Cisco Confidential 1 C97-714039-00 © 2012 Cisco and/or its affiliates. All rights reserved.

Gaweł Mikołajczyk gmikolaj@cisco.com Security Consulting Systems Engineer EMEA Central Core Team CCIE #24987, CISSP-ISSAP, CISA, C|EH

PLNOG9, October 23, 2012, Cracow, Poland

© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Public 2

© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Public 3

http://plnog.pl/spotkanie-8-marzec/materialy

© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Public 4

50%

55%

58%

59%

62%

65%

66%

66%

68%

69%

70%

76%

0% 10% 20% 30% 40% 50% 60% 70% 80%

Higher Energy Efficiency/Green Initiatives

Enable a New Application

Centralize IT Services

Consolidate Equipment

Iimprove Scalability

Consolidate Data Centers

Improve Management Capability

Virtualization

Decrease Operating Costs

Data Storage/Backup

Decrease Downtime

Incease Security

Powody inwestycji w Data Center

Po

wo

dy i

nw

esty

cji

Źródło: Data Center Deployment Strategies: North American Enterprise Survey, Infonetics, Luty 2012.

Zwiększenie bezpieczeństwa

© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Public 6

Segmentacja

• Określenie styków: sieciowy, wirtualny, obliczeniowy

• Wymuszenie polityk dla funkcji, urządzeń, organizacji

• Kontrola dostępu do sieci, zasobów, aplikacji

Ochrona przed zagrożeniami

• Powstrzymanie ataków wewnętrznych i zewnętrznych

• Spradzenie na poziomie zone brzegu/styku

• Kontrola dostępu i wykorzystania informacji

Widoczność

• Transparencja w użytkowaniu

• Przypisania kontekstu biznesowa do profilu w sieci

• Uproszczenie działań i raportów zgodności

© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Public 7

© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Public 8

Styk z internetem

Dystrybucja

SAN

ASA 5585-X ASA 5585-X

VDC Nexus 7018 Nexus 7018

Rdzeń

= Moc Obliczeniowa

= Sieć

= Bezpieczeństwo

Nexus

7000

Series

Nexus

5000

Series

Nexus

2100

Series

Zone

Unified

Computing

System

Nexus

1000V VSG

Multizone

Catalyst

6500 SERVICES

VSS

Firewall ACE

NAM IPS

VSS VPC VPC VPC VPC VPC VPC VPC VPC

10G Server Rack 10 G Server Rack Unified Compute Unified Services

© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Public 9

© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Public 10

Segmentacja Fabric UCS Fabric Interconnect

Segmentacja sieciowa Fizyczna

Wirtualna (VLAN, VRF)

Zwirtualizowana (Zones)

Segmentacja z firewallem Stateful/reflective ACL

Multi-context

VPN

Segmentacja

Kontekstowa Security Group Tags (SGT)

Security Exchange Protocol (SXP)

Security Group ACL

TrustSec

Zapewnienie spójnych polityk dla styków fizycznych i wirtualnych dla ochrony danych statycznych i „in motion”.

Segmentacja

© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Public 11

ASA Clustering - Control Plane

• Dwa do ośmiu urządzeń ASA per klaster (jednakowe modele i DRAM)

• Wspierane oba tryby pracy routed (L3) i transparent (L2)

• Jeden master sychronizuje konfiguracje dla urządzeń w klastrze

• Minimum jeden interfejs cluster control dla control plane w klastrze

• Innowacja w agregacji łączy - cLACP

Cisco® ASA 5585-X v9.0 – klastrowanie

ASA Clustering - Data Plane

Segmentacja z firewallem

© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Public 12

Wyd

ajn

oś

ć M

ult

iSc

ale

™

40G 20G

80G 32G

160G 64G

320G 112G

Segmentacja z firewallem

Wirtualny Appliance Nexus 1010 (HW Appliance)

vWAAS VSG VSM

NAM

NAM

VSG

VSG

Primary

Secondary

VSM

VSM

L2/L

3 C

on

ne

ctivity

VEM-1

vPath

VEM-2

vPath

Hypervisor Hypervisor

VSM: Virtual Supervisor Module

VEM: Virtual Ethernet Module

vPath: Virtual Service Data-path

VXLAN: Skalowalna segmentacja

VSN: Virtual Service Node

• VSG: Virtual Security Gateway

• vWAAS: Virtual WAAS

• ASA 1000V: Firewall na brzegu VM

Hostowanie dodatkowych usług Wdrożenie i zarządzanie jak

przełącznikiem z NX-OS

Bez konieczności dostępu do vCenter

Wirtualne appliance usługowe Virtual Supervisor Module (VSM)

Network Analysis Module (NAM)

Virtual Security Gateway (VSG)

Inne…

VXLAN VXLAN

Virtual ASA

vPath

• Sterowanie ruchem

• Fast-Path Offload

• Wsparcie dla VXLAN

Segmentacja wirtualna

© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Public 14

Cisco® ASA 1000V Cloud Firewall

Ochrona maszyn w środowisku multitenant.

Zabezpieczenie brzegu w środowiskach

zwirtualizowanych prywatnej i publicznej „chmury”

Segmentacja wirtualna z firewallem

© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Public 15

• Sprawdzone technologi

bezpieczeństwa Cisco® : spójne

polityki

• Model uzupełnienia rozwiązań

bezpieczeństwa

Cisco Virtual Secure Gateway (VSG)

dla intra-tenant zones

Cisco ASA 1000V dla kontroli brzegu

klienckiego

• Transparentna integracja

Z Cisco Nexus® 1000V i Cisco vPath

• Elastyczność skalowania by

sprostać wymogom chmury

Wdrożenie Multi-instance i możliwość

skalowania w DC

Tenant B Tenant A VDC

vApp

vApp

Hypervisor

Cisco Nexus® 1000V

Cisco vPath

VDC

Cisco® Virtual Network Management Center (VNMC)

VMware vCenter

Cisco

VSG Cisco

VSG

Cisco

VSG

Cisco ASA

1000V

Cisco ASA

1000V

Cisco

VSG

Segmentacja wirtualna z firewallem

© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Public 16

vSphere

Cisco

Nexus

1000V

VEM

vSphere vSphere

Cisco

Nexus

1000V

VEM

Cisco

Nexus

1000V

VEM

VM VM VM VM VM VM VM VM

Active ASA 1000V

(Tenant B)

Active ASA 1000V

(Tenant A)

Tenant A Tenant B

VMWare vCenter

Server

Sieć

Data Center

vPath vPath

1000V

VSM

Standby

ASA 1000V

Standby

ASA 1000V

vPath

Cisco Virtual Network

Management Center Server

Segmentacja wirtualna z firewallem

© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Public 17

Identyfikacja Klasyfikacja Przypisanie Propagacja

ID: Użytkownik,

urządzenie

Rola: HR, . Tag: SGT 5 Urządzenia sieciowe

Aplikacje, dane, usługi

• Polityka która oddziela definicje od narzędzi wymuszenia

• Klasyfikacja podmiotów: systemy i użytkownicy

• Kontekst: system-role lub user-role, urządzenie, lokalizacja i sposób dostępu

• Klasyfikacja kontekstowa jest propagowana z wykorzystaniem security group tags

• Group tags są używane przez firewalle, routery i przełączniki w smart policy

Switch Router DC FW DC Switch Serwery

Segmentacja kontekstowa

© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Public 18

© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Public 19

BEZPIE-

CZEŃSTWO

SIEĆ

MOC

OBLICZE-

NIOWA

VM Attributes Security Profiles

Port Profiles

vCenter

Server

Admin

N1KV

Network

Admin

CSM

Security

Admin

VNMC

Security

Admin

Fizyczne Wirtualne

NetFlow

Network

Admin

Cisco® NetFlow

Widoczność

Wirtualne

Wirtualne

© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Public 20

10.20.20.50 10.20.30.101 10.20.20.51

vPC Peer-link

VSL

vPC

Service VLANs

Nexus 1000V and VSG

Nexus 7000

Nexus 5000

ESX Server ASA 5585

Cat 6500

monitor session 2 type erspan-source description N1k ERSPAN –session 2 monitor session 4 type erspan-destination description N1k ERSPAN to IDS1

monitor session 1 type erspan-source description N1k ERSPAN – session 1 monitor session 3 type erspan-destination description N1k ERSPAN to NAM

NAM

Widoczność

© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Public 21

© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Public 22

Warunek

źródłowy

Warunek

docelowy Akcja

Reguła

Network Attributes

IP Address

Network Port

Operator

eq

neq

gt

lt

range

Not-in-range

Prefix

Operator

member

Not-member

Contains

Warunek

VM Attributes

VM Name

Guest OS full name

Resource Pool

Parent App Name

Port Profile Name

Cluster Name

VM DNS Name

Hypervisor Name

Attribute Type

Network

VM

User Defined

vZone

VSG Nexus 1000V

© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Public 23

Web Server Web

Server

Dopuść tylko Port 80

(HTTP) na serwerach web

Dopuść tylko Port 22

(SSH) do serwerów

aplikacyjnych

Pozwól tylko serwerom web na

dostęp do serwerów aplikacji

Klient

Web

Web Zone

DB server DB

server

Database Zone

App Server App

Server

Application Zone

Pozwól tylko serwerom aplikacji

na dostęp do serwerów DB

Zablokuj jakikolwiek

dostęp z zewnątrz do

serwerów DB

VSG Nexus 1000V

© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Public 24

• Tenant cloning z uwzględnieniem zone oraz nakładającej się adresacji

IP (overlapping)

• Izolowanie nakładających się IP poprzez translację adresó (NAP/PAT)

przy połączeniu do sieci zewnętrznych

ASA 1000V Nexus 1000V

Tenant A Tenant A’ (clone)

Virtualized Servers

VM 1 VM 2 VM 1

VM 3 VM 1

ASA 1000V

Sieć zewnętrzna

VM 1 VM 2 VM 1

VM 3 VM 1

ASA 1000V

© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Public 25

• Maszyny wirtualne często i szybko są „podnoszone/tworzone” w

środowiskach wirtualnych

• ASA 1000V DHCP może być użyte do dynamicznego przypisania adresu

IP do nowej maszyny wirtualnej

Tenant A Tenant B

Serwery zwirtualizowane

VM 1 VM 2 VM 1

VM 3 VM 1

ASA 1000V

VM 1 VM 2 VM 1

VM 3 VM 1

ASA 1000V

ASA 1000V Nexus 1000V

© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Public 26

• Unikalne rozwiązanie systemowe Cisco TrustSec w zwalidowanej architekturze Data Center

• Bezpieczeństwo oparte o kontekst w działaniu

• Segmentacja oparta o grupy SGT (Security Group Tags)

• Mechamizm niezależny od transportu i topologii sieciowej

• Przykłady zastosowania: Dostęp do usługi VDI w DC

Dostęp do zasobów chmury prywatnej

ASA 5585-X ISE Nexus 7000 Nexus 1000V

© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Public 27

Egress

SGT=100

Jestem pracownikiem

W grupie HR

HR SGT = 100

• TrustSec Security Group Firewalling:

Rozszerza koncepcję zastosowania ASA 9.0

Użycie Security-Group Tag (SGT) w politykach Firewalla

Ingress

HR (SGT=100)

Finanse (SGT=4)

802.1X/MAB/Web Auth

S-IP User S-SGT D-IP D-SGT DENY

ASA 5585-X ISE

© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Public 28

Źródłowy SGT Docelowy SGT

Faza I: Context Agent – Identity Firewall w ASA 8.4(2)

Faza II: wsparcie dla TrustSec SXP w ASA 9.0

ASA 5585-X ISE

© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Public 29

© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Public 30

• DMVPN

• Easy VPN

• FlexVPN

• BGP

• OSPF

• EIGRP

• Firewall

• ACL

• AAA

• NAT

• DHCP

• HSRP

• AppNav/WCCP

• LISP

© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Public 31

© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Public 32

© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Public 33