Решения Cisco для создания защищенного ЦОД

Алексе Лукацкий
Бизнес-консультант по безопасности
alukatsk@cisco.com
Решения Cisco
для создания
защищенного ЦОД

2© Корпорация Cisco и/или ее дочерние компании, 2015. Все права защищены. Конфиденциальная информация корпорации Cisco
Центры обработки данных требуют особого
подхода, но из тех же компонентов защиты
Стандартная защита периметра
Защита центра
обработки данных
Проверяется только симметричный трафик
Масштабируется статически для
прогнозируемого объема данных,
ограничена подключениями по периметру
Отслеживает входящий и исходящий трафик
Обычно развертывается в виде физического
устройства
Развертывание занимает несколько дней
или недель
Требует управления асимметричным
трафиком
Должна масштабироваться динамически
при всплесках трафика
Должна защищать трафик ЦОД
Требует как физических, так и виртуальных
решений
Должна быть развернута за часы или минуты

Развертывается там,
где это необходимо больше всего
необходимо
Внутренний трафик ЦОД
(«Восток-Запад»)
76 %
Внешний трафик ЦОД
(«Север-Юг»)
17 %
Трафик между ЦОД
7 %

Исключительная масштабируемость
каналов
Маршрутизаторы
нескольких восходящих
каналов (аплинков)
Множественные
физические каналы
Маршрутизация OSPF/BGP для быстрого
обнаружения сбоев
Множество путей
с равноценными затратами
(ECMP)
Полная поддержка
асимметричных потоков
Агрегация портов (EtherChannel)
LACP для динамического объединения каналов
и обнаружения сбоев

Кластер
Единый логический
межсетевой экран
Кластеризация с полным резервным
копированием состояния
vPC/VSS
Единый виртуальный
коммутатор
Virtual PortChannel (vPC) на Nexus
Виртуальная схема коммутации (VSS)
на Catalyst
Масштабируемость устройств
Полная отказоустойчивость
Расширенный Etherchannel с LACP для портов
Постоянная переадресация (NSF)
для OSPF/BGP
Резервные
коммутаторы
Резервные
межсетевые экраны

Масштабируемость площадок
Обработка
локального трафика
Мобильность
оконечных устройств
Расширение
сегментов VLAN
Overlay Transport Virtualization (OTV)
Кластеризация с сохранением
состояния подключения
Кластеризация с полным
резервным копированием
состояния
Подключения коммутаторов
с учетом узлов
Межузловая
кластеризация
Узел A Узел B
Вирт.
среда

Унифицированная платформа
Сервисы ACI
Пакет
данных
1001
0001011
1100010
1110
1001
0001011
1100010
1110
1001
0001011
1100010
1110
1001
0001011
1100010
1110
1001
0001011
1100010
1110
1001
0001011
1100010
1110
1001
0001011
1100010
1110
SSL
Тегирование
метаданных
Сервис 1 Сервис 2 FW IPS
Специали-
зированная
служба
безопас-
ности
Сценарии политик | Управление | Отчетность | Журналы | Аналитика

Гибкая масштабируемость
и производительность
По необходимости
обеспечивается
вертикальное
масштабирование
защиты в зависимости
от объема трафика.
16-канальное распределение
нагрузки с синхронизацией
состояния
Пул, объединяющий
физические устройства

Непревзойденная гибкость
APIC
Кластеризация с межсетевым экраном ASA * обеспечивает гибкое масштабирование
и высокую производительность
Автоматическое
горизонтальное
и вертикальное
масштабирование
в зависимости от
изменения трафика
Поддержка миллионов
параллельных
подключений
Управление до 16 МСЭ
в кластере как одним
логическим устройством
Преимущества
платформы ACI
Обеспечение
адаптации всех
межсетевых экранов
независимо
от их местоположения
использование
нужных ресурсов
в нужное время
*16-канальное распределение нагрузки с синхронизацией состояния (только для кластера физических устройств ASA).
Использование
предпочтительного
уровня проверки
Перемещение
ресурсов
с обеспечением
надежной защиты

APIC
Синхронизация состояния по всей распределенной сети
Карантин
независимо от их
местоположения
использование нужных
ресурсов в нужное
время
ресурсов

APIC
Полностью интегрированный пул ресурсовПреимущества
время
ресурсов

Выполнение полной проверки постоянно или выборочной проверки (по модулям)
Вариант 2.
Выборочная
проверка,
по сценарию
SSL IPS AMPFW
Вариант 1.
Полная проверка,
не по сценарию
ПРОВЕРКА
FW AMP
ПРОВЕРКА
ü
SSL IPS
SSL IPS AMPFW
Сценарий. Два устройства передают
неконфиденциальные данные
в надежно защищенном сегменте
время
ресурсов

Интегрированная защита
Надежная специализированная система безопасности, которая не замедлит вашу работу
Защитите внутренний трафик ЦОД,
не замедляя его работу
Автоматически задавайте приоритет событиям
с высокой степенью риска,
чтобы сфокусироваться на потенциальных угрозах
Защищайте важнейшие ресурсы в реальном
времени, включая специальные приложения,
критически важную инфраструктуру
и конфиденциальные данные
Устраняйте проблемы и адаптируйтесь,
эффективно выявляя и закрывая бреши

Лучший на рынке межсетевой экран
нового поколения ASA NGFW
Внедрение согласованной политики между виртуальными и физическими устройствами
Поддержка традиционных ЦОД и ЦОД нового поколения (SDN, NFV, ACI)
Полная интеграция с ACI — инициализация, оркестрация и управление на основе APIC
Виртуальный межсетевой экран Cisco ASAv
•  Полный набор функций ASA
•  Независимость от гипервизора
•  Независимый виртуальный коммутатор
•  Динамическая масштабируемость
Cisco ASA 5585-X с сервисами FirePOWER
•  Сервисы включают NGIPS, AMP, AVC,
фильтрацию URL-адресов
•  Пропускная способность до 640 Гбит/с
•  Межузловая кластеризация, 16 узлов
•  Управление кластерами как единым устройством

Система защиты от вторжений нового
поколения IPS FirePOWER
Простое добавление средств контроля
приложений, фильтрации URL-адресов и AMP
с дополнительными лицензиями на подписку
Лучшая система предотвращения вторжений
нового поколения
Отдельные форм-факторы для физических
и виртуальных устройств
Учет контекста в реальном времени
Высочайшая производительность
и масштабируемость
Комплексный мониторинг инфраструктуры
Обнаружение и проверка пользовательских
приложений

Вредоносное ПО
Клиентские приложения
Операционные системы
Мобильные устройства
Телефоны VolP
Маршрутизаторы и коммутаторы
Принтеры
Серверы
C & C
Сетевые
серверы
Комплексный трафик
Пользо-
ватели
Средства
передачи
файлов
Веб-приложения
Протоколы
Угрозы
Ни одно другое решение не обеспечивает
мониторинг такого уровня
Чем больше инфраструктуры вы видите,
тем лучшую защиту сможете обеспечить
Обычная система
обнаружения вторжений
Обычный межсетевой экран
нового поколения
Cisco ASA NGFW с системой Cisco FirePower NGIPS

Защита от усовершенствованного
вредоносного ПО Cisco AMP
0001110 1001 1101 1110011 0110011 101000 0110 00 0111000 111010011 101 1100001 110
1000111010011101 1100001110001110 1001 1101 1110011 0110011 101000 0110 00
0100001100001 1100 0111010011101 1100001110001110 1001 1101 1110011 0110011 101000 0110 00
Интернет
www
Оконечные
СетьЭлектрон-
ная почта
УстройстваIPS
Идентифицирующие метки
и метаданные файла
Обработка данных
Постоянное поступление данных
Непрерывный анализ
Файловый и сетевой ввод/вывод
Охват и контрольные точки
Поток телеметрических
данных
Talos + Threat Grid Intelligence
ТраекторияПоведенческие
индикаторы
компрометации
Поиск угрозРетроспек-
тивное
обнаружение

Представляем Firepower 9300
Обеспечение безопасности
с использованием
различных сервисов
•  Интеграция лучших в своем классе
функций безопасности
•  Динамическое совмещение сервисов
Возможности *
•  Модули Firepower Threat Defense
-  NGIPS, AMP, URL, Мониторинг
и контроль приложений (AVC)
•  Модуль ASA
-  МСЭ с сохранением состояния,
виртуальная частная сеть (VPN),
CGNAT
•  Модули сторонних разработчиков
-  Radware DDoS
-  Другие партнеры экосистемы
Высочайшая
производительность
Возможности
•  Компактный форм-фактор 3RU
•  Лучшая в отрасли производительность
-  Пропускная способность 240 Гбит
-  30 Гбит + на поток
-  Задержка менее 5 микросекунд
-  10G/40G I/O; поддержка 100G
-  Пропускная способность
магистрали измеряется в
терабитах
-  Кластер из пяти блоков мощностью
до 1,2 Тб
Модульная структура
•  Поддержка стандартов и совместимость
•  Гибкая архитектура
Возможности
•  Безопасность, основанная на шаблонах
•  Модульные функции безопасности для
пользовательских приложений
•  Интерфейс Restful/JSON API
•  Координация и управление устройствами
сторонних прозводителей
* Доступность сервисов уточняйте в компании Cisco.

Самое эффективное решение в отрасли
NGFW
Блокировка
и мониторинг
несанкционированного
доступа и активности
на уровнях L2–7
NGIPS
Обнаружение,
предотвращение
и реагирование
на угрозы для сети
в реальном времени
Фильтрация URL-
адресов
Ограничение доступа к
определенным сайтам,
а также отдельным
категориям сайтов
VPN
Защита как удаленных
пользователей,
так и межузловых
подключений
тщательного контроля
www
Интегрированная структура аналитических сервисов
Обработка аналитических данных для обеспечения более эффективного обнаружения,
повышения производительности и упрощения управления
AMP
Установление
и устранение брешей
и вредоносного ПО,
а также анализ и
разработка мер по
противодействию
Сторонний
разработчик
Открытый API-
интерфейс позволяет
использовать целый
ряд дополнительных
инструментов для
индивидуальной
защиты

1001
00010111
10001011
10
1001
00010111
10001011
10
1001
00010111
10001011
10
1001
00010111
10001011
10
1001
00010111
10001011
10
Система безопасности в прошлом:
разрозненная, неэффективная, дорогая
Пакет
данных
1001
00010111
10001011
10
1001
00010111
10001011
10
Платформа
DDoS
Платформа
SSL
Платформа
FW
Платформа
WAF
Платформа
IPS
Платформа
«песочница»
SSL
DDoS WAF
FW IPS
Песоч-
ница
Меньшая
эффективность
Увеличенная
задержка
Медленная работа
сети
Статический
и ручной режим

Cisco меняет подход
к интеграции сервисов безопасности
Пакет данных
1001
00010111
10001011
10
Платформа
DDoS
Платформа
SSL
Платформа
FW
Платформа
WAF
Платформа
IPS
Песочница
SSL
DDoS WAF
FW IPS
Песочни
ца
Недостаточная
Увеличенная задержка
Медленная работа
сети
Статический и ручной
режим
Пакет
данных
1001
0001011
1100010
1110
DDoS FW WAF NGIPSSSL AMP
Интеграция
Максимальная защита
Высокая
Масштабируемая
обработка
Динамичность
Разроз-
ненность
ОБОЗНАЧЕНИЕ
Сервис Cisco
Сервис стороннего
разработчика

А что дальше?
Интеграция аналитических сервисов
Маркер
метаданных
Пакет
данных
1001
0001011
1100010
1110
DDoS SSL WAF NGIPS AMPFW
Интеллектуальные маркеры
устраняют необходимость
в повторной проверке
Автоматизация функций
анализа данных безопасности
Оптимизация защиты за счет
динамического использования
сервисов
xxx
ОБОЗНАЧЕНИЕ
Сервис Cisco
Сервис
стороннего
разработчика

Революционное решение
в сфере обеспечения безопасности ЦОД
Превосходная защита
от угроз
Политика безопасности
согласована
с рабочими нагрузками
Гибкость
и экономическая
Высококлассный анализ
отраслевыми специалистами
и независимыми лабораториями
Единственная платформа NGIPS *,
по оценке Gartner,
с автоматизированным анализом
влияния угроз
Экосистема партнеров позволяет
предлагать дополнительные,
тесно интегрированные сервисы
безопасности (например, устранение
DDoS-атак)
Самая высокая эффективность
и плотность портов на единицу
высоты в стойке (RU) в отрасли
Отдельные устройства обеспечивают:
пропускную способность 240 Гбит/с —
30 Гбит/с + на поток, задержку
менее 5 микросекунд, поддержку
интерфейсов 100 Гбит/с
Хотите большего? Кластер из пяти
блоков мощностью до 1,2 Тбит/с
Внедрение согласованной
политики безопасности
в физических, виртуальных
и облачных топологиях
Firepower 9300 взаимодействует
с виртуальными устройствами
Cisco ASAv и NGIPSv
Переходите на SDN/ACI? Давайте
поговорим об оркестрации
и микросегментации
Защита инвестиций благодаря
сбалансированному сочетанию
аппаратного ускорителя
и комплексной оптимизации
процессора x86, что позволяет
работать с новыми протоколами
и устранять новые угрозы
Модульная архитектура для
модулей обеспечения безопасности
и интерфейсов
Низкая потребляемая мощность
Низкая задержка,
высокая скорость
* Доступность сервисов уточняйте в компании Cisco.

Эффективная
эксплуатация
Интегриро-
ванные
функции
безопасности
Расширенные
возможности
адаптации
Высокоскоростные,
масштабируемые функции
Динамическое совмещение
сервисов
Динамическая инициализация
в физических, виртуальных
и облачных средах
Автоматизированные
и согласованные политики
Низкие затраты на интеграцию
и сложность
Интерфейсы RESTful API
и интеграция инструментов
сторонних разработчиков
Лучшие в своем классе функции
безопасности =
Cisco + сторонние разработчики
Сервисы безопасности на одной
консолидированной платформе
Мониторинг и контроль
Преимущества устройства Firepower 9300,
ориентированного на защиту от угроз

Динамическое управление
Экономьте время благодаря интеллектуальному и последовательному управлению
Обеспечьте бесперебойную защиту всех
ресурсов ЦОД.
Повысьте эффективность защиты,
упростив создание и применение политик
Управляйте всем централизованно
с помощью одного контроллера *
и согласованных политик для пользователей
и приложений
* Только для функциональности ACI.

Технология безопасной инициализации
Trustsec
Главные устройства
Подчиненные
Кластер межсетевого
экрана Cisco ASA 5585-X
Cisco Security
Manager
Cisco UCS
Director
Физический
доступ
Вычисли-
тельные
ресурсы
СХД
Стек конвергентной
сети
vSphere
Приложение
ОС
ОС
ОС
ОС
Уровень 1
Cisco
Nexus
1000V
vSphere
ОС
ОС
ОС
ОС
Уровень 2
Cisco
Nexus
1000V
ОС
ОС
ОС
ОС
Уровень N
Cisco
Nexus
1000V
Vblocks/
FlexPods
Cisco
Nexus
Устройства,
управляемые
ИТ-отделом
Личные
Проводное
устройство
Беспроводное
устройство
Удаленный
пользователь
VPN
Identity
Services
Engine
Иденти-
фикация
пользова-
теля
Политики
на основе
ролей
Центр обработки
данных
Метки SG
Политики
Метки SG
Метки SG
Межсетевой экран ASA определяет новую
рабочую нагрузку и автоматически
применяет политику безопасности
Администратор назначает рабочую
нагрузку нужной группе. Коммутаторы
отправляют обновления карт политик
на устройства

Упрощенная инициализация APIC
Сложное ручное управление,
требующее много времени
Автоматизированное упрощенное
и эффективное управление
Межсетевой
экран
экран
экран
экран
APIC *
Политики
До После
Политики
экран
экран
экран
экран

Унифицированные операции ACI
Пункты
расположения
глобальных ЦОД
Традиционный
ЦОД
Нового
поколения
APIC *
Частное
облако
Виртуальная
среда
Физическая
среда
Виртуальная
среда
ФизическийФизический
Администрация ЦОД
Общедоступ-
ное облако
Центр
обработки
данных
Одинаковый
уровень защиты
Архитектор
данных
Админи-
стратор
хранения
Бизнес-
приложение
Разработчик

Интегрированные функции
безопасности ACI
Интегрированные функции
безопасности ACI
Сервисы на уровне L4–7
Решения Cisco для
обеспечения безопасности
Диаграмма сервисов
Cisco ACI Самый популярный
в мире NGFW
Самая признанная в мире
система NGIPS и система
обнаружения вторжений
Политика «белых списков», микросегментация
Автоматизация сервисов на уровне L4–L7
Распределенный МСЭ, несколько арендаторов
(уровень L4)
ASA/FirePOWER/AMP
Глубокий экспертный анализ
Динамический карантин рабочих нагрузок
Расширенный фнукционал защиты благодаря
возможностям ASA, FirePOWER, AMP

Упрощение процессов
сдерживания угроз
и сегментации доступа
пользователей
Централизованное
устранение рисков
самых современных
ЦОД
Ориентированная
на приложения
архитектура
Cisco ACI
Автоматизация за счет
применения единой политики
Физическая, виртуальная
и модульная среда
Интегрированный
функционал защиты
на основе открытых
стандартов
Безопасность уже
повсеместна

Упрощение
процессов
и сегментации
доступа
ЦОД
Точная сегментация на основе политик обеспечивает различные уровни детализации
Увеличение уровня сегментации
ПРОИЗВО-
ДСТВЕННЫЙ
ОБЪЕКТ
ДМЗ
ОБЩИЕ
СЕРВИСЫ
Базовая
сегментация сети
ЦОД
БАЗОВАЯ
РАЗРА-
БОТКА
ТЕСТИ-
РОВА-
НИЕ
ПРОИЗ-
ВОДСТВО
Сегментация
жизненного цикла
ВЕБ
ПРИЛО-
ЖЕНИЕ
БД
Микросегментация
на уровне
сервисов
Уровень
сервисовНа уровне
сети
на уровне сети
VLAN 1 VXLAN 2
VLAN 3 Микросегментация
Intra-EPG
ВЕБ
ВЕБ
Intra-
EPG
модулей
VM
OVS/OpFlex
Уровень
модулей
Новое/в разработке

Упрощение процессов
и сегментации доступа
ЦОД
Надежная и безопасная платформа оркестрации
Безопасный процесс
разработки и проверки
Безопасный доступ
Безопасное оконечное
устройство с северным
интерфейсом REST API
Параметры функций
по умолчанию
Настраиваемые
пользователем параметры
функций безопасности
Безопасный графический
веб-интерфейс
пользователя
APIC
Контроллер
с централизованным
управлением
и интегрированными
функциями безопасности

Согласованное
и автоматизированное
управление функциями
Более быстрое
обнаружение угроз
и разработка ответных
мер
Более эффективные
и простые
демонстрации
соответствия
требованиям
Детальный мониторинг сетевых операций
Прило-
жение
Прило-
жение
Прило-
жение
Прило-
жение
Прило-
жение
Прило-
жение
Прило-
жение
APP
Прило-
жение
Прило-
жение
Прило-
жение
Прило-
жение
Прило-
жение
Прило-
жение
Раньше Сейчас
ü
ü
ü
ü
ПРОВЕРКА
СООТВЕТСТВИЯ
ТРЕБОВАНИЯМ
ü
ü
ü
ü
ПРОВЕРКА
ü
ü
ü
ü
ПРОВЕРКА
ü
ü
ü
ü
ПРОВЕРКА
ü
ü
ü
ü
ПРОВЕРКА
ü
ü
ü
ü
ПРОВЕРКА
ü
ü
ü
ü
ПРОВЕРКА
ü
ü
ü
ü
ПРОВЕРКА
ü
ü
ü
ü
ПРОВЕРКА
ü
ü
ü
ü
ПРОВЕРКА
ü
ü
ü
ü
ПРОВЕРКА
ПРОВЕРКА СООТВЕТСТВИЯ
APIC
ü
ü
ü
ü

Согласованное и
автоматизированное
управление
функциями
и разработка ответных
мер
и простые
Комплексный подход на основе политик
Жизненный цикл
ресурсов
Инициализация
Выделение ресурсов безопасности
вместе с другими ресурсами
Мониторинг
Автоматическое применение политик,
даже при перемещении рабочих
нагрузок
Удаление политик
Автоматическое удаление связанных
правил и политик

Прозрачность на уровне сетевой фабрики и глубокий экспертный анализ
и автоматизированное
управление функциями
и разработка
ответных мер
и простые возможности
Каким образом проник
вирус?
ü
На каких еще устройствах
он может быть?
Как долго он уже здесь?
Как его устранить?
ü
ü
ü
Устранение угроз
Обеспечение прозрачности,
необходимой для быстрого анализа и ответных мер
Предупре-
ждение
Инфицированные
Устранение
последствий
Действие

Комплексный
мониторинг сети
от удаленного
периметра
до ядра ЦОД
Непревзойденный
мониторинг
управление
Согласованные
политики для сети,
ЦОД и рабочих
нагрузок
Преодоление
сложностей
Уменьшение числа
разрозненных
ИТ-решений, быстрая
реализация новых
возможностей
и бизнес-моделей
Обнаружение
и устранение
усовершенствованных
угроз в филиале,
облаке и сети
Защита от
усовершенство-
ванных угроз
Конкурентные преимущества Cisco

Благодарим
за внимание!

Решения Cisco для создания защищенного ЦОД

Решения Cisco для создания защищенного ЦОД

More Related Content

What's hot

Viewers also liked

Similar to Решения Cisco для создания защищенного ЦОД

More from Cisco Russia

Решения Cisco для создания защищенного ЦОД