Проблема защиты информации в современном ЦОДе и способы ее решенияCisco Russia
Similar to Защита центров обработки данных. Механизмы безопасности для классической фабрики и фабрики ориентированной на приложения ACI – До, Во Врем (20)
3. Безопасность и виртуализация в ЦОД
Безопасность ЦОД
приоритеты, проблемы
Встроенные механизмы
защиты
Устройства безопасности в
ЦОД
Мониторинг и реагирование
Заключение
3
4. Архитектурные вызовы в современном ЦОД
Развивающиеся
угрозы
Новые приложения
(Физические,
виртуализированные
и облачные)
Новые тренды
распределения
трафика в сети ЦОД
Source: Cisco Global Cloud Index, 2012
5. Просто, Эффективно и Доступно
Сегментация
• Определение границ: сеть, вычислительный ресурс, вируальная сеть
• Применение политик по функциям - устройство, организация, соответствие
• Контроль и предотвращение НСД к сети, ресурсам, приложениям
Защита от
угроз
• Блокирование внешних и внутренних атак и остановки сервисов
• Патрулирование границ зон безопасности
• Контроль доступа и использования информации для предотвращения ее потери
Видимость
• Обеспечение прозрачности использования
• Применение бизнес-контекста к сетевой активности
• Упрощение операций и отчетности
Север-Юг
Восток-Запад
Защита, Обнаружение, Контроль
6. Какая архитектура для обеспечения безопасности ЦОД
является правильной?
Ориентация на
виртуализацию
Отсутствие
поддержки
физических
сред
Ограниченная
видимость
Сложность
управления (2 сети
вместо одной!)
Ориентация на
приложения
Любая нагрузка
в любом месте
Полная
видимость
Автоматизация
Ориентация на
периметр
Сложно и
много
ручных
процессов
Ошибки
конфигурации
Статическая
топология
Ограничения
применения
7. Модель безопасности ЦОД ориентированная на угрозы
Л а н д ш а ф т у г р о з
DURING
Detect
Block
Defend
AFTER
Scope
Contain
Remediate
ДО
Контроль
Применение
Усиление
ПОСЛЕ
Видимость
Сдерживание
Устранение
Обнаружение
Блокировка
Защита
ВО ВРЕМЯ
Сеть ОблакоМобильные
устройства
Виртуальные
машины
Оконечные
устройства
9. Классическая фабрика
HypervisorHypervisor Hypervisor Hypervisor
VRF Blue VRF Purple
Firewall Firewall
Nexus 7000
Nexus 5500
Nexus 1000V Nexus 1000V
Традиционные механизмы для
изоляции и сегментации на физических
коммутаторах и виртуальных
Зонирование для применения
политик
Разделение физической
инфраструктуры на зоны
§ Разделение L2/L3 путей при
помощи VDC/VLAN/…
§ VRF – разделение таблиц
маршрутизации
§ Фильтрация север-юг, запада –
восток МСЭ или списками
доступа
9
10. Управление политиками в виртуальной сети
Nexus 1000V
§ Операционная модель на базе
портовых профилей Port Profiles
§ Поддержка политик безопасности с
изоляцией и сегментацией при помощи
VLAN, Private VLAN, Port-based Access
Lists, TrustSec и Cisco Integrated Security
функций
§ Обеспечение прозрачности потоков от
виртуальных машин функциями ERSPAN
и NetFlow
Виртуальный коммутатор: Nexus 1000V
Network
Team
Server
Team
Управление и
мониторинг
Роли и
ответственность
Изоляция и
сегментация
Security
Team
Nexus 1000V
10
11. Профиль порта
Nexus 1000V поддерживает:
ü ACLs
ü Quality of Service (QoS)
ü PVLANs
ü Port channels
ü SPAN ports
port-profile vm180
vmware port-group pg180
switchport mode access
switchport access vlan 180
ip flow monitor ESE-flow input
ip flow monitor ESE-flow output
no shutdown
state enabled
interface Vethernet9
inherit port-profile vm180
interface Vethernet10
inherit port-profile vm180
Port Profile –> Port Group vCenter API
vMotion
Policy Stickiness
Network
Security
Server
11
12. Сервисные цепочки при помощи vPath
vPath это компонент шины данных Nexus
1000V:
• Модель вставки сервиса без привязки к
топологии
• Сервисные цепочки для нескольких
виртуальных сервисов
• Повышение производительности с vPath
например VSG flow offload
• Эффективная и масштабируемая
архитектура
• Сохранение существующей модели
операций
• Мобильность политик
Cloud Network Services (CNS)
Hypervisor
Nexus 1000V vPath
12
13. Архитектура TrustSec
• Классификация систем/пользователей на базе контекста (роль, устройство,
место, способ подключения)
• Контекст (роль) транслируется в метку Security Group Tag (SGT)
• МСЭ, маршрутизаторы и коммутаторы используют метку SGT для принятия
решения о фильтрации
• Классифицируем один раз – используем результат несколько раз
13
Users, Devices
Switch Router DC FW DC Switch
HR Servers
Enforcement
SGT Propagation
Fin Servers SGT = 4
SGT = 10
ISE Directory
Classification
SGT:5
14. Назначение группы
14
Динамическая классификация Статическая классификация
• IP Address
• VLANs
• Subnets
• L2 Interface
• L3 Interface
• Virtual Port Profile
• Layer 2 Port Lookup
Классификация для
мобильных устройств
Классификация для серверов
и на базе топологии
802.1X Authentication
MAC Auth Bypass
Web Authentication
SGT
14
15. Механизмы распространения меток SGT
15
Wired
Access
Wireless
Access
DC Firewall
Enterprise
Backbone
DC
Virtual
AccessCampus Core DC Core
DC
Distribution
Physical
Server
Physical
Server
VM
Server
PCI VM
Server
DC
Physical
Access
SGT 20
SGT 30
IP Address SGT SRC
10.1.100.98 50 Local
SXP IP-SGT Binding Table
SXP
SGT = 50
ASIC ASIC
Optionally Encrypted
Inline SGT Tagging
SGT=50
ASIC
L2 Ethernet Frame
SRC: 10.1.100.98
IP Address SGT
10.1.100.98 50
SXP
Non-SGT
capable
Inline Tagging (data plane):
Поддержка SGT в ASIC
SXP (control plane):
Распространение между
устройствами без поддержки SGT в
ASIC
Tag When you can!
SXP when you have
to!
18. Что представляет собой ACI?
ACI фабрика
Неблокируемая фабрика на базе оверлеев
App DBWeb
Внешняя сеть
передачи данных
(Tenant VRF)
QoS
Filter
QoS
Service
QoS
Filter
Application Policy
Infrastructure
Controller
APIC
1. Профиль
приложения
2. Кластер
контроллеров
3. Cеть на базе
Nexus 9000
19. Tenant: Логический контейнер для
размещения политик приложений.Этот
контейнер может быть выделен
отдельному арендатору, организации
или приложению.
Application Profile: профиль
приложения моделирует требования
приложения к сети и включает в себя
необходимое количество EPG.
Bridge Domain: Логическая
конструкция представляющая L2-
сегмент передачи данных внутри
фабрики. Один или несколько EPG
могут быть ассоциированы с одним
BD.
Объектная модель используемая в ACI
Tenant A
ANP 3-tier App ANP Storage
BridgeDomainBD_1
BridgeDomainBD_2
Контракт
КонтрактКонтракт
EPG
NetApp_LIF
EPG
VM-NIC
EPG
База данных
EPG
Сервер
приложений
EPG
Web-сервер
20. End Point Group (EPG): EPG это
набор физических или виртуальных
объектов, для которых должны быть
обеспечены одинаковые политики и
сервисы при подключении к сети.
Например набор виртуальных машин
или интерфейсов СХД.
Контракты: регламентирует правила
передачи данных между EPG при
помощи механизмов фильтрации,
обеспечения качества обслуживания и
перенаправления трафика на внешние
сервисные устройства, такие как МСЭ
и т.д.
Объектная модель используемая в ACI
Tenant A
ANP 3-tier App ANP Storage
BridgeDomainBD_1
BridgeDomainBD_2
Контракт
КонтрактКонтракт
EPG
NetApp_LIF
EPG
VM-NIC
EPG
База данных
EPG
Сервер
приложений
EPG
Web-сервер
21. Взаимодействие внутри ACI
“Users”“Files”
ACI Fabric
Определение
Endpoint Groups
Любой хост внутри в любом
месте фабрики виртуальный
или физический
Применение входящих
политик
Применение политик на всех портах:
security in depth, embedded QoS
Точка оркестрации
Разделение
административных ролей
с использованием общего
интерфейса и объектов
Application Policy
Infrastructure Controller
(APIC) Создание контракта между
Endpoint Groups
Правила: drop, prioritize, push to
service chain; reusable templates
Service Graph
Сервисное устройство
Администратор
безопасности определяет
шаблоны политик,
которые далее
используются при
создании контракта
All TCP/UDP: Accept, Redirect
UDP/16384-32767: Prioritize
All Other: Drop
Policy Contract “Users → Files”
21
22. Интеграция гипервизоров и ACI
EPG классификация при помощи атрибутов VM
• End Point Group (EPG) могут использовать
несколько методов для классификации
• VM Port Group – это самый простой
механизм классификации ВМ
• Атрибуты ВМ так же могут использоваться
для классификации EPG
• Используется ACI релиз 11.1 с AVS
(первоначальная доступность)
• Поддержка коммутаторов в
гипервизорах VMware vDS, Microsoft
vSwitch, OVS (планируется)
Атрибуты ВМ
Guest OS
VM Name
VM (id)
VNIC (id)
Hypervisor
DVS port-group
DVS
Datacenter
Custom Attribute
MAC Address
IP Address
vCenterVMAttributes
VMTraffic
Attributes
23. Интеграция ACI и TrustSec
SGT ß EPG
ACI-Enabled DC
SGTàEPGTrustSec-Enabled
Network
Consistent Policy
• Cisco планирует интегрировать TrustSec и ACI дав возможность заказчикам
создать интегрированную систему безопасности, которая предоставляет
возможность воспользоваться контекстом TrustSec, сформулированном в
территориально распределенной сети, при определении сетевой политики
приложения, размещаемого в фабрике ACI ЦОД
• Возможность создать связанную политику безопасности на предприятии с
одновременным использованием роли пользователя и контекста приложения
• Подход на основе групповых политик упростит дизайн, операции по поддержке и
комплекс организационных мероприятий по соответствию нормативным
требованиям
25. МСЭ ASA и фабрика ЦОД
§ ASA и Nexus Virtual Port Channel
§ vPC обеспечивает распределение нагрузки по
соединениям (отсутствие заблокированных STP
соед.)
§ ASA использует технологии отказоустойчивости
ЦОД
§ Уникальная интеграция ASA и Nexus (LACP)
§ IPS модуль полагается на связность от ASA –
обеспечивает DPI
§ Проверенный дизайн для сегментации, защиты от
угроз и прозрачности операций (visibility)
§ Transparent (рекомендован) и routed режимы
§ Работает в режимах A/S и A/A failover
Уровень агрегации ЦОД
Active vPC Peer-link
vPC vPC
Core
IP1
Core
IP2
Active or
Standby
N7K VPC 41N7K VPC 40
Nexus 1000V
vPath
Hypervisor
Nexus 1000V
vPath
Hypervisor
Core Layer
Aggregatio
n Layer
Access Layers
25
26. Aggregation Layer
L2
L3
FW HA
VPCVPC
VPC
DC Core /
EDGE
VPCVPC
FHRPFHRP
SVI VLAN200 SVI VLAN200
North Zone
VLAN 200
South Zone
VLAN 201
Trunks
VLAN 200
Outside
VLAN 201
Inside
N7K VPC
40
N7K VPC
41
ASA channel
32
VPC PEER LINK
VPC PEER LINK
Access Layer
Подключение ASA к Nexus с vPC
§ ASA подключается к Nexus
несколькими интерфейсами с
использованием vPC
• ASA может быть настроена на
переход на резервную
коробку в случае потери
нескольких соединений (при
использовании HA)
§ Идентификаторы vPC разные
для каждого МСЭ ASA на
коммутаторе Nexus (это
меняется для кластера ASA и
cLACP [далее…])
26
27. Физический сервис для виртуального
HypervisorHypervisor Hypervisor Hypervisor
VRF Blue VRF Purple
Firewall Firewall
Nexus 7000
Nexus 5500
Nexus 1000V Nexus 1000V
§ Применяем физические
устройства для изоляции и
сегментации виртуальных машин
§ Используем зоны для
применения политик
§ Физическая инфраструктура
привязывается к зоне
§ Разделяем таблицы
маршрутизации по зонам через
VRF
§ Политики МСЭ на зоны привязаны
к потокам север-юг, восток-запад
§ Проводим L2 и L3 пути через
физические сервисы
27
29. Hypervisor
Инспекция трафика между VLAN для VM
ASA с Bridge Group внутри контекста
Layer 2 Adjacent
Switched Locally
Direct Communication
ASA 5585
Transparent Mode
Aggregation
Core
Layer 3 Gateway
VRF or SVI
Aggregation
Core
Physical
Layout
East-West VLAN
filtering
VLAN
20
VLAN
100
interface vlan 21
10.10.20.1/24
interface vlan 101
10.10.101.1/24
interface TenGigabitEthernet0/6
channel-group 32 mode active vss-id 1
no nameif
no security-level
!
interface TenGigabitEthernet0/7
channel-group 32 mode active vss-id 2
no nameif
no security-level
!
interface BVI1
ip address 10.10.20.254 255.255.255.0
!
interface Port-channel32
no nameif
no security-level
!
interface Port-channel32.20
mac-address 3232.1111.3232
vlan 20
nameif inside
bridge-group 1
security-level 100
!
interface Port-channel32.21
mac-address 3232.1a1a.3232
vlan 21
nameif outside
bridge-group 1
security-level 0
…
29
VLAN
21
VLAN
101
30. Обзор кластера ASA
§ Кластеризация поддерживается на 5580, 5585 и
5500-X (5500-X кластер из 2-х устройств)
§ CCL – критическое место кластера, без него
кластер не работает
§ Среди членов кластера выбирается Master для
синхронизации настроек— не влияет на путь
пакета
§ Новый термин “spanned port-channel” т.е.
Распределенные/общие настройки порта среди
членов кластера ASA
§ Кластер может ре-балансировать потоки
§ У каждого потока есть Owner и Director и
возможно Forwarder
§ Шина данных кластера ДОЛЖНА использовать
cLACP (Spanned Port-Channel)
Cluster Control Link
vPC
Data Plane
Aggregation
Core
ASA Cluster
vPC 40
30
31. Кластер МСЭ ASA
Кластеризация ASA для требований ЦОД
Cluster Control link
shares state and
connection information
among cluster members
Aggregation
Core
Hypervisor Hypervisor
Database
ASA Cluster includes
Context 1 & 2
Transparent Mode
ASA 5585 ASA 5585 ASA 5585 ASA 5585
Aggregation
Core
Physical
Layout
Cluster Control Link
Cluster functionally
the same in either
transparent or routed
mode
Cluster members used
for North-South, East-
West inspection and
filtering
Context1 Context2
Owner Director
IPS relies on ASA
Clustering
31
Web
Apps
32. Внедрение ASAv : виртуальный МСЭ+VPN
32
§ Сегодня для фильтрации между зонами и
тенантами применяется ASA в режиме мульти-
контекст
§ Для передачи трафика используются транки
§ Проблема – масштабирование фильтрации
Запад-Восток требует ресурсов МСЭ и
масштабируемого транспортного решения Zone 1 Zone 2 Zone 3
VM 1
VM 2
VM 3
VM 4
VFW 1
VM 5
VM 6
VM 7
VM 8
VFW 2 VFW 3
§ ASAv – может быть пограничным МСЭ и
может обеспечивать фильтрацию Восток-
Запад
§ На каждого тенанта или зону можно
развернуть одну или несколько ASAv для FW
+ VPN
§ Масштабируемая терминация VPN S2S и RA
Vzone 1 Vzone 2
Multi Context Mode ASA
33. Внедрение ASAv : виртуальный МСЭ+VPN
3 режима примения политик
Routed Firewall
• Маршрутизация трафика между vNIC
• Поддержка таблиц ARP и маршрутов
• МСЭ на границе тенанта
Transparent
Firewall
• VLAN или VxLAN Bridging / Stitching
• Поддержка таблицы MAC
• Бесшовная интеграция в L3 дизайн
Service Tag
Switching
• Инспектирование между service tags
• Нет взаимодействия с сетью
• Режим интеграции с фабрикой
33
34. Routed Firewall
§ Routed – граница сети контейнера/
тенанта
§ Шлюз по умолчанию для хостов
§ Маршрутизация между несколькими
подсетями
§ Традиционная L3 граница сети
§ Подключение виртуальных машин и
физических
§ Сегментация с использованием
интерфейсов
ASAv
Routed
client
Gateway
Outside
Inside
host1
host2
Shared
DMZ
34
35. Transparent Firewall
• Коммутация между 4 (под-)
интерфейсами
• 8 BVI на ASAv
• NAT и ACL
• Бесшовная интеграция для
соотв. PCI
• Традиционная граница L2
между хостами
• Все сегменты в одном
широковещательном домене
ASAv
Transp
Gateway
client
Segment-1
Segment-3
host1
host2
Segment-2
Segment-4
35
37. Web-zone
Fileserver-zone
Hypervisor
Nexus 7000
Nexus 5500
Nexus
1000V
VRF
VLAN 50
UCS
Защита приложений и видимость
Инспекция трафика север-юг и восток-запад с ASA
Глубокая инспекция с virtual IPS – в режиме inline
(коммутация между VLAN) или promiscuous port на
vswitch
Сервисная цепочка – ASAv и vIPS
.1Q Trunk
External VLAN 50
Defense Center с
Firesight для
анализа данных
37
Inline Set
Inline Set
Internal
External Internal
VLAN 200
38. vIPS
Варианты включения: в «разрыв» или «пассивный»
Web-zone
VLAN 200
Promiscuous
Port
vSwitch
Web-zone
VLAN 200
External
vSwitchvSwitch
38
Internal
40. ASA и FirePOWER в архитектуре ACI
ASA5585
Divert to SFR NGIPSv FirePOWER
ASAv30
ASAv10
FireSIGHT
41. Основной принцип ACI - логическая конфигурация сети, не
привязанная оборудованию
ACI фабрика
Неблокируемая фабрика на базе оверлеев
App DBWeb
Внешняя сеть
передачи данных
(Tenant VRF)
QoS
Filter
QoS
Service
QoS
Filter
Application Policy
Infrastructure
Controller
APIC
Вставка сервисной цепочки
42. Автоматизация вставки сервисного устройства при
помощи механизма «device package»
Open Device
Package
Policy
Engine
APIC реализует расширяемую модель политик
при помощи Device Package
Configuration
Model
Device Interface: REST/CLI
APIC Script Interface
Call Back Scripts
Event Engine
APIC– Policy Manager
Configuration
Model (XML File)
Call Back Script
Администратор загружает файл, содержащий
Device Package в APIC
Device Package содержит XML модель устройства,
которое находится под управлением
Device scripts транслирует вызовы APIC API
в специфичные для устройства CLI команды или API
вызовы
APIC
43. § Режим одного и нескольких контекстов поддерживается для релиза
драйвера DP 1.2
§ Оба режима используют возможность создания VLAN подинтерфейсов
§ Transparent (bump in the wire) режим для вставки “Go-Through”
§ Передача пакетов построена на базе MAC адресов. Таблица маршрутизации влияет
на NAT и инспекцию приложений
§ Режим Flooding должен быть включен для ACI Bridge Domains
§ Routed (Layer 3 hop) режим для вставки “Go-To”
§ Общая таблица маршрутизации на контекст требует наличия статических
маршрутов или динамической маршрутизации (DP 1.2) для подключения к EPG.
Модели интеграция ASA в фабрику ACI
44. § Failover защита от выхода из строя устройства
§ Failover соединения имеют один общий активный IP/MAC
§ Пара Active/Standby настраивается и управляется APIC’ом. Оба устройства
ASA должны быть зарегистрированы на APIC.
§ Режим Active/Active failover не поддерживается
§ Кластер обеспечивает высокий уровень производительности в ACI
§ До 16 устройств ASA5585-X может быть объединено в один логический
МСЭ
§ Режим интерфейса Spanned Etherchannel обеспечивает общий IP и MAC
адрес
§ Настройка кластера производится в режиме out of band, но APIC может
управлять им после настройки.
ASA доступность и масштабируемость
45. § Routed Mode (Go-To) Tenant
§ Transparent Mode (Go-Through) Tenant
BD2BD1
Интеграция ASA в фабрику ACI
EPG A EPG B FW
Graph B 10.0.0.0/24
External Internal
External
EPG A1 EPG B
Graph A 10.0.0.0/24 10.0.0.1 20.0.0.1 20.0.0.0/24
External Internal
BD2BD1
FW
Device Package 1.0 или 1.1
46. BD
1
BD2
§ Routed Mode
§ Transparent Mode
BD2BD
1
Интеграция ASA в фабрику ACI
EPG A EPG B FW
Graph B
10.0.0.0/24
Tenant B
External Internal
EPG A EPG A FW
Graph A
10.0.0.1 20.0.0.1
Tenant A
External Internal
VRF1 VRF2
OSPF/BGP
OSPF/BGPOSPF/BGP
VRF1 VRF2
10.0.0.2 20.0.0.2
10.0.0.10 10.0.0.11 100.0.0.0/24 200.0.0.0/24
201.0.0.0/24
202.0.0.0/24
203.0.0.0/24
101.0.0.0/24
102.0.0.0/24
103.0.0.0/24
200.0.0.0/24
201.0.0.0/24
202.0.0.0/24
203.0.0.0/24
100.0.0.0/24
101.0.0.0/24
102.0.0.0/24
103.0.0.0/24
ASA 1.2 Device Package
47. BD2BD
1
Transparent Mode
Вставка FirePOWER в фабрику ACI
EPG A EPG
B NGIPS
Graph A
10.0.0.0/24
Tenant A
External Internal
BD
1
BD2
EPG A EPG B NGIPS
Graph B
10.0.0.0/24
Tenant B
External Internal
VRFs VRFs
OSPF/BGP
10.0.0.10 10.0.0.11 100.0.0.0/24 200.0.0.0/24
201.0.0.0/24
202.0.0.0/24
203.0.0.0/24
101.0.0.0/24
102.0.0.0/24
103.0.0.0/24
48. Интеграция с ACI устройств безопасности Cisco
Подключение к фабрике
ACI
Подключение к фабрике
ACI
Настройка политик
Мониторинг и уведомления в
реальном времени
Настройка политик
Managing Service Producer Security Configurations and Visibility
События и syslog CSM
ASA Device Package
FirePOWER Device Package
Интеграция ASA Интеграция FirePOWER
49. Обработка сервисного графа
Для каждой функции в графе:
1. APIC выбирает логическое устройство из ранее определенных
2. APIC разрешает параметры конфигурации и готовит конфигурационный словарь
3. APIC выделяет VLAN для каждого соединения, ассоциированного с функцией
4. APIC настраивает сеть - VLAN, EPG и соответствующие фильтры
5. APIC запускает скрипт и настраивает сервисное устройство
FuncAon
Firewall
FuncAon
SSL offload
FuncAon
Load Balancer
Сервисный граф: “web-applica=on”
Firewall
FuncAon
SSL offload
FuncAon
Load Balancer
Выделение VLAN
1
2
3
Настройка VLAN 4
5
EPG
Web EPG
App
50. ASA5585 c SFR в сервисном графе – Etherchannel
Po1.300 Po1.301
Vlan 100 Vlan 200
vPC4
VLAN 300
vPC4
Vlan 301
App1
DB
providerconsumer
class firepower_class_map
sfr fail-close
SFR
NGIPS policy
ASA
Когда сервисный граф с сервисным устройством ASA активируется в
определенном контракте (начинается рендеринг), APIC автоматически
настроивает ASA интерфейсы и политики, включая redirection на модуль
FirePOWER. Поддерживаются L3 (GoTo) и L2 (GoThrough) режимы.
FireSIGHT независимо управляет политиками FirePOWER.
ASA 1.2 Device Package
ASA5585+SFR
APIC
Vlan 100
App2 VM
51. Cервисный граф для FirePOWER - LAG
s1p1.300 s1p2.301
Vlan 100 Vlan 200
vPC4
Vlan 300
vPC4
Vlan 301
Идентификаторы VLAN ID назначаются автоматически
из пула и для EPG и для портов сервисных устройств.
Настройка всех портов согласно логике (L2,L3)
производится автоматически.
App DB
consumer provider
FirePOWER использует
LAG (port-channel) для
подключения к фабрике
для обеспечения
отказоустойчивости к
одному коммутатору или
паре коммутаторов с
функцией vPC.
Physical
APIC использует FirePOWER
Device package для
взаимодействия с FireSIGHT
Management Center который
управляет NGIPS
APIC
52. ASAv и FirePOWERv в сервисном графе
vNIC2 vNIC3
Vlan 100 Vlan 200
App
DB
providerconsumer
Устройства ASAv и
NGIPSv разворачиваются
вручную или при помощи
оркестратора. vNIC
интерфейсы, помеченные
как consumer и provider
задействуются при
активации (рендеринге)
сервисного графа.
vNIC2 vNIC3
providerconsumer
Vlan 302 Vlan 303Vlan 300 Vlan 301
APIC полностью управляет
конфигурацией ASAv, при этом настройка
виртуального FirePOWER устройства
выполняется при помощи FireSIGHT.
APIC
62. Применение NetFlow для безопасности
§ Обнаружение сложных и стойких угроз. Выявление вредоносного
ПО внутри защищенного периметра. Выявление угроз нулевого дня.
§ Выявление активности каналов управления и контроля BotNet.
Вредоносное ПО с внешними центрами управления может
использоваться для рассылки SPAM, организации DoS атак и другой
вредоносной активности.
§ Обнаружение сетевого взлома. Некоторые типы атак используют
различные приемы сетевого сканирования для выбора вектора атаки,
что может быть использовано для выявления угроз.
§ Обнаружение внутреннего распространения вредоносного ПО.
Распространение вредоносного ПО по сети может приводить к потери
конфиденциальных и защищенных данных.
§ Выявление утечки данных. Вредоносное ПО может содержать код
для организации передачи данных в сторону атакующего. Такие утечки
могут происходить периодически в течении небольших промежутков
времени.
62
63. NetFlow в двух словах
Internal
Network
NetFlow Data
NetFlow Collector
63
64. Решение Cyber Threat Defense
Data Center
Прозрачность, Контекст и
Контроль
Использование NetFlow до
уровня доступа
Унификация инструментов для
обнаружения, расследования и
отчетности
Наполнение данных
информацией идентификации,
событиями, контекстом
Кто
Что
Где
Когда
Как
Cisco ISE
Cisco ISR G2 +
NBAR
Cisco ASA + NSEL
Context
64
65. Компоненты решения Cyber Threat Defense
Cisco Network
StealthWatch
FlowCollector
StealthWatch
Management
Console
NetFlow
Users/Devices
Cisco ISE
NetFlow
StealthWatch
FlowReplicator
Other tools/
collectors
https
https
NBAR NSEL
NGA
NetFlow Generating Appliance
65
66. Решение Cisco
Обнаружение атак без сигнатур
Высокий Concern Index показывает
существенное количество подозрительных
событий, что является отклонением от
установленной нормы
Host Groups Host CI CI% Alarms Alerts
Desktops 10.10.101.118 338,137,280 112,712% High Concern index Ping, Ping_Scan, TCP_Scan
Мониторинг и нормирование активности для хоста внутри группы
66
67. Идентификация угроз и назначение атрибутов
Интеграция Cisco ISE и Lancope StealthWatch
Policy Start Active
Time
Alarm Source Source
Host
Group
Source User
Name
Target
Inside Hosts 8-Feb-2012 Suspect Data Loss 10.34.74.123 Wired
Data
Bob Multiple Hosts
67
68. Обнаружение распространения вредоносного ПО
NetFlow Capable
Devices
Management
StealthWatch
FlowCollector
StealthWatch
Management
Console3. Сбор и анализ данных
NetFlow 4. Добавление контекстной
информации к данным
NetFlow анализа
5. Повышение Concern index и
генерация события Worm
propagation
Cisco ISE
Initial
Infection
Secondary
Infection
1Заражение происходит по внутренней сети
в соответствии с планом атакующего
2. Инфраструктура создает записи
активности с использованием
NetFlow
Data Center
68
69. Обнаружение распространения вредоносного ПО
Devices
Management
StealthWatch
FlowCollector
StealthWatch
Management
Console3. Сбор и анализ данных
NetFlow 4. Добавление контекстной
информации к данным
NetFlow анализа
5. Повышение Concern index и
генерация события Worm
propagation
Cisco ISE
Tertiary
Infection
Initial
Infection
Secondary
Infection
2. Инфраструктура создает записи
активности с использованием
NetFlow
NetFlow Capable
1. Заражение происходит по внутренней сети
в соответствии с планом атакующего
Data Center
69
71. Примечание про StealthWatch и NSEL
§ Поле Flow Action добавляет дополнительный контекст
§ Данные о состоянии NSEL используются при поведенческом анализе в StealthWatch
(concern Index points суммируются для событий Flow Denied)
§ NAT stitching убирает избыточные записи потоков от ASA и ASR1000
§ Отсутствие данных о TCP флагах и счетчиков переданных и принятых байт снижает
эффективность NSEL и позволяет использовать только для обнаружения ряда угроз (ex.
SYN Flood); предлагается использовать в комбинации с дополнительными источниками
NetFlow
NetFlow Secure Event Logging
71
75. Ускорение отражения угроз при помощи интеграции между
ACI и FirePOWER NGIPS
Host 3
Приложение 1
(Physical)
Host 1 Host 2
Приложение 2
(Physical)
V
M
V
M
V
M
1. FirePOWER IPS использует возможности ACI
фабрики по мониторингу для обнаружения
атаки на ее самой ранней фазе
Proactive Detection Mitigation Incident Response and Mission Assurance
Жизненный цикл атаки
Weaponize Execute
Deliver Control Maintain
Exploit
Recon
APIC FireSIGHT
2. Механизм «continuous analytics»
компоненты FireSIGHT Manager
обеспечивает обнаружение атаки
3. FireSIGHT использует APIC API для
программирования политики с целью
блокировки атаки (FireSIGHT System
Remediation API), а так же задействует
механизм карантина для нежелательного
трафика
4. FirePOWER IPS непрерывно собирает
информацию о событиях с ACI Фабрики, чтобы
обнаружить новые угрозы
77. С чего начать? Cisco SAFE!
Сеть L2/
L3
Управление
доступом +
TrustSec
к комплексу
зданий
Зона общих
сервисов
Система
предотвра-
щения
вторжений
нового
поколения
Зона сервера
приложений
Зона
соответствия
стандартам PCI
Зона базы
данных
Анализ
потока
Безопасность
хоста
Баланси-
ровщик
нагрузки
Анализ
потока
МСЭ
Антивре-
доносное
ПО
Анали-
тика
угроз
Управление
доступом +
TrustSec
Система
предотвра-
щения
вторжений
нового
поколения
Межсетевой экран нового поколения Маршрутизатор
Сеть
L2/L3МСЭ VPN
Коммута-
тор
МСЭ веб-
приложений
Централизованное управление
Политики/
Конфигурация
Мониторинг/
контекст
Анализ/
корреляция
Аналитика
Регистрация
в журнале/
отчетность
Аналитика
угроз
Управление
уязвимостями
Мониторинг
к периметру
Виртуализированные функции
WAN