Post on 22-Jun-2020
David Li 李勇卫思科资深安全顾问2018年6月
思科数据中心安全解决方案介绍
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
60days业界平均检测并隔离一个威胁时间
$3.8M平均每次数据渗透造成的损失
200days业界平均渗透检测时间
网络安全现状 -网络威胁越来越聪明
攻击者有动机和目标 攻击接触面不断增加 攻击复杂度不断增加
• 宣布负责• 金融/间谍动机
• 万亿美金网络犯罪市场
• BYOD 模糊了防御边界• 公有云服务• 企业IOT
• Advanced persistent threats• 加密的恶意软件
• Zero-day 攻击
太多的告警非常复杂
试图保护一切老练
跟上攻击者的脚步
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
思科数据中心解决方案 – 关注领域
• 了解安全保护主体
• 了解主体网络行为
• 了解应用
• 生成合规性报告
• 建立取证分析能力
可视化
• 阻止数据中心内部外部攻击,加固安全域和边界
• 应对各类主机应用漏洞带来的网络侵入
• 控制病毒及恶意软件的传播
威胁防御
• 建立边界—network, compute, virtual
• 设定策略-functions, devices, orgs
• 访问控制-networks, resources, apps
隔离
集 成
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
数据中心安全隔离灵活选项
性能需求大: 硬件防火墙需求,通过虚墙进行资源复用,满足NAT、VPN、安全隔离、安全访问控制
性能需求小:软件云火墙,通过ASAv,满足NAT、VPN、安全访问控制
高级威胁防御,可视化要求高: FTDv满足高级安全防护的需求
业务区 边界
多租户、业务环境
VFW FTDv ASAv VFW
业务1 业务2 业务3
路由 透明 透明
NAT VPN NAT VPN NAT VPN NAT VPN
DC
VLAN VxLAN
Zone1 Zone2
VLAN VLAN VLAN VxLAN
Zone1 Zone2 Zone1 Zone2
FTDv:下一代防火墙虚拟化版本路由
VFW:物理防火墙分配虚拟防火墙
ASAv:传统ASA防火墙虚拟化版本
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
透明防火墙-单Bridge-group的接口数增加至64个
Gateway
Cisco® ASAv Transp
Segment- 1
Segment- 4
VT
EP
VT
EP
host2
host3
Virtual Host Segment- 2
VxLAN 20001
Segment- 3
VxLAN 2000
host4
host5
Virtual Host
host6
host7
Virtual Host
V200
V100
单臂部署
二层域内多安全域灵活分割 上下线灵活,拓扑弹性扩展
A CB
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
通过IRB进行数据中心隔离
BVI
接口1 接口1 接口1 接口1
L3
L2
VLAN Trunk/VxLANSwitch
BVI 1 BVI 2
FTD/ASAVLAN 11
Subnet A Subnet B
12 13 14 15 16 VLAN 21 22
不同安全域相同网段
在相同网段内通过 VLAN/VxLAN 分段(安全域) 隔离广播域,每个VLAN/VxLAN接不同业务服务器
不同的bridge groups (IP subnets) 在不同的ASA虚墙之间路由二层三层灵活隔离
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
数据中心虚拟服务插入技术- VxLAN帮助虚拟服务无缝接入
• Vxlan引导流量向至虚拟服务点
• 分布式服务插入架构,虚机策略能做到虚机漂移随行
• 服务插入模型与网络物理拓扑完全无关(无缝透明)
VxLAN
SEC Service
Any Hypervisor
VM VM VM
Cisco Cloud Network Services (CNS)
ASAv
安全服务池
VFW FTDv
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
微分段限制横向移动
Segment 1Segment 3
Se
gm
en
t 2
Se
gm
en
t 4
传统分段/Segmentation
✔
✖
分段= 广播域/ VLAN / Subnet
微分段/Micro Segmentation
Segment 1
Micro Segment 1 Micro Segment 3
✖
Micro Segment 2
✔ ✔
微分段 = Endpoint或Group of Endpoints
Micro Segment 4
✖
Se
gm
en
t 2
更多分段,更灵活分段,去分段IP耦合静态分段,访问关系维护困难
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
vDS Cisco AVS IP/MAC EPG Hyper-V vSwitch Open vSwitch Open vSwitch
VLAN VLAN VLAN or
VXLANVLANVLANVLAN
微分段在ACI数据中心
EPG-Web
微分段覆盖整个ACI网络
Attribute Type
MAC Address Filter Network
IP Address Filter Network
VNic Dn (vNIC domain name) VM
VM Identifier VM
VM Name VM
Hypervisor Identifier VM
VMM Domain VM
Data Centre VM
Custom Attribute(VMWare AVS/vDS only)
VM
Operating System VM
9
传统静态IP ACL
交换机无法负担大量的ACL
访问关系去IP化IP变化不影响策略
极大降低访问策略条目
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
ACI数据中心场景-通过Service Graph 与 Contract进行分割控制
EPGClient
EPGWeb
Contract合约
ProvideConsume
Service Graph
Internal EPG
Internal EPG
Internal Contracts Internal Contracts
用户定义contract
EPG-Web EPG-DB
Contract - MyContract
Subject
Filters
QoS
Service Graph
软件定义
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
ACI数据中心场景-防火墙策略进行EPG策略映射
P2-ASA5525-1/pod37# show object-group
object-group network __$EPG$_pod37-wan-out-out-l3out3
network-object 10.70.0.0 255.255.255.0
object-group network __$EPG$_pod37-aprof-app
network-object host 10.1.37.102
object-group network __$EPG$_pod37-aprof-web
network-object host 10.1.0.101
Outside Network App EPGWeb EPG
Web hostOutside host
IP 10.1.0.101/16
out-to-web contractSource: 10.70.0.101Destination: 10.1.0.10110.70.0.101
10.70.0.1
App host
IP 10.1.37.102/16
BD1 (web)
SVI/Subnet 10.1.0.2/24
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
ACI数据中心场景-通过策略重定向(Policy Based Redirect)引入安全控制
EPG-A EPG-B FW1 FW2
L3Out
EPG Client EPG WebIDS
EPG-A到L3Out的流量通过FW1控制EPG-B到L3Out的流量通过FW1控制 EPG客户端到EPG服务器端的流量拷贝至
IDS进行检查支持Intra-BD/Inter-BD/Intra-VRF/Inter-VRF
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
ACI数据中心场景-策略重定向(Policy Based Redirect)
IP: 192.168.1.1
MAC: SIP: 192.168.2.1
MAC: D
192.168.1.254
MAC: Leaf MAC
172.16.2.254
MAC: Leaf MAC
172.16.1.254
MAC: Leaf MAC
192.168.2.254
MAC: Leaf MAC
node1: 172.16.1.1
node2: 172.16.1.2
node3: 172.16.1.3
Service node Leaf
Leaf2Consumer Leaf
Leaf1
Provider Leaf
Leaf3
EPGClient
EPGWe
b
Client-BD Web-BD
node1: 172.16.2.1
node2: 172.16.2.2
node3: 172.16.2.3
Sysmetric PBR Scale-out service
192.168.1.254
MAC: Leaf MAC
External-node1: 172.16.1.1
Internal-node1: 172.16.2.1
Svc-BD1: 172.16.1.254
Svc-BD2: 172.16.2.254
Service BD leaf MAC
BD1
IP: 192.168.1.1
Default GW: 192.168.1.254
192.168.2.254
MAC: Leaf MAC
BD2
IP: 192.168.2.1
Default GW: 192.168.2.254
External-node2: 172.16.1.2
Internal-node2: 172.16.2.2
Svc-BD1 Svc-BD2 Svc-BD1 Svc-BD2
Leaf1 Leaf2 Leaf3 Leaf4
Health-group1 Health-group2
Health-Group/Tracking
性能扩展 健康检查
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Site B
Site A
CCL
Outside
Inside A
vPC vPC
vPC vPC
Inside BInside
CCL
Inside
vPC
vPC
Firepower防火墙集群冗余方式-新的冗余要求及弹性扩展需求
主备方式 集群方式
Outside Outside
跨数据中心双活集群方式
单设备转发 全链路转发弹性扩展
双数据中心策略统一管理
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
CCL
Inside
vPC
vPC
Outside
Hub - Spoke 多租户场景
数据中心边界场景-防火墙集群S2S VPN接入
多点冗余
性能扩展
租户隔离
Inside
Inside
Inside
Inside
Inside
Inside
Inside
Inside
虚墙
虚墙
虚墙
虚墙
防火墙
弹性扩展
租户
租户
租户
租户
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
数据中心边界场景-防火墙VPN集群远程接入 VPN接入
.1
.2
.3
.4
.31
.32
.33
.34
Cluster Master
10.10.1.X124.118.24.50
群集 IP 地址
客户端要求与 124.118.24.50 建立连接
虚拟群集以 124.118.24.33 响应
客户端与 124.118.24.33 建立IPsec/SSL VPN 连接
性能扩展,动态负载均衡
Vlan Mapping
租户A
租户B
租户C
Vlan-A
Vlan-B
Vlan-C
Outside IF
组A 组B 组C
Inside Vlan
VPN GatewayTunnel
A
Tunnel B
Tunnel C
VLAN映射租户或业务虚墙隔离租户弹性扩展
虚墙 虚墙
虚墙
虚墙
虚墙
虚墙
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Flow Offload流加速• 有线的状态检测, NAT/PAT, TCP随机序列号
流加速运行方式- 时延3.5us
新数据流或者需要完整4/7层检测的连接
已经建立的可信数据流
Security Module
接收数据流
完整4/7层检测• 可信流建立后,动态可控送入加速处理通路
加速指示
流分类器
x86 CPU Complex
连接状态更新
数据重写引擎
ASA或者FTD
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
思科数据中心解决方案 – 关注领域
• 了解安全保护主体
• 了解主体网络行为
• 了解应用
• 生成合规性报告
• 建立取证分析能力
可视化
• 阻止数据中心内部外部攻击,加固安全域和边界
• 应对各类主机应用漏洞带来的网络侵入
• 控制病毒及恶意软件的传播
威胁防御
• 建立边界—network, compute, virtual
• 设定策略-functions, devices, orgs
• 访问控制-networks, resources, apps
隔离
集 成
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
威胁防御三大安全手段
行为检测 威胁情报 特征库检测
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
漏洞快速增加,导致防御困难
高危漏洞 高危威胁分类
Flash Vulnerabilities Source: Qualys
80%的Flash漏洞需要多少天能够完成补丁
- 入侵检测仍为最有效的已知漏洞防御手段
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Firepower下一代防火墙-五大智能自动化帮助实现自动化入侵防御
自动推荐策略
自动事件评级
自动信息收集
自动快速响应
自动定位隐患
主机肖像
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
数据是如何丢失的?- 从一个内部感染者进入数据中心
第一步 – 终端用户感染 第二步 – 感染服务器
如果想做到威胁防御你需要具备更多的能力
第三步 – 安装与虚机相关的rootkit
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Firepower四道屏障防御恶意软件
SHA数据库检查
• Clean
• Malware
• Unkown
ClamAV本地病毒库
• Malware
• Unkown
沙箱
Threat Score
• Very high
• High
• Low
Talos
• 文件轨迹回溯
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Talos思科安全威胁数据中心-威胁情报
标识高级威胁 获得威胁信息 捕捉隐含威胁 实时威胁更新防御
终端
设备
网络
入侵防御
WWW Web250+
研究员Jan
24 x 7 x 365 运行
安全覆盖面 研究响应中心
1.5 million 每天恶意文件样本量
600 billion 每天邮件消息
16 billion 每天Web请求
威胁情报
100 billion 每天DNS 请求
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
拥有Talos的优势,发现的威胁和 TTD尽管威胁样本日益增加,但基于云的安全技术一直是帮助思科保持较低 TTD 中值的关键因素
思科年度 TTD 中值(小时)
37.1
14
4.6
2015 2016 2017
发现的威胁样本数
10x上升
2016 2017
收集分析流量
1 2
• # Concurrent flows• Packets per second• Bits per second• New flows created• Number of SYNs sent• Time of day
• Number of SYNs
received• Rate of connection resets
• Duration of the flow• Over 80+ other attributes
建立行为基线
行为异常及网络行为变化时告警
threshold
threshold
thresholdthreshold
Critical Servers
Exchange Server Web Servers Marketing
Anomaly detected in host behavior
3
思科Stealthwatch产品提供技网络流量异常行为检测
网络设备
NetFlow/IPFix/Sflow/Netstream/镜像
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
安全异常行为分析模型指标
高风险主机活动排名 详细异常活动统计
通过行为分析技术捕捉内部数据窃取
• 试图未授权违规访问
• 内部扫描 – 试图探测可利用主机
• 数据囤积 – 通过网络传输大量数据
• 数据外泄 – 标识通过互联网边界的可疑传输
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
借助 StealthWatch 进行数据中心内重点业务监控分段
PCI 区域映射
定义区域之间的通信策略
监控违规情况 区域流量统计
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
检测内部恶意软件传播感染轨迹
第三感染
第二个感染
初始感染
异常行为检测还能够帮我们什么?
基础网络
NetFlow
Hyper-V
VM VM VM VM
服务器区
网络边界• DDOS防御-是否有DDOS攻击流量• APT防御-是否有数据外泄行为• APT防御-是否有僵尸访问回传行为
• 行为审计-情景访问信息,2年的每笔数据流• 业务梳理-了解业务访问流量模型,辅助IT决策• APT防御-是否有数据囤积行为• 端点安全-是否有蠕虫传播行为• 异常流量- 泛洪流量、扫描流量
• 行为审计-虚拟机之间访问流量信息• 端点安全-是否有异常流量突发• APT防御-是否有数据囤积行为• 越权访问-是否有服务器违约访问行为• 故障定位-提供取样分析数据、圈定故障范围• 快速定位-智能分析直接定位问题虚拟机
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Tetration应用可视及策略自动学习并审计
自动发现应用关系图 自动发现应用隔离策略
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
SYN 泛洪攻击
DDoS 攻击
非标准数据包攻击
泛洪流量
Radware DDoS vDP
Firepower防火墙加载DDOS服务-防止网络和应用中断
在检测到攻击之后的数秒内阻止攻击 自动阻止或允许流量
为合法流量保持最高
30 Gbps 的吞吐量每秒处理140,000 个
连接
每秒阻止1,200,000 个
泛洪流量数据包
11010101010100010101101110101001001010101010100101010101110101
00101011010101010100010101101110101001001010101010100101010101
11010101001010100101010111010101010100010101101110101001001010
101
合法流量 网络和应用
云清理
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
数据中心安全部署
Cisco Fabric
防火墙集群
安全控制池区域
云火墙
流量分析服务器Lancope StealWatch
Netflow
• 数据中心业务流量监控• 网络服务业务性能分析• 异常流量、数据窃取检测
• 业务隔离• 访问控制• 漏洞防御• 文件检测• APT防御
防火墙集群
DefensePro
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
隔离
访问控制
流量行为分析 负载深度检查
可视
异常流量,蠕虫传播
数据窃取漏洞、攻击
工具文件
恶意程序
业务梳理 健康监控威胁防御
带外网管区
Internet接入区
安全服务池区
数据中心互联区
公共服务区
业务区前置业务
区其他区
资源 性能
访问
应用 服务
流量
数据中心业务可视与威胁防御框架
FTD
FTD
访问分析
访问控制
Tetration
Stealthwatch
Stealthwatch
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
思科公有云安全防御
ASAv
Su
bn
et
1
Su
bn
et
2
Private
inside
outside
Public
NGFWv
Su
bn
et
1
Su
bn
et
2
Private
inside
outside
Public
Mgmt
FMCv
Private
Public
Stealthwatch
增强全网可视化
实时感知,快速检测威胁
网络行为异常检测与分析
合规遵循
Public cloud
Hybrid cloud
Private Cloud
Center
ASA传统防火墙云化
Firepower下一代防火墙云化
Stealthwatch公有云可视化
虚机隔离、远程VPN、园区与Cloud互联、多Cloud互联及同Cloud不同VPC互联
虚机隔离、远程VPN、园区与Cloud互联、多Cloud互联及同Cloud不同VPC互联威胁防御,威胁情报,恶意软件过滤