Infrastruktúra az innováció szolgálatában: a Docker és a Kubernetes
NETaudIT
1. Hálózati eszközök konfiguráció biztonságának
ellenőrzése Cisco APIC-EM SDN-en keresztül
A
NET’54
‚’NETaudIT'
működése
és
illesztése
az
APIC
Enterprise Modul
API-‐hoz
Suba
Attila,
CISA,
CISSP
Műszaki igazgatóhelyettes,
NET’54
Kft.
3. NET’54 Üzleti Kommunikáció Kft.www.net54.hu / info@net54.hu3
Érdekes-e még a hálózatbiztonság?
“Az életciklusukon túli hardvereknek és szoftvereknek tulajdonítható leállások több kárt okoznak, mint a
kibertámadások.”1 – Dennis Wenk
Értékteremtés
Pillanatképek és a biztonságérzet
Kérdések fontosabbak vagy a válaszok?
1
Ross,
J.
Steven,
Information
Security
Matters:
Standley Baldwin's
Bombers,
ISACA
Journal
Volume
5,
2015
4. Olyan a hálózati eszközök konfigurációját az iparági
szabványok, ajánlások, rendszerintegrátori tapasztalatunk
fényében biztonsági szempontból ellenőrző eszköz
megalkotása, amely egyszerűen használható eszköz a
nagyvállalati hálózati szakemberek, informatikai auditorok és
vezetők számára.
Célkitűzés
6. 6
Problémák azonosítása, osztályzása
fontosság Specifikus leírás
1 Nagy mennyiségű hálózati eszközök konfiguráció-biztonságának szinten-
tartása összetett feladat
2 A konfigurációk ellenőrzése manuálisan nehézkes, a feltárt problémák
rendezett, struktúrált reprezentációja időigényes, és a
megismételhetőség kritériumával bővítve egyre nehebbé válik.
3 Saját toolok híján, saját fejlesztés szükséges vagy olyan sw használata,
amelynek nem specifikusan ezzel a problémára nyújt megoldást
Üzleti környezet
NETaudIT
Nagyvállalatok
Sok hálózati eszközzel (10-től több ezerig)
Információbiztonsági audit/ellenőrzési kötelezettség van a hálózat tekintetében.
Nincs eszköz a standardok betartásának ellenőrzésére
Nincs (multi)vendor tudás a konfiguráció-biztonság kialakítására
NETaudIT
4 Nincs átfogó képem a hálózat állapotáról
7. 7
• Szolgáltatás: policy/szabályzatok megismerése, kialakítása, speciális szabályrendszerek definiálása
• Eszközök tömeges vizsgálata, akár napi rendszerességgel sok szempontból
• Eszközök beállításai megfelelnek-e a belső szabályzatnak
• Eszközök beállításai megfelelnek-e a legfrissebb biztonsági elvárásoknak
• Adminisztrátorok, dolgozók nem hagynak-e nyitva (direkt vagy véletlenül) hátsó ajtókat
• Multivendor támogatás
A megoldás kulcsterületei
8. 8
• A legmagasabban képzett, tapasztal Cisco (és más vendor) mérnökök által előre elkészített és
folyamatosan frissített szabálykönyvtár
• Saját szabályok hozhatók létre, a szervezet belső szabályzatának és egyedi igényeknek való
megfelelősség ellenőrzésére
• Akár több ezer konfiguráció ellenőrzése elindítható egyetlen gombnyomással, vagy automatizáltan
• A szabályokat naplózni tudjuk, így pontosan visszakereshetők a feltárt sérülékenységek részletei
• Összesítő riport – vezetői áttekintés
• Szabály-konfiguráció eredmény mátrix riport
A NETAudIT értékei
9. 9
Más termék NETaudIT
Új szolgáltatás kialakítása:
Új biztonsági ellenőrző funkcionalitás beléptetése a vállalati infomatikába, amely a minden informatikai szolgáltatás
alapját képező hálózati szakasz emberi hibáknak kitett területére fókuszál, könnyen ismételhető és jól riportálható
eszköz formájában.
1. xxxxxx árfekvése
nehézségek/overheadek/tréningek/support/integráció
2. Sok manuális munka
3. Felesleges modulok, USA könyezetre kidolgozott
részelemek
4. Üzemeltetési nehézségek
5. Cloudban történő kiértékelés
1. Egyetlen szimpla rendszer, amely támogató eszköz a
feladatok elvégzésére
2. Beépített szabályrendszerek, szabad
továbbfejleszthetőség, letisztult folyamatokból
felépítve
3. Kisebb és óriási méretekben is alkalmazható
4. Hardver független (nem csak Cisco)
5. Auditor-, üzemeltetői és vezetői tool egyszerre
Összehasonlítások
10. 10
• Alacsonyabb bekerülési költség
• Kisebb és hatalmas rendszerekben való gondolkodás lehetősége, azonos képességekkel
• Alacsony költség mellett azonos value proposition
• Csak a tényleges funkcionalitást kell megvenni
• Rugalmas fejlesztő partner, a fejlesztő támogatásával, helyi támogatás
• Egyszerű kezelőfelület, BÁRKI használhatja
Várható előnyök
11. 11
Kockázat % Hatás Megelőzés
Bizalmatlanság szoftverrel szemben 70% KRITIKUS oktatások, demók állnak
rendelkezésre, próbaidőszak
Együttműködés a meglevő
környezettel, egyedi igények
50% HIGH A NET’54 rendszerintegrációs
szolgáltatásai
Infrastruktúra biztonság
bagatelizálása
70% HIGH Oktatások, konzultációk, helyi
specifikumok illesztése szükség
esetén
Üzleti kockázatok és megelőzésük
14. Agility Requires Faster Network Provisioning
Source:
Forrester Source:
Open
Compute
Project
Time
IT
spends
on
operations80% CEOs
are
worried
about
IT
strategy
not
supporting
business
growth57%
Network
Expenses Deployment
Speed
0 10 100 1000
Computing Networking
Seconds
0
100%
CAPEX OPEX
33% 67%
17. Common
Policy
Model
from
Branch
to
Data
Center
Application
Network
Flow
Profile
SLA,
Security,
QoS,
Load
Balancing
User
and
Things
Network
Profile
QoS,
Security,
SLA,
Device,
Location,
Role
Cloud Data
Center WAN Access
POLICY
DATA
CENTER WAN
AND
ACCESS
CISCO®
ADVANTAGE
BROWNFIELD
AND
GREENFIELD
END
TO
END
POLICY
FRAMEWORK:
FOCUS
ON
APPLICATION
AND
USER
ENABLEMENT
18. Devices
Supported
General
Availability
Release
`
Device Series
Catalyst 2960-X/XR Series Switches Catalyst 4500x Series Switches
Catalyst 2960-S Series Switches Catalyst 4900 Series Switches
Catalyst 2960 Series Compact
Switches
Catalyst 6500 Series Switches
Catalyst 3560 Series Compact
Switches
Catalyst 6800 Series Switches
Catalyst 3650 Series Switches Cisco Nexus 5000 Series Switches
Catalyst 3850 Series Switches Cisco Nexus 7000 Series Switches
Catalyst 3750-X Series Switches
EtherSwitch Modules for Integrated
Services Routers: SM-E22-16-P, SM-
ES2-24-P, SM-D-ES2-48, SM-ES3-16-
P, SM-ES3-24-P, SM-D-ES3-48-P
Catalyst 3560-X Series Switches Industrial Ethernet 2000 Series Switches
Catalyst 4500 Series Switches Industrial Ethernet 3000 Series Switches
LAN
Device Series
4000 Series Integrated Services Routers
Integrated Services Routers Generation 2
ASR 1000 Series Aggregated Services Routers
ASR 9000 Series Aggregated Services Routers
Cisco Cloud Services Router 1000v
WAN
Device Series
Wireless LAN Controllers (IOS XE & AireOS)
WLAN
19. `
Controller
Applications
-‐ Device
Inventory
Single
Source
of
Truth
§ Real-‐time
network
device
inventory
and
asset
service
management
§ Includes
all
network
devices
with
an
abstraction
for
the
entire
network:
− Full
knowledge
of
network
− Awareness
of
the
overall
operational
health
of
the
physical
network
− Detailed
inventory
information
for
easier
consumption
by
controller
services
and
applications
− Allows
applications
to
be
device-‐agnostic
§ Inventory
service
runs
in
the
background
to
maintain
an
accurate
database
22. APIC-EM Northbound REST API
Problem: How to get started with a Controller API?
Solution: Explore
Example:
1) In the APIC-EM User Interface,
click on [API]
2) Navigate to the desired API
in our example:
/network-device/count
47
25. NET’54 Üzleti Kommunikáció Kft.www.net54.hu / info@net54.hu25
NETAudIT működési ciklus
Collect
Classify
Analyse
Report
Remediate
(opcionális)
Nem
része
az
NETAudit-‐
nak!
(seggregation of
duties)
26. NET’54 Üzleti Kommunikáció Kft.www.net54.hu / info@net54.hu26
NETAudIT logika
Source
Config Identification Parsing
JSON
Config
GrammarIdentifier
Classification
Classifier
Plain
text
JavaScript
Plain
text
XML JavaScript
JSON
DB DB
AuditingJSON
Rule
JavaScript
Result
Matrix
RulesGrammars
DB
APIC-‐EM
Web
GUI
upload
Bulk
Insert
Script
REST
API
HTTPFiles
Selects
the
grammar
to
use
for
parsing
Selects
the
group
of
rules
to
run
on
the
config
27. Konfigurációk betöltése
Source
Config Identification Parsing
JSON
Config
GrammarIdentifier
Classification
Classifier
Plain
text
JavaScript
Plain
text
XML JavaScript
JSON
DB DB
AuditingJSON
Rule
JavaScript
Result
Matrix
RulesGrammars
DB
APIC-‐EM
Web
GUI
upload
Bulk
Insert
Script
REST
API
HTTPFiles
Selects
the
grammar
to
use
for
parsing
Selects
the
group
of
rules
to
run
on
the
config
28. Source
Config Identification Parsing
JSON
Config
GrammarIdentifier
Classification
Classifier
Plain
text
JavaScript
Plain
text
XML JavaScript
JSON
DB DB
AuditingJSON
Rule
JavaScript
Result
Matrix
RulesGrammars
DB
APIC-‐EM
Web
GUI
upload
Bulk
Insert
Script
REST
API
HTTPFiles
Selects
the
grammar
to
use
for
parsing
Selects
the
group
of
rules
to
run
on
the
config
29. Source
Config Identification Parsing
JSON
Config
GrammarIdentifier
Classification
Classifier
Plain
text
JavaScript
Plain
text
XML JavaScript
JSON
DB DB
AuditingJSON
Rule
JavaScript
Result
Matrix
RulesGrammars
DB
APIC-‐EM
Web
GUI
upload
Bulk
Insert
Script
REST
API
HTTPFiles
Selects
the
grammar
to
use
for
parsing
Selects
the
group
of
rules
to
run
on
the
config
32. Auditálás
Source
Config Identification Parsing
JSON
Config
GrammarIdentifier
Classification
Classifier
Plain
text
JavaScript
Plain
text
XML JavaScript
JSON
DB DB
AuditingJSON
Rule
JavaScript
Result
Matrix
RulesGrammars
DB
APIC-‐EM
Web
GUI
upload
Bulk
Insert
Script
REST
API
HTTPFiles
Selects
the
grammar
to
use
for
parsing
Selects
the
group
of
rules
to
run
on
the
config
33. szabályrendszerek
Source
Config Identification Parsing
JSON
Config
GrammarIdentifier
Classification
Classifier
Plain
text
JavaScript
Plain
text
XML JavaScript
JSON
DB DB
AuditingJSON
Rule
JavaScript
Result
Matrix
RulesGrammars
DB
APIC-‐EM
Web
GUI
upload
Bulk
Insert
Script
REST
API
HTTPFiles
Selects
the
grammar
to
use
for
parsing
Selects
the
group
of
rules
to
run
on
the
config
42. NET’54 Üzleti Kommunikáció Kft.www.net54.hu / info@net54.hu42
NETAudIT működési ciklus
Collect
Classify
Analyse
Report
Remediate
(opcionális)
Nem
része
az
NETAudit-‐
nak!
(seggregation of
duties)
43. NET’54 Üzleti Kommunikáció Kft.www.net54.hu / info@net54.hu43
Remediate
Collect
Classify
Analyse
Report
Remediate
(opcionális)
Miért
nem
javítunk?
(SoD)
Hogy
lehet
javítani?
Roadmap