Решения Cisco в области ИБ для центров обработки данных

© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Public Presentation_ID 1

Решения Cisco в области ИБ для центров обработки данных

Руслан Иванов

[email protected]

© 2011 Cisco and/or its affiliates. All rights reserved. 2

2000 2005 2010 2015

Облачные Вычисления Емкость по требованию; Глобальный доступ

Виртуализация Консолидация; Оптимизация; Скорость

Открытость Защищенный доступ для мобильных пользователей, Партнеров, Работников по контракту

Масштабируемость и простота Емкость и Эффективность масштабируется вместе с требованиями Бизнеса


Устаревшая Развивающаяся

§  Консолидация ЦоД и Серверов §  Виртуализация Серверов §  “Любая рабочая нагрузка на любом сервере”

§  Непредсказуемый поток трафика по мере миграции рабочей нагрузки

§  Безопасность становиться более направленной на данные (не хранилища)

§  Случайные Архитектуры §  Приложения, внедренные в определенных ситуациях (пример. multi-tier deployment)

§  Предсказуемый поток трафика §  Безопасность обычно внедряется на каждый набор серверов или хранилище

© 2011 Cisco and/or its affiliates. All rights reserved. 4 4

Физическая Сеть ЦОД

Виртуальная Сеть ЦОД

Достижимость и Контекст

Данные в vMotion, другие данные

Аутентификация пользователя и устройства


Сегментация •  Определение границ: сеть, вычисления, виртуализация •  Задание политик по функциям, устройствам, организациям •  Контроль доступа к сетям, ресурсам, приложениям

Защита от

угроз

•  Противодействие атакам •  Контроль границ сети и межзонного взаимодействия •  Контроль доступа и использования ресурсов

Прозрачность •  Прозрачность использования •  Соответствие бизнес-требованиям •  Упростить поддержку и соответствие требованиям регуляторов


Internet Edge

DISTRIBUTION

SAN ASA 5585-X ASA 5585-X

VDC Nexus 7018 Nexus 7018

CORE

= Compute

= Network

= Security

Nexus 7000

Series

Nexus 5000

Series

Nexus 2100

Series

Zone

Unified Computing

System

Nexus 1000V VSG

Multizone

Catalyst 6500 SERVICES

VSS

Firewall ACE

NAM IPS

VSS VPC VPC VPC VPC VPC VPC VPC VPC

10G Server Rack 10 G Server Rack Unified Compute Unified Access


Сегментирование фабрики UCS Fabric Interconnect VM-FEX

Изоляция сетей Physical Virtual (VLAN, VRF) Virtualized (Zones)

Межсетевое экранирование

Stateful/reflective ACL Multi-context

VPN

Анализ и контроль доступа на основе

контекста Security Group Tags (SGT)

Security Exchange Protocol (SXP) Security Group ACL

TrustSec

Применение единой политики безопасности вне зависимости от расположения и метода доступа к данным


Phys

ical

Cisco® ASA 5585-X

Cisco Catalyst 6500 ASA FW Module

•  Устройства на границе ЦОД инспектируют весь трафик

•  Высокая производительность, включая сервисы IPS •  Разделение внешнего трафика от трафика ЦОД

Направление север-юг: Проверка всего трафика идущего в/из ЦОД

Virt

ual /

Mul

titen

ant

ASA 1000V Virtual Firewall контроль границы виртуализации

VSG контролирует зоны Cisco Virtual Security

Gateway (VSG)

Cisco ASA 1000V Virtual Firewall

Направление запад-восток: Созданиебезопасных зон доверия между приложениями и пользователями в ЦОД

•  Разделение между различными орг. единицами

•  Разделение приложений или VM в рамках одной орг. единицы

Сегментация

Cisco Confidential 10 © 2010 Cisco and/or its affiliates. All rights reserved.

ASA Services Module clustering in a roadmap

ASA 558x Appliance

•  Хорошая мастштабируемость 128 Gbps EMIX

50M Connections , 1.2 M CPS

1000 Virtual Contexts

4000 VLANs

•  Поддерживаемый функционал

Cisco® ASA 5585-X v9.0 с кластеризацией

Межсетевое экранирование

http://www.cisco.com/en/US/partner/docs/security/asa/asa90/configuration/guide/ha_cluster.html#wp1571450


Защита

disgruntled employee

-  IPS 4500 Security Appliance -  Cisco® ASA CX Application Control

hackers

cyber criminals

organized crime

Защита бизнеса от внутренних и внешних угроз


Cisco IPS 4500 Protection for demanding data centers •  Delivers hardware-accelerated inspection, real-world

performance, high port density and energy-efficiency in an expandable chassis

•  Provides protection against both external and internal attacks

Cisco ASA CX Contextual application-aware firewall •  Delivers hardware-accelerated inspection, real-world

performance, high port density and energy-efficiency in an expandable chassis

•  Provides protection against both external and internal attacks

Защита от угроз


80 Gbps Average Inspection

160 Gbps Max Inspection

16 RU Form Factor

Scaling Factor = 1

1 Box Latency

160 Gbps IMIX Firewall

40 Gbps Average Inspection IPS

16 RU Form Factor

Scaling Factor < 1

2 Blade 4520 XL

Q1CY13


•  Идеально подходит для ответа на вопросы: Кто с кем общается? Что происходит в сети? Куда перемещаются данные? Кто-нибудь имеет доступ к серверу считающему зарплату? И т.д…

•  Уникальная ценность Cisco

Контроль, Контекст, Прозрачность

Control Visibility Context

Data Center Network

NetFlow

HOW

WHEN

WHERE

WHAT

WHO

Cat 3K-X With Service Module

Unsampled Line-Rate NetFlow

Cat 4K Sup7E, Sup7L-E

Cat 6K Sup2T

NGA NetFlow Generating Appliance

Прозрачность


Использование Lancope, NetFlow, Identity, Репутации

SIO

Unified View Threat Analysis and Context in

Lancope StealthWatch

Threat Context Data Cisco Identity, Device, Posture, Reputation, Application

NetFlow Telemetry Cisco Switches, Routers, and ASA 5500

Internal Network and Borders


•  VDC – Virtual Device Context

•  VPC – Virtual Port Channel

•  VSS & MEC – Virtual Switching System & Multi-chassis Ether-channel

•  VSL & Peer Link – Virtual Switch Link

•  ECMP – Equal cost Multi-Path

•  VSD – Virtual Service Domain

•  VBS – Virtual Blade Switching

•  VRF – Virtual Routing & Forwarding

•  FabricPath

•  VSG – Virtual Security Gateway

Для справки

© 2011 Cisco and/or its affiliates. All rights reserved. 18 18

peer link

vPC vPC

vPC

EC EC

Активный Резервный

peer link

vPC vPC

vPC и ASA

EC EC

•  Позволяет одному устройству использовать port channel через два коммутатора высшего уровня

•  Два Активных Пути Передачи •  Дизайн свободный от петель/Исключает STP blocked порты

•  Использует всю пропускную способность каналов •  Предоставляет лучшую сходимость в случае выхода из строя линка/устройства

Активный Резервный


Активный vPC Peer-‐link S1 S2

S3 S4

vPC vPC

Ядро IP1

Ядро IP2

• ASA* поддерживает Link Aggrega9on Control Protocol (LACP), стандарт IEEE 802.3ad

•  Каждый port-‐channel поддерживает до 8 активных и 8 резервных линков

•  Порты Etherchannel воспринимаются как физические или логические интерфейсы на ASA

•  ASA 5585-‐X приносит МСЭ и IPS уровня ЦОД

•  Так как IPS внедряется как устройство внутри МСЭ, потоки IPS теперь могут быть полностью оптимизированы

Активный или резервный

Zone/Multi-Tennant

vApp vApp

vApp

Zone/Multi-Tennant

vApp vApp

vApp


Активный vPC Peer-‐link S1 S2

S3 S4

vPC vPC

Ядро IP1

Ядро IP2

Коммутатор 6500 в роли Сервисного коммутатора • 6500 поддерживает Link Aggrega9on Control Protocol (LACP), стандарт IEEE 802.3ad • Трафик направляется через сервисные VLANы

• Каждый port-‐channel поддерживает до 8 активных и 8 резервных линков

Активный или резервный

Zone/Multi-Tennant

vApp vApp

vApp

Zone/Multi-Tennant

vApp vApp

vApp


Nexus 7000 VDC – Virtual Device Context §  Разделение data plane и control plane §  Надежное разделение контекстов управления (management plane) §  Гибкое разделение аппаратных и программных ресурсов между контекстами – портов, L2/L3 стеков, VLAN, VRFs, таблиц маршрутизации

§  Контроль выделяемых под контекст ресурсов §  Изоляция процессов и программных сбоев

Layer 2 Protocols Layer 3 Protocols VLAN

PVLAN OSPF BGP

EIGRP

GLBP HSRP IGMP

UDLD CDP

802.1X STP LACP PIM CTS SNMP

… …

VDC 1

Layer 3 Protocols OSPF BGP

EIGRP

GLBP HSRP IGMP

PIM SNMP …

VDC 2 Layer 2 Protocols

VLAN PVLAN

UDLD CDP

802.1X STP LACP CTS

…

VDCs

Ключевая функция

Nexus 7000


Разделение VDC индустриально сертифицировано . NSS Labs сертифицировал использование Cisco Nexus 7000 VDC функционал для Payment Card Industry (PCI) среды в 2010 году. http://www.nsslabs.com/research/network-security/virtualization/cisco-nexus-7000-q2-2010.html Federal Information Processing Standards (FIP-140-2) сертификация была получена в 2011году http://csrc.nist.gov/groups/STM/cmvp/documents/140-1/140sp/140sp1533.pdf Cisco Nexus 7000 получил сертификацию по требованиям Common Criteria с уровнем сооттвествия EAL4 в 2011 году. http://www.niap-ccevs.org/cc-scheme/st/vid10349/

Layer 2 Protocols Layer 3 Protocols VLAN

PVLAN OSPF BGP

EIGRP

GLBP HSRP IGMP

UDLD CDP

802.1X STP LACP PIM CTS SNMP

… …

VDC 1

Layer 3 Protocols OSPF BGP

EIGRP

GLBP HSRP IGMP

PIM SNMP …

VDC 2 Layer 2 Protocols

VLAN PVLAN

UDLD CDP

802.1X STP LACP CTS

…

VDCs

Ключевая функция

Nexus 7000


•  МСЭ на пути следования Inter-VDC трафика

23

v200

GW: 10.1.200.254

VDC Ядра VDC Агрегации

VRF Юг VRF Север

VRF Юг VRF Север

ASA HA Pair 2

ASA HA Pair 1

•  Прозрачные (L2) сервисы МСЭ установлены между Nexus VDC

•  Позволяют применять другие сервисы (IPS, LB и т.д.) в случае необходимости

•  ASA может быть виртуализирована 1:1 с привязкой к VRF-ам

•  Удобно использовать для топологий, где требуется нахождение МСЭ между уровнем агрегации и ядром

•  Недостаток, что большинство/весь трафик направленный в Ядро проходит через МСЭ; возможно узкое место


Пара ASA в режиме высокой доступности в прозрачном режиме с VRF на VDC Агрегации. Шлюз для серверов подключен к внешнему интерфейсу МСЭ

•  МСЭ между Сервером и Шлюзом

v200 – Inside

v201 -‐ Outside

GW: 10.1.200.254

Простой дизайн.

Уровень 2 Уровень 3

Физическое подключение

VDC Агрегации


Hypervisor

Традиционные сервисные узлы

Virtual Contexts

VLANs

Hypervisor

Перенаправляем трафик VM через VLAN-ы на физические устройства

App Server

Database Server

Web Server

Применяем сетевые сервисы на уровне

гипервизора

App Server

Database Server

Web Server

VSN

Виртуальные сервисные узлы

VSN


Сервисный Модуль ASA

Устройства ASA 5585 Hypervisor

Traditional Service Nodes

Virtual Contexts

VLANs

App Server

Database Server

Web Server

Устройства защиты от атак Cisco IPS


ASA 5585-SSP10

ASA 5585-SSP20

ASA 5585-SSP40

ASA 5585-SSP60

4 Гбит/c — пропускная способность межсетевого экрана 2 Гбит/с — пропускная способность системы IPS 50 000 соединений в секунду

10 Гбит/с — пропускная способность межсетевого экрана 3 Гбит/с — пропускная способность системы IPS 125 000 соединений в секунду

20 Гбит/с — пропускная способность межсетевого экрана 5 Гбит/с — пропускная способность системы IPS 200 000 соединений в секунду

40 Гбит/с — пропускная способность межсетевого экрана 10 Гбит/c — пропускная способность системы IPS 350 000 соединений в секунду

Комплекс зданий Центр обработки данных


Показатель Значение

Производительность шасси 64 Гбит/сек

Производительность модуля 16 Гбит/сек

Одновременных сессий 10M

Новых соединений в секунду 350K

Контекстов безопасности 250

VLANs 1K


•  Выход за рамки традиционных решений

•  Наращивание мощностей в соответствии с ведущими отраслевыми системными возможностями

–  64 Гбит/с

–  1,2 млн. соединений в секунду

–  1 000 виртуальных контекстов

–  4 000 сетей VLAN

•  Поддержка решений для ЦОД, например развертываний частных облачных инфраструктур


100+Gbps •  Все устройства в кластере являются активными и передают трафик

•  Все устройства в кластере являются либо основными устройствами, либо резервными, используемыми от сеанса к сеансу

•  В случае сбоя узла проведение сеанса переходит на резервные устройства

•  Благодаря протоколу LACP соседние коммутаторы прекращают передачу трафика по неработающему каналу

2 x

10G

bE D

ata

Traf

fic P

ort C

hann

el

Cluster C

ontrol Link


высокая доступность

•  Все устройства в кластере являются активными и передают трафик.

•  Все устройства в кластере являются либо основными устройствами, либо резервными, используемыми от сеанса к сеансу.

•  В случае сбоя узла проведение сеанса переходит на резервные устройства.

•  Благодаря протоколу LACP соседние коммутаторы прекращают передачу трафика по неработающему каналу.

Clu

ster

Con

trol L

ink


•  Единая консоль конфигурации и автоматическая синхронизация конфигурации в кластере. Управление кластером из 8 устройств осуществляет всего один экземпляр Cisco ASDM или CSM 4.4

•  Обработка удаленных команд выполняется на любом узле.

•  Статистические данные использования ресурсов в рамках кластера Использование ресурсов ЦП и памяти для любого узла.

Использование канала управления кластером.

•  Поддержка Cisco® Security Manager


ASA Port-‐Channel 40

N7K VPC 41 N7K

VPC 40

CL MASTER CL SLAVE CL SLAVE CL SLAVE ASA x Node Cluster

VPC PEER LINK

N7K VPC 32

1 2 3 4

cLACP – Spanned Port Channel

1 2 3 4


Cluster Data Plane

•  Data Plane of Cluster MUST use cLACP (Spanned Port-Channel)

VPC Identifier on N7K must be the same for channel consistency

ASA uses the ‘span-cluster’ command on channel

ASA interface Port-channel32 port-channel span-cluster vss-load-balance

•  Control Plane [Cluster Control Link] of Cluster MUST use standard LACP (Local Port-Channel)

•  Each VPC Identifier on Nexus 7K is unique

•  Port Channel Identifier on ASA is arbitrary

(max number 48)


Cluster Control Plane

LACP – Local Port Channels

N7K VPC 43

N7K VPC 42


•  ASA clustering relies upon stateless load balancing from an external mechanism

•  Recommended method is to use a spanned port-channel to a switch for ingress and egress connections (vPC/VSS with cLACP)

•  BP is to use a symmetrical hashing algorithm like src-dest IP (the default)

•  Could also use Policy Based Routing (PBR) or Equal Cost Multi-Path (ECMP); use both with Object Tracking

•  Both the latter two methods are only supported in routed (L3) mode on the firewall

34

Внутренний коммутатор

Внешний Коммутатор



N7K VPC 41 N7K

VPC 40


VPC PEER LINK

N7K VPC 32

1 2 3 4


1 2 3 4


Cluster Data Plane




N7K VPC 43

N7K VPC 42

Test 1: Pull Cluster Control Link 1 on MASTER

Result: No Change, No Packet loss

Test 2: Pull Cluster Control Link 2 on MASTER

Result: ASA Leaves Cluster – ASA 2 becomes MASTER, No Packet Loss



N7K VPC 41 N7K

VPC 40

CL SLAVE CL SLAVE CL SLAVE ASA x Node Cluster

VPC PEER LINK

N7K VPC 32

1 2 3 4


1 2 3 4 CL MASTER


Cluster Data Plane




N7K VPC 43

N7K VPC 42

Test 1: Power Off ASA1

Result: No Packet loss



N7K VPC 41 N7K

VPC 40


VPC PEER LINK

N7K VPC 32

1 2 3 4


1 2 3 4


Cluster Data Plane




N7K VPC 43

N7K VPC 42

Test 2: Pull te0/6 on ASA1

Result: No Packet loss

Test 3: Pull te0/7 on ASA1

Result: ASA Leaves Cluster – ASA2 becomes MASTER, No Packet Loss

Note: Plugging ASA1 link(s) back in, will eventually rejoin cluster as SLAVE after LACP negotiation – No preempt

CL MASTER



N7K VPC 41 N7K

VPC 40


VPC PEER LINK

N7K VPC 32

1 2 3 4


1 2 3 4


Cluster Data Plane




N7K VPC 43

N7K VPC 42

Test 4: Looking for Packet loss

Eliminate as much of the Cluster as possible until loss is detected

Lose ASA1, ASA2 and ASA 3 and one of the data plane Links on ASA4

Result: No Packet loss until a single ASA with a single link is left standing

CL MASTER


O

V

Overlay - A solution that is independent of the infrastructure technology and services, flexible over various inter-connect facilities

Transport - Transporting services for layer 2 and layer 3 Ethernet and IP traffic

Virtualization - Provides virtual stateless multi-access connections, which can be further partitioned into VPNs, VRFs, VLANs

T

OTV delivers a virtual L2 transport over any L3 Infrastructure


OTV OTV OTV OTV

MAC TABLE

VLAN MAC IF 100 MAC 1 Eth 2

100 MAC 2 Eth 1 Layer 2 Lookup

2

West Site

MAC 1 East Site

MAC 2

MAC 1 è MAC 2

Transport Infrastructure

1


Transport Infrastructure

OTV OTV OTV OTV

MAC TABLE

VLAN MAC IF 100 MAC 1 Eth 2

100 MAC 2 Eth 1

100 MAC 3 IP B

100 MAC 4 IP B

MAC 1 è MAC 3

IP A è IP B MAC 1 è MAC 3

MAC TABLE

VLAN MAC IF 100 MAC 1 IP A

100 MAC 2 IP A

100 MAC 3 Eth 3

100 MAC 4 Eth 4

Layer 2 Lookup

6 IP A è IP B MAC 1 è MAC 3 MAC 1 è MAC 3 Layer 2

Lookup

2 Encap 3

Decap 5

MAC 1 è MAC 3 West Site

MAC 1 MAC 3 East Site

4

7

IP A IP B

1


s

Core 1

OTV 1

OTV Data Center 1 Data Center 2

20.3.1.0/24 .2

.1

Core 3

OTV 3

20.4.1.0/24 .2

.1

Core 4

OTV 4

20.1.1.0/24 .2

.1

Core 1

OTV 1

20.2.1.0/24 .2

.1

Core 2

OTV 2

OTV Site VLAN 700

vPC 10 vPC 11

Connected via Layer 3 Core

OTV switch connected to Aggregation via vPC

Two Active Data Centers

OTV VDC from each Core switch

OTV Join Interface

OTV Site VLAN 700

vPC 25 vPC 26

Agg 1 Agg 2

Core 2

OTV 2

Core 3

OTV 3

Agg 3 Agg 4

Core 4

OTV 4


CORE11-N7K-1-OTV# sh otv adjacency Overlay Adjacency database Overlay-Interface Overlay1 : Hostname System-ID Dest Addr Up Time State 0024.f716.43c4 20.2.1.1 02:28:19 UP CORE31-N7K-1-OTV f866.f206.fcc3 20.3.1.1 10:28:07 UP 18ef.63e5.5343 20.4.1.1 03:09:32 UP

CORE11-N7K-1-OTV# sh run int Overlay 1 !Command: show running-config interface Overlay1 !Time: Fri Oct 12 13:11:03 2012 version 5.2(1) interface Overlay1 otv join-interface Ethernet2/39 otv extend-vlan 101, 999 otv use-adjacency-server 20.1.1.1 20.2.1.1 unicast-only otv adjacency-server unicast-only no shutdown

otv site-vlan 700 otv site-identifier 0001.0001.0001 vlan 1,101,700,999

20.1.1.0/24 .2

.1

Core 1

OTV 1

Core 1 Core 2

AGG 1 AGG 2

OTV

OTV

ASA1

ASA2

OTV Data Center 1

20.2.1.0/24 .2

.1

Core 2

OTV 2

OTV Site VLAN 700

vPC 10 vPC 11


Data Center 2

20.3.1.0/24 .2

.1

Core 3

OTV 3

Core 3 Core 4

AGG 3 AGG 4

OTV

OTV

ASA3

ASA4

OTV Data Center

20.4.1.0/24 .2

.1

Core 4

OTV 4

CORE31-N7K-1-OTV# sh otv adjacency Overlay Adjacency database Overlay-Interface Overlay1 : Hostname System-ID Dest Addr Up Time State CORE11-N7K-1-OTV 0024.f716.5444 20.1.1.1 13:00:46 UP 0024.f716.43c4 20.2.1.1 01:03:38 UP 18ef.63e5.5343 20.4.1.1 05:42:13 UP

otv site-vlan 700 otv site-identifier 0003.0003.0003 vlan 1,101,700,999

CORE31-N7K-1-OTV# sh run int Overlay 1 !Command: show running-config interface Overlay1 !Time: Fri Oct 12 23:05:50 2012 version 5.2(1) interface Overlay1 otv join-interface Ethernet2/27 otv extend-vlan 101, 999 otv use-adjacency-server 20.1.1.1 20.2.1.1 unicast-only otv adjacency-server unicast-only no shutdown

OTV Site VLAN 700

vPC 25 vPC 26


s

Core 3 Core 4

Congo AGG 1 VDC 2

Nigeria AGG 2 VDC 2

OTV OTV

ASA4

Core 1 Core 2

AGG 1 AGG 2

OTV

OTV

ASA1

ASA2

ASA3


20.3.1.0/24 .2

.1

Core 3

OTV 3

20.4.1.0/24 .2

.1

Core 4

OTV 4

20.1.1.0/24 .2

.1

Core 1

OTV 1

20.2.1.0/24 .2

.1

Core 2

OTV 2

OTV Site VLAN 700

vPC 10 vPC 11

OTV Site VLAN 700

vPC 25 vPC 26

ASA Cluster Master


s

Core 3 Core 4

Congo AGG 1 VDC 2

Nigeria AGG 2 VDC 2

OTV OTV

ASA4

Core 1 Core 2

AGG 1 AGG 2

OTV OTV

ASA1

ASA2

ASA3


20.3.1.0/24 .2

.1

Core 3

OTV 3

20.4.1.0/24 .2

.1

Core 4

OTV 4

20.1.1.0/24 .2

.1

Core 1

OTV 1

20.2.1.0/24 .2

.1

Core 2

OTV 2

OTV Site VLAN 700

vPC 10 vPC 11

OTV Site VLAN 700

vPC 25 vPC 26

Master

VLAN999 VLAN101

VLAN 102 Outside BVI 10.101.10.200 VLAN101 Inside VLAN 999 CCL

Slave Slave Slave

Data: Po 32 Control: Po 40

Po 32 Po 32 Po 32 Po 32

Po 40 vPC 32

vPC 32

vPC 32

vPC 32

vPC 42

vPC 43

vPC 40

vPC 41

Po 40 Po 40 Po 40


asa(cfg-cluster)# sh cluster info Cluster DC-SEC: On Interface mode: spanned This is "asa3" in state SLAVE ID : 3 Version : 9.0(0.129) Serial No.: JAF1518CKJH CCL IP : 99.99.99.3 CCL MAC : 4055.3980.0076 Last join : 01:53:16 EDT Oct 12 2012 Last leave: 01:53:03 EDT Oct 12 2012

Unit "asa2" in state SLAVE ID : 1 Version : 9.0(0.129) Serial No.: JAF1534CCHB CCL IP : 99.99.99.2 CCL MAC : 7081.055a.2a96 Last join : 01:06:02 EDT Oct 12 2012 Last leave: 01:02:24 EDT Oct 12 2012 Unit "asa4" in state SLAVE ID : 2 Version : 9.0(0.129) Serial No.: JAF1553ALFH CCL IP : 99.99.99.4 CCL MAC : c464.1366.e396 Last join : 01:53:10 EDT Oct 12 2012 Last leave: 01:52:35 EDT Oct 12 2012

Other members in the cluster: Unit "asa1" in state MASTER ID : 0 Version : 9.0(0.129) Serial No.: JAF1504CQPK CCL IP : 99.99.99.1 CCL MAC : 5475.d05b.0876 Last join : 08:09:52 EDT Oct 12 2012 Last leave: 02:19:19 EDT Oct 12 2012


DC10-N7K-1# sh vpc brief Legend: (*) - local vPC is down, forwarding via vPC peer-link vPC domain id : 10 Peer status : peer adjacency formed ok vPC keep-alive status : peer is not reachable through peer-keepalive Configuration consistency status : success Per-vlan consistency status : success Type-2 consistency status : failed Type-2 inconsistency reason : SVI type-2 configuration incompatible vPC role : secondary, operational primary Number of vPCs configured : 10 Peer Gateway : Enabled Peer gateway excluded VLANs : - Dual-active excluded VLANs : - Graceful Consistency Check : Enabled Auto-recovery status : Disabled vPC Peer-link status --------------------------------------------------------------------- id Port Status Active vlans -- ---- ------ -------------------------------------------------- 1 Po1 up 101-102,105,191-193,195,197,461,591-594,597,599-60 0,700,900-902,905,910,999

vPC status ---------------------------------------------------------------------- id Port Status Consistency Reason Active vlans -- ---- ------ ----------- ------ ------------ 32 Po32 up success success 101-102,105 ,191-193,19 5,197,461,5 91-594,597, 599-600,700 ....- 42 Po42 up success success 999 43 Po43 up success success 999

Common Data vPC

Unique CCL vPCs

Новое поколение систем предотвращения вторжений Cisco IPS

© 2011 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 52 Cisco Confidential – Redistribution Prohibited

Производительность,

масштабируемость

, адаптивность

Комплекс зданий

Интернет-периметр

Филиал

Cisco IPS 4360

Cisco® IPS 4345

Центр обработки данных

Cisco IPS 4510

Cisco IPS 4520

Новинка

Новинка

Новинка

Новинка


Cisco® IPS 4345 Cisco IPS 4360 Cisco IPS 4510 Cisco IPS 4520

Основа платформы 1RU 1RU 2 RU (шасси) 2 RU (шасси)

Процессор 4 ядер 4 потока

4 ядер 8 потока



Память 8 GB 16 ГБ 24 ГБ 48 GB

Базовые порты данныъ 8 x 1 GE Cu 8 x 1 GE Cu 6 x 1 GE Cu

4 x 10 GE SFP

6 x 1 GE Cu

4 x 10 GE SFP

Ускоритель Regex Одинарный Одинарный Одинарный Двойной

Электропитание Постоянное значение переменного тока

2 с возможностью горячей замены




Производительность •  Реальный средний показатель: 3 Гбит/с •  Реальный диапазон показателей: 1.2-5 Гбит/с •  Транзакционная передача по HTTP: 5 Гбит/с

Характеристики платформы: •  2 RU (шасси) •  Многоядерный ЦП корпоративного класса (8

ядер, 16 потоков) •  24 ГБ ОЗУ •  Резервный источник питания •  Аппаратное ускорение Regex •  Открытый слот (в верхней части) для

использования в будущем

Места развертывания •  Средние и крупные предприятия •  ЦОД кампуса •  Требуется 3 Гбит/с реальной пропускной

способности IPS •  Требуется резервный источник питания •  Требуется специализированная система IPS

Порт AUX и консоль

Интегрированный ввод-вывод

6 GE Cu

Индикаторы состояния

Порты управления

Отсеки для жесткого диска (пустые)


4 слота 10 GE SFP

2 порта USB


Производительность •  Реальный средний показатель: 5 Гбит/с •  Реальный диапазон показателей: 2.5-7.7 Гбит/с •  Транзакционная передача по HTTP: 7,6 Гбит/с

Характеристики платформы: •  2 RU (шасси) •  Многоядерный ЦП корпоративного класса (12

ядер, 24 потоков) •  48 ГБ ОЗУ •  Резервный источник питания •  Аппаратное ускорение Regex (x2) •  Открытый слот (в верхней части) для

использования в будущем

Места развертывания •  Средние и крупные предприятия •  Центр обработки данных •  Требуется 5 Гбит/с реальной пропускной

способности IPS •  Требуется резервный источник питания •  Требуется специализированная система IPS

Порт AUX и консоль


6 GE Cu

Индикаторы состояния

Порты управления

Отсеки для жесткого диска (пустые)


4 слота 10 GE SFP

2 порта USB


•  Определение максимальной пропускной способности с помощью сочетания различных протоколов и размеров пакетов.

•  Для оценки используются средние показатели пяти тестов. •  Сочетание типов трафика зависит от типа и расположения сети. •  В тестах используются стандартные профили приложений пределов прочности (сочетания трафика).

•  Тестирование предоставляет клиентам рекомендации.

•  Клиенты могут легко воспроизвести тесты.

•  Тесты не имеют отношения к компании Cisco.


0

1

2

3

4

5

6

7

8

Реальный средний показатель Транзакционная передача по HTTP

4510 4520

Максимальная производительность (Гбит/с)


•  Специализированные высокоскоростные устройства IPS с учетом контекста

•  Обработка с аппаратным ускорением Regex

•  Развертывания на уровне ядра ЦОД или предприятия

•  Один интерфейс Gigabit Ethernet, один интерфейс 10 Gigabit Ethernet и слот SFP

•  Масштабируемость: доступен слот для будущего наращивания мощностей


Значение Cisco IPS 4510 Cisco IPS 4520

Реальный средний показатель (Гбит/с)

Cisco использует пять сторонних тестов, которые показывают состав

смешанного трафика развертываний.

3 5

Максимальная производительность (Гбит/с)

Максимальные уровни пропускной способности при полной проверке

трафика. 5 10

Количество подключений в секунду

Беспроблемная обработка всплесков подключений. 72,000 100,000

Максимальное количество открытых подключений

Динамично функционирующим центрам обработки данных

требуется большое количество подключений.

3,800,000 8,400,000

Среднее время задержки Задержка может привести к

проблемам транзакций и повлиять на производительность.

< 150 мс < 150 мс


Специализированная система Cisco IPS 4500 •  Прозрачна и незаметна в сети •  Ввод-вывод на основе IPS •  Нормализация под управлением IPS •  Свободный слот для использования в

будущем Интегрированное устройство Cisco ASA 5585-X IPS •  Прозрачность как вариант. •  Ввод-вывод принадлежит межсетевому

экрану. •  Нормализацией управляет межсетевой экран. •  Для выбора политики IPS доступны

дополнительные возможности (5 элементов потока, код пользователя и т. д.).

Основные отличия


•  Зоны используются для определения места применения политик

•  Уникальные политики и определение направления трафика применяются к каждой зоне

•  Физическая инфраструктура пробрасывается в виртуальную среду через VRF, виртуальный контекст

•  Объединяется физическая и виртуальная инфраструктура

61

Virtual Switch

vSphere

Virtual Switch

vSphere

VM трафик направляется в Контекст МСЭ

Серверные ресурсы

сегментирется через Зоны


•  Внедрение политик информационной безопасности ü  Проблемы переноса политики с физических серверов на виртуальные

ü  vMotion и аналоги могут нарушать политику

•  Сегментация и изоляция ü  Потеря изоляции VM из-за ошибок конфигурации или атак

ü  Уязвимости гипервизора и систем управления •  Отсутствие наблюдаемости

ü  Отсутствие контроля над трафиком между VMs •  Риски эксплуатации

ü  Разделение полномочий админов серверов, сети и безопасности

ü  Часто администраторы имеют завышенные полномочия

ü  Несвоевременная установка обновления на VMs и гипервизор

ü  “Забытые” виртуальные машины

Hypervisor

Virtual Contexts

VLANs

App Server

DB Server

Web Server


Эксплойт Blue Pill, разработанный Йоанной Рутковской для процессоров AMD переносил хостовую ОС в виртуальную среду (2006)

VMSA-2009-0006 § Уязвимость в ESX 3.5, Workstation, etc. § Исполнение кода из VM Guest на хосте § Переполнение буфера в графическом драйвере

Классические уязвимости среды виртуализации


•  Июнь 2012 Уязвимость в реализации инструкции SYSRET всех выпущенных x86-64 процессоров Intel позволяет выходить за пределы виртуальной машины - http://www.xakep.ru/post/58862/

•  Май 2012 Как взломать Vmware vCenter за 60 секунд http://2012.confidence.org.pl/materials

•  VASTO (Virtualization Assessment Toolkit) – первый модуль поиска уязвимостей виртуализации для Metasploit доступен для широкой публики http://vasto.nibblesec.org/


Виртуальные контексты на семействе ASA §  до 256 виртуальных контекстов на ASA 5585 и ASA

SM (до 1000 контекстов на кластер с ASA 9.0)

§  до 1024 VLAN, которые могут разделяться между контекстами (до 4000 VLAN на кластер с ASA 9.0)

§  контексты в режиме L2 или L3

§  контекст – это полнофункциональный МСЭ

§  контроль ресурсов для контекстов (MAC-адреса, соединения, инспекции, трансляции…)

До 32 интерфейсов в L2-контекстах

§  4 интерфейса в бридж-группе. 8 бридж-групп на виртуальный контекст

FW_1 FW_2 FW_3

L2 L3 L2


Nexus 1000V

Расширение сетевых сервисов на виртуальную среду

Расширение сети на виртуальную среду

Virtual Network Management Center Расширение операционного управления на виртуальную среду

vPath

Orchestration / Cloud Portals

VSG ASA 1000V


Virtualization Security

V-Motion (Memory)

V-Storage (VMDK)

VM Segmentation

Hypervisor Security

VM Sprawl

Patch Management

VM OS Hardening

Role Based Access

Physical Security

Virtual Security Gateway на

Nexus 1000V с vPath


Virtual Network Management

Center (VNMC)

Правила с атрибутами VM Контекстная безопасность

Создание зон безопасности Контроль на основе зон

Политика следует за vMotion Динамическая политика

Отказоустойчивость, VSG обслуживает несколько хостов

Масштабируем. архитектура

Команда безопасности управляет политиками

Непрерывные операции

Централизованное управление, multi-tenancy

Управление на основе политик

XML API, профили безопасности Автоматизация

Virtual Security Gateway

(VSG)

Virtual Security Gateway: Зонный межсетевой экран


Security Admin

Port Group

Service Admin

Virtual Network Management Center •  Консоль управления VSG •  Запуск на одной из VMs

Virtual Security Gateway •  Программный МСЭ •  Запускается на одной из VMs •  Сегментация и политики для всех VMs

Nexus 1000V with vPath •  Распределенный virtual

switch •  Запускается как часть гипервизора

Физический сервер •  UCS или •  Другой x86

server


•  Проверенные технологии Cisco теперь и для виртуализированных сред

•  Совместная модель безопасности VSG для зон безопасности на уровне одного заказчика ASA 1000V для контроля безопасности границы между заказчиками

•  Бесшовная интеграция с Nexus 1000v& vPath

•  Масштабирование по необходимости


Построен на технологиях аппаратной Cisco ASA

Поддержка Virtual Extensible LAN (VXLAN) до 16M сегментов

Многопользовательское управление VNMC (Multi Tenant)

Совместимость VSG с помощью service chaining

IPSec VPN (Site-to-Site)

NAT

DHCP для VM

Шлюз по умолчанию для VM

Статическая маршрутизация

Инспекция с учетом состояния

IP Audit


Cisco Nexus® 1000V Distributed Virtual Switch

VM VM VM

VM VM

VM

VM VM VM

VM

VM

VM VM VM

VM VM VM VM

vPath

VSG

Cisco® ASA 1000V

12

3

45

Интеллектуальный отвод трафика с vPath


•  Cisco® ASA 1000V поддерживает политики на основе сетевых атрибутов* •  Cisco VSG поддерживает политики на основе сетевых атрибутов и атрибутов VM

Rul

e Source Condition

Destination Condition

Action

Attribute Type Network VM Custom

VM Attributes Instance Name Guest OS full name Zone Name Parent App Name

VM Attributes Port Profile Name Cluster Name Hypervisor Name

Network Attributes IP Address

Network Port

Operator eq

neq

gt

lt

range

Operator Not-in-range

Prefix

member

Not-member

Contains

Con

ditio

n

*поддержка атрибутов VM для ASA в будущих релизах

© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 75\47 75

Web!Server!Web!Server!

App!Server!App!Server!

DB!server!DB!server!

Порт 80 (HTTP) и 443 (HTTPS) Открыты для WEB Серверов

Только Порт 22 (SSH) открыт Для Серверов Приложений

Весь остальной трафик запрещен

Разрешить доступ Web Серверам к Серверам приложений только через HTTP/HTTPS

Разрешить доступ к БД только серверов Приложений

Tenant_A

Web!Server!Web!Server!

App!Server!App!Server!

DB!server!DB!server!

Tenant_B

ASA для контроля Inter-tenant Edge трафика

VSG для создания зон безопасности

VSG для создания зон безопасности


VM атрибуты

XML API vCenter VNMC

Cisco Nexus® 1000V

Manager / Orchestrator

Tools

Серверная команда Команда по ИБ

Сетевая команда

•  Управление многопользовательскими ЦОД (multitenant)

•  Динамическое управление на основе политик

•  Гибкость с помощью внешнего XML API

Server Admin

vCenter

Network Admin

Nexus 1 KV

Security Admin

VNMC


VM VM VM VM

Nexus 1000V VEM

VM VM VM VM

Nexus 1000V VEM

Nexus 1000V VSM

Windows 8 Hyper-V Nexus 1000V VSM

VMware vSphere

VMware vCenter SCVMM

* Available Q4CY12 on Cisco Nexus 1000V; roadmap item for Cisco® ASA 1000V

ü  Решение адаптируется под разных производителей гипервизоров

ü  Унифицированное управление безопасностью через единую консоль VMDC


Tenant B Zone A

VDC

vApp

vApp

Nexus 1000V vPath

VDC

VSG

VSG VSG

Virtual ASA Virtual ASA

vSphere Nexus 1000V vPath

vSphere

IPSEC

Удаленное рабочее место Пограничное устройство клиента

•  Глубокая инспекция входящего/исходящего в виртуальный ЦОД трафика на ASA 1000V

•  NAT и DHCP на ASA 1000V •  Шифрование трафика между облачным ЦОД и сетями клиентов на ASA 1000V

•  Микросегментация на Cisco VSG

Zone B Zone C

IPSEC


Tenant B Zone A

VDC

vApp

vApp

Nexus 1000V vPath

VDC

VSG VSG

VSG

ASA 5585 ASA 5585

vSphere Nexus 1000V vPath

vSphere

Рабочее место Устройство клиента

•  Глубокая инспекция входящего/исходящего в виртуальный ЦОД трафика на ASA 1000V

•  NAT и DHCP на ASA 1000V •  Шифрование трафика между облачным ЦОД и сетями клиентов на ASA 1000V

•  Микросегментация на Cisco VSG

Zone B Zone C

IPSEC

Virtual ASA

Virtual ASA


Cisco ASA 5585-X

Cisco Catalyst® 6500 Series ASA Services

Module •  Высочайшая производительность

•  Политики для защиты периметра ЦОД

•  Построение политик по атрибутам IP

•  Необходимость “отвода” трафика с помощью VLAN и VRF

Устройства и модули защиты

Cisco ASA для ЦОД

Cisco VSG Cisco ASA 1000V Cloud Firewall

•  МСЭ для защиты виртуальных серверов, приложений и tenant

•  Автоматизация настройки политик •  Построение политик на основе атрибутов VM и атрибутов сети

•  Фильтрация внутри серверной фермы

Виртуальные и облачные МЭ Увеличение виртуальной безопасности

Физическое устройство Виртуальное


Records Database

Server Zones

Assistant IT Admin Doctor Guest

Application

HVD Zones

Doctor

iT Admin

Network

Virtual Security Gateway (VSG)

Guest

Portal


Records Database

Server Zones


Application

HVD Zones

Doctor

iT Admin

Network

Virtual Security (VSG)

Guest

Portal


Records Database

Server Zones


Application

HVD Zones

Doctor

iT Admin

Network


Guest

Portal


•  Представьте что супликант 802.1X на VM не поддерживают User Authentication с VDI – так как соединение RDP не запускает 802.1X аутентификацию с супликантом Microsoft

•  Cisco AnyConnect (3.0) позволяет получить функционал User Authentication с 802.1X для RDP соединений и может быть установлен на VM имиджах

•  AnyConnect позволяет данному процессу быть схожим с классификаций физического десктопа

•  Функционал User authentication осуществляется TrustSec независимо от функционала Connection Broker

•  Необходим функционал Multi-Auth и Open Mode

AD

VM Access Switch

1. Аутентификация пользователя 802.1X 2. Назначение SGT tag/role

Prod Server

3. Прохождение Security Group Tag

DC Switch

Identity Services Engine

RDP

Отсутствует зависимость

от Connection Broker

Dev Server


Администрирование политики

Принятие решений на базе политик

Реализация политик

На основе TrustSec

Информация о политике

На основе TrustSec

Доступ на основе идентификации — это не опция, а свойство сети, включая проводные, беспроводные сети и VPN

Cisco 2900/3560/3700/4500/6500, коммутаторы Nexus 7000, инфраструктура беспроводной сети и маршрутизации Cisco ASA, ISR, ASR 1000

Identity Services Engine (ISE) Система политик доступа на основе идентификации

Агент NAC Web-агент

AnyConnect или запрашивающий клиент, встроенный в ОС

Запрашивающий клиент 802.1x Бесплатные клиенты с постоянным или временным

подключением для оценки состояния и устранения проблем


HR Server #1 10.1.200.50

Finance Server #1 10.1.200.100

VSG

ASA

10.1.200.254

10.1.204.254 6506

Finance

Finance

Finance

HR

✓

10.1.204.126

Nexus 7000 Agg VDC

ISE

SXP IP Address 10.1.204.126 = SGT 5

EAPOL (dot1x)

RADIUS (Access Request)

RADIUS (Access Accept, SGT = 5)

SG ACL Matrix IP Address to SGT Mapping

Nexus 7000 Core VDC


Traditional ACL or

FW Rules permit NY to SRV1 for HTTPS Permit NY to SAP2 for SQL permit NY to SCM2 for SSH Permit HK to SRV1 for HTTPS permit HK to SAP1 for SQL permit HK to SCM2 for SSH Permit LON to SRV1 for HTTPS Permit LON to SAP1 for SQL Permit LON to SAP for SSH

Permit BPO_WLAN to ESXis for RDP deny NY to ESXis for RDP deny HK to ESXis for RDP deny LON to ESXis for RDP

Permit SJC to SRV1 for HTTPS deny SJC to SAP1 for SQL deny SJC to SCM2

ACL for 3 source objects & 3 destination objects

Adding source Object

Adding destination Object

Source Destination

NY HK LON

DC-MTV (SRV1) DC-MTV (SAP1) DC-RTP (SCM2) DC-RTP (ESXix)

NY 10.2.34.0/24 10.2.35.0/24 10.2.36.0/24 10.3.102.0/24 10.3.152.0/24 10.4.111.0/24 …. BPO_WLANS

Традиционный метод контроля доступа


Source SGT: Employee (10)

BPO (200)

Destination SGT: Production Server (50)

BPO_VDI (201)

NY HK LON

DC-MTV (SRV1) DC-MTV (SAP1) DC-RTP (SCM2) BPO_VDI

Permit Employee to Production Server eq HTTPS Permit Employee to Production Server eq SQL Permit Employee to Production Server eq SSH

Security Group Filtering

BPO

Permit BPO to BPO_VDI eq RDP

Преимущества TrustSec


Security Group Based Access Control

•  ISE assigns ’user’ tag (SGT) based on user identity/device/location

•  NAD applies tag to user traffic (ingress tagging)

•  DC switch assigns server SGT and pulls associated SG-ACLs from ISE

•  DC switch/ Firewall applies relevant SG-ACL policies (egress filtering)

Trader Registered Device

SGT = 100

Trader SGT = 100

SGACL

SRC\DST Production Development

Trader (100) Access No Access

Cisco ISE

Dev Apps (SGT=4)

Production App(SGT=10)


SGACL

802.1X/MAB/Web Auth

Develop

Developer SGT = 100

SGT=100

Prod Svr (SGT=4)

Dev Server (SGT=10)

Tag propagation (typical) SGToMACSec - SGToMACSec - SGToEthernet

Access Layer Distribution DC core DC ToR/EoR

Catalyst 3k-X Cat 6500 Sup 2T Nexus 7000 Nexus 5500


•  SGT native tagging may require hardware support

•  Non-SGACL hardware capable devices can still:- receive SGT attributes from ISE for authenticated users or devices Forward the IP-to-SGT binding to a TrustSec SGACL capable device

•  SGT eXchange Protocol (SXP) is used to pass IP-to-SGT bindings to TrustSec capable devices

•  SXP allows deployment of SG-ACL without extensive hardware upgrades

•  SXP also allows the classification to be consumed by Cisco ISR, ASR and ASA Firewalls

•  Available on the Nexus 1000V v2.1


Campus ßà DC Access Control – используем SXP

SXP-capable only

SG-ACL/SGT

SG-ACL

Production Svr (SGT=4)

Dev Server (SGT=10)

Developer SGT = 100

Access Layer SXP Speaker Enforcement/SXP Listener Previously Catalyst 3k/4k/6k, WLC Nexus 7000

NEW Catalyst 2960S Cat 6500 Sup 2T ASA 9.0

SXP

SGT = Developer (100)

SXP

SG-FW


Inter-Security Zone Enforcement with SG Firewall

SG Firewall • Stateful Inspection • Addresses segmentation/enforcement between security zones or risk levels • ASA or ASR Firewall

Intra-Security Zone Segmentation with SG ACL

Security Zone 1

Security Zone 2

Security Zone 3

Data Centre

Security Group Tag

Nexus SG-ACL • Data Center Segmentation • Addresses intra-zone segmentation, i.e. enforcement for servers within a security zone • Platforms: Nexus 7000, 5500/2000

Security Zone 1


Marketing Server

AD and LDAP

Directories

Cisco ASA

SXP

SGT (003) User = john smith

SXP

Corporate Servers SGT = 003

Cisco® ISE AAA


Interchange Tags and Groups Added Column to Source Criteria

Added Column to Destination Criteria


• IP addresses of SG members are received via SXP from Nexus 1000V

• VM moves/changes will be handled by SXP updates to the ASA

• New VMs assigned to existing Sec Groups will NOT need ASA rule-changes

• Consistent classification for virtual and physical servers in the DC


Catalyst 2960S/3K/4K/6K)

Users, Endpoints

ISE

WLC


SRC \ DST Prod Svr (111) Dev Svr (222)

Trader (10) Permit SG-ACL-B

Developer (20) Permit Permit

Catalyst 2960S3K/4K/6K

Users, Endpoints

ISE Monitor Mode

§  Security Group FW Rule §  Security Group ACL WLC

SGA Egress Enforcement

Nexus7k (or Cat6k Sup2T)

TrustSec


SRC \ DST Production Servers (111)

Development Servers (150) HR DB (222)

Production Servers (111) Permit all Deny All HR-SG-ACL

Development Servers (150) Deny All Permit All Deny All

HR DB (222) Deny all Deny All Permit All

permit tcp dst eq 443 permit tcp dst eq 80 permit tcp dst eq 22 permit tcp dst eq 3389 permit tcp dst eq 135 permit tcp dst eq 136 permit tcp dst eq 137 permit tcp dst eq 138 permit tcp des eq 139 deny ip


•  Port Profile – Nexus 1000V v2.1 (see notes for Nexus 5500 info) •  Port mappings – dynamic policy

Configure a logical identifier on a switch port, e.g. ‘PCIServer’, the switch can query ISE to determine the SGT for PCIServer

•  Port Mappings Configure a static SGT value on a switch port

•  VLAN – SGT Map all traffic from a VLAN into an SGT (Cat 3K-X, 6K today, N7K in v6.2)

•  IP to SGT mapping Static IP address to-SGT mapping defined on a switch ISE can manage and push to Nexus 7K, 5K or Catalyst 6K

•  Other options: subnet-SGT, L3 interface to SGT, 802.1X and MAB on Catalyst platforms


USER/SYSTEM IDENTIFICATION & CLASSIFICATION

POLICY ENFORCEMENT SG-ACL or SG-FW

S.G.T. DEFINITION SG-ACL POLICIES

Catalyst 4k Catalyst 4k

Identity

Services Engine

Nexus 7000 Nexus 5500 Nexus 1000V Catalyst 6500 Catalyst 4500 Catalyst 3k Catalyst 2960S WLC

Nexus 7000 Nexus 5500 Nexus 2000 Catalyst 6500 Sup 2T Catalyst 3k-X ISR Firewall ASR Firewall ASA Firewall В планах: Catalyst 4k Sup7

Для справки


Classification

Catalyst 3K Catalyst 4K Catalyst 6K

Nexus 7000 WLC (7.2) Nexus 1000v (Q4CY12)

Catalyst 2K

Nexus 5000

Enforcement

N7K / N5K (SGACL)

Cat6K (SGACL)

Cat3K-X (SGACL)

ASA (SGFW) ASR1K/ISRG2 (SGFW)

Transport N7K (SXP/SGT) N5K (SGT) N1Kv (SXP) - Q4CY12

ASR1K (SXP/SGT) ISR G2 (SXP) ASA (SXP)

Cat 2K-S (SXP) Cat 3K (SXP) Cat 3K-X (SXP/SGT) Cat 4K (SXP) Cat 6K Sup2T (SXP/SGT)

Identity Services Engine

Policy Management

WLAN LAN Remote Access

(roadmap)

AnyConnect (Attribute provider)


Data Center Core Layer

DC Aggregation Layer

DC Service Layer

DC Access Layer

Virtual Access

Stateful Firewalling Initial filter for all ingress and egress

Stateful Firewalling Additional Firewall Services for server farm specific protection

Server segmentation IP-Based Access Control Lists VLANs, Private VLANs

Virtual Servers

Physical Servers


Data Center Core Layer

DC Aggregation Layer

DC Service Layer

DC Access Layer

Virtual Access

Security Group Firewalling Автоматизация правил МСЭ используя функции ASA SG-Firewall

Security Group Firewalling Автоматизация правил МСЭ используя функции ASA SG-Firewall

Security Group ACLs • Сегментация, определенная в таблице/матрице политик

• Применяется на 7000/5500 независимо от топологии

Устройство с поддержкой SGACL

Устройство с поддержкой SG Firewall

Virtual Servers

Physical Servers


•  Постоянное виртуальное рабочее пространство

•  Мобильные устройства управляются до того как будет разрешен VDI доступ

•  Создавайте Серверные Зоны для каждой группы виртуальных машин

•  Профили портов применяют политики VLAN, ACL, профили безопасности для ASA и VSG

•  Если уровень доступа поддерживает 802.1X, назначайте SGT

•  NetFlow дает больше контекстной информации

108

Records HR Portal Database

Server Zones

IT Admin Contractor Employee Guest

Application

HVD Zones

Contractor

Network

Guest

Cisco AnyConnect

ASA

SGT = 20 SGT = 30

ASA 1000V

VSG

Nexus 1000V


http://www.facebook.com/CiscoRu http://twitter.com/CiscoRussia http://www.youtube.com/CiscoRussiaMedia http://www.flickr.com/photos/CiscoRussia http://vkontakte.ru/Cisco

[email protected]

Спасибо за внимание!

Просим Вас заполнить анкеты! Ваше мнение важно для нас!

Решения Cisco в области ИБ для центров обработки данных

Technology

Transcript of Решения Cisco в области ИБ для центров обработки данных