Архитектура защищенного ЦОД

Архитектура защищенного ЦОД
Назим Латыпаев
Системный инженер
nlatypae@cisco.com
01.10.15 © 2015 Cisco and/or its affiliates. All rights reserved.

Организационныe моменты
1.  Пожалуйста, переведите Ваш смартфон в «тихий режим»
2.  Распивать спиртные напитки на презентации и курить кальян запрещено
3.  На забывайте свои вещи на презентации
4.  Пожалуйста, заполните анкеты
5.  Пожалуйста, апплодируйте презентующим, им это нравится :)

Source: IDC, Nov 2010
Переломный момент
Традиционные Виртуализированные
c
App
OS
App
OS
App
OS
App
OS
App
OS
App
OS
App
OS
App
OS
App
OS
...1 сервер
или “Host”
Множество
приложений,
или “VMs”…Hypervisor
App
OS
App
OS
App
OS 1 приложение…
...1 сервер
App
OS
App
OS
App
OS
Переход
Архитектура ЦОД уже изменилась
Виртуализация используется повсеместно
8

Какие проблемы характерны при построении
защищённого ЦОД?
Уменьшение сложности и
фрагментированности
решений
Maintain Security and
Compliance while the data
center evolves
Борьба с реальными
угрозами
95% инцидентов,
связанных с обходом МСЭ
связаны с ошибками
конфигурирования*
Прогнозируется
увеличение количества
соединений в секунду,
обрабатываемых в ЦОД,
на 3000% в 2015 году
Больше ста тысяч новых
угроз каждый день
* Greg Young, Gartner Inc
Управление, внедрение и
сопровождение Масштабируемость
Обнаружение, защита и
противодействие
современным угрозам

7%
17%
76%
Inter DC Трафик
(DCI)
Восток – Запад
Север–Юг
ГЛОБАЛЬНЫЙ ТРАФИК В ЦОД

Что вызывает вопросы при использовании
виртуализации?
Унифицированные политики безопасности:
§  Часто применяются к физическому серверу, а не к VM
§  Как быть с мигрирующими VM?
Процессы и управление:
§  Кто, где, что и как? Как ответить на эти вопросы для VM?
§  Неудобное управление и сложности с поиском неисправностей.
Роли и распределение ответственности:
§  Кто должен настраивать сеть для виртуальных машин?
§  Как отвечать требованиям регуляторов и стандартов?
Сегментация серверов и приложений на них:
§  Сегментация самого сервера и VM;
§  Разделение между доверенными и недоверенными системами.
Политики, Процессы, Операционное управление:
Roles and
Responsibilities
Isolation and
Segmentation
Management and
Monitoring
Hypervisor
Initial
Infection
Secondary
Infection
11

Просто, Эффективно, Достижимо
Сегментирование
•  Создание зон: сеть, вычисления, виртуализация
•  Применение унифицированных политик
•  Защита от несанкционированного доступа
Противодейстиве
угрозам
•  Остановить внешние и внутренние атаки без прерывания сервиса
•  Патрулирование внутри зоны и на её границах
•  Контроль доступа и использования информации, предотвращение
потерь и утечек данных
Прозрачность
происходящего
•  Обеспечение прозрачности происходящих процессов
•  Соотношение сетевого контекста и бизнес-параметров
•  Снижение сложности операционного управления и соответствие
требованиям регуляторов
Север
Юг
Защита, Обнаружение, Контроль
12
ВостокЗапад

Режимы работы МСЭ
Routed Mode традиционный режим. Два или больше интерфейсов
разделяющих L3 домены
Transparent Mode работает как бридж на уровне L2
Multi-context виртуальные МСЭ внутри физического устройства.
Mixed mode комбинирование Routed и Transparent контекстов (ASA
9.0+)
13

Рекомендации для режима Transparent
Используются бридж-группы для сегментации трафика, каждая группа имеет
1 BVI
BVI (Bridged Virtual Interface) адрес обязателен для управления и для
прохождения трафика через МСЭ
До 4 интерфейсов можно поместить в бридж-группу (inside, outside, DMZ1,
DMZ2)
До 250 бридж-групп (9.3) на ASA, раньше ограничение было 8 бридж-групп
14

Что такое направление трафика Север-Юг и
Восток-Запад?
Поток Север – Юг идут от
уровня Доступа в сторону
уровня Агрегации и Ядра
Поток Восток – Запад
остается в виртуальой зоне
или перемещаются между
зонами, обычно это трафик
от сервера к серверу
Web App
Доступ
Агрегации
Ядро
Database
Восток - Запад
Север-Юг
Virtual
Hosts
Virtual
Hosts
Virtual
Hosts
15

Port Channel
•  Лучшие практики: использование Link
Aggregation Control Protocol (LACP) где
возможно
•  LACP позволяет динамически
добавлять или убирать (если
необходимо) линки в сторону port
channel
•  До 8 активных линков в ASA 8.4+ и 16
активных линков 9.2(1)+
•  Лучшие практики: использование в
Nexus DC технологии Virtual Port
Channels (vPC)
interface TenGigabitEthernet0/8 !
channel-group 40 mode active!
no nameif 
no security-level !
! 
interface TenGigabitEthernet0/9 !
channel-group 40 mode active !
no nameif 
no security-level!
!!
interface Port-channel40 !
nameif inside!
ip add 10.1.1.2 255.255.255.0!
LACP между
коммутаторами
16

Virtual Port Channel (vPC) и ASA
•  Virtual Port Channels (vPC) это port channel где
оба линка отправляют пакеты одновременно
•  Нет необходимости что-то дополнительно
настраивать на ASA
•  Работает только с коммутаторами Nexus
•  VPC Design Guide:
http://www.cisco.com/en/US/prod/collateral/switches/ps9441/ps9670/
C07-572830-00_Agg_Dsgn_Config_DG.pdf
Nexus 5K/7Ks
ASA
17

Где располагать МСЭ?
Централизованность это классика
МСЭ в ядре, уровне распределения или на
периметре
Большой вопрос это масштабируемость
Ограничивающий фактор количество
соединений и производительность
Микросегментация?
Виртуальная мобильность хостов?
Hosts Hosts Hosts
18

Сеть виртуализации и сервисы безопасности

Управление виртуальными сетевыми политиками
§ Использование профилей портов
позволяет сохранить текущие
процессы и сделать процесс
незаметным;
§ Создание политик по изоляции и
сегментации с помощью VLAN,
Private VLAN, Port-based Access
Lists, встроенных функций
обеспечения безопасности
§ Прозрачность трафика между
виртуальными машинами благодаря
поддержке ERSPAN and NetFlow
Виртуальные коммутаторы: Nexus 1000V
Сетевики
Серверная
команда
Управление и
мониторинг
Роли и зоны
ответственности
Изоляция и
сегментация
Безопасники
Nexus 1000V
20

Что такое Virtual Security Gateway?
VSG – это межсетевой экран второго уровня,
в виде виртуальной машины, работающей в
«разрыв» между защищаемыми сегментами;
Похоже на L2 режим ASA;
Инспектирует трафик* между хостами в
одном и том же VLAN или подсети;
Может использовать атрибуты среды
виртуализации Vmware в политиках;
Базовое разделение потоков трафика Запад-
Восток;
Можно использовать множество экземпляров
VSG
21
Virtual
Hosts
Virtual
Hosts
Virtual
Hosts
*Требует Nexus 1000V для работы

Cisco® ASAv
Проверенное аппаратное решение безопасности от Cisco
теперь в виртуализированной среде
Открытая архитектура
Multi-hypervisor
Multi-vswitch
Открытые API
Гибкая модель
лицензирования
Cisco ASAv

Функционал ASA
ASAv
Нет кластеризации и
мультиконтекстности
•  Соответствие функционала физической ASA
•  Масштабирование через виртуализацию
•  До 1316 vNIC интерфейсов
•  Поддержка VXLAN
•  Программная криптография
•  SDN и традиционные методы управления
•  Масштабируется до 4 vCPUs и 8 GB памяти
•  Возможность поддерживать 1 политику на
физических и виртуальных ASA
Сравнение функционала с обычной ASA

100 Mbps
1 Gbps
2 Gbps
Cisco®
ASAv5
Cisco®
ASAv10
Cisco®
ASAv30
Платформы ASAv

Сравнение виртуальных МСЭ Cisco
ASAv Virtual Security Gateway
Режимы L2 и L3 Режим L2 (прозрачный)
Динамическая и статическая
маршрутизация
Нет маршрутизации
Поддержка DHCP server и client Нет поддержки DHCP
Поддержка S2S и RA VPN Нет поддержки IPSEC
Управляется CLI, ASDM, CSM,
APIC
Управляется только PNSC
Полный код ASA, CLI, SSH,
REST API*
Минимальная настройка через
CLI, SSH

Внедрение ASAv : Облачный МСЭ+VPN
26
Сегодня для фильтрации между зонами и
тенантами применяется ASA в режиме
мульти-контекст
Для передачи трафика используются транки
Проблема – масштабирование фильтрации
Запад-Восток требует ресурсов МСЭ и
масштабируемого транспортного решения
Zone 1 Zone 2 Zone 3
VM 1
VM 2
VM 3
VM 4
VFW 1
VM 5
VM 6
VM 7
VM 8
VFW 2 VFW 3
§  ASAv – может быть пограничным МСЭ
и может обеспечивать фильтрацию
Восток-Запад
§  На каждого тенанта или зону можно
развернуть одну или несколько ASAv
для FW + VPN
§  Масштабируемая терминация VPN
S2S и RA
Vzone 1 Vzone 2
Multi Context Mode ASA

Physical to Virtual
Сегментация VRF-VLAN-Virtual
ASAv/
VSG
vIPS
ASAv
Zone B Zone C
Nexus 7K
ASA
CTX1 CTX2 CTX3
VLANx1
VLANx2
VLANy1
VLANy2
VLANz1
VLANz2
SGTSGT SGTSGT SGTSGT
Segmentation Building Blocks
Соединяем физическую и виртуальную
инфраструктуры
Зоны используются для определения и
применения политик
Уникальные политики применяются
для каждой зоны
Физическая инфраструктура
привязывается к зоне
§  VRF, Nexus Virtual Device
Context, VLAN, SGT
27

МСЭ ASA и фабрика ЦОД
ASA и Nexus Virtual Port Channel
§  vPC обеспечивает распределение нагрузки по
соединениям (отсутствие заблокированных STP соед.)
§  ASA использует технологии отказоустойчивости ЦОД
§  Уникальная интеграция ASA и Nexus (LACP)
IPS модуль полагается на связность от ASA – обеспечивает
DPI
Проверенный дизайн для сегментации, защиты от угроз и
прозрачности операций (visibility)
Transparent (рекомендован) и routed режимы
Работает в режимах A/S и A/A failover
Уровень агрегации ЦОД
Active vPC Peer-link
vPC vPC
Core
IP1
Core
IP2
Active or
Standby
N7K VPC 41N7K VPC 40
Nexus 1000V
vPath
Hypervisor
Nexus 1000V
vPath
Hypervisor
Core Layer
Aggregatio
n Layer
Access Layers
28

Физический сервис для виртуального
HypervisorHypervisor Hypervisor Hypervisor
VRF Blue VRF Purple
Firewall Firewall
Nexus 7000
Nexus 5500
Nexus 1000V Nexus 1000V
Применяем физические устр-ва для
изоляции и сегментации виртуальных
машин
Используем зоны для применения
политик
Физическая инфраструктура
привязывается к зоне
§  Разделяем таблицы
маршрутизации по зонам через
VRF
§  Политики МСЭ на зоны привязаны
к потокам север-юг, восток-запад
§  Проводим L2 и L3 пути через
физические сервисы
29

Обзор кластера ASA
Кластеризация поддерживается на 5580, 5585 и
5500-X (5500-X кластер из 2-х устройств)
CCL – критическое место кластера, без него кластер
не работает
Среди членов кластера выбирается Master для
синхронизации настроек— не влияет на путь пакета
Новый термин “spanned port-channel” т.е.
Распределенные/общие настройки порта среди
членов кластера ASA
Кластер может ре-балансировать потоки
У каждого потока есть Owner и Director и возможно
Forwarder
Шина данных кластера ДОЛЖНА использовать
cLACP (Spanned Port-Channel)
Cluster Control Link
vPC
Data Plane
Aggregation
Core
ASA Cluster
vPC 40
30

Используем лучшее из доступного…
Physical
Hosts
NGIPS
ASA FW
Clustering
•  Контроль трафика по направлению
Север/Юг с помощью ASA 5585
•  Масштабируемость и отказоустойчивость
с помощью кластеризации
•  Инспектирование трафика Север/Юг с
помощью NGIPS
•  Сегментация и защита виртуальной
среды с помощью ASAv и vNGIPS

…с помощью лучшей архитектуры …
32
Virtual
Hosts
B
Physical
Hosts
NGIPS
SGT
SGTSGT
SGT SGT
SGT
SGT
SGT
SGT
SGT
Virtual
Hosts
B
Physical
Hosts
NGIPS
SGT
SGTSGT
SGT SGT
SGT
SGT
SGT
SGT
Кластеризация между
двумя активными ЦОД
OTV

… и мы готовы к ЦОД следующего поколения.
33 33
Physical
Hosts
NGIPS
ASA FW
Clustering
VIRTUAL ENDPOINT
ACI Fabric
PHYSICAL ENDPOINT
SERVICE NODES
SECURITY NODES
Application Centric Infrastructure
-  Масштабируемая
-  Простая
-  Гибкая
-  Надёжная
-  Автоматизированная
-  Надёжная

Cisco Confidential 34© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Модель политик безопасности в ACI Application
Centric
КОМПОНЕНТЫ
ПРИКЛАДНОЙ
ПОЛИТИКИ
Endpoint Group:
Набор хостов (VM/
серверы) с одинаковой
политикой
Contracts:
Набор правил,
определяющих
взаимодействие между
группами хостов
Service Chain:
Набор сетевых сервисов
между группами хостов
OUTSIDE
WEBAPPDBCRM
APP
ADC
F/W
ADC
ContractContract

ACI + ASA: Хорошая масштабируемость, производительность и
прозрачность процессов
Firewall Cluster
APIC
Централизованные политики
безопасности и сетевых настроек
на контроллере APIC:
–  Политики ИБ не зависят от инфраструктуры
–  Предсказуемая загрузка с контролем
имеющихся ресурсов
«Безопасность по требованию»:
–  Автоматическое создание политик
безопасности для приложений на основе
доступности МСЭ и наличия свободных
ресурсов
–  Location independent stitching for Security
Policy Enforcement
Распределённые сервисы
безопасности с контролем
состояния сессий:
–  Уникальная особенность кластеризации
Cisco ASA

ACI + ASA: Хорошая масштабируемость, производительность и
прозрачность процессов
Firewall Cluster
APIC
Прозрачность происходящих в
фабрике процессов:
–  Благодаря поддержке Netflow/NSEL, ASA
великолепно интегрируется с Lancope и
похожими решениями
Общая операционная модель с
широким использованием API:
–  Поддержка ASA 5585, ASAv и Firepower 9300

Типовая сервисная цепочка
Полная абстракция внутри сервисной цепочки
§  Каждое устройство выполняет только собственные функции и обменивается
пакетами с фабрикой в соответствии с инструкциями
§  Различные пути возможны на основании решения (например в зависимости от
решения политики МСЭ) или пункта назначения
§  Высокая степень модульности с слабой зависимостью, заменимость устройств
ACI обеспечивает симметричность потоков через устройства в сервисной цепочке
SSL Firewall
Policy rules, NAT, Inspection
IPS
Analyzer
EPG
“Users”
EPG
“Web”
EPG
“DB”
37

Сегментация в ЦОД с TrustSec
39
Voice PCI Non-PCI
PCI Tag
NonPCI Tag
LOB1 Tag
LOB2 TagData Center
Firewall
Enterprise Core
Data Center
Enterprise
Campus/Branch
•  Существующий дизайн налагает
требования к топологии
Access Layer
SGT Обзор
SGT/
DGT*
PCI NonPC
I
LOB1 LOB2
PCI Permit DENY Permit DENY
NonPCI DENY Permit DENY Permit
LOB1 Permit DENY Permit DENY
LOB2 DENY Permit DENY Permit
LOB1 LOB2PCI
•  Независимо от топологии или места
политики (SGT) «остаются» вместе с
пользователями, устройствами и
серверами
•  TrustSec упрощает управление
политиками для intra/inter-VLAN трафика
•  * SGT sometimes is referred to as “Source Group Tag” as well
•  * DGT stands for “Destination Group Tag”

Компоненты архитектуры SGT
40
Identity Services Engine
Управление
политиками
WLAN LAN Remote
Access
(roadmap)
Классификация
Catalyst 3K
Catalyst 4K
Catalyst 6K
Nexus 7000
Nexus 6000
Nexus 5500
WLC (7.4)
5760
Nexus 1000vCatalyst 2K
Распространение
N7K (SXP/Inline)
N6K (SXP Speaker/Inline)
N5K (SXP Speaker/Inline)
N1Kv (SXP Speaker/Inline(beta))
ASR1K (SXP/Inline)
ISR G2 (SXP/Inline)
ASA (SXP/Inline(beta))
Cat 2K-S (SXP)
Cat 3K (SXP)
Cat 3K-X (SXP/Inline)
Cat 4K Sup7 (SXP/Inline)
Cat 6K Sup720 (SXP)
Cat 6K Sup2T (SXP/Inline)
Применение
N7K / N6K/N5K/N1KV
(SGACL)
Cat6K/4K
(SGACL)
Cat3K-X/3850
(SGACL)
ASA (SGFW) ASR1K/ISRG2
(SGFW)
SGT Review
ASR1K/ISRG2
(SGFW)
ASA (SGFW)

Security Group Firewall (SGFW) – ASA в ЦОД
41
Примеры
Campus /Branch
Network
Data Center
SXP
IP Address SGT
10.1.10.1
Marketing
(10)
SGFW
SGACL
•  Соображения для дизайна
•  Целостность классификации/применения между FW и коммутаторами.
•  Синхронизация имен SGT между ISE и CSM/ASDM
•  Дополнительные требования к логированию можно перенести на SGFW – URL
logging, etc.
•  Снижение OpEx – автоматизация правил МСЭ для пользователей и серверов
Enforcement on a
firewall
Enforcement on a
switch
Security group tags assigned based
on attributes (user, location, posture,
access type, device type)
ISE for SGACL
Policies
ASDM/CSM
Policies
SGT Name Download
SGT 10 = PCI_User
SGT 100 = PCI_Svr
SXP
SGT
PCI_Svr

•  Сегментация серверов в зоны;
•  Ролевая модель доступа;
•  Применение политик и для
виртуальных, и для
физических серверов.
42
Сегментация в ЦОД
Web Servers
Middleware
Servers
Database
Servers
Storage
Web Servers R R Q Q
Middleware Servers R R R R
Database Servers Q R R R
Storage Q R R R
Switch
Определим политику:
Web
Servers
Middleware
Servers
Database
Servers
Storage
Blocked

Использование SGACL и SG-FW функционала
совместно
43
Risk Level 1
ISE
Risk Level 2
PCI_Web PCI_App PCI_DB
SXP SXP
LOB2_DB
PCI_Users
•  SGACL на коммутаторах для применения политики для каждого Risk Level;
•  ASA применяет политику доступа между разными Risk Levels (привязки IP/SGT
мы получаем от коммутаторов).

Поддержка на платформах
44
Use Cases
Классификация Распространение Применение
Catalyst 2960-S/-C/-Plus/-X/-XR
Catalyst 3560-E/-C/-X
Catalyst 3750-E/-X
Catalyst 4500E (Sup6E/7L-E)
Catalyst 4500E (Sup8E)
Catalyst 6500E (Sup720/2T), 6880X
Catalyst 3850, 3650
WLC 5760
Wireless LAN Controller
2500/5500/WiSM2
Nexus 7000
Nexus 5500
Nexus 1000v (Port Profile)
ISR G2 Router, CGR2000
Catalyst 2960-S/-C/-Plus/-X/-XR
Catalyst 3560-E/-C/, 3750-E
Catalyst 3560-X, 3750-X
Catalyst 3650, 3850
Catalyst 4500E (Sup 7E)***, 4500X
Catalyst 4500 (Sup8E)***
Catalyst 6500E (Sup720)
Catalyst 6500E (Sup 2T)**** / 6880X
WLC 2500, 5500, WiSM2**
WLC 5760
Nexus 1000v
Nexus 5500/22xx FEX**
Nexus 7000/22xx FEX
ISRG2, CGR2000
ASR1000
ASA5500(X) Firewall, ASASM
SXP
SXP
IE2000/3000, CGS2000
ASA5500X, ASAv (VPN RAS)
SXP SGT
SXP
SXP SGT
SXP
SXP SGT
SXP
SGT
SXP
SXP SGT
SXP SGT
SXP SGT
SXP SGT
SGT Beta
SGT Beta
GETVPN
GETVPN
•  All ISRG2 Inline SGT (except C800): Today
•  ISRG2/ASR1K: DMVPN, FlexVPN: Q3CY14
Catalyst 3560-X
Catalyst 3750-X
Catalyst 6500E (Sup2T) / 6880X
Catalyst 3850, 3650
WLC 5760
Nexus 7000
Nexus 5500/5600
Nexus 1000v
ISR G2 Router, CGR2000
ASA 5500/5500X Firewal
ASAvl
Beta
SGFW
SGFW
SGFW
ASR 1000 Router
SXP
SGT
SGACL
SGACL
SGACL
SGACL
SGACL
SGACL
Nexus 6000
Q3CY14
** WLC 2500, 5500, WiSM2, Nexus 5K only supports SXP Speaker role
*** 4500E (Sup7E/8E) requires 47XX Line cards for Inline SGT
**** 6500 (Sup2T) requires 69xx Line cards for Inline SGT
SGT
Q3CY14
SXP SGT
SXP SGT
SXP Q3CY14
IPSec
IPSec

Inter Data Center (DC) Clustering
Clustering assumes rather than requires data interface adjacency at Layer 2
Geographically separated clusters supported in ASA 9.1(4)+
§  “Dark Media” CCL with up to 10ms of one-way latency
§  No tolerance for packet re-ordering or loss
§  Routed firewall in Individual interface mode only
ASA 9.2(1) extends inter-DC clustering support to Spanned Etherchannel mode
§  Transparent firewall only
§  Routed firewall support presents design challenges
46

Split or Single Individual Mode Cluster in Inter DC
Site BSite A
Data
CCL
CCL is fully extended between
DCs at L2 with <10ms of latency
ASA Cluster
CCL
Data
CCL CCL
Transit connections are not
contained to local site when
extending data VLANs
vPC 1 vPC 2
ASA 9.1(4)
Local vPC/VSS
pairs at each site
Local vPC/VSS
pairs at each site
Data interfaces
connect to local
switch pair only
Data VLANs should not
extend with a split cluster to
localize traffic to site
47

Extended Spanned Etherchannel Cluster in Inter DC
Site BSite A
Data CCL DataCCL
vPC Peer Link
vPC logical switch pair is
stretched across sites
ASA Cluster
All data interfaces bundle into a
single Spanned Etherchannel
Each cluster member can
single- or dual-connect to
the VSS/vPC pair for CCL
and Data
Transit connections are not
contained to the local site
ASA 9.2(1)
48

Split Spanned Etherchannel Cluster in Inter DC
Site BSite A
DataCCL
ASA Cluster
CCL DataCCL CCL
Data VLANs are typically
not extended; filters on
inter-site connection are
needed to prevent loops
and address conflicts
vPC 1 vPC 2
Local vPC/VSS
pairs at each site
Local vPC/VSS
pairs at each site
Single Spanned
Etherchannel for Data
on cluster side
ASA 9.2(1)
Local Data
Etherchannels on
each VPC/VSS
switch pair
Local Data
Etherchannels on
each vPC/VSS
switch pair
49

East-West Inter DC Clustering
ASA 9.3(2)Site A Site B
1. CCL is fully extended between DCs
at Layer 2 with <10ms of latency
OTV
OTV
DB
App
FHRP FHRP
3. Each segment uses a local first-hop
router with same virtual MAC and IP
addresses across all sites
2. Protected data VLANs are
fully extended at Layer 2
between sites
4. OTV prevents overlapping virtual IP and
MAC addresses of the first-hop routers from
leaking between sites
5. ASA cluster in transparent
mode inserts between the
endpoints and first-hop router
on each segment
6. If all local cluster members
or first-hop routers fail at a
given site, OTV filter must be
removed manually to fail over
to another site
50

Future East-West Inter DC Scenario
ASA 9.5(1)Site A Site B
OTV
OTV
DB
App
1. ASA cluster in routed mode inserts as
first hop router between all internal
segments and external links
2. Each segment uses cluster virtual
MAC and IP addresses across all
sites; OTV/VACL perform filtering
MAC A MAC A
outside outside
3. Connections establish
locally at each site
4. VM live-migrates to a
different site
5. New connections establish
locally through new site
6. Traffic for existing connections
traverses the original owner and
uses extended data subnet
7. PROBLEM: Access switch at
new site sees MAC A flapping
between local and OTV ports
SOLUTION: Per-site MAC
addresses in ASA 9.5(1)
51

Per-Site MAC Addresses
Routed Spanned Etherchannel cluster uses different MAC addresses in 9.5(1)
§  Global interface MAC address is used to receive and source frames by default
§  Per-site MAC addresses are optionally used to source frames on extended segments
Dynamic routing is centralized, so it does not work with split outside networks
Global MAC address localization is required through OTV or similar mechanism
asa(config)# cluster group DC-ASA
asa(cfg-cluster)# site-id 2
asa(cfg-cluster)# interface Port-Channel1.1000
asa(config-if)# mac-address 0001.aaaa.0001 site-id 1
asa(config-if)# mac-address 0001.aaaa.0002 site-id 2
asa(config-if)# mac-address 0001.aaaa.aaaa
Site-specific MAC address is used to
forward data frames and source ARP
Global MAC address is used across all
sites to receive traffic as default gateway
52

Архитектура Cisco SAFE для ЦОД

Комплексная защита от угроз для всего жизненного цикла атаки
Защита в момент времени Непрерывная защита
Сеть Терминал Мобильное устройство Виртуальная машина Облако
Исследование
Внедрение
политик
Укрепление
Обнаружение
Блокирование
Защита
Локализация
Изолирование
Восстановление
Жизненный цикл атаки
ДО АТАКИ ВО ВРЕМЯ
АТАКИ
ПОСЛЕ
АТАКИ

Изоляция систем через микросегментацию
Политики для каждого приложения, каждой VM, каждого vNIC
Tenant B
VSD
Web App
Web DB
Nexus 1000V
VSD
ASAv and vIPS
Nexus 1000V
Web Tier App Tier
Контроль входящего/исходящего &
меж-VM трафика
vFirewall, ACL, PVLAN
Обнаружение угроз и анализ
трафика
vIPS, Netflow, SPAN/ERSPAN
Прозрачное применение политик
Port Profiles
Распределение зон
ответственности
Server • Network • Security
Tenant A
ASAv and vIPS
58
VSG

Заключение
Виртуализированные сетевые сервисы:
§  Контроль исполнения политик;
§  Прозрачность происходящих процессов;
§  Упрощение взаимодействия разных департаментов.
Унифицированная политика безопасности;
Противодействие как внешним, так и внутренним угрозам;
ACI
§  Автоматическое подключение сервисов безопасности когда это
требуется.
Защита, Обнаружение, Контроль
59

Ждем ваших сообщений с хештегом
#CiscoConnectKZ
© 2015 Cisco and/or its affiliates. All rights reserved.
Спасибо
Пожалуйста, заполните анкеты.
Ваше мнение очень важно для нас.
Контакты:
Назим Латыпаев
+7-727-2442120
nlatypae@cisco.com

Дополнительные слайды

Non-Stop Forwarding (NSF) aka Graceful Restart
Traditionally when a network device restarts, all routing peers associated with that
device will remove the routes from that peer and update their routing table
At scale this could create an unstable routing environment across multiple routing
domains which is detrimental to overall network performance
Modern dual processor systems solve this problem by restarting the control plane
on one processor while continuing to forward traffic on the other
For devices that support NSF, route removal and insertion caused by restarts is no
longer necessary thus adding network stability
Uses protcol extensions to allow network device a grace period in which traffic will
continue to be forwarded via existing routes
62

Non-Stop Forwarding (NSF) on ASA (9.3)+
Pre 9.3: Routing Information Base is replicated in A/S failover and Spanned
Etherchannel clustering
§  Active unit or master establish dynamic routing adjacencies and keep standby and slaves
up-to-date
§  When the active unit or master fails, the failover pair or cluster continue traffic forwarding
based on RIB
§  New active unit or master re-establish the dynamic routing adjacencies and update the RIB
§  Adjacent routers flush routes upon adjacency re-establishment and cause momentary traffic
black holing
9.3 and after: Non Stop Forwarding (NSF) / Graceful Restart (GR)
§  Cisco or IETF compatible for OSPFv2, OSPF3; RFC 4724 for BGPv4
§  ASA notifies compatible peer routers after a switchover in failover or Spanned Etherchannel
clustering
§  ASA acts as a helper to support a graceful or unexpected restart of a peer router in all
modes
63

N7k1-‐VDC-‐2

Aggrega0on

vrf1
vrf2

L2 FW: Inter VDC Insertion
Transparent (L2) firewall services are
“sandwiched” between Nexus Virtual Device
Contexts (VDC)
Allows for other services (IPS, LB, etc) to be
layered in as needed
ASAs can be virtualized to for 1x1 mapping to
VRFs
Useful for topologies that require a FW
between aggregation and core
Firewalls could be L2 or L3
N7k1-‐VDC-‐1

Core

vrf1
vrf2

64

Атрибуты среды виртуализации, используемые VSG
Название Значение Источник
vm.name Имя VM vCenter
vm.host-name Имя данного ESX-host vCenter
vm.os-fullname Название гостевой OS vCenter
vm.vapp-name Название ассоциированного vApp vCenter
vm.cluster-name Имя кластера vCenter
vm.portprofile-name Используемый port-profile Port-profile
Атрибуты собираются автоматически, для последующего
использования в политиках
Security Policy Profile
§  Задаётся/управляется в VNMC / Prime Network Services Controller NSC
§  Привязаны к Cisco Nexus 1000V VSM port-profile
vCenter VM Attributes
65

Network Admin Security Admin
Процесс применения политик
Избегаем операционных ошибок на границах зон ответственности;
Безопасники создают политики безопасности;
Сетевики привязывают профиль порта к сервисному профилю VSG;
Серверная команда назначает профиль порта виртуальной машине.
Сервер, Сеть, Безопасность
Server Admin
vCenter Nexus 1KV Prime NSC
Port Group Port Profile Security Profile
66

Физическое
устройство
Виртуальное устройство
Nexus® 1000V
Third-Party
Switch
vSwitch
VMware
Полный набор возможностей ASA
Унифицированное гибкое лицензирование
API BASED
APIC
KVM Hyper-V Xen
Third-Party
CMP
CSM PNSC ASDM CLI
Единая платформа – разные формы

Постоянный
контракт
Service Provider
Pay Per Use
(кол-во часов х кол-во ядер)
Постоплата
1 Year
Enterprise
Обычный платёж
Предоплата
3 Year 5 Year

ASAv
Три модели применения политик
Маршрутизируемый
•  Маршрутизирует трафик между vNIC
•  Имеет таблицы ARP и маршрутов
•  МСЭ границы зоны
Прозрачный
•  VLAN или VxLAN Bridging / Stitching
•  Имеет таблицу MAC-адресов
•  Не влияет на сетевую топологию
Коммутация
сервисных меток
EPG
•  Инспектирование между EPG
•  Незаметна для сети
•  Режим интеграции в сетевую фабрику
69

Маршрутизирующий МСЭ
Сценарий границы зоны виртуализации;
First-hop gateway для виртуальных машин;
Хорошо масштабируется;
Маршрутизация между множеством подсетей;
Традиционная схема сегментации во многих
сетях; ASAv
Routed
client
Gateway
Outside
Inside
host1
host2
Shared
DMZ
70

Прозрачный МСЭ
•  Коммутация до 4 (суб)интерфейсов;
•  До 8 BVI на экземпляр ASAv;
•  Доступны NAT и ACL;
•  Внедрение PCI compliance без
прерывания сервиса;
•  Традиционная схема сегментации во
многих ЦОД;
•  Все сегменты в одном broadcast-домене.
ASAv
Transp
Gateway
client
Segment-1
Segment-3
host1
host2
Segment-2
Segment-4
71

New TCP Connection
ASA Clusterinside outside
Flow Owner
Flow Forwarder
Flow Director
Client Server
5. Deliver TCP SYN
ACK to Client
1. Attempt new
connection with
TCP SYN
6. Update
Director
2. Become Owner,
add TCP SYN Cookie
and deliver to Server
3. Respond with TCP SYN
ACK through another unit
4. Redirect to
Owner based on
TCP SYN Cookie,
become Forwarder
72

New UDP-Like Connection
ASA Cluster
inside outside
Flow Owner
Flow Forwarder
Flow DirectorClient Server
10. Deliver
response to Client
1. Attempt new UDP
or another pseudo-
stateful connection
2. Query
Director
4. Become Owner,
deliver to Server
6. Respond through
another unit
9. Redirect to
Owner, become
Forwarder
7. Query
Director
3. Not
found
8. Return
Owner
5. Update
Director
73

Owner Failure
ASA Cluster
inside outside
Flow Owner
Flow Owner
Flow Director
Client Server
1. Connection is established
through the cluster
3. Next packet
load-balanced to
another member
4. Query
Director
6. Become Owner,
deliver to Server
2. Owner fails
5. Assign
Owner
7. Update
Director
74

North-South Inter DC Clustering
Inside A Inside B
Site A Site B
1. CCL is fully extended
between DCs at Layer 2 with
<10ms of latency
2. EIGRP/OSPF
peering through local
cluster members
3. EIGRP/OSPF peering
3. EIGRP/OSPF peering
4. Default route
advertised inbound
through local members
5. Inside routes
advertised outbound
through local members
6. Default routes from opposite
sites exchanged (higher metric)
7. Inside routes from opposite
sites exchanged (higher metric)
8. Connections
normally pass through
local cluster members
(lower metric)
9. On local cluster
failure, connections
traverse remote site
ASA 9.1(4)
75

Example: N-S Split Individual Mode Cluster
A pair of standalone (non-vPC) Nexus switches at each site
§  One Individual mode cluster unit per switch, single attached
§  Routed firewall-on-a-stick VRF sandwich with OSPF
Inside VLAN is fully extended between sites with OTV
§  Each pair of switches uses localized GLBP as first hop router
§  GLBP traffic is blocked between sites
§  OSPF allows re-routing in case of local cluster unit failure
Traffic symmetry is achievable without NAT
§  Outbound connections use the directly attached cluster member
§  Inbound traffic requires LISP to eliminate tromboning due to ECMP
Site BSite A
CCL
Outside
GLBP GLBP
OTV
Inside
OSPF
OSPF
76

.5.4
N-S Split Individual Cluster Sample Configuration
.13.12.11
.2
.10
Site BSite A
CCL
10.0.0.0/24
Outside
VLAN 100
172.16.1.0/24
VLAN 10
192.168.1.0/24
.1 .3 .4 .5
.1.2 .3
.11 .12 .13
.10
VLAN 20
192.168.2.0/24
interface Ethernet3/1
channel-group 1 mode active
interface Ethernet3/2
channel-group 1 mode active
interface Port-Channel1
switchport trunk allowed vlans 10,20
ip local pool OUTSIDE 192.168.2.2-
192.168.2.17
interface Port-Channel10.20
vlan 20
nameif FW-outside
ip address 192.168.2.1 255.255.255.0
cluster-pool OUTSIDE
ip local pool OUTSIDE 192.168.1.2-
192.168.1.17
vlan 10
nameif FW-inside
ip address 192.168.1.1 255.255.255.0
cluster-pool INSIDE interface Vlan10
vrf member INSIDE
ip address 192.168.1.13/24
ip router ospf 2 area 0.0.0.0
interface Vlan100
vrf member INSIDE
interface Vlan20
vrf member OUTSIDE
ip address 192.168.2.13/24
router ospf 1
network 0.0.0.0 0.0.0.0 area
0.0.0.0
.1 .1
mac-list GLBP_FILTER seq 10 deny 0007.b400.0000 ffff.ffff.0000
mac-list GLBP_FILTER seq 20 permit 0000.0000.0000 0000.0000.0000
otv-isis default
vpn Overlay1
redistribute filter route-map GLBP_FILTER
ip access-list NON_GLBP
10 deny udp any 224.0.0.102/32 eq 3222
20 permit ip any any
vlan access-map FILTER 10
match ip address NON_GLBP
action forward
vlan filter FILTER vlan-list 100
GLBP .1 .1GLBP
OTV
.10 .11 .12 .13
OTV MAC Filter
for GLBP
GLBP
VLAN Filter
77

A vPC pair of Nexus switches at each site
§  Split Spanned Etherchannel cluster in transparent mode to separate internal segments
§  Separate Etherchannel to local cluster members per vPC pair
§  Acceptable impact from passing ASA twice between segments
Internal VLANs are fully extended between sites with OTV
§  Each site uses localized HSRP as first hop router
§  HSRP traffic is blocked between sites
§  Full Layer 2 reachability from each router to remote site
§  OTV filters must be manually removed on full upstream path failure
Must implement LISP to avoid excessive flow redirection
Example: E-W Split Spanned Etherchannel Cluster
Site BSite A
CCL
vPC vPC
vPC vPC
Application
OTV
Database
HSRP
HSRP
78

E-W Split Spanned Cluster Sample Configuration
Site BSite A
CCL
10.0.0.0/24
interface Port-Channel10
port-channel span-cluster
vlan 100
nameif DB-inside
bridge-group 1
vlan 101
nameif DB-outside
bridge-group 1
vlan 200
nameif App-inside
bridge-group 2
vlan 201
nameif App-outside
bridge-group 2
interface BVI1
ip address 192.168.1.4 255.255.255.0
interface BVI2
ip address 192.168.2.4 255.255.255.0
vPC vPC
vPC vPC
VLAN 200
192.168.2.0/24
mac-list HSRP_FILTER seq 10 deny
0000.0c07.ac00 ffff.ffff.ff00
mac-list HSRP_FILTER seq 20 deny
0000.0c9f.f000 ffff.ffff.ff00
mac-list HSRP_FILTER seq 30 permit
0000.0000.0000 0000.0000.0000
otv-isis default
vpn Overlay1
redistribute filter route-map
HSRP_FILTER
!
ip access-list HSRP_TRAFFIC
10 permit udp any 224.0.0.2/32 eq 1985
20 permit udp any 224.0.0.102/32 eq 1985
ip access-list ALL
10 permit ip any any
vlan access-map HSRP_FILTER 10
match ip address HSRP_TRAFFIC
action drop
vlan access-map HSRP_FILTER 20
match ip address ALL
action forward
vlan filter FILTER vlan-list 100, 200
interface Vlan101
ip address 192.168.1.2/24
hsrp 10
preempt
ip 192.168.1.1
interface Vlan201
ip address 192.168.2.2/24
hsrp 20
preempt
ip 192.168.2.1
OTV
VLAN 100 192.168.1.0/24
HSRP.1
HSRP.1
VLAN 100↔101
VLAN 200↔201
interface Vlan101
ip address 192.168.1.3/24
hsrp 10
ip 192.168.1.1
interface Vlan201
ip address 192.168.2.3/24
hsrp 20
ip 192.168.2.1
79
79

Архитектура защищенного ЦОД

Recommended

Recommended

More Related Content

What's hot

What's hot (20)

Viewers also liked

Viewers also liked (11)

Similar to Архитектура защищенного ЦОД

Similar to Архитектура защищенного ЦОД (20)

More from Cisco Russia

More from Cisco Russia (20)

Архитектура защищенного ЦОД