Gateway (VSG) и ASA1000V •  Оба требуют Nexus 1000V с “Advanced” лицензией •  Виртуальные МСЭ зависят от ресурсов CPU и памяти RAM Apply hypervisor-based network services Network Admin Security Admin Server Admin vCenter Nexus 1KV NSC Nexus 1000V vPath VSG ASA 1000V Hypervisor UCS
  • 33.
    Сервисы безопасности длявиртуализации •  Защищает трафик между виртуальными машинами одного заказчика •  Layer 2 МСЭ для защиты трафика east-to-west •  Списки доступа с сетевыми атрибутами и атрибутами виртуальной машины •  Фильтрация на базе первого пакета с ускорением через vPath •  Защита границы сети заказчика •  Шлюз по умолчанию и Layer 3 МСЭ для защиты трафика north-to-south •  МСЭ функционал включает списки доступа, site-to-site VPN, NAT, DHCP, инспекцию, IP audit, VXLAN шлюз. •  Все пакеты проходят через Cisco ASA 1000V Cisco® VSG Cisco ASA 1000V Безопасность Intra-Tenant Безопасность на границе Nexus 1000V vPath Hypervisor
  • 34.
    Архитектура многоуровневых приложений По-уровневоевнедрение •  Архитектура многоуровневых приложений •  Требования по внедрению •  Может состоять из •  Web (presentation) уровня •  Уровень приложений •  Уровень БД •  Сервисы WEB и приложений обычно на разных физических серверах и иногда на одном •  Обычная схема работы клиент->web- >приложение->база данных •  Нет прямого обращения клиента к базе данных •  Часто используются технологии кластеризации Web! Server! Web! Server! Permit Only Port 80(HTTP) of Web Servers Permit Only Port 22 (SSH) to application servers Only Permit Web servers access to Application servers Web! Client! Web-zone DB! server! DB! server! Database-zone App! Server!App" Server! Application-zone Only Permit Application servers access to Database servers Block all external access to database servers Physical Firewall! Protected VRF! Secure Container!
  • 35.
    Виртуальный МСЭ награнице контейнеров На ASA 1000V доступны 4 интерфейса Ethernet interfaces для данных и отказоустойчивости: один для управления, 2 для трафика, 1 для failover !  Management 0/0 !  Data GE 0/0, 0/1 !  Failover GE 0/2 ASA 1000V поддерживает только статическую маршрутизацию ASA 1000V использует и таблицы маршрутизации, и трансляций (XLATE) для пересылки пакетов Интерфейсы и обработка Layer 3! Hypervisor Protected VRF! 10.1.1.254 10.1.1.252 10.1.1.253 Nexus 1000V vPath ASA 1000V ASA1000V(config)# route outside 172.18.30.0 255.255.255.0 10.1.1.254! ASA1000V(config)# route outside 0 0 10.1.1.254! ASA1000V(config)# route outside 0 0 172.18.50.1 tunneled! 172.18.30.x 172.18.50.1
  • 36.
    Управление политиками Cisco PrimeNetwork Services Controller aka VNMC
  • 37.
    Nexus 1000V Distributed VirtualSwitch VM VM VM VM VM VM VM VM VM VM VM VM VM VM VMVM VM vPath Initial Packet Flow ASA Outside Inside ASA inline Enforcement 3 vPath Encap links Traffic Path VSG Traffic flow after first packet 2 4 vPath - поочередное выполнение сервисов VSG и ASA 1000v Из Inside в outside 5
  • 38.
    Citrix NetScaler 1000Vна Nexus 1110 VSM = Virtual Supervisor Module DCNM = Data Center Network Manager Nexus 1000V vPath Any Hypervisor VM VM VM •  Citrix лучший в своем классе Контроллер предоставления виртуальных приложений (virtual application delivery controller - vADC) •  Продается и поддерживается Cisco •  Интеграция с Nexus 1110/1010, vPath Cisco Cloud Network Services (CNS) Citrix NetScaler 1000V Prime virtual NAM Imperva SecureSphere WAF Virtual Security Gateway Nexus 1110 Платформа Облачных Сервисов VSMVSM DCNM* Citrix NetScaler 1000V
  • 39.
    NetScaler 1000V –Поддерживаемый функционал обеспечения безопасности Безопасность приложений Platinum Edition Enterprise Edition Standard Edition L7 фильтрация контента и перезапись HTTP/ URL X X X Коннектор XenMobile NetScaler X X X Поддержка SAML2 X X X Защита от DoS X AAA для Управления Трафиком X X Защита от атак 0 дня Х МСЭ приложений Citrix с поддержкой XML X https://www.citrix.com/products/netscaler-application-delivery-controller/features/editions.html Сравнение редакций:
  • 40.
    vPath - поочередноевыполнение сервисов VSG и Citrix Netscaler 1000v Cisco Nexus 1000V Distributed Virtual Switch VM VM VM VM VM VM VM VM VM VM VM VM VM VM VM VMVM Cisco vPath Cisco VSG 1 2 3 45 Use Case 2: SLB/WAF & VSG Netscaler 1000v
  • 41.
  • 42.
    Представляем новинку -Cisco ASAv Cisco® ASAv Проверенное аппаратное решение безопасности от Cisco теперь в виртуализированной среде Открытая архитектура Multi-hypervisor Multi-vswitch Открытые API Гибкая модель лицензирования
  • 43.
    Развитие линейки ASA Кластеризацияи мультиконтекст ASAvАппаратная ASA Transparent Не-vPATH Кластеризация Мультиконтекст ASA1000V
  • 44.
    ASAv Сравнение функционала сфизической ASA Функционал ASA ASAv Нет кластеризации и мультиконтестности •  Соответствие функционала физической ASA •  Масштабирование через виртуализацию •  До 10 vNIC интерфейсов •  Программная криптография •  SDN и традиционные методы управления •  Масштабируется до 4 vCPUs и 8 GB памяти •  Возможность поддерживать 1 политику на физических и виртуальных ASA
  • 45.
    ASAv – Гибкоелицензирование Бессрочный контракт до прекращения Сервис провайдер На основе использования (часы кол-во ядер) По факту (по-месячно / по-квартально) На основе использования Срок Заказчик Модель лицензирования Биллинг Повременное 1 год Предприятие Традиционная оплата Предоплата 3 год 5 год
  • 46.
  • 47.
    Почему TrustSec ? • Упрощение политик •  Снижение сложности дизайна контроля доступа и сегментации •  Автоматизация управления правилами на МСЭ в средах ЦОД •  Снижение нагрузки на отдел ИБ •  Использование функций сетевой инфраструктуры для безопасности •  Распределенные внедрения и масштабируемость •  Поддержка в том числе и не виртуализированных сред 47
  • 48.
    Работа TrustSec 1.  Запросна доступ в сеть 2.  Разрешение + атрибуты доступа (VLAN, ACL, SGT, MacSec) 3.  Трафик с метками SGT 4.  МЭ - фильтрация трафика на основе меток групп 0. Категорирование пользователей и ресурсов Сервер БСервер A Пользователь А Пользователь Б 200 ISE Канальное шифрование 300 20 30 access-list DCin permit tcp ... SGT 30 any SGT 300 eq sql
  • 49.
    ЦОД с подержкойTrustSec Data Center Core Layer DC Aggregation Layer DC Service Layer DC Access Layer Virtual Access SGACL enabled Device SG Firewall enabled Device Virtual Servers Physical Servers Применение политик SGA На Nexus 7000 ASA с использованием средств автоматизации Применение политик SGA На Catalyst 6500, ASASM с использованием средств автоматизации Security Group ACLs •  Определение правил сегментации в таблице •  Применение на Nexus 7000/5500/2000 независимо от топологии Security Group классификация •  Nexus 1000V может классифицировать и присваивать метки SGT и использовать SXP для отправки на устройства фильтрации
  • 50.
    ! Защита от MitM-аттак ! Шифрованиепо стандарту AES-GCM (AES-128) ! Шифрование/Дешифрование на каждом устройстве ! Проверка целостности Конфиденциальность и целостность 2/25/14 © 2013 Cisco and/or its affiliates. All rights reserved. 50 DST 802.1AE Header 802.1Q CMD ETYPE ICV CRC MISEec EtherType TCI/AN SL Packet Number SCI (optional) Encrypted Authenticated 0x88e5 SRC PAYLOAD Version LengthCMD EtherType SGT Opt Type SGT Value Other CMD Options
  • 51.
    Централизованное управление политиками permittcp dst eq 443 permit tcp dst eq 80 permit tcp dst eq 22 permit tcp dst eq 3389 permit tcp dst eq 135 permit tcp dst eq 136 permit tcp dst eq 137 permit tcp dst eq 138 permit tcp des eq 139 deny ip Portal_ACL Portal_ACL Определение политик – ISE
  • 52.
    Cisco Cyber ThreadDefense: Прозрачность операций и защита от угроз для ЦОД
  • 53.
    Безопасность периметра –не панацея Устройства периметра Контроль и управление Сетевая разведка и распространение Кража данных Целевые угрозы зачастую обходят периметр Только вся сеть целиком имеет достаточный уровень наблюдаемости для выявления сложных угроз © 2013 Cisco and/or its affiliates. All rights reserved.
  • 54.
    TrustSec Enabled Enterprise Network Identity Services Engine NetFlow: Switches, Routers, иASA 5500 Контекст: NBAR/AVC Cisco Cyber Threat Detection - повышает эффективность и действенность анализа и обеспечивает ключевое понимание внутренней активности в сети Flow Телеметрия NetFlow Cisco Switches, Routers и ASA 5500 Данные о контексте угрозы Cisco Identity, Device, Posture, Application Cyber Threat Defense = Cisco + Lancope © 2013 Cisco and/or its affiliates. All rights reserved.
  • 55.
    Обнаружение утечек 55 NetFlow какинструмент безопасности !  Сбор и корреляция NetFlow данных !  Обнаружение и идентификация канала утечки 55 ASA 5585! vPath Hypervisor Aggregation! Nexus 1000V!Virtual Security Gateway! Secure Container! Virtual Flow Sensor! Flow Collector! StealthWatc h Managemen t Console Cisco NetFlow 1. Инфицированные хосты открывают соединения и экспортируют данные 2. Ифраструктура генерирует записи события используя Netflow 3. Сбор и анализ данных Netflow 4. Сигнал тревоги о возможной утечке данных 3. Сбор и анализ данных Netflow
  • 56.
    Компоненты решения CyberThreat Defense Cisco Network StealthWatch FlowCollector StealthWatch Management Console NetFlow StealthWatch FlowSensor StealthWatch FlowSensor VE Users/Devices Cisco ISE NetFlow StealthWatch FlowReplicator Другие коллекторы https https NBAR NSEL © 2013 Cisco and/or its affiliates. All rights reserved.
  • 57.
    Пример: определение утечкиинформации Customizable “Data Loss” Alarm Alarm Delivers Alerts Prioritized by Severity Level Глубокий анализ данных Объем переданного трафика и % исходящего трафика Опрос Cisco ISE для поиска пользователя, группы, Posture, Device Profile Query Cisco SenderBase for Host Reputation Information Опрос Cisco SenderBase для определения репутации хоста 57
  • 58.
    Решаемые задачи •  Обнаружениебрешей в настройках МСЭ •  Обнаружение незащищенных коммуникаций •  Обнаружение P2P-трафика •  Обнаружение неавторизованной установки локального Web-сервера или точки доступа •  Обнаружение попыток несанкционированного доступа •  Обнаружение ботнетов (командных серверов) •  Обнаружение атак «отказ в обслуживании» •  Обнаружение инсайдеров •  Расследование инцидентов •  Обнаружение неисправностей © 2013 Cisco and/or its affiliates. All rights reserved.
  • 59.
    Ссылки на полезныематериалы по теме Cisco Validated Design: http://www.cisco.com/go/cvd VMDC: http://www.cisco.com/go/vmdc Cisco Secure Data Center for Enterprise Solution: First-Look Guide: http://www.cisco.com/en/US/solutions/collateral/ns340/ns414/ns742/ns744/docs/sdc-dg.pdf Cisco Secure Data Center for Enterprise Design Guide: http://www.cisco.com/c/en/us/td/docs/solutions/Enterprise/Security/SDC/DG/SDC_DesignGuide/SDC_DG_2013-11-25_v10.html TrustSec Design Guide (текущая версия 2.1) http://www.cisco.com/en/US/solutions/ns340/ns414/ns742/ns744/landing_DesignZone_TrustSec.html Cisco Cyber Threat Defense for the Data Center Solution: First Look Guide: http://www.cisco.com/en/US/solutions/collateral/ns340/ns414/ns742/ns744/docs/ctd-first-look-design-guide.pdf ASA Clustering / Testing: http://www.cisco.com/en/US/docs/solutions/Enterprise/Data_Center/VMDC/ASA_Cluster/ASA_Cluster.html PCI Compliance Letter: http://www.cisco.com/en/US/docs/solutions/Enterprise/Data_Center/VMDC/2.2/Cisco_PCI_Compliance_Letter.pdf FISMA Compliance: http://www.cisco.com/en/US/docs/solutions/Enterprise/Data_Center/VMDC/SecureState/VMDC_SecureState.pdf
  • 60.
    Пожалуйста, заполните анкеты. Вашемнение очень важно для нас. Спасибо Напишите мне: Андрей Ключка aklyuchk@cisco.com +7 (727) 2442138
  • 61.
  • 62.
    Физические!или!виртуальные! серверы!ДМЗ!периметра! Периметр!ЦОД! Интернет!/! внешняя!сеть! Ядро!ЦОД! (маршрутизация)! Уровень!агрегации!ЦОД!Уровень!2! Уровень!3! КЛАСТЕР!МСЭ! Вычислительная! зона!ДМЗ! Пункт!доставки! Виртуальные+серверы+ДМЗ+ Ядро!BGP/OSPF! ! ASA!A/S!HA! Уровень!виртуального! доступа! VRF+–+ DMZExt++ + VRF>+ DMZExt+ + VRF+–+ DMZExt++ + VRF+–+ DMZExt++ + CTX1+ CTX1+ VL900 Выделенные+блейд>серверы+ CTX+CTX+ VL900 ДМЗ+VLAN90+ 172.16.90.0/24+ vDMZ+172.16.90.0/24+ VL900 VL999 VL999 VL999 VL999 VL90VL999 Устройства+ASA+периметра,+работающие+под+управлением++ стандартного+A/S+HA,+—отказоустойчивые+ ASA+периметра+—+наряду+с+vPC+могут+использовать+избыточный+ интерфейс,+чтобы+сократить+вероятность+аварийного+ переключения+при+высокой+доступности.+ ASA+периметра+реализуют+прозрачный+контекст+вирт.+МСЭ+сети+VLN+ для+ДМЗ,+соединяя+VL90+(ДМЗ)+с+VL999+(N7000+vRF).+ Некоторые+серверы+ДМЗ+могут+физически+находиться+в+ коммутаторе+ДМЗ,+тогда+как+другие+серверы+будут+ предоставляться+с+уровня+виртуального+доступа. Nexus+7000+передает+трафик+с+VL999+через+vRF+–+DMZExt,+ перемещает+пакеты+через+маршрутизируемый+уровень+ядра+на+ уровень+распределения.+ Запрос+или+отклик+ARP+из+VLAN+90+передается+по+каналам+на+ уровень+виртуального+доступа.++ Кластеризованные+ASA+на+уровне+распределения+связывают+VL999+ (DMZExt+vRF)+с+VL900,+местом,+где+существуют+виртуальные+ серверы+ДМЗ.+ Здесь+будет+реализована+политика+безопасности,+ограничивающая+ доступ+только+к+подсетям+ДМЗ+по+сети,+сервису+или+приложению.+ Для+обеспечения+безопасности+(соответствия+требованиям)+на+ уровне+виртуального+доступа+рекомендуется+использовать+ выделенное+серверное+оборудование.+ Можно+создать+дополнительные+профили+портов+и+использовать+ шлюз+Virtual+Security+Gateway+(VSG)+для+зонирования+«восток> запад»+между+ВМ+в+ДМЗ.+ Для+дальнейшего+разделения+на+уровне+пакетов+можно+ использовать+метки+групп+безопасности.+ Примерсхемы «Плавательная дорожка» для виртуальной ДМЗ DMZ+Subnet(172.16.90.0/24)VLAN90+<>>+vFW(BVI)+<>>VLAN999<>>vRF+DMZExt+<>>+VLAN999+<>>+vFW(BVI)<>>VLAN900/+DMZ+Subnet(172.16.90.0/24)++ Внешнее!зонирование!
  • 63.
    Пример внутреннего зонированиядля разработки — вариант 1 Физическое разделение Модель может использоваться для тестирования нагрузки на приложение. Если требуется выделенный путь через уровень ядра, рекомендуется использовать DEV vRF. Если требуется выделенный периметр, рекомендуется использовать контексты вирт. МСЭ на устройствах ASA периметра или отдельную (низкого уровня) пару ASA. DEV VDC, созданный в Nexus 7000, присоединенный к CORE VDC и поддерживающий собственную дочку доставки. ASA на уровне агрегации могут быть настроены несколькими способами. 1. Один кластер ASA с отдельными контекстами вирт. МСЭ для зон DEV — порты на ASA должны быть физически подключены к каждому VDC. 2. Отдельные кластеры ASA с контекстами вирт. МСЭ или без них. В вычислительной структуре создается зеркальная серверная среда для функционирования DEV в собственной точке доставки. Периметр ЦОД Интернет / внешняя сеть VDC ядра ЦОД (маршрутизация) VDC уровня агрегации производства Уровень 2 Уровень 3 КЛАСТЕР МСЭ Пункт доставки Ядро BGP/OSPF ASA A/S HA Уровень виртуального доступа Виртуальный коммутатор Гипервизор VDC уровня агрегации разработки Пункт доставки CTX CTX Виртуальный коммутатор Гипервизор DEV VRF DEV VRF DEV VRF Вычислительная зона разработки Вычислительная зона производства CTX+
  • 64.
    Периметр!ЦОД! Интернет!/! внешняя!сеть! VDC!ядра!ЦОД! (маршрутизация)! VDC!уровня!агрегации! Уровень!2! Уровень!3! КЛАСТЕР!МСЭ! Ядро!! BGP/OSPF! ASA!A/S!HA! Уровень!! виртуального!доступа! Пример внутреннего зонированиядля разработки — вариант 2 Виртуальное разделение В модели виртуального разделения используется общая физическая инфраструктура (Nexus) для маршрутизации и транспорта данных. ASA используются для разделения трафика разработки и производства. Виртуальные ресурсы могут использовать общее физическое серверное оборудование и точку доступа. Обеспечение безопасность осуществляется аналогично действиям в защищенной многопользовательской среде.