Uploaded byCisco Russia
Защита центров обработки данных
Документ описывает архитектуру и безопасность современных центров обработки данных (ЦОД) без границ, подчеркивая важность динамичного и контекстно-зависимого периметра. Обсуждаются ключевые элементы информационной безопасности, такие как контроль доступа, защита данных и соответствие нормативным требованиям, а также роль виртуализации и масштабируемости в создании защищенных ЦОД. Рассматриваются технологии защиты, включая механизмы аутентификации и мониторинга для обеспечения безопасности инфраструктуры.
More Related Content
![6. презентация усо для генерального директора []](https://cdn.slidesharecdn.com/ss_thumbnails/6-130322023010-phpapp02-thumbnail.jpg?width=640&height=640&fit=bounds)
Similar to Защита центров обработки данных
Защита центров обработки данных
- 1. Защищенный центр обработки данных без границ Алексей Лукацкий Бизнес-консультант по безопасности Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential
- 2. Основные предпосылки Давление, оказываемое на современные ЦОД, 1 приводит к пересмотру границ ЦОД и подходов к его ИБ "Без границ" не значит "без периметра" — 2 напротив, это значит "динамический, интеллектуальный, контекстно-зависимый периметр" Масштабируемость и 3 простота, открытость, виртуализация и распределенные сетевые сервисы — основные элементы архитектуры защищенного ЦОД "без границ" Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 3/75
- 3. Архитектура системы безопасности сети без границ Политика Политика 4 (Контроль доступа,допустимое использование, вредоносное ПО, защита данных) без границ Корпоративный периметр Платформа Инфраструктура ЦОД Приложения как сервис как сервис X 3 и данные ПО как сервис как сервис Центральный офис без границ Интернет 2 зоны без границ Филиал Оконечные Аэропорт Домашний офис 1 Мобильный Кафе пользователь Атакующие Партнеры Заказчики Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 4/75
- 4. Современный ЦОД Давление со всех сторон Соответствие нормативным требованиям Быстрое Внутренние выделение пользователи ресурсов Мобильные Совместно пользователи Пользователи ЦОД Доступ работающие приложения Внешние к сервисам Гибкость пользователи сервисов Атакующие Производительность приложений Оптимизация эксплуатации Глобальная доступность Защита Использование окружающей ресурсов среды Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 5/75
- 5. Эволюция ЦОД Новые тенденциивлияют на архитектуру ЦОД Распределенность Контроль доступа; масштабируемость Виртуализация Консолидация; оптимизация; гибкость Открытость Защищенный доступ мобильных и внешних пользователей Масштабируемость и простота Масштабирование емкости и производительности в соответствии с бизнес-требованиями 2000 2005 2010 2015 Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 6/75
- 6. Сложности обеспечения ИБв ЦОД Виртуализация Сети хранения Приложения Утечки данных Соответствие Доступность Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 7/75
- 7. Предыдущее целостное видение Cisco для центров обработки данных Серверная L2/L3 Сеть хранения Frontend и приложения ферма сеть Clustered Servers Resilient Security Application Business IP Networking Applications Application Control VPN Engine SAN Основной ЦОД Disk SSL Firewall Infiniband GSS IDS NAS Tape Anomaly Detect/Guard Wide Area Application Services IBM GE/ WAFS 10GE Metro Network WAN Optical/Ethernet WAAS MDS Clients ONS 15000 9216 Резервный ЦОД Филиал Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 8/75
- 8. Ключевые элементы ИБ 1 Безопасность периметра ЦОД 2 Безопасность сети хранения данных (SAN) 3 Безопасность на уровне Nexus / Catalyst 4 Безопасность виртуализации 5 Безопасность ЛВС ЦОД Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 9/75
- 9. Общие принципы безопасностиЦОД Presentation_ID © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Public 10
- 10. Сначала было так Примеротказоустойчивого многофункционального внедрения Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 11/75
- 11. Потом стало так:появление контекстов Мониторинг, безопасность и LB Web-серверы Группирует коммутаторы доступа и восходящие каналы связи в ядро Серверы приложений Развитые приложения и функции безопасности, разделяемые между серверами из разных стоек / соединенных с разными Серверы баз данных коммутаторами доступа Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 12/75
- 12. Архитектура современного ЦОД Уровеньядра NEXUS 7000 Уровень распределения MDS- Services Storage NEXUS 7000 Ex. Catalyst 6500 vPC & VDC w ww NEXUS 7000 NEXUS vPC 5000 NEXUS 2000 Expanded Memory NEXUS 1000v VM VM NEXUS VM VM VM VM 1000v VM VM VM VM VM VM VM VM Virtual Adapter VM VM VM VM VM VM VM VM VM VM Nexus 5000 10 GE Nexus 7000 N2K / N5K N2K / N7K Unified Compute FCoE 1/10GE 1 GE 1 GE Уровень доступа Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 13/75
- 13. Как обеспечить ИБ? Распределение информационных активов по их критичности: Что поддерживает Ваш бизнес? Как Вы зарабатываете деньги? Равносильна ли потеря данных или конфиденциальности потере $? Каким регулирующим требованиям Вы должны соответствовать? Как Вы защищаете данные критичные для бизнеса? Как подержать высокую репутацию бренда и не оказаться в скандальных заголовках газет? Ответив на эти вопросы мы можем сформулировать какой должна быть система ИБ Presentation_ID Cisco Systems, Inc. All rights reserved. © 2006 © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 14 14/75
- 14. Полный жизненный циклбезопасности Система безопасности – один из элементов жизненного цикла системы Потребности бизнеса Нужды Анализ Какие операции хочет осуществлять ваша бизнеса риска организация с сетью? Анализ риска Каково соотношение риска и затрат? Политика безопасности Политические Политика безопасности правила, принципы, стандарты Каковы политические правила, стандарты и рекомендации по удовлетворению потребностей бизнеса и снижению риска? Лучший Технологии Лучший отраслевой практический опыт отраслевой безопасности опыт Каковы надежные, хорошо понятные и рекомендуемые лучшие практические приемы обеспечения безопасности? Операции безопасности Операции обеспечения безопасности Разрешение инцидентов, мониторинг и сопровождение, Реакция на проверки соответствия инциденты, мониторинг, сопровождение и Presentation_ID соответствия системы. rights reserved. аудит © 2009 Cisco Systems, Inc. All Cisco Confidential 15/75
- 15. Среда управления ИБ,созданная Cisco Cisco SAFE Next Generation Цели безопасности Действия Введение единой терминологии и таксономии Идентификация Обеспечение Контроль согласованности решений и Мониторинг сервисов Обнаружение, мониторинг, сбор, обнаружение и Корреляция Особое внимание вопросам классификация пользователей, эксплуатации трафика, приложений и протоколов сетей, созданных в Защита соответствии с архитектурой Управле- ние Изоляция Помогает идентифицировать векторы угроз и выбрать Защита, повышение Выполнение технические средства надежности, ограничение доступа и изоляция защиты устройств, Описание пользователей, трафика, действий, обеспечивающих приложений и контроль и управление протоколов Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 16/75
- 16. ―Ключевые области‖ безопасности Все они могут быть применены к конечной точке, к приложению, к сети или к целому ЦОД Защита Идентифи- Это сфокусированный соединений кация и способ реализовать управление требуемые критерии доступом безопасности Управление Выявление и безопасностью Помогает лучше понять устранение различные технологии и их угроз оптимальную синергию Защита Из-за ограниченности инфраструктуры времени мы не будем рассматривать защищенные соединения. Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 17/75
- 17. Общий подход кзащите ЦОД Вчера? Сегодня! И завтра!? •Идентификация и контроль доступа: 802.1x, списки доступа, МСЭ •Обнаружение и предотвращение атак: NetFlow, Syslog, SNMP, MARS, IDS, IPS •Защита инфраструктуры: AAA, CoPP, SSH, uRPF, SNMP v3, IGP/EGP MD5, L2 security features •Защита приложений: ASA, ASA-CX, WSA, IPS •Управление безопасностью: CSM Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 18/75
- 18. Подходы одинаковые везде Безопасность сетей хранения VLAN VSAN ACL hard/soft zoning Ethernet Port Security FC Port Security IPSec FCSec, как часть FC-SP И т.д. Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 19/75
- 19. Безопасность периметра ЦОД Presentation_ID © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Public 20
- 20. Набор решений Ciscoдля защиты периметра ЦОД Cisco Secure X Компоненты системы защиты Управление безопасностью Cisco ISE, CSM управляют безопасностью Защита приложений ASA, ASA- CX, IPS, IronPort обеспечивает защиту приложений Защита контента Решения IronPort защищают контент ASA, IPS в канале Защита сети передачи данных защищают сеть Защита инфраструктуры реализуется на Защита инфраструктуры маршрутизаторах, коммут аторах и МСЭ Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 21/75
- 21. Безопасность ЛВС ЦОД Presentation_ID © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Public 22
- 22. Арсенал ИБ коммутаторов Catalyst с IOS/CatOS или Nexus с NX-OS Базовая безопасность Списки контроля доступа Cisco Express Forwarding Control-plane Rate Limiting Scavenger-Class Queue Port Security Broadcast Suppression BPDU-Guard/Root-Guard и т.д. Расширенная безопасность МСЭ, IPS, IPSec VPN, балансировка нагрузки и т.д. (пока только для Catalyst 6500) February 2003, v1 Presentation_ID © 2003, Cisco Systems, Inc. All rightsAll rights reserved. © 2009 Cisco Systems, Inc. reserved. Cisco Confidential 23 23/75
- 23. Технологии защиты инфраструктуры Защита уровня Защита STP root guard управления (CoPP) AAA CLI Инфраструктурные SSH списки ACL SNMPv3 Антиспуфинг RFC2827 Ограничители скорости uRPF Планировщики ресурсов Динамическое инспектирование ARP Отслеживание DHCP Механизм защиты BPDU Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 24/75
- 24. Технологии выявления иподавления угроз Системы предотвращения Syslog вторжений на базе сетей Системы корреляции (NIPS) событий Устройства адаптивной безопасности (ASA) Система мониторинга, анализа и IPS ответных мер (MARS) Cisco IOS IPS Ловушки SNMP NetFlow Удаленный мониторинг «Черные дыры» с Захват пакетов удаленной инициацией Маршрутизация со сбросом Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 25/75
- 25. Технологии идентификации и управления доступом Управление доступом в Безопасность портов сеть (NAC) Web-аутентификация NAC на базе маршрутизатора NAC на базе коммутатора Обход аутентификации Устройство NAC Mac (Clean Access) Списки управления IEEE 802.1x/Cisco IBNS доступом (ACL) VMPS Межсетевые экраны Инспектирование параметров X-Auth состояния Lock and key Инспектирование приложений AAA RADIUS и TACACS+ Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 26/75
- 26. Безопасность SAN Presentation_ID © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Public 27
- 27. Проблемы безопасности SAN Целостность и безопасность данных Управление SAN Протокол безопасности Доступ в SAN SAN Доступ к системам хранения Протоколы SAN Target Сеть Хранения IP сеть хранения Целостность и Безопасность конфиденциальность доступа к данных Безопасность системам хранения доступа к SAN iSCSI Безопасность IP SAN Безопасность (iSCSI/FCIP) управления SAN Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 28/75
- 28. Управление SAN: угрозы Нарушение процесса коммутации Результат: Коммутатор не может реагировать на события в сети Нарушение стабильности сети Результат: Отказ сервиса, незапланированный простой Нарушение целостности и Out-of-band конфиденциальности управление Результат: Повреждение LUN, повреждание данных, кража или потеря данных Случайные или намеренные вредоносные управляющие действия Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 29/75
- 29. Управление SAN: безопасность • Authentication, Authorization, Account SAN Management Security Infrastructure ing (AAA) всех действий • RADIUS/TACACS+ Сеть Управления IP-over-FC, резервное соединение • Syslog • SNMP Traps • CallHome (SMTP) RADIUS • Ролевое управление контролем доступа Out-of-band Управление • Безопасный транспорт для TACACS+ по сети Ethernet управления • SSH • SNMPv3 • SSL/TLS SNMP • Контроль доступа интерфейсов управления NTP Cisco Fabric Manager MDS 9000 NX-OS CLI SNMPv3 SSH/SFTP • Согласованность политик NTP switch> config t безопасности для всех switch(config)> analyzer on switch(config)> exit switch> коммутаторов сети хранения Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 30/75
- 30. Доступ к SAN:угрозы Повреждение данных приложений Результат: Незапланированный простой, потеря данных Нарушение целостности LUN Результат: Подключение Доступ к системам Незапланированный серверов хранения простой, потеря данных Снижение производительности приложений Результат: Незапланированный простой, низкая производительность В/В Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 31/75
- 31. Безопасность Fibre Channel Зонирование FC обеспечивает разделение между системами хранения Режим порта предотвращает формирование ISL на edge портах Port Security помогает защищаться от подмены WWN Виртуальные SAN (VSAN) обеспечивают разделение между виртуальными сетями FC Security Protocol (FC-SP) финальный шаг для безопасности FC Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 32/75
- 32. Доступ к SAN:зонирование FC D1 D2 D3 D4 Zone D3D4 Zone H2_D1 Zone T1 H1_D1 Zone H5_T1 H1 H2 H3 H4 H5 FC FC FC FC FC Zone H3H4_D2D3 Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 33/75
- 33. Доступ к SAN:зонирование FC Зоны состоят из одного или более элементов Элементы зоны могут быть: Port WWN устройства (индивидуально для интерфейса) Node WWN устройства (глобально для устройства) Port WWN порта коммутатора Коммутатор + Интерфейс Символическое Имя (iSCSI) Один или более элементов могут определяться псевдонимами (Alias) WWN + LUN Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 34/75
- 34. Доступ к SAN:зонирование FC Зоны обеспечивают разделение групп хостов и систем хранения в SAN Некоторые операционные системы пытаются записать метку на все обнаруженные диски, вызывая потерю или порчу данных Зонирование обеспечивает разделение, но не имеет какой–либо аутентификации Обход зонирования путем имперсонации устройства (WWN spoofing) возможно и достаточно просто http://www.emulex.com/ts/fc/docs/wnt2k/2.00/pu.htm Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 35/75
- 35. Доступ к SAN:зонирование FC Soft Zoning Сеть ограничивает информацию элементам, не входящим в зону На программном уровне Устройство входит в сеть и опрашивает сервер имен, какие устройства доступны; и получит информацию только о тех устройствах, которые входят в те же зоны Hard Zoning Сеть не передает трафик элементам, не входящим в зону На аппаратном уровне, для каждого фрейма Стандарт не определяет проверять ли входящие или исходящие фреймы Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 36/75
- 36. Зонирование в CiscoMDS 9000 Зонирование в коммутаторах Cisco MDS реализовано на аппаратном уровне fWWN-1 fWWN-3 Вне зависимости от использования WWN и Port_ID-1 Port_ID-3 Port_ID в одной зоне—все на аппаратном уровне 1 pWWN-1 pWWN-3 WWN переводятся в FCID для фильтрации fWWN-2 fWWN-4 Port_ID-2 Port_ID-4 фреймов 2 pWWN-4 Выделенные высокоскоростные фильтры (TCAM) проверяют все фреймы на аппаратном pWWN-2 FCID-2 Аппаратная WWN переводятся в фильтрация уровне на каждом порту FCID для фильтров фреймов (TCAM) До 20,000 правил состоящих из зон и элементов зоны Зона А Фильтрация на полной линейной скорости— (активная) никакого влияния вне зависимости от количества зон или элементов зон Оптимизированная программация при активации набора зон — инкрементальные обновления * SCN сохраняются в пределах зон в VSAN Для добавления нового хоста в Зону А и активации, добавочные Выборочное поведение ―Default zone‖ — по элементы TCAM программируются умолчанию deny (индивидуально для VSAN) на соответствующие порты – без прерывания работы существующих зон Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 37/75
- 37. Улучшенное зонирование Cisco Зонирование LUN это возможность Зонирование LUN позволяет зонировать инициатор и часть LUN контролировать доступ к конкретным LUN на системе хранения Зона А 1 X Сервер может обнаружить все LUN, но подключиться только к LUN, входящим в 2 X зону X X pWWN-1 pWWN-2 X X Недоступные LUN отсеиваются X X коммутатором на входящем порту Предоставляет мощное решение совместно с маскированием LUN в report_LUN системах хранения для увеличения 10 LUNs available безопасности сети report_size LUN_1 LUN_1 50GB Случайное открытие LUN report_size LUN_3 предотвращается сетью LUN_3 is unavailable Зонирование Read-Only использует аппаратную обработку фреймов Зоны read-only не позволяют посылать Семейства MDS 9000 команды ‗write‘ к системам хранения Фильтрует управляющие фреймы FC4 Media Server Зона А по признаку является ли команда чтением или записью Для систем, которым необходимо только чтение с дисков, таких как мультимедиа Streaming сервера Server * Зона B (read-only) Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 38/75
- 38. Протокол Fibre Channel:угрозы Rogue Switch Нарушение стабильности сети Результат: Незапланированный простой, нестабильность сети Нарушение безопасности данных Результат: Незапланированный Целостность управляющего простой, потеря данных протокола Снижение производительности приложений Результат: Незапланированный простой, низкая производительность В/В Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 39/75
- 39. Протокол Fibre Channel: безопасность Fabric Protocol Security Очень важно защитить управляющие протоколы сети для обеспечения стабильности сети Отдел Отдел Первый шаг – Cisco RBAC для безопасности ‗A‘ ‗B‘ доступа к настройке управляющих протоколов VSAN Port-security для защиты ISL портов Trunk 1 7 2 8 5 5 6 6 FC-SP для аутентификации switch-to-switch Cisco MDS 9222i следующий критичный шаг для блокировки Port Channel вредоносных ISL для HA и производительност 3 4 Директор Настройка plug-n-play протокола сети удобна — и 3 3 4 4 Cisco MDS однако статическая настройка более безопасна VSAN Trunks Статический управляющий коммутатор по оптическим сетям Статические domain ID DWDM / CWDM RCF-reject защищает от Статические FCIDs перенастройки сети *необязательно, но рекомендуется* Статический управляющий Большая польза для сред HP-UX и AIX коммутатор для всех VSAN Статический domainID RCF-reject, особенно для соединений на большие для всех VSAN расстояния защищает от RCF 1 1 2 2 Tape VSAN RSCN-suppression где необходимо VSAN для разделения и управления отдельными сетями и увеличения устойчивости сетей Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 40/75
- 40. Безопасность уровня доступа: Режимпорта Режим порта—разрешает edge портам быть только F_Port или FL_Port; т.е не ISL/EISL Cisco MDS 9000 поддерживает режим Fx_Port RBAC позволяет ‘E_Port’ ‘Auto’ ограничить пользователей, Любой режим которые могут менять режим ‘Fx_Port’ ‘F_Port’ портов Только F,FL Только F ‘E_Port’ или ‘Fx_Port’ ‘Auto’ Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 41/75
- 41. Безопасность уровня доступа: PortSecurity Port Security — Разрешает доступ в сеть в зависимости от атрибутов устройства Используется для контроля подключения к коммутатору— неудача приводит к ошибке входа на уровне соединения Предотвращает подделку S_ID в фрейме FC Поддерживает безопасность device-to-switch и switch-to-switch Использует многочисленные атрибуты для конфигурации pWWN—port WWN подключенного устройства nWWN—node WWN подключенного устройтва fWWN—fabric WWN порта коммутатора sWWN—WWN коммутатора Port_ID—идентификатор порта коммутатора (fc1/2) Режим Auto-learning упрощает начальную настройку Fabric Binding — Разрешает подключение к сети только коммутаторов, указанных в списке разрешенных Проверяются sWWN и Domain_ID при подключении коммутатора и активации новой базы fabric binding Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 42/75
- 42. Безопасность уровня доступа: группы и политики S1 Port Security fWWN-2 fWWN-1 Создаются ‗группы‘ и активируется как Port_ID-2 Port_ID-1 ‗набор групп‘ для обеспечения политики pWWN-D1_1 Политика______ Группа__________ nWWN-H1 Security Group – S1 1 Хост H1 на S1 (любой порт) pWWN-H1_1 или nWWN-1 sWWN-S1 fWWN-5 H1 Port_ID-5 D1 2 Хост H1 на S1 порт 2 Security Group – S1 pWWN-H1_1 или nWWN-H1 FC Port_ID-2 или fWWN-2 FC pWWN-H1_1 fWWN-6 3 Хост H1 HBA-1 на S1 Security Group – S1 Port_ID-6 порт 2 pWWN-H1_1 Port_ID-2 или fWWN-2 pWWN-H1_2 pWWN-D1_2 4 Хост H1, Диск D1 на Security Group – S1 S1 (любой порт) pWWN-H1_1 или nWWN-H1 fWWN-4 nWWN-D1 pWWN-D1_1 или nWWN-D1 fWWN-3 Port_ID-4 Port_ID-3 5 S2 на S1 ISL Security Group – S1 (fabric binding) sWWN-2 S2 6 S2 на S1 порт 5 ISL Security Group – S1 sWWN-S2 (fabric binding) sWWN-2 Port_ID-5 или fWWN-5 Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 43/75
- 43. Безопасность уровня доступа: Виртуальные SAN (VSAN) Виртуальные SAN (VSAN) помогают достичь более высокую безопасность и стабильность в сетях FC, обеспечивая изоляцию устройств, подключенных к одной физической сети VSAN можно использовать для создания множества логических Сетей Хранения на единой физической инфраструктуре Отдел • VSAN обеспечивает: ‗A‘ Сеть с VSAN Изоляцию трафика Общее хранилище Строгая изоляция между VSAN используя разделение сети и тегирование фреймов Сервисы сети в VSAN Независимые сервисы сети, включая сервер имен, зонирования, FSPF и Отдел менеджер домена в каждой VSAN ‗B‘ Отказ одного из этих сервисов в одной VSAN VSAN не влияет на другие VSAN Trunk Общую Топология Множество VSAN могут совместно использовать одну физическую топологию • ANSI T11 FC-FS-2 Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 44/75
- 44. Аутентификация в SAN Аутентификация устройств по протоколам Fibre Channel Authentication Protocol (FCAP) или Fibre Channel Password Authentication Protocol (FCPAP) Аутентификация портов коммутатора по протоколу Switch Link Authentication Protocol (SLAP) Для блокирования «чужих» устройств Набор протоколов Fiber Channel – Security Protocol (FC- SP) для аутентификации, обмена ключами, шифрования между устройствами Fibre Channel Адаптированные к FC протоколы ESP и Diffie-Hellman (DH- CHAP) для решения задач, аналогичных FC-SP RFC3723 – адаптация IPSec и IKE к сетям Fibre Channel и SCSI (iSCSI, iFCP, FCIP) Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 45/75
- 45. Безопасность уровня доступа: FCSecurity Protocol (FC-SP) DH-CHAP Аутентификация устройств используя FC-SP обеспечивает более сильные методы идентификации устройств WWN легко подделать ANSI T11.3 FC-SP—Рабочая группа по Протоколам Безопасности Поддерживается несколько протоколов, включая DH- CHAP и FCAP Switch-to-switch аутентификация FC-SP используя DH-CHAP поддерживается начиная с SANOS v1.3 Device-to-switch аутентификация с помощью производителей HBA используя DH-CHAP начиная с SANOS v1.3 DH-CHAP обеспечивает механизм аутентификации Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 46/75
- 46. Безопасность уровня доступа: FC Security Protocol (FC-SP) DH-CHAP Сеть Управления HBA с поддержкой DH-CHAP RAD (Emulex, Qlogic) Сервер RADIUS Новый сервер в сети для аутентификаци и Out-of-band управление пользователей Новый коммутатор TAC+ в сети Сервер TACACS+ для аутентификации пользователей DH-CHAP DH-CHAP RADIUS и/или TACACS+ FCIP сервера могут содержать Сеть имена пользователей и пароли DH-CHAP для Новый коммутатор в централизованной сети по FCIP аутентификации Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 47/75
- 47. IP Storage Security: SCSI-over-IP(iSCSI) iSCSI использует in-band аутентификацию Использует CHAP IESG рекомендует использовать туннели IPSec, где требуются безопасность сообщений, аутентификация источника, целостность, защита от повторов iSCSI может использовать множество функций безопасности, унаследованных от Ethernet и IP Ethernet Access Control List (ACL) ↔ FC зоны Ethernet VLAN ↔ FC VSAN Ethernet 802.1x port security ↔ FC port security iSCSI аутентификация ↔ FC DH-CHAP аутентификация iSCSI обычно предлагает возможности LUN mapping/masking как часть функций шлюза iSCSI также может использовать функции безопасности сети FC, отображая инициаторы iSCSI (IQN) в FC WWN Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 48/75
- 48. Безопасность IP SAN: FC-over-IP(FCIP) FCIP позволяет соединить острова SAN через сети IP Стандарт FCIP не обеспечивает никаких in-band механизмов безопасности Аутентификация источника сообщений, целостность, защита от повторов, обеспечиваются независимыми туннелями IPsec FCIP туннель = виртуальный ISL — может использовать существующие механизмы безопасности сети FC FC Port Security FC-SP DH-CHAP switch-to-switch аутентификация Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 49/75
- 49. Безопасность IP SAN IP ACLs FCIP Сервер RADIUS 802.1X Auth. Туннели RAD для централизации Ethernet VLANs по сети FC-SP аккаунтов iSCSI IPSEC DH-CHAP Аутентификация для туннелей Cisco Catalyst 6500 Multilayer LAN Switches FCIP pWWN1 iQN1 iSCSI Login iQN2 отображается на iSCSI имена назначенные pWWN и определены на регистрирует iQN используя CHAP iSCSI регистрируется в сети клиенте iSCSI iSCSI iQN1 = аутентификацию pWWN1/nWWN1 Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 50/75
- 50. Cisco Storage MediaEncryption (SME) Сервер Шифрование данных на носителях Приложений Шифрование AES-256 Name: XYZ Интегрированный прозрачный сервис сети SSN: 1234567890 Amount: $123,456 Status: Gold Key Management Поддержка систем хранения разных Center IP производителей Шифрование Сжатие данных Name: XYZ @!$%!%!%!%%^& Безопасное управление ключами SSN: 1234567890 *&^%$#&%$#$%*!^ Amount: $123,456 @*%$*^^^^%$@*) Status: Gold %#*@(*$%%%%#@ Восстановление вынесенных данных Ленточная библиотека Не забывайте про вопросы легитимности шифрования! Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 51/75
- 51. Рекомендации: доступ кSAN Использовать зонирование для изоляции Use FCID to Soft zoning gain access По портам или WWN, на аппаратном уровне Зоны read-only для систем хранения read-only Зонирование LUN как дополнительная мера Occupy the Add port- Политику default-zone установить в ‗deny‘ port to gain based zoning access Настраивать зоны на 1 или 2 коммутаторах RBAC–роль ‗permit‘ на этих коммутатотах RBAC–роль ‗deny‘ на других коммутаторах Spoof WWN Add WWN- Или использовать RADIUS / TACACS+ для to gain based zoning назначения ролей на конкретных коммутаторах access Использовать зонирование WWN для удобства Spoof WWN and occupy Add port- Использовать port-security для расширенной port to gain security безопасности access Port-security привязывает WWN к порту DH-CHAP добавляет аутентификацию Need full Add auth to gain DH-CHAP access Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 52/75
- 52. Рекомендации: управление SAN Использовать RBAC для назначения достаточных привилегий администраторам SAN Отдать некоторые функции меньшему числу пользователей с ролью ‗super-admin‘ Определение VSAN, обновление Firmware, назначение ролей, параметры RADIUS и TACACS+, SSH и т.д. Использовать RADIUS или TACACS+ для централизованного управления учетными записями Обеспечивает консистентное и своевременное удаление пользователей (если необходимо) Использование аккаунтинга RADIUS для аудита конфигурирования Использовать только безопасные протоколы—остальные отключить SSH, SFTP, SCP, SNMPV3, SSL для поддержки SMI-S Отключить TELNET, FTP, TFTP, SNMPV1,V2 Включить NTP на всех коммутаторах для единых временных меток событий Журналировать и архивировать все Включить централизованный SYSLOG Регулярно копировать конфигурации MDS 9000 (например, используя CiscoWorks RME) Включить © 2009 Cisco Systems, Inc. All rights reserved. Presentation_ID функцию Cisco MDS 9000 ―Call Confidential для оповещения об аномалиях Cisco Home‖ 53/75
- 53. Безопасность Nexus Presentation_ID © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Public 54
- 54. Место Nexus всовременном ЦОД Internet Data Center Core VDC Data Center POD Nexus 7018 Nexus 7018 vPC vPC SERVICES vPC vPC vPC vPC Nexus Nexus Catalyst 5020 5020 6500 Nexus Nexus 5010 5010 Nexus Nexus 2148T 2148T ASA ACE IPS Zone 10Gig Server Rack ? ? ? Zone Services Block 1Gig Server Rack Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 55/75
- 55. Арсенал ИБ коммутаторов Catalyst с IOS/CatOS или Nexus с NX-OS Базовая безопасность Списки контроля доступа Cisco Express Forwarding Control-plane Rate Limiting Scavenger-Class Queue Port Security Broadcast Suppression BPDU-Guard/Root-Guard и т.д. Расширенная безопасность МСЭ, IPS, IPSec VPN, балансировка нагрузки и т.д. (пока только для Catalyst 6500) February 2003, v1 Presentation_ID © 2003, Cisco Systems, Inc. All rightsAll rights reserved. © 2009 Cisco Systems, Inc. reserved. Cisco Confidential 56 56/75
- 56. Контексты с помощьюVDC Ключевая VDC 1 функция Layer 2 Protocols Layer 3 Protocols VLAN UDLD OSPF GLBP PVLAN CDP BGP HSRP STP 802.1X EIGRP IGMP LACP CTS PIM SNMP … … VDCs VDC 2 Layer 2 Protocols Layer 3 Protocols VLAN UDLD OSPF GLBP PVLAN CDP BGP HSRP STP 802.1X EIGRP IGMP LACP CTS PIM SNMP … … Nexus 7000 VDC – Virtual Device Context Гибкое разделение аппаратных и программных ресурсов между контекстами Полное разделение data plane и control plane Полная изоляция программных сбоев Надежное разделение контекстов управления Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 57/75
- 57. Опции внедрения функцийИБ Уровень распределения Функции безопасности вынесены на уровень распределения Средства защиты могут фильтровать трафик между VDC Core FW Context1 VDC 1 IPS Routed или Bridge Distribution IPS inline или passive Server Single или Multiple LB Services Contexts Access FW Context2 VDC 2 Failover на аггрегирующих коммутаторах требует failover на Учтите: средствах защиты Поддержка EtherChannel требуется на средствах защиты для Presentation_ID интеграции с vPC © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 58/75
- 58. Опции внедрения функцийИБ Блок сервисов Масштабируемое централизованное внедрение и управление средствами Core защиты Позволяет эффективно использовать все функции виртуализации: Services Distribution VDC, vPC, VSS FW Failover на коммутаторе распределения LB не требует failover средств защиты IPS Гибкие модули внедрения (модули или устройства) Access Могут быть использованы существующие коммутаторы Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 59/75
- 59. Безопасность виртуализации Presentation_ID © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Public 60
- 60. X86 сервера сегодня Switch Switch Switch Server Server Server Server Server Server Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 61/75
- 61. X86 виртуализация сегодня Switch Hypervisor Hypervisor Soft Soft Switch Switch Virtual Virtual Virtual Virtual Virtual Virtual Machine Machine Machine Machine Machine Machine Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 62/75
- 62. Проблемы виртуализации Ошибки в настройке Смешанный режим Server Network Team Security Физический сервер Team Team Sensitive Non-Sensitive Видимость Сегментация Физический сервер Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 63/75
- 63. Безопасность в виртуальнойсреде Защита виртуальной среды Виртуальный сервер Контроль виртуальной сети Зона 1 Зона 2 Контроль трафика между ВМ Безопасность виртуального уровня доступа Сохранение контроля за уровнем доступа Обеспечение выполнения виртуальных политик Обеспечение выполнения политик контроля доступа в виртуальной среде Выполнение политик в физической и Виртуальный коммутатор виртуальной средах Эксплуатация и управление Физические Единая среда для управления МСЭ и IPS физической и виртуальной ИТ- инфраструктурами Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 64/75
- 64. Программный коммутатор Nexus1000v Cisco Software Switch в Hypervisor Известная модель управления сетью / серверами Расширенная диагностика & мониторинг Расширенный контроль VM Switch Mgmt Hypervisor Hypervisor Virtual Virtual Virtual Virtual Virtual Virtual Machine Machine Machine Machine Machine Machine Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 65/75
- 65. Возможности Nexus 1000V L2 Switching, 802.1Q Tagging, VLAN Segmentation, Rate Limiting (TX) Коммутация IGMP Snooping, QoS Marking (COS & DSCP) Policy Mobility, Private VLANs w/ local PVLAN Enforcement Безопасность Access Control Lists (L2–4 w/ Redirect), Port Security Dynamic ARP inspection, IP Source Guard, DHCP Snooping Automated vSwitch Config, Port Profiles, Virtual Center Integration Provisioning Optimized NIC Teaming with Virtual Port Channel – Host Mode VMotion Tracking, ERSPAN, NetFlow v.9 w/ NDE, CDP v.2 Visibility VM-Level Interface Statistics Virtual Center VM Provisioning, Cisco Network Provisioning, CiscoWorks Управление Cisco CLI, Radius, TACACs, Syslog, SNMP (v.1, 2, 3) Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 66/75
- 66. UCS & Nexus1000v Расширенное разделение трафика в связке Nexus1000v и Cisco UCS Перекрытие на UCS некоторых функций Nexus1000v ACLs, ERSPAN, Netflow, H ost Mode vPC, VSD Сегментация системного трафика от трафика данных Применение разных политик безопасности Сегментация трафика VM в отдельные транки Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 67/75
- 67. Зонирование UCS +Nexus и виртуальные МСЭ Маппирование зон в виртуальные контексты Сегментация виртуальной инфраструктуры Направление трафика VM в контексты МСЭ Сегментация сетевого трафика внутри зоны Системный трафик Трафик VM Трафик управления Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 68/75
- 68. Cisco ASA 5585-Xдля ЦОД и виртуализации CTX Высокопроизводительные ASA Context Mode Firewall, VPN и IPS для vPC ЦОД Virtual PortChannel VDCs Nexus 7000 Series Virtual Device Contexts Поддержка и VSS интеграция Cisco Catalyst 6500 Series Virtual Switching System VXI Cisco Virtualization Experience Infrastructure Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 69/75
- 69. Портфолио Cisco DataCenter Security Сетевая Безопасность Защищенный безопасность виртуализации доступ • ASA 5585-X с • Cisco Nexus® 1000V • Cisco AnyConnect firewall и IPS switch: • TrustSec распределенный • ASA Services виртуализированный • Identity Services Module свитч Engine • Cisco Security • Cisco Virtual Security • SaaS gateway Intelligence Gateway (cloud security) Operations (SIO) • Cisco Security Manager Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 70/75
- 70. Cisco Virtual SecurityGateway V-Motion (Memory) Physical V-Storage Security (VMDK) Role VM Based Segmentation Access Virtualization Security VM OS Hypervisor Hardening Security Patch VM Management Sprawl Virtual Security Gateway на Nexus 1000V с vPath Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 71/75
- 71. Кратко о VirtualSecurity Gateway Механизм правил на основе контекста, где для ACL могут быть использованы любые комбинации IP протокола (5-tuple), собственные и VM атрибуты Нет необходимости разворачивать на каждом физическом сервере (функционал 1000V vPath) Может быть развернут на выделенном сервере или на Nexus 1010 appliance Оптимизация производительности Performance optimization с помощью off-load на 1000V vPath Высокая доступность Virtual Security Gateway (VSG) Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 72/75
- 72. Место Cisco VirtualSecurity Gateway Virtual Network Nexus 1000V with vPath Management Center • Распределенный virtual • Консоль управления VSG switch • Запуск на одной из VMs • Запускается как часть гипервизора Port Group Физический Virtual Security Gateway сервер • Программный МСЭ • UCS или • Запускается на одной из VMs • Другой x86 server • Сегментация и политики для всех VMs Security Service Admin Admin Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 73/75
- 73. Физический МСЭ иVSG Физический Физический МСЭ с МСЭ с Зонами на Зонами на базе vPC Peer-link базе контекстов контекстов Firewall Firewall Firewall Firewall Virtual Virtual Virtual Virtual Context Context Context Context Pod A Pod C Pod D Pod B Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 74/75
- 74. Детали дизайна Дифференциациятрафика с помощью зон, сегментирование с помощью VLANs и VRFs Intra-VM защита с помощью VSG Intra-zone защита с помощью обоих VSG ASA/ASA-SM Inter-zone защита с помощью ASA или ASA-SM Многоуровневая безопасность посредством сегментации VRF с использованием маршрутизации Доступ на основе идентификации и сегментации с помощью 802.1x + SGTs (TrustSec) + ISE Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 75/75
- 75. МСЭ для всехбизнес-моделей Аппаратная Виртуальная и Облако АППАРАТНЫЕ УИТРОЙСТВА И МОДУЛИ Облачные МЭ Multi-scale™ data center-class ASA devices МСЭ для облаков и коммерческих ЦОДов New! Cisco ASA ASA SM for Cisco Virtual Cisco ASA 1000V 5585-x Catalyst 6500 Security Gateway (VSG) • Наращиваемая производительность •Испытанный МЭ для облака • Политики безопасности на границе ЦОД • Tenant-edge to VM-specific policies • Гибкие опции внедрения • Автоматическое, основанное на политиках реагирование Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 76/75
- 76. Cisco ASA 1000VCloud Firewall Проверенные технологии Cisco теперь и для виртуализированных сред Совместная модель безопасности VSG для зон безопасности на уровне одного заказчика ASA 1000V для контроля безопасности границы между заказчиками Бесшовная интеграция С Nexus 1000V & vPath Масштабирование по необходимости Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 77/75
- 77. Контроль доступа навыходе с использованием групп безопасности SGT = 100 Я контрактор Моя группа ИТ Финансы(SGT=10) Кадры(SGT=11) 802.1X/MAB/Web Auth. SGACL Контрактор & ИТ SGT = 5 Контроль доступа основанный на Группах Безопасности позволяет: Сохранять существующий логический дизайн на уровне доступа Изменять / применять политику для соответствия текущим бизнес-требованиями Распределять политику с центрального сервера управления Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 78/75
- 78. Простая политика дляNexus и ASA Назначение SGT Источник Public Portal Internal Portal IT Portal АСУ ТП SGT (SGT 8) (SGT 9) (SGT 4) (SGT 10) Web Web Web Нет доступа Оператор АСУ ТП File Share (SGT 7) Web Web SSH SSH SSH RDP Полный RDP RDP File Share доступ IT Admin (SGT 5) File Share File Share Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 79/75
- 79. Пример контроля доступас ISE SXP IP Address 10.1.204.126 = SGT 5 ISE RADIUS (Access Request) EAPOL (dot1x) 10.1.204.126 RADIUS (Access Accept, SGT = 5) 6506 10.1.204.254 SG ACL Matrix IP Address to SGT Mapping HR Nexus 7000 Server #1 Core VDC 10.1.200.50 10.1.200.254 Nexus 7000 Agg VDC ASA Finance ✓ Finance VSG Finance Server #1 Finance HR 10.1.200.100 Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 80/75
- 80. Внутрезоновая сегментация ЦОД Campus Access с Nexus TrustSec для внутризоновой сегментации серверного трафика Cat6500 Cat4500 Cat35750/E Вручную заданный IP адрес сервер Branch Access транслируется в SGT на Nexus 7000 или IPM (Identity Port Mapping to ISE) ISR w/ EtherSwitch or standalone switch для централизованного управления SGT Сервер, подключенный к коммутатору доступа может быть SGACL Enforcement Data Center сегментирован, используя Private VLAN на коммутаторе Nexus 7010 распределения SGT Assignment via IPM SXP or statically Nexus 7000 SRC Server A Server B Server C DST (111) (222) (333) Cat6500 Cat4500 Directory Server A Service --- SGACL-A Permit all (111) Serer B Permit all --- SGACL-B File Server WEB Server SQL Server ACS5.1 (222) 111 222 333 Server C Deny all Deny all --- (333) Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 81/75
- 81. Защищенный VDI-доступ кресурсам ЦОД с 6500 и Nexus • Пользователь заходит на VM Campus Access после прохождения аутентификации по 802.1x • Аутентификация успешна. Пользователь связывается с SGT User A • Трафик доходит до точки RDP контроля • Только разрешенный путь Connection Broker прохождения трафика (от source SGT к destination SGT) Auth=OK Data Center разрешается SGT=10 SXP 802.1x Pools of VMs File Web Server SRC DST WEB Server Server(111) (222) Cat4500 Directory User A (10) Permit all Deny All Service User B (20) Deny all SGACL-C File Server WEB Server SQL Server ISE Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 82/75
- 82. Согласованное обеспечение выполнения политик Плавный переход к виртуальной ИТ-инфраструктуре Вирт. серверы Вирт. серверы CSM Выделение ресурсов, мониторинг, устранен ие неполадок Единая среда Физическая реализация Виртуальная реализация управления Уровни 2–4 Уровни 4-7 Эксплуатация Nexus 1000v План: Совместная: физической и Средства Service Chaining для виртуальной инфраструктур Контроль трафика между ВМ связи инфраструктур (L2–4) Защита на уровне вирт. порта План: Виртуальная платформа ИБ Виртуальная платформа ИБ Совместная: физической и Поддержка списков ACL ("виртуальный МСЭ" ) ("виртуальный МСЭ" ) - план виртуальной инфраструктур (L4–7) Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 83/75
- 83. Резюме Presentation_ID © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Public 84
- 84. Гибкость сегодня, масштабируемость для решения будущих задач Согласованные функциональные возможности обеспечивают согласованный набор сервисов и простоту эксплуатации Устройства Модули Виртуальные Распределен- ASA 5585 компоненты ные сетевые ASA-SM Nexus 1000v ASA CX сервисы ACE 250 вирт. В разработке: IPS 4270 контекстов расширение средств IPS 4300 VSG безопасности ЦОД IPS 4500 на платформы ASA 1000v распределенных ―Osiris‖ - 40 Гбит/с, Nexus Catalyst / Nexus 7000 – сетевых сервисов Кластеризация для масштабирования - план Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 86/75
- 85. Защищенный ЦОД безграниц: архитектура будущего Уровень защиты распределенных сетевых сервисов В корпоративной сети или в сети сервисов Вирт. Виртуальный Защита приложений, предоставляемых МСЭ контекст с помощью сервисов ASA Периметр распределенных сетевых сервисов ASA 5500 Защита сети поставщика сервисов с IPS Управление Периметр корпоративной сети и ЦОД w ww Шлюз SaaS – в рамках WSA WSA МСЭ — интенсивная фильтрация CSM AAA и политика Уровень сервисов безопасности МСЭ и IPS Политики с учетом идентификационных данных Зоны доверия Модули ASA 5500 (TrustSec) ASA: Service Chaining (связь виртуальной с IPS для Catalyst и физической инфраструктуры) и Nexus Защищенный виртуальный уровень доступа Вирт. Виртуальная физическая МСЭ Защита виртуальных уровней 2 — 7 Nexus 1000v Nexus 1000v и платформа виртуального межсетевого экрана Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 88/75
- 86. Проверенные дизайны Партнерство: VMWare, EMC, NetApp, BMC, Citr ix, WYSE, Microsoft, и другие Vblock, FlexPod Дизайн для бизнеса и операторов связи Защищенный дизайн Multi- Tenant Облачные вычисления & и автоматизация Рекомендации по архитектуре – доступность, масштабируемость, безопасность, интеграция функционала, сервисы приложений и безопасности Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 89/75
- 87. Основные результаты Структура ЦОД меняется 1 Эти изменения сильно сказываются на системе обеспечения безопасности 2 Cisco располагает долговременной стратегией создания защищенных ЦОД без границ 3 Обеспечьте соответствие целям заказчика по созданию ЦОД, чтобы развивать свой бизнес Presentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 90/75
Editor's Notes
- #4 Broaden the conversation to architectures
- #7 New trends through time have changed the face of the data center. Each of these trends has built on the lower.Historically, the conversation in the data center has been dominated by scalability and simplicity. How fast does the data center move, and how easy is it to implement and operate.More recently, trends like outsourcing and partnerships has forced the traditionally closed data center to open. These new users of the network often need controlled access deep into the data center. This is changing traditional data center models.Virtualization and asset consolidation are also changing the data center. The cost benefit of virtualization are driving rapid adoption across verticals, fundamentally altering the face of the data center.Finally, as cloud computing begins to emerge as a viable architecture, it promises even higher cost advantages through scale and elasticity.
- #65 The virtual environment brings with it a host of new security problems. These problems can be divided into two groups:Security in the Server Access Layer: These are today’s largest pain pointsRegaining visibility in the access layer is the first step at securing it. Regaining inter-host visibility in the virtual world provides key security forensics intelligence – which hosts are communicating, and in the event of an outbreak, where did it originate.Securing the access layer from DCHP and ARP attacks such as eavesdropping and VLAN hopping.Security at Higher Layers: These are emerging pain points that we need to addressVirtual policy enforcement creates segmentation and separation in the virtual world similar to that available in the physical. Note that this can be provided either through fully virtual enforcement points, or physical enforcement points that are virtual awareFinally, the physical and virtual worlds need to be tied together in a common operational environment with a common policy infrastructure.
- #71 Overall picture: list of Cisco security solutions with perhaps the architecture as a backdrop.Cisco TrustSec, Cisco AnyConnect Secure Mobility, Cisco Virtual Office, PCI DSS Compliance, Threat Defense (Firewall, IPS), Cisco Content Security (email/web), Cisco Data Center Security, Cisco Virtualization and Cloud Security
- #84 Cisco’s vision in virtualization enables a seamless transition from physical to virtual enforcement. The vast majority of environments will be hybrid environments for years to come, and Cisco will provide a consistent solution across both.<Build>The Nexus 1000v provides critical Layer 2-4 security capabilities today, solving today’s largest virtualization pain points. By building on the Nexus software base, customers can share a common operational environment with their physical Nexus switches<Build>Cisco’s roadmap for Layer 4-7 security services involves two approaches. Cisco will use Service Chaining to connect the physical to the virtual. Cisco will also provide a fully virtual enforcement platform to provide L4-7 security inside the virtualization infrastructure itself.
- #86 Public and Private Clouds are an architecture that brings together all elements of Scale and Simplicity, Openness, and Virtualization into an elastic, on demand environment. This environment brings with it a new set of security concerns.First, the need to establish trust on the cloud infrastructure itself. How does one maintain the integrity of the cloud environment?Second, the need to connect users and internal networks into the cloud infrastructure. How do users get access to the cloud services?Third, how do I secure the applications in the cloud, whether in a public cloud or a private?
- #87 Today, flexibility is key as Cisco delivers common capabilities delivering consistent and therefore less complex operationsThree key form factors deliver this today:Appliance – with ASA and IPSModules – modules with Cat6k integrated service modules andVirtual – Supported today with physical form-factors via virtual context, allowing external security to be applied to virtualized applications, and leveraging the recently launched Nexus 1000v switch which provides switch services on the hypervisor and has ACL capabilities for segmentation todayNext steps for ASA – Spyker, multi-gig, multi-service platformIntegrated service modules, with Bennu as an immediate next step and 3xFWSM performance to Osiris a 40G service module for Nexus 7000And to virtual with extending contexts beyond current levels to support larger SP delpoyments and a virtual firewall which will service virtualized security needs as scale increases.All of which will also extend dc security into cloud modelsFinally as network performance demand grow both in the enterprise and the cloud, clustering support provides 100s of Gig of FW performance in multiple form factors.
- #88 Although we opened the network to external parties, we must continue to gain visibility and control. Focusing on both visibility into the threat environment and maintenance of the compliance environment from a segmentation and threat perspective is critical.This is where, User-awareness begins with directory services being tied to security, allowing for authentication and authorization of users so that we know the “who” in our formula.And Application awareness becomes the “what” as far leveraging domain names and identifying the applications inside the data center.Finally the “how” by Creating Zones of trust ties the “who” and “what” together in a logical manner that allow maintenance of segmentation in the new open DC.Delivering next steps based on this structure is control of SaaS applications, enabling access policies for any app, anywhere in the world with WSA.Along with Identity Firewall and Application Awareness, TrustSec brings next generation network segmentation based on domains of trust within the open data center infrastructure with seamless authorization for various access typesThis provides topology independent, role-based, dynamic policy provisioning.So now that we’ve talked about Scale and Openness, let’s talk about the next step toward the Borderless DC which is Virtualization….
- #89 We find the Secure Borderless Data Center Architecture of tomorrow.This will include some additional items above and beyond today’s requirements in the Enterprise. First, you will see the emergence of the cloud itself a an important security layer to the Enterprise. The cloud is secured for the Enterprise by Cisco in two ways. (1) at the cloud edge itself with Firewall and IPS services being delivered to protest the cloud infrastructure itself. (2) in the Cloud Services Security Layer, in which cloud provides can provide both a virtual and physical footprint to customers of IaaS and PaaS services to protect the applications running in the cloud. This would be delivered in a virtual firewall and virtual context form in the ASA.Secondly, we see the emergence of the Secure Virtual Access Layer. This layer in the data center grows out of the massive move from traditional deployments to virtualization in the DC. As the requirement for virtual security zones increases, the need for layer 2 through 7 security also emerges. This is where the virtual firewall becomes important, as the scale of the VMs grows larger and segmentation and security service needs grow with it.Concurrently, the physical firewall will always play a role in the DC as there are many applications that will not be virtualized and continue to require an external, performance guaranteed solutions.