More Related Content Similar to Защита центров обработки данных Similar to Защита центров обработки данных (20) More from Cisco Russia (20) 1. Защищенный центр
обработки данных
без границ
Алексей Лукацкий
Бизнес-консультант по безопасности
Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential
2. Основные предпосылки
Давление, оказываемое на современные ЦОД,
1 приводит к пересмотру границ ЦОД и подходов к его ИБ
"Без границ" не значит "без периметра" —
2 напротив, это значит "динамический,
интеллектуальный, контекстно-зависимый периметр"
Масштабируемость и
3 простота, открытость, виртуализация и
распределенные сетевые сервисы — основные
элементы архитектуры защищенного ЦОД "без границ"
Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 3/75
3. Архитектура системы безопасности
сети без границ
Политика
Политика 4 (Контроль доступа,допустимое использование,
вредоносное ПО, защита данных)
без границ
Корпоративный
периметр Платформа Инфраструктура
ЦОД
Приложения как сервис как сервис
X
3
и данные ПО
как сервис как сервис
Центральный
офис
без границ
Интернет
2
зоны без границ
Филиал
Оконечные
Аэропорт Домашний
офис
1
Мобильный Кафе
пользователь Атакующие Партнеры Заказчики
Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 4/75
4. Современный ЦОД
Давление со всех сторон
Соответствие
нормативным
требованиям
Быстрое
Внутренние выделение
пользователи ресурсов
Мобильные Совместно
пользователи Пользователи ЦОД Доступ работающие
приложения
Внешние к сервисам Гибкость
пользователи
сервисов
Атакующие Производительность
приложений
Оптимизация
эксплуатации
Глобальная
доступность Защита
Использование окружающей
ресурсов среды
Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 5/75
5. Эволюция ЦОД
Новые тенденции влияют на архитектуру ЦОД
Распределенность
Контроль доступа; масштабируемость
Виртуализация
Консолидация; оптимизация; гибкость
Открытость
Защищенный доступ мобильных и внешних пользователей
Масштабируемость и простота
Масштабирование емкости и производительности в соответствии с бизнес-требованиями
2000 2005 2010 2015
Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 6/75
6. Сложности обеспечения ИБ в ЦОД
Виртуализация
Сети хранения
Приложения
Утечки данных
Соответствие
Доступность
Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 7/75
7. Предыдущее целостное видение
Cisco для центров обработки данных
Серверная L2/L3
Сеть хранения Frontend и приложения
ферма сеть
Clustered Servers Resilient Security Application Business
IP Networking Applications
Application
Control
VPN Engine
SAN
Основной ЦОД
Disk
SSL
Firewall
Infiniband
GSS
IDS
NAS
Tape
Anomaly
Detect/Guard Wide Area
Application
Services IBM
GE/
WAFS 10GE
Metro Network WAN
Optical/Ethernet WAAS
MDS Clients
ONS 15000 9216
Резервный ЦОД Филиал
Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 8/75
8. Ключевые элементы ИБ
1 Безопасность периметра ЦОД
2 Безопасность сети хранения данных (SAN)
3 Безопасность на уровне Nexus / Catalyst
4 Безопасность виртуализации
5 Безопасность ЛВС ЦОД
Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 9/75
10. Сначала было так
Пример отказоустойчивого многофункционального внедрения
Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 11/75
11. Потом стало так: появление контекстов
Мониторинг, безопасность и LB
Web-серверы
Группирует коммутаторы доступа и
восходящие каналы связи в ядро
Серверы приложений
Развитые приложения и функции
безопасности, разделяемые между
серверами из разных стоек /
соединенных с разными
Серверы баз данных коммутаторами доступа
Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 12/75
12. Архитектура современного ЦОД
Уровень ядра
NEXUS 7000
Уровень
распределения
MDS- Services
Storage NEXUS 7000 Ex. Catalyst 6500
vPC & VDC
w ww
NEXUS 7000
NEXUS vPC
5000 NEXUS
2000
Expanded Memory
NEXUS 1000v
VM VM
NEXUS
VM
VM
VM
VM
1000v
VM
VM
VM
VM
VM
VM
VM
VM Virtual Adapter VM
VM
VM
VM
VM VM VM VM VM VM
Nexus 5000
10 GE Nexus 7000
N2K / N5K N2K / N7K Unified Compute
FCoE 1/10GE
1 GE 1 GE
Уровень
доступа
Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 13/75
13. Как обеспечить ИБ?
Распределение информационных
активов по их критичности:
Что поддерживает Ваш бизнес?
Как Вы зарабатываете деньги?
Равносильна ли потеря данных или
конфиденциальности потере $?
Каким регулирующим требованиям Вы
должны соответствовать?
Как Вы защищаете данные критичные
для бизнеса?
Как подержать высокую репутацию
бренда и не оказаться в скандальных
заголовках газет?
Ответив на эти вопросы мы можем
сформулировать какой должна быть
система ИБ
Presentation_ID Cisco Systems, Inc. All rights reserved.
© 2006 © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 14
14/75
14. Полный жизненный цикл безопасности
Система безопасности – один из элементов
жизненного цикла системы
Потребности бизнеса Нужды Анализ
Какие операции хочет осуществлять ваша бизнеса риска
организация с сетью?
Анализ риска
Каково соотношение риска и затрат? Политика безопасности
Политические
Политика безопасности правила, принципы, стандарты
Каковы политические правила, стандарты и
рекомендации по удовлетворению
потребностей бизнеса и снижению риска? Лучший
Технологии
Лучший отраслевой практический опыт отраслевой
безопасности
опыт
Каковы надежные, хорошо понятные и
рекомендуемые лучшие практические
приемы обеспечения безопасности?
Операции безопасности
Операции обеспечения безопасности Разрешение инцидентов, мониторинг
и сопровождение,
Реакция на проверки соответствия
инциденты, мониторинг, сопровождение и
Presentation_ID соответствия системы. rights reserved.
аудит © 2009 Cisco Systems, Inc. All Cisco Confidential 15/75
15. Среда управления ИБ, созданная Cisco
Cisco SAFE Next Generation
Цели безопасности Действия Введение единой
терминологии и таксономии
Идентификация Обеспечение
Контроль согласованности решений и
Мониторинг сервисов
Обнаружение,
мониторинг, сбор,
обнаружение и
Корреляция Особое внимание вопросам
классификация
пользователей, эксплуатации
трафика, приложений и
протоколов
сетей, созданных в
Защита соответствии с архитектурой
Управле-
ние Изоляция Помогает идентифицировать
векторы угроз и выбрать
Защита, повышение
Выполнение технические средства
надежности, ограничение
доступа и изоляция защиты
устройств, Описание
пользователей, трафика, действий, обеспечивающих
приложений и контроль и управление
протоколов
Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 16/75
16. ―Ключевые области‖ безопасности
Все они могут быть
применены к конечной
точке, к приложению, к сети
или к целому ЦОД
Защита Идентифи-
Это сфокусированный соединений кация и
способ реализовать управление
требуемые критерии доступом
безопасности Управление
Выявление и безопасностью
Помогает лучше понять устранение
различные технологии и их угроз
оптимальную синергию
Защита
Из-за ограниченности инфраструктуры
времени мы не будем
рассматривать защищенные
соединения.
Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 17/75
17. Общий подход к защите ЦОД
Вчера? Сегодня! И завтра!?
•Идентификация и контроль
доступа:
802.1x, списки доступа, МСЭ
•Обнаружение и предотвращение
атак:
NetFlow, Syslog, SNMP, MARS, IDS,
IPS
•Защита инфраструктуры:
AAA, CoPP, SSH, uRPF, SNMP
v3, IGP/EGP MD5, L2 security
features
•Защита приложений:
ASA, ASA-CX, WSA, IPS
•Управление безопасностью:
CSM
Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 18/75
18. Подходы одинаковые везде
Безопасность сетей
хранения
VLAN VSAN
ACL hard/soft zoning
Ethernet Port Security
FC Port Security
IPSec FCSec, как часть
FC-SP
И т.д.
Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 19/75
20. Набор решений Cisco для защиты
периметра ЦОД
Cisco Secure X
Компоненты системы
защиты Управление безопасностью
Cisco ISE, CSM
управляют
безопасностью Защита приложений
ASA, ASA-
CX, IPS, IronPort
обеспечивает защиту
приложений Защита контента
Решения IronPort
защищают контент
ASA, IPS в канале Защита сети
передачи данных
защищают сеть
Защита инфраструктуры
реализуется на Защита инфраструктуры
маршрутизаторах, коммут
аторах и МСЭ
Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 21/75
22. Арсенал ИБ коммутаторов
Catalyst с IOS/CatOS или Nexus с NX-OS
Базовая безопасность
Списки контроля доступа
Cisco Express Forwarding
Control-plane Rate Limiting
Scavenger-Class Queue
Port Security
Broadcast Suppression
BPDU-Guard/Root-Guard
и т.д.
Расширенная безопасность
МСЭ, IPS, IPSec
VPN, балансировка нагрузки и
т.д. (пока только для Catalyst
6500)
February 2003, v1
Presentation_ID © 2003, Cisco Systems, Inc. All rightsAll rights reserved.
© 2009 Cisco Systems, Inc. reserved. Cisco Confidential 23
23/75
23. Технологии защиты инфраструктуры
Защита уровня Защита STP root guard
управления (CoPP)
AAA CLI
Инфраструктурные
SSH
списки ACL
SNMPv3
Антиспуфинг
RFC2827 Ограничители скорости
uRPF
Планировщики ресурсов
Динамическое
инспектирование ARP
Отслеживание DHCP
Механизм защиты BPDU
Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 24/75
24. Технологии выявления и подавления
угроз
Системы предотвращения Syslog
вторжений на базе сетей Системы корреляции
(NIPS) событий
Устройства адаптивной
безопасности (ASA) Система
мониторинга, анализа и
IPS ответных мер (MARS)
Cisco IOS IPS
Ловушки SNMP
NetFlow Удаленный мониторинг
«Черные дыры» с Захват пакетов
удаленной инициацией
Маршрутизация со
сбросом
Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 25/75
25. Технологии идентификации и
управления доступом
Управление доступом в Безопасность портов
сеть (NAC) Web-аутентификация
NAC на базе маршрутизатора
NAC на базе коммутатора
Обход аутентификации
Устройство NAC
Mac
(Clean Access) Списки управления
IEEE 802.1x/Cisco IBNS доступом (ACL)
VMPS Межсетевые экраны
Инспектирование параметров
X-Auth состояния
Lock and key Инспектирование приложений
AAA RADIUS
и TACACS+
Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 26/75
27. Проблемы безопасности SAN
Целостность и безопасность данных
Управление SAN Протокол
безопасности
Доступ в SAN SAN
Доступ к системам
хранения
Протоколы SAN Target
Сеть Хранения
IP сеть хранения
Целостность и
Безопасность
конфиденциальность доступа к
данных Безопасность
системам
хранения
доступа к SAN
iSCSI
Безопасность
IP SAN
Безопасность (iSCSI/FCIP)
управления SAN
Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 28/75
28. Управление SAN: угрозы
Нарушение процесса
коммутации
Результат: Коммутатор не
может реагировать на события
в сети
Нарушение стабильности сети
Результат: Отказ
сервиса, незапланированный
простой
Нарушение целостности и Out-of-band
конфиденциальности управление
Результат: Повреждение
LUN, повреждание
данных, кража или потеря
данных Случайные или намеренные
вредоносные управляющие
действия
Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 29/75
29. Управление SAN: безопасность
• Authentication, Authorization, Account SAN Management Security Infrastructure
ing (AAA) всех действий
• RADIUS/TACACS+ Сеть
Управления IP-over-FC, резервное
соединение
• Syslog
• SNMP Traps
• CallHome (SMTP)
RADIUS
• Ролевое управление контролем
доступа
Out-of-band Управление
• Безопасный транспорт для TACACS+
по сети Ethernet
управления
• SSH
• SNMPv3
• SSL/TLS
SNMP
• Контроль доступа интерфейсов
управления NTP
Cisco Fabric
Manager
MDS 9000
NX-OS CLI
SNMPv3 SSH/SFTP
• Согласованность политик NTP switch> config t
безопасности для всех
switch(config)>
analyzer on
switch(config)>
exit
switch>
коммутаторов сети хранения
Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 30/75
30. Доступ к SAN: угрозы
Повреждение данных
приложений
Результат:
Незапланированный
простой, потеря данных
Нарушение целостности LUN
Результат: Подключение
Доступ к
системам
Незапланированный серверов
хранения
простой, потеря данных
Снижение производительности
приложений
Результат:
Незапланированный
простой, низкая
производительность В/В
Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 31/75
31. Безопасность Fibre Channel
Зонирование FC обеспечивает разделение
между системами хранения
Режим порта предотвращает формирование ISL
на edge портах
Port Security помогает защищаться от подмены
WWN
Виртуальные SAN (VSAN) обеспечивают
разделение между виртуальными сетями
FC Security Protocol (FC-SP) финальный шаг для
безопасности FC
Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 32/75
32. Доступ к SAN: зонирование FC
D1 D2 D3 D4
Zone
D3D4
Zone
H2_D1
Zone T1
H1_D1
Zone
H5_T1
H1 H2 H3 H4 H5
FC FC
FC FC FC
Zone
H3H4_D2D3
Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 33/75
33. Доступ к SAN: зонирование FC
Зоны состоят из одного или более элементов
Элементы зоны могут быть:
Port WWN устройства (индивидуально для интерфейса)
Node WWN устройства (глобально для устройства)
Port WWN порта коммутатора
Коммутатор + Интерфейс
Символическое Имя (iSCSI)
Один или более элементов могут определяться
псевдонимами (Alias)
WWN + LUN
Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 34/75
34. Доступ к SAN: зонирование FC
Зоны обеспечивают разделение групп хостов и
систем хранения в SAN
Некоторые операционные системы пытаются записать
метку на все обнаруженные диски, вызывая потерю или
порчу данных
Зонирование обеспечивает разделение, но не
имеет какой–либо аутентификации
Обход зонирования
путем имперсонации
устройства (WWN spoofing)
возможно и достаточно
просто
http://www.emulex.com/ts/fc/docs/wnt2k/2.00/pu.htm
Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 35/75
35. Доступ к SAN: зонирование FC
Soft Zoning
Сеть ограничивает информацию элементам, не
входящим в зону
На программном уровне
Устройство входит в сеть и опрашивает сервер
имен, какие устройства доступны; и получит
информацию только о тех устройствах, которые входят
в те же зоны
Hard Zoning
Сеть не передает трафик элементам, не
входящим в зону
На аппаратном уровне, для каждого фрейма
Стандарт не определяет проверять ли входящие или
исходящие фреймы
Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 36/75
36. Зонирование в Cisco MDS 9000
Зонирование в коммутаторах Cisco MDS
реализовано на аппаратном уровне
fWWN-1 fWWN-3
Вне зависимости от использования WWN и Port_ID-1 Port_ID-3
Port_ID в одной зоне—все на аппаратном уровне 1 pWWN-1 pWWN-3
WWN переводятся в FCID для фильтрации fWWN-2 fWWN-4
Port_ID-2 Port_ID-4
фреймов
2 pWWN-4
Выделенные высокоскоростные фильтры
(TCAM) проверяют все фреймы на аппаратном pWWN-2 FCID-2 Аппаратная
WWN переводятся в фильтрация
уровне на каждом порту
FCID для фильтров фреймов (TCAM)
До 20,000 правил состоящих из зон и элементов
зоны
Зона А
Фильтрация на полной линейной скорости— (активная)
никакого влияния вне зависимости от количества
зон или элементов зон
Оптимизированная программация при активации
набора зон — инкрементальные обновления
*
SCN сохраняются в пределах зон в VSAN Для добавления нового хоста в
Зону А и активации, добавочные
Выборочное поведение ―Default zone‖ — по элементы TCAM программируются
умолчанию deny (индивидуально для VSAN) на соответствующие порты – без
прерывания работы существующих
зон
Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 37/75
37. Улучшенное зонирование Cisco
Зонирование LUN это возможность Зонирование LUN позволяет
зонировать инициатор и часть LUN контролировать доступ к конкретным LUN
на системе хранения
Зона А
1 X
Сервер может обнаружить все LUN, но
подключиться только к LUN, входящим в 2 X
зону X X
pWWN-1 pWWN-2 X X
Недоступные LUN отсеиваются X X
коммутатором на входящем порту
Предоставляет мощное решение
совместно с маскированием LUN в report_LUN
системах хранения для увеличения 10 LUNs available
безопасности сети report_size LUN_1
LUN_1 50GB
Случайное открытие LUN report_size LUN_3
предотвращается сетью
LUN_3 is unavailable
Зонирование Read-Only использует
аппаратную обработку фреймов Зоны read-only не позволяют посылать
Семейства MDS 9000 команды ‗write‘ к системам хранения
Фильтрует управляющие фреймы FC4 Media
Server
Зона А
по признаку является ли команда
чтением или записью
Для систем, которым необходимо только
чтение с дисков, таких как мультимедиа Streaming
сервера Server * Зона B
(read-only)
Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 38/75
38. Протокол Fibre Channel: угрозы
Rogue Switch
Нарушение стабильности сети
Результат:
Незапланированный
простой, нестабильность сети
Нарушение безопасности
данных
Результат:
Незапланированный Целостность
управляющего
простой, потеря данных протокола
Снижение производительности
приложений
Результат:
Незапланированный
простой, низкая
производительность В/В
Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 39/75
39. Протокол Fibre Channel:
безопасность
Fabric Protocol Security
Очень важно защитить управляющие протоколы
сети для обеспечения стабильности сети
Отдел Отдел
Первый шаг – Cisco RBAC для безопасности ‗A‘ ‗B‘
доступа к настройке управляющих протоколов
VSAN
Port-security для защиты ISL портов Trunk 1 7 2 8
5 5 6 6
FC-SP для аутентификации switch-to-switch Cisco
MDS 9222i
следующий критичный шаг для блокировки
Port Channel
вредоносных ISL для HA и
производительност 3 4 Директор
Настройка plug-n-play протокола сети удобна — и 3 3 4 4 Cisco MDS
однако статическая настройка более безопасна
VSAN Trunks
Статический управляющий коммутатор по оптическим
сетям
Статические domain ID DWDM / CWDM
RCF-reject защищает от
Статические FCIDs
перенастройки сети
*необязательно, но рекомендуется* Статический управляющий
Большая польза для сред HP-UX и AIX коммутатор для всех VSAN
Статический domainID
RCF-reject, особенно для соединений на большие для всех VSAN
расстояния защищает от RCF 1 1 2 2 Tape VSAN
RSCN-suppression где необходимо
VSAN для разделения и управления
отдельными сетями и увеличения устойчивости
сетей
Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 40/75
40. Безопасность уровня доступа:
Режим порта
Режим порта—разрешает
edge портам быть только
F_Port или FL_Port; т.е не
ISL/EISL
Cisco MDS 9000
поддерживает режим
Fx_Port
RBAC позволяет ‘E_Port’ ‘Auto’
ограничить
пользователей, Любой режим
которые могут
менять режим ‘Fx_Port’ ‘F_Port’
портов
Только F,FL Только F
‘E_Port’ или
‘Fx_Port’
‘Auto’
Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 41/75
41. Безопасность уровня доступа:
Port Security
Port Security — Разрешает доступ в сеть в зависимости от
атрибутов устройства
Используется для контроля подключения к коммутатору—
неудача приводит к ошибке входа на уровне соединения
Предотвращает подделку S_ID в фрейме FC
Поддерживает безопасность device-to-switch и switch-to-switch
Использует многочисленные атрибуты для конфигурации
pWWN—port WWN подключенного устройства
nWWN—node WWN подключенного устройтва
fWWN—fabric WWN порта коммутатора
sWWN—WWN коммутатора
Port_ID—идентификатор порта коммутатора (fc1/2)
Режим Auto-learning упрощает начальную настройку
Fabric Binding — Разрешает подключение к сети только
коммутаторов, указанных в списке разрешенных
Проверяются sWWN и Domain_ID при подключении коммутатора
и активации новой базы fabric binding
Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 42/75
42. Безопасность уровня доступа:
группы и политики
S1
Port Security
fWWN-2 fWWN-1 Создаются ‗группы‘ и активируется как
Port_ID-2 Port_ID-1 ‗набор групп‘ для обеспечения политики
pWWN-D1_1 Политика______ Группа__________
nWWN-H1 Security Group – S1
1 Хост H1 на S1
(любой порт) pWWN-H1_1 или nWWN-1
sWWN-S1 fWWN-5
H1 Port_ID-5
D1 2 Хост H1 на S1 порт 2 Security Group – S1
pWWN-H1_1 или nWWN-H1
FC
Port_ID-2 или fWWN-2
FC pWWN-H1_1 fWWN-6
3 Хост H1 HBA-1 на S1 Security Group – S1
Port_ID-6 порт 2 pWWN-H1_1
Port_ID-2 или fWWN-2
pWWN-H1_2 pWWN-D1_2
4 Хост H1, Диск D1 на Security Group – S1
S1 (любой порт) pWWN-H1_1 или nWWN-H1
fWWN-4 nWWN-D1 pWWN-D1_1 или nWWN-D1
fWWN-3 Port_ID-4
Port_ID-3 5 S2 на S1 ISL Security Group – S1
(fabric binding) sWWN-2
S2 6 S2 на S1 порт 5 ISL Security Group – S1
sWWN-S2 (fabric binding) sWWN-2
Port_ID-5 или fWWN-5
Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 43/75
43. Безопасность уровня доступа:
Виртуальные SAN (VSAN)
Виртуальные SAN (VSAN) помогают достичь более высокую
безопасность и стабильность в сетях FC, обеспечивая изоляцию
устройств, подключенных к одной физической сети
VSAN можно использовать для создания множества логических
Сетей Хранения на единой физической инфраструктуре
Отдел
• VSAN обеспечивает: ‗A‘ Сеть с VSAN
Изоляцию трафика
Общее хранилище
Строгая изоляция между VSAN
используя разделение сети и
тегирование фреймов
Сервисы сети в VSAN
Независимые сервисы сети, включая
сервер имен, зонирования, FSPF и Отдел
менеджер домена в каждой VSAN ‗B‘
Отказ одного из этих сервисов в одной VSAN
VSAN не влияет на другие VSAN
Trunk
Общую Топология
Множество VSAN могут совместно
использовать одну физическую
топологию
• ANSI T11 FC-FS-2
Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 44/75
44. Аутентификация в SAN
Аутентификация устройств по протоколам Fibre Channel
Authentication Protocol (FCAP) или Fibre Channel Password
Authentication Protocol (FCPAP)
Аутентификация портов коммутатора по протоколу Switch
Link Authentication Protocol (SLAP)
Для блокирования «чужих» устройств
Набор протоколов Fiber Channel – Security Protocol (FC-
SP) для аутентификации, обмена ключами, шифрования
между устройствами Fibre Channel
Адаптированные к FC протоколы ESP и Diffie-Hellman (DH-
CHAP) для решения задач, аналогичных FC-SP
RFC3723 – адаптация IPSec и IKE к сетям Fibre Channel и
SCSI (iSCSI, iFCP, FCIP)
Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 45/75
45. Безопасность уровня доступа:
FC Security Protocol (FC-SP) DH-CHAP
Аутентификация устройств используя FC-SP
обеспечивает более сильные методы
идентификации устройств
WWN легко подделать
ANSI T11.3 FC-SP—Рабочая группа по Протоколам
Безопасности
Поддерживается несколько протоколов, включая DH-
CHAP и FCAP
Switch-to-switch аутентификация FC-SP используя
DH-CHAP поддерживается начиная с SANOS v1.3
Device-to-switch аутентификация с помощью
производителей HBA используя DH-CHAP начиная с
SANOS v1.3
DH-CHAP обеспечивает механизм аутентификации
Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 46/75
46. Безопасность уровня доступа:
FC Security Protocol (FC-SP) DH-CHAP
Сеть
Управления
HBA с поддержкой
DH-CHAP
RAD (Emulex, Qlogic)
Сервер RADIUS Новый сервер в сети
для
аутентификаци
и Out-of-band управление
пользователей Новый
коммутатор
TAC+
в сети
Сервер TACACS+
для
аутентификации
пользователей
DH-CHAP
DH-CHAP
RADIUS и/или TACACS+
FCIP
сервера могут содержать Сеть
имена пользователей и
пароли DH-CHAP для Новый коммутатор в
централизованной сети по FCIP
аутентификации
Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 47/75
47. IP Storage Security:
SCSI-over-IP (iSCSI)
iSCSI использует in-band аутентификацию
Использует CHAP
IESG рекомендует использовать туннели IPSec, где требуются
безопасность сообщений, аутентификация
источника, целостность, защита от повторов
iSCSI может использовать множество функций
безопасности, унаследованных от Ethernet и IP
Ethernet Access Control List (ACL) ↔ FC зоны
Ethernet VLAN ↔ FC VSAN
Ethernet 802.1x port security ↔ FC port security
iSCSI аутентификация ↔ FC DH-CHAP аутентификация
iSCSI обычно предлагает возможности LUN mapping/masking
как часть функций шлюза
iSCSI также может использовать функции безопасности сети
FC, отображая инициаторы iSCSI (IQN) в FC WWN
Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 48/75
48. Безопасность IP SAN:
FC-over-IP (FCIP)
FCIP позволяет соединить острова SAN через
сети IP
Стандарт FCIP не обеспечивает никаких in-band
механизмов безопасности
Аутентификация источника
сообщений, целостность, защита от
повторов, обеспечиваются независимыми туннелями
IPsec
FCIP туннель = виртуальный ISL — может
использовать существующие механизмы
безопасности сети FC
FC Port Security
FC-SP DH-CHAP switch-to-switch аутентификация
Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 49/75
49. Безопасность IP SAN
IP ACLs FCIP
Сервер RADIUS 802.1X Auth. Туннели
RAD для централизации Ethernet VLANs по сети FC-SP
аккаунтов iSCSI IPSEC DH-CHAP
Аутентификация
для туннелей
Cisco Catalyst 6500
Multilayer LAN Switches FCIP
pWWN1
iQN1 iSCSI Login
iQN2 отображается на iSCSI имена
назначенные pWWN и определены на
регистрирует iQN
используя CHAP
iSCSI
регистрируется в сети клиенте iSCSI iSCSI
iQN1 =
аутентификацию
pWWN1/nWWN1
Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 50/75
50. Cisco Storage Media Encryption (SME)
Сервер Шифрование данных на носителях
Приложений
Шифрование AES-256
Name: XYZ Интегрированный прозрачный сервис
сети
SSN: 1234567890
Amount: $123,456
Status: Gold
Key Management Поддержка систем хранения разных
Center
IP
производителей
Шифрование
Сжатие данных
Name: XYZ
@!$%!%!%!%%^&
Безопасное управление ключами
SSN: 1234567890
*&^%$#&%$#$%*!^
Amount: $123,456
@*%$*^^^^%$@*)
Status: Gold
%#*@(*$%%%%#@
Восстановление вынесенных данных
Ленточная
библиотека Не забывайте про вопросы легитимности
шифрования!
Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 51/75
51. Рекомендации: доступ к SAN
Использовать зонирование для изоляции Use FCID to Soft zoning
gain access
По портам или WWN, на аппаратном уровне
Зоны read-only для систем хранения read-only
Зонирование LUN как дополнительная мера
Occupy the Add port-
Политику default-zone установить в ‗deny‘ port to gain based zoning
access
Настраивать зоны на 1 или 2 коммутаторах
RBAC–роль ‗permit‘ на этих коммутатотах
RBAC–роль ‗deny‘ на других коммутаторах Spoof WWN
Add WWN-
Или использовать RADIUS / TACACS+ для to gain
based zoning
назначения ролей на конкретных коммутаторах access
Использовать зонирование WWN для
удобства Spoof WWN
and occupy Add port-
Использовать port-security для расширенной port to gain security
безопасности access
Port-security привязывает WWN к порту
DH-CHAP добавляет аутентификацию Need full
Add
auth to gain
DH-CHAP
access
Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 52/75
52. Рекомендации: управление SAN
Использовать RBAC для назначения достаточных привилегий администраторам
SAN
Отдать некоторые функции меньшему числу пользователей с ролью ‗super-admin‘
Определение VSAN, обновление Firmware, назначение ролей, параметры RADIUS и TACACS+, SSH и т.д.
Использовать RADIUS или TACACS+ для централизованного управления
учетными записями
Обеспечивает консистентное и своевременное удаление пользователей (если
необходимо)
Использование аккаунтинга RADIUS для аудита конфигурирования
Использовать только безопасные протоколы—остальные отключить
SSH, SFTP, SCP, SNMPV3, SSL для поддержки SMI-S
Отключить TELNET, FTP, TFTP, SNMPV1,V2
Включить NTP на всех коммутаторах для единых временных меток событий
Журналировать и архивировать все
Включить централизованный SYSLOG
Регулярно копировать конфигурации MDS 9000 (например, используя CiscoWorks RME)
Включить © 2009 Cisco Systems, Inc. All rights reserved.
Presentation_ID
функцию Cisco MDS 9000 ―Call Confidential для оповещения об аномалиях
Cisco
Home‖ 53/75
54. Место Nexus в современном ЦОД
Internet
Data Center Core
VDC
Data Center POD
Nexus 7018 Nexus 7018
vPC
vPC SERVICES
vPC vPC
vPC vPC
Nexus Nexus Catalyst
5020 5020 6500
Nexus Nexus
5010 5010
Nexus Nexus
2148T 2148T
ASA ACE IPS
Zone
10Gig Server Rack
? ? ?
Zone Services Block
1Gig Server Rack
Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 55/75
55. Арсенал ИБ коммутаторов
Catalyst с IOS/CatOS или Nexus с NX-OS
Базовая безопасность
Списки контроля доступа
Cisco Express Forwarding
Control-plane Rate Limiting
Scavenger-Class Queue
Port Security
Broadcast Suppression
BPDU-Guard/Root-Guard
и т.д.
Расширенная безопасность
МСЭ, IPS, IPSec
VPN, балансировка нагрузки и
т.д. (пока только для Catalyst
6500)
February 2003, v1
Presentation_ID © 2003, Cisco Systems, Inc. All rightsAll rights reserved.
© 2009 Cisco Systems, Inc. reserved. Cisco Confidential 56
56/75
56. Контексты с помощью VDC
Ключевая
VDC 1 функция
Layer 2 Protocols Layer 3 Protocols
VLAN UDLD OSPF GLBP
PVLAN CDP BGP HSRP
STP 802.1X EIGRP IGMP
LACP CTS PIM SNMP
… …
VDCs
VDC 2
Layer 2 Protocols Layer 3 Protocols
VLAN UDLD OSPF GLBP
PVLAN CDP BGP HSRP
STP 802.1X EIGRP IGMP
LACP CTS PIM SNMP
… …
Nexus 7000 VDC – Virtual Device Context
Гибкое разделение аппаратных и программных
ресурсов между контекстами
Полное разделение data plane и control plane
Полная изоляция программных сбоев
Надежное разделение контекстов управления
Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 57/75
57. Опции внедрения функций ИБ
Уровень распределения
Функции безопасности вынесены на уровень
распределения
Средства защиты могут фильтровать трафик между
VDC
Core
FW Context1 VDC 1 IPS
Routed или Bridge
Distribution
IPS inline или passive
Server
Single или Multiple LB
Services Contexts
Access FW Context2 VDC 2
Failover на аггрегирующих коммутаторах требует failover на
Учтите: средствах защиты
Поддержка EtherChannel требуется на средствах защиты для
Presentation_ID
интеграции с vPC
© 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential
58/75
58. Опции внедрения функций ИБ
Блок сервисов
Масштабируемое централизованное
внедрение и управление средствами
Core
защиты
Позволяет эффективно использовать
все функции виртуализации:
Services Distribution VDC, vPC, VSS
FW Failover на коммутаторе распределения
LB не требует failover средств защиты
IPS Гибкие модули внедрения (модули или
устройства)
Access
Могут быть использованы
существующие коммутаторы
Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 59/75
60. X86 сервера сегодня
Switch
Switch Switch
Server Server Server Server Server Server
Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 61/75
61. X86 виртуализация сегодня
Switch
Hypervisor Hypervisor
Soft Soft
Switch Switch
Virtual Virtual Virtual Virtual Virtual Virtual
Machine Machine Machine Machine Machine Machine
Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 62/75
62. Проблемы виртуализации
Ошибки в настройке Смешанный режим
Server
Network Team Security Физический сервер
Team Team
Sensitive Non-Sensitive
Видимость Сегментация
Физический сервер
Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 63/75
Editor's Notes Broaden the conversation to architectures New trends through time have changed the face of the data center. Each of these trends has built on the lower.Historically, the conversation in the data center has been dominated by scalability and simplicity. How fast does the data center move, and how easy is it to implement and operate.More recently, trends like outsourcing and partnerships has forced the traditionally closed data center to open. These new users of the network often need controlled access deep into the data center. This is changing traditional data center models.Virtualization and asset consolidation are also changing the data center. The cost benefit of virtualization are driving rapid adoption across verticals, fundamentally altering the face of the data center.Finally, as cloud computing begins to emerge as a viable architecture, it promises even higher cost advantages through scale and elasticity. The virtual environment brings with it a host of new security problems. These problems can be divided into two groups:Security in the Server Access Layer: These are today’s largest pain pointsRegaining visibility in the access layer is the first step at securing it. Regaining inter-host visibility in the virtual world provides key security forensics intelligence – which hosts are communicating, and in the event of an outbreak, where did it originate.Securing the access layer from DCHP and ARP attacks such as eavesdropping and VLAN hopping.Security at Higher Layers: These are emerging pain points that we need to addressVirtual policy enforcement creates segmentation and separation in the virtual world similar to that available in the physical. Note that this can be provided either through fully virtual enforcement points, or physical enforcement points that are virtual awareFinally, the physical and virtual worlds need to be tied together in a common operational environment with a common policy infrastructure. Overall picture: list of Cisco security solutions with perhaps the architecture as a backdrop.Cisco TrustSec, Cisco AnyConnect Secure Mobility, Cisco Virtual Office, PCI DSS Compliance, Threat Defense (Firewall, IPS), Cisco Content Security (email/web), Cisco Data Center Security, Cisco Virtualization and Cloud Security Cisco’s vision in virtualization enables a seamless transition from physical to virtual enforcement. The vast majority of environments will be hybrid environments for years to come, and Cisco will provide a consistent solution across both.<Build>The Nexus 1000v provides critical Layer 2-4 security capabilities today, solving today’s largest virtualization pain points. By building on the Nexus software base, customers can share a common operational environment with their physical Nexus switches<Build>Cisco’s roadmap for Layer 4-7 security services involves two approaches. Cisco will use Service Chaining to connect the physical to the virtual. Cisco will also provide a fully virtual enforcement platform to provide L4-7 security inside the virtualization infrastructure itself. Public and Private Clouds are an architecture that brings together all elements of Scale and Simplicity, Openness, and Virtualization into an elastic, on demand environment. This environment brings with it a new set of security concerns.First, the need to establish trust on the cloud infrastructure itself. How does one maintain the integrity of the cloud environment?Second, the need to connect users and internal networks into the cloud infrastructure. How do users get access to the cloud services?Third, how do I secure the applications in the cloud, whether in a public cloud or a private? Today, flexibility is key as Cisco delivers common capabilities delivering consistent and therefore less complex operationsThree key form factors deliver this today:Appliance – with ASA and IPSModules – modules with Cat6k integrated service modules andVirtual – Supported today with physical form-factors via virtual context, allowing external security to be applied to virtualized applications, and leveraging the recently launched Nexus 1000v switch which provides switch services on the hypervisor and has ACL capabilities for segmentation todayNext steps for ASA – Spyker, multi-gig, multi-service platformIntegrated service modules, with Bennu as an immediate next step and 3xFWSM performance to Osiris a 40G service module for Nexus 7000And to virtual with extending contexts beyond current levels to support larger SP delpoyments and a virtual firewall which will service virtualized security needs as scale increases.All of which will also extend dc security into cloud modelsFinally as network performance demand grow both in the enterprise and the cloud, clustering support provides 100s of Gig of FW performance in multiple form factors. Although we opened the network to external parties, we must continue to gain visibility and control. Focusing on both visibility into the threat environment and maintenance of the compliance environment from a segmentation and threat perspective is critical.This is where, User-awareness begins with directory services being tied to security, allowing for authentication and authorization of users so that we know the “who” in our formula.And Application awareness becomes the “what” as far leveraging domain names and identifying the applications inside the data center.Finally the “how” by Creating Zones of trust ties the “who” and “what” together in a logical manner that allow maintenance of segmentation in the new open DC.Delivering next steps based on this structure is control of SaaS applications, enabling access policies for any app, anywhere in the world with WSA.Along with Identity Firewall and Application Awareness, TrustSec brings next generation network segmentation based on domains of trust within the open data center infrastructure with seamless authorization for various access typesThis provides topology independent, role-based, dynamic policy provisioning.So now that we’ve talked about Scale and Openness, let’s talk about the next step toward the Borderless DC which is Virtualization…. We find the Secure Borderless Data Center Architecture of tomorrow.This will include some additional items above and beyond today’s requirements in the Enterprise. First, you will see the emergence of the cloud itself a an important security layer to the Enterprise. The cloud is secured for the Enterprise by Cisco in two ways. (1) at the cloud edge itself with Firewall and IPS services being delivered to protest the cloud infrastructure itself. (2) in the Cloud Services Security Layer, in which cloud provides can provide both a virtual and physical footprint to customers of IaaS and PaaS services to protect the applications running in the cloud. This would be delivered in a virtual firewall and virtual context form in the ASA.Secondly, we see the emergence of the Secure Virtual Access Layer. This layer in the data center grows out of the massive move from traditional deployments to virtualization in the DC. As the requirement for virtual security zones increases, the need for layer 2 through 7 security also emerges. This is where the virtual firewall becomes important, as the scale of the VMs grows larger and segmentation and security service needs grow with it.Concurrently, the physical firewall will always play a role in the DC as there are many applications that will not be virtualized and continue to require an external, performance guaranteed solutions.
