Gaweł Mikołajczyk gmikolaj@cisco · 7000 Series Nexus 5000 Series Nexus 2100 Series ......
-
Upload
truongduong -
Category
Documents
-
view
215 -
download
1
Transcript of Gaweł Mikołajczyk gmikolaj@cisco · 7000 Series Nexus 5000 Series Nexus 2100 Series ......
Cisco Confidential 1 C97-714039-00 © 2012 Cisco and/or its affiliates. All rights reserved.
Gaweł Mikołajczyk [email protected] Security Consulting Systems Engineer EMEA Central Core Team CCIE #24987, CISSP-ISSAP, CISA, C|EH
PLNOG9, October 23, 2012, Cracow, Poland
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Public 2
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Public 3
http://plnog.pl/spotkanie-8-marzec/materialy
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Public 4
50%
55%
58%
59%
62%
65%
66%
66%
68%
69%
70%
76%
0% 10% 20% 30% 40% 50% 60% 70% 80%
Higher Energy Efficiency/Green Initiatives
Enable a New Application
Centralize IT Services
Consolidate Equipment
Iimprove Scalability
Consolidate Data Centers
Improve Management Capability
Virtualization
Decrease Operating Costs
Data Storage/Backup
Decrease Downtime
Incease Security
Powody inwestycji w Data Center
Po
wo
dy i
nw
esty
cji
Źródło: Data Center Deployment Strategies: North American Enterprise Survey, Infonetics, Luty 2012.
Zwiększenie bezpieczeństwa
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Public 6
Segmentacja
• Określenie styków: sieciowy, wirtualny, obliczeniowy
• Wymuszenie polityk dla funkcji, urządzeń, organizacji
• Kontrola dostępu do sieci, zasobów, aplikacji
Ochrona przed zagrożeniami
• Powstrzymanie ataków wewnętrznych i zewnętrznych
• Spradzenie na poziomie zone brzegu/styku
• Kontrola dostępu i wykorzystania informacji
Widoczność
• Transparencja w użytkowaniu
• Przypisania kontekstu biznesowa do profilu w sieci
• Uproszczenie działań i raportów zgodności
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Public 7
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Public 8
Styk z internetem
Dystrybucja
SAN
ASA 5585-X ASA 5585-X
VDC Nexus 7018 Nexus 7018
Rdzeń
= Moc Obliczeniowa
= Sieć
= Bezpieczeństwo
Nexus
7000
Series
Nexus
5000
Series
Nexus
2100
Series
Zone
Unified
Computing
System
Nexus
1000V VSG
Multizone
Catalyst
6500 SERVICES
VSS
Firewall ACE
NAM IPS
VSS VPC VPC VPC VPC VPC VPC VPC VPC
10G Server Rack 10 G Server Rack Unified Compute Unified Services
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Public 9
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Public 10
Segmentacja Fabric UCS Fabric Interconnect
Segmentacja sieciowa Fizyczna
Wirtualna (VLAN, VRF)
Zwirtualizowana (Zones)
Segmentacja z firewallem Stateful/reflective ACL
Multi-context
VPN
Segmentacja
Kontekstowa Security Group Tags (SGT)
Security Exchange Protocol (SXP)
Security Group ACL
TrustSec
Zapewnienie spójnych polityk dla styków fizycznych i wirtualnych dla ochrony danych statycznych i „in motion”.
Segmentacja
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Public 11
ASA Clustering - Control Plane
• Dwa do ośmiu urządzeń ASA per klaster (jednakowe modele i DRAM)
• Wspierane oba tryby pracy routed (L3) i transparent (L2)
• Jeden master sychronizuje konfiguracje dla urządzeń w klastrze
• Minimum jeden interfejs cluster control dla control plane w klastrze
• Innowacja w agregacji łączy - cLACP
Cisco® ASA 5585-X v9.0 – klastrowanie
ASA Clustering - Data Plane
Segmentacja z firewallem
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Public 12
Wyd
ajn
oś
ć M
ult
iSc
ale
™
40G 20G
80G 32G
160G 64G
320G 112G
Segmentacja z firewallem
Wirtualny Appliance Nexus 1010 (HW Appliance)
vWAAS VSG VSM
NAM
NAM
VSG
VSG
Primary
Secondary
VSM
VSM
L2/L
3 C
on
ne
ctivity
VEM-1
vPath
VEM-2
vPath
Hypervisor Hypervisor
VSM: Virtual Supervisor Module
VEM: Virtual Ethernet Module
vPath: Virtual Service Data-path
VXLAN: Skalowalna segmentacja
VSN: Virtual Service Node
• VSG: Virtual Security Gateway
• vWAAS: Virtual WAAS
• ASA 1000V: Firewall na brzegu VM
Hostowanie dodatkowych usług Wdrożenie i zarządzanie jak
przełącznikiem z NX-OS
Bez konieczności dostępu do vCenter
Wirtualne appliance usługowe Virtual Supervisor Module (VSM)
Network Analysis Module (NAM)
Virtual Security Gateway (VSG)
Inne…
VXLAN VXLAN
Virtual ASA
vPath
• Sterowanie ruchem
• Fast-Path Offload
• Wsparcie dla VXLAN
Segmentacja wirtualna
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Public 14
Cisco® ASA 1000V Cloud Firewall
Ochrona maszyn w środowisku multitenant.
Zabezpieczenie brzegu w środowiskach
zwirtualizowanych prywatnej i publicznej „chmury”
Segmentacja wirtualna z firewallem
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Public 15
• Sprawdzone technologi
bezpieczeństwa Cisco® : spójne
polityki
• Model uzupełnienia rozwiązań
bezpieczeństwa
Cisco Virtual Secure Gateway (VSG)
dla intra-tenant zones
Cisco ASA 1000V dla kontroli brzegu
klienckiego
• Transparentna integracja
Z Cisco Nexus® 1000V i Cisco vPath
• Elastyczność skalowania by
sprostać wymogom chmury
Wdrożenie Multi-instance i możliwość
skalowania w DC
Tenant B Tenant A VDC
vApp
vApp
Hypervisor
Cisco Nexus® 1000V
Cisco vPath
VDC
Cisco® Virtual Network Management Center (VNMC)
VMware vCenter
Cisco
VSG Cisco
VSG
Cisco
VSG
Cisco ASA
1000V
Cisco ASA
1000V
Cisco
VSG
Segmentacja wirtualna z firewallem
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Public 16
vSphere
Cisco
Nexus
1000V
VEM
vSphere vSphere
Cisco
Nexus
1000V
VEM
Cisco
Nexus
1000V
VEM
VM VM VM VM VM VM VM VM
Active ASA 1000V
(Tenant B)
Active ASA 1000V
(Tenant A)
Tenant A Tenant B
VMWare vCenter
Server
Sieć
Data Center
vPath vPath
1000V
VSM
Standby
ASA 1000V
Standby
ASA 1000V
vPath
Cisco Virtual Network
Management Center Server
Segmentacja wirtualna z firewallem
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Public 17
Identyfikacja Klasyfikacja Przypisanie Propagacja
ID: Użytkownik,
urządzenie
Rola: HR, . Tag: SGT 5 Urządzenia sieciowe
Aplikacje, dane, usługi
• Polityka która oddziela definicje od narzędzi wymuszenia
• Klasyfikacja podmiotów: systemy i użytkownicy
• Kontekst: system-role lub user-role, urządzenie, lokalizacja i sposób dostępu
• Klasyfikacja kontekstowa jest propagowana z wykorzystaniem security group tags
• Group tags są używane przez firewalle, routery i przełączniki w smart policy
Switch Router DC FW DC Switch Serwery
Segmentacja kontekstowa
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Public 18
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Public 19
BEZPIE-
CZEŃSTWO
SIEĆ
MOC
OBLICZE-
NIOWA
VM Attributes Security Profiles
Port Profiles
vCenter
Server
Admin
N1KV
Network
Admin
CSM
Security
Admin
VNMC
Security
Admin
Fizyczne Wirtualne
NetFlow
Network
Admin
Cisco® NetFlow
Widoczność
Wirtualne
Wirtualne
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Public 20
10.20.20.50 10.20.30.101 10.20.20.51
vPC Peer-link
VSL
vPC
Service VLANs
Nexus 1000V and VSG
Nexus 7000
Nexus 5000
ESX Server ASA 5585
Cat 6500
monitor session 2 type erspan-source description N1k ERSPAN –session 2 monitor session 4 type erspan-destination description N1k ERSPAN to IDS1
monitor session 1 type erspan-source description N1k ERSPAN – session 1 monitor session 3 type erspan-destination description N1k ERSPAN to NAM
NAM
Widoczność
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Public 21
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Public 22
Warunek
źródłowy
Warunek
docelowy Akcja
Reguła
Network Attributes
IP Address
Network Port
Operator
eq
neq
gt
lt
range
Not-in-range
Prefix
Operator
member
Not-member
Contains
Warunek
VM Attributes
VM Name
Guest OS full name
Resource Pool
Parent App Name
Port Profile Name
Cluster Name
VM DNS Name
Hypervisor Name
Attribute Type
Network
VM
User Defined
vZone
VSG Nexus 1000V
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Public 23
Web Server Web
Server
Dopuść tylko Port 80
(HTTP) na serwerach web
Dopuść tylko Port 22
(SSH) do serwerów
aplikacyjnych
Pozwól tylko serwerom web na
dostęp do serwerów aplikacji
Klient
Web
Web Zone
DB server DB
server
Database Zone
App Server App
Server
Application Zone
Pozwól tylko serwerom aplikacji
na dostęp do serwerów DB
Zablokuj jakikolwiek
dostęp z zewnątrz do
serwerów DB
VSG Nexus 1000V
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Public 24
• Tenant cloning z uwzględnieniem zone oraz nakładającej się adresacji
IP (overlapping)
• Izolowanie nakładających się IP poprzez translację adresó (NAP/PAT)
przy połączeniu do sieci zewnętrznych
ASA 1000V Nexus 1000V
Tenant A Tenant A’ (clone)
Virtualized Servers
VM 1 VM 2 VM 1
VM 3 VM 1
ASA 1000V
Sieć zewnętrzna
VM 1 VM 2 VM 1
VM 3 VM 1
ASA 1000V
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Public 25
• Maszyny wirtualne często i szybko są „podnoszone/tworzone” w
środowiskach wirtualnych
• ASA 1000V DHCP może być użyte do dynamicznego przypisania adresu
IP do nowej maszyny wirtualnej
Tenant A Tenant B
Serwery zwirtualizowane
VM 1 VM 2 VM 1
VM 3 VM 1
ASA 1000V
VM 1 VM 2 VM 1
VM 3 VM 1
ASA 1000V
ASA 1000V Nexus 1000V
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Public 26
• Unikalne rozwiązanie systemowe Cisco TrustSec w zwalidowanej architekturze Data Center
• Bezpieczeństwo oparte o kontekst w działaniu
• Segmentacja oparta o grupy SGT (Security Group Tags)
• Mechamizm niezależny od transportu i topologii sieciowej
• Przykłady zastosowania: Dostęp do usługi VDI w DC
Dostęp do zasobów chmury prywatnej
ASA 5585-X ISE Nexus 7000 Nexus 1000V
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Public 27
Egress
SGT=100
Jestem pracownikiem
W grupie HR
HR SGT = 100
• TrustSec Security Group Firewalling:
Rozszerza koncepcję zastosowania ASA 9.0
Użycie Security-Group Tag (SGT) w politykach Firewalla
Ingress
HR (SGT=100)
Finanse (SGT=4)
802.1X/MAB/Web Auth
S-IP User S-SGT D-IP D-SGT DENY
ASA 5585-X ISE
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Public 28
Źródłowy SGT Docelowy SGT
Faza I: Context Agent – Identity Firewall w ASA 8.4(2)
Faza II: wsparcie dla TrustSec SXP w ASA 9.0
ASA 5585-X ISE
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Public 29
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Public 30
• DMVPN
• Easy VPN
• FlexVPN
• BGP
• OSPF
• EIGRP
• Firewall
• ACL
• AAA
• NAT
• DHCP
• HSRP
• AppNav/WCCP
• LISP
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Public 31
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Public 32
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Public 33