Решения Cisco в области ИБ для центров обработки данных
-
Upload
cisco-russia -
Category
Technology
-
view
847 -
download
1
description
Transcript of Решения Cisco в области ИБ для центров обработки данных
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Public Presentation_ID 1
Решения Cisco в области ИБ для центров обработки данных
Руслан Иванов
© 2011 Cisco and/or its affiliates. All rights reserved. 2
2000 2005 2010 2015
Облачные Вычисления Емкость по требованию; Глобальный доступ
Виртуализация Консолидация; Оптимизация; Скорость
Открытость Защищенный доступ для мобильных пользователей, Партнеров, Работников по контракту
Масштабируемость и простота Емкость и Эффективность масштабируется вместе с требованиями Бизнеса
© 2011 Cisco and/or its affiliates. All rights reserved. 3
Устаревшая Развивающаяся
§ Консолидация ЦоД и Серверов § Виртуализация Серверов § “Любая рабочая нагрузка на любом сервере”
§ Непредсказуемый поток трафика по мере миграции рабочей нагрузки
§ Безопасность становиться более направленной на данные (не хранилища)
§ Случайные Архитектуры § Приложения, внедренные в определенных ситуациях (пример. multi-tier deployment)
§ Предсказуемый поток трафика § Безопасность обычно внедряется на каждый набор серверов или хранилище
© 2011 Cisco and/or its affiliates. All rights reserved. 4 4
Физическая Сеть ЦОД
Виртуальная Сеть ЦОД
Достижимость и Контекст
Данные в vMotion, другие данные
Аутентификация пользователя и устройства
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 5\47
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 6\47
Сегментация • Определение границ: сеть, вычисления, виртуализация • Задание политик по функциям, устройствам, организациям • Контроль доступа к сетям, ресурсам, приложениям
Защита от
угроз
• Противодействие атакам • Контроль границ сети и межзонного взаимодействия • Контроль доступа и использования ресурсов
Прозрачность • Прозрачность использования • Соответствие бизнес-требованиям • Упростить поддержку и соответствие требованиям регуляторов
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 7\47
Internet Edge
DISTRIBUTION
SAN ASA 5585-X ASA 5585-X
VDC Nexus 7018 Nexus 7018
CORE
= Compute
= Network
= Security
Nexus 7000
Series
Nexus 5000
Series
Nexus 2100
Series
Zone
Unified Computing
System
Nexus 1000V VSG
Multizone
Catalyst 6500 SERVICES
VSS
Firewall ACE
NAM IPS
VSS VPC VPC VPC VPC VPC VPC VPC VPC
10G Server Rack 10 G Server Rack Unified Compute Unified Access
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 8\47
Сегментирование фабрики UCS Fabric Interconnect VM-FEX
Изоляция сетей Physical Virtual (VLAN, VRF) Virtualized (Zones)
Межсетевое экранирование
Stateful/reflective ACL Multi-context
VPN
Анализ и контроль доступа на основе
контекста Security Group Tags (SGT)
Security Exchange Protocol (SXP) Security Group ACL
TrustSec
Применение единой политики безопасности вне зависимости от расположения и метода доступа к данным
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 9\47
Phys
ical
Cisco® ASA 5585-X
Cisco Catalyst 6500 ASA FW Module
• Устройства на границе ЦОД инспектируют весь трафик
• Высокая производительность, включая сервисы IPS • Разделение внешнего трафика от трафика ЦОД
Направление север-юг: Проверка всего трафика идущего в/из ЦОД
Virt
ual /
Mul
titen
ant
ASA 1000V Virtual Firewall контроль границы виртуализации
VSG контролирует зоны Cisco Virtual Security
Gateway (VSG)
Cisco ASA 1000V Virtual Firewall
Направление запад-восток: Созданиебезопасных зон доверия между приложениями и пользователями в ЦОД
• Разделение между различными орг. единицами
• Разделение приложений или VM в рамках одной орг. единицы
Сегментация
Cisco Confidential 10 © 2010 Cisco and/or its affiliates. All rights reserved.
ASA Services Module clustering in a roadmap
ASA 558x Appliance
• Хорошая мастштабируемость 128 Gbps EMIX
50M Connections , 1.2 M CPS
1000 Virtual Contexts
4000 VLANs
• Поддерживаемый функционал
Cisco® ASA 5585-X v9.0 с кластеризацией
Межсетевое экранирование
http://www.cisco.com/en/US/partner/docs/security/asa/asa90/configuration/guide/ha_cluster.html#wp1571450
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 11\47
Защита
disgruntled employee
- IPS 4500 Security Appliance - Cisco® ASA CX Application Control
hackers
cyber criminals
organized crime
Защита бизнеса от внутренних и внешних угроз
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 12\47
Cisco IPS 4500 Protection for demanding data centers • Delivers hardware-accelerated inspection, real-world
performance, high port density and energy-efficiency in an expandable chassis
• Provides protection against both external and internal attacks
Cisco ASA CX Contextual application-aware firewall • Delivers hardware-accelerated inspection, real-world
performance, high port density and energy-efficiency in an expandable chassis
• Provides protection against both external and internal attacks
Защита от угроз
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 13\47
80 Gbps Average Inspection
160 Gbps Max Inspection
16 RU Form Factor
Scaling Factor = 1
1 Box Latency
160 Gbps IMIX Firewall
40 Gbps Average Inspection IPS
16 RU Form Factor
Scaling Factor < 1
2 Blade 4520 XL
Q1CY13
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 14\47
• Идеально подходит для ответа на вопросы: Кто с кем общается? Что происходит в сети? Куда перемещаются данные? Кто-нибудь имеет доступ к серверу считающему зарплату? И т.д…
• Уникальная ценность Cisco
Контроль, Контекст, Прозрачность
Control Visibility Context
Data Center Network
NetFlow
HOW
WHEN
WHERE
WHAT
WHO
Cat 3K-X With Service Module
Unsampled Line-Rate NetFlow
Cat 4K Sup7E, Sup7L-E
Cat 6K Sup2T
NGA NetFlow Generating Appliance
Прозрачность
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 15\47
Использование Lancope, NetFlow, Identity, Репутации
SIO
Unified View Threat Analysis and Context in
Lancope StealthWatch
Threat Context Data Cisco Identity, Device, Posture, Reputation, Application
NetFlow Telemetry Cisco Switches, Routers, and ASA 5500
Internal Network and Borders
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 16\47
Cisco Confidential 17 © 2011 Cisco and/or its affiliates. All rights reserved.
• VDC – Virtual Device Context
• VPC – Virtual Port Channel
• VSS & MEC – Virtual Switching System & Multi-chassis Ether-channel
• VSL & Peer Link – Virtual Switch Link
• ECMP – Equal cost Multi-Path
• VSD – Virtual Service Domain
• VBS – Virtual Blade Switching
• VRF – Virtual Routing & Forwarding
• FabricPath
• VSG – Virtual Security Gateway
Для справки
© 2011 Cisco and/or its affiliates. All rights reserved. 18 18
peer link
vPC vPC
vPC
EC EC
Активный Резервный
peer link
vPC vPC
vPC и ASA
EC EC
• Позволяет одному устройству использовать port channel через два коммутатора высшего уровня
• Два Активных Пути Передачи • Дизайн свободный от петель/Исключает STP blocked порты
• Использует всю пропускную способность каналов • Предоставляет лучшую сходимость в случае выхода из строя линка/устройства
Активный Резервный
© 2011 Cisco and/or its affiliates. All rights reserved. 19
Активный vPC Peer-‐link S1 S2
S3 S4
vPC vPC
Ядро IP1
Ядро IP2
• ASA* поддерживает Link Aggrega9on Control Protocol (LACP), стандарт IEEE 802.3ad
• Каждый port-‐channel поддерживает до 8 активных и 8 резервных линков
• Порты Etherchannel воспринимаются как физические или логические интерфейсы на ASA
• ASA 5585-‐X приносит МСЭ и IPS уровня ЦОД
• Так как IPS внедряется как устройство внутри МСЭ, потоки IPS теперь могут быть полностью оптимизированы
Активный или резервный
Zone/Multi-Tennant
vApp vApp
vApp
Zone/Multi-Tennant
vApp vApp
vApp
© 2011 Cisco and/or its affiliates. All rights reserved. 20
Активный vPC Peer-‐link S1 S2
S3 S4
vPC vPC
Ядро IP1
Ядро IP2
Коммутатор 6500 в роли Сервисного коммутатора • 6500 поддерживает Link Aggrega9on Control Protocol (LACP), стандарт IEEE 802.3ad • Трафик направляется через сервисные VLANы
• Каждый port-‐channel поддерживает до 8 активных и 8 резервных линков
Активный или резервный
Zone/Multi-Tennant
vApp vApp
vApp
Zone/Multi-Tennant
vApp vApp
vApp
© 2011 Cisco and/or its affiliates. All rights reserved. 21
Nexus 7000 VDC – Virtual Device Context § Разделение data plane и control plane § Надежное разделение контекстов управления (management plane) § Гибкое разделение аппаратных и программных ресурсов между контекстами – портов, L2/L3 стеков, VLAN, VRFs, таблиц маршрутизации
§ Контроль выделяемых под контекст ресурсов § Изоляция процессов и программных сбоев
Layer 2 Protocols Layer 3 Protocols VLAN
PVLAN OSPF BGP
EIGRP
GLBP HSRP IGMP
UDLD CDP
802.1X STP LACP PIM CTS SNMP
… …
VDC 1
Layer 3 Protocols OSPF BGP
EIGRP
GLBP HSRP IGMP
PIM SNMP …
VDC 2 Layer 2 Protocols
VLAN PVLAN
UDLD CDP
802.1X STP LACP CTS
…
VDCs
Ключевая функция
Nexus 7000
© 2011 Cisco and/or its affiliates. All rights reserved. 22
Разделение VDC индустриально сертифицировано . NSS Labs сертифицировал использование Cisco Nexus 7000 VDC функционал для Payment Card Industry (PCI) среды в 2010 году. http://www.nsslabs.com/research/network-security/virtualization/cisco-nexus-7000-q2-2010.html Federal Information Processing Standards (FIP-140-2) сертификация была получена в 2011году http://csrc.nist.gov/groups/STM/cmvp/documents/140-1/140sp/140sp1533.pdf Cisco Nexus 7000 получил сертификацию по требованиям Common Criteria с уровнем сооттвествия EAL4 в 2011 году. http://www.niap-ccevs.org/cc-scheme/st/vid10349/
Layer 2 Protocols Layer 3 Protocols VLAN
PVLAN OSPF BGP
EIGRP
GLBP HSRP IGMP
UDLD CDP
802.1X STP LACP PIM CTS SNMP
… …
VDC 1
Layer 3 Protocols OSPF BGP
EIGRP
GLBP HSRP IGMP
PIM SNMP …
VDC 2 Layer 2 Protocols
VLAN PVLAN
UDLD CDP
802.1X STP LACP CTS
…
VDCs
Ключевая функция
Nexus 7000
© 2011 Cisco and/or its affiliates. All rights reserved. 23
• МСЭ на пути следования Inter-VDC трафика
23
v200
GW: 10.1.200.254
VDC Ядра VDC Агрегации
VRF Юг VRF Север
VRF Юг VRF Север
ASA HA Pair 2
ASA HA Pair 1
• Прозрачные (L2) сервисы МСЭ установлены между Nexus VDC
• Позволяют применять другие сервисы (IPS, LB и т.д.) в случае необходимости
• ASA может быть виртуализирована 1:1 с привязкой к VRF-ам
• Удобно использовать для топологий, где требуется нахождение МСЭ между уровнем агрегации и ядром
• Недостаток, что большинство/весь трафик направленный в Ядро проходит через МСЭ; возможно узкое место
© 2011 Cisco and/or its affiliates. All rights reserved. 24
Пара ASA в режиме высокой доступности в прозрачном режиме с VRF на VDC Агрегации. Шлюз для серверов подключен к внешнему интерфейсу МСЭ
• МСЭ между Сервером и Шлюзом
v200 – Inside
v201 -‐ Outside
GW: 10.1.200.254
Простой дизайн.
Уровень 2 Уровень 3
Физическое подключение
VDC Агрегации
© 2011 Cisco and/or its affiliates. All rights reserved. 25
Hypervisor
Традиционные сервисные узлы
Virtual Contexts
VLANs
Hypervisor
Перенаправляем трафик VM через VLAN-ы на физические устройства
App Server
Database Server
Web Server
Применяем сетевые сервисы на уровне
гипервизора
App Server
Database Server
Web Server
VSN
Виртуальные сервисные узлы
VSN
© 2011 Cisco and/or its affiliates. All rights reserved. 26
Сервисный Модуль ASA
Устройства ASA 5585 Hypervisor
Traditional Service Nodes
Virtual Contexts
VLANs
App Server
Database Server
Web Server
Устройства защиты от атак Cisco IPS
© 2011 Cisco and/or its affiliates. All rights reserved. 27
ASA 5585-SSP10
ASA 5585-SSP20
ASA 5585-SSP40
ASA 5585-SSP60
4 Гбит/c — пропускная способность межсетевого экрана 2 Гбит/с — пропускная способность системы IPS 50 000 соединений в секунду
10 Гбит/с — пропускная способность межсетевого экрана 3 Гбит/с — пропускная способность системы IPS 125 000 соединений в секунду
20 Гбит/с — пропускная способность межсетевого экрана 5 Гбит/с — пропускная способность системы IPS 200 000 соединений в секунду
40 Гбит/с — пропускная способность межсетевого экрана 10 Гбит/c — пропускная способность системы IPS 350 000 соединений в секунду
Комплекс зданий Центр обработки данных
© 2011 Cisco and/or its affiliates. All rights reserved. 28
Показатель Значение
Производительность шасси 64 Гбит/сек
Производительность модуля 16 Гбит/сек
Одновременных сессий 10M
Новых соединений в секунду 350K
Контекстов безопасности 250
VLANs 1K
© 2011 Cisco and/or its affiliates. All rights reserved. 29
• Выход за рамки традиционных решений
• Наращивание мощностей в соответствии с ведущими отраслевыми системными возможностями
– 64 Гбит/с
– 1,2 млн. соединений в секунду
– 1 000 виртуальных контекстов
– 4 000 сетей VLAN
• Поддержка решений для ЦОД, например развертываний частных облачных инфраструктур
© 2011 Cisco and/or its affiliates. All rights reserved. 30
100+Gbps • Все устройства в кластере являются активными и передают трафик
• Все устройства в кластере являются либо основными устройствами, либо резервными, используемыми от сеанса к сеансу
• В случае сбоя узла проведение сеанса переходит на резервные устройства
• Благодаря протоколу LACP соседние коммутаторы прекращают передачу трафика по неработающему каналу
2 x
10G
bE D
ata
Traf
fic P
ort C
hann
el
Cluster C
ontrol Link
© 2011 Cisco and/or its affiliates. All rights reserved. 31
высокая доступность
• Все устройства в кластере являются активными и передают трафик.
• Все устройства в кластере являются либо основными устройствами, либо резервными, используемыми от сеанса к сеансу.
• В случае сбоя узла проведение сеанса переходит на резервные устройства.
• Благодаря протоколу LACP соседние коммутаторы прекращают передачу трафика по неработающему каналу.
Clu
ster
Con
trol L
ink
© 2011 Cisco and/or its affiliates. All rights reserved. 32
• Единая консоль конфигурации и автоматическая синхронизация конфигурации в кластере. Управление кластером из 8 устройств осуществляет всего один экземпляр Cisco ASDM или CSM 4.4
• Обработка удаленных команд выполняется на любом узле.
• Статистические данные использования ресурсов в рамках кластера Использование ресурсов ЦП и памяти для любого узла.
Использование канала управления кластером.
• Поддержка Cisco® Security Manager
© 2011 Cisco and/or its affiliates. All rights reserved. 33
ASA Port-‐Channel 40
N7K VPC 41 N7K
VPC 40
CL MASTER CL SLAVE CL SLAVE CL SLAVE ASA x Node Cluster
VPC PEER LINK
N7K VPC 32
1 2 3 4
cLACP – Spanned Port Channel
1 2 3 4
CL MASTER CL SLAVE CL SLAVE CL SLAVE ASA x Node Cluster
Cluster Data Plane
• Data Plane of Cluster MUST use cLACP (Spanned Port-Channel)
VPC Identifier on N7K must be the same for channel consistency
ASA uses the ‘span-cluster’ command on channel
ASA interface Port-channel32 port-channel span-cluster vss-load-balance
• Control Plane [Cluster Control Link] of Cluster MUST use standard LACP (Local Port-Channel)
• Each VPC Identifier on Nexus 7K is unique
• Port Channel Identifier on ASA is arbitrary
(max number 48)
ASA Port-‐Channel 32
Cluster Control Plane
LACP – Local Port Channels
N7K VPC 43
N7K VPC 42
© 2011 Cisco and/or its affiliates. All rights reserved. 34
• ASA clustering relies upon stateless load balancing from an external mechanism
• Recommended method is to use a spanned port-channel to a switch for ingress and egress connections (vPC/VSS with cLACP)
• BP is to use a symmetrical hashing algorithm like src-dest IP (the default)
• Could also use Policy Based Routing (PBR) or Equal Cost Multi-Path (ECMP); use both with Object Tracking
• Both the latter two methods are only supported in routed (L3) mode on the firewall
34
Внутренний коммутатор
Внешний Коммутатор
© 2011 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 35 35
© 2011 Cisco and/or its affiliates. All rights reserved. 36
ASA Port-‐Channel 40
N7K VPC 41 N7K
VPC 40
CL MASTER CL SLAVE CL SLAVE CL SLAVE ASA x Node Cluster
VPC PEER LINK
N7K VPC 32
1 2 3 4
cLACP – Spanned Port Channel
1 2 3 4
CL MASTER CL SLAVE CL SLAVE CL SLAVE ASA x Node Cluster
Cluster Data Plane
ASA Port-‐Channel 32
Cluster Control Plane
LACP – Local Port Channels
N7K VPC 43
N7K VPC 42
Test 1: Pull Cluster Control Link 1 on MASTER
Result: No Change, No Packet loss
Test 2: Pull Cluster Control Link 2 on MASTER
Result: ASA Leaves Cluster – ASA 2 becomes MASTER, No Packet Loss
© 2011 Cisco and/or its affiliates. All rights reserved. 37
ASA Port-‐Channel 40
N7K VPC 41 N7K
VPC 40
CL SLAVE CL SLAVE CL SLAVE ASA x Node Cluster
VPC PEER LINK
N7K VPC 32
1 2 3 4
cLACP – Spanned Port Channel
1 2 3 4 CL MASTER
CL MASTER CL SLAVE CL SLAVE CL SLAVE ASA x Node Cluster
Cluster Data Plane
ASA Port-‐Channel 32
Cluster Control Plane
LACP – Local Port Channels
N7K VPC 43
N7K VPC 42
Test 1: Power Off ASA1
Result: No Packet loss
© 2011 Cisco and/or its affiliates. All rights reserved. 38
ASA Port-‐Channel 40
N7K VPC 41 N7K
VPC 40
CL SLAVE CL SLAVE CL SLAVE ASA x Node Cluster
VPC PEER LINK
N7K VPC 32
1 2 3 4
cLACP – Spanned Port Channel
1 2 3 4
CL MASTER CL SLAVE CL SLAVE CL SLAVE ASA x Node Cluster
Cluster Data Plane
ASA Port-‐Channel 32
Cluster Control Plane
LACP – Local Port Channels
N7K VPC 43
N7K VPC 42
Test 2: Pull te0/6 on ASA1
Result: No Packet loss
Test 3: Pull te0/7 on ASA1
Result: ASA Leaves Cluster – ASA2 becomes MASTER, No Packet Loss
Note: Plugging ASA1 link(s) back in, will eventually rejoin cluster as SLAVE after LACP negotiation – No preempt
CL MASTER
© 2011 Cisco and/or its affiliates. All rights reserved. 39
ASA Port-‐Channel 40
N7K VPC 41 N7K
VPC 40
CL SLAVE CL SLAVE CL SLAVE ASA x Node Cluster
VPC PEER LINK
N7K VPC 32
1 2 3 4
cLACP – Spanned Port Channel
1 2 3 4
CL MASTER CL SLAVE CL SLAVE CL SLAVE ASA x Node Cluster
Cluster Data Plane
ASA Port-‐Channel 32
Cluster Control Plane
LACP – Local Port Channels
N7K VPC 43
N7K VPC 42
Test 4: Looking for Packet loss
Eliminate as much of the Cluster as possible until loss is detected
Lose ASA1, ASA2 and ASA 3 and one of the data plane Links on ASA4
Result: No Packet loss until a single ASA with a single link is left standing
CL MASTER
© 2011 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 40 40
© 2011 Cisco and/or its affiliates. All rights reserved. 41
O
V
Overlay - A solution that is independent of the infrastructure technology and services, flexible over various inter-connect facilities
Transport - Transporting services for layer 2 and layer 3 Ethernet and IP traffic
Virtualization - Provides virtual stateless multi-access connections, which can be further partitioned into VPNs, VRFs, VLANs
T
OTV delivers a virtual L2 transport over any L3 Infrastructure
© 2011 Cisco and/or its affiliates. All rights reserved. 42
OTV OTV OTV OTV
MAC TABLE
VLAN MAC IF 100 MAC 1 Eth 2
100 MAC 2 Eth 1 Layer 2 Lookup
2
West Site
MAC 1 East Site
MAC 2
MAC 1 è MAC 2
Transport Infrastructure
1
© 2011 Cisco and/or its affiliates. All rights reserved. 43
Transport Infrastructure
OTV OTV OTV OTV
MAC TABLE
VLAN MAC IF 100 MAC 1 Eth 2
100 MAC 2 Eth 1
100 MAC 3 IP B
100 MAC 4 IP B
MAC 1 è MAC 3
IP A è IP B MAC 1 è MAC 3
MAC TABLE
VLAN MAC IF 100 MAC 1 IP A
100 MAC 2 IP A
100 MAC 3 Eth 3
100 MAC 4 Eth 4
Layer 2 Lookup
6 IP A è IP B MAC 1 è MAC 3 MAC 1 è MAC 3 Layer 2
Lookup
2 Encap 3
Decap 5
MAC 1 è MAC 3 West Site
MAC 1 MAC 3 East Site
4
7
IP A IP B
1
© 2011 Cisco and/or its affiliates. All rights reserved. 44
s
Core 1
OTV 1
OTV Data Center 1 Data Center 2
20.3.1.0/24 .2
.1
Core 3
OTV 3
20.4.1.0/24 .2
.1
Core 4
OTV 4
20.1.1.0/24 .2
.1
Core 1
OTV 1
20.2.1.0/24 .2
.1
Core 2
OTV 2
OTV Site VLAN 700
vPC 10 vPC 11
Connected via Layer 3 Core
OTV switch connected to Aggregation via vPC
Two Active Data Centers
OTV VDC from each Core switch
OTV Join Interface
OTV Site VLAN 700
vPC 25 vPC 26
Agg 1 Agg 2
Core 2
OTV 2
Core 3
OTV 3
Agg 3 Agg 4
Core 4
OTV 4
© 2011 Cisco and/or its affiliates. All rights reserved. 45
CORE11-N7K-1-OTV# sh otv adjacency Overlay Adjacency database Overlay-Interface Overlay1 : Hostname System-ID Dest Addr Up Time State 0024.f716.43c4 20.2.1.1 02:28:19 UP CORE31-N7K-1-OTV f866.f206.fcc3 20.3.1.1 10:28:07 UP 18ef.63e5.5343 20.4.1.1 03:09:32 UP
CORE11-N7K-1-OTV# sh run int Overlay 1 !Command: show running-config interface Overlay1 !Time: Fri Oct 12 13:11:03 2012 version 5.2(1) interface Overlay1 otv join-interface Ethernet2/39 otv extend-vlan 101, 999 otv use-adjacency-server 20.1.1.1 20.2.1.1 unicast-only otv adjacency-server unicast-only no shutdown
otv site-vlan 700 otv site-identifier 0001.0001.0001 vlan 1,101,700,999
20.1.1.0/24 .2
.1
Core 1
OTV 1
Core 1 Core 2
AGG 1 AGG 2
OTV
OTV
ASA1
ASA2
OTV Data Center 1
20.2.1.0/24 .2
.1
Core 2
OTV 2
OTV Site VLAN 700
vPC 10 vPC 11
© 2011 Cisco and/or its affiliates. All rights reserved. 46
Data Center 2
20.3.1.0/24 .2
.1
Core 3
OTV 3
Core 3 Core 4
AGG 3 AGG 4
OTV
OTV
ASA3
ASA4
OTV Data Center
20.4.1.0/24 .2
.1
Core 4
OTV 4
CORE31-N7K-1-OTV# sh otv adjacency Overlay Adjacency database Overlay-Interface Overlay1 : Hostname System-ID Dest Addr Up Time State CORE11-N7K-1-OTV 0024.f716.5444 20.1.1.1 13:00:46 UP 0024.f716.43c4 20.2.1.1 01:03:38 UP 18ef.63e5.5343 20.4.1.1 05:42:13 UP
otv site-vlan 700 otv site-identifier 0003.0003.0003 vlan 1,101,700,999
CORE31-N7K-1-OTV# sh run int Overlay 1 !Command: show running-config interface Overlay1 !Time: Fri Oct 12 23:05:50 2012 version 5.2(1) interface Overlay1 otv join-interface Ethernet2/27 otv extend-vlan 101, 999 otv use-adjacency-server 20.1.1.1 20.2.1.1 unicast-only otv adjacency-server unicast-only no shutdown
OTV Site VLAN 700
vPC 25 vPC 26
© 2011 Cisco and/or its affiliates. All rights reserved. 47
s
Core 3 Core 4
Congo AGG 1 VDC 2
Nigeria AGG 2 VDC 2
OTV OTV
ASA4
Core 1 Core 2
AGG 1 AGG 2
OTV
OTV
ASA1
ASA2
ASA3
OTV Data Center 1 Data Center 2
20.3.1.0/24 .2
.1
Core 3
OTV 3
20.4.1.0/24 .2
.1
Core 4
OTV 4
20.1.1.0/24 .2
.1
Core 1
OTV 1
20.2.1.0/24 .2
.1
Core 2
OTV 2
OTV Site VLAN 700
vPC 10 vPC 11
OTV Site VLAN 700
vPC 25 vPC 26
ASA Cluster Master
© 2011 Cisco and/or its affiliates. All rights reserved. 48
s
Core 3 Core 4
Congo AGG 1 VDC 2
Nigeria AGG 2 VDC 2
OTV OTV
ASA4
Core 1 Core 2
AGG 1 AGG 2
OTV OTV
ASA1
ASA2
ASA3
OTV Data Center 1 Data Center 2
20.3.1.0/24 .2
.1
Core 3
OTV 3
20.4.1.0/24 .2
.1
Core 4
OTV 4
20.1.1.0/24 .2
.1
Core 1
OTV 1
20.2.1.0/24 .2
.1
Core 2
OTV 2
OTV Site VLAN 700
vPC 10 vPC 11
OTV Site VLAN 700
vPC 25 vPC 26
Master
VLAN999 VLAN101
VLAN 102 Outside BVI 10.101.10.200 VLAN101 Inside VLAN 999 CCL
Slave Slave Slave
Data: Po 32 Control: Po 40
Po 32 Po 32 Po 32 Po 32
Po 40 vPC 32
vPC 32
vPC 32
vPC 32
vPC 42
vPC 43
vPC 40
vPC 41
Po 40 Po 40 Po 40
© 2011 Cisco and/or its affiliates. All rights reserved. 49
asa(cfg-cluster)# sh cluster info Cluster DC-SEC: On Interface mode: spanned This is "asa3" in state SLAVE ID : 3 Version : 9.0(0.129) Serial No.: JAF1518CKJH CCL IP : 99.99.99.3 CCL MAC : 4055.3980.0076 Last join : 01:53:16 EDT Oct 12 2012 Last leave: 01:53:03 EDT Oct 12 2012
Unit "asa2" in state SLAVE ID : 1 Version : 9.0(0.129) Serial No.: JAF1534CCHB CCL IP : 99.99.99.2 CCL MAC : 7081.055a.2a96 Last join : 01:06:02 EDT Oct 12 2012 Last leave: 01:02:24 EDT Oct 12 2012 Unit "asa4" in state SLAVE ID : 2 Version : 9.0(0.129) Serial No.: JAF1553ALFH CCL IP : 99.99.99.4 CCL MAC : c464.1366.e396 Last join : 01:53:10 EDT Oct 12 2012 Last leave: 01:52:35 EDT Oct 12 2012
Other members in the cluster: Unit "asa1" in state MASTER ID : 0 Version : 9.0(0.129) Serial No.: JAF1504CQPK CCL IP : 99.99.99.1 CCL MAC : 5475.d05b.0876 Last join : 08:09:52 EDT Oct 12 2012 Last leave: 02:19:19 EDT Oct 12 2012
© 2011 Cisco and/or its affiliates. All rights reserved. 50
DC10-N7K-1# sh vpc brief Legend: (*) - local vPC is down, forwarding via vPC peer-link vPC domain id : 10 Peer status : peer adjacency formed ok vPC keep-alive status : peer is not reachable through peer-keepalive Configuration consistency status : success Per-vlan consistency status : success Type-2 consistency status : failed Type-2 inconsistency reason : SVI type-2 configuration incompatible vPC role : secondary, operational primary Number of vPCs configured : 10 Peer Gateway : Enabled Peer gateway excluded VLANs : - Dual-active excluded VLANs : - Graceful Consistency Check : Enabled Auto-recovery status : Disabled vPC Peer-link status --------------------------------------------------------------------- id Port Status Active vlans -- ---- ------ -------------------------------------------------- 1 Po1 up 101-102,105,191-193,195,197,461,591-594,597,599-60 0,700,900-902,905,910,999
vPC status ---------------------------------------------------------------------- id Port Status Consistency Reason Active vlans -- ---- ------ ----------- ------ ------------ 32 Po32 up success success 101-102,105 ,191-193,19 5,197,461,5 91-594,597, 599-600,700 ....- 42 Po42 up success success 999 43 Po43 up success success 999
Common Data vPC
Unique CCL vPCs
Новое поколение систем предотвращения вторжений Cisco IPS
© 2011 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 52 Cisco Confidential – Redistribution Prohibited
Производительность,
масштабируемость
, адаптивность
Комплекс зданий
Интернет-периметр
Филиал
Cisco IPS 4360
Cisco® IPS 4345
Центр обработки данных
Cisco IPS 4510
Cisco IPS 4520
Новинка
Новинка
Новинка
Новинка
© 2011 Cisco and/or its affiliates. All rights reserved. 53
Cisco® IPS 4345 Cisco IPS 4360 Cisco IPS 4510 Cisco IPS 4520
Основа платформы 1RU 1RU 2 RU (шасси) 2 RU (шасси)
Процессор 4 ядер 4 потока
4 ядер 8 потока
8 ядер 16 потока
12 ядер 24 потока
Память 8 GB 16 ГБ 24 ГБ 48 GB
Базовые порты данныъ 8 x 1 GE Cu 8 x 1 GE Cu 6 x 1 GE Cu
4 x 10 GE SFP
6 x 1 GE Cu
4 x 10 GE SFP
Ускоритель Regex Одинарный Одинарный Одинарный Двойной
Электропитание Постоянное значение переменного тока
2 с возможностью горячей замены
2 с возможностью горячей замены
2 с возможностью горячей замены
© 2011 Cisco and/or its affiliates. All rights reserved. 54
Производительность • Реальный средний показатель: 3 Гбит/с • Реальный диапазон показателей: 1.2-5 Гбит/с • Транзакционная передача по HTTP: 5 Гбит/с
Характеристики платформы: • 2 RU (шасси) • Многоядерный ЦП корпоративного класса (8
ядер, 16 потоков) • 24 ГБ ОЗУ • Резервный источник питания • Аппаратное ускорение Regex • Открытый слот (в верхней части) для
использования в будущем
Места развертывания • Средние и крупные предприятия • ЦОД кампуса • Требуется 3 Гбит/с реальной пропускной
способности IPS • Требуется резервный источник питания • Требуется специализированная система IPS
Порт AUX и консоль
Интегрированный ввод-вывод
6 GE Cu
Индикаторы состояния
Порты управления
Отсеки для жесткого диска (пустые)
Интегрированный ввод-вывод
4 слота 10 GE SFP
2 порта USB
© 2011 Cisco and/or its affiliates. All rights reserved. 55
Производительность • Реальный средний показатель: 5 Гбит/с • Реальный диапазон показателей: 2.5-7.7 Гбит/с • Транзакционная передача по HTTP: 7,6 Гбит/с
Характеристики платформы: • 2 RU (шасси) • Многоядерный ЦП корпоративного класса (12
ядер, 24 потоков) • 48 ГБ ОЗУ • Резервный источник питания • Аппаратное ускорение Regex (x2) • Открытый слот (в верхней части) для
использования в будущем
Места развертывания • Средние и крупные предприятия • Центр обработки данных • Требуется 5 Гбит/с реальной пропускной
способности IPS • Требуется резервный источник питания • Требуется специализированная система IPS
Порт AUX и консоль
Интегрированный ввод-вывод
6 GE Cu
Индикаторы состояния
Порты управления
Отсеки для жесткого диска (пустые)
Интегрированный ввод-вывод
4 слота 10 GE SFP
2 порта USB
© 2011 Cisco and/or its affiliates. All rights reserved. 56
• Определение максимальной пропускной способности с помощью сочетания различных протоколов и размеров пакетов.
• Для оценки используются средние показатели пяти тестов. • Сочетание типов трафика зависит от типа и расположения сети. • В тестах используются стандартные профили приложений пределов прочности (сочетания трафика).
• Тестирование предоставляет клиентам рекомендации.
• Клиенты могут легко воспроизвести тесты.
• Тесты не имеют отношения к компании Cisco.
© 2011 Cisco and/or its affiliates. All rights reserved. 57
0
1
2
3
4
5
6
7
8
Реальный средний показатель Транзакционная передача по HTTP
4510 4520
Максимальная производительность (Гбит/с)
© 2011 Cisco and/or its affiliates. All rights reserved. 58
• Специализированные высокоскоростные устройства IPS с учетом контекста
• Обработка с аппаратным ускорением Regex
• Развертывания на уровне ядра ЦОД или предприятия
• Один интерфейс Gigabit Ethernet, один интерфейс 10 Gigabit Ethernet и слот SFP
• Масштабируемость: доступен слот для будущего наращивания мощностей
© 2011 Cisco and/or its affiliates. All rights reserved. 59
Значение Cisco IPS 4510 Cisco IPS 4520
Реальный средний показатель (Гбит/с)
Cisco использует пять сторонних тестов, которые показывают состав
смешанного трафика развертываний.
3 5
Максимальная производительность (Гбит/с)
Максимальные уровни пропускной способности при полной проверке
трафика. 5 10
Количество подключений в секунду
Беспроблемная обработка всплесков подключений. 72,000 100,000
Максимальное количество открытых подключений
Динамично функционирующим центрам обработки данных
требуется большое количество подключений.
3,800,000 8,400,000
Среднее время задержки Задержка может привести к
проблемам транзакций и повлиять на производительность.
< 150 мс < 150 мс
© 2011 Cisco and/or its affiliates. All rights reserved. 60
Специализированная система Cisco IPS 4500 • Прозрачна и незаметна в сети • Ввод-вывод на основе IPS • Нормализация под управлением IPS • Свободный слот для использования в
будущем Интегрированное устройство Cisco ASA 5585-X IPS • Прозрачность как вариант. • Ввод-вывод принадлежит межсетевому
экрану. • Нормализацией управляет межсетевой экран. • Для выбора политики IPS доступны
дополнительные возможности (5 элементов потока, код пользователя и т. д.).
Основные отличия
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 61\47
• Зоны используются для определения места применения политик
• Уникальные политики и определение направления трафика применяются к каждой зоне
• Физическая инфраструктура пробрасывается в виртуальную среду через VRF, виртуальный контекст
• Объединяется физическая и виртуальная инфраструктура
61
Virtual Switch
vSphere
Virtual Switch
vSphere
VM трафик направляется в Контекст МСЭ
Серверные ресурсы
сегментирется через Зоны
© 2011 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 62
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 63\47
• Внедрение политик информационной безопасности ü Проблемы переноса политики с физических серверов на виртуальные
ü vMotion и аналоги могут нарушать политику
• Сегментация и изоляция ü Потеря изоляции VM из-за ошибок конфигурации или атак
ü Уязвимости гипервизора и систем управления • Отсутствие наблюдаемости
ü Отсутствие контроля над трафиком между VMs • Риски эксплуатации
ü Разделение полномочий админов серверов, сети и безопасности
ü Часто администраторы имеют завышенные полномочия
ü Несвоевременная установка обновления на VMs и гипервизор
ü “Забытые” виртуальные машины
Hypervisor
Virtual Contexts
VLANs
App Server
DB Server
Web Server
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 64\47
Эксплойт Blue Pill, разработанный Йоанной Рутковской для процессоров AMD переносил хостовую ОС в виртуальную среду (2006)
VMSA-2009-0006 § Уязвимость в ESX 3.5, Workstation, etc. § Исполнение кода из VM Guest на хосте § Переполнение буфера в графическом драйвере
Классические уязвимости среды виртуализации
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 65\47
• Июнь 2012 Уязвимость в реализации инструкции SYSRET всех выпущенных x86-64 процессоров Intel позволяет выходить за пределы виртуальной машины - http://www.xakep.ru/post/58862/
• Май 2012 Как взломать Vmware vCenter за 60 секунд http://2012.confidence.org.pl/materials
• VASTO (Virtualization Assessment Toolkit) – первый модуль поиска уязвимостей виртуализации для Metasploit доступен для широкой публики http://vasto.nibblesec.org/
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 66\47
Виртуальные контексты на семействе ASA § до 256 виртуальных контекстов на ASA 5585 и ASA
SM (до 1000 контекстов на кластер с ASA 9.0)
§ до 1024 VLAN, которые могут разделяться между контекстами (до 4000 VLAN на кластер с ASA 9.0)
§ контексты в режиме L2 или L3
§ контекст – это полнофункциональный МСЭ
§ контроль ресурсов для контекстов (MAC-адреса, соединения, инспекции, трансляции…)
До 32 интерфейсов в L2-контекстах
§ 4 интерфейса в бридж-группе. 8 бридж-групп на виртуальный контекст
FW_1 FW_2 FW_3
L2 L3 L2
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 67\47
Nexus 1000V
Расширение сетевых сервисов на виртуальную среду
Расширение сети на виртуальную среду
Virtual Network Management Center Расширение операционного управления на виртуальную среду
vPath
Orchestration / Cloud Portals
VSG ASA 1000V
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 68\47
Virtualization Security
V-Motion (Memory)
V-Storage (VMDK)
VM Segmentation
Hypervisor Security
VM Sprawl
Patch Management
VM OS Hardening
Role Based Access
Physical Security
Virtual Security Gateway на
Nexus 1000V с vPath
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 69\47
Virtual Network Management
Center (VNMC)
Правила с атрибутами VM Контекстная безопасность
Создание зон безопасности Контроль на основе зон
Политика следует за vMotion Динамическая политика
Отказоустойчивость, VSG обслуживает несколько хостов
Масштабируем. архитектура
Команда безопасности управляет политиками
Непрерывные операции
Централизованное управление, multi-tenancy
Управление на основе политик
XML API, профили безопасности Автоматизация
Virtual Security Gateway
(VSG)
Virtual Security Gateway: Зонный межсетевой экран
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 70\47
Security Admin
Port Group
Service Admin
Virtual Network Management Center • Консоль управления VSG • Запуск на одной из VMs
Virtual Security Gateway • Программный МСЭ • Запускается на одной из VMs • Сегментация и политики для всех VMs
Nexus 1000V with vPath • Распределенный virtual
switch • Запускается как часть гипервизора
Физический сервер • UCS или • Другой x86
server
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 71\47
• Проверенные технологии Cisco теперь и для виртуализированных сред
• Совместная модель безопасности VSG для зон безопасности на уровне одного заказчика ASA 1000V для контроля безопасности границы между заказчиками
• Бесшовная интеграция с Nexus 1000v& vPath
• Масштабирование по необходимости
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 72\47
Построен на технологиях аппаратной Cisco ASA
Поддержка Virtual Extensible LAN (VXLAN) до 16M сегментов
Многопользовательское управление VNMC (Multi Tenant)
Совместимость VSG с помощью service chaining
IPSec VPN (Site-to-Site)
NAT
DHCP для VM
Шлюз по умолчанию для VM
Статическая маршрутизация
Инспекция с учетом состояния
IP Audit
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 73\47
Cisco Nexus® 1000V Distributed Virtual Switch
VM VM VM
VM VM
VM
VM VM VM
VM
VM
VM VM VM
VM VM VM VM
vPath
VSG
Cisco® ASA 1000V
12
3
45
Интеллектуальный отвод трафика с vPath
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 74\47
• Cisco® ASA 1000V поддерживает политики на основе сетевых атрибутов* • Cisco VSG поддерживает политики на основе сетевых атрибутов и атрибутов VM
Rul
e Source Condition
Destination Condition
Action
Attribute Type Network VM Custom
VM Attributes Instance Name Guest OS full name Zone Name Parent App Name
VM Attributes Port Profile Name Cluster Name Hypervisor Name
Network Attributes IP Address
Network Port
Operator eq
neq
gt
lt
range
Operator Not-in-range
Prefix
member
Not-member
Contains
Con
ditio
n
*поддержка атрибутов VM для ASA в будущих релизах
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 75\47 75
Web!Server!Web!Server!
App!Server!App!Server!
DB!server!DB!server!
Порт 80 (HTTP) и 443 (HTTPS) Открыты для WEB Серверов
Только Порт 22 (SSH) открыт Для Серверов Приложений
Весь остальной трафик запрещен
Разрешить доступ Web Серверам к Серверам приложений только через HTTP/HTTPS
Разрешить доступ к БД только серверов Приложений
Tenant_A
Web!Server!Web!Server!
App!Server!App!Server!
DB!server!DB!server!
Tenant_B
ASA для контроля Inter-tenant Edge трафика
VSG для создания зон безопасности
VSG для создания зон безопасности
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 76\47
VM атрибуты
XML API vCenter VNMC
Cisco Nexus® 1000V
Manager / Orchestrator
Tools
Серверная команда Команда по ИБ
Сетевая команда
• Управление многопользовательскими ЦОД (multitenant)
• Динамическое управление на основе политик
• Гибкость с помощью внешнего XML API
Server Admin
vCenter
Network Admin
Nexus 1 KV
Security Admin
VNMC
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 77\47
VM VM VM VM
Nexus 1000V VEM
VM VM VM VM
Nexus 1000V VEM
Nexus 1000V VSM
Windows 8 Hyper-V Nexus 1000V VSM
VMware vSphere
VMware vCenter SCVMM
* Available Q4CY12 on Cisco Nexus 1000V; roadmap item for Cisco® ASA 1000V
ü Решение адаптируется под разных производителей гипервизоров
ü Унифицированное управление безопасностью через единую консоль VMDC
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 78\47
Tenant B Zone A
VDC
vApp
vApp
Nexus 1000V vPath
VDC
VSG
VSG VSG
Virtual ASA Virtual ASA
vSphere Nexus 1000V vPath
vSphere
IPSEC
Удаленное рабочее место Пограничное устройство клиента
• Глубокая инспекция входящего/исходящего в виртуальный ЦОД трафика на ASA 1000V
• NAT и DHCP на ASA 1000V • Шифрование трафика между облачным ЦОД и сетями клиентов на ASA 1000V
• Микросегментация на Cisco VSG
Zone B Zone C
IPSEC
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 79\47
Tenant B Zone A
VDC
vApp
vApp
Nexus 1000V vPath
VDC
VSG VSG
VSG
ASA 5585 ASA 5585
vSphere Nexus 1000V vPath
vSphere
Рабочее место Устройство клиента
• Глубокая инспекция входящего/исходящего в виртуальный ЦОД трафика на ASA 1000V
• NAT и DHCP на ASA 1000V • Шифрование трафика между облачным ЦОД и сетями клиентов на ASA 1000V
• Микросегментация на Cisco VSG
Zone B Zone C
IPSEC
Virtual ASA
Virtual ASA
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 80\47
Cisco ASA 5585-X
Cisco Catalyst® 6500 Series ASA Services
Module • Высочайшая производительность
• Политики для защиты периметра ЦОД
• Построение политик по атрибутам IP
• Необходимость “отвода” трафика с помощью VLAN и VRF
Устройства и модули защиты
Cisco ASA для ЦОД
Cisco VSG Cisco ASA 1000V Cloud Firewall
• МСЭ для защиты виртуальных серверов, приложений и tenant
• Автоматизация настройки политик • Построение политик на основе атрибутов VM и атрибутов сети
• Фильтрация внутри серверной фермы
Виртуальные и облачные МЭ Увеличение виртуальной безопасности
Физическое устройство Виртуальное
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 81\47
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 82\47
Records Database
Server Zones
Assistant IT Admin Doctor Guest
Application
HVD Zones
Doctor
iT Admin
Network
Virtual Security Gateway (VSG)
Guest
Portal
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 83\47
Records Database
Server Zones
Assistant IT Admin Doctor Guest
Application
HVD Zones
Doctor
iT Admin
Network
Virtual Security (VSG)
Guest
Portal
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 84\47
Records Database
Server Zones
Assistant IT Admin Doctor Guest
Application
HVD Zones
Doctor
iT Admin
Network
Virtual Security Gateway (VSG)
Guest
Portal
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 85\47
Records Database
Server Zones
Assistant IT Admin Doctor Guest
Application
HVD Zones
Doctor
iT Admin
Network
Virtual Security Gateway (VSG)
Guest
Portal
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 86\47
• Представьте что супликант 802.1X на VM не поддерживают User Authentication с VDI – так как соединение RDP не запускает 802.1X аутентификацию с супликантом Microsoft
• Cisco AnyConnect (3.0) позволяет получить функционал User Authentication с 802.1X для RDP соединений и может быть установлен на VM имиджах
• AnyConnect позволяет данному процессу быть схожим с классификаций физического десктопа
• Функционал User authentication осуществляется TrustSec независимо от функционала Connection Broker
• Необходим функционал Multi-Auth и Open Mode
AD
VM Access Switch
1. Аутентификация пользователя 802.1X 2. Назначение SGT tag/role
Prod Server
3. Прохождение Security Group Tag
DC Switch
Identity Services Engine
RDP
Отсутствует зависимость
от Connection Broker
Dev Server
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 87\47
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 88\47
Администрирование политики
Принятие решений на базе политик
Реализация политик
На основе TrustSec
Информация о политике
На основе TrustSec
Доступ на основе идентификации — это не опция, а свойство сети, включая проводные, беспроводные сети и VPN
Cisco 2900/3560/3700/4500/6500, коммутаторы Nexus 7000, инфраструктура беспроводной сети и маршрутизации Cisco ASA, ISR, ASR 1000
Identity Services Engine (ISE) Система политик доступа на основе идентификации
Агент NAC Web-агент
AnyConnect или запрашивающий клиент, встроенный в ОС
Запрашивающий клиент 802.1x Бесплатные клиенты с постоянным или временным
подключением для оценки состояния и устранения проблем
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 89\47
HR Server #1 10.1.200.50
Finance Server #1 10.1.200.100
VSG
ASA
10.1.200.254
10.1.204.254 6506
Finance
Finance
Finance
HR
✓
10.1.204.126
Nexus 7000 Agg VDC
ISE
SXP IP Address 10.1.204.126 = SGT 5
EAPOL (dot1x)
RADIUS (Access Request)
RADIUS (Access Accept, SGT = 5)
SG ACL Matrix IP Address to SGT Mapping
Nexus 7000 Core VDC
Cisco Confidential 90 © 2010 Cisco and/or its affiliates. All rights reserved.
Traditional ACL or
FW Rules permit NY to SRV1 for HTTPS Permit NY to SAP2 for SQL permit NY to SCM2 for SSH Permit HK to SRV1 for HTTPS permit HK to SAP1 for SQL permit HK to SCM2 for SSH Permit LON to SRV1 for HTTPS Permit LON to SAP1 for SQL Permit LON to SAP for SSH
Permit BPO_WLAN to ESXis for RDP deny NY to ESXis for RDP deny HK to ESXis for RDP deny LON to ESXis for RDP
Permit SJC to SRV1 for HTTPS deny SJC to SAP1 for SQL deny SJC to SCM2
ACL for 3 source objects & 3 destination objects
Adding source Object
Adding destination Object
Source Destination
NY HK LON
DC-MTV (SRV1) DC-MTV (SAP1) DC-RTP (SCM2) DC-RTP (ESXix)
NY 10.2.34.0/24 10.2.35.0/24 10.2.36.0/24 10.3.102.0/24 10.3.152.0/24 10.4.111.0/24 …. BPO_WLANS
Традиционный метод контроля доступа
Cisco Confidential 91 © 2010 Cisco and/or its affiliates. All rights reserved.
Source SGT: Employee (10)
BPO (200)
Destination SGT: Production Server (50)
BPO_VDI (201)
NY HK LON
DC-MTV (SRV1) DC-MTV (SAP1) DC-RTP (SCM2) BPO_VDI
Permit Employee to Production Server eq HTTPS Permit Employee to Production Server eq SQL Permit Employee to Production Server eq SSH
Security Group Filtering
BPO
Permit BPO to BPO_VDI eq RDP
Преимущества TrustSec
Cisco Confidential 92 © 2010 Cisco and/or its affiliates. All rights reserved.
Security Group Based Access Control
• ISE assigns ’user’ tag (SGT) based on user identity/device/location
• NAD applies tag to user traffic (ingress tagging)
• DC switch assigns server SGT and pulls associated SG-ACLs from ISE
• DC switch/ Firewall applies relevant SG-ACL policies (egress filtering)
Trader Registered Device
SGT = 100
Trader SGT = 100
SGACL
SRC\DST Production Development
Trader (100) Access No Access
Cisco ISE
Dev Apps (SGT=4)
Production App(SGT=10)
Cisco Confidential 93 © 2010 Cisco and/or its affiliates. All rights reserved.
SGACL
802.1X/MAB/Web Auth
Develop
Developer SGT = 100
SGT=100
Prod Svr (SGT=4)
Dev Server (SGT=10)
Tag propagation (typical) SGToMACSec - SGToMACSec - SGToEthernet
Access Layer Distribution DC core DC ToR/EoR
Catalyst 3k-X Cat 6500 Sup 2T Nexus 7000 Nexus 5500
Cisco Confidential 94 © 2010 Cisco and/or its affiliates. All rights reserved.
• SGT native tagging may require hardware support
• Non-SGACL hardware capable devices can still:- receive SGT attributes from ISE for authenticated users or devices Forward the IP-to-SGT binding to a TrustSec SGACL capable device
• SGT eXchange Protocol (SXP) is used to pass IP-to-SGT bindings to TrustSec capable devices
• SXP allows deployment of SG-ACL without extensive hardware upgrades
• SXP also allows the classification to be consumed by Cisco ISR, ASR and ASA Firewalls
• Available on the Nexus 1000V v2.1
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 95\47
Campus ßà DC Access Control – используем SXP
SXP-capable only
SG-ACL/SGT
SG-ACL
Production Svr (SGT=4)
Dev Server (SGT=10)
Developer SGT = 100
Access Layer SXP Speaker Enforcement/SXP Listener Previously Catalyst 3k/4k/6k, WLC Nexus 7000
NEW Catalyst 2960S Cat 6500 Sup 2T ASA 9.0
SXP
SGT = Developer (100)
SXP
SG-FW
Cisco Confidential 96 © 2010 Cisco and/or its affiliates. All rights reserved.
Inter-Security Zone Enforcement with SG Firewall
SG Firewall • Stateful Inspection • Addresses segmentation/enforcement between security zones or risk levels • ASA or ASR Firewall
Intra-Security Zone Segmentation with SG ACL
Security Zone 1
Security Zone 2
Security Zone 3
Data Centre
Security Group Tag
Nexus SG-ACL • Data Center Segmentation • Addresses intra-zone segmentation, i.e. enforcement for servers within a security zone • Platforms: Nexus 7000, 5500/2000
Security Zone 1
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 97\47
Marketing Server
AD and LDAP
Directories
Cisco ASA
SXP
SGT (003) User = john smith
SXP
Corporate Servers SGT = 003
Cisco® ISE AAA
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 98\47
Interchange Tags and Groups Added Column to Source Criteria
Added Column to Destination Criteria
Cisco Confidential 99 © 2010 Cisco and/or its affiliates. All rights reserved.
• IP addresses of SG members are received via SXP from Nexus 1000V
• VM moves/changes will be handled by SXP updates to the ASA
• New VMs assigned to existing Sec Groups will NOT need ASA rule-changes
• Consistent classification for virtual and physical servers in the DC
Cisco Confidential 100 © 2010 Cisco and/or its affiliates. All rights reserved.
Catalyst 2960S/3K/4K/6K)
Users, Endpoints
ISE
WLC
Cisco Confidential 101 © 2010 Cisco and/or its affiliates. All rights reserved.
SRC \ DST Prod Svr (111) Dev Svr (222)
Trader (10) Permit SG-ACL-B
Developer (20) Permit Permit
Catalyst 2960S3K/4K/6K
Users, Endpoints
ISE Monitor Mode
§ Security Group FW Rule § Security Group ACL WLC
SGA Egress Enforcement
Nexus7k (or Cat6k Sup2T)
TrustSec
Cisco Confidential 102 © 2010 Cisco and/or its affiliates. All rights reserved.
SRC \ DST Production Servers (111)
Development Servers (150) HR DB (222)
Production Servers (111) Permit all Deny All HR-SG-ACL
Development Servers (150) Deny All Permit All Deny All
HR DB (222) Deny all Deny All Permit All
permit tcp dst eq 443 permit tcp dst eq 80 permit tcp dst eq 22 permit tcp dst eq 3389 permit tcp dst eq 135 permit tcp dst eq 136 permit tcp dst eq 137 permit tcp dst eq 138 permit tcp des eq 139 deny ip
Cisco Confidential 103 © 2010 Cisco and/or its affiliates. All rights reserved.
• Port Profile – Nexus 1000V v2.1 (see notes for Nexus 5500 info) • Port mappings – dynamic policy
Configure a logical identifier on a switch port, e.g. ‘PCIServer’, the switch can query ISE to determine the SGT for PCIServer
• Port Mappings Configure a static SGT value on a switch port
• VLAN – SGT Map all traffic from a VLAN into an SGT (Cat 3K-X, 6K today, N7K in v6.2)
• IP to SGT mapping Static IP address to-SGT mapping defined on a switch ISE can manage and push to Nexus 7K, 5K or Catalyst 6K
• Other options: subnet-SGT, L3 interface to SGT, 802.1X and MAB on Catalyst platforms
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 104\47
USER/SYSTEM IDENTIFICATION & CLASSIFICATION
POLICY ENFORCEMENT SG-ACL or SG-FW
S.G.T. DEFINITION SG-ACL POLICIES
Catalyst 4k Catalyst 4k
Identity
Services Engine
Nexus 7000 Nexus 5500 Nexus 1000V Catalyst 6500 Catalyst 4500 Catalyst 3k Catalyst 2960S WLC
Nexus 7000 Nexus 5500 Nexus 2000 Catalyst 6500 Sup 2T Catalyst 3k-X ISR Firewall ASR Firewall ASA Firewall В планах: Catalyst 4k Sup7
Для справки
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 105\47
Classification
Catalyst 3K Catalyst 4K Catalyst 6K
Nexus 7000 WLC (7.2) Nexus 1000v (Q4CY12)
Catalyst 2K
Nexus 5000
Enforcement
N7K / N5K (SGACL)
Cat6K (SGACL)
Cat3K-X (SGACL)
ASA (SGFW) ASR1K/ISRG2 (SGFW)
Transport N7K (SXP/SGT) N5K (SGT) N1Kv (SXP) - Q4CY12
ASR1K (SXP/SGT) ISR G2 (SXP) ASA (SXP)
Cat 2K-S (SXP) Cat 3K (SXP) Cat 3K-X (SXP/SGT) Cat 4K (SXP) Cat 6K Sup2T (SXP/SGT)
Identity Services Engine
Policy Management
WLAN LAN Remote Access
(roadmap)
AnyConnect (Attribute provider)
Cisco Confidential 106 © 2010 Cisco and/or its affiliates. All rights reserved.
Data Center Core Layer
DC Aggregation Layer
DC Service Layer
DC Access Layer
Virtual Access
Stateful Firewalling Initial filter for all ingress and egress
Stateful Firewalling Additional Firewall Services for server farm specific protection
Server segmentation IP-Based Access Control Lists VLANs, Private VLANs
Virtual Servers
Physical Servers
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 107\47
Data Center Core Layer
DC Aggregation Layer
DC Service Layer
DC Access Layer
Virtual Access
Security Group Firewalling Автоматизация правил МСЭ используя функции ASA SG-Firewall
Security Group Firewalling Автоматизация правил МСЭ используя функции ASA SG-Firewall
Security Group ACLs • Сегментация, определенная в таблице/матрице политик
• Применяется на 7000/5500 независимо от топологии
Устройство с поддержкой SGACL
Устройство с поддержкой SG Firewall
Virtual Servers
Physical Servers
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 108\47
• Постоянное виртуальное рабочее пространство
• Мобильные устройства управляются до того как будет разрешен VDI доступ
• Создавайте Серверные Зоны для каждой группы виртуальных машин
• Профили портов применяют политики VLAN, ACL, профили безопасности для ASA и VSG
• Если уровень доступа поддерживает 802.1X, назначайте SGT
• NetFlow дает больше контекстной информации
108
Records HR Portal Database
Server Zones
IT Admin Contractor Employee Guest
Application
HVD Zones
Contractor
Network
Guest
Cisco AnyConnect
ASA
SGT = 20 SGT = 30
ASA 1000V
VSG
Nexus 1000V
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 109\47
http://www.facebook.com/CiscoRu http://twitter.com/CiscoRussia http://www.youtube.com/CiscoRussiaMedia http://www.flickr.com/photos/CiscoRussia http://vkontakte.ru/Cisco
Спасибо за внимание!
Просим Вас заполнить анкеты! Ваше мнение важно для нас!