SlideShare une entreprise Scribd logo

PLNOG 9: Gaweł Mikołajczyk - Bezpieczne Data Center i Bezpieczna Chmura

PROIDEA
PROIDEA

Bezpieczne Data Center i Bezpieczna Chmura

Présentations et discours publics
1  sur  34
Télécharger pour lire hors ligne
Cisco Confidential 1C97-714039-00 © 2012 Cisco and/or its affiliates. All rights reserved. Gaweł Mikołajczyk gmikolaj@cisco.com Security Consulting Systems Engineer EMEA Central Core Team CCIE #24987, CISSP-ISSAP, CISA, C|EH PLNOG9, October 23, 2012, Cracow, Poland
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Public 2
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Public 3 http://plnog.pl/spotkanie-8-marzec/materialy
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Public 4
50% 55% 58% 59% 62% 65% 66% 66% 68% 69% 70% 76% 0% 10% 20% 30% 40% 50% 60% 70% 80% Higher Energy Efficiency/Green Initiatives Enable a New Application Centralize IT Services Consolidate Equipment Iimprove Scalability Consolidate Data Centers Improve Management Capability Virtualization Decrease Operating Costs Data Storage/Backup Decrease Downtime Incease Security Powody inwestycji w Data Center Powodyinwestycji Źródło: Data Center Deployment Strategies: North American Enterprise Survey, Infonetics, Luty 2012. Zwiększenie bezpieczeństwa
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Public 6 Segmentacja • Określenie styków: sieciowy, wirtualny, obliczeniowy • Wymuszenie polityk dla funkcji, urządzeń, organizacji • Kontrola dostępu do sieci, zasobów, aplikacji Ochrona przed zagrożeniami • Powstrzymanie ataków wewnętrznych i zewnętrznych • Spradzenie na poziomie zone brzegu/styku • Kontrola dostępu i wykorzystania informacji Widoczność • Transparencja w użytkowaniu • Przypisania kontekstu biznesowa do profilu w sieci • Uproszczenie działań i raportów zgodności
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Public 7
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Public 8 Styk z internetem Dystrybucja SAN ASA 5585-X ASA 5585-X VDC Nexus 7018 Nexus 7018 Rdzeń = Moc Obliczeniowa = Sieć = Bezpieczeństwo Nexus 7000 Series Nexus 5000 Series Nexus 2100 Series Zone Unified Computing System Nexus 1000V VSG Multizone Catalyst 6500 SERVICES VSS Firewall ACE NAM IPS VSSVPCVPCVPCVPCVPCVPCVPCVPC 10G Server Rack 10 G Server Rack Unified Compute Unified Services
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Public 9
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Public 10 Segmentacja Fabric UCS Fabric Interconnect Segmentacja sieciowa Fizyczna Wirtualna (VLAN, VRF) Zwirtualizowana (Zones) Segmentacja z firewallem Stateful/reflective ACL Multi-context VPN Segmentacja Kontekstowa Security Group Tags (SGT) Security Exchange Protocol (SXP) Security Group ACL TrustSec Zapewnienie spójnych polityk dla styków fizycznych i wirtualnych dla ochrony danych statycznych i „in motion”. Segmentacja
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Public 11 ASAClustering-ControlPlane • Dwa do ośmiu urządzeń ASA per klaster (jednakowe modele i DRAM) • Wspierane oba tryby pracy routed (L3) i transparent (L2) • Jeden master sychronizuje konfiguracje dla urządzeń w klastrze • Minimum jeden interfejs cluster control dla control plane w klastrze • Innowacja w agregacji łączy - cLACP Cisco® ASA 5585-X v9.0 – klastrowanie ASA Clustering - Data Plane Segmentacja z firewallem
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Public 12 WydajnośćMultiScale™ 40G 20G 80G 32G 160G 64G 320G 112G Segmentacja z firewallem
Wirtualny Appliance Nexus 1010 (HW Appliance) vWAAS VSG VSM NAM NAM VSG VSG Primary Secondary VSM VSM L2/L3Connectivity VEM-1 vPath VEM-2 vPath Hypervisor Hypervisor VSM: Virtual Supervisor Module VEM: Virtual Ethernet Module vPath: Virtual Service Data-path VXLAN: Skalowalna segmentacja VSN: Virtual Service Node • VSG: Virtual Security Gateway • vWAAS: Virtual WAAS • ASA 1000V: Firewall na brzegu VM Hostowanie dodatkowych usług Wdrożenie i zarządzanie jak przełącznikiem z NX-OS Bez konieczności dostępu do vCenter Wirtualne appliance usługowe Virtual Supervisor Module (VSM) Network Analysis Module (NAM) Virtual Security Gateway (VSG) Inne… VXLANVXLAN Virtual ASA vPath • Sterowanie ruchem • Fast-Path Offload • Wsparcie dla VXLAN Segmentacja wirtualna
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Public 14 Cisco® ASA 1000V Cloud Firewall Ochrona maszyn w środowisku multitenant. Zabezpieczenie brzegu w środowiskach zwirtualizowanych prywatnej i publicznej „chmury” Segmentacja wirtualna z firewallem
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Public 15 • Sprawdzone technologi bezpieczeństwa Cisco® : spójne polityki • Model uzupełnienia rozwiązań bezpieczeństwa ̶ Cisco Virtual Secure Gateway (VSG) dla intra-tenant zones ̶ Cisco ASA 1000V dla kontroli brzegu klienckiego • Transparentna integracja ̶ Z Cisco Nexus® 1000V i Cisco vPath • Elastyczność skalowania by sprostać wymogom chmury ̶ Wdrożenie Multi-instance i możliwość skalowania w DC Tenant BTenant A VDC vApp vApp Hypervisor Cisco Nexus® 1000V Cisco vPath VDC Cisco® Virtual Network Management Center (VNMC) VMware vCenter Cisco VSG Cisco VSG Cisco VSG Cisco ASA 1000V Cisco ASA 1000V Cisco VSG Segmentacja wirtualna z firewallem
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Public 16 vSphere Cisco Nexus 1000V VEM vSphere vSphere Cisco Nexus 1000V VEM Cisco Nexus 1000V VEM VM VM VM VM VM VM VM VM Active ASA 1000V (Tenant B) Active ASA 1000V (Tenant A) Tenant A Tenant B VMWare vCenter Server Sieć Data Center vPath vPath 1000V VSM Standby ASA 1000V Standby ASA 1000V vPath Cisco Virtual Network Management Center Server Segmentacja wirtualna z firewallem
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Public 17 Identyfikacja Klasyfikacja Przypisanie Propagacja ID: Użytkownik, urządzenie Rola: HR, . Tag: SGT 5 Urządzenia sieciowe Aplikacje, dane, usługi • Polityka która oddziela definicje od narzędzi wymuszenia • Klasyfikacja podmiotów: systemy i użytkownicy • Kontekst: system-role lub user-role, urządzenie, lokalizacja i sposób dostępu • Klasyfikacja kontekstowa jest propagowana z wykorzystaniem security group tags • Group tags są używane przez firewalle, routery i przełączniki w smart policy Switch Router DC FW DC Switch Serwery Segmentacja kontekstowa
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Public 18
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Public 19 BEZPIE- CZEŃSTWO SIEĆ MOC OBLICZE- NIOWA VM Attributes Security Profiles Port Profiles vCenter Server Admin N1KV Network Admin CSM Security Admin VNMC Security Admin Fizyczne Wirtualne NetFlow Network Admin Cisco® NetFlow Widoczność Wirtualne Wirtualne
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Public 20 10.20.20.50 10.20.30.10110.20.20.51 vPC Peer-link VSL vPC Service VLANs Nexus 1000V and VSG Nexus 7000 Nexus 5000 ESX Server ASA 5585 Cat 6500 monitor session 2 type erspan- source description N1k ERSPAN –session 2 monitor session 4 type erspan- destination description N1k ERSPAN to IDS1 monitor session 1 type erspan- source description N1k ERSPAN – session 1 monitor session 3 type erspan- destination description N1k ERSPAN to NAM NAM Widoczność
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Public 21
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Public 22  Warunek źródłowy Warunek docelowy Akcja Reguła Network Attributes IP Address Network Port Operator eq neq gt lt range Not-in-range Prefix Operator member Not-member Contains Warunek  VM Attributes VM Name Guest OS full name Resource Pool Parent App Name Port Profile Name Cluster Name VM DNS Name Hypervisor Name Attribute Type Network VM User Defined vZone VSGNexus 1000V
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Public 23 Web ServerWeb Server Dopuść tylko Port 80 (HTTP) na serwerach web Dopuść tylko Port 22 (SSH) do serwerów aplikacyjnych Pozwól tylko serwerom web na dostęp do serwerów aplikacji Klient Web Web Zone DB serverDB server Database Zone App ServerApp Server Application Zone Pozwól tylko serwerom aplikacji na dostęp do serwerów DB Zablokuj jakikolwiek dostęp z zewnątrz do serwerów DB VSGNexus 1000V
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Public 24 • Tenant cloning z uwzględnieniem zone oraz nakładającej się adresacji IP (overlapping) • Izolowanie nakładających się IP poprzez translację adresó (NAP/PAT) przy połączeniu do sieci zewnętrznych ASA 1000VNexus 1000V Tenant A Tenant A’ (clone) Virtualized Servers VM 1 VM 2 VM 1 VM 3 VM 1 ASA 1000V Sieć zewnętrzna VM 1 VM 2 VM 1 VM 3 VM 1 ASA 1000V
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Public 25 • Maszyny wirtualne często i szybko są „podnoszone/tworzone” w środowiskach wirtualnych • ASA 1000V DHCP może być użyte do dynamicznego przypisania adresu IP do nowej maszyny wirtualnej Tenant A Tenant B Serwery zwirtualizowane VM 1 VM 2 VM 1 VM 3 VM 1 ASA 1000V VM 1 VM 2 VM 1 VM 3 VM 1 ASA 1000V ASA 1000VNexus 1000V
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Public 26 • Unikalne rozwiązanie systemowe Cisco TrustSec w zwalidowanej architekturze Data Center • Bezpieczeństwo oparte o kontekst w działaniu • Segmentacja oparta o grupy SGT (Security Group Tags) • Mechamizm niezależny od transportu i topologii sieciowej • Przykłady zastosowania: Dostęp do usługi VDI w DC Dostęp do zasobów chmury prywatnej ASA 5585-X ISENexus 7000 Nexus 1000V
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Public 27 Egress SGT=100 Jestem pracownikiem W grupie HR HR SGT = 100 • TrustSec Security Group Firewalling: Rozszerza koncepcję zastosowania ASA 9.0 Użycie Security-Group Tag (SGT) w politykach Firewalla Ingress HR (SGT=100) Finanse (SGT=4) 802.1X/MAB/Web Auth S-IP User S-SGT D-IP D-SGT DENY ASA 5585-X ISE
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Public 28 Źródłowy SGT Docelowy SGT  Faza I: Context Agent – Identity Firewall w ASA 8.4(2)  Faza II: wsparcie dla TrustSec SXP w ASA 9.0 ASA 5585-X ISE
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Public 29
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Public 30 • DMVPN • Easy VPN • FlexVPN • BGP • OSPF • EIGRP • Firewall • ACL • AAA • NAT • DHCP • HSRP • AppNav/WCCP • LISP
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Public 31
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Public 32
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Public 33
PLNOG 9: Gaweł Mikołajczyk - Bezpieczne Data Center i Bezpieczna Chmura

Recommandé

Xen desktop na platformie nutanix
Xen desktop na platformie nutanixXen desktop na platformie nutanix
Xen desktop na platformie nutanixPawel Serwan
 
PLNOG 13: Gaweł Mikołajczyk: Data Center Security in 2014
PLNOG 13: Gaweł Mikołajczyk: Data Center Security in 2014PLNOG 13: Gaweł Mikołajczyk: Data Center Security in 2014
PLNOG 13: Gaweł Mikołajczyk: Data Center Security in 2014PROIDEA
 
Hyper converged - overview
Hyper converged - overviewHyper converged - overview
Hyper converged - overviewPawel Serwan
 
Citrix NetScaler - Drogą wstępu do ADC
Citrix NetScaler - Drogą wstępu do ADCCitrix NetScaler - Drogą wstępu do ADC
Citrix NetScaler - Drogą wstępu do ADCPawel Serwan
 
infraxstructure: Piotr Jabłoński "SDN w praktyce. Znacząca poprawa bezpieczeń...
infraxstructure: Piotr Jabłoński "SDN w praktyce. Znacząca poprawa bezpieczeń...infraxstructure: Piotr Jabłoński "SDN w praktyce. Znacząca poprawa bezpieczeń...
infraxstructure: Piotr Jabłoński "SDN w praktyce. Znacząca poprawa bezpieczeń...PROIDEA
 
PLNOG 21: Krzysztof Mazepa - Transformacja_poprzez_innowacje
PLNOG 21: Krzysztof Mazepa - Transformacja_poprzez_innowacjePLNOG 21: Krzysztof Mazepa - Transformacja_poprzez_innowacje
PLNOG 21: Krzysztof Mazepa - Transformacja_poprzez_innowacjePROIDEA
 
PLNOG19 - Krzysztof Banel - Nowe modele bezpieczeństwa w sieciach SDN
PLNOG19 - Krzysztof Banel - Nowe modele bezpieczeństwa w sieciach SDNPLNOG19 - Krzysztof Banel - Nowe modele bezpieczeństwa w sieciach SDN
PLNOG19 - Krzysztof Banel - Nowe modele bezpieczeństwa w sieciach SDNPROIDEA
 
[CareerCon] Wirtualizacja (PL)
[CareerCon] Wirtualizacja (PL)[CareerCon] Wirtualizacja (PL)
[CareerCon] Wirtualizacja (PL)Jaroslaw Sobel
 

Recommandé

Xen desktop na platformie nutanix
Xen desktop na platformie nutanixXen desktop na platformie nutanix
Xen desktop na platformie nutanixPawel Serwan
 
PLNOG 13: Gaweł Mikołajczyk: Data Center Security in 2014
PLNOG 13: Gaweł Mikołajczyk: Data Center Security in 2014PLNOG 13: Gaweł Mikołajczyk: Data Center Security in 2014
PLNOG 13: Gaweł Mikołajczyk: Data Center Security in 2014PROIDEA
 
Hyper converged - overview
Hyper converged - overviewHyper converged - overview
Hyper converged - overviewPawel Serwan
 
Citrix NetScaler - Drogą wstępu do ADC
Citrix NetScaler - Drogą wstępu do ADCCitrix NetScaler - Drogą wstępu do ADC
Citrix NetScaler - Drogą wstępu do ADCPawel Serwan
 
infraxstructure: Piotr Jabłoński "SDN w praktyce. Znacząca poprawa bezpieczeń...
infraxstructure: Piotr Jabłoński "SDN w praktyce. Znacząca poprawa bezpieczeń...infraxstructure: Piotr Jabłoński "SDN w praktyce. Znacząca poprawa bezpieczeń...
infraxstructure: Piotr Jabłoński "SDN w praktyce. Znacząca poprawa bezpieczeń...PROIDEA
 
PLNOG 21: Krzysztof Mazepa - Transformacja_poprzez_innowacje
PLNOG 21: Krzysztof Mazepa - Transformacja_poprzez_innowacjePLNOG 21: Krzysztof Mazepa - Transformacja_poprzez_innowacje
PLNOG 21: Krzysztof Mazepa - Transformacja_poprzez_innowacjePROIDEA
 
PLNOG19 - Krzysztof Banel - Nowe modele bezpieczeństwa w sieciach SDN
PLNOG19 - Krzysztof Banel - Nowe modele bezpieczeństwa w sieciach SDNPLNOG19 - Krzysztof Banel - Nowe modele bezpieczeństwa w sieciach SDN
PLNOG19 - Krzysztof Banel - Nowe modele bezpieczeństwa w sieciach SDNPROIDEA
 
[CareerCon] Wirtualizacja (PL)
[CareerCon] Wirtualizacja (PL)[CareerCon] Wirtualizacja (PL)
[CareerCon] Wirtualizacja (PL)Jaroslaw Sobel
 
Citrix provisioning services
Citrix provisioning servicesCitrix provisioning services
Citrix provisioning servicesPawel Serwan
 
PLNOg16: SDN dla entuzjastów i sceptyków. Co zaskoczyło mnie w rozwiązaniu wi...
PLNOg16: SDN dla entuzjastów i sceptyków. Co zaskoczyło mnie w rozwiązaniu wi...PLNOg16: SDN dla entuzjastów i sceptyków. Co zaskoczyło mnie w rozwiązaniu wi...
PLNOg16: SDN dla entuzjastów i sceptyków. Co zaskoczyło mnie w rozwiązaniu wi...PROIDEA
 
Hyper converged - atlantis usx
Hyper converged - atlantis usxHyper converged - atlantis usx
Hyper converged - atlantis usxPawel Serwan
 
PLNOG 22 - Marcel Guzenda - Pierwsze w Polsce wdrożenie Cisco SDA u klienta z...
PLNOG 22 - Marcel Guzenda - Pierwsze w Polsce wdrożenie Cisco SDA u klienta z...PLNOG 22 - Marcel Guzenda - Pierwsze w Polsce wdrożenie Cisco SDA u klienta z...
PLNOG 22 - Marcel Guzenda - Pierwsze w Polsce wdrożenie Cisco SDA u klienta z...PROIDEA
 
PLNOG19 - Emil Gągała - Przewodnik nowoczesnego sieciowca po pasjonującym, No...
PLNOG19 - Emil Gągała - Przewodnik nowoczesnego sieciowca po pasjonującym, No...PLNOG19 - Emil Gągała - Przewodnik nowoczesnego sieciowca po pasjonującym, No...
PLNOG19 - Emil Gągała - Przewodnik nowoczesnego sieciowca po pasjonującym, No...PROIDEA
 
PLNOG 22 - Jakub Leszewski - Citrix SD-WAN - niezawodny, efektywny i bezpiecz...
PLNOG 22 - Jakub Leszewski - Citrix SD-WAN - niezawodny, efektywny i bezpiecz...PLNOG 22 - Jakub Leszewski - Citrix SD-WAN - niezawodny, efektywny i bezpiecz...
PLNOG 22 - Jakub Leszewski - Citrix SD-WAN - niezawodny, efektywny i bezpiecz...PROIDEA
 
PLNOG20 - Krzysztof Mazepa - Transformacja poprzez innowacje
PLNOG20 - Krzysztof Mazepa - Transformacja poprzez innowacjePLNOG20 - Krzysztof Mazepa - Transformacja poprzez innowacje
PLNOG20 - Krzysztof Mazepa - Transformacja poprzez innowacjePROIDEA
 
Wirtualizacji ciąg dalszy czyli po co karta v gpu w xenapp xendesktop
Wirtualizacji ciąg dalszy czyli po co karta v gpu w xenapp xendesktopWirtualizacji ciąg dalszy czyli po co karta v gpu w xenapp xendesktop
Wirtualizacji ciąg dalszy czyli po co karta v gpu w xenapp xendesktopPawel Serwan
 
Security B-Sides Warsaw 2014 - Network Security Treasures - Gawel Mikolajczyk
Security B-Sides Warsaw 2014 - Network Security Treasures - Gawel MikolajczykSecurity B-Sides Warsaw 2014 - Network Security Treasures - Gawel Mikolajczyk
Security B-Sides Warsaw 2014 - Network Security Treasures - Gawel MikolajczykGawel Mikolajczyk
 
PLNOG15: End of theoretical talks on SDN! Time for real solutions - Cisco SP ...
PLNOG15: End of theoretical talks on SDN! Time for real solutions - Cisco SP ...PLNOG15: End of theoretical talks on SDN! Time for real solutions - Cisco SP ...
PLNOG15: End of theoretical talks on SDN! Time for real solutions - Cisco SP ...PROIDEA
 
Prezentacja witruallizacja dc 1.3
Prezentacja witruallizacja dc 1.3Prezentacja witruallizacja dc 1.3
Prezentacja witruallizacja dc 1.3Marta Pacyga
 
PLNOG15: Virtualization and automation of network and security services in Da...
PLNOG15: Virtualization and automation of network and security services in Da...PLNOG15: Virtualization and automation of network and security services in Da...
PLNOG15: Virtualization and automation of network and security services in Da...PROIDEA
 
PLNOG 7: Krzysztof Konkowski - QoS a sieci agregacyjne
PLNOG 7: Krzysztof Konkowski - QoS a sieci agregacyjne PLNOG 7: Krzysztof Konkowski - QoS a sieci agregacyjne
PLNOG 7: Krzysztof Konkowski - QoS a sieci agregacyjne PROIDEA
 
Budowanie sieci Grid
Budowanie sieci GridBudowanie sieci Grid
Budowanie sieci GridAlicja Sieminska
 
Security B-Sides Warsaw 2013 - Masywna Telemetria NetFlow jest Masywna - Gawe...
Security B-Sides Warsaw 2013 - Masywna Telemetria NetFlow jest Masywna - Gawe...Security B-Sides Warsaw 2013 - Masywna Telemetria NetFlow jest Masywna - Gawe...
Security B-Sides Warsaw 2013 - Masywna Telemetria NetFlow jest Masywna - Gawe...Gawel Mikolajczyk
 
Wdrozenie Chmury W Oparciu O VMware vCloud Suite W Polsce Nie Jest Trudne
Wdrozenie Chmury W Oparciu O VMware vCloud Suite W Polsce Nie Jest TrudneWdrozenie Chmury W Oparciu O VMware vCloud Suite W Polsce Nie Jest Trudne
Wdrozenie Chmury W Oparciu O VMware vCloud Suite W Polsce Nie Jest Trudneflexray
 
PLNOG 9: Krzysztof Konkowski, Władysław Misztal - Skuteczne planowanie i czas...
PLNOG 9: Krzysztof Konkowski, Władysław Misztal - Skuteczne planowanie i czas...PLNOG 9: Krzysztof Konkowski, Władysław Misztal - Skuteczne planowanie i czas...
PLNOG 9: Krzysztof Konkowski, Władysław Misztal - Skuteczne planowanie i czas...PROIDEA
 
PLNOG16: Software Defined Networks w oparciu o rozwiązania VMware (Case study...
PLNOG16: Software Defined Networks w oparciu o rozwiązania VMware (Case study...PLNOG16: Software Defined Networks w oparciu o rozwiązania VMware (Case study...
PLNOG16: Software Defined Networks w oparciu o rozwiązania VMware (Case study...PROIDEA
 
PLNOG 7: Krzysztof Mazepa - Konfiguracja usług szerokopasmowych na urządzenia...
PLNOG 7: Krzysztof Mazepa - Konfiguracja usług szerokopasmowych na urządzenia...PLNOG 7: Krzysztof Mazepa - Konfiguracja usług szerokopasmowych na urządzenia...
PLNOG 7: Krzysztof Mazepa - Konfiguracja usług szerokopasmowych na urządzenia...PROIDEA
 
PLNOG 13: Artur Gmaj: Architecture of Modern Data Center
PLNOG 13: Artur Gmaj: Architecture of Modern Data CenterPLNOG 13: Artur Gmaj: Architecture of Modern Data Center
PLNOG 13: Artur Gmaj: Architecture of Modern Data CenterPROIDEA
 
PLNOG 8: Tomaz Kozar - UCaaS jako usługa z chmury
PLNOG 8: Tomaz Kozar - UCaaS jako usługa z chmury PLNOG 8: Tomaz Kozar - UCaaS jako usługa z chmury
PLNOG 8: Tomaz Kozar - UCaaS jako usługa z chmury PROIDEA
 
[PL] Chmura hybrydowa - w poszukiwaniu zewnętrznych zasobów IT
[PL] Chmura hybrydowa - w poszukiwaniu zewnętrznych zasobów IT[PL] Chmura hybrydowa - w poszukiwaniu zewnętrznych zasobów IT
[PL] Chmura hybrydowa - w poszukiwaniu zewnętrznych zasobów ITPiotr Pietrzak
 

Contenu connexe

Tendances

Citrix provisioning services
Citrix provisioning servicesCitrix provisioning services
Citrix provisioning servicesPawel Serwan
 
PLNOg16: SDN dla entuzjastów i sceptyków. Co zaskoczyło mnie w rozwiązaniu wi...
PLNOg16: SDN dla entuzjastów i sceptyków. Co zaskoczyło mnie w rozwiązaniu wi...PLNOg16: SDN dla entuzjastów i sceptyków. Co zaskoczyło mnie w rozwiązaniu wi...
PLNOg16: SDN dla entuzjastów i sceptyków. Co zaskoczyło mnie w rozwiązaniu wi...PROIDEA
 
Hyper converged - atlantis usx
Hyper converged - atlantis usxHyper converged - atlantis usx
Hyper converged - atlantis usxPawel Serwan
 
PLNOG 22 - Marcel Guzenda - Pierwsze w Polsce wdrożenie Cisco SDA u klienta z...
PLNOG 22 - Marcel Guzenda - Pierwsze w Polsce wdrożenie Cisco SDA u klienta z...PLNOG 22 - Marcel Guzenda - Pierwsze w Polsce wdrożenie Cisco SDA u klienta z...
PLNOG 22 - Marcel Guzenda - Pierwsze w Polsce wdrożenie Cisco SDA u klienta z...PROIDEA
 
PLNOG19 - Emil Gągała - Przewodnik nowoczesnego sieciowca po pasjonującym, No...
PLNOG19 - Emil Gągała - Przewodnik nowoczesnego sieciowca po pasjonującym, No...PLNOG19 - Emil Gągała - Przewodnik nowoczesnego sieciowca po pasjonującym, No...
PLNOG19 - Emil Gągała - Przewodnik nowoczesnego sieciowca po pasjonującym, No...PROIDEA
 
PLNOG 22 - Jakub Leszewski - Citrix SD-WAN - niezawodny, efektywny i bezpiecz...
PLNOG 22 - Jakub Leszewski - Citrix SD-WAN - niezawodny, efektywny i bezpiecz...PLNOG 22 - Jakub Leszewski - Citrix SD-WAN - niezawodny, efektywny i bezpiecz...
PLNOG 22 - Jakub Leszewski - Citrix SD-WAN - niezawodny, efektywny i bezpiecz...PROIDEA
 
PLNOG20 - Krzysztof Mazepa - Transformacja poprzez innowacje
PLNOG20 - Krzysztof Mazepa - Transformacja poprzez innowacjePLNOG20 - Krzysztof Mazepa - Transformacja poprzez innowacje
PLNOG20 - Krzysztof Mazepa - Transformacja poprzez innowacjePROIDEA
 
Wirtualizacji ciąg dalszy czyli po co karta v gpu w xenapp xendesktop
Wirtualizacji ciąg dalszy czyli po co karta v gpu w xenapp xendesktopWirtualizacji ciąg dalszy czyli po co karta v gpu w xenapp xendesktop
Wirtualizacji ciąg dalszy czyli po co karta v gpu w xenapp xendesktopPawel Serwan
 

Tendances (8)

Citrix provisioning services
Citrix provisioning servicesCitrix provisioning services
Citrix provisioning services
 
PLNOg16: SDN dla entuzjastów i sceptyków. Co zaskoczyło mnie w rozwiązaniu wi...
PLNOg16: SDN dla entuzjastów i sceptyków. Co zaskoczyło mnie w rozwiązaniu wi...PLNOg16: SDN dla entuzjastów i sceptyków. Co zaskoczyło mnie w rozwiązaniu wi...
PLNOg16: SDN dla entuzjastów i sceptyków. Co zaskoczyło mnie w rozwiązaniu wi...
 
Hyper converged - atlantis usx
Hyper converged - atlantis usxHyper converged - atlantis usx
Hyper converged - atlantis usx
 
PLNOG 22 - Marcel Guzenda - Pierwsze w Polsce wdrożenie Cisco SDA u klienta z...
PLNOG 22 - Marcel Guzenda - Pierwsze w Polsce wdrożenie Cisco SDA u klienta z...PLNOG 22 - Marcel Guzenda - Pierwsze w Polsce wdrożenie Cisco SDA u klienta z...
PLNOG 22 - Marcel Guzenda - Pierwsze w Polsce wdrożenie Cisco SDA u klienta z...
 
PLNOG19 - Emil Gągała - Przewodnik nowoczesnego sieciowca po pasjonującym, No...
PLNOG19 - Emil Gągała - Przewodnik nowoczesnego sieciowca po pasjonującym, No...PLNOG19 - Emil Gągała - Przewodnik nowoczesnego sieciowca po pasjonującym, No...
PLNOG19 - Emil Gągała - Przewodnik nowoczesnego sieciowca po pasjonującym, No...
 
PLNOG 22 - Jakub Leszewski - Citrix SD-WAN - niezawodny, efektywny i bezpiecz...
PLNOG 22 - Jakub Leszewski - Citrix SD-WAN - niezawodny, efektywny i bezpiecz...PLNOG 22 - Jakub Leszewski - Citrix SD-WAN - niezawodny, efektywny i bezpiecz...
PLNOG 22 - Jakub Leszewski - Citrix SD-WAN - niezawodny, efektywny i bezpiecz...
 
PLNOG20 - Krzysztof Mazepa - Transformacja poprzez innowacje
PLNOG20 - Krzysztof Mazepa - Transformacja poprzez innowacjePLNOG20 - Krzysztof Mazepa - Transformacja poprzez innowacje
PLNOG20 - Krzysztof Mazepa - Transformacja poprzez innowacje
 
Wirtualizacji ciąg dalszy czyli po co karta v gpu w xenapp xendesktop
Wirtualizacji ciąg dalszy czyli po co karta v gpu w xenapp xendesktopWirtualizacji ciąg dalszy czyli po co karta v gpu w xenapp xendesktop
Wirtualizacji ciąg dalszy czyli po co karta v gpu w xenapp xendesktop
 

Similaire à PLNOG 9: Gaweł Mikołajczyk - Bezpieczne Data Center i Bezpieczna Chmura

Security B-Sides Warsaw 2014 - Network Security Treasures - Gawel Mikolajczyk
Security B-Sides Warsaw 2014 - Network Security Treasures - Gawel MikolajczykSecurity B-Sides Warsaw 2014 - Network Security Treasures - Gawel Mikolajczyk
Security B-Sides Warsaw 2014 - Network Security Treasures - Gawel MikolajczykGawel Mikolajczyk
 
PLNOG15: End of theoretical talks on SDN! Time for real solutions - Cisco SP ...
PLNOG15: End of theoretical talks on SDN! Time for real solutions - Cisco SP ...PLNOG15: End of theoretical talks on SDN! Time for real solutions - Cisco SP ...
PLNOG15: End of theoretical talks on SDN! Time for real solutions - Cisco SP ...PROIDEA
 
Prezentacja witruallizacja dc 1.3
Prezentacja witruallizacja dc 1.3Prezentacja witruallizacja dc 1.3
Prezentacja witruallizacja dc 1.3Marta Pacyga
 
PLNOG15: Virtualization and automation of network and security services in Da...
PLNOG15: Virtualization and automation of network and security services in Da...PLNOG15: Virtualization and automation of network and security services in Da...
PLNOG15: Virtualization and automation of network and security services in Da...PROIDEA
 
PLNOG 7: Krzysztof Konkowski - QoS a sieci agregacyjne
PLNOG 7: Krzysztof Konkowski - QoS a sieci agregacyjne PLNOG 7: Krzysztof Konkowski - QoS a sieci agregacyjne
PLNOG 7: Krzysztof Konkowski - QoS a sieci agregacyjne PROIDEA
 
Security B-Sides Warsaw 2013 - Masywna Telemetria NetFlow jest Masywna - Gawe...
Security B-Sides Warsaw 2013 - Masywna Telemetria NetFlow jest Masywna - Gawe...Security B-Sides Warsaw 2013 - Masywna Telemetria NetFlow jest Masywna - Gawe...
Security B-Sides Warsaw 2013 - Masywna Telemetria NetFlow jest Masywna - Gawe...Gawel Mikolajczyk
 
Wdrozenie Chmury W Oparciu O VMware vCloud Suite W Polsce Nie Jest Trudne
Wdrozenie Chmury W Oparciu O VMware vCloud Suite W Polsce Nie Jest TrudneWdrozenie Chmury W Oparciu O VMware vCloud Suite W Polsce Nie Jest Trudne
Wdrozenie Chmury W Oparciu O VMware vCloud Suite W Polsce Nie Jest Trudneflexray
 
PLNOG 9: Krzysztof Konkowski, Władysław Misztal - Skuteczne planowanie i czas...
PLNOG 9: Krzysztof Konkowski, Władysław Misztal - Skuteczne planowanie i czas...PLNOG 9: Krzysztof Konkowski, Władysław Misztal - Skuteczne planowanie i czas...
PLNOG 9: Krzysztof Konkowski, Władysław Misztal - Skuteczne planowanie i czas...PROIDEA
 
PLNOG16: Software Defined Networks w oparciu o rozwiązania VMware (Case study...
PLNOG16: Software Defined Networks w oparciu o rozwiązania VMware (Case study...PLNOG16: Software Defined Networks w oparciu o rozwiązania VMware (Case study...
PLNOG16: Software Defined Networks w oparciu o rozwiązania VMware (Case study...PROIDEA
 
PLNOG 7: Krzysztof Mazepa - Konfiguracja usług szerokopasmowych na urządzenia...
PLNOG 7: Krzysztof Mazepa - Konfiguracja usług szerokopasmowych na urządzenia...PLNOG 7: Krzysztof Mazepa - Konfiguracja usług szerokopasmowych na urządzenia...
PLNOG 7: Krzysztof Mazepa - Konfiguracja usług szerokopasmowych na urządzenia...PROIDEA
 
PLNOG 13: Artur Gmaj: Architecture of Modern Data Center
PLNOG 13: Artur Gmaj: Architecture of Modern Data CenterPLNOG 13: Artur Gmaj: Architecture of Modern Data Center
PLNOG 13: Artur Gmaj: Architecture of Modern Data CenterPROIDEA
 
PLNOG 8: Tomaz Kozar - UCaaS jako usługa z chmury
PLNOG 8: Tomaz Kozar - UCaaS jako usługa z chmury PLNOG 8: Tomaz Kozar - UCaaS jako usługa z chmury
PLNOG 8: Tomaz Kozar - UCaaS jako usługa z chmury PROIDEA
 
[PL] Chmura hybrydowa - w poszukiwaniu zewnętrznych zasobów IT
[PL] Chmura hybrydowa - w poszukiwaniu zewnętrznych zasobów IT[PL] Chmura hybrydowa - w poszukiwaniu zewnętrznych zasobów IT
[PL] Chmura hybrydowa - w poszukiwaniu zewnętrznych zasobów ITPiotr Pietrzak
 
[PLCUG] Hyper converged - overview (PL)
[PLCUG] Hyper converged - overview (PL)[PLCUG] Hyper converged - overview (PL)
[PLCUG] Hyper converged - overview (PL)Jaroslaw Sobel
 
PLNOG15: Security and applications control in Next-Gen Data Center - Seweryn ...
PLNOG15: Security and applications control in Next-Gen Data Center - Seweryn ...PLNOG15: Security and applications control in Next-Gen Data Center - Seweryn ...
PLNOG15: Security and applications control in Next-Gen Data Center - Seweryn ...PROIDEA
 
PLNOG 8: Krzysztof Konkowski - GigabitEthernetem routera agregacyjnego do nie...
PLNOG 8: Krzysztof Konkowski - GigabitEthernetem routera agregacyjnego do nie...PLNOG 8: Krzysztof Konkowski - GigabitEthernetem routera agregacyjnego do nie...
PLNOG 8: Krzysztof Konkowski - GigabitEthernetem routera agregacyjnego do nie...PROIDEA
 
[CareerCon] as-a-Service czy Software Defined (PL)
[CareerCon] as-a-Service czy Software Defined (PL)[CareerCon] as-a-Service czy Software Defined (PL)
[CareerCon] as-a-Service czy Software Defined (PL)Jaroslaw Sobel
 
PLNOG15: MPLS and SDN in modern Data Center - Artur Gmaj
PLNOG15: MPLS and SDN in modern Data Center - Artur Gmaj PLNOG15: MPLS and SDN in modern Data Center - Artur Gmaj
PLNOG15: MPLS and SDN in modern Data Center - Artur Gmaj PROIDEA
 
PLNOG15 :Three faces of SDN - ACI vs NSX vs Nuage, Maciej Lelusz,Jarosław Zie...
PLNOG15 :Three faces of SDN - ACI vs NSX vs Nuage, Maciej Lelusz,Jarosław Zie...PLNOG15 :Three faces of SDN - ACI vs NSX vs Nuage, Maciej Lelusz,Jarosław Zie...
PLNOG15 :Three faces of SDN - ACI vs NSX vs Nuage, Maciej Lelusz,Jarosław Zie...PROIDEA
 

Similaire à PLNOG 9: Gaweł Mikołajczyk - Bezpieczne Data Center i Bezpieczna Chmura (20)

Security B-Sides Warsaw 2014 - Network Security Treasures - Gawel Mikolajczyk
Security B-Sides Warsaw 2014 - Network Security Treasures - Gawel MikolajczykSecurity B-Sides Warsaw 2014 - Network Security Treasures - Gawel Mikolajczyk
Security B-Sides Warsaw 2014 - Network Security Treasures - Gawel Mikolajczyk
 
PLNOG15: End of theoretical talks on SDN! Time for real solutions - Cisco SP ...
PLNOG15: End of theoretical talks on SDN! Time for real solutions - Cisco SP ...PLNOG15: End of theoretical talks on SDN! Time for real solutions - Cisco SP ...
PLNOG15: End of theoretical talks on SDN! Time for real solutions - Cisco SP ...
 
Prezentacja witruallizacja dc 1.3
Prezentacja witruallizacja dc 1.3Prezentacja witruallizacja dc 1.3
Prezentacja witruallizacja dc 1.3
 
PLNOG15: Virtualization and automation of network and security services in Da...
PLNOG15: Virtualization and automation of network and security services in Da...PLNOG15: Virtualization and automation of network and security services in Da...
PLNOG15: Virtualization and automation of network and security services in Da...
 
PLNOG 7: Krzysztof Konkowski - QoS a sieci agregacyjne
PLNOG 7: Krzysztof Konkowski - QoS a sieci agregacyjne PLNOG 7: Krzysztof Konkowski - QoS a sieci agregacyjne
PLNOG 7: Krzysztof Konkowski - QoS a sieci agregacyjne
 
Budowanie sieci Grid
Budowanie sieci GridBudowanie sieci Grid
Budowanie sieci Grid
 
Security B-Sides Warsaw 2013 - Masywna Telemetria NetFlow jest Masywna - Gawe...
Security B-Sides Warsaw 2013 - Masywna Telemetria NetFlow jest Masywna - Gawe...Security B-Sides Warsaw 2013 - Masywna Telemetria NetFlow jest Masywna - Gawe...
Security B-Sides Warsaw 2013 - Masywna Telemetria NetFlow jest Masywna - Gawe...
 
Wdrozenie Chmury W Oparciu O VMware vCloud Suite W Polsce Nie Jest Trudne
Wdrozenie Chmury W Oparciu O VMware vCloud Suite W Polsce Nie Jest TrudneWdrozenie Chmury W Oparciu O VMware vCloud Suite W Polsce Nie Jest Trudne
Wdrozenie Chmury W Oparciu O VMware vCloud Suite W Polsce Nie Jest Trudne
 
PLNOG 9: Krzysztof Konkowski, Władysław Misztal - Skuteczne planowanie i czas...
PLNOG 9: Krzysztof Konkowski, Władysław Misztal - Skuteczne planowanie i czas...PLNOG 9: Krzysztof Konkowski, Władysław Misztal - Skuteczne planowanie i czas...
PLNOG 9: Krzysztof Konkowski, Władysław Misztal - Skuteczne planowanie i czas...
 
PLNOG16: Software Defined Networks w oparciu o rozwiązania VMware (Case study...
PLNOG16: Software Defined Networks w oparciu o rozwiązania VMware (Case study...PLNOG16: Software Defined Networks w oparciu o rozwiązania VMware (Case study...
PLNOG16: Software Defined Networks w oparciu o rozwiązania VMware (Case study...
 
PLNOG 7: Krzysztof Mazepa - Konfiguracja usług szerokopasmowych na urządzenia...
PLNOG 7: Krzysztof Mazepa - Konfiguracja usług szerokopasmowych na urządzenia...PLNOG 7: Krzysztof Mazepa - Konfiguracja usług szerokopasmowych na urządzenia...
PLNOG 7: Krzysztof Mazepa - Konfiguracja usług szerokopasmowych na urządzenia...
 
PLNOG 13: Artur Gmaj: Architecture of Modern Data Center
PLNOG 13: Artur Gmaj: Architecture of Modern Data CenterPLNOG 13: Artur Gmaj: Architecture of Modern Data Center
PLNOG 13: Artur Gmaj: Architecture of Modern Data Center
 
PLNOG 8: Tomaz Kozar - UCaaS jako usługa z chmury
PLNOG 8: Tomaz Kozar - UCaaS jako usługa z chmury PLNOG 8: Tomaz Kozar - UCaaS jako usługa z chmury
PLNOG 8: Tomaz Kozar - UCaaS jako usługa z chmury
 
[PL] Chmura hybrydowa - w poszukiwaniu zewnętrznych zasobów IT
[PL] Chmura hybrydowa - w poszukiwaniu zewnętrznych zasobów IT[PL] Chmura hybrydowa - w poszukiwaniu zewnętrznych zasobów IT
[PL] Chmura hybrydowa - w poszukiwaniu zewnętrznych zasobów IT
 
[PLCUG] Hyper converged - overview (PL)
[PLCUG] Hyper converged - overview (PL)[PLCUG] Hyper converged - overview (PL)
[PLCUG] Hyper converged - overview (PL)
 
PLNOG15: Security and applications control in Next-Gen Data Center - Seweryn ...
PLNOG15: Security and applications control in Next-Gen Data Center - Seweryn ...PLNOG15: Security and applications control in Next-Gen Data Center - Seweryn ...
PLNOG15: Security and applications control in Next-Gen Data Center - Seweryn ...
 
PLNOG 8: Krzysztof Konkowski - GigabitEthernetem routera agregacyjnego do nie...
PLNOG 8: Krzysztof Konkowski - GigabitEthernetem routera agregacyjnego do nie...PLNOG 8: Krzysztof Konkowski - GigabitEthernetem routera agregacyjnego do nie...
PLNOG 8: Krzysztof Konkowski - GigabitEthernetem routera agregacyjnego do nie...
 
[CareerCon] as-a-Service czy Software Defined (PL)
[CareerCon] as-a-Service czy Software Defined (PL)[CareerCon] as-a-Service czy Software Defined (PL)
[CareerCon] as-a-Service czy Software Defined (PL)
 
PLNOG15: MPLS and SDN in modern Data Center - Artur Gmaj
PLNOG15: MPLS and SDN in modern Data Center - Artur Gmaj PLNOG15: MPLS and SDN in modern Data Center - Artur Gmaj
PLNOG15: MPLS and SDN in modern Data Center - Artur Gmaj
 
PLNOG15 :Three faces of SDN - ACI vs NSX vs Nuage, Maciej Lelusz,Jarosław Zie...
PLNOG15 :Three faces of SDN - ACI vs NSX vs Nuage, Maciej Lelusz,Jarosław Zie...PLNOG15 :Three faces of SDN - ACI vs NSX vs Nuage, Maciej Lelusz,Jarosław Zie...
PLNOG15 :Three faces of SDN - ACI vs NSX vs Nuage, Maciej Lelusz,Jarosław Zie...
 

PLNOG 9: Gaweł Mikołajczyk - Bezpieczne Data Center i Bezpieczna Chmura

  • 1. Cisco Confidential 1C97-714039-00 © 2012 Cisco and/or its affiliates. All rights reserved. Gaweł Mikołajczyk gmikolaj@cisco.com Security Consulting Systems Engineer EMEA Central Core Team CCIE #24987, CISSP-ISSAP, CISA, C|EH PLNOG9, October 23, 2012, Cracow, Poland
  • 2. © 2012 Cisco and/or its affiliates. All rights reserved. Cisco Public 2
  • 3. © 2012 Cisco and/or its affiliates. All rights reserved. Cisco Public 3 http://plnog.pl/spotkanie-8-marzec/materialy
  • 4. © 2012 Cisco and/or its affiliates. All rights reserved. Cisco Public 4
  • 5. 50% 55% 58% 59% 62% 65% 66% 66% 68% 69% 70% 76% 0% 10% 20% 30% 40% 50% 60% 70% 80% Higher Energy Efficiency/Green Initiatives Enable a New Application Centralize IT Services Consolidate Equipment Iimprove Scalability Consolidate Data Centers Improve Management Capability Virtualization Decrease Operating Costs Data Storage/Backup Decrease Downtime Incease Security Powody inwestycji w Data Center Powodyinwestycji Źródło: Data Center Deployment Strategies: North American Enterprise Survey, Infonetics, Luty 2012. Zwiększenie bezpieczeństwa
  • 6. © 2012 Cisco and/or its affiliates. All rights reserved. Cisco Public 6 Segmentacja • Określenie styków: sieciowy, wirtualny, obliczeniowy • Wymuszenie polityk dla funkcji, urządzeń, organizacji • Kontrola dostępu do sieci, zasobów, aplikacji Ochrona przed zagrożeniami • Powstrzymanie ataków wewnętrznych i zewnętrznych • Spradzenie na poziomie zone brzegu/styku • Kontrola dostępu i wykorzystania informacji Widoczność • Transparencja w użytkowaniu • Przypisania kontekstu biznesowa do profilu w sieci • Uproszczenie działań i raportów zgodności
  • 7. © 2012 Cisco and/or its affiliates. All rights reserved. Cisco Public 7
  • 8. © 2012 Cisco and/or its affiliates. All rights reserved. Cisco Public 8 Styk z internetem Dystrybucja SAN ASA 5585-X ASA 5585-X VDC Nexus 7018 Nexus 7018 Rdzeń = Moc Obliczeniowa = Sieć = Bezpieczeństwo Nexus 7000 Series Nexus 5000 Series Nexus 2100 Series Zone Unified Computing System Nexus 1000V VSG Multizone Catalyst 6500 SERVICES VSS Firewall ACE NAM IPS VSSVPCVPCVPCVPCVPCVPCVPCVPC 10G Server Rack 10 G Server Rack Unified Compute Unified Services
  • 9. © 2012 Cisco and/or its affiliates. All rights reserved. Cisco Public 9
  • 10. © 2012 Cisco and/or its affiliates. All rights reserved. Cisco Public 10 Segmentacja Fabric UCS Fabric Interconnect Segmentacja sieciowa Fizyczna Wirtualna (VLAN, VRF) Zwirtualizowana (Zones) Segmentacja z firewallem Stateful/reflective ACL Multi-context VPN Segmentacja Kontekstowa Security Group Tags (SGT) Security Exchange Protocol (SXP) Security Group ACL TrustSec Zapewnienie spójnych polityk dla styków fizycznych i wirtualnych dla ochrony danych statycznych i „in motion”. Segmentacja
  • 11. © 2012 Cisco and/or its affiliates. All rights reserved. Cisco Public 11 ASAClustering-ControlPlane • Dwa do ośmiu urządzeń ASA per klaster (jednakowe modele i DRAM) • Wspierane oba tryby pracy routed (L3) i transparent (L2) • Jeden master sychronizuje konfiguracje dla urządzeń w klastrze • Minimum jeden interfejs cluster control dla control plane w klastrze • Innowacja w agregacji łączy - cLACP Cisco® ASA 5585-X v9.0 – klastrowanie ASA Clustering - Data Plane Segmentacja z firewallem
  • 12. © 2012 Cisco and/or its affiliates. All rights reserved. Cisco Public 12 WydajnośćMultiScale™ 40G 20G 80G 32G 160G 64G 320G 112G Segmentacja z firewallem
  • 13. Wirtualny Appliance Nexus 1010 (HW Appliance) vWAAS VSG VSM NAM NAM VSG VSG Primary Secondary VSM VSM L2/L3Connectivity VEM-1 vPath VEM-2 vPath Hypervisor Hypervisor VSM: Virtual Supervisor Module VEM: Virtual Ethernet Module vPath: Virtual Service Data-path VXLAN: Skalowalna segmentacja VSN: Virtual Service Node • VSG: Virtual Security Gateway • vWAAS: Virtual WAAS • ASA 1000V: Firewall na brzegu VM Hostowanie dodatkowych usług Wdrożenie i zarządzanie jak przełącznikiem z NX-OS Bez konieczności dostępu do vCenter Wirtualne appliance usługowe Virtual Supervisor Module (VSM) Network Analysis Module (NAM) Virtual Security Gateway (VSG) Inne… VXLANVXLAN Virtual ASA vPath • Sterowanie ruchem • Fast-Path Offload • Wsparcie dla VXLAN Segmentacja wirtualna
  • 14. © 2012 Cisco and/or its affiliates. All rights reserved. Cisco Public 14 Cisco® ASA 1000V Cloud Firewall Ochrona maszyn w środowisku multitenant. Zabezpieczenie brzegu w środowiskach zwirtualizowanych prywatnej i publicznej „chmury” Segmentacja wirtualna z firewallem
  • 15. © 2012 Cisco and/or its affiliates. All rights reserved. Cisco Public 15 • Sprawdzone technologi bezpieczeństwa Cisco® : spójne polityki • Model uzupełnienia rozwiązań bezpieczeństwa ̶ Cisco Virtual Secure Gateway (VSG) dla intra-tenant zones ̶ Cisco ASA 1000V dla kontroli brzegu klienckiego • Transparentna integracja ̶ Z Cisco Nexus® 1000V i Cisco vPath • Elastyczność skalowania by sprostać wymogom chmury ̶ Wdrożenie Multi-instance i możliwość skalowania w DC Tenant BTenant A VDC vApp vApp Hypervisor Cisco Nexus® 1000V Cisco vPath VDC Cisco® Virtual Network Management Center (VNMC) VMware vCenter Cisco VSG Cisco VSG Cisco VSG Cisco ASA 1000V Cisco ASA 1000V Cisco VSG Segmentacja wirtualna z firewallem
  • 16. © 2012 Cisco and/or its affiliates. All rights reserved. Cisco Public 16 vSphere Cisco Nexus 1000V VEM vSphere vSphere Cisco Nexus 1000V VEM Cisco Nexus 1000V VEM VM VM VM VM VM VM VM VM Active ASA 1000V (Tenant B) Active ASA 1000V (Tenant A) Tenant A Tenant B VMWare vCenter Server Sieć Data Center vPath vPath 1000V VSM Standby ASA 1000V Standby ASA 1000V vPath Cisco Virtual Network Management Center Server Segmentacja wirtualna z firewallem
  • 17. © 2012 Cisco and/or its affiliates. All rights reserved. Cisco Public 17 Identyfikacja Klasyfikacja Przypisanie Propagacja ID: Użytkownik, urządzenie Rola: HR, . Tag: SGT 5 Urządzenia sieciowe Aplikacje, dane, usługi • Polityka która oddziela definicje od narzędzi wymuszenia • Klasyfikacja podmiotów: systemy i użytkownicy • Kontekst: system-role lub user-role, urządzenie, lokalizacja i sposób dostępu • Klasyfikacja kontekstowa jest propagowana z wykorzystaniem security group tags • Group tags są używane przez firewalle, routery i przełączniki w smart policy Switch Router DC FW DC Switch Serwery Segmentacja kontekstowa
  • 18. © 2012 Cisco and/or its affiliates. All rights reserved. Cisco Public 18
  • 19. © 2012 Cisco and/or its affiliates. All rights reserved. Cisco Public 19 BEZPIE- CZEŃSTWO SIEĆ MOC OBLICZE- NIOWA VM Attributes Security Profiles Port Profiles vCenter Server Admin N1KV Network Admin CSM Security Admin VNMC Security Admin Fizyczne Wirtualne NetFlow Network Admin Cisco® NetFlow Widoczność Wirtualne Wirtualne
  • 20. © 2012 Cisco and/or its affiliates. All rights reserved. Cisco Public 20 10.20.20.50 10.20.30.10110.20.20.51 vPC Peer-link VSL vPC Service VLANs Nexus 1000V and VSG Nexus 7000 Nexus 5000 ESX Server ASA 5585 Cat 6500 monitor session 2 type erspan- source description N1k ERSPAN –session 2 monitor session 4 type erspan- destination description N1k ERSPAN to IDS1 monitor session 1 type erspan- source description N1k ERSPAN – session 1 monitor session 3 type erspan- destination description N1k ERSPAN to NAM NAM Widoczność
  • 21. © 2012 Cisco and/or its affiliates. All rights reserved. Cisco Public 21
  • 22. © 2012 Cisco and/or its affiliates. All rights reserved. Cisco Public 22  Warunek źródłowy Warunek docelowy Akcja Reguła Network Attributes IP Address Network Port Operator eq neq gt lt range Not-in-range Prefix Operator member Not-member Contains Warunek  VM Attributes VM Name Guest OS full name Resource Pool Parent App Name Port Profile Name Cluster Name VM DNS Name Hypervisor Name Attribute Type Network VM User Defined vZone VSGNexus 1000V
  • 23. © 2012 Cisco and/or its affiliates. All rights reserved. Cisco Public 23 Web ServerWeb Server Dopuść tylko Port 80 (HTTP) na serwerach web Dopuść tylko Port 22 (SSH) do serwerów aplikacyjnych Pozwól tylko serwerom web na dostęp do serwerów aplikacji Klient Web Web Zone DB serverDB server Database Zone App ServerApp Server Application Zone Pozwól tylko serwerom aplikacji na dostęp do serwerów DB Zablokuj jakikolwiek dostęp z zewnątrz do serwerów DB VSGNexus 1000V
  • 24. © 2012 Cisco and/or its affiliates. All rights reserved. Cisco Public 24 • Tenant cloning z uwzględnieniem zone oraz nakładającej się adresacji IP (overlapping) • Izolowanie nakładających się IP poprzez translację adresó (NAP/PAT) przy połączeniu do sieci zewnętrznych ASA 1000VNexus 1000V Tenant A Tenant A’ (clone) Virtualized Servers VM 1 VM 2 VM 1 VM 3 VM 1 ASA 1000V Sieć zewnętrzna VM 1 VM 2 VM 1 VM 3 VM 1 ASA 1000V
  • 25. © 2012 Cisco and/or its affiliates. All rights reserved. Cisco Public 25 • Maszyny wirtualne często i szybko są „podnoszone/tworzone” w środowiskach wirtualnych • ASA 1000V DHCP może być użyte do dynamicznego przypisania adresu IP do nowej maszyny wirtualnej Tenant A Tenant B Serwery zwirtualizowane VM 1 VM 2 VM 1 VM 3 VM 1 ASA 1000V VM 1 VM 2 VM 1 VM 3 VM 1 ASA 1000V ASA 1000VNexus 1000V
  • 26. © 2012 Cisco and/or its affiliates. All rights reserved. Cisco Public 26 • Unikalne rozwiązanie systemowe Cisco TrustSec w zwalidowanej architekturze Data Center • Bezpieczeństwo oparte o kontekst w działaniu • Segmentacja oparta o grupy SGT (Security Group Tags) • Mechamizm niezależny od transportu i topologii sieciowej • Przykłady zastosowania: Dostęp do usługi VDI w DC Dostęp do zasobów chmury prywatnej ASA 5585-X ISENexus 7000 Nexus 1000V
  • 27. © 2012 Cisco and/or its affiliates. All rights reserved. Cisco Public 27 Egress SGT=100 Jestem pracownikiem W grupie HR HR SGT = 100 • TrustSec Security Group Firewalling: Rozszerza koncepcję zastosowania ASA 9.0 Użycie Security-Group Tag (SGT) w politykach Firewalla Ingress HR (SGT=100) Finanse (SGT=4) 802.1X/MAB/Web Auth S-IP User S-SGT D-IP D-SGT DENY ASA 5585-X ISE
  • 28. © 2012 Cisco and/or its affiliates. All rights reserved. Cisco Public 28 Źródłowy SGT Docelowy SGT  Faza I: Context Agent – Identity Firewall w ASA 8.4(2)  Faza II: wsparcie dla TrustSec SXP w ASA 9.0 ASA 5585-X ISE
  • 29. © 2012 Cisco and/or its affiliates. All rights reserved. Cisco Public 29
  • 30. © 2012 Cisco and/or its affiliates. All rights reserved. Cisco Public 30 • DMVPN • Easy VPN • FlexVPN • BGP • OSPF • EIGRP • Firewall • ACL • AAA • NAT • DHCP • HSRP • AppNav/WCCP • LISP
  • 31. © 2012 Cisco and/or its affiliates. All rights reserved. Cisco Public 31
  • 32. © 2012 Cisco and/or its affiliates. All rights reserved. Cisco Public 32
  • 33. © 2012 Cisco and/or its affiliates. All rights reserved. Cisco Public 33