Защита центров обработки данных. Механизмы безопасности для классической фабрики и фабрики ориентированной на приложения ACI – До, Во Время и После

1. Защита центров обработки данных.
Механизмы безопасности для классической
фабрики и фабрики ориентированной на
приложения ACI – До, Во Время и После
Руслан Иванов
ruivanov@cisco.com
Станислав Рыпалов
srypalov@cisco.com
23.11.15 © 2015 Cisco and/or its affiliates. All rights reserved.

2. Защита центров обработки данных.
Механизмы безопасности для классической
фабрики и фабрики ориентированной на
приложения ACI – До, Во Время и После
23.11.15 © 2015 Cisco and/or its affiliates. All rights reserved.2

3. Безопасность и виртуализация в ЦОД
Безопасность ЦОД
приоритеты, проблемы
Встроенные механизмы
защиты
Устройства безопасности в
ЦОД
Мониторинг и реагирование
Заключение
3

4. Архитектурные вызовы в современном ЦОД
Развивающиеся
угрозы
Новые приложения
(Физические,
виртуализированные
и облачные)
Новые тренды
распределения
трафика в сети ЦОД
Source: Cisco Global Cloud Index, 2012

5. Просто, Эффективно и Доступно
Сегментация
• Определение границ: сеть, вычислительный ресурс, вируальная сеть
• Применение политик по функциям - устройство, организация, соответствие
• Контроль и предотвращение НСД к сети, ресурсам, приложениям
Защита от
угроз
• Блокирование внешних и внутренних атак и остановки сервисов
• Патрулирование границ зон безопасности
• Контроль доступа и использования информации для предотвращения ее потери
Видимость
• Обеспечение прозрачности использования
• Применение бизнес-контекста к сетевой активности
• Упрощение операций и отчетности
Север-Юг
Восток-Запад
Защита, Обнаружение, Контроль

6. Какая архитектура для обеспечения безопасности ЦОД
является правильной?
Ориентация на
виртуализацию
Отсутствие
поддержки
физических
сред
Ограниченная
видимость
Сложность
управления (2 сети
вместо одной!)
Ориентация на
приложения
Любая нагрузка
в любом месте
Полная
видимость
Автоматизация
Ориентация на
периметр
Сложно и
много
ручных
процессов
Ошибки
конфигурации
Статическая
топология
Ограничения
применения

7. Модель безопасности ЦОД ориентированная на угрозы
Л а н д ш а ф т у г р о з
DURING
Detect
Block
Defend
AFTER
Scope
Contain
Remediate
ДО
Контроль
Применение
Усиление
ПОСЛЕ
Видимость
Сдерживание
Устранение
Обнаружение
Блокировка
Защита
ВО ВРЕМЯ
Сеть ОблакоМобильные
устройства
Виртуальные
машины
Оконечные
устройства

8. Сегментация средствами сети ЦОД
23.11.15 © 2014 Cisco and/or its affiliates. All rights reserved.8
Контроль
Применение
Усиление
ДО

9. Классическая фабрика
HypervisorHypervisor Hypervisor Hypervisor
VRF Blue VRF Purple
Firewall Firewall
Nexus 7000
Nexus 5500
Nexus 1000V Nexus 1000V
Традиционные механизмы для
изоляции и сегментации на физических
коммутаторах и виртуальных
Зонирование для применения
политик
Разделение физической
инфраструктуры на зоны
§ Разделение L2/L3 путей при
помощи VDC/VLAN/…
§ VRF – разделение таблиц
маршрутизации
§ Фильтрация север-юг, запада –
восток МСЭ или списками
доступа
9

10. Управление политиками в виртуальной сети
Nexus 1000V
§ Операционная модель на базе
портовых профилей Port Profiles
§ Поддержка политик безопасности с
изоляцией и сегментацией при помощи
VLAN, Private VLAN, Port-based Access
Lists, TrustSec и Cisco Integrated Security
функций
§ Обеспечение прозрачности потоков от
виртуальных машин функциями ERSPAN
и NetFlow
Виртуальный коммутатор: Nexus 1000V
Network
Team
Server
Team
Управление и
мониторинг
Роли и
ответственность
Изоляция и
сегментация
Security
Team
Nexus 1000V
10

11. Профиль порта
Nexus 1000V поддерживает:
ü ACLs
ü Quality of Service (QoS)
ü PVLANs
ü Port channels
ü SPAN ports
port-profile vm180
vmware port-group pg180
switchport mode access
switchport access vlan 180
ip flow monitor ESE-flow input
ip flow monitor ESE-flow output
no shutdown
state enabled
interface Vethernet9
inherit port-profile vm180
interface Vethernet10
inherit port-profile vm180
Port Profile –> Port Group vCenter API
vMotion
Policy Stickiness
Network
Security
Server
11

12. Сервисные цепочки при помощи vPath
vPath это компонент шины данных Nexus
1000V:
• Модель вставки сервиса без привязки к
топологии
• Сервисные цепочки для нескольких
виртуальных сервисов
• Повышение производительности с vPath
например VSG flow offload
• Эффективная и масштабируемая
архитектура
• Сохранение существующей модели
операций
• Мобильность политик
Cloud Network Services (CNS)
Hypervisor
Nexus 1000V vPath
12

13. Архитектура TrustSec
• Классификация систем/пользователей на базе контекста (роль, устройство,
место, способ подключения)
• Контекст (роль) транслируется в метку Security Group Tag (SGT)
• МСЭ, маршрутизаторы и коммутаторы используют метку SGT для принятия
решения о фильтрации
• Классифицируем один раз – используем результат несколько раз
13
Users, Devices
Switch Router DC FW DC Switch
HR Servers
Enforcement
SGT Propagation
Fin Servers SGT = 4
SGT = 10
ISE Directory
Classification
SGT:5

14. Назначение группы
14
Динамическая классификация Статическая классификация
• IP Address
• VLANs
• Subnets
• L2 Interface
• L3 Interface
• Virtual Port Profile
• Layer 2 Port Lookup
Классификация для
мобильных устройств
Классификация для серверов
и на базе топологии
802.1X Authentication
MAC Auth Bypass
Web Authentication
SGT
14

15. Механизмы распространения меток SGT
15
Wired
Access
Wireless
Access
DC Firewall
Enterprise
Backbone
DC
Virtual
AccessCampus Core DC Core
DC
Distribution
Physical
Server
Physical
Server
VM
Server
PCI VM
Server
DC
Physical
Access
SGT 20
SGT 30
IP Address SGT SRC
10.1.100.98 50 Local
SXP IP-SGT Binding Table
SXP
SGT = 50
ASIC ASIC
Optionally Encrypted
Inline SGT Tagging
SGT=50
ASIC
L2 Ethernet Frame
SRC: 10.1.100.98
IP Address SGT
10.1.100.98 50
SXP
Non-SGT
capable
Inline Tagging (data plane):
Поддержка SGT в ASIC
SXP (control plane):
Распространение между
устройствами без поддержки SGT в
ASIC
Tag When you can!
SXP when you have
to!

16. Применение политик SGACL (матрица доступа)
16
permit tcp dst eq 443
permit tcp dst eq 80
permit tcp dst eq 22
permit tcp dst eq 3389
permit tcp dst eq 135
permit tcp dst eq 136
permit tcp dst eq 137
permit tcp dst eq 138
permit tcp des eq 139
deny ip
Portal_ACL
16

17. Сегментация средствами ACI
23.11.15 © 2014 Cisco and/or its affiliates. All rights reserved.17
Контроль
Применение
Усиление
ДО

18. Что представляет собой ACI?
ACI фабрика
Неблокируемая фабрика на базе оверлеев
App DBWeb
Внешняя сеть
передачи данных
(Tenant VRF)
QoS
Filter
QoS
Service
QoS
Filter
Application Policy
Infrastructure
Controller
APIC
1. Профиль
приложения
2. Кластер
контроллеров
3. Cеть на базе
Nexus 9000

19. Tenant: Логический контейнер для
размещения политик приложений.Этот
контейнер может быть выделен
отдельному арендатору, организации
или приложению.
Application Profile: профиль
приложения моделирует требования
приложения к сети и включает в себя
необходимое количество EPG.
Bridge Domain: Логическая
конструкция представляющая L2-
сегмент передачи данных внутри
фабрики. Один или несколько EPG
могут быть ассоциированы с одним
BD.
Объектная модель используемая в ACI
Tenant A
ANP 3-tier App ANP Storage
BridgeDomainBD_1
BridgeDomainBD_2
Контракт
КонтрактКонтракт
EPG
NetApp_LIF
EPG
VM-NIC
EPG
База данных
EPG
Сервер
приложений
EPG
Web-сервер

20. End Point Group (EPG): EPG это
набор физических или виртуальных
объектов, для которых должны быть
обеспечены одинаковые политики и
сервисы при подключении к сети.
Например набор виртуальных машин
или интерфейсов СХД.
Контракты: регламентирует правила
передачи данных между EPG при
помощи механизмов фильтрации,
обеспечения качества обслуживания и
перенаправления трафика на внешние
сервисные устройства, такие как МСЭ
и т.д.
Объектная модель используемая в ACI
Tenant A
ANP 3-tier App ANP Storage
BridgeDomainBD_1
BridgeDomainBD_2
Контракт
КонтрактКонтракт
EPG
NetApp_LIF
EPG
VM-NIC
EPG
База данных
EPG
Сервер
приложений
EPG
Web-сервер

21. Взаимодействие внутри ACI
“Users”“Files”
ACI Fabric
Определение
Endpoint Groups
Любой хост внутри в любом
месте фабрики виртуальный
или физический
Применение входящих
политик
Применение политик на всех портах:
security in depth, embedded QoS
Точка оркестрации
Разделение
административных ролей
с использованием общего
интерфейса и объектов
Application Policy
Infrastructure Controller
(APIC) Создание контракта между
Endpoint Groups
Правила: drop, prioritize, push to
service chain; reusable templates
Service Graph
Сервисное устройство
Администратор
безопасности определяет
шаблоны политик,
которые далее
используются при
создании контракта
All TCP/UDP: Accept, Redirect
UDP/16384-32767: Prioritize
All Other: Drop
Policy Contract “Users → Files”
21

22. Интеграция гипервизоров и ACI
EPG классификация при помощи атрибутов VM
• End Point Group (EPG) могут использовать
несколько методов для классификации
• VM Port Group – это самый простой
механизм классификации ВМ
• Атрибуты ВМ так же могут использоваться
для классификации EPG
• Используется ACI релиз 11.1 с AVS
(первоначальная доступность)
• Поддержка коммутаторов в
гипервизорах VMware vDS, Microsoft
vSwitch, OVS (планируется)
Атрибуты ВМ
Guest OS
VM Name
VM (id)
VNIC (id)
Hypervisor
DVS port-group
DVS
Datacenter
Custom Attribute
MAC Address
IP Address
vCenterVMAttributes
VMTraffic
Attributes

23. Интеграция ACI и TrustSec
SGT ß EPG
ACI-Enabled DC
SGTàEPGTrustSec-Enabled
Network
Consistent Policy
• Cisco планирует интегрировать TrustSec и ACI дав возможность заказчикам
создать интегрированную систему безопасности, которая предоставляет
возможность воспользоваться контекстом TrustSec, сформулированном в
территориально распределенной сети, при определении сетевой политики
приложения, размещаемого в фабрике ACI ЦОД
• Возможность создать связанную политику безопасности на предприятии с
одновременным использованием роли пользователя и контекста приложения
• Подход на основе групповых политик упростит дизайн, операции по поддержке и
комплекс организационных мероприятий по соответствию нормативным
требованиям

24. Сегментация, обнаружение и защита
средствами безопасности
23.11.15 © 2014 Cisco and/or its affiliates. All rights reserved.24
Контроль
Применение
Усиление
ДО
Обнаружение
Блокировка
Защита
ВО ВРЕМЯ

25. МСЭ ASA и фабрика ЦОД
§ ASA и Nexus Virtual Port Channel
§ vPC обеспечивает распределение нагрузки по
соединениям (отсутствие заблокированных STP
соед.)
§ ASA использует технологии отказоустойчивости
ЦОД
§ Уникальная интеграция ASA и Nexus (LACP)
§ IPS модуль полагается на связность от ASA –
обеспечивает DPI
§ Проверенный дизайн для сегментации, защиты от
угроз и прозрачности операций (visibility)
§ Transparent (рекомендован) и routed режимы
§ Работает в режимах A/S и A/A failover
Уровень агрегации ЦОД
Active vPC Peer-link
vPC vPC
Core
IP1
Core
IP2
Active or
Standby
N7K VPC 41N7K VPC 40
Nexus 1000V
vPath
Hypervisor
Nexus 1000V
vPath
Hypervisor
Core Layer
Aggregatio
n Layer
Access Layers
25

26. Aggregation Layer
L2
L3
FW HA
VPCVPC
VPC
DC Core /
EDGE
VPCVPC
FHRPFHRP
SVI VLAN200 SVI VLAN200
North Zone
VLAN 200
South Zone
VLAN 201
Trunks
VLAN 200
Outside
VLAN 201
Inside
N7K VPC
40
N7K VPC
41
ASA channel
32
VPC PEER LINK
VPC PEER LINK
Access Layer
Подключение ASA к Nexus с vPC
§ ASA подключается к Nexus
несколькими интерфейсами с
использованием vPC
• ASA может быть настроена на
переход на резервную
коробку в случае потери
нескольких соединений (при
использовании HA)
§ Идентификаторы vPC разные
для каждого МСЭ ASA на
коммутаторе Nexus (это
меняется для кластера ASA и
cLACP [далее…])
26

27. Физический сервис для виртуального
HypervisorHypervisor Hypervisor Hypervisor
VRF Blue VRF Purple
Firewall Firewall
Nexus 7000
Nexus 5500
Nexus 1000V Nexus 1000V
§ Применяем физические
устройства для изоляции и
сегментации виртуальных машин
§ Используем зоны для
применения политик
§ Физическая инфраструктура
привязывается к зоне
§ Разделяем таблицы
маршрутизации по зонам через
VRF
§ Политики МСЭ на зоны привязаны
к потокам север-юг, восток-запад
§ Проводим L2 и L3 пути через
физические сервисы
27

28. МСЭ & виртуальная среда
Виртуальные контексты ASA для фильтрации потоков между зонами
Firewall Virtual
Context provides
inter-zone East-West
security
Aggregation
Core
Hypervisor Hypervisor
Database
ASA Context 2
Transparent Mode
ASA Context 1
Transparent Mode
ASA 5585
ASA 5585
Aggregation
Core
Physical
Layout
East-West Zone
filtering
VLAN
21
VLAN
20
VLAN
100
VLAN
101
Context1 Context2
Front-End Apps
28

29. Hypervisor
Инспекция трафика между VLAN для VM
ASA с Bridge Group внутри контекста
Layer 2 Adjacent
Switched Locally
Direct Communication
ASA 5585
Transparent Mode
Aggregation
Core
Layer 3 Gateway
VRF or SVI
Aggregation
Core
Physical
Layout
East-West VLAN
filtering
VLAN
20
VLAN
100
interface vlan 21
10.10.20.1/24
interface vlan 101
10.10.101.1/24
interface TenGigabitEthernet0/6
channel-group 32 mode active vss-id 1
no nameif
no security-level
!
interface TenGigabitEthernet0/7
channel-group 32 mode active vss-id 2
no nameif
no security-level
!
interface BVI1
ip address 10.10.20.254 255.255.255.0
!
interface Port-channel32
no nameif
no security-level
!
interface Port-channel32.20
mac-address 3232.1111.3232
vlan 20
nameif inside
bridge-group 1
security-level 100
!
interface Port-channel32.21
mac-address 3232.1a1a.3232
vlan 21
nameif outside
bridge-group 1
security-level 0
…
29
VLAN
21
VLAN
101

30. Обзор кластера ASA
§ Кластеризация поддерживается на 5580, 5585 и
5500-X (5500-X кластер из 2-х устройств)
§ CCL – критическое место кластера, без него
кластер не работает
§ Среди членов кластера выбирается Master для
синхронизации настроек— не влияет на путь
пакета
§ Новый термин “spanned port-channel” т.е.
Распределенные/общие настройки порта среди
членов кластера ASA
§ Кластер может ре-балансировать потоки
§ У каждого потока есть Owner и Director и
возможно Forwarder
§ Шина данных кластера ДОЛЖНА использовать
cLACP (Spanned Port-Channel)
Cluster Control Link
vPC
Data Plane
Aggregation
Core
ASA Cluster
vPC 40
30

31. Кластер МСЭ ASA
Кластеризация ASA для требований ЦОД
Cluster Control link
shares state and
connection information
among cluster members
Aggregation
Core
Hypervisor Hypervisor
Database
ASA Cluster includes
Context 1 & 2
Transparent Mode
ASA 5585 ASA 5585 ASA 5585 ASA 5585
Aggregation
Core
Physical
Layout
Cluster Control Link
Cluster functionally
the same in either
transparent or routed
mode
Cluster members used
for North-South, East-
West inspection and
filtering
Context1 Context2
Owner Director
IPS relies on ASA
Clustering
31
Web
Apps

32. Внедрение ASAv : виртуальный МСЭ+VPN
32
§ Сегодня для фильтрации между зонами и
тенантами применяется ASA в режиме мульти-
контекст
§ Для передачи трафика используются транки
§ Проблема – масштабирование фильтрации
Запад-Восток требует ресурсов МСЭ и
масштабируемого транспортного решения Zone 1 Zone 2 Zone 3
VM 1
VM 2
VM 3
VM 4
VFW 1
VM 5
VM 6
VM 7
VM 8
VFW 2 VFW 3
§ ASAv – может быть пограничным МСЭ и
может обеспечивать фильтрацию Восток-
Запад
§ На каждого тенанта или зону можно
развернуть одну или несколько ASAv для FW
+ VPN
§ Масштабируемая терминация VPN S2S и RA
Vzone 1 Vzone 2
Multi Context Mode ASA

33. Внедрение ASAv : виртуальный МСЭ+VPN
3 режима примения политик
Routed Firewall
• Маршрутизация трафика между vNIC
• Поддержка таблиц ARP и маршрутов
• МСЭ на границе тенанта
Transparent
Firewall
• VLAN или VxLAN Bridging / Stitching
• Поддержка таблицы MAC
• Бесшовная интеграция в L3 дизайн
Service Tag
Switching
• Инспектирование между service tags
• Нет взаимодействия с сетью
• Режим интеграции с фабрикой
33

34. Routed Firewall
§ Routed – граница сети контейнера/
тенанта
§ Шлюз по умолчанию для хостов
§ Маршрутизация между несколькими
подсетями
§ Традиционная L3 граница сети
§ Подключение виртуальных машин и
физических
§ Сегментация с использованием
интерфейсов
ASAv
Routed
client
Gateway
Outside
Inside
host1
host2
Shared
DMZ
34

35. Transparent Firewall
• Коммутация между 4 (под-)
интерфейсами
• 8 BVI на ASAv
• NAT и ACL
• Бесшовная интеграция для
соотв. PCI
• Традиционная граница L2
между хостами
• Все сегменты в одном
широковещательном домене
ASAv
Transp
Gateway
client
Segment-1
Segment-3
host1
host2
Segment-2
Segment-4
35

36. Web-zone
Fileserver-zone
Hypervisor
Nexus 7000
Nexus 5500
Nexus
1000V
VRF
VLAN 50
UCS
VLAN 200
VLAN 300
Защита приложений и видимость
§ Инспекция трафика север-юг и восток-запад с ASA
§ Transparent или routed режимы
§ Эластичность сервиса
.1Q Trunk
VLAN 50
36

37. Web-zone
Fileserver-zone
Hypervisor
Nexus 7000
Nexus 5500
Nexus
1000V
VRF
VLAN 50
UCS
Защита приложений и видимость
Инспекция трафика север-юг и восток-запад с ASA
Глубокая инспекция с virtual IPS – в режиме inline
(коммутация между VLAN) или promiscuous port на
vswitch
Сервисная цепочка – ASAv и vIPS
.1Q Trunk
External VLAN 50
Defense Center с
Firesight для
анализа данных
37
Inline Set
Inline Set
Internal
External Internal
VLAN 200

38. vIPS
Варианты включения: в «разрыв» или «пассивный»
Web-zone
VLAN 200
Promiscuous
Port
vSwitch
Web-zone
VLAN 200
External
vSwitchvSwitch
38
Internal

39. Сегментация, обнаружение и защита
средствами безопасности в ACI
23.11.15 © 2014 Cisco and/or its affiliates. All rights reserved.39
Контроль
Применение
Усиление
ДО
Обнаружение
Блокировка
Защита
ВО ВРЕМЯ

40. ASA и FirePOWER в архитектуре ACI
ASA5585
Divert to SFR NGIPSv FirePOWER
ASAv30
ASAv10
FireSIGHT

41. Основной принцип ACI - логическая конфигурация сети, не
привязанная оборудованию
ACI фабрика
Неблокируемая фабрика на базе оверлеев
App DBWeb
Внешняя сеть
передачи данных
(Tenant VRF)
QoS
Filter
QoS
Service
QoS
Filter
Application Policy
Infrastructure
Controller
APIC
Вставка сервисной цепочки

42. Автоматизация вставки сервисного устройства при
помощи механизма «device package»
Open Device
Package
Policy
Engine
APIC реализует расширяемую модель политик
при помощи Device Package
Configuration
Model
Device Interface: REST/CLI
APIC Script Interface
Call Back Scripts
Event Engine
APIC– Policy Manager
Configuration
Model (XML File)
Call Back Script
Администратор загружает файл, содержащий
Device Package в APIC
Device Package содержит XML модель устройства,
которое находится под управлением
Device scripts транслирует вызовы APIC API
в специфичные для устройства CLI команды или API
вызовы
APIC

43. § Режим одного и нескольких контекстов поддерживается для релиза
драйвера DP 1.2
§ Оба режима используют возможность создания VLAN подинтерфейсов
§ Transparent (bump in the wire) режим для вставки “Go-Through”
§ Передача пакетов построена на базе MAC адресов. Таблица маршрутизации влияет
на NAT и инспекцию приложений
§ Режим Flooding должен быть включен для ACI Bridge Domains
§ Routed (Layer 3 hop) режим для вставки “Go-To”
§ Общая таблица маршрутизации на контекст требует наличия статических
маршрутов или динамической маршрутизации (DP 1.2) для подключения к EPG.
Модели интеграция ASA в фабрику ACI

44. § Failover защита от выхода из строя устройства
§ Failover соединения имеют один общий активный IP/MAC
§ Пара Active/Standby настраивается и управляется APIC’ом. Оба устройства
ASA должны быть зарегистрированы на APIC.
§ Режим Active/Active failover не поддерживается
§ Кластер обеспечивает высокий уровень производительности в ACI
§ До 16 устройств ASA5585-X может быть объединено в один логический
МСЭ
§ Режим интерфейса Spanned Etherchannel обеспечивает общий IP и MAC
адрес
§ Настройка кластера производится в режиме out of band, но APIC может
управлять им после настройки.
ASA доступность и масштабируемость

45. § Routed Mode (Go-To) Tenant
§ Transparent Mode (Go-Through) Tenant
BD2BD1
Интеграция ASA в фабрику ACI
EPG A EPG B FW
Graph B 10.0.0.0/24
External Internal
External
EPG A1 EPG B
Graph A 10.0.0.0/24 10.0.0.1 20.0.0.1 20.0.0.0/24
External Internal
BD2BD1
FW
Device Package 1.0 или 1.1

46. BD
1
BD2
§ Routed Mode
§ Transparent Mode
BD2BD
1
Интеграция ASA в фабрику ACI
EPG A EPG B FW
Graph B
10.0.0.0/24
Tenant B
External Internal
EPG A EPG A FW
Graph A
10.0.0.1 20.0.0.1
Tenant A
External Internal
VRF1 VRF2
OSPF/BGP
OSPF/BGPOSPF/BGP
VRF1 VRF2
10.0.0.2 20.0.0.2
10.0.0.10 10.0.0.11 100.0.0.0/24 200.0.0.0/24
201.0.0.0/24
202.0.0.0/24
203.0.0.0/24
101.0.0.0/24
102.0.0.0/24
103.0.0.0/24
200.0.0.0/24
201.0.0.0/24
202.0.0.0/24
203.0.0.0/24
100.0.0.0/24
101.0.0.0/24
102.0.0.0/24
103.0.0.0/24
ASA 1.2 Device Package

47. BD2BD
1
Transparent Mode
Вставка FirePOWER в фабрику ACI
EPG A EPG
B NGIPS
Graph A
10.0.0.0/24
Tenant A
External Internal
BD
1
BD2
EPG A EPG B NGIPS
Graph B
10.0.0.0/24
Tenant B
External Internal
VRFs VRFs
OSPF/BGP
10.0.0.10 10.0.0.11 100.0.0.0/24 200.0.0.0/24
201.0.0.0/24
202.0.0.0/24
203.0.0.0/24
101.0.0.0/24
102.0.0.0/24
103.0.0.0/24

48. Интеграция с ACI устройств безопасности Cisco
Подключение к фабрике
ACI
Подключение к фабрике
ACI
Настройка политик
Мониторинг и уведомления в
реальном времени
Настройка политик
Managing Service Producer Security Configurations and Visibility
События и syslog CSM
ASA Device Package
FirePOWER Device Package
Интеграция ASA Интеграция FirePOWER

49. Обработка сервисного графа
Для каждой функции в графе:
1. APIC выбирает логическое устройство из ранее определенных
2. APIC разрешает параметры конфигурации и готовит конфигурационный словарь
3. APIC выделяет VLAN для каждого соединения, ассоциированного с функцией
4. APIC настраивает сеть - VLAN, EPG и соответствующие фильтры
5. APIC запускает скрипт и настраивает сервисное устройство
FuncAon
Firewall
FuncAon
SSL offload
FuncAon
Load Balancer
Сервисный граф: “web-applica=on”
Firewall
FuncAon
SSL offload
FuncAon
Load Balancer
Выделение VLAN
1
2
3
Настройка VLAN 4
5
EPG
Web EPG
App

50. ASA5585 c SFR в сервисном графе – Etherchannel
Po1.300 Po1.301
Vlan 100 Vlan 200
vPC4
VLAN 300
vPC4
Vlan 301
App1
DB
providerconsumer
class firepower_class_map
sfr fail-close
SFR
NGIPS policy
ASA
Когда сервисный граф с сервисным устройством ASA активируется в
определенном контракте (начинается рендеринг), APIC автоматически
настроивает ASA интерфейсы и политики, включая redirection на модуль
FirePOWER. Поддерживаются L3 (GoTo) и L2 (GoThrough) режимы.
FireSIGHT независимо управляет политиками FirePOWER.
ASA 1.2 Device Package
ASA5585+SFR
APIC
Vlan 100
App2 VM

51. Cервисный граф для FirePOWER - LAG
s1p1.300 s1p2.301
Vlan 100 Vlan 200
vPC4
Vlan 300
vPC4
Vlan 301
Идентификаторы VLAN ID назначаются автоматически
из пула и для EPG и для портов сервисных устройств.
Настройка всех портов согласно логике (L2,L3)
производится автоматически.
App DB
consumer provider
FirePOWER использует
LAG (port-channel) для
подключения к фабрике
для обеспечения
отказоустойчивости к
одному коммутатору или
паре коммутаторов с
функцией vPC.
Physical
APIC использует FirePOWER
Device package для
взаимодействия с FireSIGHT
Management Center который
управляет NGIPS
APIC

52. ASAv и FirePOWERv в сервисном графе
vNIC2 vNIC3
Vlan 100 Vlan 200
App
DB
providerconsumer
Устройства ASAv и
NGIPSv разворачиваются
вручную или при помощи
оркестратора. vNIC
интерфейсы, помеченные
как consumer и provider
задействуются при
активации (рендеринге)
сервисного графа.
vNIC2 vNIC3
providerconsumer
Vlan 302 Vlan 303Vlan 300 Vlan 301
APIC полностью управляет
конфигурацией ASAv, при этом настройка
виртуального FirePOWER устройства
выполняется при помощи FireSIGHT.
APIC

53. Сервисная цепочка из двух устройств (пример)
“Подключаем”
устройства

54. Сервисная цепочка из двух устройств (пример)
Создаем шаблоны
настроек для ASA

55. Сервисная цепочка из двух устройств (пример)
Создаем шаблоны
настроек для IPS

56. Сервисная цепочка из двух устройств (пример)
Создаем
шаблон
сервисной
цепочки

57. Сервисная цепочка из двух устройств (пример)
Привязываем
сервисную
цепочку к
контракту
между EPG

58. Сервисная цепочка из двух устройств (пример)
“Привязываем”
интерфейсы
устройств

59. Сервисная цепочка из двух устройств (пример)
Работающая
сервисная цепочка

60. Сервисная цепочка из двух устройств (пример)
firewall transparent
hostname pierre
interface Management0/0
management-only
nameif mgt
security-level 100
ip address 172.26.42.12 255.255.255.192
route mgt 0.0.0.0 0.0.0.0 172.26.42.1 1
http server enable
http 0.0.0.0 0.0.0.0 mgt
user-identity default-domain LOCAL
aaa authentication telnet console LOCAL
aaa authentication http console LOCAL
username admin password e1z89R3cZe9Kt6Ib
encrypted privilege 15
interface Port-channel1
lacp max-bundle 8
no nameif
no security-level
!
interface TenGigabitEthernet0/6
channel-group 1 mode active
no nameif
no security-level
!
interface TenGigabitEthernet0/7
channel-group 1 mode active
no nameif
no security-level
same-security-traffic permit inter-interface
interface BVI1
ip address 77.10.10.254 255.255.255.0
!
interface Port-channel1.3135
vlan 3135
nameif externalIf
bridge-group 1
security-level 100
!
interface Port-channel1.3174
vlan 3174
nameif internalIf
bridge-group 1
security-level 100
access-list access-list-inbound extended permit ip any any
access-list access-list-inbound extended permit tcp any any eq www
access-list access-list-inbound extended permit tcp any any eq https
access-group access-list-inbound in interface externalIf
Начальная настройка Подключена к APIC Часть сервисной цепочки
ASA5585

61. Мониторинг и реагирование
23.11.15 © 2014 Cisco and/or its affiliates. All rights reserved.61
Контроль
Применение
Усиление
ДО
Обнаружение
Блокировка
Защита
ВО ВРЕМЯ
Видимость
Сдерживание
Устранение
ПОСЛЕ

62. Применение NetFlow для безопасности
§ Обнаружение сложных и стойких угроз. Выявление вредоносного
ПО внутри защищенного периметра. Выявление угроз нулевого дня.
§ Выявление активности каналов управления и контроля BotNet.
Вредоносное ПО с внешними центрами управления может
использоваться для рассылки SPAM, организации DoS атак и другой
вредоносной активности.
§ Обнаружение сетевого взлома. Некоторые типы атак используют
различные приемы сетевого сканирования для выбора вектора атаки,
что может быть использовано для выявления угроз.
§ Обнаружение внутреннего распространения вредоносного ПО.
Распространение вредоносного ПО по сети может приводить к потери
конфиденциальных и защищенных данных.
§ Выявление утечки данных. Вредоносное ПО может содержать код
для организации передачи данных в сторону атакующего. Такие утечки
могут происходить периодически в течении небольших промежутков
времени.
62

63. NetFlow в двух словах
Internal
Network
NetFlow Data
NetFlow Collector
63

64. Решение Cyber Threat Defense
Data Center
Прозрачность, Контекст и
Контроль
Использование NetFlow до
уровня доступа
Унификация инструментов для
обнаружения, расследования и
отчетности
Наполнение данных
информацией идентификации,
событиями, контекстом
Кто
Что
Где
Когда
Как
Cisco ISE
Cisco ISR G2 +
NBAR
Cisco ASA + NSEL
Context
64

65. Компоненты решения Cyber Threat Defense
Cisco Network
StealthWatch
FlowCollector
StealthWatch
Management
Console
NetFlow
Users/Devices
Cisco ISE
NetFlow
StealthWatch
FlowReplicator
Other tools/
collectors
https
https
NBAR NSEL
NGA
NetFlow Generating Appliance
65

66. Решение Cisco
Обнаружение атак без сигнатур
Высокий Concern Index показывает
существенное количество подозрительных
событий, что является отклонением от
установленной нормы
Host Groups Host CI CI% Alarms Alerts
Desktops 10.10.101.118 338,137,280 112,712% High Concern index Ping, Ping_Scan, TCP_Scan
Мониторинг и нормирование активности для хоста внутри группы
66

67. Идентификация угроз и назначение атрибутов
Интеграция Cisco ISE и Lancope StealthWatch
Policy Start Active
Time
Alarm Source Source
Host
Group
Source User
Name
Target
Inside Hosts 8-Feb-2012 Suspect Data Loss 10.34.74.123 Wired
Data
Bob Multiple Hosts
67

68. Обнаружение распространения вредоносного ПО
NetFlow Capable
Devices
Management
StealthWatch
FlowCollector
StealthWatch
Management
Console3. Сбор и анализ данных
NetFlow 4. Добавление контекстной
информации к данным
NetFlow анализа
5. Повышение Concern index и
генерация события Worm
propagation
Cisco ISE
Initial
Infection
Secondary
Infection
1Заражение происходит по внутренней сети
в соответствии с планом атакующего
2. Инфраструктура создает записи
активности с использованием
NetFlow
Data Center
68

69. Обнаружение распространения вредоносного ПО
Devices
Management
StealthWatch
FlowCollector
StealthWatch
Management
Console3. Сбор и анализ данных
NetFlow 4. Добавление контекстной
информации к данным
NetFlow анализа
5. Повышение Concern index и
генерация события Worm
propagation
Cisco ISE
Tertiary
Infection
Initial
Infection
Secondary
Infection
2. Инфраструктура создает записи
активности с использованием
NetFlow
NetFlow Capable
1. Заражение происходит по внутренней сети
в соответствии с планом атакующего
Data Center
69

70. Отслеживание распространения заражения
Последующие
заражения
Вторичное заражение
Начальное заражение
70

71. Примечание про StealthWatch и NSEL
§ Поле Flow Action добавляет дополнительный контекст
§ Данные о состоянии NSEL используются при поведенческом анализе в StealthWatch
(concern Index points суммируются для событий Flow Denied)
§ NAT stitching убирает избыточные записи потоков от ASA и ASR1000
§ Отсутствие данных о TCP флагах и счетчиков переданных и принятых байт снижает
эффективность NSEL и позволяет использовать только для обнаружения ряда угроз (ex.
SYN Flood); предлагается использовать в комбинации с дополнительными источниками
NetFlow
NetFlow Secure Event Logging
71

72. Мониторинг и реагирование в ACI
23.11.15 © 2014 Cisco and/or its affiliates. All rights reserved.72
Контроль
Применение
Усиление
ДО
Обнаружение
Блокировка
Защита
ВО ВРЕМЯ
Видимость
Сдерживание
Устранение
ПОСЛЕ

73. Visibility в ACI
Механизм Atomic Counters
23.11.15 © 2015 Cisco and/or its affiliates. All rights reserved.73

74. Visibility в ACI
Механизм SPAN
23.11.15 © 2015 Cisco and/or its affiliates. All rights reserved.74

75. Ускорение отражения угроз при помощи интеграции между
ACI и FirePOWER NGIPS
Host 3
Приложение 1
(Physical)
Host 1 Host 2
Приложение 2
(Physical)
V
M
V
M
V
M
1. FirePOWER IPS использует возможности ACI
фабрики по мониторингу для обнаружения
атаки на ее самой ранней фазе
Proactive Detection Mitigation Incident Response and Mission Assurance
Жизненный цикл атаки
Weaponize Execute
Deliver Control Maintain
Exploit
Recon
APIC FireSIGHT
2. Механизм «continuous analytics»
компоненты FireSIGHT Manager
обеспечивает обнаружение атаки
3. FireSIGHT использует APIC API для
программирования политики с целью
блокировки атаки (FireSIGHT System
Remediation API), а так же задействует
механизм карантина для нежелательного
трафика
4. FirePOWER IPS непрерывно собирает
информацию о событиях с ACI Фабрики, чтобы
обнаружить новые угрозы

76. Заключение
23.11.15 © 2015 Cisco and/or its affiliates. All rights reserved.76

77. С чего начать? Cisco SAFE!
Сеть L2/
L3
Управление
доступом +
TrustSec
к комплексу
зданий
Зона общих
сервисов
Система
предотвра-
щения
вторжений
нового
поколения
Зона сервера
приложений
Зона
соответствия
стандартам PCI
Зона базы
данных
Анализ
потока
Безопасность
хоста
Баланси-
ровщик
нагрузки
Анализ
потока
МСЭ
Антивре-
доносное
ПО
Анали-
тика
угроз
Управление
доступом +
TrustSec
Система
предотвра-
щения
вторжений
нового
поколения
Межсетевой экран нового поколения Маршрутизатор
Сеть
L2/L3МСЭ VPN
Коммута-
тор
МСЭ веб-
приложений
Централизованное управление
Политики/
Конфигурация
Мониторинг/
контекст
Анализ/
корреляция
Аналитика
Регистрация
в журнале/
отчетность
Аналитика
угроз
Управление
уязвимостями
Мониторинг
к периметру
Виртуализированные функции
WAN

78. Как внедрить?
23.11.15 © 2015 Cisco and/or its affiliates. All rights reserved.78
Возможности
создания общей
картины
Руководство
по архитектуре
Дизайны CVD
Руководство «Обзор Safe»
Руководство по архитектуре
для защищенного ЦОД
Как развертывать кластер ASA
Краткое руководство по созданию
защищенного ЦОД
Создание кластера ASA с сервисами
FirePOWER
УТВЕРЖДЕНО

79. CiscoRu Cisco CiscoRussia
Ждем ваших сообщений с хештегом
#CiscoConnectRu
CiscoRu
© 2015 Cisco and/or its affiliates. All rights reserved.