SlideShare a Scribd company logo

PLNOG 13: Gaweł Mikołajczyk: Data Center Security in 2014

PROIDEA
PROIDEA

Gaweł Mikołajczyk graduated from Warsaw University of Technology. He is the Security Systems Consultant in EMEA Core Borderless Networks Team at Cisco. He holds numerous industry certificates, including CCIE #24987, CISSP-ISSAP, CISA, C|EH. Gaweł is s frequent speaker at ICT Conferences, such as Cisco Live! Europe, PLNOG, EuroNOG, CONFidence, Cisco Cisco Expo and Cisco Forum. Topics of his presentations are related to network security. His main interests include integrated security, identity and related issues. Before Gaweł has joined Cisco, he was the UNIX System Administrator and System Engineer at one of the leading system integrators in Poland. He is also a Cisco Networking Academy Instructor. Topic of Presentation: Data Center Security in 2014 Language: Polish Abstract: Data Centres today are facing a massive transformation, from autonomous and disparate sets of network entities to SDN-controlled infrastructural complex. New brave ideas are being developed, with security implications, leading the Networking Industry towards a complete orchestration of highly scalable environments. One example of such approach is ACI – Application-Centric Infrastructure. This session will propose a holistic approach towards threat management for Data Center-hosted critical applications. The mechanisms and technologies for threat protection will be presented, following the threat continuum model – for before, during and after the attack. During the talk, will give a glimpse of an end-to-end Cisco-validated solution for the Secure Data Center Threat Management, which includes technologies and ideas originally developed by Sourcefire, creators of SNORT, now part of Cisco.

Internet
1 of 65
Download to read offline
Bezpieczeństwo Data Center Gaweł Mikołajczyk gmikolaj@cisco.com Security Technical Solutions Architect CCIE #24987, CISSP-ISSAP, CISA, C|EH PLNOG13, September30, 2014, Kraków, Poland Anno Domini 2014
© 2014 Cisco Public 2
© 2014 Cisco Public 3http://plnog.pl/spotkanie-8-marzec/materialy http://www.youtube.com/watch?v=KocInCI4au0 • Bezpieczeństwo L2 • Segmentacja N-S • Segmentacja E-W • RBAC • Service Sandwich • FW | LB | IPS | NAM • Multitenant VMDC • TrustSec intro • Widoczność per VM Marzec 2012
© 2014 Cisco Public 4http://plnog.pl/spotkanie-9-pazdziernik/materialy-2013-krakow http://www.youtube.com/watch?v=Wq_Da2buTTw • Firewall Clustering • Virtual Tenant Edge Firewall • Cloud Services Routing intro • Segmentacja overlay z TrustSec • ASA1000V • VSG • Nexus1000V • vPath Październik 2012
© 2014 Cisco Public 5http://plnog.pl/spotkanie-10-luty/materialy http://www.youtube.com/watch?v=4StQjVaDwVQ • SDNizing the DC • Virtual DC Security • VXLAN • vPath • Service Chaining • N1kV dla Hyper-V • N1kV dla KVM (ß) • N1kV InterCloud • CSR1000V –Cloud Services Router – -IOS-XE architecture -MPLS use case -FlexVPN use case Luty 2013
© 2014 Cisco Public 6 http://plnog.pl/spotkanie-11-wrzesien/materialy https://www.youtube.com/watch?v=G69J9AtV6GY • TrustSec solution • Classification • Propagation • Enforcement • Policy BuildingBlocks • Centralizationwith ISE • OverlaySXP Transport • InlineSGT Transport • SGT in L2 Networks • SGT for IPSec: • DMVPN • GETVPN • 802.1AE Encryption • SGACL | SGFW Wrzesień 2013
© 2014 Cisco Public 7 Co zrobiłbyś inaczej, gdybyś wiedział że Twoje DC zostanie skompromitowane?
© 2014 Cisco Public 8 Delta czasowa Włamanie/Wykrycie nie poprawia się Source: Verizon 2014 Data Breach Investigations Report
© 2014 Cisco Public 9Widoczność i kontekst Firewall NGFW NAC + usługi Identity VPN UTM NGIPS Web Security Email Security Advanced Malware Protection Behawioralna analiza sieciowa Continuum ochrony zasobów krytycznych w DCBEFORE Kontrola WymuszenieWzmocnienieAFTER Określenie zakresu RemediacjaCykl ataku/obrony Wykrycie Blokowanie ObronaDURING IncidentResponse
© 2014 Cisco Public 10 BEFORE| DURING | AFTER
© 2014 Cisco Public 11 Klastrowaniefirewalli Do 320/640Gbps rzeczywistej/ maksymalnej przepustowości, 96M conns 2.8M CPS 32 aktywnych portów w Spanned Etherchannelz Nexus vPC 16 aktywnych portów StandaloneEtherchannel BEFORE: Segmentacja i filtrowanie
© 2014 Cisco Public 12Cluster Control Link (CCL) Sesja TCP: Ruch symetrycznyDirectorOwnerKlientSerwer SYN SYN 1) State Update •Replikacja stanu z Ownera do Directora służy również jako wiadomość failover •Directorjest wybierany per połączenie z użyciem spójnego mechanizmu hashowania SYN/ACK SYN/ACKMordorSieć DC
© 2014 Cisco Public 13Cluster Control Link (CCL) Sesja TCP: Ruch AsymetrycznyTCP SYN cookies z asymetrycznym rozkładem ruchuDirectorOwnerKlientSerwer SYN SYN 1)Encodes the owner information into SYN cookies 2)forwards SYN packet encoded with the cookie toward the server SYN/ACK SYN/ACKMordorSieć DC 3) SYN/ACK arrives at non-owner unit 4) decodes the owner information from the SYN cookie 5) forward packet to the owner unit over CCL SYN/ACK 1) State Update
© 2014 Cisco Public 14Cluster Control Link (CCL) Sesja UDP:Ruch AsymetrycznyDirectorOwnerKlientSerwer 1) Owner Query •Urządzenie odpytuje directorao flowUDP którego nie jest Ownerem •Krótkie flowy(DNS, ICMP) nie mają forwarderaMordorSieć DC 4) Owner Query ? 5) Here is the Owner ID 2) Not Found 3) State Update
© 2014 Cisco Public 15Cluster Control Link (CCL) Sesja TCP: Scenariusz awariiASA Failover RecoverySesjiOwnerKlientSerwer •Director urzymujebackup stub flow •Przekierowuje urządzenia do Ownera •Jeżeli Ownerulega awarii, Directorwymiera nowego OwneraMordorSieć DCASA XASA Y 1) Owner Query ? 1) Owner Query ? 3) You are onwer 4) The Owner is ASA X Director
© 2014 Cisco Public 16Cluster Control Link (CCL) Sesja TCP: Scenariusz awariiASA Failover RecoverySesjiOwnerClientServerMordorSieć DCASA Y Packet M+1 Packet MDirector •Director urzymujebackup stub flow •Przekierowuje urządzenia do Ownera •Jeżeli Ownerulega awarii, Directorwymiera nowego Ownera
© 2014 Cisco Public 17 W Krainie Wysokich Elfów: Geo-Clustering slot 1 slot 2 slot 3 slot 4 slot 5 slot 6 slot 7 slot 8 blade1 blade2 blade3 blade4 blade5 blade6 blade7 blade8 slot 1 slot 2 slot 3 slot 4 slot 5 slot 6 slot 7 slot 8 blade1 blade2 blade3 blade4 blade5 blade6 blade7 blade8 slot 1 slot 2 slot 3 slot 4 slot 5 slot 6 slot 7 slot 8 blade1 blade2 blade3 blade4 blade5 blade6 blade7 blade8 slot 1 slot 2 slot 3 slot 4 slot 5 slot 6 slot 7 slot 8 blade1 blade2 blade3 blade4 blade5 blade6 blade7 blade8 slot 1 slot 2 slot 3 slot 4 slot 5 slot 6 slot 7 slot 8 blade1 blade2 blade3 blade4 blade5 blade6 blade7 blade8 slot 1 slot 2 slot 3 slot 4 slot 5 slot 6 slot 7 slot 8 blade1 blade2 blade3 blade4 blade5 blade6 blade7 blade8 Data Center 1 Data Center 2 Tworzenie Klastra ASAMulti-Site Wbudowane mechanizmy obsługi ruchu asymetrycznego. Ta sama podsieć skonfigurowana po we wszystkich DC, ale zlokalizowana. GW Migracja workloadów …aktywne połączenia są utrzymywane przez klaster Urządzenia ASA w każdym DC …jako część infrastruktury bezpieczeństwa, zunifikowana konfiguracja i polityki, CCL przeniesiony przez DCI Klaster ASA …formuje się z urządzeń we wszystkich DC, loadbalancingbezstanowy bazujący na mechanizmach routing lub switchingDCI GW
© 2014 Cisco Public 18IP 1.1.1.1IP 1.1.1.2IP 1.1.1.3IP 1.1.1.4OutsideInsideIP 1.1.2.1IP 1.1.2.2IP 1.1.2.3IP 1.1.2.4 Tryb Indywidualnych InterfejsówDCI PublicCCL OSPF peers 1.1.4.x OSPF peers 1.1.3.x slot 1 slot 2 slot 3 slot 4 slot 5 slot 6 slot 7 slot 8 blade1 blade2 blade3 blade4 blade5 blade6 blade7 blade8 slot 1 slot 2 slot 3 slot 4 slot 5 slot 6 slot 7 slot 8 blade1 blade2 blade3 blade4 blade5 blade6 blade7 blade8 slot 1 slot 2 slot 3 slot 4 slot 5 slot 6 slot 7 slot 8 blade1 blade2 blade3 blade4 blade5 blade6 blade7 blade8 slot 1 slot 2 slot 3 slot 4 slot 5 slot 6 slot 7 slot 8 blade1 blade2 blade3 blade4 blade5 blade6 blade7 blade8 slot 1 slot 2 slot 3 slot 4 slot 5 slot 6 slot 7 slot 8 blade1 blade2 blade3 blade4 blade5 blade6 blade7 blade8 slot 1 slot 2 slot 3 slot 4 slot 5 slot 6 slot 7 slot 8 blade1 blade2 blade3 blade4 blade5 blade6 blade7 blade8 ASA tworzą indywidualne Relacje OSPF Data Center 1 Data Center 2 Zlokalizowany First-Hop HSRP Router jest pierwszym przekokiemdla środowiska DC, emuluje te same IP/MAC w DC Active/Active Cluster Control Link ASAutrzymują stan i forwardująruch do właściciela w przypadku asymetrii / migracji workloadów Routing dynamiczny Rozrzucanie ruchu przez ECMP Routery sąsiadują przez DCI Trasa o wyższym koszcie do drugiego DC wspiera scenariusze awarii w obrębie jednego DC GW GW 9.1.4 Migracja workloadów …aktywne połączenia są utrzymywane przez klaster
© 2014 Cisco Public 19 Wymagania na transport CCL(Cluster Control Link) Dark Media = Każde medium które transportuje ruch unicast/broadcast traffic pomiędzy urządzeniami ASA w tym samym klastrze DCI over dark media może być L2 extension, OTV lub Fabric Path Dark Media DCI musispełniać wymagania: Mniej niż 20msec RTT pomiędzy Data Centers Bez utraty pakietów na łączu ASA Control Plane (CCL) Bez Re-OrderinguPakietów ASA Cluster Control Link (CCL VLAN) jest rozciągnięty przez DCI ASA Data Link VLANs NIEsą rozciągnięte przez DCI
© 2014 Cisco Public 20OutsideInside Geoclusteringw trybie IndividualMode(1/6) DCI PublicCCL OSPF peers OSPF peers slot 1 slot 2 slot 3 slot 4 slot 5 slot 6 slot 7 slot 8 blade1 blade2 blade3 blade4 blade5 blade6 blade7 blade8 slot 1 slot 2 slot 3 slot 4 slot 5 slot 6 slot 7 slot 8 blade1 blade2 blade3 blade4 blade5 blade6 blade7 blade8 slot 1 slot 2 slot 3 slot 4 slot 5 slot 6 slot 7 slot 8 blade1 blade2 blade3 blade4 blade5 blade6 blade7 blade8 slot 1 slot 2 slot 3 slot 4 slot 5 slot 6 slot 7 slot 8 blade1 blade2 blade3 blade4 blade5 blade6 blade7 blade8 slot 1 slot 2 slot 3 slot 4 slot 5 slot 6 slot 7 slot 8 blade1 blade2 blade3 blade4 blade5 blade6 blade7 blade8 slot 1 slot 2 slot 3 slot 4 slot 5 slot 6 slot 7 slot 8 blade1 blade2 blade3 blade4 blade5 blade6 blade7 blade8 Data Center 1 Data Center 2 GW GW ASA Owner Urządzenie które pierwsze otrzyma ruch, staje się właścicielem flow(Owner)
© 2014 Cisco Public 21OutsideInside Geoclusteringw trybie IndividualMode(2/6) DCI PublicCCL OSPF peers OSPF peers slot 1 slot 2 slot 3 slot 4 slot 5 slot 6 slot 7 slot 8 blade1 blade2 blade3 blade4 blade5 blade6 blade7 blade8 slot 1 slot 2 slot 3 slot 4 slot 5 slot 6 slot 7 slot 8 blade1 blade2 blade3 blade4 blade5 blade6 blade7 blade8 slot 1 slot 2 slot 3 slot 4 slot 5 slot 6 slot 7 slot 8 blade1 blade2 blade3 blade4 blade5 blade6 blade7 blade8 slot 1 slot 2 slot 3 slot 4 slot 5 slot 6 slot 7 slot 8 blade1 blade2 blade3 blade4 blade5 blade6 blade7 blade8 slot 1 slot 2 slot 3 slot 4 slot 5 slot 6 slot 7 slot 8 blade1 blade2 blade3 blade4 blade5 blade6 blade7 blade8 slot 1 slot 2 slot 3 slot 4 slot 5 slot 6 slot 7 slot 8 blade1 blade2 blade3 blade4 blade5 blade6 blade7 blade8 OSPF Peers Data Center 1 Data Center 2 GW GW OSPF Peers
© 2014 Cisco Public 22OutsideInside Geoclusteringw trybie IndividualMode(3/6) DCI PublicCCL OSPF peers OSPF peers slot 1 slot 2 slot 3 slot 4 slot 5 slot 6 slot 7 slot 8 blade1 blade2 blade3 blade4 blade5 blade6 blade7 blade8 slot 1 slot 2 slot 3 slot 4 slot 5 slot 6 slot 7 slot 8 blade1 blade2 blade3 blade4 blade5 blade6 blade7 blade8 slot 1 slot 2 slot 3 slot 4 slot 5 slot 6 slot 7 slot 8 blade1 blade2 blade3 blade4 blade5 blade6 blade7 blade8 slot 1 slot 2 slot 3 slot 4 slot 5 slot 6 slot 7 slot 8 blade1 blade2 blade3 blade4 blade5 blade6 blade7 blade8 slot 1 slot 2 slot 3 slot 4 slot 5 slot 6 slot 7 slot 8 blade1 blade2 blade3 blade4 blade5 blade6 blade7 blade8 slot 1 slot 2 slot 3 slot 4 slot 5 slot 6 slot 7 slot 8 blade1 blade2 blade3 blade4 blade5 blade6 blade7 blade8 OSPF Peers Data Center 1 Data Center 2 GW GW OSPF Peers Nowy właściciel Urządzenie które pierwsze otrzyma ruch z istniejącego flow, odpytuje Directorai staje się Ownerem.
© 2014 Cisco Public 23OutsideInside Geoclusteringw trybie IndividualMode(4/6) DCI PublicCCL OSPF peers OSPF peers slot 1 slot 2 slot 3 slot 4 slot 5 slot 6 slot 7 slot 8 blade1 blade2 blade3 blade4 blade5 blade6 blade7 blade8 slot 1 slot 2 slot 3 slot 4 slot 5 slot 6 slot 7 slot 8 blade1 blade2 blade3 blade4 blade5 blade6 blade7 blade8 slot 1 slot 2 slot 3 slot 4 slot 5 slot 6 slot 7 slot 8 blade1 blade2 blade3 blade4 blade5 blade6 blade7 blade8 slot 1 slot 2 slot 3 slot 4 slot 5 slot 6 slot 7 slot 8 blade1 blade2 blade3 blade4 blade5 blade6 blade7 blade8 slot 1 slot 2 slot 3 slot 4 slot 5 slot 6 slot 7 slot 8 blade1 blade2 blade3 blade4 blade5 blade6 blade7 blade8 slot 1 slot 2 slot 3 slot 4 slot 5 slot 6 slot 7 slot 8 blade1 blade2 blade3 blade4 blade5 blade6 blade7 blade8 OSPF Peers Data Center 1 Data Center 2 GW GW OSPF Peers Reroutingdo DC-2 Zewnętrzne protokoły routingu mogą unikać DC-1 Najnowszy FlowOwner Urządzenie w DC-2 odpytuje Directorai staje się Owneremistniejącego flow
© 2014 Cisco Public 24OutsideInside Geoclusteringw trybie IndividualMode(5/6) DCI PublicCCL OSPF peers OSPF peers slot 1 slot 2 slot 3 slot 4 slot 5 slot 6 slot 7 slot 8 blade1 blade2 blade3 blade4 blade5 blade6 blade7 blade8 slot 1 slot 2 slot 3 slot 4 slot 5 slot 6 slot 7 slot 8 blade1 blade2 blade3 blade4 blade5 blade6 blade7 blade8 slot 1 slot 2 slot 3 slot 4 slot 5 slot 6 slot 7 slot 8 blade1 blade2 blade3 blade4 blade5 blade6 blade7 blade8 slot 1 slot 2 slot 3 slot 4 slot 5 slot 6 slot 7 slot 8 blade1 blade2 blade3 blade4 blade5 blade6 blade7 blade8 slot 1 slot 2 slot 3 slot 4 slot 5 slot 6 slot 7 slot 8 blade1 blade2 blade3 blade4 blade5 blade6 blade7 blade8 slot 1 slot 2 slot 3 slot 4 slot 5 slot 6 slot 7 slot 8 blade1 blade2 blade3 blade4 blade5 blade6 blade7 blade8 OSPF Peers Data Center 1 Data Center 2 GW GW OSPF Peers
© 2014 Cisco Public 25OutsideInside Geoclusteringw trybie IndividualMode(6/6) DCI PublicCCL OSPF peers OSPF peers slot 1 slot 2 slot 3 slot 4 slot 5 slot 6 slot 7 slot 8 blade1 blade2 blade3 blade4 blade5 blade6 blade7 blade8 slot 1 slot 2 slot 3 slot 4 slot 5 slot 6 slot 7 slot 8 blade1 blade2 blade3 blade4 blade5 blade6 blade7 blade8 slot 1 slot 2 slot 3 slot 4 slot 5 slot 6 slot 7 slot 8 blade1 blade2 blade3 blade4 blade5 blade6 blade7 blade8 slot 1 slot 2 slot 3 slot 4 slot 5 slot 6 slot 7 slot 8 blade1 blade2 blade3 blade4 blade5 blade6 blade7 blade8 slot 1 slot 2 slot 3 slot 4 slot 5 slot 6 slot 7 slot 8 blade1 blade2 blade3 blade4 blade5 blade6 blade7 blade8 slot 1 slot 2 slot 3 slot 4 slot 5 slot 6 slot 7 slot 8 blade1 blade2 blade3 blade4 blade5 blade6 blade7 blade8 OSPF Peers Data Center 1 Data Center 2 GW GW OSPF Peers OTV …Router użyje OTV by przekierować przychodzący z zewnątrz flowdo VM w DC-1 Przekierowanie do Ownera Znane połączenia są przekierowane do Owneradanego flow First Hop w obrębie DC …na wyjściu z VM przełączniki przekażą ruch do lokalnego GW w DC-1
© 2014 Cisco Public 26 OutsideInside Tryb Spanned–Firewall TransparentnyDCI PublicCCL OSPF peers 1.1.3.x/24 OSPF peers 1.1.4.x/24 slot 1 slot 2 slot 3 slot 4 slot 5 slot 6 slot 7 slot 8 blade1 blade2 blade3 blade4 blade5 blade6 blade7 blade8 slot 1 slot 2 slot 3 slot 4 slot 5 slot 6 slot 7 slot 8 blade1 blade2 blade3 blade4 blade5 blade6 blade7 blade8 slot 1 slot 2 slot 3 slot 4 slot 5 slot 6 slot 7 slot 8 blade1 blade2 blade3 blade4 blade5 blade6 blade7 blade8 slot 1 slot 2 slot 3 slot 4 slot 5 slot 6 slot 7 slot 8 blade1 blade2 blade3 blade4 blade5 blade6 blade7 blade8 slot 1 slot 2 slot 3 slot 4 slot 5 slot 6 slot 7 slot 8 blade1 blade2 blade3 blade4 blade5 blade6 blade7 blade8 slot 1 slot 2 slot 3 slot 4 slot 5 slot 6 slot 7 slot 8 blade1 blade2 blade3 blade4 blade5 blade6 blade7 blade8 Data Center 1 Data Center 2 GW GW OSPF Peers 1.1.2.x/24 OSPF peers 1.1.1.x/24 RouterypeerująEIGRP/OSPF …bezpośrednio między sobą, transparentnie przez klaster ASA, który nie bierze udziału w relacjach routingu ASA Bridge-Group …wspiera 4 interfejsy / VLAN per domenę rozgłoszeniową. Jedno BVI per dzierżawca. Wirtualny kontekst kliencki …ta sama bridge-groupwidzi ruch kliencki we wszystkich DC, VLANyzostają lokalne per site. Emulacja tych samych MAC-A …na routerach, aby przedstawiać się klastrowi ASA jako ten sam next-hop externalrouter. To samo na wewnętrznych routerach MAC-B MAC- B MAC- B MAC- A MAC- A 9.2.1
© 2014 Cisco Public 27 Wyzwanie dla klastrowania: LACP umożliwia relację agregacji interfejsów między dwoma urządzeniami, zgodnie ze specyfikacją IEEE Wymaganie: wsparcie dla LACP między wieloma (do 16) urządzeń ASA podłączonymi do jednego lub pary przełączników VPC/VSS Rekonfiguracja wiązki Etherchanneli ochrona przed blackholingiemruchu w przypadku awarii łącza lub urządzenia cLACPwspiera notyfikację dla cluster Control-Plane o zmianie statusu łączy w wiązce Etherchanneli dostarcza monitorowania stanu zdrowia cLACPrecoverypomiędzy urządzeniami ASA w przypadku opuszczenia klastra przez ASA Cluster Master cLACPjest adekwatny tylko dla trybu L2 pomiędzy klastrem ASA a switchem/switchamiupstream(vPCor VSS) Innowacja: clusteredLACP (cLACP)
© 2014 Cisco Public 28 OutsideInside Geoclusteringw Trybie Spanned–Transparentnym (1/5) DCI PublicCCL OSPF peers OSPF peers slot 1 slot 2 slot 3 slot 4 slot 5 slot 6 slot 7 slot 8 blade1 blade2 blade3 blade4 blade5 blade6 blade7 blade8 slot 1 slot 2 slot 3 slot 4 slot 5 slot 6 slot 7 slot 8 blade1 blade2 blade3 blade4 blade5 blade6 blade7 blade8 slot 1 slot 2 slot 3 slot 4 slot 5 slot 6 slot 7 slot 8 blade1 blade2 blade3 blade4 blade5 blade6 blade7 blade8 slot 1 slot 2 slot 3 slot 4 slot 5 slot 6 slot 7 slot 8 blade1 blade2 blade3 blade4 blade5 blade6 blade7 blade8 slot 1 slot 2 slot 3 slot 4 slot 5 slot 6 slot 7 slot 8 blade1 blade2 blade3 blade4 blade5 blade6 blade7 blade8 slot 1 slot 2 slot 3 slot 4 slot 5 slot 6 slot 7 slot 8 blade1 blade2 blade3 blade4 blade5 blade6 blade7 blade8 Data Center 1 Data Center 2 GW GW OSPF Peers OSPF peers Właściciel flow(Owner) …SYN ląduje na urządzeniu i staje się ono OwneremFlow MAC- B MAC- B MAC- A MAC- A
© 2014 Cisco Public 29 OutsideInside Geoclusteringw Trybie Spanned–Transparentnym (2/5) DCI PublicCCL OSPF peers OSPF peers slot 1 slot 2 slot 3 slot 4 slot 5 slot 6 slot 7 slot 8 blade1 blade2 blade3 blade4 blade5 blade6 blade7 blade8 slot 1 slot 2 slot 3 slot 4 slot 5 slot 6 slot 7 slot 8 blade1 blade2 blade3 blade4 blade5 blade6 blade7 blade8 slot 1 slot 2 slot 3 slot 4 slot 5 slot 6 slot 7 slot 8 blade1 blade2 blade3 blade4 blade5 blade6 blade7 blade8 slot 1 slot 2 slot 3 slot 4 slot 5 slot 6 slot 7 slot 8 blade1 blade2 blade3 blade4 blade5 blade6 blade7 blade8 slot 1 slot 2 slot 3 slot 4 slot 5 slot 6 slot 7 slot 8 blade1 blade2 blade3 blade4 blade5 blade6 blade7 blade8 slot 1 slot 2 slot 3 slot 4 slot 5 slot 6 slot 7 slot 8 blade1 blade2 blade3 blade4 blade5 blade6 blade7 blade8 Data Center 1 Data Center 2 GW GW OSPF Peers OSPF peers MAC- B MAC- B MAC- A MAC- A Nowy Owner Urządzenie które pierwsze otrzyma ruch odpytuje Directorai staje się Ownerem
© 2014 Cisco Public 30 OutsideInside Geoclusteringw Trybie Spanned–Transparentnym (3/5) DCI PublicCCL OSPF peers OSPF peers slot 1 slot 2 slot 3 slot 4 slot 5 slot 6 slot 7 slot 8 blade1 blade2 blade3 blade4 blade5 blade6 blade7 blade8 slot 1 slot 2 slot 3 slot 4 slot 5 slot 6 slot 7 slot 8 blade1 blade2 blade3 blade4 blade5 blade6 blade7 blade8 slot 1 slot 2 slot 3 slot 4 slot 5 slot 6 slot 7 slot 8 blade1 blade2 blade3 blade4 blade5 blade6 blade7 blade8 slot 1 slot 2 slot 3 slot 4 slot 5 slot 6 slot 7 slot 8 blade1 blade2 blade3 blade4 blade5 blade6 blade7 blade8 slot 1 slot 2 slot 3 slot 4 slot 5 slot 6 slot 7 slot 8 blade1 blade2 blade3 blade4 blade5 blade6 blade7 blade8 slot 1 slot 2 slot 3 slot 4 slot 5 slot 6 slot 7 slot 8 blade1 blade2 blade3 blade4 blade5 blade6 blade7 blade8 Data Center 1 Data Center 2 GW GW OSPF Peers OSPF peers MAC- B MAC- B MAC- A MAC- A Najnowszy FlowOwner Urządzenie w DC-2 odpytuje Directorai staje się Owneremistniejącego flow
© 2014 Cisco Public 31 OutsideInside Geoclusteringw Trybie Spanned–Transparentnym (4/5) DCI PublicCCL OSPF peers OSPF peers slot 1 slot 2 slot 3 slot 4 slot 5 slot 6 slot 7 slot 8 blade1 blade2 blade3 blade4 blade5 blade6 blade7 blade8 slot 1 slot 2 slot 3 slot 4 slot 5 slot 6 slot 7 slot 8 blade1 blade2 blade3 blade4 blade5 blade6 blade7 blade8 slot 1 slot 2 slot 3 slot 4 slot 5 slot 6 slot 7 slot 8 blade1 blade2 blade3 blade4 blade5 blade6 blade7 blade8 slot 1 slot 2 slot 3 slot 4 slot 5 slot 6 slot 7 slot 8 blade1 blade2 blade3 blade4 blade5 blade6 blade7 blade8 slot 1 slot 2 slot 3 slot 4 slot 5 slot 6 slot 7 slot 8 blade1 blade2 blade3 blade4 blade5 blade6 blade7 blade8 slot 1 slot 2 slot 3 slot 4 slot 5 slot 6 slot 7 slot 8 blade1 blade2 blade3 blade4 blade5 blade6 blade7 blade8 Data Center 1 Data Center 2 GW GW OSPF Peers OSPF peers MAC- B MAC- B MAC- A MAC- A Najnowszy FlowOwner Urządzenie w DC-2 odpytuje Directorai staje się Owneremistniejącego flow
© 2014 Cisco Public 32 OutsideInside Geoclusteringw Trybie Spanned–Transparentnym (5/5) DCI PublicCCL OSPF peers OSPF peers slot 1 slot 2 slot 3 slot 4 slot 5 slot 6 slot 7 slot 8 blade1 blade2 blade3 blade4 blade5 blade6 blade7 blade8 slot 1 slot 2 slot 3 slot 4 slot 5 slot 6 slot 7 slot 8 blade1 blade2 blade3 blade4 blade5 blade6 blade7 blade8 slot 1 slot 2 slot 3 slot 4 slot 5 slot 6 slot 7 slot 8 blade1 blade2 blade3 blade4 blade5 blade6 blade7 blade8 slot 1 slot 2 slot 3 slot 4 slot 5 slot 6 slot 7 slot 8 blade1 blade2 blade3 blade4 blade5 blade6 blade7 blade8 slot 1 slot 2 slot 3 slot 4 slot 5 slot 6 slot 7 slot 8 blade1 blade2 blade3 blade4 blade5 blade6 blade7 blade8 slot 1 slot 2 slot 3 slot 4 slot 5 slot 6 slot 7 slot 8 blade1 blade2 blade3 blade4 blade5 blade6 blade7 blade8 Data Center 1 Data Center 2 GW GW OSPF Peers OSPF peers MAC- B MAC- B MAC- A MAC- A Pozostaje Ownerem ASA cały czas działa i dokonuje stanowej inspekcji tego samego flow OTV …Router użyje OTV by przekierować przychodzący z zewnątrz flowdo VM w DC-1 First Hop w obrębie DC …na wyjściu z VM przełączniki przekażą ruch do lokalnego GW w DC-1 Forwarddo Ownera Przekazanie ruchu do Owneraprzez CCL dla zachowania symetrii inspekcji
© 2014 Cisco Public 33 KlastrowanieASA – IXIA BreakingPointStormCTM 16-node Demo https://www.youtube.com/watch?v=t1qyKnMGNkA
© 2014 Cisco Public 38 BEFORE | DURING| AFTER
© 2014 Cisco Public 39 SourcefireFirePOWERna platformach ASA Sourcefirena ASA5585-X (Hardware Blade) Sourcefirena ASA 5500-X (Software)
© 2014 Cisco Public 40 2014 SecureData Center Design Guides http://www.cisco.com/c/en/us/solutions/enterprise/design-zone-secure-data-center-portfolio/index.html
© 2014 Cisco Public 41
© 2014 Cisco Public 42 BEFORE | DURING | AFTER
43 Spojrzenie wstecz…
44 …stare dobre czasy…
…to tylko dobre wspomnienia. 27,375,000 uaktualnień wykrywających malwaredla FireAMPw ciągu 2013
© 2014 Cisco Public 46 MalwareSandboxing-Poza Horyzontem Zdarzeń Antivirus Sandboxing Początkowa dyspozycja = Clean Detekcja = Punkt w Czasie Początkowa dyspozycja= Clean Cisco AMP Skala kompromitacji nieznana Finalna dyspozycja = Malware= Za późno! Odwrócenie czasu Widoczność Kontrola Not 100% Analiza zatrzymuje się Techniki Sleep Nieznane Protokoły Szyfrowanie Polimorfizm Finalna dyspozycja = Malware= Blokuj Detekcja Retrospektywna, Analiza jest kontynuowana
© 2014 Cisco Public 47 FireSIGHT ASA Cluster FirePOWER Services AMP dla Klastra ASA FirePOWER przed DC Analiza pliku w chmurze Lookup dyspozycji pliku (SHA256, Spero) Trajektoria plików Analiza i korelacja zdarzeń Manualna analiza dynamiczna Cisco Security Manager Chmura Analizy Dynamicznej VRT (sandbox) Chmura AMP Połączenie z Chmurą publiczną VRT Komponent Host-based
© 2014 Cisco Public 48 Anonimizacjazapytań o reputację plików Analiza Retrospektywna Trajektoria Urządzenia Trajektoria Pliku Root Cause Śledzenie i Outbreak Control Prywatna Chmura AMP
© 2014 Cisco Public 49 AMP Trajektoria Pliku w Sieci I Wprowadzenie malware
© 2014 Cisco Public 50 AMP Trajektoria Pliku w Sieci II Wprowadzenie malware Wysłany mail (Thunderbird)
© 2014 Cisco Public 51 AMP Trajektoria Pliku w Sieci III Click! Całościowa widoczność propagacji zaawansowanego malwarew środowisku
© 2014 Cisco Public 53
© 2014 Cisco Public 54 James Hamilton Vice President and Distinguished Engineer Amazon Web Services
© 2014 Cisco Public 55 Producenci usług EPG “Users” EPG “Files” Leaf Nodes „Liście” Spine Nodes „Kręgosłup” ACI Fabric EPG “Internet” Virtual Leaf Konsumenci usług ACI –Application-CentricInfrastructure
© 2014 Cisco Public 56 ACI Flow Abstraction “Files” “Users” Kontrakt “Users → Files” Definicja Endpoint Groups (EPG) Wszystkie endpointy podłączone do fabryki, fizyczne i wirtualne Programowalne Kontraktem Reguły Wejściowe Reguły sprzętowe per port – bezpieczeństwo, QoS Firewalling odwzorowujący politykę bezpieczeństwa Administrator bezpieczeństwa tworzy generyczne wzorce w APIC, odwzorowujące kontrakt Jeden punkt zarządzania Różne grupy administracyjne, ponowne użycie i współdzielenie obiektów Application Policy Infrastructure Controller (APIC) Definicja kontraktu między Endpoint Groups Reguły na poziomie portów: odrzuć ruch, priorytetyzuj, wyślij do łańcucha usługowego ACI Fabric
© 2014 Cisco Public 57 Polityki ACI: Akcje Sześć typów opcji polityk ACI •Zezwól ruch •Blokuj ruch •Przekieruj ruch •Loguj zdarzenie •Kopiuj ruch •Oznacz ruch (DSCP/CoS) PermitDenyRedirectLog … … CopyPakietMarkPakietDSCP Polityka obejmuje obsługę ruchu, jakość usług, bezpieczeństwo i logowanie. 57
© 2014 Cisco Public 58 EPG to EndpointGroup Zautomatyzowane i skalowalne wprowadzanie usługL4-L7 Pakiety pasujące do reguły przekierowania wchodzą do GrafuUsługowego Graf Usługowy może zawierać jedno lub więcej urządzeń usługowych w serii (łańcuchu) Graf Usługowy upraszcza i skaluje wprowadzanie usług Polityka przekierowania usług w ACI
© 2014 Cisco Public 59 Typowy Łańcuch Usługowy ACI •Abstrakcja w obrębie łańcucha usługowego (service chain) •Każde urządzenie zna tylko swoją funkcję i wymienia ruch z fabryką •Możliwe różne ścieżki wynikowe •Wysoki stopień modularności •ACI utrzymuje symetrię ruchu przez tę samą instancję urządzenia SSL Firewall Reguły filtrowania, NAT, inspekcji NGIPS Analyzer EPG “Users” EPG “Web” EPG “Files”
© 2014 Cisco Public 60 Nexus 7000 Przykład użycia ACI –FirewallingNorth-South •Bezstanowe przekierowanie ruchu do klastra ASA •Elastyczne horyzontalne skalowanie klastra do 16 urządzeń •Wydajność na żądanie •Fizyczne appliance–wysoka wydajność •Fabryka programuje interfejsy, pary VLANów, i polityki dla ruchu inter-EPG •Fabric kreuje wirtualne konteksty dla nowych dzierżawcówACI Fabric EPG Ext Graf EPG Ext ACI ASA EPG Web Fizycznie Logicznie EPG Web EPG DB ASA Cluster
© 2014 Cisco Public 61 Przykład użycia ACI –FirewallingEast-West •Wirtualna ASAvodpowiada funkcjonalnie fizycznym urządzeniom ASA: •Podłączenie fizycznych lub wirtualnych (AVS) liści fabryki (N9k) •Kolokacja z VM produkcyjnymi na tych samych hostach •ASAvw parach wysokiej dostępności •Fabryka programuje VLANy i pary znaczników VxLANdla ruchu inter-EPG •APIC wykorzystuje API do tworzenia dodatkowych instancji ASAvna podstawie stanu zdrowia i bieżącej nadsubskrypcjiACI Fabric Graf Fizycznie Logicznie EPG Web ACI ASAv EPG DB EPG Web ASAv standby ASAv active EPG DB
© 2014 Cisco Public 62
© 2014 Cisco Public 63 63
Dziękuję. gmikolaj@cisco.com

Recommended

Security B-Sides Warsaw 2012 - Bezpieczenstwo IPv6 - Gawel Mikolajczyk
Security B-Sides Warsaw 2012 - Bezpieczenstwo IPv6 - Gawel MikolajczykSecurity B-Sides Warsaw 2012 - Bezpieczenstwo IPv6 - Gawel Mikolajczyk
Security B-Sides Warsaw 2012 - Bezpieczenstwo IPv6 - Gawel MikolajczykGawel Mikolajczyk
 
Security B-Sides Warsaw 2014 - Network Security Treasures - Gawel Mikolajczyk
Security B-Sides Warsaw 2014 - Network Security Treasures - Gawel MikolajczykSecurity B-Sides Warsaw 2014 - Network Security Treasures - Gawel Mikolajczyk
Security B-Sides Warsaw 2014 - Network Security Treasures - Gawel MikolajczykGawel Mikolajczyk
 
Security B-Sides Warsaw 2013 - Masywna Telemetria NetFlow jest Masywna - Gawe...
Security B-Sides Warsaw 2013 - Masywna Telemetria NetFlow jest Masywna - Gawe...Security B-Sides Warsaw 2013 - Masywna Telemetria NetFlow jest Masywna - Gawe...
Security B-Sides Warsaw 2013 - Masywna Telemetria NetFlow jest Masywna - Gawe...Gawel Mikolajczyk
 
infraxstructure: Piotr Jabłoński "SDN w praktyce. Znacząca poprawa bezpieczeń...
infraxstructure: Piotr Jabłoński "SDN w praktyce. Znacząca poprawa bezpieczeń...infraxstructure: Piotr Jabłoński "SDN w praktyce. Znacząca poprawa bezpieczeń...
infraxstructure: Piotr Jabłoński "SDN w praktyce. Znacząca poprawa bezpieczeń...PROIDEA
 
PLNOg16: SDN dla entuzjastów i sceptyków. Co zaskoczyło mnie w rozwiązaniu wi...
PLNOg16: SDN dla entuzjastów i sceptyków. Co zaskoczyło mnie w rozwiązaniu wi...PLNOg16: SDN dla entuzjastów i sceptyków. Co zaskoczyło mnie w rozwiązaniu wi...
PLNOg16: SDN dla entuzjastów i sceptyków. Co zaskoczyło mnie w rozwiązaniu wi...PROIDEA
 
PLNOG 8: Przemysław Grygiel - Data Center Allegro wyboista droga L2 do autost...
PLNOG 8: Przemysław Grygiel - Data Center Allegro wyboista droga L2 do autost...PLNOG 8: Przemysław Grygiel - Data Center Allegro wyboista droga L2 do autost...
PLNOG 8: Przemysław Grygiel - Data Center Allegro wyboista droga L2 do autost...PROIDEA
 
PLNOG 9: Gaweł Mikołajczyk - Bezpieczne Data Center i Bezpieczna Chmura
PLNOG 9: Gaweł Mikołajczyk - Bezpieczne Data Center i Bezpieczna Chmura PLNOG 9: Gaweł Mikołajczyk - Bezpieczne Data Center i Bezpieczna Chmura
PLNOG 9: Gaweł Mikołajczyk - Bezpieczne Data Center i Bezpieczna Chmura PROIDEA
 
PLNOG 17 - Robert Ślaski - Jak nie zostać bezrobotnym sieciowcem?
PLNOG 17 - Robert Ślaski - Jak nie zostać bezrobotnym sieciowcem?PLNOG 17 - Robert Ślaski - Jak nie zostać bezrobotnym sieciowcem?
PLNOG 17 - Robert Ślaski - Jak nie zostać bezrobotnym sieciowcem?PROIDEA
 

Recommended

Security B-Sides Warsaw 2012 - Bezpieczenstwo IPv6 - Gawel Mikolajczyk
Security B-Sides Warsaw 2012 - Bezpieczenstwo IPv6 - Gawel MikolajczykSecurity B-Sides Warsaw 2012 - Bezpieczenstwo IPv6 - Gawel Mikolajczyk
Security B-Sides Warsaw 2012 - Bezpieczenstwo IPv6 - Gawel MikolajczykGawel Mikolajczyk
 
Security B-Sides Warsaw 2014 - Network Security Treasures - Gawel Mikolajczyk
Security B-Sides Warsaw 2014 - Network Security Treasures - Gawel MikolajczykSecurity B-Sides Warsaw 2014 - Network Security Treasures - Gawel Mikolajczyk
Security B-Sides Warsaw 2014 - Network Security Treasures - Gawel MikolajczykGawel Mikolajczyk
 
Security B-Sides Warsaw 2013 - Masywna Telemetria NetFlow jest Masywna - Gawe...
Security B-Sides Warsaw 2013 - Masywna Telemetria NetFlow jest Masywna - Gawe...Security B-Sides Warsaw 2013 - Masywna Telemetria NetFlow jest Masywna - Gawe...
Security B-Sides Warsaw 2013 - Masywna Telemetria NetFlow jest Masywna - Gawe...Gawel Mikolajczyk
 
infraxstructure: Piotr Jabłoński "SDN w praktyce. Znacząca poprawa bezpieczeń...
infraxstructure: Piotr Jabłoński "SDN w praktyce. Znacząca poprawa bezpieczeń...infraxstructure: Piotr Jabłoński "SDN w praktyce. Znacząca poprawa bezpieczeń...
infraxstructure: Piotr Jabłoński "SDN w praktyce. Znacząca poprawa bezpieczeń...PROIDEA
 
PLNOg16: SDN dla entuzjastów i sceptyków. Co zaskoczyło mnie w rozwiązaniu wi...
PLNOg16: SDN dla entuzjastów i sceptyków. Co zaskoczyło mnie w rozwiązaniu wi...PLNOg16: SDN dla entuzjastów i sceptyków. Co zaskoczyło mnie w rozwiązaniu wi...
PLNOg16: SDN dla entuzjastów i sceptyków. Co zaskoczyło mnie w rozwiązaniu wi...PROIDEA
 
PLNOG 8: Przemysław Grygiel - Data Center Allegro wyboista droga L2 do autost...
PLNOG 8: Przemysław Grygiel - Data Center Allegro wyboista droga L2 do autost...PLNOG 8: Przemysław Grygiel - Data Center Allegro wyboista droga L2 do autost...
PLNOG 8: Przemysław Grygiel - Data Center Allegro wyboista droga L2 do autost...PROIDEA
 
PLNOG 9: Gaweł Mikołajczyk - Bezpieczne Data Center i Bezpieczna Chmura
PLNOG 9: Gaweł Mikołajczyk - Bezpieczne Data Center i Bezpieczna Chmura PLNOG 9: Gaweł Mikołajczyk - Bezpieczne Data Center i Bezpieczna Chmura
PLNOG 9: Gaweł Mikołajczyk - Bezpieczne Data Center i Bezpieczna Chmura PROIDEA
 
PLNOG 17 - Robert Ślaski - Jak nie zostać bezrobotnym sieciowcem?
PLNOG 17 - Robert Ślaski - Jak nie zostać bezrobotnym sieciowcem?PLNOG 17 - Robert Ślaski - Jak nie zostać bezrobotnym sieciowcem?
PLNOG 17 - Robert Ślaski - Jak nie zostać bezrobotnym sieciowcem?PROIDEA
 
PLNOG 9: Robert Ślaski - SKALOWALNE SZYFROWANIE USŁUG W SIECI OPERATORA - prz...
PLNOG 9: Robert Ślaski - SKALOWALNE SZYFROWANIE USŁUG W SIECI OPERATORA - prz...PLNOG 9: Robert Ślaski - SKALOWALNE SZYFROWANIE USŁUG W SIECI OPERATORA - prz...
PLNOG 9: Robert Ślaski - SKALOWALNE SZYFROWANIE USŁUG W SIECI OPERATORA - prz...PROIDEA
 
PLNOG 18 - Jarosław Ulczok - Podsłuchać światłowód? Przezentacja LIVE + zasto...
PLNOG 18 - Jarosław Ulczok - Podsłuchać światłowód? Przezentacja LIVE + zasto...PLNOG 18 - Jarosław Ulczok - Podsłuchać światłowód? Przezentacja LIVE + zasto...
PLNOG 18 - Jarosław Ulczok - Podsłuchać światłowód? Przezentacja LIVE + zasto...PROIDEA
 
Ustawa o Krajowym Systemie Cyberbezpieczeństwa, konteneryzacja, chmura i (nie...
Ustawa o Krajowym Systemie Cyberbezpieczeństwa, konteneryzacja, chmura i (nie...Ustawa o Krajowym Systemie Cyberbezpieczeństwa, konteneryzacja, chmura i (nie...
Ustawa o Krajowym Systemie Cyberbezpieczeństwa, konteneryzacja, chmura i (nie...Aleksander Czarnowski
 
PLNOG 17 - Sławomir Janukowicz - NFV – using Juniper vMX, vSRX and NFX
PLNOG 17 - Sławomir Janukowicz - NFV – using Juniper vMX, vSRX and NFXPLNOG 17 - Sławomir Janukowicz - NFV – using Juniper vMX, vSRX and NFX
PLNOG 17 - Sławomir Janukowicz - NFV – using Juniper vMX, vSRX and NFXPROIDEA
 
PLNOG 6: Krzysztof Mazepa - Rozwiązania operatorskie "Carrier Grade IPv6"
PLNOG 6: Krzysztof Mazepa - Rozwiązania operatorskie "Carrier Grade IPv6" PLNOG 6: Krzysztof Mazepa - Rozwiązania operatorskie "Carrier Grade IPv6"
PLNOG 6: Krzysztof Mazepa - Rozwiązania operatorskie "Carrier Grade IPv6" PROIDEA
 
PLNOG 4: Agata Malarczyk, Łukasz Nierychło - Jak urządzenia D-Link przenoszą ...
PLNOG 4: Agata Malarczyk, Łukasz Nierychło - Jak urządzenia D-Link przenoszą ...PLNOG 4: Agata Malarczyk, Łukasz Nierychło - Jak urządzenia D-Link przenoszą ...
PLNOG 4: Agata Malarczyk, Łukasz Nierychło - Jak urządzenia D-Link przenoszą ...PROIDEA
 
PLNOG 3: Łukasz Bromirski - Budowa sieci multicast
PLNOG 3: Łukasz Bromirski - Budowa sieci multicastPLNOG 3: Łukasz Bromirski - Budowa sieci multicast
PLNOG 3: Łukasz Bromirski - Budowa sieci multicastPROIDEA
 
100Mpps czyli jak radzić sobie z atakami DDoS?
100Mpps czyli jak radzić sobie z atakami DDoS?100Mpps czyli jak radzić sobie z atakami DDoS?
100Mpps czyli jak radzić sobie z atakami DDoS?Redge Technologies
 
PLNOG 13: Artur Gmaj: Architecture of Modern Data Center
PLNOG 13: Artur Gmaj: Architecture of Modern Data CenterPLNOG 13: Artur Gmaj: Architecture of Modern Data Center
PLNOG 13: Artur Gmaj: Architecture of Modern Data CenterPROIDEA
 
PLNOG 21: Piotr Okupski - Wieloetapowe_filtrowanie_ruchu_DDoS_za_pomocą_Wangu...
PLNOG 21: Piotr Okupski - Wieloetapowe_filtrowanie_ruchu_DDoS_za_pomocą_Wangu...PLNOG 21: Piotr Okupski - Wieloetapowe_filtrowanie_ruchu_DDoS_za_pomocą_Wangu...
PLNOG 21: Piotr Okupski - Wieloetapowe_filtrowanie_ruchu_DDoS_za_pomocą_Wangu...PROIDEA
 
Ochrona przed atakami DDoS na platformie x86. Czy można mieć jednocześnie wyd...
Ochrona przed atakami DDoS na platformie x86. Czy można mieć jednocześnie wyd...Ochrona przed atakami DDoS na platformie x86. Czy można mieć jednocześnie wyd...
Ochrona przed atakami DDoS na platformie x86. Czy można mieć jednocześnie wyd...Redge Technologies
 
PLNOG 6: Piotr Wojciechowski - IPv6 - dwa kliknięcia i działa
PLNOG 6: Piotr Wojciechowski - IPv6 - dwa kliknięcia i działa PLNOG 6: Piotr Wojciechowski - IPv6 - dwa kliknięcia i działa
PLNOG 6: Piotr Wojciechowski - IPv6 - dwa kliknięcia i działa PROIDEA
 
PLNOG 7: Bartosz Kiziukiewicz - Jak wykorzystać nowe rozwiązania firmy D-link...
PLNOG 7: Bartosz Kiziukiewicz - Jak wykorzystać nowe rozwiązania firmy D-link...PLNOG 7: Bartosz Kiziukiewicz - Jak wykorzystać nowe rozwiązania firmy D-link...
PLNOG 7: Bartosz Kiziukiewicz - Jak wykorzystać nowe rozwiązania firmy D-link...PROIDEA
 
4Developers 2015: User Experience a metodyki projektów - Wojciech Chojnacki
4Developers 2015: User Experience a metodyki projektów - Wojciech Chojnacki4Developers 2015: User Experience a metodyki projektów - Wojciech Chojnacki
4Developers 2015: User Experience a metodyki projektów - Wojciech ChojnackiPROIDEA
 
PLNOG15: BGP New Advanced Features - Piotr Wojciechowski
PLNOG15: BGP New Advanced Features - Piotr WojciechowskiPLNOG15: BGP New Advanced Features - Piotr Wojciechowski
PLNOG15: BGP New Advanced Features - Piotr WojciechowskiPROIDEA
 
PLNOG 13: Marek Janik: Rings in Ethernet Networks
PLNOG 13: Marek Janik: Rings in Ethernet NetworksPLNOG 13: Marek Janik: Rings in Ethernet Networks
PLNOG 13: Marek Janik: Rings in Ethernet NetworksPROIDEA
 
4Developers 2015: Your role in the next release of "World" project! - Milen D...
4Developers 2015: Your role in the next release of "World" project! - Milen D...4Developers 2015: Your role in the next release of "World" project! - Milen D...
4Developers 2015: Your role in the next release of "World" project! - Milen D...PROIDEA
 
PLNOG 13: Adam Obszyński: Case Study – Infoblox Advanced DNS Protection
PLNOG 13: Adam Obszyński: Case Study – Infoblox Advanced DNS ProtectionPLNOG 13: Adam Obszyński: Case Study – Infoblox Advanced DNS Protection
PLNOG 13: Adam Obszyński: Case Study – Infoblox Advanced DNS ProtectionPROIDEA
 
Atmosphere Conference 2015: The 10 Myths of DevOps
Atmosphere Conference 2015: The 10 Myths of DevOpsAtmosphere Conference 2015: The 10 Myths of DevOps
Atmosphere Conference 2015: The 10 Myths of DevOpsPROIDEA
 
Atmosphere Conference 2015: Need for Async: In pursuit of scalable internet-s...
Atmosphere Conference 2015: Need for Async: In pursuit of scalable internet-s...Atmosphere Conference 2015: Need for Async: In pursuit of scalable internet-s...
Atmosphere Conference 2015: Need for Async: In pursuit of scalable internet-s...PROIDEA
 
PLNOG 13: Radosław Ziemba: GPON or xWDM as technology for connecting business...
PLNOG 13: Radosław Ziemba: GPON or xWDM as technology for connecting business...PLNOG 13: Radosław Ziemba: GPON or xWDM as technology for connecting business...
PLNOG 13: Radosław Ziemba: GPON or xWDM as technology for connecting business...PROIDEA
 
PLNOG 13: James Kretchmar: How Akamai scales to serve the largest events on t...
PLNOG 13: James Kretchmar: How Akamai scales to serve the largest events on t...PLNOG 13: James Kretchmar: How Akamai scales to serve the largest events on t...
PLNOG 13: James Kretchmar: How Akamai scales to serve the largest events on t...PROIDEA
 

More Related Content

What's hot

PLNOG 9: Robert Ślaski - SKALOWALNE SZYFROWANIE USŁUG W SIECI OPERATORA - prz...
PLNOG 9: Robert Ślaski - SKALOWALNE SZYFROWANIE USŁUG W SIECI OPERATORA - prz...PLNOG 9: Robert Ślaski - SKALOWALNE SZYFROWANIE USŁUG W SIECI OPERATORA - prz...
PLNOG 9: Robert Ślaski - SKALOWALNE SZYFROWANIE USŁUG W SIECI OPERATORA - prz...PROIDEA
 
PLNOG 18 - Jarosław Ulczok - Podsłuchać światłowód? Przezentacja LIVE + zasto...
PLNOG 18 - Jarosław Ulczok - Podsłuchać światłowód? Przezentacja LIVE + zasto...PLNOG 18 - Jarosław Ulczok - Podsłuchać światłowód? Przezentacja LIVE + zasto...
PLNOG 18 - Jarosław Ulczok - Podsłuchać światłowód? Przezentacja LIVE + zasto...PROIDEA
 
Ustawa o Krajowym Systemie Cyberbezpieczeństwa, konteneryzacja, chmura i (nie...
Ustawa o Krajowym Systemie Cyberbezpieczeństwa, konteneryzacja, chmura i (nie...Ustawa o Krajowym Systemie Cyberbezpieczeństwa, konteneryzacja, chmura i (nie...
Ustawa o Krajowym Systemie Cyberbezpieczeństwa, konteneryzacja, chmura i (nie...Aleksander Czarnowski
 
PLNOG 17 - Sławomir Janukowicz - NFV – using Juniper vMX, vSRX and NFX
PLNOG 17 - Sławomir Janukowicz - NFV – using Juniper vMX, vSRX and NFXPLNOG 17 - Sławomir Janukowicz - NFV – using Juniper vMX, vSRX and NFX
PLNOG 17 - Sławomir Janukowicz - NFV – using Juniper vMX, vSRX and NFXPROIDEA
 
PLNOG 6: Krzysztof Mazepa - Rozwiązania operatorskie "Carrier Grade IPv6"
PLNOG 6: Krzysztof Mazepa - Rozwiązania operatorskie "Carrier Grade IPv6" PLNOG 6: Krzysztof Mazepa - Rozwiązania operatorskie "Carrier Grade IPv6"
PLNOG 6: Krzysztof Mazepa - Rozwiązania operatorskie "Carrier Grade IPv6" PROIDEA
 
PLNOG 4: Agata Malarczyk, Łukasz Nierychło - Jak urządzenia D-Link przenoszą ...
PLNOG 4: Agata Malarczyk, Łukasz Nierychło - Jak urządzenia D-Link przenoszą ...PLNOG 4: Agata Malarczyk, Łukasz Nierychło - Jak urządzenia D-Link przenoszą ...
PLNOG 4: Agata Malarczyk, Łukasz Nierychło - Jak urządzenia D-Link przenoszą ...PROIDEA
 
PLNOG 3: Łukasz Bromirski - Budowa sieci multicast
PLNOG 3: Łukasz Bromirski - Budowa sieci multicastPLNOG 3: Łukasz Bromirski - Budowa sieci multicast
PLNOG 3: Łukasz Bromirski - Budowa sieci multicastPROIDEA
 
100Mpps czyli jak radzić sobie z atakami DDoS?
100Mpps czyli jak radzić sobie z atakami DDoS?100Mpps czyli jak radzić sobie z atakami DDoS?
100Mpps czyli jak radzić sobie z atakami DDoS?Redge Technologies
 
PLNOG 13: Artur Gmaj: Architecture of Modern Data Center
PLNOG 13: Artur Gmaj: Architecture of Modern Data CenterPLNOG 13: Artur Gmaj: Architecture of Modern Data Center
PLNOG 13: Artur Gmaj: Architecture of Modern Data CenterPROIDEA
 
PLNOG 21: Piotr Okupski - Wieloetapowe_filtrowanie_ruchu_DDoS_za_pomocą_Wangu...
PLNOG 21: Piotr Okupski - Wieloetapowe_filtrowanie_ruchu_DDoS_za_pomocą_Wangu...PLNOG 21: Piotr Okupski - Wieloetapowe_filtrowanie_ruchu_DDoS_za_pomocą_Wangu...
PLNOG 21: Piotr Okupski - Wieloetapowe_filtrowanie_ruchu_DDoS_za_pomocą_Wangu...PROIDEA
 
Ochrona przed atakami DDoS na platformie x86. Czy można mieć jednocześnie wyd...
Ochrona przed atakami DDoS na platformie x86. Czy można mieć jednocześnie wyd...Ochrona przed atakami DDoS na platformie x86. Czy można mieć jednocześnie wyd...
Ochrona przed atakami DDoS na platformie x86. Czy można mieć jednocześnie wyd...Redge Technologies
 
PLNOG 6: Piotr Wojciechowski - IPv6 - dwa kliknięcia i działa
PLNOG 6: Piotr Wojciechowski - IPv6 - dwa kliknięcia i działa PLNOG 6: Piotr Wojciechowski - IPv6 - dwa kliknięcia i działa
PLNOG 6: Piotr Wojciechowski - IPv6 - dwa kliknięcia i działa PROIDEA
 
PLNOG 7: Bartosz Kiziukiewicz - Jak wykorzystać nowe rozwiązania firmy D-link...
PLNOG 7: Bartosz Kiziukiewicz - Jak wykorzystać nowe rozwiązania firmy D-link...PLNOG 7: Bartosz Kiziukiewicz - Jak wykorzystać nowe rozwiązania firmy D-link...
PLNOG 7: Bartosz Kiziukiewicz - Jak wykorzystać nowe rozwiązania firmy D-link...PROIDEA
 

What's hot (13)

PLNOG 9: Robert Ślaski - SKALOWALNE SZYFROWANIE USŁUG W SIECI OPERATORA - prz...
PLNOG 9: Robert Ślaski - SKALOWALNE SZYFROWANIE USŁUG W SIECI OPERATORA - prz...PLNOG 9: Robert Ślaski - SKALOWALNE SZYFROWANIE USŁUG W SIECI OPERATORA - prz...
PLNOG 9: Robert Ślaski - SKALOWALNE SZYFROWANIE USŁUG W SIECI OPERATORA - prz...
 
PLNOG 18 - Jarosław Ulczok - Podsłuchać światłowód? Przezentacja LIVE + zasto...
PLNOG 18 - Jarosław Ulczok - Podsłuchać światłowód? Przezentacja LIVE + zasto...PLNOG 18 - Jarosław Ulczok - Podsłuchać światłowód? Przezentacja LIVE + zasto...
PLNOG 18 - Jarosław Ulczok - Podsłuchać światłowód? Przezentacja LIVE + zasto...
 
Ustawa o Krajowym Systemie Cyberbezpieczeństwa, konteneryzacja, chmura i (nie...
Ustawa o Krajowym Systemie Cyberbezpieczeństwa, konteneryzacja, chmura i (nie...Ustawa o Krajowym Systemie Cyberbezpieczeństwa, konteneryzacja, chmura i (nie...
Ustawa o Krajowym Systemie Cyberbezpieczeństwa, konteneryzacja, chmura i (nie...
 
PLNOG 17 - Sławomir Janukowicz - NFV – using Juniper vMX, vSRX and NFX
PLNOG 17 - Sławomir Janukowicz - NFV – using Juniper vMX, vSRX and NFXPLNOG 17 - Sławomir Janukowicz - NFV – using Juniper vMX, vSRX and NFX
PLNOG 17 - Sławomir Janukowicz - NFV – using Juniper vMX, vSRX and NFX
 
PLNOG 6: Krzysztof Mazepa - Rozwiązania operatorskie "Carrier Grade IPv6"
PLNOG 6: Krzysztof Mazepa - Rozwiązania operatorskie "Carrier Grade IPv6" PLNOG 6: Krzysztof Mazepa - Rozwiązania operatorskie "Carrier Grade IPv6"
PLNOG 6: Krzysztof Mazepa - Rozwiązania operatorskie "Carrier Grade IPv6"
 
PLNOG 4: Agata Malarczyk, Łukasz Nierychło - Jak urządzenia D-Link przenoszą ...
PLNOG 4: Agata Malarczyk, Łukasz Nierychło - Jak urządzenia D-Link przenoszą ...PLNOG 4: Agata Malarczyk, Łukasz Nierychło - Jak urządzenia D-Link przenoszą ...
PLNOG 4: Agata Malarczyk, Łukasz Nierychło - Jak urządzenia D-Link przenoszą ...
 
PLNOG 3: Łukasz Bromirski - Budowa sieci multicast
PLNOG 3: Łukasz Bromirski - Budowa sieci multicastPLNOG 3: Łukasz Bromirski - Budowa sieci multicast
PLNOG 3: Łukasz Bromirski - Budowa sieci multicast
 
100Mpps czyli jak radzić sobie z atakami DDoS?
100Mpps czyli jak radzić sobie z atakami DDoS?100Mpps czyli jak radzić sobie z atakami DDoS?
100Mpps czyli jak radzić sobie z atakami DDoS?
 
PLNOG 13: Artur Gmaj: Architecture of Modern Data Center
PLNOG 13: Artur Gmaj: Architecture of Modern Data CenterPLNOG 13: Artur Gmaj: Architecture of Modern Data Center
PLNOG 13: Artur Gmaj: Architecture of Modern Data Center
 
PLNOG 21: Piotr Okupski - Wieloetapowe_filtrowanie_ruchu_DDoS_za_pomocą_Wangu...
PLNOG 21: Piotr Okupski - Wieloetapowe_filtrowanie_ruchu_DDoS_za_pomocą_Wangu...PLNOG 21: Piotr Okupski - Wieloetapowe_filtrowanie_ruchu_DDoS_za_pomocą_Wangu...
PLNOG 21: Piotr Okupski - Wieloetapowe_filtrowanie_ruchu_DDoS_za_pomocą_Wangu...
 
Ochrona przed atakami DDoS na platformie x86. Czy można mieć jednocześnie wyd...
Ochrona przed atakami DDoS na platformie x86. Czy można mieć jednocześnie wyd...Ochrona przed atakami DDoS na platformie x86. Czy można mieć jednocześnie wyd...
Ochrona przed atakami DDoS na platformie x86. Czy można mieć jednocześnie wyd...
 
PLNOG 6: Piotr Wojciechowski - IPv6 - dwa kliknięcia i działa
PLNOG 6: Piotr Wojciechowski - IPv6 - dwa kliknięcia i działa PLNOG 6: Piotr Wojciechowski - IPv6 - dwa kliknięcia i działa
PLNOG 6: Piotr Wojciechowski - IPv6 - dwa kliknięcia i działa
 
PLNOG 7: Bartosz Kiziukiewicz - Jak wykorzystać nowe rozwiązania firmy D-link...
PLNOG 7: Bartosz Kiziukiewicz - Jak wykorzystać nowe rozwiązania firmy D-link...PLNOG 7: Bartosz Kiziukiewicz - Jak wykorzystać nowe rozwiązania firmy D-link...
PLNOG 7: Bartosz Kiziukiewicz - Jak wykorzystać nowe rozwiązania firmy D-link...
 

Viewers also liked

4Developers 2015: User Experience a metodyki projektów - Wojciech Chojnacki
4Developers 2015: User Experience a metodyki projektów - Wojciech Chojnacki4Developers 2015: User Experience a metodyki projektów - Wojciech Chojnacki
4Developers 2015: User Experience a metodyki projektów - Wojciech ChojnackiPROIDEA
 
PLNOG15: BGP New Advanced Features - Piotr Wojciechowski
PLNOG15: BGP New Advanced Features - Piotr WojciechowskiPLNOG15: BGP New Advanced Features - Piotr Wojciechowski
PLNOG15: BGP New Advanced Features - Piotr WojciechowskiPROIDEA
 
PLNOG 13: Marek Janik: Rings in Ethernet Networks
PLNOG 13: Marek Janik: Rings in Ethernet NetworksPLNOG 13: Marek Janik: Rings in Ethernet Networks
PLNOG 13: Marek Janik: Rings in Ethernet NetworksPROIDEA
 
4Developers 2015: Your role in the next release of "World" project! - Milen D...
4Developers 2015: Your role in the next release of "World" project! - Milen D...4Developers 2015: Your role in the next release of "World" project! - Milen D...
4Developers 2015: Your role in the next release of "World" project! - Milen D...PROIDEA
 
PLNOG 13: Adam Obszyński: Case Study – Infoblox Advanced DNS Protection
PLNOG 13: Adam Obszyński: Case Study – Infoblox Advanced DNS ProtectionPLNOG 13: Adam Obszyński: Case Study – Infoblox Advanced DNS Protection
PLNOG 13: Adam Obszyński: Case Study – Infoblox Advanced DNS ProtectionPROIDEA
 
Atmosphere Conference 2015: The 10 Myths of DevOps
Atmosphere Conference 2015: The 10 Myths of DevOpsAtmosphere Conference 2015: The 10 Myths of DevOps
Atmosphere Conference 2015: The 10 Myths of DevOpsPROIDEA
 
Atmosphere Conference 2015: Need for Async: In pursuit of scalable internet-s...
Atmosphere Conference 2015: Need for Async: In pursuit of scalable internet-s...Atmosphere Conference 2015: Need for Async: In pursuit of scalable internet-s...
Atmosphere Conference 2015: Need for Async: In pursuit of scalable internet-s...PROIDEA
 
PLNOG 13: Radosław Ziemba: GPON or xWDM as technology for connecting business...
PLNOG 13: Radosław Ziemba: GPON or xWDM as technology for connecting business...PLNOG 13: Radosław Ziemba: GPON or xWDM as technology for connecting business...
PLNOG 13: Radosław Ziemba: GPON or xWDM as technology for connecting business...PROIDEA
 
PLNOG 13: James Kretchmar: How Akamai scales to serve the largest events on t...
PLNOG 13: James Kretchmar: How Akamai scales to serve the largest events on t...PLNOG 13: James Kretchmar: How Akamai scales to serve the largest events on t...
PLNOG 13: James Kretchmar: How Akamai scales to serve the largest events on t...PROIDEA
 
PLNOG 13: B. van der Sloot, S. Abdel-Hafez: Running a 2 Tbps global IP networ...
PLNOG 13: B. van der Sloot, S. Abdel-Hafez: Running a 2 Tbps global IP networ...PLNOG 13: B. van der Sloot, S. Abdel-Hafez: Running a 2 Tbps global IP networ...
PLNOG 13: B. van der Sloot, S. Abdel-Hafez: Running a 2 Tbps global IP networ...PROIDEA
 
PLNOG 13: Jeff Tantsura: Programmable and Application aware IP/MPLS networking
PLNOG 13: Jeff Tantsura: Programmable and Application aware IP/MPLS networkingPLNOG 13: Jeff Tantsura: Programmable and Application aware IP/MPLS networking
PLNOG 13: Jeff Tantsura: Programmable and Application aware IP/MPLS networkingPROIDEA
 
CONFidence 2015: The Top 10 Web Hacks of 2014 - Matt Johansen, Johnathan Kuskos
CONFidence 2015: The Top 10 Web Hacks of 2014 - Matt Johansen, Johnathan KuskosCONFidence 2015: The Top 10 Web Hacks of 2014 - Matt Johansen, Johnathan Kuskos
CONFidence 2015: The Top 10 Web Hacks of 2014 - Matt Johansen, Johnathan KuskosPROIDEA
 
PLNOG 13: Andrzej Wolski: IPv4 Transfers
PLNOG 13: Andrzej Wolski: IPv4 TransfersPLNOG 13: Andrzej Wolski: IPv4 Transfers
PLNOG 13: Andrzej Wolski: IPv4 TransfersPROIDEA
 
PLNOG 13: Piotr Okupski: Implementation of Wanguard software as a protection ...
PLNOG 13: Piotr Okupski: Implementation of Wanguard software as a protection ...PLNOG 13: Piotr Okupski: Implementation of Wanguard software as a protection ...
PLNOG 13: Piotr Okupski: Implementation of Wanguard software as a protection ...PROIDEA
 
Plnog13 2014 security intelligence_pkedra_v1
Plnog13 2014 security intelligence_pkedra_v1Plnog13 2014 security intelligence_pkedra_v1
Plnog13 2014 security intelligence_pkedra_v1PROIDEA
 
Atmosphere 2014: Scalable and under control - open cloud architecture conside...
Atmosphere 2014: Scalable and under control - open cloud architecture conside...Atmosphere 2014: Scalable and under control - open cloud architecture conside...
Atmosphere 2014: Scalable and under control - open cloud architecture conside...PROIDEA
 
JDD2015: Migrating to continuous delivery in the world of financial trading -...
JDD2015: Migrating to continuous delivery in the world of financial trading -...JDD2015: Migrating to continuous delivery in the world of financial trading -...
JDD2015: Migrating to continuous delivery in the world of financial trading -...PROIDEA
 
'500+ REAL English Phrases' to Help you Improve your Speaking
'500+ REAL English Phrases' to Help you Improve your Speaking'500+ REAL English Phrases' to Help you Improve your Speaking
'500+ REAL English Phrases' to Help you Improve your SpeakingVAST ONLINE TRAFFIC™
 
PLNOG15: Operator 2025 – opportunities and risks in the brave new world of IC...
PLNOG15: Operator 2025 – opportunities and risks in the brave new world of IC...PLNOG15: Operator 2025 – opportunities and risks in the brave new world of IC...
PLNOG15: Operator 2025 – opportunities and risks in the brave new world of IC...PROIDEA
 
PLNOG15: Is there something less complicated than connecting two LAN networks...
PLNOG15: Is there something less complicated than connecting two LAN networks...PLNOG15: Is there something less complicated than connecting two LAN networks...
PLNOG15: Is there something less complicated than connecting two LAN networks...PROIDEA
 

Viewers also liked (20)

4Developers 2015: User Experience a metodyki projektów - Wojciech Chojnacki
4Developers 2015: User Experience a metodyki projektów - Wojciech Chojnacki4Developers 2015: User Experience a metodyki projektów - Wojciech Chojnacki
4Developers 2015: User Experience a metodyki projektów - Wojciech Chojnacki
 
PLNOG15: BGP New Advanced Features - Piotr Wojciechowski
PLNOG15: BGP New Advanced Features - Piotr WojciechowskiPLNOG15: BGP New Advanced Features - Piotr Wojciechowski
PLNOG15: BGP New Advanced Features - Piotr Wojciechowski
 
PLNOG 13: Marek Janik: Rings in Ethernet Networks
PLNOG 13: Marek Janik: Rings in Ethernet NetworksPLNOG 13: Marek Janik: Rings in Ethernet Networks
PLNOG 13: Marek Janik: Rings in Ethernet Networks
 
4Developers 2015: Your role in the next release of "World" project! - Milen D...
4Developers 2015: Your role in the next release of "World" project! - Milen D...4Developers 2015: Your role in the next release of "World" project! - Milen D...
4Developers 2015: Your role in the next release of "World" project! - Milen D...
 
PLNOG 13: Adam Obszyński: Case Study – Infoblox Advanced DNS Protection
PLNOG 13: Adam Obszyński: Case Study – Infoblox Advanced DNS ProtectionPLNOG 13: Adam Obszyński: Case Study – Infoblox Advanced DNS Protection
PLNOG 13: Adam Obszyński: Case Study – Infoblox Advanced DNS Protection
 
Atmosphere Conference 2015: The 10 Myths of DevOps
Atmosphere Conference 2015: The 10 Myths of DevOpsAtmosphere Conference 2015: The 10 Myths of DevOps
Atmosphere Conference 2015: The 10 Myths of DevOps
 
Atmosphere Conference 2015: Need for Async: In pursuit of scalable internet-s...
Atmosphere Conference 2015: Need for Async: In pursuit of scalable internet-s...Atmosphere Conference 2015: Need for Async: In pursuit of scalable internet-s...
Atmosphere Conference 2015: Need for Async: In pursuit of scalable internet-s...
 
PLNOG 13: Radosław Ziemba: GPON or xWDM as technology for connecting business...
PLNOG 13: Radosław Ziemba: GPON or xWDM as technology for connecting business...PLNOG 13: Radosław Ziemba: GPON or xWDM as technology for connecting business...
PLNOG 13: Radosław Ziemba: GPON or xWDM as technology for connecting business...
 
PLNOG 13: James Kretchmar: How Akamai scales to serve the largest events on t...
PLNOG 13: James Kretchmar: How Akamai scales to serve the largest events on t...PLNOG 13: James Kretchmar: How Akamai scales to serve the largest events on t...
PLNOG 13: James Kretchmar: How Akamai scales to serve the largest events on t...
 
PLNOG 13: B. van der Sloot, S. Abdel-Hafez: Running a 2 Tbps global IP networ...
PLNOG 13: B. van der Sloot, S. Abdel-Hafez: Running a 2 Tbps global IP networ...PLNOG 13: B. van der Sloot, S. Abdel-Hafez: Running a 2 Tbps global IP networ...
PLNOG 13: B. van der Sloot, S. Abdel-Hafez: Running a 2 Tbps global IP networ...
 
PLNOG 13: Jeff Tantsura: Programmable and Application aware IP/MPLS networking
PLNOG 13: Jeff Tantsura: Programmable and Application aware IP/MPLS networkingPLNOG 13: Jeff Tantsura: Programmable and Application aware IP/MPLS networking
PLNOG 13: Jeff Tantsura: Programmable and Application aware IP/MPLS networking
 
CONFidence 2015: The Top 10 Web Hacks of 2014 - Matt Johansen, Johnathan Kuskos
CONFidence 2015: The Top 10 Web Hacks of 2014 - Matt Johansen, Johnathan KuskosCONFidence 2015: The Top 10 Web Hacks of 2014 - Matt Johansen, Johnathan Kuskos
CONFidence 2015: The Top 10 Web Hacks of 2014 - Matt Johansen, Johnathan Kuskos
 
PLNOG 13: Andrzej Wolski: IPv4 Transfers
PLNOG 13: Andrzej Wolski: IPv4 TransfersPLNOG 13: Andrzej Wolski: IPv4 Transfers
PLNOG 13: Andrzej Wolski: IPv4 Transfers
 
PLNOG 13: Piotr Okupski: Implementation of Wanguard software as a protection ...
PLNOG 13: Piotr Okupski: Implementation of Wanguard software as a protection ...PLNOG 13: Piotr Okupski: Implementation of Wanguard software as a protection ...
PLNOG 13: Piotr Okupski: Implementation of Wanguard software as a protection ...
 
Plnog13 2014 security intelligence_pkedra_v1
Plnog13 2014 security intelligence_pkedra_v1Plnog13 2014 security intelligence_pkedra_v1
Plnog13 2014 security intelligence_pkedra_v1
 
Atmosphere 2014: Scalable and under control - open cloud architecture conside...
Atmosphere 2014: Scalable and under control - open cloud architecture conside...Atmosphere 2014: Scalable and under control - open cloud architecture conside...
Atmosphere 2014: Scalable and under control - open cloud architecture conside...
 
JDD2015: Migrating to continuous delivery in the world of financial trading -...
JDD2015: Migrating to continuous delivery in the world of financial trading -...JDD2015: Migrating to continuous delivery in the world of financial trading -...
JDD2015: Migrating to continuous delivery in the world of financial trading -...
 
'500+ REAL English Phrases' to Help you Improve your Speaking
'500+ REAL English Phrases' to Help you Improve your Speaking'500+ REAL English Phrases' to Help you Improve your Speaking
'500+ REAL English Phrases' to Help you Improve your Speaking
 
PLNOG15: Operator 2025 – opportunities and risks in the brave new world of IC...
PLNOG15: Operator 2025 – opportunities and risks in the brave new world of IC...PLNOG15: Operator 2025 – opportunities and risks in the brave new world of IC...
PLNOG15: Operator 2025 – opportunities and risks in the brave new world of IC...
 
PLNOG15: Is there something less complicated than connecting two LAN networks...
PLNOG15: Is there something less complicated than connecting two LAN networks...PLNOG15: Is there something less complicated than connecting two LAN networks...
PLNOG15: Is there something less complicated than connecting two LAN networks...
 

Similar to PLNOG 13: Gaweł Mikołajczyk: Data Center Security in 2014

PLNOG15: End of theoretical talks on SDN! Time for real solutions - Cisco SP ...
PLNOG15: End of theoretical talks on SDN! Time for real solutions - Cisco SP ...PLNOG15: End of theoretical talks on SDN! Time for real solutions - Cisco SP ...
PLNOG15: End of theoretical talks on SDN! Time for real solutions - Cisco SP ...PROIDEA
 
PLNOG20 - Krzysztof Mazepa - Transformacja poprzez innowacje
PLNOG20 - Krzysztof Mazepa - Transformacja poprzez innowacjePLNOG20 - Krzysztof Mazepa - Transformacja poprzez innowacje
PLNOG20 - Krzysztof Mazepa - Transformacja poprzez innowacjePROIDEA
 
PLNOG 8: Krzysztof Konkowski - GigabitEthernetem routera agregacyjnego do nie...
PLNOG 8: Krzysztof Konkowski - GigabitEthernetem routera agregacyjnego do nie...PLNOG 8: Krzysztof Konkowski - GigabitEthernetem routera agregacyjnego do nie...
PLNOG 8: Krzysztof Konkowski - GigabitEthernetem routera agregacyjnego do nie...PROIDEA
 
Prezentacja witruallizacja dc 1.3
Prezentacja witruallizacja dc 1.3Prezentacja witruallizacja dc 1.3
Prezentacja witruallizacja dc 1.3Marta Pacyga
 
PLNOG15: Virtualization and automation of network and security services in Da...
PLNOG15: Virtualization and automation of network and security services in Da...PLNOG15: Virtualization and automation of network and security services in Da...
PLNOG15: Virtualization and automation of network and security services in Da...PROIDEA
 
PLNOG 9: Krzysztof Mazepa - Dostęp szerokopasmowy IPv6
PLNOG 9: Krzysztof Mazepa - Dostęp szerokopasmowy IPv6PLNOG 9: Krzysztof Mazepa - Dostęp szerokopasmowy IPv6
PLNOG 9: Krzysztof Mazepa - Dostęp szerokopasmowy IPv6PROIDEA
 
PLNOG19 - Krzysztof Banel - Nowe modele bezpieczeństwa w sieciach SDN
PLNOG19 - Krzysztof Banel - Nowe modele bezpieczeństwa w sieciach SDNPLNOG19 - Krzysztof Banel - Nowe modele bezpieczeństwa w sieciach SDN
PLNOG19 - Krzysztof Banel - Nowe modele bezpieczeństwa w sieciach SDNPROIDEA
 
[CareerCon] Wirtualizacja (PL)
[CareerCon] Wirtualizacja (PL)[CareerCon] Wirtualizacja (PL)
[CareerCon] Wirtualizacja (PL)Jaroslaw Sobel
 
Citrix NetScaler - Drogą wstępu do ADC
Citrix NetScaler - Drogą wstępu do ADCCitrix NetScaler - Drogą wstępu do ADC
Citrix NetScaler - Drogą wstępu do ADCPawel Serwan
 
PLONG 21: Marcel Guzenda - Chmura_prywatna_w_wydaniu_Hiperkonwergentnym
PLONG 21: Marcel Guzenda - Chmura_prywatna_w_wydaniu_HiperkonwergentnymPLONG 21: Marcel Guzenda - Chmura_prywatna_w_wydaniu_Hiperkonwergentnym
PLONG 21: Marcel Guzenda - Chmura_prywatna_w_wydaniu_HiperkonwergentnymPROIDEA
 
PLNOG 7: Krzysztof Konkowski - QoS a sieci agregacyjne
PLNOG 7: Krzysztof Konkowski - QoS a sieci agregacyjne PLNOG 7: Krzysztof Konkowski - QoS a sieci agregacyjne
PLNOG 7: Krzysztof Konkowski - QoS a sieci agregacyjne PROIDEA
 
PLNOG22 - Piotr Stolarek - Bezpieczeństwo użytkowania platform usługowych Tel...
PLNOG22 - Piotr Stolarek - Bezpieczeństwo użytkowania platform usługowych Tel...PLNOG22 - Piotr Stolarek - Bezpieczeństwo użytkowania platform usługowych Tel...
PLNOG22 - Piotr Stolarek - Bezpieczeństwo użytkowania platform usługowych Tel...PROIDEA
 
PLNOG 9: Łukasz Bromirski, Rafał Szarecki - MPLS VPN - Architektura i przeglą...
PLNOG 9: Łukasz Bromirski, Rafał Szarecki - MPLS VPN - Architektura i przeglą...PLNOG 9: Łukasz Bromirski, Rafał Szarecki - MPLS VPN - Architektura i przeglą...
PLNOG 9: Łukasz Bromirski, Rafał Szarecki - MPLS VPN - Architektura i przeglą...PROIDEA
 
PLNOG14: Nowości w protokole BGP, optymalizacja routingu na brzegu sieci - Łu...
PLNOG14: Nowości w protokole BGP, optymalizacja routingu na brzegu sieci - Łu...PLNOG14: Nowości w protokole BGP, optymalizacja routingu na brzegu sieci - Łu...
PLNOG14: Nowości w protokole BGP, optymalizacja routingu na brzegu sieci - Łu...PROIDEA
 
PLNOG 18 - Robert Ślaski - Programowanie a nie konfiguracja - porozmawiajmy z...
PLNOG 18 - Robert Ślaski - Programowanie a nie konfiguracja - porozmawiajmy z...PLNOG 18 - Robert Ślaski - Programowanie a nie konfiguracja - porozmawiajmy z...
PLNOG 18 - Robert Ślaski - Programowanie a nie konfiguracja - porozmawiajmy z...PROIDEA
 
PLNOG19 - Emil Gągała - Przewodnik nowoczesnego sieciowca po pasjonującym, No...
PLNOG19 - Emil Gągała - Przewodnik nowoczesnego sieciowca po pasjonującym, No...PLNOG19 - Emil Gągała - Przewodnik nowoczesnego sieciowca po pasjonującym, No...
PLNOG19 - Emil Gągała - Przewodnik nowoczesnego sieciowca po pasjonującym, No...PROIDEA
 
PLNOG 7: Krzysztof Mazepa - Konfiguracja usług szerokopasmowych na urządzenia...
PLNOG 7: Krzysztof Mazepa - Konfiguracja usług szerokopasmowych na urządzenia...PLNOG 7: Krzysztof Mazepa - Konfiguracja usług szerokopasmowych na urządzenia...
PLNOG 7: Krzysztof Mazepa - Konfiguracja usług szerokopasmowych na urządzenia...PROIDEA
 
PLNOG19 - Robert Ślaski - Przełączniki w wydaniu otwartym - po co Open Networ...
PLNOG19 - Robert Ślaski - Przełączniki w wydaniu otwartym - po co Open Networ...PLNOG19 - Robert Ślaski - Przełączniki w wydaniu otwartym - po co Open Networ...
PLNOG19 - Robert Ślaski - Przełączniki w wydaniu otwartym - po co Open Networ...PROIDEA
 
PLNOG 21: Marcin Motylski - Bezpieczeństwo_i_Firewalle_w_Multi_Cloud / Data _...
PLNOG 21: Marcin Motylski - Bezpieczeństwo_i_Firewalle_w_Multi_Cloud / Data _...PLNOG 21: Marcin Motylski - Bezpieczeństwo_i_Firewalle_w_Multi_Cloud / Data _...
PLNOG 21: Marcin Motylski - Bezpieczeństwo_i_Firewalle_w_Multi_Cloud / Data _...PROIDEA
 
PLNOG 8: Tomaz Kozar - UCaaS jako usługa z chmury
PLNOG 8: Tomaz Kozar - UCaaS jako usługa z chmury PLNOG 8: Tomaz Kozar - UCaaS jako usługa z chmury
PLNOG 8: Tomaz Kozar - UCaaS jako usługa z chmury PROIDEA
 

Similar to PLNOG 13: Gaweł Mikołajczyk: Data Center Security in 2014 (20)

PLNOG15: End of theoretical talks on SDN! Time for real solutions - Cisco SP ...
PLNOG15: End of theoretical talks on SDN! Time for real solutions - Cisco SP ...PLNOG15: End of theoretical talks on SDN! Time for real solutions - Cisco SP ...
PLNOG15: End of theoretical talks on SDN! Time for real solutions - Cisco SP ...
 
PLNOG20 - Krzysztof Mazepa - Transformacja poprzez innowacje
PLNOG20 - Krzysztof Mazepa - Transformacja poprzez innowacjePLNOG20 - Krzysztof Mazepa - Transformacja poprzez innowacje
PLNOG20 - Krzysztof Mazepa - Transformacja poprzez innowacje
 
PLNOG 8: Krzysztof Konkowski - GigabitEthernetem routera agregacyjnego do nie...
PLNOG 8: Krzysztof Konkowski - GigabitEthernetem routera agregacyjnego do nie...PLNOG 8: Krzysztof Konkowski - GigabitEthernetem routera agregacyjnego do nie...
PLNOG 8: Krzysztof Konkowski - GigabitEthernetem routera agregacyjnego do nie...
 
Prezentacja witruallizacja dc 1.3
Prezentacja witruallizacja dc 1.3Prezentacja witruallizacja dc 1.3
Prezentacja witruallizacja dc 1.3
 
PLNOG15: Virtualization and automation of network and security services in Da...
PLNOG15: Virtualization and automation of network and security services in Da...PLNOG15: Virtualization and automation of network and security services in Da...
PLNOG15: Virtualization and automation of network and security services in Da...
 
PLNOG 9: Krzysztof Mazepa - Dostęp szerokopasmowy IPv6
PLNOG 9: Krzysztof Mazepa - Dostęp szerokopasmowy IPv6PLNOG 9: Krzysztof Mazepa - Dostęp szerokopasmowy IPv6
PLNOG 9: Krzysztof Mazepa - Dostęp szerokopasmowy IPv6
 
PLNOG19 - Krzysztof Banel - Nowe modele bezpieczeństwa w sieciach SDN
PLNOG19 - Krzysztof Banel - Nowe modele bezpieczeństwa w sieciach SDNPLNOG19 - Krzysztof Banel - Nowe modele bezpieczeństwa w sieciach SDN
PLNOG19 - Krzysztof Banel - Nowe modele bezpieczeństwa w sieciach SDN
 
[CareerCon] Wirtualizacja (PL)
[CareerCon] Wirtualizacja (PL)[CareerCon] Wirtualizacja (PL)
[CareerCon] Wirtualizacja (PL)
 
Citrix NetScaler - Drogą wstępu do ADC
Citrix NetScaler - Drogą wstępu do ADCCitrix NetScaler - Drogą wstępu do ADC
Citrix NetScaler - Drogą wstępu do ADC
 
PLONG 21: Marcel Guzenda - Chmura_prywatna_w_wydaniu_Hiperkonwergentnym
PLONG 21: Marcel Guzenda - Chmura_prywatna_w_wydaniu_HiperkonwergentnymPLONG 21: Marcel Guzenda - Chmura_prywatna_w_wydaniu_Hiperkonwergentnym
PLONG 21: Marcel Guzenda - Chmura_prywatna_w_wydaniu_Hiperkonwergentnym
 
PLNOG 7: Krzysztof Konkowski - QoS a sieci agregacyjne
PLNOG 7: Krzysztof Konkowski - QoS a sieci agregacyjne PLNOG 7: Krzysztof Konkowski - QoS a sieci agregacyjne
PLNOG 7: Krzysztof Konkowski - QoS a sieci agregacyjne
 
PLNOG22 - Piotr Stolarek - Bezpieczeństwo użytkowania platform usługowych Tel...
PLNOG22 - Piotr Stolarek - Bezpieczeństwo użytkowania platform usługowych Tel...PLNOG22 - Piotr Stolarek - Bezpieczeństwo użytkowania platform usługowych Tel...
PLNOG22 - Piotr Stolarek - Bezpieczeństwo użytkowania platform usługowych Tel...
 
PLNOG 9: Łukasz Bromirski, Rafał Szarecki - MPLS VPN - Architektura i przeglą...
PLNOG 9: Łukasz Bromirski, Rafał Szarecki - MPLS VPN - Architektura i przeglą...PLNOG 9: Łukasz Bromirski, Rafał Szarecki - MPLS VPN - Architektura i przeglą...
PLNOG 9: Łukasz Bromirski, Rafał Szarecki - MPLS VPN - Architektura i przeglą...
 
PLNOG14: Nowości w protokole BGP, optymalizacja routingu na brzegu sieci - Łu...
PLNOG14: Nowości w protokole BGP, optymalizacja routingu na brzegu sieci - Łu...PLNOG14: Nowości w protokole BGP, optymalizacja routingu na brzegu sieci - Łu...
PLNOG14: Nowości w protokole BGP, optymalizacja routingu na brzegu sieci - Łu...
 
PLNOG 18 - Robert Ślaski - Programowanie a nie konfiguracja - porozmawiajmy z...
PLNOG 18 - Robert Ślaski - Programowanie a nie konfiguracja - porozmawiajmy z...PLNOG 18 - Robert Ślaski - Programowanie a nie konfiguracja - porozmawiajmy z...
PLNOG 18 - Robert Ślaski - Programowanie a nie konfiguracja - porozmawiajmy z...
 
PLNOG19 - Emil Gągała - Przewodnik nowoczesnego sieciowca po pasjonującym, No...
PLNOG19 - Emil Gągała - Przewodnik nowoczesnego sieciowca po pasjonującym, No...PLNOG19 - Emil Gągała - Przewodnik nowoczesnego sieciowca po pasjonującym, No...
PLNOG19 - Emil Gągała - Przewodnik nowoczesnego sieciowca po pasjonującym, No...
 
PLNOG 7: Krzysztof Mazepa - Konfiguracja usług szerokopasmowych na urządzenia...
PLNOG 7: Krzysztof Mazepa - Konfiguracja usług szerokopasmowych na urządzenia...PLNOG 7: Krzysztof Mazepa - Konfiguracja usług szerokopasmowych na urządzenia...
PLNOG 7: Krzysztof Mazepa - Konfiguracja usług szerokopasmowych na urządzenia...
 
PLNOG19 - Robert Ślaski - Przełączniki w wydaniu otwartym - po co Open Networ...
PLNOG19 - Robert Ślaski - Przełączniki w wydaniu otwartym - po co Open Networ...PLNOG19 - Robert Ślaski - Przełączniki w wydaniu otwartym - po co Open Networ...
PLNOG19 - Robert Ślaski - Przełączniki w wydaniu otwartym - po co Open Networ...
 
PLNOG 21: Marcin Motylski - Bezpieczeństwo_i_Firewalle_w_Multi_Cloud / Data _...
PLNOG 21: Marcin Motylski - Bezpieczeństwo_i_Firewalle_w_Multi_Cloud / Data _...PLNOG 21: Marcin Motylski - Bezpieczeństwo_i_Firewalle_w_Multi_Cloud / Data _...
PLNOG 21: Marcin Motylski - Bezpieczeństwo_i_Firewalle_w_Multi_Cloud / Data _...
 
PLNOG 8: Tomaz Kozar - UCaaS jako usługa z chmury
PLNOG 8: Tomaz Kozar - UCaaS jako usługa z chmury PLNOG 8: Tomaz Kozar - UCaaS jako usługa z chmury
PLNOG 8: Tomaz Kozar - UCaaS jako usługa z chmury
 

PLNOG 13: Gaweł Mikołajczyk: Data Center Security in 2014

  • 1. Bezpieczeństwo Data Center Gaweł Mikołajczyk gmikolaj@cisco.com Security Technical Solutions Architect CCIE #24987, CISSP-ISSAP, CISA, C|EH PLNOG13, September30, 2014, Kraków, Poland Anno Domini 2014
  • 2. © 2014 Cisco Public 2
  • 3. © 2014 Cisco Public 3http://plnog.pl/spotkanie-8-marzec/materialy http://www.youtube.com/watch?v=KocInCI4au0 • Bezpieczeństwo L2 • Segmentacja N-S • Segmentacja E-W • RBAC • Service Sandwich • FW | LB | IPS | NAM • Multitenant VMDC • TrustSec intro • Widoczność per VM Marzec 2012
  • 4. © 2014 Cisco Public 4http://plnog.pl/spotkanie-9-pazdziernik/materialy-2013-krakow http://www.youtube.com/watch?v=Wq_Da2buTTw • Firewall Clustering • Virtual Tenant Edge Firewall • Cloud Services Routing intro • Segmentacja overlay z TrustSec • ASA1000V • VSG • Nexus1000V • vPath Październik 2012
  • 5. © 2014 Cisco Public 5http://plnog.pl/spotkanie-10-luty/materialy http://www.youtube.com/watch?v=4StQjVaDwVQ • SDNizing the DC • Virtual DC Security • VXLAN • vPath • Service Chaining • N1kV dla Hyper-V • N1kV dla KVM (ß) • N1kV InterCloud • CSR1000V –Cloud Services Router – -IOS-XE architecture -MPLS use case -FlexVPN use case Luty 2013
  • 6. © 2014 Cisco Public 6 http://plnog.pl/spotkanie-11-wrzesien/materialy https://www.youtube.com/watch?v=G69J9AtV6GY • TrustSec solution • Classification • Propagation • Enforcement • Policy BuildingBlocks • Centralizationwith ISE • OverlaySXP Transport • InlineSGT Transport • SGT in L2 Networks • SGT for IPSec: • DMVPN • GETVPN • 802.1AE Encryption • SGACL | SGFW Wrzesień 2013
  • 7. © 2014 Cisco Public 7 Co zrobiłbyś inaczej, gdybyś wiedział że Twoje DC zostanie skompromitowane?
  • 8. © 2014 Cisco Public 8 Delta czasowa Włamanie/Wykrycie nie poprawia się Source: Verizon 2014 Data Breach Investigations Report
  • 9. © 2014 Cisco Public 9Widoczność i kontekst Firewall NGFW NAC + usługi Identity VPN UTM NGIPS Web Security Email Security Advanced Malware Protection Behawioralna analiza sieciowa Continuum ochrony zasobów krytycznych w DCBEFORE Kontrola WymuszenieWzmocnienieAFTER Określenie zakresu RemediacjaCykl ataku/obrony Wykrycie Blokowanie ObronaDURING IncidentResponse
  • 10. © 2014 Cisco Public 10 BEFORE| DURING | AFTER
  • 11. © 2014 Cisco Public 11 Klastrowaniefirewalli Do 320/640Gbps rzeczywistej/ maksymalnej przepustowości, 96M conns 2.8M CPS 32 aktywnych portów w Spanned Etherchannelz Nexus vPC 16 aktywnych portów StandaloneEtherchannel BEFORE: Segmentacja i filtrowanie
  • 12. © 2014 Cisco Public 12Cluster Control Link (CCL) Sesja TCP: Ruch symetrycznyDirectorOwnerKlientSerwer SYN SYN 1) State Update •Replikacja stanu z Ownera do Directora służy również jako wiadomość failover •Directorjest wybierany per połączenie z użyciem spójnego mechanizmu hashowania SYN/ACK SYN/ACKMordorSieć DC
  • 13. © 2014 Cisco Public 13Cluster Control Link (CCL) Sesja TCP: Ruch AsymetrycznyTCP SYN cookies z asymetrycznym rozkładem ruchuDirectorOwnerKlientSerwer SYN SYN 1)Encodes the owner information into SYN cookies 2)forwards SYN packet encoded with the cookie toward the server SYN/ACK SYN/ACKMordorSieć DC 3) SYN/ACK arrives at non-owner unit 4) decodes the owner information from the SYN cookie 5) forward packet to the owner unit over CCL SYN/ACK 1) State Update
  • 14. © 2014 Cisco Public 14Cluster Control Link (CCL) Sesja UDP:Ruch AsymetrycznyDirectorOwnerKlientSerwer 1) Owner Query •Urządzenie odpytuje directorao flowUDP którego nie jest Ownerem •Krótkie flowy(DNS, ICMP) nie mają forwarderaMordorSieć DC 4) Owner Query ? 5) Here is the Owner ID 2) Not Found 3) State Update
  • 15. © 2014 Cisco Public 15Cluster Control Link (CCL) Sesja TCP: Scenariusz awariiASA Failover RecoverySesjiOwnerKlientSerwer •Director urzymujebackup stub flow •Przekierowuje urządzenia do Ownera •Jeżeli Ownerulega awarii, Directorwymiera nowego OwneraMordorSieć DCASA XASA Y 1) Owner Query ? 1) Owner Query ? 3) You are onwer 4) The Owner is ASA X Director
  • 16. © 2014 Cisco Public 16Cluster Control Link (CCL) Sesja TCP: Scenariusz awariiASA Failover RecoverySesjiOwnerClientServerMordorSieć DCASA Y Packet M+1 Packet MDirector •Director urzymujebackup stub flow •Przekierowuje urządzenia do Ownera •Jeżeli Ownerulega awarii, Directorwymiera nowego Ownera
  • 17. © 2014 Cisco Public 17 W Krainie Wysokich Elfów: Geo-Clustering slot 1 slot 2 slot 3 slot 4 slot 5 slot 6 slot 7 slot 8 blade1 blade2 blade3 blade4 blade5 blade6 blade7 blade8 slot 1 slot 2 slot 3 slot 4 slot 5 slot 6 slot 7 slot 8 blade1 blade2 blade3 blade4 blade5 blade6 blade7 blade8 slot 1 slot 2 slot 3 slot 4 slot 5 slot 6 slot 7 slot 8 blade1 blade2 blade3 blade4 blade5 blade6 blade7 blade8 slot 1 slot 2 slot 3 slot 4 slot 5 slot 6 slot 7 slot 8 blade1 blade2 blade3 blade4 blade5 blade6 blade7 blade8 slot 1 slot 2 slot 3 slot 4 slot 5 slot 6 slot 7 slot 8 blade1 blade2 blade3 blade4 blade5 blade6 blade7 blade8 slot 1 slot 2 slot 3 slot 4 slot 5 slot 6 slot 7 slot 8 blade1 blade2 blade3 blade4 blade5 blade6 blade7 blade8 Data Center 1 Data Center 2 Tworzenie Klastra ASAMulti-Site Wbudowane mechanizmy obsługi ruchu asymetrycznego. Ta sama podsieć skonfigurowana po we wszystkich DC, ale zlokalizowana. GW Migracja workloadów …aktywne połączenia są utrzymywane przez klaster Urządzenia ASA w każdym DC …jako część infrastruktury bezpieczeństwa, zunifikowana konfiguracja i polityki, CCL przeniesiony przez DCI Klaster ASA …formuje się z urządzeń we wszystkich DC, loadbalancingbezstanowy bazujący na mechanizmach routing lub switchingDCI GW
  • 18. © 2014 Cisco Public 18IP 1.1.1.1IP 1.1.1.2IP 1.1.1.3IP 1.1.1.4OutsideInsideIP 1.1.2.1IP 1.1.2.2IP 1.1.2.3IP 1.1.2.4 Tryb Indywidualnych InterfejsówDCI PublicCCL OSPF peers 1.1.4.x OSPF peers 1.1.3.x slot 1 slot 2 slot 3 slot 4 slot 5 slot 6 slot 7 slot 8 blade1 blade2 blade3 blade4 blade5 blade6 blade7 blade8 slot 1 slot 2 slot 3 slot 4 slot 5 slot 6 slot 7 slot 8 blade1 blade2 blade3 blade4 blade5 blade6 blade7 blade8 slot 1 slot 2 slot 3 slot 4 slot 5 slot 6 slot 7 slot 8 blade1 blade2 blade3 blade4 blade5 blade6 blade7 blade8 slot 1 slot 2 slot 3 slot 4 slot 5 slot 6 slot 7 slot 8 blade1 blade2 blade3 blade4 blade5 blade6 blade7 blade8 slot 1 slot 2 slot 3 slot 4 slot 5 slot 6 slot 7 slot 8 blade1 blade2 blade3 blade4 blade5 blade6 blade7 blade8 slot 1 slot 2 slot 3 slot 4 slot 5 slot 6 slot 7 slot 8 blade1 blade2 blade3 blade4 blade5 blade6 blade7 blade8 ASA tworzą indywidualne Relacje OSPF Data Center 1 Data Center 2 Zlokalizowany First-Hop HSRP Router jest pierwszym przekokiemdla środowiska DC, emuluje te same IP/MAC w DC Active/Active Cluster Control Link ASAutrzymują stan i forwardująruch do właściciela w przypadku asymetrii / migracji workloadów Routing dynamiczny Rozrzucanie ruchu przez ECMP Routery sąsiadują przez DCI Trasa o wyższym koszcie do drugiego DC wspiera scenariusze awarii w obrębie jednego DC GW GW 9.1.4 Migracja workloadów …aktywne połączenia są utrzymywane przez klaster
  • 19. © 2014 Cisco Public 19 Wymagania na transport CCL(Cluster Control Link) Dark Media = Każde medium które transportuje ruch unicast/broadcast traffic pomiędzy urządzeniami ASA w tym samym klastrze DCI over dark media może być L2 extension, OTV lub Fabric Path Dark Media DCI musispełniać wymagania: Mniej niż 20msec RTT pomiędzy Data Centers Bez utraty pakietów na łączu ASA Control Plane (CCL) Bez Re-OrderinguPakietów ASA Cluster Control Link (CCL VLAN) jest rozciągnięty przez DCI ASA Data Link VLANs NIEsą rozciągnięte przez DCI
  • 20. © 2014 Cisco Public 20OutsideInside Geoclusteringw trybie IndividualMode(1/6) DCI PublicCCL OSPF peers OSPF peers slot 1 slot 2 slot 3 slot 4 slot 5 slot 6 slot 7 slot 8 blade1 blade2 blade3 blade4 blade5 blade6 blade7 blade8 slot 1 slot 2 slot 3 slot 4 slot 5 slot 6 slot 7 slot 8 blade1 blade2 blade3 blade4 blade5 blade6 blade7 blade8 slot 1 slot 2 slot 3 slot 4 slot 5 slot 6 slot 7 slot 8 blade1 blade2 blade3 blade4 blade5 blade6 blade7 blade8 slot 1 slot 2 slot 3 slot 4 slot 5 slot 6 slot 7 slot 8 blade1 blade2 blade3 blade4 blade5 blade6 blade7 blade8 slot 1 slot 2 slot 3 slot 4 slot 5 slot 6 slot 7 slot 8 blade1 blade2 blade3 blade4 blade5 blade6 blade7 blade8 slot 1 slot 2 slot 3 slot 4 slot 5 slot 6 slot 7 slot 8 blade1 blade2 blade3 blade4 blade5 blade6 blade7 blade8 Data Center 1 Data Center 2 GW GW ASA Owner Urządzenie które pierwsze otrzyma ruch, staje się właścicielem flow(Owner)
  • 21. © 2014 Cisco Public 21OutsideInside Geoclusteringw trybie IndividualMode(2/6) DCI PublicCCL OSPF peers OSPF peers slot 1 slot 2 slot 3 slot 4 slot 5 slot 6 slot 7 slot 8 blade1 blade2 blade3 blade4 blade5 blade6 blade7 blade8 slot 1 slot 2 slot 3 slot 4 slot 5 slot 6 slot 7 slot 8 blade1 blade2 blade3 blade4 blade5 blade6 blade7 blade8 slot 1 slot 2 slot 3 slot 4 slot 5 slot 6 slot 7 slot 8 blade1 blade2 blade3 blade4 blade5 blade6 blade7 blade8 slot 1 slot 2 slot 3 slot 4 slot 5 slot 6 slot 7 slot 8 blade1 blade2 blade3 blade4 blade5 blade6 blade7 blade8 slot 1 slot 2 slot 3 slot 4 slot 5 slot 6 slot 7 slot 8 blade1 blade2 blade3 blade4 blade5 blade6 blade7 blade8 slot 1 slot 2 slot 3 slot 4 slot 5 slot 6 slot 7 slot 8 blade1 blade2 blade3 blade4 blade5 blade6 blade7 blade8 OSPF Peers Data Center 1 Data Center 2 GW GW OSPF Peers
  • 22. © 2014 Cisco Public 22OutsideInside Geoclusteringw trybie IndividualMode(3/6) DCI PublicCCL OSPF peers OSPF peers slot 1 slot 2 slot 3 slot 4 slot 5 slot 6 slot 7 slot 8 blade1 blade2 blade3 blade4 blade5 blade6 blade7 blade8 slot 1 slot 2 slot 3 slot 4 slot 5 slot 6 slot 7 slot 8 blade1 blade2 blade3 blade4 blade5 blade6 blade7 blade8 slot 1 slot 2 slot 3 slot 4 slot 5 slot 6 slot 7 slot 8 blade1 blade2 blade3 blade4 blade5 blade6 blade7 blade8 slot 1 slot 2 slot 3 slot 4 slot 5 slot 6 slot 7 slot 8 blade1 blade2 blade3 blade4 blade5 blade6 blade7 blade8 slot 1 slot 2 slot 3 slot 4 slot 5 slot 6 slot 7 slot 8 blade1 blade2 blade3 blade4 blade5 blade6 blade7 blade8 slot 1 slot 2 slot 3 slot 4 slot 5 slot 6 slot 7 slot 8 blade1 blade2 blade3 blade4 blade5 blade6 blade7 blade8 OSPF Peers Data Center 1 Data Center 2 GW GW OSPF Peers Nowy właściciel Urządzenie które pierwsze otrzyma ruch z istniejącego flow, odpytuje Directorai staje się Ownerem.
  • 23. © 2014 Cisco Public 23OutsideInside Geoclusteringw trybie IndividualMode(4/6) DCI PublicCCL OSPF peers OSPF peers slot 1 slot 2 slot 3 slot 4 slot 5 slot 6 slot 7 slot 8 blade1 blade2 blade3 blade4 blade5 blade6 blade7 blade8 slot 1 slot 2 slot 3 slot 4 slot 5 slot 6 slot 7 slot 8 blade1 blade2 blade3 blade4 blade5 blade6 blade7 blade8 slot 1 slot 2 slot 3 slot 4 slot 5 slot 6 slot 7 slot 8 blade1 blade2 blade3 blade4 blade5 blade6 blade7 blade8 slot 1 slot 2 slot 3 slot 4 slot 5 slot 6 slot 7 slot 8 blade1 blade2 blade3 blade4 blade5 blade6 blade7 blade8 slot 1 slot 2 slot 3 slot 4 slot 5 slot 6 slot 7 slot 8 blade1 blade2 blade3 blade4 blade5 blade6 blade7 blade8 slot 1 slot 2 slot 3 slot 4 slot 5 slot 6 slot 7 slot 8 blade1 blade2 blade3 blade4 blade5 blade6 blade7 blade8 OSPF Peers Data Center 1 Data Center 2 GW GW OSPF Peers Reroutingdo DC-2 Zewnętrzne protokoły routingu mogą unikać DC-1 Najnowszy FlowOwner Urządzenie w DC-2 odpytuje Directorai staje się Owneremistniejącego flow
  • 24. © 2014 Cisco Public 24OutsideInside Geoclusteringw trybie IndividualMode(5/6) DCI PublicCCL OSPF peers OSPF peers slot 1 slot 2 slot 3 slot 4 slot 5 slot 6 slot 7 slot 8 blade1 blade2 blade3 blade4 blade5 blade6 blade7 blade8 slot 1 slot 2 slot 3 slot 4 slot 5 slot 6 slot 7 slot 8 blade1 blade2 blade3 blade4 blade5 blade6 blade7 blade8 slot 1 slot 2 slot 3 slot 4 slot 5 slot 6 slot 7 slot 8 blade1 blade2 blade3 blade4 blade5 blade6 blade7 blade8 slot 1 slot 2 slot 3 slot 4 slot 5 slot 6 slot 7 slot 8 blade1 blade2 blade3 blade4 blade5 blade6 blade7 blade8 slot 1 slot 2 slot 3 slot 4 slot 5 slot 6 slot 7 slot 8 blade1 blade2 blade3 blade4 blade5 blade6 blade7 blade8 slot 1 slot 2 slot 3 slot 4 slot 5 slot 6 slot 7 slot 8 blade1 blade2 blade3 blade4 blade5 blade6 blade7 blade8 OSPF Peers Data Center 1 Data Center 2 GW GW OSPF Peers
  • 25. © 2014 Cisco Public 25OutsideInside Geoclusteringw trybie IndividualMode(6/6) DCI PublicCCL OSPF peers OSPF peers slot 1 slot 2 slot 3 slot 4 slot 5 slot 6 slot 7 slot 8 blade1 blade2 blade3 blade4 blade5 blade6 blade7 blade8 slot 1 slot 2 slot 3 slot 4 slot 5 slot 6 slot 7 slot 8 blade1 blade2 blade3 blade4 blade5 blade6 blade7 blade8 slot 1 slot 2 slot 3 slot 4 slot 5 slot 6 slot 7 slot 8 blade1 blade2 blade3 blade4 blade5 blade6 blade7 blade8 slot 1 slot 2 slot 3 slot 4 slot 5 slot 6 slot 7 slot 8 blade1 blade2 blade3 blade4 blade5 blade6 blade7 blade8 slot 1 slot 2 slot 3 slot 4 slot 5 slot 6 slot 7 slot 8 blade1 blade2 blade3 blade4 blade5 blade6 blade7 blade8 slot 1 slot 2 slot 3 slot 4 slot 5 slot 6 slot 7 slot 8 blade1 blade2 blade3 blade4 blade5 blade6 blade7 blade8 OSPF Peers Data Center 1 Data Center 2 GW GW OSPF Peers OTV …Router użyje OTV by przekierować przychodzący z zewnątrz flowdo VM w DC-1 Przekierowanie do Ownera Znane połączenia są przekierowane do Owneradanego flow First Hop w obrębie DC …na wyjściu z VM przełączniki przekażą ruch do lokalnego GW w DC-1
  • 26. © 2014 Cisco Public 26 OutsideInside Tryb Spanned–Firewall TransparentnyDCI PublicCCL OSPF peers 1.1.3.x/24 OSPF peers 1.1.4.x/24 slot 1 slot 2 slot 3 slot 4 slot 5 slot 6 slot 7 slot 8 blade1 blade2 blade3 blade4 blade5 blade6 blade7 blade8 slot 1 slot 2 slot 3 slot 4 slot 5 slot 6 slot 7 slot 8 blade1 blade2 blade3 blade4 blade5 blade6 blade7 blade8 slot 1 slot 2 slot 3 slot 4 slot 5 slot 6 slot 7 slot 8 blade1 blade2 blade3 blade4 blade5 blade6 blade7 blade8 slot 1 slot 2 slot 3 slot 4 slot 5 slot 6 slot 7 slot 8 blade1 blade2 blade3 blade4 blade5 blade6 blade7 blade8 slot 1 slot 2 slot 3 slot 4 slot 5 slot 6 slot 7 slot 8 blade1 blade2 blade3 blade4 blade5 blade6 blade7 blade8 slot 1 slot 2 slot 3 slot 4 slot 5 slot 6 slot 7 slot 8 blade1 blade2 blade3 blade4 blade5 blade6 blade7 blade8 Data Center 1 Data Center 2 GW GW OSPF Peers 1.1.2.x/24 OSPF peers 1.1.1.x/24 RouterypeerująEIGRP/OSPF …bezpośrednio między sobą, transparentnie przez klaster ASA, który nie bierze udziału w relacjach routingu ASA Bridge-Group …wspiera 4 interfejsy / VLAN per domenę rozgłoszeniową. Jedno BVI per dzierżawca. Wirtualny kontekst kliencki …ta sama bridge-groupwidzi ruch kliencki we wszystkich DC, VLANyzostają lokalne per site. Emulacja tych samych MAC-A …na routerach, aby przedstawiać się klastrowi ASA jako ten sam next-hop externalrouter. To samo na wewnętrznych routerach MAC-B MAC- B MAC- B MAC- A MAC- A 9.2.1
  • 27. © 2014 Cisco Public 27 Wyzwanie dla klastrowania: LACP umożliwia relację agregacji interfejsów między dwoma urządzeniami, zgodnie ze specyfikacją IEEE Wymaganie: wsparcie dla LACP między wieloma (do 16) urządzeń ASA podłączonymi do jednego lub pary przełączników VPC/VSS Rekonfiguracja wiązki Etherchanneli ochrona przed blackholingiemruchu w przypadku awarii łącza lub urządzenia cLACPwspiera notyfikację dla cluster Control-Plane o zmianie statusu łączy w wiązce Etherchanneli dostarcza monitorowania stanu zdrowia cLACPrecoverypomiędzy urządzeniami ASA w przypadku opuszczenia klastra przez ASA Cluster Master cLACPjest adekwatny tylko dla trybu L2 pomiędzy klastrem ASA a switchem/switchamiupstream(vPCor VSS) Innowacja: clusteredLACP (cLACP)
  • 28. © 2014 Cisco Public 28 OutsideInside Geoclusteringw Trybie Spanned–Transparentnym (1/5) DCI PublicCCL OSPF peers OSPF peers slot 1 slot 2 slot 3 slot 4 slot 5 slot 6 slot 7 slot 8 blade1 blade2 blade3 blade4 blade5 blade6 blade7 blade8 slot 1 slot 2 slot 3 slot 4 slot 5 slot 6 slot 7 slot 8 blade1 blade2 blade3 blade4 blade5 blade6 blade7 blade8 slot 1 slot 2 slot 3 slot 4 slot 5 slot 6 slot 7 slot 8 blade1 blade2 blade3 blade4 blade5 blade6 blade7 blade8 slot 1 slot 2 slot 3 slot 4 slot 5 slot 6 slot 7 slot 8 blade1 blade2 blade3 blade4 blade5 blade6 blade7 blade8 slot 1 slot 2 slot 3 slot 4 slot 5 slot 6 slot 7 slot 8 blade1 blade2 blade3 blade4 blade5 blade6 blade7 blade8 slot 1 slot 2 slot 3 slot 4 slot 5 slot 6 slot 7 slot 8 blade1 blade2 blade3 blade4 blade5 blade6 blade7 blade8 Data Center 1 Data Center 2 GW GW OSPF Peers OSPF peers Właściciel flow(Owner) …SYN ląduje na urządzeniu i staje się ono OwneremFlow MAC- B MAC- B MAC- A MAC- A
  • 29. © 2014 Cisco Public 29 OutsideInside Geoclusteringw Trybie Spanned–Transparentnym (2/5) DCI PublicCCL OSPF peers OSPF peers slot 1 slot 2 slot 3 slot 4 slot 5 slot 6 slot 7 slot 8 blade1 blade2 blade3 blade4 blade5 blade6 blade7 blade8 slot 1 slot 2 slot 3 slot 4 slot 5 slot 6 slot 7 slot 8 blade1 blade2 blade3 blade4 blade5 blade6 blade7 blade8 slot 1 slot 2 slot 3 slot 4 slot 5 slot 6 slot 7 slot 8 blade1 blade2 blade3 blade4 blade5 blade6 blade7 blade8 slot 1 slot 2 slot 3 slot 4 slot 5 slot 6 slot 7 slot 8 blade1 blade2 blade3 blade4 blade5 blade6 blade7 blade8 slot 1 slot 2 slot 3 slot 4 slot 5 slot 6 slot 7 slot 8 blade1 blade2 blade3 blade4 blade5 blade6 blade7 blade8 slot 1 slot 2 slot 3 slot 4 slot 5 slot 6 slot 7 slot 8 blade1 blade2 blade3 blade4 blade5 blade6 blade7 blade8 Data Center 1 Data Center 2 GW GW OSPF Peers OSPF peers MAC- B MAC- B MAC- A MAC- A Nowy Owner Urządzenie które pierwsze otrzyma ruch odpytuje Directorai staje się Ownerem
  • 30. © 2014 Cisco Public 30 OutsideInside Geoclusteringw Trybie Spanned–Transparentnym (3/5) DCI PublicCCL OSPF peers OSPF peers slot 1 slot 2 slot 3 slot 4 slot 5 slot 6 slot 7 slot 8 blade1 blade2 blade3 blade4 blade5 blade6 blade7 blade8 slot 1 slot 2 slot 3 slot 4 slot 5 slot 6 slot 7 slot 8 blade1 blade2 blade3 blade4 blade5 blade6 blade7 blade8 slot 1 slot 2 slot 3 slot 4 slot 5 slot 6 slot 7 slot 8 blade1 blade2 blade3 blade4 blade5 blade6 blade7 blade8 slot 1 slot 2 slot 3 slot 4 slot 5 slot 6 slot 7 slot 8 blade1 blade2 blade3 blade4 blade5 blade6 blade7 blade8 slot 1 slot 2 slot 3 slot 4 slot 5 slot 6 slot 7 slot 8 blade1 blade2 blade3 blade4 blade5 blade6 blade7 blade8 slot 1 slot 2 slot 3 slot 4 slot 5 slot 6 slot 7 slot 8 blade1 blade2 blade3 blade4 blade5 blade6 blade7 blade8 Data Center 1 Data Center 2 GW GW OSPF Peers OSPF peers MAC- B MAC- B MAC- A MAC- A Najnowszy FlowOwner Urządzenie w DC-2 odpytuje Directorai staje się Owneremistniejącego flow
  • 31. © 2014 Cisco Public 31 OutsideInside Geoclusteringw Trybie Spanned–Transparentnym (4/5) DCI PublicCCL OSPF peers OSPF peers slot 1 slot 2 slot 3 slot 4 slot 5 slot 6 slot 7 slot 8 blade1 blade2 blade3 blade4 blade5 blade6 blade7 blade8 slot 1 slot 2 slot 3 slot 4 slot 5 slot 6 slot 7 slot 8 blade1 blade2 blade3 blade4 blade5 blade6 blade7 blade8 slot 1 slot 2 slot 3 slot 4 slot 5 slot 6 slot 7 slot 8 blade1 blade2 blade3 blade4 blade5 blade6 blade7 blade8 slot 1 slot 2 slot 3 slot 4 slot 5 slot 6 slot 7 slot 8 blade1 blade2 blade3 blade4 blade5 blade6 blade7 blade8 slot 1 slot 2 slot 3 slot 4 slot 5 slot 6 slot 7 slot 8 blade1 blade2 blade3 blade4 blade5 blade6 blade7 blade8 slot 1 slot 2 slot 3 slot 4 slot 5 slot 6 slot 7 slot 8 blade1 blade2 blade3 blade4 blade5 blade6 blade7 blade8 Data Center 1 Data Center 2 GW GW OSPF Peers OSPF peers MAC- B MAC- B MAC- A MAC- A Najnowszy FlowOwner Urządzenie w DC-2 odpytuje Directorai staje się Owneremistniejącego flow
  • 32. © 2014 Cisco Public 32 OutsideInside Geoclusteringw Trybie Spanned–Transparentnym (5/5) DCI PublicCCL OSPF peers OSPF peers slot 1 slot 2 slot 3 slot 4 slot 5 slot 6 slot 7 slot 8 blade1 blade2 blade3 blade4 blade5 blade6 blade7 blade8 slot 1 slot 2 slot 3 slot 4 slot 5 slot 6 slot 7 slot 8 blade1 blade2 blade3 blade4 blade5 blade6 blade7 blade8 slot 1 slot 2 slot 3 slot 4 slot 5 slot 6 slot 7 slot 8 blade1 blade2 blade3 blade4 blade5 blade6 blade7 blade8 slot 1 slot 2 slot 3 slot 4 slot 5 slot 6 slot 7 slot 8 blade1 blade2 blade3 blade4 blade5 blade6 blade7 blade8 slot 1 slot 2 slot 3 slot 4 slot 5 slot 6 slot 7 slot 8 blade1 blade2 blade3 blade4 blade5 blade6 blade7 blade8 slot 1 slot 2 slot 3 slot 4 slot 5 slot 6 slot 7 slot 8 blade1 blade2 blade3 blade4 blade5 blade6 blade7 blade8 Data Center 1 Data Center 2 GW GW OSPF Peers OSPF peers MAC- B MAC- B MAC- A MAC- A Pozostaje Ownerem ASA cały czas działa i dokonuje stanowej inspekcji tego samego flow OTV …Router użyje OTV by przekierować przychodzący z zewnątrz flowdo VM w DC-1 First Hop w obrębie DC …na wyjściu z VM przełączniki przekażą ruch do lokalnego GW w DC-1 Forwarddo Ownera Przekazanie ruchu do Owneraprzez CCL dla zachowania symetrii inspekcji
  • 33. © 2014 Cisco Public 33 KlastrowanieASA – IXIA BreakingPointStormCTM 16-node Demo https://www.youtube.com/watch?v=t1qyKnMGNkA
  • 34.
  • 35.
  • 36.
  • 37.
  • 38. © 2014 Cisco Public 38 BEFORE | DURING| AFTER
  • 39. © 2014 Cisco Public 39 SourcefireFirePOWERna platformach ASA Sourcefirena ASA5585-X (Hardware Blade) Sourcefirena ASA 5500-X (Software)
  • 40. © 2014 Cisco Public 40 2014 SecureData Center Design Guides http://www.cisco.com/c/en/us/solutions/enterprise/design-zone-secure-data-center-portfolio/index.html
  • 41. © 2014 Cisco Public 41
  • 42. © 2014 Cisco Public 42 BEFORE | DURING | AFTER
  • 44. 44 …stare dobre czasy…
  • 45. …to tylko dobre wspomnienia. 27,375,000 uaktualnień wykrywających malwaredla FireAMPw ciągu 2013
  • 46. © 2014 Cisco Public 46 MalwareSandboxing-Poza Horyzontem Zdarzeń Antivirus Sandboxing Początkowa dyspozycja = Clean Detekcja = Punkt w Czasie Początkowa dyspozycja= Clean Cisco AMP Skala kompromitacji nieznana Finalna dyspozycja = Malware= Za późno! Odwrócenie czasu Widoczność Kontrola Not 100% Analiza zatrzymuje się Techniki Sleep Nieznane Protokoły Szyfrowanie Polimorfizm Finalna dyspozycja = Malware= Blokuj Detekcja Retrospektywna, Analiza jest kontynuowana
  • 47. © 2014 Cisco Public 47 FireSIGHT ASA Cluster FirePOWER Services AMP dla Klastra ASA FirePOWER przed DC Analiza pliku w chmurze Lookup dyspozycji pliku (SHA256, Spero) Trajektoria plików Analiza i korelacja zdarzeń Manualna analiza dynamiczna Cisco Security Manager Chmura Analizy Dynamicznej VRT (sandbox) Chmura AMP Połączenie z Chmurą publiczną VRT Komponent Host-based
  • 48. © 2014 Cisco Public 48 Anonimizacjazapytań o reputację plików Analiza Retrospektywna Trajektoria Urządzenia Trajektoria Pliku Root Cause Śledzenie i Outbreak Control Prywatna Chmura AMP
  • 49. © 2014 Cisco Public 49 AMP Trajektoria Pliku w Sieci I Wprowadzenie malware
  • 50. © 2014 Cisco Public 50 AMP Trajektoria Pliku w Sieci II Wprowadzenie malware Wysłany mail (Thunderbird)
  • 51. © 2014 Cisco Public 51 AMP Trajektoria Pliku w Sieci III Click! Całościowa widoczność propagacji zaawansowanego malwarew środowisku
  • 52.
  • 53. © 2014 Cisco Public 53
  • 54. © 2014 Cisco Public 54 James Hamilton Vice President and Distinguished Engineer Amazon Web Services
  • 55. © 2014 Cisco Public 55 Producenci usług EPG “Users” EPG “Files” Leaf Nodes „Liście” Spine Nodes „Kręgosłup” ACI Fabric EPG “Internet” Virtual Leaf Konsumenci usług ACI –Application-CentricInfrastructure
  • 56. © 2014 Cisco Public 56 ACI Flow Abstraction “Files” “Users” Kontrakt “Users → Files” Definicja Endpoint Groups (EPG) Wszystkie endpointy podłączone do fabryki, fizyczne i wirtualne Programowalne Kontraktem Reguły Wejściowe Reguły sprzętowe per port – bezpieczeństwo, QoS Firewalling odwzorowujący politykę bezpieczeństwa Administrator bezpieczeństwa tworzy generyczne wzorce w APIC, odwzorowujące kontrakt Jeden punkt zarządzania Różne grupy administracyjne, ponowne użycie i współdzielenie obiektów Application Policy Infrastructure Controller (APIC) Definicja kontraktu między Endpoint Groups Reguły na poziomie portów: odrzuć ruch, priorytetyzuj, wyślij do łańcucha usługowego ACI Fabric
  • 57. © 2014 Cisco Public 57 Polityki ACI: Akcje Sześć typów opcji polityk ACI •Zezwól ruch •Blokuj ruch •Przekieruj ruch •Loguj zdarzenie •Kopiuj ruch •Oznacz ruch (DSCP/CoS) PermitDenyRedirectLog … … CopyPakietMarkPakietDSCP Polityka obejmuje obsługę ruchu, jakość usług, bezpieczeństwo i logowanie. 57
  • 58. © 2014 Cisco Public 58 EPG to EndpointGroup Zautomatyzowane i skalowalne wprowadzanie usługL4-L7 Pakiety pasujące do reguły przekierowania wchodzą do GrafuUsługowego Graf Usługowy może zawierać jedno lub więcej urządzeń usługowych w serii (łańcuchu) Graf Usługowy upraszcza i skaluje wprowadzanie usług Polityka przekierowania usług w ACI
  • 59. © 2014 Cisco Public 59 Typowy Łańcuch Usługowy ACI •Abstrakcja w obrębie łańcucha usługowego (service chain) •Każde urządzenie zna tylko swoją funkcję i wymienia ruch z fabryką •Możliwe różne ścieżki wynikowe •Wysoki stopień modularności •ACI utrzymuje symetrię ruchu przez tę samą instancję urządzenia SSL Firewall Reguły filtrowania, NAT, inspekcji NGIPS Analyzer EPG “Users” EPG “Web” EPG “Files”
  • 60. © 2014 Cisco Public 60 Nexus 7000 Przykład użycia ACI –FirewallingNorth-South •Bezstanowe przekierowanie ruchu do klastra ASA •Elastyczne horyzontalne skalowanie klastra do 16 urządzeń •Wydajność na żądanie •Fizyczne appliance–wysoka wydajność •Fabryka programuje interfejsy, pary VLANów, i polityki dla ruchu inter-EPG •Fabric kreuje wirtualne konteksty dla nowych dzierżawcówACI Fabric EPG Ext Graf EPG Ext ACI ASA EPG Web Fizycznie Logicznie EPG Web EPG DB ASA Cluster
  • 61. © 2014 Cisco Public 61 Przykład użycia ACI –FirewallingEast-West •Wirtualna ASAvodpowiada funkcjonalnie fizycznym urządzeniom ASA: •Podłączenie fizycznych lub wirtualnych (AVS) liści fabryki (N9k) •Kolokacja z VM produkcyjnymi na tych samych hostach •ASAvw parach wysokiej dostępności •Fabryka programuje VLANy i pary znaczników VxLANdla ruchu inter-EPG •APIC wykorzystuje API do tworzenia dodatkowych instancji ASAvna podstawie stanu zdrowia i bieżącej nadsubskrypcjiACI Fabric Graf Fizycznie Logicznie EPG Web ACI ASAv EPG DB EPG Web ASAv standby ASAv active EPG DB
  • 62. © 2014 Cisco Public 62
  • 63. © 2014 Cisco Public 63 63
  • 64.