Post on 19-Feb-2017
Защита центров обработки данных. Механизмы безопасности для классической фабрики и фабрики ориентированной на приложения ACI – До, Во Время и После
Руслан Иванов ruivanov@cisco.com Станислав Рыпалов srypalov@cisco.com
23.11.15 © 2015 Cisco and/or its affiliates. All rights reserved.
Защита центров обработки данных. Механизмы безопасности для классической фабрики и фабрики ориентированной на приложения ACI – До, Во Время и После
23.11.15 © 2015 Cisco and/or its affiliates. All rights reserved. 2
Безопасность и виртуализация в ЦОД Безопасность ЦОД приоритеты, проблемы
Встроенные механизмы защиты
Устройства безопасности в ЦОД
Мониторинг и реагирование
Заключение
3
Архитектурные вызовы в современном ЦОД
Развивающиеся угрозы
Новые приложения (Физические,
виртуализированные и облачные)
Новые тренды распределения
трафика в сети ЦОД
Source: Cisco Global Cloud Index, 2012
Просто, Эффективно и Доступно
Сегментация • Определение границ: сеть, вычислительный ресурс, вируальная сеть • Применение политик по функциям - устройство, организация, соответствие • Контроль и предотвращение НСД к сети, ресурсам, приложениям
Защита от
угроз
• Блокирование внешних и внутренних атак и остановки сервисов • Патрулирование границ зон безопасности • Контроль доступа и использования информации для предотвращения ее потери
Видимость • Обеспечение прозрачности использования • Применение бизнес-контекста к сетевой активности • Упрощение операций и отчетности
Север-Юг
Восток-Запад
Защита, Обнаружение, Контроль
5
Какая архитектура для обеспечения безопасности ЦОД является правильной?
Ориентация на виртуализацию
Отсутствие поддержки физических
сред
Ограниченная видимость
Сложность управления (2 сети вместо одной!)
Ориентация на приложения
Любая нагрузка в любом месте
Полная видимость Автоматизация
Ориентация на периметр
Сложно и много ручных
процессов
Ошибки конфигурации
Статическая топология
Ограничения применения
Модель безопасности ЦОД ориентированная на угрозы
Л а н д ш а ф т у г р о з
DURING Detect Block
Defend
AFTER Scope
Contain Remediate
ДО Контроль
Применение Усиление
ПОСЛЕ Видимость Сдерживание Устранение
Обнаружение Блокировка Защита
ВО ВРЕМЯ
Сеть Облако Мобильные устройства
Виртуальные машины
Оконечные устройства
Сегментация средствами сети ЦОД
23.11.15 © 2014 Cisco and/or its affiliates. All rights reserved. 8
Контроль Применение Усиление
ДО
Классическая фабрика
Hypervisor Hypervisor Hypervisor Hypervisor
VRF Blue VRF Purple
Firewall Firewall Nexus 7000
Nexus 5500
Nexus 1000V Nexus 1000V
Традиционные механизмы для изоляции и сегментации на физических коммутаторах и виртуальных Зонирование для применения политик Разделение физической инфраструктуры на зоны
§ Разделение L2/L3 путей при помощи VDC/VLAN/…
§ VRF – разделение таблиц маршрутизации
§ Фильтрация север-юг, запада –восток МСЭ или списками доступа
9
Управление политиками в виртуальной сети
Nexus 1000V § Операционная модель на базе портовых профилей Port Profiles § Поддержка политик безопасности с изоляцией и сегментацией при помощи VLAN, Private VLAN, Port-based Access Lists, TrustSec и Cisco Integrated Security функций § Обеспечение прозрачности потоков от виртуальных машин функциями ERSPAN и NetFlow
Виртуальный коммутатор: Nexus 1000V
Network Team
Server Team
Управление и мониторинг
Роли и ответственность
Изоляция и сегментация
Security Team
Nexus 1000V
10
Профиль порта
Nexus 1000V поддерживает: ü ACLs ü Quality of Service (QoS) ü PVLANs ü Port channels ü SPAN ports
port-profile vm180 vmware port-group pg180 switchport mode access switchport access vlan 180 ip flow monitor ESE-flow input ip flow monitor ESE-flow output no shutdown state enabled interface Vethernet9 inherit port-profile vm180 interface Vethernet10 inherit port-profile vm180
Port Profile –> Port Group vCenter API
vMotion Policy Stickiness
Network
Security
Server
11
Сервисные цепочки при помощи vPath
vPath это компонент шины данных Nexus 1000V: • Модель вставки сервиса без привязки к топологии
• Сервисные цепочки для нескольких виртуальных сервисов
• Повышение производительности с vPath например VSG flow offload
• Эффективная и масштабируемая архитектура
• Сохранение существующей модели операций
• Мобильность политик
Cloud Network Services (CNS)
Hypervisor
Nexus 1000V vPath
12
Архитектура TrustSec
• Классификация систем/пользователей на базе контекста (роль, устройство, место, способ подключения)
• Контекст (роль) транслируется в метку Security Group Tag (SGT) • МСЭ, маршрутизаторы и коммутаторы используют метку SGT для принятия решения о фильтрации
• Классифицируем один раз – используем результат несколько раз 13
Users, Devices
Switch Router DC FW DC Switch
HR Servers
Enforcement
SGT Propagation
Fin Servers SGT = 4
SGT = 10
ISE Directory Classification
SGT:5
Назначение группы
14
Динамическая классификация Статическая классификация • IP Address
• VLANs
• Subnets
• L2 Interface
• L3 Interface
• Virtual Port Profile
• Layer 2 Port Lookup
Классификация для мобильных устройств
Классификация для серверов и на базе топологии
802.1X Authentication
MAC Auth Bypass
Web Authentication SGT
14
Механизмы распространения меток SGT
15
Wired Access
Wireless Access
DC Firewall
Enterprise Backbone
DC
Virtual Access Campus Core DC Core
DC Distribution
Physical Server
Physical Server
VM Server
PCI VM Server
DC Physical Access
SGT 20
SGT 30
IP Address SGT SRC
10.1.100.98 50 Local
SXP IP-SGT Binding Table
SXP
SGT = 50
ASIC ASIC
Optionally Encrypted
Inline SGT Tagging
SGT=50
ASIC
L2 Ethernet Frame SRC: 10.1.100.98
IP Address SGT
10.1.100.98 50 SXP
Non-SGT capable
Inline Tagging (data plane): Поддержка SGT в ASIC
SXP (control plane): Распространение между устройствами без поддержки SGT в ASIC
Tag When you can! SXP when you have
to!
Применение политик SGACL (матрица доступа)
16
permit tcp dst eq 443 permit tcp dst eq 80 permit tcp dst eq 22 permit tcp dst eq 3389 permit tcp dst eq 135 permit tcp dst eq 136 permit tcp dst eq 137 permit tcp dst eq 138 permit tcp des eq 139 deny ip
Portal_ACL
16
Сегментация средствами ACI
23.11.15 © 2014 Cisco and/or its affiliates. All rights reserved. 17
Контроль Применение Усиление
ДО
Что представляет собой ACI?
ACI фабрика
Неблокируемая фабрика на базе оверлеев
App DB Web
Внешняя сеть передачи данных
(Tenant VRF)
QoS
Filter
QoS
Service
QoS
Filter
Application Policy Infrastructure
Controller
APIC
1. Профиль приложения
2. Кластер контроллеров
3. Cеть на базе Nexus 9000
Tenant: Логический контейнер для размещения политик приложений.Этот контейнер может быть выделен отдельному арендатору, организации или приложению.
Application Profile: профиль приложения моделирует требования приложения к сети и включает в себя необходимое количество EPG.
Bridge Domain: Логическая конструкция представляющая L2-сегмент передачи данных внутри фабрики. Один или несколько EPG могут быть ассоциированы с одним BD.
Объектная модель используемая в ACI Tenant A
ANP 3-tier App ANP Storage
Bridge D
omain B
D_1
Bridge D
omain B
D_2
Контракт
Контракт
Контракт
EPG NetApp_LIF
EPG VM-NIC
EPG База данных
EPG Сервер приложений
EPG Web-сервер
End Point Group (EPG): EPG это набор физических или виртуальных объектов, для которых должны быть обеспечены одинаковые политики и сервисы при подключении к сети. Например набор виртуальных машин или интерфейсов СХД.
Контракты: регламентирует правила передачи данных между EPG при помощи механизмов фильтрации, обеспечения качества обслуживания и перенаправления трафика на внешние сервисные устройства, такие как МСЭ и т.д.
Объектная модель используемая в ACI Tenant A
ANP 3-tier App ANP Storage
Bridge D
omain B
D_1
Bridge D
omain B
D_2
Контракт
Контракт
Контракт
EPG NetApp_LIF
EPG VM-NIC
EPG База данных
EPG Сервер приложений
EPG Web-сервер
Взаимодействие внутри ACI
“Users” “Files”
ACI Fabric
Определение Endpoint Groups
Любой хост внутри в любом месте фабрики виртуальный
или физический
Применение входящих политик
Применение политик на всех портах:
security in depth, embedded QoS
Точка оркестрации
Разделение административных ролей с использованием общего интерфейса и объектов
Application Policy Infrastructure Controller
(APIC) Создание контракта между Endpoint Groups
Правила: drop, prioritize, push to service chain; reusable templates
Service Graph
Сервисное устройство Администратор безопасности определяет шаблоны политик, которые далее используются при создании контракта
All TCP/UDP: Accept, Redirect UDP/16384-32767: Prioritize
All Other: Drop
Policy Contract “Users → Files”
21
Интеграция гипервизоров и ACI EPG классификация при помощи атрибутов VM
• End Point Group (EPG) могут использовать несколько методов для классификации
• VM Port Group – это самый простой механизм классификации ВМ
• Атрибуты ВМ так же могут использоваться для классификации EPG
• Используется ACI релиз 11.1 с AVS (первоначальная доступность)
• Поддержка коммутаторов в гипервизорах VMware vDS, Microsoft vSwitch, OVS (планируется)
Атрибуты ВМ Guest OS
VM Name
VM (id)
VNIC (id)
Hypervisor
DVS port-group
DVS
Datacenter
Custom Attribute
MAC Address
IP Address
vCenter VM
Attributes
VM Traffic
Attributes
Интеграция ACI и TrustSec
SGT ß EPG
ACI-Enabled DC SGTàEPG TrustSec-Enabled
Network
Consistent Policy
• Cisco планирует интегрировать TrustSec и ACI дав возможность заказчикам создать интегрированную систему безопасности, которая предоставляет возможность воспользоваться контекстом TrustSec, сформулированном в территориально распределенной сети, при определении сетевой политики приложения, размещаемого в фабрике ACI ЦОД
• Возможность создать связанную политику безопасности на предприятии с одновременным использованием роли пользователя и контекста приложения
• Подход на основе групповых политик упростит дизайн, операции по поддержке и комплекс организационных мероприятий по соответствию нормативным требованиям
Сегментация, обнаружение и защита средствами безопасности
23.11.15 © 2014 Cisco and/or its affiliates. All rights reserved. 24
Контроль Применение Усиление
ДО Обнаружение Блокировка Защита
ВО ВРЕМЯ
МСЭ ASA и фабрика ЦОД
§ ASA и Nexus Virtual Port Channel § vPC обеспечивает распределение нагрузки по
соединениям (отсутствие заблокированных STP соед.)
§ ASA использует технологии отказоустойчивости ЦОД
§ Уникальная интеграция ASA и Nexus (LACP) § IPS модуль полагается на связность от ASA –
обеспечивает DPI § Проверенный дизайн для сегментации, защиты от
угроз и прозрачности операций (visibility) § Transparent (рекомендован) и routed режимы § Работает в режимах A/S и A/A failover
Уровень агрегации ЦОД
Active vPC Peer-link
vPC vPC
Core IP1
Core IP2
Active or Standby
N7K VPC 41 N7K VPC 40
Nexus 1000V vPath
Hypervisor Nexus 1000V
vPath
Hypervisor
Core Layer
Aggregation Layer
Access Layers
25
Aggregation Layer
L2
L3
FW HA
VPC VPC
VPC
DC Core / EDGE
VPC VPC
FHRP FHRP
SVI VLAN200 SVI VLAN200
North Zone VLAN 200
South Zone VLAN 201
Trunks
VLAN 200 Outside
VLAN 201 Inside
N7K VPC 40
N7K VPC 41
ASA channel 32
VPC PEER LINK
VPC PEER LINK
Access Layer
Подключение ASA к Nexus с vPC
§ ASA подключается к Nexus несколькими интерфейсами с использованием vPC • ASA может быть настроена на переход на резервную коробку в случае потери нескольких соединений (при использовании HA)
§ Идентификаторы vPC разные для каждого МСЭ ASA на коммутаторе Nexus (это меняется для кластера ASA и cLACP [далее…])
26
Физический сервис для виртуального
Hypervisor Hypervisor Hypervisor Hypervisor
VRF Blue VRF Purple
Firewall Firewall Nexus 7000
Nexus 5500
Nexus 1000V Nexus 1000V
§ Применяем физические устройства для изоляции и сегментации виртуальных машин
§ Используем зоны для применения политик
§ Физическая инфраструктура привязывается к зоне
§ Разделяем таблицы маршрутизации по зонам через VRF
§ Политики МСЭ на зоны привязаны к потокам север-юг, восток-запад
§ Проводим L2 и L3 пути через физические сервисы
27
МСЭ & виртуальная среда Виртуальные контексты ASA для фильтрации потоков между зонами
Firewall Virtual Context provides
inter-zone East-West security
Aggregation
Core
Hypervisor Hypervisor
Database
ASA Context 2 Transparent Mode
ASA Context 1 Transparent Mode
ASA 5585 ASA 5585
Aggregation
Core
Physical Layout
East-West Zone filtering
VLAN 21
VLAN 20
VLAN 100
VLAN 101
Context1 Context2
Front-End Apps
28
Hypervisor
Инспекция трафика между VLAN для VM ASA с Bridge Group внутри контекста
Layer 2 AdjacentSwitched Locally
Direct Communication
ASA 5585 Transparent Mode
Aggregation
Core
Layer 3 GatewayVRF or SVI
Aggregation
Core
Physical Layout
East-West VLAN filtering
VLAN 20
VLAN 100
interface vlan 21 10.10.20.1/24 interface vlan 101 10.10.101.1/24
interface TenGigabitEthernet0/6 channel-group 32 mode active vss-id 1 no nameif no security-level ! interface TenGigabitEthernet0/7 channel-group 32 mode active vss-id 2 no nameif no security-level ! interface BVI1 ip address 10.10.20.254 255.255.255.0 ! interface Port-channel32 no nameif no security-level ! interface Port-channel32.20 mac-address 3232.1111.3232 vlan 20 nameif inside bridge-group 1 security-level 100 ! interface Port-channel32.21 mac-address 3232.1a1a.3232 vlan 21 nameif outside bridge-group 1 security-level 0 …
29
VLAN 21
VLAN 101
Обзор кластера ASA § Кластеризация поддерживается на 5580, 5585 и
5500-X (5500-X кластер из 2-х устройств) § CCL – критическое место кластера, без него
кластер не работает § Среди членов кластера выбирается Master для
синхронизации настроек— не влияет на путь пакета
§ Новый термин “spanned port-channel” т.е. Распределенные/общие настройки порта среди членов кластера ASA
§ Кластер может ре-балансировать потоки § У каждого потока есть Owner и Director и
возможно Forwarder § Шина данных кластера ДОЛЖНА использовать
cLACP (Spanned Port-Channel)
Cluster Control Link
vPC
Data Plane
Aggregation
Core
ASA Cluster
vPC 40
30
Кластер МСЭ ASA Кластеризация ASA для требований ЦОД
Cluster Control link shares state and
connection information among cluster members
Aggregation
Core
Hypervisor Hypervisor
Database
ASA Cluster includes Context 1 & 2
Transparent Mode
ASA 5585 ASA 5585 ASA 5585 ASA 5585
Aggregation
Core
Physical Layout
Cluster Control Link
Cluster functionally the same in either
transparent or routed mode
Cluster members used for North-South, East-West inspection and
filtering
Context1 Context2
Owner Director
IPS relies on ASA Clustering
31
Web Apps
Внедрение ASAv : виртуальный МСЭ+VPN
32
§ Сегодня для фильтрации между зонами и тенантами применяется ASA в режиме мульти-контекст
§ Для передачи трафика используются транки § Проблема – масштабирование фильтрации Запад-Восток требует ресурсов МСЭ и масштабируемого транспортного решения Zone 1 Zone 2 Zone 3
VM 1
VM 2
VM 3
VM 4
VFW 1
VM 5
VM 6
VM 7
VM 8
VFW 2 VFW 3
§ ASAv – может быть пограничным МСЭ и может обеспечивать фильтрацию Восток-Запад
§ На каждого тенанта или зону можно развернуть одну или несколько ASAv для FW + VPN
§ Масштабируемая терминация VPN S2S и RA Vzone 1 Vzone 2
Multi Context Mode ASA
Внедрение ASAv : виртуальный МСЭ+VPN 3 режима примения политик
Routed Firewall • Маршрутизация трафика между vNIC • Поддержка таблиц ARP и маршрутов • МСЭ на границе тенанта
Transparent Firewall
• VLAN или VxLAN Bridging / Stitching • Поддержка таблицы MAC • Бесшовная интеграция в L3 дизайн
Service Tag Switching
• Инспектирование между service tags • Нет взаимодействия с сетью • Режим интеграции с фабрикой
33
Routed Firewall
§ Routed – граница сети контейнера/тенанта
§ Шлюз по умолчанию для хостов § Маршрутизация между несколькими подсетями
§ Традиционная L3 граница сети § Подключение виртуальных машин и физических
§ Сегментация с использованием интерфейсов
ASAv Routed
client
Gateway
Outside
Inside
host1
host2
Shared
DMZ
34
Transparent Firewall
• Коммутация между 4 (под-) интерфейсами
• 8 BVI на ASAv • NAT и ACL • Бесшовная интеграция для соотв. PCI
• Традиционная граница L2 между хостами
• Все сегменты в одном широковещательном домене
ASAv Transp
Gateway
client
Segment-1
Segment-3
host1
host2
Segment-2
Segment-4
35
Web-zone Fileserver-zone
Hypervisor
Nexus 7000
Nexus 5500
Nexus 1000V
VRF VLAN 50
UCS
VLAN 200 VLAN 300
Защита приложений и видимость
§ Инспекция трафика север-юг и восток-запад с ASA § Transparent или routed режимы § Эластичность сервиса
.1Q Trunk
VLAN 50
36
Web-zone Fileserver-zone
Hypervisor
Nexus 7000
Nexus 5500
Nexus 1000V
VRF VLAN 50
UCS
Защита приложений и видимость
Инспекция трафика север-юг и восток-запад с ASA Глубокая инспекция с virtual IPS – в режиме inline (коммутация между VLAN) или promiscuous port на vswitch
Сервисная цепочка – ASAv и vIPS
.1Q Trunk
External VLAN 50
Defense Center с Firesight для анализа данных
37
Inline Set
Inline Set Internal
External Internal
VLAN 200
vIPS Варианты включения: в «разрыв» или «пассивный»
Web-zone
VLAN 200
Promiscuous Port
vSwitch
Web-zone
VLAN 200
External
vSwitch vSwitch
38
Internal
Сегментация, обнаружение и защита средствами безопасности в ACI
23.11.15 © 2014 Cisco and/or its affiliates. All rights reserved. 39
Контроль Применение Усиление
ДО Обнаружение Блокировка Защита
ВО ВРЕМЯ
ASA и FirePOWER в архитектуре ACI
ASA5585 Divert to SFR NGIPSv FirePOWER ASAv30
ASAv10
FireSIGHT
Основной принцип ACI - логическая конфигурация сети, не привязанная оборудованию
ACI фабрика
Неблокируемая фабрика на базе оверлеев
App DB Web
Внешняя сеть передачи данных
(Tenant VRF) QoS
Filter
QoS
Service
QoS
Filter
Application Policy Infrastructure
Controller
APIC
Вставка сервисной цепочки
Автоматизация вставки сервисного устройства при помощи механизма «device package»
Open Device Package
Policy Engine
APIC реализует расширяемую модель политик при помощи Device Package
Configuration Model
Device Interface: REST/CLI
APIC Script Interface
Call Back Scripts
Event Engine
APIC– Policy Manager
Configuration Model (XML File)
Call Back Script
Администратор загружает файл, содержащий Device Package в APIC
Device Package содержит XML модель устройства, которое находится под управлением
Device scripts транслирует вызовы APIC API в специфичные для устройства CLI команды или API вызовы
APIC
§ Режим одного и нескольких контекстов поддерживается для релиза драйвера DP 1.2 § Оба режима используют возможность создания VLAN подинтерфейсов
§ Transparent (bump in the wire) режим для вставки “Go-Through” § Передача пакетов построена на базе MAC адресов. Таблица маршрутизации влияет на NAT и инспекцию приложений
§ Режим Flooding должен быть включен для ACI Bridge Domains
§ Routed (Layer 3 hop) режим для вставки “Go-To” § Общая таблица маршрутизации на контекст требует наличия статических маршрутов или динамической маршрутизации (DP 1.2) для подключения к EPG.
Модели интеграция ASA в фабрику ACI
§ Failover защита от выхода из строя устройства § Failover соединения имеют один общий активный IP/MAC § Пара Active/Standby настраивается и управляется APIC’ом. Оба устройства
ASA должны быть зарегистрированы на APIC. § Режим Active/Active failover не поддерживается
§ Кластер обеспечивает высокий уровень производительности в ACI § До 16 устройств ASA5585-X может быть объединено в один логический МСЭ
§ Режим интерфейса Spanned Etherchannel обеспечивает общий IP и MAC адрес
§ Настройка кластера производится в режиме out of band, но APIC может управлять им после настройки.
ASA доступность и масштабируемость
§ Routed Mode (Go-To) Tenant
§ Transparent Mode (Go-Through) Tenant
BD2 BD1
Интеграция ASA в фабрику ACI
EPGA EPGBFW
GraphB 10.0.0.0/24
External Internal
ExternalEPGA1 EPGB
GraphA10.0.0.0/24 10.0.0.1 20.0.0.1 20.0.0.0/24
External Internal
BD2 BD1
FW
Device Package 1.0 или 1.1
BD1
BD2
§ Routed Mode
§ Transparent Mode BD2 BD
1
Интеграция ASA в фабрику ACI
EPGA EPGBFWGraphB
10.0.0.0/24
TenantB
External Internal
EPGA EPGAFWGraphA
10.0.0.1 20.0.0.1
TenantA
External Internal
VRF1 VRF2
OSPF/BGP
OSPF/BGP OSPF/BGP
VRF1 VRF2
10.0.0.2 20.0.0.2
10.0.0.10 10.0.0.11100.0.0.0/24 200.0.0.0/24
201.0.0.0/24
202.0.0.0/24
203.0.0.0/24
101.0.0.0/24
102.0.0.0/24
103.0.0.0/24
200.0.0.0/24
201.0.0.0/24
202.0.0.0/24
203.0.0.0/24
100.0.0.0/24
101.0.0.0/24
102.0.0.0/24
103.0.0.0/24
ASA 1.2 Device Package
BD2 BD1
Transparent Mode Вставка FirePOWER в фабрику ACI
EPGA EPGBNGIPS
GraphA
10.0.0.0/24
TenantA
External Internal
BD1
BD2
EPGA EPGBNGIPS
GraphB
10.0.0.0/24
TenantB
External InternalVRFs VRFs
OSPF/BGP
10.0.0.10 10.0.0.11100.0.0.0/24 200.0.0.0/24
201.0.0.0/24
202.0.0.0/24
203.0.0.0/24
101.0.0.0/24
102.0.0.0/24
103.0.0.0/24
Интеграция с ACI устройств безопасности Cisco
Подключение к фабрике ACI
Подключение к фабрике ACI
Настройка политик
Мониторинг и уведомления в реальном времени
Настройка политик
Managing Service Producer Security Configurations and Visibility
События и syslog CSM
ASA Device Package
FirePOWER Device Package
Интеграция ASA Интеграция FirePOWER
Обработка сервисного графа
Для каждой функции в графе: 1. APIC выбирает логическое устройство из ранее определенных 2. APIC разрешает параметры конфигурации и готовит конфигурационный словарь 3. APIC выделяет VLAN для каждого соединения, ассоциированного с функцией 4. APIC настраивает сеть - VLAN, EPG и соответствующие фильтры 5. APIC запускает скрипт и настраивает сервисное устройство
FuncAonFirewall
FuncAonSSLoffload
FuncAonLoadBalancer
Сервисныйграф:“web-applica=on”
Firewall FuncAonSSLoffload
FuncAonLoadBalancer
ВыделениеVLAN
1 2
3
НастройкаVLAN 4
5
EPG Web EPG
App
ASA5585 c SFR в сервисном графе – Etherchannel
Po1.300 Po1.301
Vlan 100 Vlan 200
vPC4 VLAN 300 vPC4
Vlan 301
App1 DB
provider consumer class firepower_class_map sfr fail-close
SFR NGIPS policy ASA
Когда сервисный граф с сервисным устройством ASA активируется в определенном контракте (начинается рендеринг), APIC автоматически настроивает ASA интерфейсы и политики, включая redirection на модуль
FirePOWER. Поддерживаются L3 (GoTo) и L2 (GoThrough) режимы. FireSIGHT независимо управляет политиками FirePOWER.
ASA 1.2 Device Package
ASA5585+SFR
APIC
Vlan 100 App2 VM
Cервисный граф для FirePOWER - LAG
s1p1.300 s1p2.301
Vlan 100 Vlan 200
vPC4 Vlan 300 vPC4
Vlan 301
Идентификаторы VLAN ID назначаются автоматически из пула и для EPG и для портов сервисных устройств.
Настройка всех портов согласно логике (L2,L3) производится автоматически.
App DB
consumer provider
FirePOWER использует LAG (port-channel) для подключения к фабрике
для обеспечения отказоустойчивости к
одному коммутатору или паре коммутаторов с функцией vPC.
Physical
APIC использует FirePOWER Device package для
взаимодействия с FireSIGHT Management Center который
управляет NGIPS
APIC
ASAv и FirePOWERv в сервисном графе
vNIC2 vNIC3
Vlan 100 Vlan 200 App DB
provider consumer Устройства ASAv и NGIPSv разворачиваются вручную или при помощи оркестратора. vNIC
интерфейсы, помеченные как consumer и provider задействуются при
активации (рендеринге) сервисного графа.
vNIC2 vNIC3 provider consumer
Vlan 302 Vlan 303 Vlan 300 Vlan 301
APIC полностью управляет конфигурацией ASAv, при этом настройка виртуального FirePOWER устройства выполняется при помощи FireSIGHT.
APIC
Сервисная цепочка из двух устройств (пример)
“Подключаем” устройства
Сервисная цепочка из двух устройств (пример)
Создаем шаблоны настроек для ASA
Сервисная цепочка из двух устройств (пример)
Создаем шаблоны настроек для IPS
Сервисная цепочка из двух устройств (пример)
Создаем шаблон сервисной цепочки
Сервисная цепочка из двух устройств (пример)
Привязываем сервисную цепочку к контракту между EPG
Сервисная цепочка из двух устройств (пример)
“Привязываем” интерфейсы устройств
Сервисная цепочка из двух устройств (пример)
Работающая сервисная цепочка
Сервисная цепочка из двух устройств (пример)
firewall transparent hostname pierre interface Management0/0 management-only nameif mgt security-level 100 ip address 172.26.42.12 255.255.255.192 route mgt 0.0.0.0 0.0.0.0 172.26.42.1 1 http server enable http 0.0.0.0 0.0.0.0 mgt user-identity default-domain LOCAL aaa authentication telnet console LOCAL aaa authentication http console LOCAL username admin password e1z89R3cZe9Kt6Ib encrypted privilege 15
interface Port-channel1 lacp max-bundle 8 no nameif no security-level! interface TenGigabitEthernet0/6 channel-group 1 mode active no nameif no security-level!interface TenGigabitEthernet0/7 channel-group 1 mode active no nameif no security-level same-security-traffic permit inter-interface
interface BVI1 ip address 77.10.10.254 255.255.255.0!interface Port-channel1.3135 vlan 3135 nameif externalIf bridge-group 1 security-level 100!interface Port-channel1.3174 vlan 3174 nameif internalIf bridge-group 1 security-level 100 access-list access-list-inbound extended permit ip any anyaccess-list access-list-inbound extended permit tcp any any eq wwwaccess-list access-list-inbound extended permit tcp any any eq https access-group access-list-inbound in interface externalIf
Начальная настройка Подключена к APIC Часть сервисной цепочки ASA5585
Мониторинг и реагирование
23.11.15 © 2014 Cisco and/or its affiliates. All rights reserved. 61
Контроль Применение Усиление
ДО Обнаружение Блокировка Защита
ВО ВРЕМЯ Видимость Сдерживание Устранение
ПОСЛЕ
Применение NetFlow для безопасности
§ Обнаружение сложных и стойких угроз. Выявление вредоносного ПО внутри защищенного периметра. Выявление угроз нулевого дня.
§ Выявление активности каналов управления и контроля BotNet. Вредоносное ПО с внешними центрами управления может использоваться для рассылки SPAM, организации DoS атак и другой вредоносной активности.
§ Обнаружение сетевого взлома. Некоторые типы атак используют различные приемы сетевого сканирования для выбора вектора атаки, что может быть использовано для выявления угроз.
§ Обнаружение внутреннего распространения вредоносного ПО. Распространение вредоносного ПО по сети может приводить к потери конфиденциальных и защищенных данных.
§ Выявление утечки данных. Вредоносное ПО может содержать код для организации передачи данных в сторону атакующего. Такие утечки могут происходить периодически в течении небольших промежутков времени.
62
NetFlow в двух словах
Internal Network
NetFlow Data
NetFlow Collector
63
Решение Cyber Threat Defense
Data Center
Прозрачность, Контекст и Контроль
Использование NetFlow до уровня доступа
Унификация инструментов для обнаружения, расследования и
отчетности
Наполнение данных информацией идентификации,
событиями, контекстом
Кто
Что Где
Когда
Как
Cisco ISE
Cisco ISR G2 + NBAR
Cisco ASA + NSEL
Context
64
Компоненты решения Cyber Threat Defense
Cisco Network
StealthWatch FlowCollector
StealthWatch Management
Console
NetFlow
Users/Devices
Cisco ISE
NetFlow
StealthWatch FlowReplicator
Other tools/collectors
https
https
NBAR NSEL NGA
NetFlow Generating Appliance
65
Решение Cisco Обнаружение атак без сигнатур
Высокий Concern Index показывает существенное количество подозрительных событий, что является отклонением от
установленной нормы
Host Groups Host CI CI% Alarms Alerts
Desktops 10.10.101.118 338,137,280 112,712% High Concern index Ping, Ping_Scan, TCP_Scan
Мониторинг и нормирование активности для хоста внутри группы
66
Идентификация угроз и назначение атрибутов Интеграция Cisco ISE и Lancope StealthWatch
Policy Start Active Time
Alarm Source Source Host
Group
Source User Name
Target
Inside Hosts 8-Feb-2012 Suspect Data Loss 10.34.74.123 Wired Data
Bob Multiple Hosts
67
Обнаружение распространения вредоносного ПО
NetFlow Capable
Devices
Management StealthWatch FlowCollector
StealthWatch Management
Console 3. Сбор и анализ данных NetFlow 4. Добавление контекстной
информации к данным NetFlow анализа
5. Повышение Concern index и генерация события Worm propagation
Cisco ISE
Initial Infection
Secondary Infection
1Заражение происходит по внутренней сети в соответствии с планом атакующего
2. Инфраструктура создает записи активности с использованием NetFlow
Data Center
68
Обнаружение распространения вредоносного ПО
Devices
Management StealthWatch FlowCollector
StealthWatch Management
Console 3. Сбор и анализ данных NetFlow 4. Добавление контекстной
информации к данным NetFlow анализа
5. Повышение Concern index и генерация события Worm propagation
Cisco ISE
Tertiary Infection
Initial Infection
Secondary Infection
2. Инфраструктура создает записи активности с использованием NetFlow
NetFlow Capable 1. Заражение происходит по внутренней сети в соответствии с планом атакующего
Data Center
69
Отслеживание распространения заражения
Последующие заражения
Вторичное заражение
Начальное заражение
70
Примечание про StealthWatch и NSEL
§ Поле Flow Action добавляет дополнительный контекст § Данные о состоянии NSEL используются при поведенческом анализе в StealthWatch
(concern Index points суммируются для событий Flow Denied) § NAT stitching убирает избыточные записи потоков от ASA и ASR1000 § Отсутствие данных о TCP флагах и счетчиков переданных и принятых байт снижает эффективность NSEL и позволяет использовать только для обнаружения ряда угроз (ex. SYN Flood); предлагается использовать в комбинации с дополнительными источниками NetFlow
NetFlow Secure Event Logging
71
Мониторинг и реагирование в ACI
23.11.15 © 2014 Cisco and/or its affiliates. All rights reserved. 72
Контроль Применение Усиление
ДО Обнаружение Блокировка Защита
ВО ВРЕМЯ Видимость Сдерживание Устранение
ПОСЛЕ
Visibility в ACI Механизм Atomic Counters
23.11.15 © 2015 Cisco and/or its affiliates. All rights reserved. 73
Visibility в ACI Механизм SPAN
23.11.15 © 2015 Cisco and/or its affiliates. All rights reserved. 74
Ускорение отражения угроз при помощи интеграции между ACI и FirePOWER NGIPS
Host 3
Приложение 1 (Physical)
Host 1 Host 2
Приложение 2 (Physical)
VM
VM
VM
1. FirePOWER IPS использует возможности ACI фабрики по мониторингу для обнаружения атаки на ее самой ранней фазе
Proactive Detection Mitigation Incident Response and Mission Assurance
Жизненный цикл атаки
Weaponize Execute
Deliver Control Maintain
Exploit
Recon
APIC FireSIGHT
2. Механизм «continuous analytics» компоненты FireSIGHT Manager обеспечивает обнаружение атаки
3. FireSIGHT использует APIC API для программирования политики с целью блокировки атаки (FireSIGHT System Remediation API), а так же задействует механизм карантина для нежелательного трафика
4. FirePOWER IPS непрерывно собирает информацию о событиях с ACI Фабрики, чтобы обнаружить новые угрозы
Заключение
23.11.15 © 2015 Cisco and/or its affiliates. All rights reserved. 76
С чего начать? Cisco SAFE!
Сеть L2/L3
Управление доступом + TrustSec
к комплексу зданий
Зона общих сервисов
Система предотвра-щения вторжений нового поколения
Зона сервера приложений
Зона соответствия
стандартам PCI
Зона базы данных
Анализ потока
Безопасность хоста
Баланси-ровщик нагрузки
Анализ потока
МСЭ
Антивре-доносное ПО
Анали-тика угроз
Управление доступом + TrustSec
Система предотвра-щения вторжений нового поколения
Межсетевой экран нового поколения Маршрутизатор
Сеть L2/L3 МСЭ VPN
Коммута-тор
МСЭ веб-приложений
Централизованное управление
Политики/ Конфигурация
Мониторинг/ контекст
Анализ/ корреляция
Аналитика
Регистрация в журнале/ отчетность
Аналитика угроз
Управление уязвимостями
Мониторинг
к периметру
Виртуализированные функции
WAN
Как внедрить?
23.11.15 © 2015 Cisco and/or its affiliates. All rights reserved. 78
Возможности создания общей картины
Руководство по архитектуре
Дизайны CVD
Руководство «Обзор Safe»
Руководство по архитектуре для защищенного ЦОД
Как развертывать кластер ASA
Краткое руководство по созданию защищенного ЦОД
Создание кластера ASA с сервисами FirePOWER УТВЕРЖДЕНО
CiscoRu Cisco CiscoRussia
Ждем ваших сообщений с хештегом #CiscoConnectRu
CiscoRu © 2015 Cisco and/or its affiliates. All rights reserved.