Cisco Connect Almaty 2014 - Security Solutions for Data Centers (russian)

Андрей Ключка Системный инженер Cisco CCIE #30274 (Security)

Безопасность Центров Обработки Данных

Безопасность ЦОД

Угрозы, тренды, приоритеты

Архитектура защищенного ЦОД

Безопасность виртуальных контейнеров

Идентификация и применение политик на базе меток SGT

Поиск угроз и корреляция

Заключение

Основные приоритеты обеспечения безопасности ЦОД

Сегментация •  Установление границ: сеть, вычисления, виртуальные ресурсы •  Реализация политики по функциям, устройствам, организациям •  Контроль доступа к сетям, ресурсам, приложениям

Защита от угроз •  Блокировка внутренних и внешних атак •  Контроль границ зоны и периметра •  Контроль доступа к информации, ее использования и утечки

Мониторинг

•  Обеспечение прозрачности использования •  Применение бизнес-‐контекста к работе сети •  Упрощение отчетности по операциям и соответствию

нормативным требованиям

Технологии обеспечения безопасности ДОЛЖНЫ изначально интегрироваться с

технологиями и сервисами ЦОД для поддержки целостности сетевой

коммутационной структуры ЦОД и безопасного предоставления информации и

доступа к ней. Без наложений — безопасность должна быть максимально естественной и всеобъемлющей.

Без перерабо

ток — проект сети должен оставаться оптимальным и неизменным.

Без упр

ощения сети ЦОД!

Бе

з дополнительной потери пакетов

Без компромиссов — ЦОД имеет очень важное значение!

«59% организаций не хватает лабораторных ресурсов или сред тестирования для подтверждения спецификаций поставщиков».

— Институт SANS

«В организациях явно недостаточно четко определенных стандартов, процедур и ресурсов для определения отказоустойчивости критически

важных сетевых устройств и систем.... Необходима методичная проверка отказоустойчивости с использованием комбинации реального трафика,

высокой нагрузки и атак, угрожающих безопасности сети». —SANS и TOGAG

Утвержденные дизайны Cisco дают результаты ЦОД / Утвержденные дизайны защищенного ЦОД Cisco — www.cisco.com/go/vmdc

Межсетевые экраны в ЦОД

Физические МСЭ

•  2 слота (2 RU): FW, FW+IPS or FW+NGFW •  Топовые 5585 обеспечивают 4 10GE порта(SFP+) •  I/O карта или дополнительный IPS module добавляют 4 10GE порта •  Производительность 20 Гбит/с (multiprotocol) на МСЭ •  10M соединенний на МСЭ •  Результаты тестирования BreakingPoint:

http://blogs.ixiacom.com/ixia-blog/cisco-asa-live-validation-with-breakingpoint-firestorm-ctm/

•  Отчет Miercom : http://www.miercom.com/2011/06/cisco-asa-5585-x-vs-juniper-srx3600/

ASA Firewall и фабрика ЦОД

ASA и Nexus Virtual Port Channel §  vPC обеспечивает равномерную загрузку активных

линков (отсутствие заблоированных STP линков) §  ASA использует технологии отказоустойчивости в

ЦОД §  Уникальная интеграция ASA и Nexus (LACP)

IPS модуль использует связность ASA – обеспечивает DPI Проверенный дизайн для сегментации, защиты от угроз и прозрачности операций Работает в режимах A/S и A/A

Уровень агрегации в ЦОД

Active vPC Peer-link

vPC vPC

Core IP1

Core IP2

Active or Standby

N7K VPC 41 N7K VPC 40

Nexus 1000V vPath

Hypervisor Nexus 1000V

vPath

Hypervisor

Core Layer

Aggregation Layer

Access Layers

Внедрение ASA Firewall

Варианты применения

Layer 2!

ASA 5585

Nexus 1000V vPath

Hypervisor

Layer 3!

ASA 5585

Nexus 1000V vPath

Hypervisor Nexus 1000V

vPath

Hypervisor

Clustering!

ASA 5585

Aggregation

Core

МСЭ & виртуальная среда

ASA инспектирует трафик между VLAN

Layer 2 Adjacent!Switched Locally!

Direct Communication!

ASA 5585 Transparent Mode

Aggregation

Core

Hypervisor

Layer 3 Gateway!VRF or SVI !

Inter-VLAN VM Inspection!

Aggregation

Core

Physical Layout!

East-West VLAN filtering!

Кластер ASA

С версии ASA 9.0: •  До 8 ASA в кластере •  обновление ПО без остановки сервиса •  Управление потоками трафика для обеспечения

инспекции •  Отсутствие единой точки отказа •  Синхронизация состояний внутри кластера для

аутентификации и высокой доступности •  Централизованное управление и мониторинг •  Можно начинать с двух МСЭ

Производительность 100+ Гбит/c

2 x

10G

bE D

ata

Traf

fic P

ort C

hann

el

Cluster C

ontrol Link

ASA 9.1.4: •  Inter DC Clustering

Кластер ASA ASA кластер удовлетворяет требования ЦОД

Cluster Control линк обеспечивает обмен информацией внутри

кластера

Aggregation

Core

Hypervisor Hypervisor

Database

Кластер ASA включает Context 1 & 2 в

Transparent режиме

ASA 5585 ASA 5585 ASA 5585 ASA 5585

Aggregation

Core

Физическая схема

Cluster Control Link

Поддерживается transparent, routed, mixed mode

Кластер используется как для North-South так и для

East-West инспекции и фильтрации

Context1 Context2

Проверенный дизайн для FabricPath

Owner! Director!

IPS использует кластер ASA

ASA для Catalyst 6500

Показатель Значение

Производительность шасси 64 Гбит/сек

Производительность модуля 16 Гбит/сек

Одновременных сессий 10M

Новых соединений в секунду 350K

Контекстов безопасности 250

VLANs 1K

Высокий уровень масштабируемости •  Выход за рамки традиционных

решений

•  Наращивание мощностей в соответствии с ведущими отраслевыми системными возможностями

–  64 Гбит/с

–  1 000 виртуальных контекстов

–  4 000 сетей VLAN

•  Поддержка решений для ЦОД, например развертываний частных облачных инфраструктур

Nexus 7000 VDC

Создание эффективной коммутационной структуры ЦОД с возможностью масштабирования Масштабирование сетевой коммутационной структуры — виртуальный контекст (Virtual Device Context, VDC)

Nexus 7000 VDC — виртуальный контекст (до 8 VDC плюс 1 VDC управления — SUP2E с NXOS 6.04/6.1) §  Гибкое разделение и распределение аппаратных ресурсов и программных компонентов §  Полное разделение уровня данных и уровня управления §  Полная локализация программных сбоев §  Безопасно определенные административные контексты §  Каждый физический интерфейс может быть активен только в одном виртуальном контексте (VDC)

Протоколы 2-‐го уровня Протоколы 3-‐го уровня VLAN PVLAN

OSPF BGP EIGRP

GLBP HSRP IGMP

UDLD CDP

802.1X STP LACP PIM CTS SNMP

… …

VDC 1

Протоколы 3-‐го уровня OSPF BGP EIGRP

GLBP HSRP IGMP

PIM SNMP …

VDC 2 Протоколы 2-‐го уровня VLAN PVLAN

UDLD CDP

802.1X STP LACP CTS

…

Виртуальные контексты (VDC)

Доступ

Ядро Ядро

Агрегация

Агрегация

Ядро

Агрегация

Использование VDC для вертикальной консолидации

•  Возможность консолидации уровней ядра и агрегации при одновременном сохранении иерархии сети

•  Без сокращения количества портов или каналов, но с уменьшением числа физических коммутаторов ‒  Медные кабели Twinax (CX-1) являются недорогим вариантом осуществления межсоединений 10G

Один из самых распространенных способов использования VDC

Использование VDC для интернет-периметра, ДМЗ, ядра сети

§  Возможность удовлетворения нескольких потребностей — VDC интернет-периметра (XL), ДМЗ и ядра сети

§  Поддержка модели обеспечения безопасности с логическим разделением

Интернет-периметр (XL)

ДМЗ

Ядро


ДМЗ

Ядро


ДМЗ

Ядро

Интернет

Сертификация безопасности VDC §  Разделение контекстов VDC является сертифицированным отраслевым механизмом защиты от утечки информации

§  Лаборатории NSS для сред, соответствующих стандартам PCI — hJp://www.nsslabs.com

§  FIPS 140-2 hJp://csrc.nist.gov/groups/STM/cmvp/documents/140-‐1/140InProcess.pdf

§  Стандарт Common Criteria Evaluation and Validation Scheme — сертификат №10349 hJp://www.niap-‐ccevs.org/st/vid10349/

IPS и NGIPS

Устройства Cisco IPS серии 4500 •  Специализированные высокоскоростные

устройства IPS

•  Обработка с аппаратным ускорением Regex

•  Развертывания на уровне агрегации ЦОД

•  Один интерфейс Gigabit Ethernet, один интерфейс 10 Gigabit Ethernet и слот SFP

•  Масштабируемость: доступен слот для будущего наращивания мощностей

•  Защита АСУ ТП

Cisco IPS 4510

Производительность •  Реальный средний показатель: 3 Гбит/с •  Реальный диапазон показателей: 1.2-5 Гбит/с •  Транзакционная передача по HTTP: 5 Гбит/с Характеристики платформы: •  2 RU (шасси) •  Многоядерный ЦП корпоративного класса (8

ядер, 16 потоков) •  24 ГБ ОЗУ •  Резервный источник питания •  Аппаратное ускорение Regex •  Открытый слот (в верхней части) для

использования в будущем Места развертывания •  Средние и крупные предприятия •  ЦОД кампуса •  Требуется 3 Гбит/с реальной пропускной

способности IPS •  Требуется резервный источник питания •  Требуется специализированная система IPS

Порт AUX и консоль

Интегрированный ввод-вывод

6 GE Cu

Индикаторы состояния

Порты управления

Отсеки для жесткого диска (пустые)


4 слота 10 GE SFP

2 порта USB

Cisco IPS 4520

Производительность •  Реальный средний показатель: 5 Гбит/с •  Реальный диапазон показателей: 2.5-7.7 Гбит/с •  Транзакционная передача по HTTP: 7,6 Гбит/с Характеристики платформы: •  2 RU (шасси) •  Многоядерный ЦП корпоративного класса (12

ядер, 24 потоков) •  48 ГБ ОЗУ •  Резервный источник питания •  Аппаратное ускорение Regex (x2) •  Открытый слот (в верхней части) для

использования в будущем Места развертывания •  Средние и крупные предприятия •  Центр обработки данных •  Требуется 5 Гбит/с реальной пропускной

способности IPS •  Требуется резервный источник питания •  Требуется специализированная система IPS

Порт AUX и консоль


6 GE Cu

Индикаторы состояния

Порты управления

Отсеки для жесткого диска (пустые)


4 слота 10 GE SFP

2 порта USB

Sourcefire, теперь часть Cisco Знакомьтесь - Snorty

Из этого…

2001

В это…

2002

7030

8270

8260

8250

8140

8120

7120

7110

7020 7010

20 Gbps

10 Gbps

6 Gbps

4 Gbps

2 Gbps

1 Gbps

500 Mbps

250 Mbps

100 Mbps

50 Mbps

IPS Throughput

Mod

ular

Con

nect

ivity

Sta

ckab

le

8130

1.5 Gbps

40 Gbps

30 Gbps

8290

Устройства FirePOWER

7125

750 Mbps 7115

1.25 Gbps

Fixe

d C

onne

ctiv

ity

Mix

ed /

SFP

NG

IPS

/ App

Con

trol

/ N

GFW

/ A

MP

Виртуальный сенсор

Виртуальный центр защиты

Результаты тестов NSS Labs §  высочайшая производительность §  низкая цена за Мбит/с §  энергоэффективность на Мбит/с

Источник: NSS Labs, “Network IPS 2010 Comparative Test Results,” December 2010 and “Sourcefire 3D8260 IPS Appliance Test Report,” April 2011.

Параметры

Ближайший конкурент

Производительность IPS

27.6 Gbps 11.5 Gbps

Цена / Mbps $19 $33

3D8260

Te c h n o l o g y Лидеры квадрата Gartner

Безопасность виртуализации: Сетевые сервисы

Проблемы безопасности в виртуализации

•  Трафик между VM •  Консолидация ресурсов создает сложную среду для выявления и устранения неисправностей

•  vMotion и аналоги могут нарушать политики

•  Разделение полномочий админов серверов, сети и безопасности

•  Проблемы переноса политики с физических серверов на виртуальные

Hypervisor

Угроза распространяется через внутреннюю сетьI

Initial Infection

Secondary Infection

Роли и Ответсвенность

Изоляция и сегментация

Управление и мониторинг

Управление политиками виртуальной сети

Nexus 1000V §  Поддерживает текущую модель работы с профилями портов

§  Обеспечивает работу политик безопасности через VLAN изоляцию и сегментацию, Private VLAN, списки доступа Port-based Access Lists, интегрированные функции безопасности

§  Обеспечивает контроль за виртуальными машинами с использованием традиционных сетевых функций таких как ERSPAN и NetFlow

Network Team

Server Team

Управление и мониторинг

Роли и ответственность

Изоляция и сегментация

Security Team

Nexus 1000V

Профили портов

port-profile vm180 vmware port-group pg180 switchport mode access switchport access vlan 180 ip flow monitor ESE-flow input ip flow monitor ESE-flow output no shutdown state enabled interface Vethernet9 inherit port-profile vm180 interface Vethernet10 inherit port-profile vm180

Port Profile –> Port Group vCenter API

Nexus 1000V поддерживает:

ü  ACLs

ü  Quality of Service (QoS)

ü  PVLANs

ü  Port channels

ü  SPAN ports

VDC vApp

vApp

VDC

Nexus 1000V vPath

vSphere

Наблюдаемость: мониторим трафик между VMs с помощью физических IDS и анализатора

NetFlow Analyzer

ERSPAN DST

ID:1

ID:2 Aggregation

Zone B Zone C

Intrusion Detecqon

NetFlow SPAN

Для снятия трафика используем коммутатор Nexus 1000V с поддержкой •  NetFlow v9 •  ERSPAN/SPAN Используем для детектирования •  атак между серверами •  нецелевого использования ресурсов •  нарушения политики безопасности Нужно быть готовым к большому объему трафика

Виртуальные МСЭ

•  Виртуальные МСЭ – программные МСЭ оптимизированные для работы на гипервизоре

•  У Cisco есть два решения: Virtual Security Gateway (VSG) и ASA1000V

•  Оба требуют Nexus 1000V с “Advanced” лицензией

•  Виртуальные МСЭ зависят от ресурсов CPU и памяти RAM

Apply hypervisor-based network services

Network Admin

Security Admin

Server Admin

vCenter Nexus 1KV NSC

Nexus 1000V vPath

VSG

ASA 1000V

Hypervisor

UCS

Сервисы безопасности для виртуализации

•  Защищает трафик между виртуальными машинами одного заказчика

•  Layer 2 МСЭ для защиты трафика east-to-west

•  Списки доступа с сетевыми атрибутами и атрибутами виртуальной машины

•  Фильтрация на базе первого пакета с ускорением через vPath

•  Защита границы сети заказчика •  Шлюз по умолчанию и Layer 3 МСЭ для защиты трафика north-to-south

•  МСЭ функционал включает списки доступа, site-to-site VPN, NAT, DHCP, инспекцию, IP audit, VXLAN шлюз.

•  Все пакеты проходят через Cisco ASA 1000V

Cisco® VSG Cisco ASA 1000V

Безопасность Intra-Tenant

Безопасность на границе

Nexus 1000V vPath

Hypervisor

Архитектура многоуровневых приложений

По-уровневое внедрение •  Архитектура многоуровневых приложений •  Требования по внедрению •  Может состоять из

•  Web (presentation) уровня •  Уровень приложений •  Уровень БД

•  Сервисы WEB и приложений обычно на разных физических серверах и иногда на одном

•  Обычная схема работы клиент->web->приложение->база данных

•  Нет прямого обращения клиента к базе данных •  Часто используются технологии кластеризации

Web!Server!Web!Server!

Permit Only Port 80(HTTP) of Web

Servers

Permit Only Port 22 (SSH) to application

servers

Only Permit Web servers access to Application servers

Web!Client!

Web-zone

DB!server!DB!server!

Database-zone

App!Server!App"Server!

Application-zone

Only Permit Application servers access to Database servers

Block all external access to database

servers

Physical Firewall!

Protected VRF!

Secure Container!

Виртуальный МСЭ на границе контейнеров

На ASA 1000V доступны 4 интерфейса Ethernet interfaces для данных и отказоустойчивости: один для управления, 2 для трафика, 1 для failover

§  Management 0/0 §  Data GE 0/0, 0/1 §  Failover GE 0/2

ASA 1000V поддерживает только статическую маршрутизацию ASA 1000V использует и таблицы маршрутизации, и трансляций (XLATE) для пересылки пакетов

Интерфейсы и обработка

Layer 3!

Hypervisor

Protected VRF!10.1.1.254

10.1.1.252 10.1.1.253

Nexus 1000V vPath

ASA 1000V

ASA1000V(config)# route outside 172.18.30.0 255.255.255.0 10.1.1.254!ASA1000V(config)# route outside 0 0 10.1.1.254!ASA1000V(config)# route outside 0 0 172.18.50.1 tunneled!

172.18.30.x

172.18.50.1

Управление политиками Cisco Prime Network Services Controller aka VNMC

Nexus 1000V Distributed Virtual Switch

VM VM VM

VM VM

VM

VM VM VM

VM

VM

VM VM

VM VM VM

VM

vPath

Initial Packet Flow

ASA Outside

Inside

ASA inline Enforcement

3

vPath Encap links Traffic Path

VSG

Traffic flow after first packet

2

4

vPath - поочередное выполнение сервисов VSG и ASA 1000v Из Inside в outside

1

5

Citrix NetScaler 1000V на Nexus 1110

VSM = Virtual Supervisor Module DCNM = Data Center Network Manager

Nexus 1000V

vPath

Any Hypervisor

VM VM VM

•  Citrix лучший в своем классе Контроллер предоставления виртуальных приложений (virtual application delivery controller - vADC)

•  Продается и поддерживается Cisco •  Интеграция с Nexus 1110/1010, vPath

Cisco Cloud Network Services (CNS) Citrix

NetScaler 1000V

Prime virtual NAM

Imperva SecureSphere

WAF

Virtual Security Gateway

Nexus 1110 Платформа Облачных Сервисов

VSM VSM DCNM*

Citrix NetScaler

1000V

NetScaler 1000V – Поддерживаемый функционал обеспечения безопасности

Безопасность приложений Platinum Edition

Enterprise Edition

Standard Edition

L7 фильтрация контента и перезапись HTTP/URL

X X X

Коннектор XenMobile NetScaler X X X

Поддержка SAML2 X X X Защита от DoS X AAA для Управления Трафиком X X Защита от атак 0 дня Х МСЭ приложений Citrix с поддержкой XML X

https://www.citrix.com/products/netscaler-application-delivery-controller/features/editions.html Сравнение редакций:

vPath - поочередное выполнение сервисов VSG и Citrix Netscaler 1000v

Cisco Nexus 1000V Distributed Virtual Switch

VM VM VM

VM VM

VM

VM VM VM

VM

VM VM VM

VM VM VM VM

Cisco vPath

Cisco VSG

1 2

3

45

Use Case 2: SLB/WAF & VSG

Netscaler 1000v

Представляем новинку - Cisco ASAv

Cisco® ASAv

Проверенное аппаратное решение безопасности от Cisco теперь в виртуализированной среде

Открытая архитектура Multi-hypervisor

Multi-vswitch

Открытые API

Гибкая модель лицензирования

Развитие линейки ASA

Кластеризация и мультиконтекст

ASAv Аппаратная ASA

Transparent Не-vPATH

Кластеризация Мультиконтекст

ASA1000V

ASAv Сравнение функционала с физической ASA

Функционал ASA

ASAv

Нет кластеризации и мультиконтестности

•  Соответствие функционала физической ASA •  Масштабирование через виртуализацию •  До 10 vNIC интерфейсов •  Программная криптография

•  SDN и традиционные методы управления •  Масштабируется до 4 vCPUs и 8 GB памяти •  Возможность поддерживать 1 политику на физических и виртуальных ASA

ASAv – Гибкое лицензирование

Бессрочный контракт до прекращения

Сервис провайдер

На основе использования (часы кол-во ядер)

По факту (по-месячно / по-квартально)

На основе использования

Срок

Заказчик

Модель лицензирования

Биллинг

Повременное

1 год

Предприятие

Традиционная оплата

Предоплата

3 год 5 год

Сегментация для ЦОД: TrustSec

Почему TrustSec ?

•  Упрощение политик

•  Снижение сложности дизайна контроля доступа и сегментации

•  Автоматизация управления правилами на МСЭ в средах ЦОД

•  Снижение нагрузки на отдел ИБ

•  Использование функций сетевой инфраструктуры для безопасности

•  Распределенные внедрения и масштабируемость

•  Поддержка в том числе и не виртуализированных сред

47

Работа TrustSec

1.  Запрос на доступ в сеть

2.  Разрешение + атрибуты доступа (VLAN, ACL,

SGT, MacSec)

3.  Трафик с метками SGT

4.  МЭ - фильтрация трафика на основе меток

групп

0. Категорирование пользователей и ресурсов

Сервер Б Сервер A

Пользователь А Пользователь Б

200

ISE

Канальное шифрование

300

20 30

access-list DCin permit tcp ... SGT 30 any SGT 300 eq sql

ЦОД с подержкой TrustSec

Data Center Core Layer

DC Aggregation Layer

DC Service Layer

DC Access Layer

Virtual Access

SGACL enabled Device

SG Firewall enabled Device

Virtual Servers

Physical Servers

Применение политик SGA На Nexus 7000 ASA с использованием средств автоматизации

Применение политик SGA На Catalyst 6500, ASASM с использованием средств автоматизации

Security Group ACLs • Определение правил сегментации в таблице • Применение на Nexus 7000/5500/2000 независимо от топологии

Security Group классификация • Nexus 1000V может классифицировать и присваивать метки SGT и использовать SXP для отправки на устройства фильтрации

§ Защита от MitM-аттак

§ Шифрование по стандарту AES-GCM (AES-128)

§ Шифрование/Дешифрование на каждом устройстве

§ Проверка целостности

Конфиденциальность и целостность

2/25/14 © 2013 Cisco and/or its affiliates. All rights reserved. 50

DST 802.1AE Header

802.1Q

CMD ETYPE

ICV

CRC

MISEec EtherType

TCI/AN SL

Packet Number

SCI (optional)

Encrypted Authenticated

0x88e5

SRC PAYLOAD

Version

Length

CMD EtherType

SGT Opt Type

SGT Value

Other CMD Options

Централизованное управление политиками

permit tcp dst eq 443 permit tcp dst eq 80 permit tcp dst eq 22 permit tcp dst eq 3389 permit tcp dst eq 135 permit tcp dst eq 136 permit tcp dst eq 137 permit tcp dst eq 138 permit tcp des eq 139 deny ip

Portal_ACL Portal_ACL

Определение политик – ISE

Cisco Cyber Thread Defense: Прозрачность операций и защита от угроз для ЦОД

Безопасность периметра – не панацея

Устройства периметра

Контроль и управление

Сетевая разведка и распространение

Кража данных

Целевые угрозы зачастую обходят

периметр

Только вся сеть целиком имеет достаточный уровень наблюдаемости для

выявления сложных угроз

© 2013 Cisco and/or its affiliates. All rights reserved.

TrustSec Enabled

Enterprise Network

Identity Services Engine

NetFlow: Switches, Routers, и ASA 5500

Контекст: NBAR/AVC

Cisco Cyber Threat Detection - повышает эффективность и действенность анализа и обеспечивает ключевое понимание внутренней активности в сети

Flow

Телеметрия NetFlow Cisco Switches, Routers и ASA 5500

Данные о контексте угрозы Cisco Identity, Device, Posture, Application

Cyber Threat Defense = Cisco + Lancope


Обнаружение утечек

55

NetFlow как инструмент безопасности

§  Сбор и корреляция NetFlow данных

§  Обнаружение и идентификация канала утечки

55

ASA 5585!

vPath

Hypervisor

Aggregation!

Nexus 1000V!Virtual Security Gateway!

Secure Container!

Virtual Flow Sensor!

Flow Collector!

StealthWatch

Management Console

Cisco NetFlow

1. Инфицированные хосты открывают соединения и экспортируют данные

2. Ифраструктура генерирует записи события используя Netflow

3. Сбор и анализ данных Netflow

4. Сигнал тревоги о возможной утечке данных

3. Сбор и анализ данных Netflow

Компоненты решения Cyber Threat Defense

Cisco Network

StealthWatch FlowCollector

StealthWatch Management

Console

NetFlow

StealthWatch FlowSensor

StealthWatch FlowSensor

VE Users/Devices

Cisco ISE

NetFlow

StealthWatch FlowReplicator

Другие коллекторы

https

https

NBAR NSEL


Пример: определение утечки информации

Customizable “Data Loss” Alarm Alarm Delivers Alerts Prioritized by Severity Level

Глубокий анализ данных Объем переданного трафика и % исходящего трафика

Опрос Cisco ISE для поиска пользователя, группы, Posture, Device Profile

Query Cisco SenderBase for Host Reputation Information

Опрос Cisco SenderBase для определения репутации хоста

57

Решаемые задачи

•  Обнаружение брешей в настройках МСЭ •  Обнаружение незащищенных коммуникаций •  Обнаружение P2P-трафика •  Обнаружение неавторизованной установки локального Web-сервера или точки доступа

•  Обнаружение попыток несанкционированного доступа •  Обнаружение ботнетов (командных серверов) •  Обнаружение атак «отказ в обслуживании» •  Обнаружение инсайдеров •  Расследование инцидентов •  Обнаружение неисправностей


Ссылки на полезные материалы по теме

Cisco Validated Design: http://www.cisco.com/go/cvd VMDC: http://www.cisco.com/go/vmdc Cisco Secure Data Center for Enterprise Solution: First-Look Guide: http://www.cisco.com/en/US/solutions/collateral/ns340/ns414/ns742/ns744/docs/sdc-dg.pdf Cisco Secure Data Center for Enterprise Design Guide: http://www.cisco.com/c/en/us/td/docs/solutions/Enterprise/Security/SDC/DG/SDC_DesignGuide/SDC_DG_2013-11-25_v10.html TrustSec Design Guide (текущая версия 2.1) http://www.cisco.com/en/US/solutions/ns340/ns414/ns742/ns744/landing_DesignZone_TrustSec.html Cisco Cyber Threat Defense for the Data Center Solution: First Look Guide: http://www.cisco.com/en/US/solutions/collateral/ns340/ns414/ns742/ns744/docs/ctd-first-look-design-guide.pdf ASA Clustering / Testing: http://www.cisco.com/en/US/docs/solutions/Enterprise/Data_Center/VMDC/ASA_Cluster/ASA_Cluster.html PCI Compliance Letter: http://www.cisco.com/en/US/docs/solutions/Enterprise/Data_Center/VMDC/2.2/Cisco_PCI_Compliance_Letter.pdf FISMA Compliance: http://www.cisco.com/en/US/docs/solutions/Enterprise/Data_Center/VMDC/SecureState/VMDC_SecureState.pdf

Пожалуйста, заполните анкеты. Ваше мнение очень важно для нас.

Спасибо

Напишите мне: Андрей Ключка [email protected] +7 (727) 2442138

Дополнительные материалы

Физические или виртуальные серверы ДМЗ периметра

Периметр ЦОД

Интернет / внешняя сеть

Ядро ЦОД (маршрутизация)

Уровень агрегации ЦОД Уровень 2

Уровень 3

КЛАСТЕР МСЭ

Вычислительная зона ДМЗ

Пункт доставки

Виртуальные серверы ДМЗ

Ядро BGP/OSPF

ASA A/S HA

Уровень виртуального доступа

VRF – DMZExt

VRF-‐ DMZExt

VRF – DMZExt

VRF – DMZExt

CTX1 CTX1

VL900

Выделенные блейд-‐серверы

CTX CTX

VL900

ДМЗ VLAN90 172.16.90.0/24

vDMZ 172.16.90.0/24

VL900

VL999 VL999

VL999 VL999

VL90 VL999

Устройства ASA периметра, работающие под управлением стандартного A/S HA, —отказоустойчивые ASA периметра — наряду с vPC могут использовать избыточный интерфейс, чтобы сократить вероятность аварийного переключения при высокой доступности. ASA периметра реализуют прозрачный контекст вирт. МСЭ сети VLN для ДМЗ, соединяя VL90 (ДМЗ) с VL999 (N7000 vRF). Некоторые серверы ДМЗ могут физически находиться в коммутаторе ДМЗ, тогда как другие серверы будут предоставляться с уровня виртуального доступа. Nexus 7000 передает трафик с VL999 через vRF – DMZExt, перемещает пакеты через маршрутизируемый уровень ядра на уровень распределения. Запрос или отклик ARP из VLAN 90 передается по каналам на уровень виртуального доступа. Кластеризованные ASA на уровне распределения связывают VL999 (DMZExt vRF) с VL900, местом, где существуют виртуальные серверы ДМЗ. Здесь будет реализована политика безопасности, ограничивающая доступ только к подсетям ДМЗ по сети, сервису или приложению. Для обеспечения безопасности (соответствия требованиям) на уровне виртуального доступа рекомендуется использовать выделенное серверное оборудование. Можно создать дополнительные профили портов и использовать шлюз Virtual Security Gateway (VSG) для зонирования «восток-‐запад» между ВМ в ДМЗ. Для дальнейшего разделения на уровне пакетов можно использовать метки групп безопасности.

Пример схемы «Плавательная дорожка» для виртуальной ДМЗ

DMZ Subnet(172.16.90.0/24)VLAN90 <-‐> vFW(BVI) <-‐>VLAN999<-‐>vRF DMZExt <-‐> VLAN999 <-‐> vFW(BVI)<-‐>VLAN900/ DMZ Subnet(172.16.90.0/24)

Внешнее зонирование

Пример внутреннего зонирования для разработки — вариант 1 Физическое разделение Модель может использоваться для тестирования нагрузки на приложение. Если требуется выделенный путь через уровень ядра, рекомендуется использовать DEV vRF. Если требуется выделенный периметр, рекомендуется использовать контексты вирт. МСЭ на устройствах ASA периметра или отдельную (низкого уровня) пару ASA. DEV VDC, созданный в Nexus 7000, присоединенный к CORE VDC и поддерживающий собственную дочку доставки. ASA на уровне агрегации могут быть настроены несколькими способами. 1. Один кластер ASA с отдельными контекстами вирт. МСЭ для зон DEV — порты на ASA должны быть физически подключены к каждому VDC. 2. Отдельные кластеры ASA с контекстами вирт. МСЭ или без них. В вычислительной структуре создается зеркальная серверная среда для функционирования DEV в собственной точке доставки.



VDC ядра ЦОД (маршрутизация)

VDC уровня агрегации производства

Уровень 2

Уровень 3



Ядро BGP/OSPF

ASA A/S HA

Уровень виртуального

доступа

Виртуальный коммутатор

Гипервизор

VDC уровня агрегации разработки


CTX CTX

Виртуальный коммутатор

Гипервизор

DEV VRF

DEV VRF

DEV VRF

Вычислительная зона разработки

Вычислительная зона производства

CTX



VDC ядра ЦОД (маршрутизация)

VDC уровня агрегации Уровень 2

Уровень 3


Ядро BGP/OSPF

ASA A/S HA

Уровень виртуального доступа

Пример внутреннего зонирования для разработки — вариант 2 Виртуальное разделение

В модели виртуального разделения используется общая физическая инфраструктура (Nexus) для маршрутизации и транспорта данных. ASA используются для разделения трафика разработки и производства. Виртуальные ресурсы могут использовать общее физическое серверное оборудование и точку доступа. Обеспечение безопасность осуществляется аналогично действиям в защищенной многопользовательской среде.

Cisco Connect Almaty 2014 - Security Solutions for Data Centers (russian)

Technology

Transcript of Cisco Connect Almaty 2014 - Security Solutions for Data Centers (russian)