Решения Cisco в области ИБ для центров обработки данных

Решения Cisco в области ИБ для
центров обработки данных

Руслан Иванов
ruivanov@cisco.com

Presentation_ID © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Public 1

Облачные Вычисления
Емкость по требованию;
Глобальный доступ

Виртуализация
Консолидация; Оптимизация; Скорость

Открытость
Защищенный доступ для мобильных пользователей,
Партнеров, Работников по контракту

Масштабируемость и простота
Емкость и Эффективность масштабируется
вместе с требованиями Бизнеса

2000 2005 2010 2015

© 2011 Cisco and/or its affiliates. All rights reserved. 2

Устаревшая Развивающаяся

§  Случайные Архитектуры §  Консолидация ЦоД и Серверов
§  Приложения, внедренные в §  Виртуализация Серверов
определенных ситуациях (пример. §  “Любая рабочая нагрузка на любом
multi-tier deployment) сервере”
§  Предсказуемый поток трафика §  Непредсказуемый поток трафика по
§  Безопасность обычно внедряется на мере миграции рабочей нагрузки
каждый набор серверов или §  Безопасность становиться более
хранилище направленной на данные (не хранилища)


Физическая Сеть ЦОД

Виртуальная Сеть ЦОД

Достижимость и Контекст

Данные в vMotion, другие данные

Аутентификация пользователя и
устройства

4

•  Определение границ: сеть, вычисления, виртуализация
Сегментация •  Задание политик по функциям, устройствам, организациям
•  Контроль доступа к сетям, ресурсам, приложениям

•  Противодействие атакам
Защита от
•  Контроль границ сети и межзонного взаимодействия
угроз •  Контроль доступа и использования ресурсов

•  Прозрачность использования
•  Соответствие бизнес-требованиям
Прозрачность
•  Упростить поддержку и соответствие требованиям
регуляторов


= Compute
Internet Edge

= Network
CORE
= Security
DISTRIBUTION VDC
Nexus 7018 Nexus 7018
SAN
ASA 5585-X ASA 5585-X

VPC VPC VPC VPC VPC VPC VPC VPC VSS
VSS
Nexus
5000 Catalyst
Series SERVICES
Unified 6500
Nexus Nexus Computing
7000 2100 System
Series Series
Nexus Firewall ACE
VSG
Zone 1000V
Multizone NAM IPS

10G Server Rack 10 G Server Rack Unified Compute Unified Access

Применение единой политики безопасности вне зависимости от
расположения и метода доступа к данным

Межсетевое
экранирование Сегментирование фабрики
Stateful/reflective ACL UCS Fabric Interconnect
Multi-context VM-FEX
VPN

Анализ и контроль TrustSec
доступа на основе
контекста Изоляция сетей
Security Group Tags (SGT) Physical
Security Exchange Protocol (SXP) Virtual (VLAN, VRF)
Security Group ACL Virtualized (Zones)


Сегментация

Направление север-юг: Проверка всего трафика
идущего в/из ЦОД
Physical

Cisco® ASA 5585-X •  Устройства на границе ЦОД инспектируют весь
трафик
•  Высокая производительность, включая сервисы IPS
Cisco Catalyst 6500 •  Разделение внешнего трафика от трафика ЦОД
ASA FW Module

Направление запад-восток: Созданиебезопасных зон
Virtual / Multitenant

доверия между приложениями и пользователями в ЦОД
Cisco ASA 1000V ASA 1000V Virtual Firewall контроль границы виртуализации
Virtual Firewall
•  Разделение между различными орг. единицами

VSG контролирует зоны
Cisco Virtual Security
Gateway (VSG) •  Разделение приложений или VM в рамках одной орг.
единицы

Межсетевое экранирование

Cisco® ASA 5585-X v9.0 с кластеризацией
•  Хорошая мастштабируемость
128 Gbps EMIX
50M Connections , 1.2 M CPS
1000 Virtual Contexts
4000 VLANs

•  Поддерживаемый функционал
http://www.cisco.com/en/US/partner/docs/security/asa/asa90/configuration/guide/ha_cluster.html#wp1571450

ASA 558x Appliance ASA Services Module
© 2010 Cisco and/or its affiliates. All rights reserved.
clustering in a roadmap Cisco Confidential 10

Защита бизнеса от внутренних и внешних угроз

hackers
organized crime

Защита
-  IPS 4500 Security Appliance
-  Cisco ASA CX Application Control
®

cyber criminals
disgruntled employee

Защита от угроз

Cisco IPS 4500 Protection for demanding data centers
•  Delivers hardware-accelerated inspection, real-world
performance, high port density and energy-efficiency
in an expandable chassis
•  Provides protection against both external and
internal attacks

Cisco ASA CX Contextual application-aware firewall
•  Delivers hardware-accelerated inspection, real-world
performance, high port density and energy-efficiency
in an expandable chassis
•  Provides protection against both external and
internal attacks


80 Gbps Average Inspection 160 Gbps IMIX Firewall

160 Gbps Max Inspection 40 Gbps Average Inspection IPS

2 Blade 4520
XL
16 RU Form Factor Q1CY13 16 RU Form Factor

Scaling Factor = 1 Scaling Factor < 1

1 Box Latency


Прозрачность

Контроль, Контекст, Прозрачность

•  Идеально подходит для ответа на вопросы: NetFlow
Кто с кем общается?
Что происходит в сети? Data Center Network
Куда перемещаются данные?
Visibility Context Control

Кто-нибудь имеет доступ к серверу
считающему зарплату? WHERE

И т.д… WHAT WHEN

•  Уникальная ценность Cisco
WHO HOW

Cat 3K-X Cat 4K Cat 6K NGA
With Service Module Sup7E, Sup7L-E Sup2T NetFlow Generating Appliance
Unsampled
Line-Rate
NetFlow


Использование Lancope, NetFlow, Identity, Репутации
Unified View
Threat Analysis and Context in
Lancope StealthWatch

Internal Network and Borders

SIO

NetFlow Telemetry Threat Context Data
Cisco Switches, Routers, and ASA 5500 Cisco Identity, Device, Posture, Reputation, Application


Для
справки

•  VDC – Virtual Device Context

•  VPC – Virtual Port Channel

•  VSS & MEC – Virtual Switching System & Multi-chassis Ether-channel

•  VSL & Peer Link – Virtual Switch Link

•  ECMP – Equal cost Multi-Path

•  VSD – Virtual Service Domain

•  VBS – Virtual Blade Switching

•  VRF – Virtual Routing & Forwarding

•  FabricPath

•  VSG – Virtual Security Gateway


vPC vPC и ASA

peer link peer link

vPC vPC vPC vPC

EC EC EC EC

Активный Резервный
Активный Резервный

•  Позволяет одному устройству использовать port channel
через два коммутатора высшего уровня
•  Два Активных Пути Передачи
•  Дизайн свободный от петель/Исключает STP blocked
порты
•  Использует всю пропускную способность каналов
•  Предоставляет лучшую сходимость в случае выхода из
строя линка/устройства

1

Ядро Ядро • ASA*
поддерживает

Link

IP1 IP2 Aggrega9on
Control
Protocol

(LACP),

стандарт
IEEE
802.3ad

• 
Каждый
port-‐channel

до
8
активных
и

8
резервных
линков

Активный
vPC
Peer-‐link
Активный

• 
Порты
Etherchannel

S1
S2
или

воспринимаются
как

резервный
физические
или
логические

интерфейсы
на

ASA

• 
ASA
5585-‐X
приносит
МСЭ
и

vPC
vPC
IPS
уровня
ЦОД

• 
Так
как
IPS
внедряется
как

устройство
внутри
МСЭ,
потоки

S3
S4
IPS
теперь
могут
быть

vApp vApp
полностью
оптимизированы

vApp vApp

vApp vApp

Zone/Multi-Tennant Zone/Multi-Tennant


Ядро Ядро
IP1 IP2

Коммутатор
6500
в
роли

Сервисного
коммутатора

• 6500
Link

Активный
vPC
Peer-‐link
Активный

Aggrega9on
Control
Protocol

S1
S2
или

(LACP),
стандарт
IEEE
802.3ad

резервный
• Трафик
направляется
через

сервисные

VLANы

• Каждый
port-‐channel

vPC
vPC
до
8
активных
и

8
резервных
линков

S3
S4

vApp vApp vApp vApp

vApp vApp

Zone/Multi-Tennant Zone/Multi-Tennant


VDC 1
Ключевая
Layer 2 Protocols Layer 3 Protocols
VLAN UDLD OSPF GLBP функция
PVLAN CDP BGP HSRP
STP 802.1X EIGRP IGMP
LACP CTS PIM SNMP
… …

VDCs
VDC 2

VLAN UDLD OSPF GLBP
PVLAN CDP BGP HSRP
Nexus 7000 STP 802.1X EIGRP IGMP
LACP CTS PIM SNMP
… …

Nexus 7000 VDC – Virtual Device Context
§  Разделение data plane и control plane
§  Надежное разделение контекстов управления (management plane)
§  Гибкое разделение аппаратных и программных ресурсов между контекстами –
портов, L2/L3 стеков, VLAN, VRFs, таблиц маршрутизации
§  Контроль выделяемых под контекст ресурсов
§  Изоляция процессов и программных сбоев


VDC 1
Ключевая
VLAN UDLD OSPF GLBP
функция
PVLAN CDP BGP HSRP
LACP CTS PIM SNMP
… …

VDCs
VDC 2
VLAN UDLD OSPF GLBP
PVLAN CDP BGP HSRP
Nexus 7000 LACP CTS PIM SNMP
… …

Разделение VDC индустриально сертифицировано .
NSS Labs сертифицировал использование Cisco Nexus 7000 VDC функционал для Payment Card
Industry (PCI) среды в 2010 году.
http://www.nsslabs.com/research/network-security/virtualization/cisco-nexus-7000-q2-2010.html
Federal Information Processing Standards (FIP-140-2) сертификация была получена в 2011году
http://csrc.nist.gov/groups/STM/cmvp/documents/140-1/140sp/140sp1533.pdf
Cisco Nexus 7000 получил сертификацию по требованиям Common Criteria с уровнем
сооттвествия EAL4 в 2011 году.
http://www.niap-ccevs.org/cc-scheme/st/vid10349/


•  МСЭ на пути следования Inter-VDC трафика

VRF

Север
VRF
Юг
VDC

VDC
Ядра

ASA
HA
Pair
1
Агрегации

v200

GW:

ASA
HA
Pair
2
10.1.200.254

VRF
VRF
Юг

Север

•  Прозрачные (L2) сервисы МСЭ •  Удобно использовать для топологий, где
установлены между Nexus VDC требуется нахождение МСЭ между
•  Позволяют применять другие сервисы
уровнем агрегации и ядром
(IPS, LB и т.д.) в случае необходимости •  Недостаток, что большинство/весь
•  ASA может быть виртуализирована 1:1 с
трафик направленный в Ядро проходит
привязкой к VRF-ам через МСЭ; возможно узкое место

2

•  МСЭ между Сервером и Шлюзом
Пара ASA в режиме высокой доступности в прозрачном режиме с VRF на
VDC Агрегации. Шлюз для серверов подключен к внешнему интерфейсу
МСЭ

GW:

VDC
10.1.200.254

Агрегации

v201
-‐
Outside
v200
–
Inside

Простой дизайн.
Уровень
3
Уровень
2

Физическое
подключение


Перенаправляем трафик Применяем сетевые
VM через VLAN-ы на сервисы на уровне
физические устройства гипервизора

Web App Database Web App Database
Server Server Server Server Server Server

Hypervisor Hypervisor

VLANs

Virtual Contexts VSN
VSN

Традиционные сервисные узлы Виртуальные сервисные узлы


Сервисный Модуль ASA

Web App Database
Server Server Server

Hypervisor
Устройства ASA 5585

VLANs

Virtual Contexts
Устройства защиты от атак Cisco IPS

Traditional Service Nodes


ASA 5585-SSP60

40 Гбит/с —
пропускная
способность
ASA 5585-SSP40 межсетевого экрана
10 Гбит/c —
пропускная
ASA 5585-SSP20 20 Гбит/с — способность системы
пропускная IPS
ASA 5585-SSP10 способность 350 000 соединений в
4 Гбит/c — пропускная 10 Гбит/с — межсетевого экрана секунду
способность пропускная 5 Гбит/с — пропускная
межсетевого экрана способность способность системы
2 Гбит/с — пропускная межсетевого экрана IPS
способность системы 3 Гбит/с — пропускная 200 000 соединений в
IPS способность системы секунду
50 000 соединений в IPS
секунду 125 000 соединений в
секунду
Комплекс зданий Центр обработки данных


Показатель Значение
Производительность шасси 64 Гбит/сек

Производительность модуля 16 Гбит/сек

Одновременных сессий 10M

Новых соединений в секунду 350K

Контекстов безопасности 250

VLANs 1K


•  Выход за рамки традиционных
решений

•  Наращивание мощностей в
соответствии с ведущими
отраслевыми системными
возможностями
–  64 Гбит/с
–  1,2 млн. соединений в секунду
–  1 000 виртуальных контекстов
–  4 000 сетей VLAN

•  Поддержка решений для ЦОД,
например развертываний
частных облачных
инфраструктур


100+Gbps
•  Все устройства в кластере

2 x 10GbE Data Traffic Port Channel
являются активными и
передают трафик

Cluster Control Link
являются либо основными
устройствами, либо
резервными, используемыми
от сеанса к сеансу
•  В случае сбоя узла
проведение сеанса переходит
на резервные устройства
•  Благодаря протоколу LACP
соседние коммутаторы
прекращают передачу
трафика по неработающему
каналу


высокая доступность

являются активными и
передают трафик.
являются либо основными

Cluster Control Link
устройствами, либо
резервными, используемыми
от сеанса к сеансу.
•  В случае сбоя узла
проведение сеанса переходит
на резервные устройства.
•  Благодаря протоколу LACP
соседние коммутаторы
прекращают передачу
трафика по неработающему
каналу.


•  Единая консоль конфигурации и автоматическая
синхронизация конфигурации в кластере.
Управление кластером из 8 устройств осуществляет всего один
экземпляр Cisco ASDM или CSM 4.4
•  Обработка удаленных команд выполняется на любом
узле.
•  Статистические данные использования ресурсов в
рамках кластера
Использование ресурсов ЦП и памяти для любого узла.
Использование канала управления кластером.
•  Поддержка Cisco® Security Manager


CL
MASTER
CL
SLAVE
CL
SLAVE
CL
SLAVE
ASA
x
Node
Cluster

ASA
Port-‐Channel
32

•  Data Plane of Cluster MUST use
cLACP (Spanned Port-Channel)
cLACP
–
Spanned
Port
Channel

VPC Identifier on N7K must be the
same for channel consistency
ASA uses the ‘span-cluster’
command on channel
N7K
VPC
32

ASA
interface Port-channel32 Cluster
Data
Plane

port-channel span-cluster Cluster
Control
Plane
VPC
PEER
LINK

vss-load-balance

•  Control Plane [Cluster
Control Link] of Cluster N7K

N7K

MUST use standard LACP N7K
VPC
42
N7K

VPC
41

VPC
40
VPC
43

(Local Port-Channel) LACP
–
Local
Port
Channels

•  Each VPC Identifier on Nexus
7K is unique ASA
Port-‐Channel
40

CL
MASTER
CL
SLAVE
CL
SLAVE
CL
SLAVE
ASA
x
Node
Cluster

•  Port Channel Identifier on ASA
is arbitrary
(max number 48)

•  ASA clustering relies upon stateless load
balancing from an external mechanism

•  Recommended method is to use a
spanned port-channel to a switch for
ingress and egress connections (vPC/ Внутренний

VSS with cLACP) Внешний

коммутатор
Коммутатор

•  BP is to use a symmetrical hashing
algorithm like src-dest IP (the default)

•  Could also use Policy Based Routing
(PBR) or Equal Cost Multi-Path (ECMP);
use both with Object Tracking

•  Both the latter two methods are only
supported in routed (L3) mode on the
firewall

3

3

CL
MASTER
CL
SLAVE
CL
SLAVE
CL
SLAVE
ASA
x
Node
Cluster

ASA
Port-‐Channel
32

Test 1: Pull Cluster
Control Link 1 on
MASTER cLACP
–
Spanned
Port
Channel

Result: No Change, No
Packet loss N7K
VPC
32

Cluster
Data
Plane

Cluster
Control
Plane
VPC
PEER
LINK

Test 2: Pull Cluster
Control Link 2 on
MASTER
N7K
N7K

N7K
VPC
42
N7K

VPC
41

Result: ASA Leaves VPC
40
VPC
43

Cluster – ASA 2 LACP
–
Local
Port
Channels

becomes MASTER, No
Packet Loss ASA
Port-‐Channel
40

CL
MASTER
CL
SLAVE
CL
SLAVE
CL
SLAVE
ASA
x
Node
Cluster


CL
MASTER
CL
SLAVE
CL
SLAVE
CL
SLAVE
ASA
x
Node
Cluster

ASA
Port-‐Channel
32

Test 1: Power Off cLACP
–
Spanned
Port
Channel

ASA1
Result: No N7K
VPC
32

Packet loss
Cluster
Data
Plane

Cluster
Control
Plane
VPC
PEER
LINK

N7K
N7K

N7K
VPC
42
N7K

VPC
41

VPC
40
VPC
43

LACP
–
Local
Port
Channels

ASA
Port-‐Channel
40

CL
MASTER
CL
SLAVE
CL
SLAVE
CL
SLAVE
ASA
x
Node
Cluster


CL
MASTER
CL
SLAVE
CL
SLAVE
CL
SLAVE
ASA
x
Node
Cluster

ASA
Port-‐Channel
32

cLACP
–
Spanned
Port
Channel

Test 2: Pull te0/6 on ASA1

Result: No Packet loss
N7K
VPC
32

Cluster
Data
Plane

Cluster
Control
Plane
VPC
PEER
LINK

Test 3: Pull te0/7 on ASA1

Result: ASA Leaves Cluster
– ASA2 becomes MASTER, N7K

N7K

No Packet Loss N7K
VPC
42
N7K

VPC
41

VPC
40
VPC
43

LACP
–
Local
Port
Channels

Note: Plugging ASA1 link(s)
back in, will eventually rejoin
cluster as SLAVE after LACP ASA
Port-‐Channel
40

negotiation – No preempt CL
MASTER
CL
SLAVE
CL
SLAVE
CL
SLAVE
ASA
x
Node
Cluster


CL
MASTER
CL
SLAVE
CL
SLAVE
CL
SLAVE
ASA
x
Node
Cluster

ASA
Port-‐Channel
32

cLACP
–
Spanned
Port
Channel

Test 4: Looking for Packet
loss
N7K
VPC
32

Eliminate as much of the
Cluster as possible until loss Cluster
Data
Plane

is detected Cluster
Control
Plane
VPC
PEER
LINK

Lose ASA1, ASA2 and ASA 3
and one of the data plane
Links on ASA4 N7K
N7K

N7K

N7K
VPC
41
VPC
42

VPC
40
VPC
43

Result: No Packet loss until a LACP
–
Local
Port
Channels

single ASA with a single link
is left standing ASA
Port-‐Channel
40

CL
MASTER
CL
SLAVE
CL
SLAVE
CL
SLAVE
ASA
x
Node
Cluster


4

OTV delivers a virtual L2 transport over any L3 Infrastructure

O
Overlay - A solution that is independent of the
infrastructure technology and services, flexible over various
inter-connect facilities

T Transport - Transporting services for layer 2 and layer 3
Ethernet and IP traffic

V
Virtualization - Provides virtual stateless multi-access
connections, which can be further partitioned into VPNs,
VRFs, VLANs

MAC TABLE
Transport
VLAN MAC IF Infrastructure
2 OTV OTV OTV OTV
100 MAC 1 Eth 2
Layer 2
Lookup 100 MAC 2 Eth 1

MAC 1 è MAC 2
1
MAC 1 MAC 2 West East
Site Site


4
MAC TABLE Transport MAC TABLE
Infrastructure
VLAN MAC IF VLAN MAC IF
Decap
IP A
100 MAC 1 Eth 2 3 5 IP B 100 MAC 1 IP A
2 100 OTV MAC 2 Eth 1 OTV
Encap OTV
100 OTV
MAC 2 IP A 6
Layer 2 100 MAC 3 IP B MAC 1 è MAC 3 IP A è IP B
MAC 1 è MAC 3 IP A è IP B
100 MAC 3 Eth 3
Layer 2
Lookup Lookup
100 MAC 4 IP B 100 MAC 4 Eth 4

MAC 1 è MAC 3
MAC 1 è MAC 3 MAC 1 West East
MAC 3
Site Site
1
7


Two Active Data Centers
Connected via Layer 3 Core
OTV VDC Data Center 1 Data Center 2
from each
Core Core 2
OTV
Core 1
Core 3 Core 4
switch 20.1.1.0/24 . . 20.2.1.0/24 .
20.3.1.0/24 . 20.4.1.0/24
2 2 2
Core 1 Core 2 2
Core 3 Core 4

OTV Join
Interface Agg 1 Agg 2 Agg 3 Agg 4

OTV vPC 10 vPC 11 OTV OTV vPC 25 vPC 26 OTV
1 2 3
.1 .1 4 .1
.1
OTV Site VLAN 700 OTV Site VLAN 700
OTV 1 OTV 2 OTV 3 OTV 4
OTV switch s

connected to
Aggregation via
vPC

otv site-vlan 700
otv site-identifier 0001.0001.0001
vlan 1,101,700,999
CORE11-N7K-1-OTV# sh run int Overlay 1
Data Center 1
!Command: show running-config interface Overlay1
OTV !Time: Fri Oct 12 13:11:03 2012

Core 1 Core 2 version 5.2(1)
20.1.1.0/24 . . 20.2.1.0/24
2 2 interface Overlay1
Core 1 Core 2

otv join-interface Ethernet2/39
otv extend-vlan 101, 999
AS AS
A1 A2 otv use-adjacency-server 20.1.1.1 20.2.1.1 unicast-
only
AGG 1 AGG 2 otv adjacency-server unicast-only
no shutdown

vPC 10 vPC 11
.1
CORE11-N7K-1-OTV# sh otv adjacency
.1 OT OT Overlay Adjacency database
V OTV Site VLAN 700 V

OTV 1 OTV 2
Overlay-Interface Overlay1 :
Hostname System-ID Dest Addr
Up Time State
0024.f716.43c4 20.2.1.1
02:28:19 UP
CORE31-N7K-1-OTV f866.f206.fcc3 20.3.1.1
10:28:07 UP
18ef.63e5.5343 20.4.1.1 45

otv site-vlan 700
otv site-identifier 0003.0003.0003
vlan 1,101,700,999

CORE31-N7K-1-OTV# sh run int Overlay 1
Data Center 2
!Command: show running-config interface Overlay1
OTV !Time: Fri Oct 12 23:05:50 2012

Core 3 Core 4 version 5.2(1)
20.3.1.0/24 . . 20.4.1.0/24
2 2
Core 3 Core 4 interface Overlay1
otv join-interface Ethernet2/27
AS
otv extend-vlan 101, 999
AS
A3 A4 otv use-adjacency-server 20.1.1.1 20.2.1.1 unicast-
only
AGG 3 AGG 4
otv adjacency-server unicast-only
no shutdown

vPC 26
CORE31-N7K-1-OTV# sh otv adjacency
vPC 25
.1 .1 Overlay Adjacency database
OT OT

Overlay-Interface Overlay1 :
OTV 3 OTV 4 Hostname System-ID Dest Addr Up
Time State
CORE11-N7K-1-OTV 0024.f716.5444 20.1.1.1
13:00:46 UP
0024.f716.43c4 20.2.1.1 01:03:38
UP
18ef.63e5.5343 20.4.1.1 05:42:13
46
UP

Data Center 1 Data Center 2
Core 2
OTV
Core 1
. 20.2.1.0/24 Core 3 Core 4
20.1.1.0/24 . .
20.3.1.0/24 . 20.4.1.0/24
2 2 2 Core 3 Core 4 2
Core 1 Core 2

AS AS AS AS
A4
ASA
Cluster
A1 A2 A3

Master
AGG 1 AGG 2 Nigeria
Congo AGG 2
AGG 1 VDC 2
VDC 2

vPC 25 vPC 26
vPC 10 vPC 11
.1 OT OT .1 .1 OTV
.1
OTV OTV Site VLAN 700

OTV 1 OTV 2 OTV 3 OTV 4
s


Data Center 1 OTV Data Center 2
VLAN999

Core 2 VLAN101

Core 1
. 20.2.1.0/24 Core 3 Core 4
VLAN
102
20.1.1.0/24 . .
20.3.1.0/24
. 20.4.1.0/24
Outside
2 2 2
Core 3 Core 4 2
BVI

Core 1 Core 2

Master Slave Slave Slave
10.101.10.2
00
ASA Po
32
Po
32
ASA ASA Po
32
Po
32
ASA
4
1 3

2

VLAN101
vPC
vPC
vPC
vPC

32
32
32

Inside
Po
40
AGG 1 AGG 2 32
Po
40
Po
40
Congo
AGG 1
Nigeria
AGG 2
VDC 2
Po
40

VDC 2

VLAN
999
vPC
vPC
vPC
vPC

CCL
42
43
40
vPC 25 vPC 26 41

vPC 10 vPC 11
.1 .1 .1 .1
Data:
Po
OTV
OTV Site VLAN 700
OTV OTV OTV Site VLAN 700
OTV

32

Control:
OTV 1 OTV 3
OTV 2 OTV 4
Po
40

s


Unit "asa2" in state SLAVE
ID : 1
asa(cfg-cluster)# sh cluster info Version : 9.0(0.129)
Cluster DC-SEC: On Serial No.: JAF1534CCHB
Interface mode: spanned
CCL IP : 99.99.99.2
This is "asa3" in state SLAVE
ID : 3 CCL MAC : 7081.055a.
Version : 9.0(0.129) 2a96
Serial No.: JAF1518CKJH Last join : 01:06:02 EDT
CCL IP : 99.99.99.3 Oct 12 2012
CCL MAC : 4055.3980.0076 Last leave: 01:02:24 EDT
Last join : 01:53:16 EDT
Oct 12 2012
Oct 12 2012
Last leave: 01:53:03 EDT
Unit "asa4" in state SLAVE
Oct 12 2012 ID : 2
Other members in the cluster: Version : 9.0(0.129)
Unit "asa1" in state MASTER
Serial No.: JAF1553ALFH
ID : 0
CCL IP : 99.99.99.4
Version : 9.0(0.129) CCL MAC :
Serial No.: JAF1504CQPKc464.1366.e396
CCL IP : 99.99.99.1 Last join : 01:53:10 EDT
CCL MAC : 5475.d05b.
Oct 12 2012
0876 Last leave: 01:52:35 EDT
Last join : 08:09:52 EDT 12 2012
Oct
Oct 12 2012
Last leave: 02:19:19 EDT
Oct 12 2012

Common Data vPC
DC10-N7K-1# sh vpc brief
Legend:
vPC status
(*) - local vPC is down, forwarding via vPC peer- ---------------------------------------------------------
link
-------------
vPC domain id : 10 id Port Status Consistency Reason
Peer status : peer adjacency formed ok
vPC keep-alive status : peer is not reachable Active vlans
through peer-keepalive
Configuration consistency status : success
-- ---- ------ ----------- ------
Per-vlan consistency status : success ------------
Type-2 consistency status : failed
Type-2 inconsistency reason : SVI type-2 configuration 32 Po32 up success success
Unique101-102,105
incompatible
vPC role : secondary, operational primary CCL vPCs
Number of vPCs configured : 10 ,
Peer Gateway : Enabled
Peer gateway excluded VLANs :- 191-193,19
Dual-active excluded VLANs :-
Graceful Consistency Check : Enabled
Auto-recovery status : Disabled 5,197,461,5
vPC Peer-link status
--------------------------------------------------------------------- 91-594,597,
id Port Status Active vlans
-- ---- ------ --------------------------------------------------
1 Po1 up
101-102,105,191-193,195,197,461,591-594,597,599-60
599-600,700 ....-
0,700,900-902,905,910,999
42 Po42 up success success 50

Новое поколение
систем предотвращения
вторжений Cisco IPS

Cisco IPS 4520
Новинка
Производительность, масштабируемость, адаптивность

Cisco IPS 4510
Новинка

Cisco IPS 4360

Новинка

Cisco® IPS 4345

Новинка

Филиал Интернет- Комплекс Центр обработки
периметр зданий данных

Cisco Confidential – Redistribution Prohibited

Cisco® IPS 4345 Cisco IPS 4360 Cisco IPS 4510 Cisco IPS 4520

Основа платформы 1RU 1RU 2 RU (шасси) 2 RU (шасси)

4 ядер 4 ядер 8 ядер 12 ядер
Процессор
4 потока 8 потока 16 потока 24 потока

Память 8 GB 16 ГБ 24 ГБ 48 GB

6 x 1 GE Cu 6 x 1 GE Cu
Базовые порты данныъ 8 x 1 GE Cu 8 x 1 GE Cu
4 x 10 GE SFP 4 x 10 GE SFP

Ускоритель Regex Одинарный Одинарный Одинарный Двойной

Постоянное значение 2 с возможностью 2 с возможностью 2 с возможностью
Электропитание
переменного тока горячей замены горячей замены горячей замены


Производительность
•  Реальный средний показатель: 3 Гбит/с
Отсеки для •  Реальный диапазон показателей: 1.2-5 Гбит/с
Порты •  Транзакционная передача по HTTP: 5 Гбит/с
жесткого диска
управления
(пустые)
Интегрированный Характеристики платформы:
ввод-вывод •  2 RU (шасси)
6 GE Cu •  Многоядерный ЦП корпоративного класса (8
ядер, 16 потоков)
•  24 ГБ ОЗУ
•  Резервный источник питания
•  Аппаратное ускорение Regex
•  Открытый слот (в верхней части) для
использования в будущем

Индикаторы
состояния Места развертывания
Интегрированный •  Средние и крупные предприятия
ввод-вывод •  ЦОД кампуса
4 слота 10 GE •  Требуется 3 Гбит/с реальной пропускной
2 порта способности IPS
SFP USB •  Требуется резервный источник питания
Порт AUX и
консоль •  Требуется специализированная система IPS


Производительность
•  Реальный средний показатель: 5 Гбит/с
Отсеки для •  Реальный диапазон показателей: 2.5-7.7 Гбит/с
Порты •  Транзакционная передача по HTTP: 7,6 Гбит/с
жесткого
управления
диска (пустые)
Интегрированный Характеристики платформы:
ввод-вывод •  2 RU (шасси)
6 GE Cu •  Многоядерный ЦП корпоративного класса (12
ядер, 24 потоков)
•  48 ГБ ОЗУ
•  Резервный источник питания
•  Аппаратное ускорение Regex (x2)
•  Открытый слот (в верхней части) для
использования в будущем

Индикаторы
состояния Места развертывания
Интегрированный •  Средние и крупные предприятия
ввод-вывод •  Центр обработки данных
4 слота 10 GE •  Требуется 5 Гбит/с реальной пропускной
2 порта способности IPS
SFP USB •  Требуется резервный источник питания
Порт AUX и
консоль •  Требуется специализированная система IPS


•  Определение максимальной пропускной способности с
помощью сочетания
различных протоколов и размеров пакетов.
•  Для оценки используются средние показатели пяти тестов.
•  Сочетание типов трафика зависит от типа и расположения сети.
•  В тестах используются стандартные профили приложений
пределов прочности (сочетания трафика).
•  Тестирование предоставляет клиентам
рекомендации.
•  Клиенты могут легко воспроизвести
тесты.
•  Тесты не имеют отношения к
компании Cisco.


Максимальная производительность (Гбит/с)
8

7

6

5

4

3

2

1

0
Реальный средний показатель Транзакционная передача по
HTTP
4510 4520


•  Специализированные
высокоскоростные устройства IPS с
учетом контекста
•  Обработка с аппаратным ускорением
Regex
•  Развертывания на уровне ядра ЦОД
или предприятия
•  Один интерфейс Gigabit Ethernet,
один интерфейс 10 Gigabit Ethernet и
слот SFP
•  Масштабируемость: доступен слот
для будущего наращивания
мощностей


Cisco IPS
Значение Cisco IPS 4510
4520

Cisco использует пять сторонних
Реальный средний показатель тестов, которые показывают состав
3 5
(Гбит/с) смешанного трафика
развертываний.

Максимальные уровни пропускной
Максимальная
способности при полной проверке 5 10
производительность (Гбит/с)
трафика.

Количество подключений в Беспроблемная обработка
72,000 100,000
секунду всплесков подключений.

Динамично функционирующим
Максимальное количество центрам обработки данных
3,800,000 8,400,000
открытых подключений требуется большое количество
подключений.

Задержка может привести к
Среднее время задержки проблемам транзакций и повлиять < 150 мс < 150 мс
на производительность.


Основные отличия
Специализированная система
Cisco IPS 4500
•  Прозрачна и незаметна в сети
•  Ввод-вывод на основе IPS
•  Нормализация под управлением IPS
•  Свободный слот для использования в
будущем

Интегрированное устройство
Cisco ASA 5585-X IPS
•  Прозрачность как вариант.
•  Ввод-вывод принадлежит межсетевому
экрану.
•  Нормализацией управляет межсетевой экран.
•  Для выбора политики IPS доступны
дополнительные возможности (5 элементов
потока, код пользователя и т. д.).


•  Зоны используются для
определения места
применения политик
•  Уникальные политики и
определение направления
трафика применяются к
каждой зоне
•  Физическая инфраструктура
пробрасывается в VM трафик
направляется в
виртуальную среду через Контекст МСЭ
VRF, виртуальный контекст
•  Объединяется физическая и
виртуальная инфраструктура Серверные
ресурсы
сегментирется
Virtual Switch через Зоны Virtual Switch
vSphere vSphere


•  Внедрение политик информационной безопасности
ü  Проблемы переноса политики с физических
серверов на виртуальные
ü  vMotion и аналоги могут нарушать политику
Web
Server
App
Server
DB
Server •  Сегментация и изоляция
ü  Потеря изоляции VM из-за ошибок конфигурации
Hypervisor
или атак
VLANs ü  Уязвимости гипервизора и систем управления
Virtual Contexts
•  Отсутствие наблюдаемости
ü  Отсутствие контроля над трафиком между VMs
•  Риски эксплуатации
ü  Разделение полномочий админов серверов, сети и
безопасности
ü  Часто администраторы имеют завышенные
полномочия
ü  Несвоевременная установка обновления на VMs и
гипервизор
ü  “Забытые” виртуальные машины


VMSA-2009-0006 Эксплойт Blue Pill,
§ Уязвимость в ESX 3.5, Workstation, etc. разработанный Йоанной
§ Исполнение кода из VM Guest на хосте Рутковской для процессоров AMD
§ Переполнение буфера в графическом переносил хостовую ОС в
драйвере виртуальную среду (2006)

Классические уязвимости среды виртуализации

•  Июнь 2012
Уязвимость в реализации инструкции SYSRET всех
выпущенных x86-64 процессоров Intel позволяет
выходить за пределы виртуальной машины -
http://www.xakep.ru/post/58862/
•  Май 2012
Как взломать Vmware vCenter за 60 секунд
http://2012.confidence.org.pl/materials
•  VASTO (Virtualization Assessment Toolkit) – первый
модуль поиска уязвимостей виртуализации для
Metasploit доступен для широкой публики
http://vasto.nibblesec.org/


Виртуальные контексты на семействе ASA
§  до 256 виртуальных контекстов на ASA 5585 и ASA
SM (до 1000 контекстов на кластер с ASA 9.0)
§  до 1024 VLAN, которые могут разделяться между FW_1 FW_2 FW_3
контекстами (до 4000 VLAN на кластер с ASA 9.0)
§  контексты в режиме L2 или L3
§  контекст – это полнофункциональный МСЭ
§  контроль ресурсов для контекстов (MAC-адреса,
соединения, инспекции, трансляции…)
До 32 интерфейсов в L2-контекстах
§  4 интерфейса в бридж-группе. 8 бридж-групп на
виртуальный контекст

L2 L3 L2


Orchestration / Cloud Portals

Virtual Network Management Center Расширение операционного
управления на виртуальную среду
VSG ASA 1000V
Расширение сетевых сервисов
на виртуальную среду

Расширение сети на
виртуальную среду

Nexus 1000V vPath


V-Motion
(Memory)
Physical V-Storage
Security (VMDK)

Role VM
Based Segmentation
Access Virtualization
Security

VM OS Hypervisor
Hardening Security

Patch VM
Management Sprawl

Virtual Security Gateway на
Nexus 1000V с vPath


Virtual Security Gateway: Зонный межсетевой экран
Контекстная
безопасность Правила с атрибутами VM
Virtual Security
Gateway Контроль на
(VSG) основе зон Создание зон безопасности

Динамическая
политика Политика следует за vMotion

Масштабируем. Отказоустойчивость, VSG
архитектура обслуживает несколько хостов

Непрерывные Команда безопасности
Virtual Network операции управляет политиками
Management
Управление на Централизованное управление,
Center (VNMC) основе политик multi-tenancy

XML API, профили
Автоматизация
безопасности


Virtual Network Nexus 1000V with vPath
Management Center •  Распределенный virtual
•  Консоль управления VSG switch
•  Запуск на одной из VMs •  Запускается как часть
гипервизора

Port
Group

Физический
Virtual Security Gateway сервер
•  Программный МСЭ •  UCS или

•  Запускается на одной из VMs •  Другой x86
server
•  Сегментация и политики для
всех VMs
Security Service
Admin Admin


•  Проверенные технологии Cisco теперь и для
виртуализированных сред
•  Совместная модель безопасности
VSG для зон безопасности на уровне одного заказчика
ASA 1000V для контроля безопасности границы между заказчиками

•  Бесшовная интеграция
с Nexus 1000v& vPath

•  Масштабирование
по необходимости


Построен на технологиях IPSec VPN (Site-to-Site)
аппаратной Cisco ASA
NAT

Совместимость VSG DHCP для VM
с помощью service chaining
Шлюз по умолчанию для VM

Поддержка Virtual Extensible Статическая
LAN (VXLAN) до 16M сегментов маршрутизация

Инспекция с учетом состояния
Многопользовательское
управление VNMC (Multi Tenant) IP Audit


Интеллектуальный отвод трафика с vPath
VM VM

VM VM VM VM VM VM VM

VM VM VM VM VM VM VM VM VM

5 4 VSG
Cisco Nexus 1000V ®
vPath
Distributed Virtual Switch

3

2
1 Cisco ASA ®

1000V

•  Cisco® ASA 1000V поддерживает политики на основе сетевых атрибутов*
•  Cisco VSG поддерживает политики на основе сетевых атрибутов и атрибутов VM
Rule

Source Destination Action
Condition Condition
Condition

Operator Operator
Attribute Type VM Attributes VM Attributes Network Attributes eq Not-in-range
Network Instance Name Port Profile Name IP Address neq Prefix
VM Guest OS full name Cluster Name Network Port gt member
Custom Zone Name Hypervisor Name lt Not-member
Parent App Name range Contains

© 2010 Cisco and/or its affiliates. All rights reserved. *поддержка атрибутов VM для ASA в будущих релизах Cisco Confidential 7447

Tenant_A Tenant_B
Разрешить доступ Web Разрешить доступ VSG для
к БД только VSG для
Серверам к Серверам создания зон
серверов создания зон
приложений только через безопасности
Приложений безопасности
HTTP/HTTPS

Web! App! Web! App!
DB! DB!
Server!
Web! Server!
App! Server! Server!
DB!
server! Web! App! DB!
server!
Server! Server! server! Server! Server! server!

ASA для контроля
Порт 80 (HTTP) Только Порт 22 (SSH) открыт Весь
Inter-tenant Edge трафика
и 443 (HTTPS) Для Серверов Приложений остальной
Открыты для трафик
WEB Серверов запрещен

7

Серверная Команда по ИБ
команда

XML API Manager /
vCenter VNMC Orchestrator
VM атрибуты
VNMC Tools
vCenter

Server Security
Admin Admin

•  Управление
Nexus 1 KV
многопользовательскими
Cisco ЦОД (multitenant)
Nexus ®

1000V •  Динамическое управление
Network
Admin на основе политик
Сетевая команда
•  Гибкость с помощью
внешнего XML API

VM VM VM VM VM VM VM VM

Nexus Nexus
1000V 1000V
VEM VEM
Nexus 1000V VMware vSphere Nexus 1000V Windows 8 Hyper-V
VSM VSM

VMware vCenter SCVMM

ü  Решение адаптируется под разных производителей гипервизоров
ü  Унифицированное управление безопасностью через единую консоль
VMDC
* Available Q4CY12 on Cisco Nexus 1000V; roadmap item for Cisco® ASA 1000V

Пограничное Удаленное рабочее место
устройство клиента

IPSEC
IPSEC
Virtual ASA
Virtual ASA

Zone B Zone C
•  Глубокая инспекция
Zone A входящего/исходящего в Tenant B
виртуальный ЦОД трафика VDC VDC

на ASA 1000V vApp

•  NAT и DHCP на ASA 1000V
VSG
VSG
•  Шифрование трафика VSG
между облачным ЦОД и vApp
сетями клиентов на ASA
1000V
vPath •  Микросегментация на
Nexus 1000V vPath
Cisco VSG Nexus 1000V
vSphere
vSphere


Устройство клиента Рабочее место

IPSEC
ASA 5585
ASA 5585

Zone B Zone C
•  Глубокая инспекция
Zone A входящего/исходящего в Tenant B Virtual
ASA
Virtual виртуальный ЦОД трафика VDC VDC
ASA
на ASA 1000V vApp
VSG •  NAT и DHCP на ASA 1000V
VSG
•  Шифрование трафика VSG
между облачным ЦОД и vApp
сетями клиентов на ASA
1000V
vPath •  Микросегментация на
Nexus 1000V vPath
Cisco VSG Nexus 1000V
vSphere
vSphere


Физическое устройство Виртуальное
Устройства и модули защиты Виртуальные и облачные МЭ
Увеличение виртуальной безопасности
Cisco ASA для ЦОД

Cisco ASA Cisco Catalyst® 6500 Cisco VSG Cisco ASA 1000V
5585-X Series ASA Services Cloud Firewall
Module
•  Высочайшая производительность •  МСЭ для защиты виртуальных
•  Политики для защиты периметра серверов, приложений и tenant
ЦОД •  Автоматизация настройки политик
•  Построение политик по атрибутам IP •  Построение политик на основе
атрибутов VM и атрибутов сети
•  Необходимость “отвода” трафика с
•  Фильтрация внутри серверной фермы
помощью VLAN и VRF


Server Zones

Portal Records Database Application

Virtual Security Gateway (VSG)

HVD Zones

IT Admin Assistant Doctor Guest

Network
Guest
iT Admin

Doctor


Server Zones


Virtual Security (VSG)

HVD Zones


Network
Guest
iT Admin

Doctor


Server Zones



HVD Zones


Network
Guest
iT Admin

Doctor


Identity Services Engine

AD
Отсутствует
зависимость 1. Аутентификация
2. Назначение SGT tag/role
от Connection Broker пользователя 802.1X
Prod Server

RDP
Dev Server
VM
Access DC Switch
Switch
3. Прохождение Security Group Tag

•  Представьте что супликант 802.1X на VM не поддерживают User Authentication с VDI – так как соединение
RDP не запускает 802.1X аутентификацию с супликантом Microsoft

•  Cisco AnyConnect (3.0) позволяет получить функционал User Authentication с 802.1X для RDP соединений и
может быть установлен на VM имиджах

•  AnyConnect позволяет данному процессу быть схожим с классификаций физического десктопа

•  Функционал User authentication осуществляется TrustSec независимо от функционала Connection Broker

•  Необходим функционал Multi-Auth и Open Mode


Администрирование
политики
Принятие решений на
базе политик Identity Services Engine (ISE)
Система политик доступа на основе идентификации

Реализация
политик
Cisco 2900/3560/3700/4500/6500, коммутаторы Nexus 7000,
На основе TrustSec инфраструктура беспроводной сети и маршрутизации
Cisco ASA, ISR, ASR 1000

Информация
о политике Агент NAC Web-агент Запрашивающий клиент 802.1x
Бесплатные клиенты с постоянным или временным AnyConnect или запрашивающий
На основе TrustSec подключением для оценки состояния и устранения проблем клиент, встроенный в ОС

Доступ на основе идентификации — это не опция, а свойство сети,
включая проводные, беспроводные сети и VPN


SXP IP Address 10.1.204.126 = SGT 5

ISE

RADIUS (Access Request)

EAPOL (dot1x)
10.1.204.126 RADIUS (Access Accept, SGT = 5)

6506
10.1.204.254

SG ACL Matrix
IP Address to SGT Mapping
HR
Nexus 7000 Server #1
Core VDC 10.1.200.50
10.1.200.254
Nexus 7000
Agg VDC
ASA

Finance
✓

Finance
VSG
Finance Server
#1
Finance HR 10.1.200.100


Традиционный метод контроля доступа

NY
10.2.34.0/24
10.2.35.0/24
10.2.36.0/24
NY 10.3.102.0/24 DC-MTV (SRV1)
HK 10.3.152.0/24 DC-MTV (SAP1)
LON 10.4.111.0/24
DC-RTP (SCM2)
….
BPO_WLANS DC-RTP (ESXix)

Traditional ACL
or
Source FW Rules
Destination
permit NY to SRV1 for HTTPS
Permit NY to SAP2 for SQL
permit NY to SCM2 for SSH
Permit HK to SRV1 for HTTPS
permit HK to SAP1 for SQL ACL for 3 source objects & 3 destination objects
permit HK to SCM2 for SSH
Permit LON to SRV1 for HTTPS
Permit LON to SAP1 for SQL
Permit LON to SAP for SSH
Permit SJC to SRV1 for HTTPS
deny SJC to SAP1 for SQL Adding source Object
deny SJC to SCM2
Permit BPO_WLAN to ESXis for RDP
deny NY to ESXis for RDP Adding destination Object
deny HK to ESXis for RDP
deny LON to ESXis for RDP


Преимущества TrustSec

NY DC-MTV (SRV1)
HK DC-MTV (SAP1)
LON DC-RTP (SCM2)
BPO BPO_VDI

Security Group
Source SGT: Filtering
Destination SGT:
Employee (10) Production Server (50)
BPO (200) BPO_VDI (201)

Permit Employee to Production Server eq HTTPS
Permit Employee to Production Server eq SQL
Permit Employee to Production Server eq SSH
Permit BPO to BPO_VDI eq RDP


SRCDST Production Development
Trader (100) Access No Access
SGT = 100
Trader
SGACL
Registered Device

Dev Apps (SGT=4)

Production
App(SGT=10)

Trader
SGT = 100 Cisco ISE

Security Group Based Access Control
•  ISE assigns ’user’ tag (SGT) based on user identity/device/location

•  NAD applies tag to user traffic (ingress tagging)

•  DC switch assigns server SGT and pulls associated SG-ACLs from ISE

•  DC switch/ Firewall applies relevant SG-ACL policies (egress filtering)

SGT=100

Develop

Prod Svr (SGT=4)

Dev Server (SGT=10)

802.1X/MAB/Web Auth
SGACL
Developer
SGT = 100

Tag propagation (typical) SGToMACSec - SGToMACSec - SGToEthernet

Access Layer Distribution DC core DC ToR/EoR
Catalyst 3k-X Cat 6500 Sup 2T Nexus 7000 Nexus 5500


•  SGT native tagging may require hardware support

•  Non-SGACL hardware capable devices can still:-
receive SGT attributes from ISE for authenticated users or devices
Forward the IP-to-SGT binding to a TrustSec SGACL capable device

•  SGT eXchange Protocol (SXP) is used to pass IP-to-SGT bindings to
TrustSec capable devices
•  SXP allows deployment of SG-ACL without extensive hardware
upgrades
•  SXP also allows the classification to be consumed by Cisco ISR, ASR
and ASA Firewalls
•  Available on the Nexus 1000V v2.1


Campus ßà DC Access Control – используем SXP

SGT = Developer (100)
SG-ACL/SGT

SG-FW SXP-capable only
SXP

Production Svr (SGT=4)

SXP Dev Server (SGT=10)

SG-ACL
Developer
SGT = 100

Access Layer SXP Speaker Enforcement/SXP Listener
Previously Catalyst 3k/4k/6k, WLC Nexus 7000
NEW Catalyst 2960S Cat 6500 Sup 2T
ASA 9.0


Inter-Security Zone Enforcement Intra-Security Zone
with SG Firewall Segmentation with SG
ACL

Security
Group Tag
Data
Centre

Security Security Security
Zone 1 Zone 2 Zone 3

Security
Zone 1
SG Firewall Nexus SG-ACL
• Stateful Inspection • Data Center Segmentation
• Addresses segmentation/ • Addresses intra-zone segmentation, i.e.
enforcement between security zones enforcement for servers within a security
or risk levels zone
• ASA or ASR Firewall • Platforms: Nexus 7000, 5500/2000


SGT
(003)
User
=
john

smith

AD and
LDAP
Cisco® Directories
ISE AAA

Corporate
SGT = 003 Servers
Marketing
Server
SXP Cisco SXP
ASA


Interchange Tags and Groups
Added Column to Added Column to
Source Criteria Destination Criteria


• IP addresses of SG members are received via SXP from Nexus 1000V

• VM moves/changes will be handled by SXP updates to the ASA
• New VMs assigned to existing Sec Groups will NOT need ASA rule-changes

• Consistent classification for virtual and physical servers in the DC


WLC

Users, Catalyst
Endpoints 2960S/3K/4K/6K)

ISE


SGA Egress Enforcement
TrustSec §  Security Group FW Rule
§  Security Group ACL
WLC

Users, Catalyst
Nexus7k
Endpoints 2960S3K/4K/6K
(or Cat6k Sup2T)

Monitor Mode
ISE

SRC DST Prod Svr (111) Dev Svr (222)

Trader (10) Permit SG-ACL-B

Developer (20) Permit Permit

Production Servers Development
SRC DST HR DB (222)
(111) Servers (150)

Production
Permit all Deny All HR-SG-ACL
Servers (111)

Development
Deny All Permit All Deny All
Servers (150)
permit tcp dst eq 443
HR DB (222) Deny all
permit tcp dst Deny3389
eq All Permit All
permit tcp des eq 139
© 2010 Cisco and/or its affiliates. All rights reserved. deny ip Cisco Confidential 102

•  Port Profile – Nexus 1000V v2.1 (see notes for Nexus 5500 info)
•  Port mappings – dynamic policy
Configure a logical identifier on a switch port, e.g. ‘PCIServer’, the switch can
query ISE to determine the SGT for PCIServer
•  Port Mappings
Configure a static SGT value on a switch port
•  VLAN – SGT
Map all traffic from a VLAN into an SGT (Cat 3K-X, 6K today, N7K in v6.2)
•  IP to SGT mapping
Static IP address to-SGT mapping defined on a switch
ISE can manage and push to Nexus 7K, 5K or Catalyst 6K
•  Other options: subnet-SGT, L3 interface to SGT, 802.1X and MAB on
Catalyst platforms


Для
справки

USER/SYSTEM IDENTIFICATION & S.G.T. DEFINITION POLICY ENFORCEMENT
CLASSIFICATION SG-ACL POLICIES SG-ACL or SG-FW


Nexus 1000V Nexus 2000

Catalyst 6500
Catalyst 6500 Sup 2T

Catalyst 3k-X
Catalyst 4500

ISR Firewall
Catalyst 3k
Identity ASR Firewall
Catalyst Services
2960S Engine

ASA Firewall
WLC
В планах:

Catalyst 4k Sup7


Classification

Policy
Management Catalyst 2K Catalyst 4K Nexus 7000 Nexus 1000v
WLC (7.2)
Catalyst 3K Catalyst 6K Nexus 5000 (Q4CY12)

Identity Services Engine Enforcement

N7K / N5K Cat6K Cat3K-X ASA (SGFW) ASR1K/ISRG2
(SGACL) (SGACL) (SGACL) (SGFW)
WLAN LAN Remote
Access
(roadmap)

Transport
Cat 2K-S (SXP) N7K (SXP/SGT) ASR1K (SXP/SGT)
Cat 3K (SXP) N5K (SGT) ISR G2 (SXP)
Cat 3K-X (SXP/SGT) N1Kv (SXP) - Q4CY12 ASA (SXP)
AnyConnect Cat 4K (SXP)
(Attribute provider) Cat 6K Sup2T (SXP/SGT)


Data Center
Core Layer

Stateful Firewalling
Initial filter for all ingress and egress
DC
Aggregation
Layer

Stateful Firewalling
Additional Firewall Services for server
DC Service
farm specific protection Layer

DC Access
Layer
Server segmentation
IP-Based Access Control Lists
VLANs, Private VLANs Virtual Access

Physical Servers
Virtual Servers


Data Center
Core Layer

Security Group Firewalling
Автоматизация правил МСЭ используя
функции ASA SG-Firewall DC
Aggregation
Layer

Security Group Firewalling
Автоматизация правил МСЭ используя
DC Service
функции ASA SG-Firewall Layer

DC Access
Layer
Security Group ACLs
•  Сегментация, определенная в
таблице/матрице политик Virtual Access
•  Применяется на 7000/5500
независимо от топологии Physical Servers
Virtual Servers Устройство с поддержкой SGACL

Устройство с поддержкой SG Firewall


•  Постоянное виртуальное Server Zones

рабочее пространство Records Database Application
HR Portal

SGT = 30
•  Мобильные устройства VSG SGT = 20

управляются до того как будет
ASA 1000V
разрешен VDI доступ Nexus 1000V

•  Создавайте Серверные Зоны HVD Zones

для каждой группы виртуальных Contractor
IT Admin Employee Guest
машин
•  Профили портов применяют
политики VLAN, ACL, профили
безопасности для ASA и VSG ASA

•  Если уровень доступа
Network
поддерживает 802.1X,
назначайте SGT
•  NetFlow дает больше Contractor
Cisco AnyConnect

контекстной информации Guest

1

security-request@cisco.com

http://www.facebook.com/CiscoRu
http://twitter.com/CiscoRussia
http://www.youtube.com/CiscoRussiaMedia
http://www.flickr.com/photos/CiscoRussia
http://vkontakte.ru/Cisco


Спасибо за внимание!

Просим Вас заполнить анкеты!
Ваше мнение важно для нас!

Решения Cisco в области ИБ для центров обработки данных

More Related Content

What's hot

Similar to Решения Cisco в области ИБ для центров обработки данных

More from Cisco Russia

Решения Cisco в области ИБ для центров обработки данных