Soumettre la recherche
Mettre en ligne
PLNOG 9: Gaweł Mikołajczyk - Bezpieczne Data Center i Bezpieczna Chmura
•
0 j'aime
•
7 vues
PROIDEA
Suivre
Bezpieczne Data Center i Bezpieczna Chmura
Lire moins
Lire la suite
Présentations et discours publics
Signaler
Partager
Signaler
Partager
1 sur 34
Télécharger maintenant
Télécharger pour lire hors ligne
Recommandé
Xen desktop na platformie nutanix
Xen desktop na platformie nutanix
Pawel Serwan
PLNOG 13: Gaweł Mikołajczyk: Data Center Security in 2014
PLNOG 13: Gaweł Mikołajczyk: Data Center Security in 2014
PROIDEA
Hyper converged - overview
Hyper converged - overview
Pawel Serwan
Citrix NetScaler - Drogą wstępu do ADC
Citrix NetScaler - Drogą wstępu do ADC
Pawel Serwan
infraxstructure: Piotr Jabłoński "SDN w praktyce. Znacząca poprawa bezpieczeń...
infraxstructure: Piotr Jabłoński "SDN w praktyce. Znacząca poprawa bezpieczeń...
PROIDEA
PLNOG 21: Krzysztof Mazepa - Transformacja_poprzez_innowacje
PLNOG 21: Krzysztof Mazepa - Transformacja_poprzez_innowacje
PROIDEA
PLNOG19 - Krzysztof Banel - Nowe modele bezpieczeństwa w sieciach SDN
PLNOG19 - Krzysztof Banel - Nowe modele bezpieczeństwa w sieciach SDN
PROIDEA
[CareerCon] Wirtualizacja (PL)
[CareerCon] Wirtualizacja (PL)
Jaroslaw Sobel
Recommandé
Xen desktop na platformie nutanix
Xen desktop na platformie nutanix
Pawel Serwan
PLNOG 13: Gaweł Mikołajczyk: Data Center Security in 2014
PLNOG 13: Gaweł Mikołajczyk: Data Center Security in 2014
PROIDEA
Hyper converged - overview
Hyper converged - overview
Pawel Serwan
Citrix NetScaler - Drogą wstępu do ADC
Citrix NetScaler - Drogą wstępu do ADC
Pawel Serwan
infraxstructure: Piotr Jabłoński "SDN w praktyce. Znacząca poprawa bezpieczeń...
infraxstructure: Piotr Jabłoński "SDN w praktyce. Znacząca poprawa bezpieczeń...
PROIDEA
PLNOG 21: Krzysztof Mazepa - Transformacja_poprzez_innowacje
PLNOG 21: Krzysztof Mazepa - Transformacja_poprzez_innowacje
PROIDEA
PLNOG19 - Krzysztof Banel - Nowe modele bezpieczeństwa w sieciach SDN
PLNOG19 - Krzysztof Banel - Nowe modele bezpieczeństwa w sieciach SDN
PROIDEA
[CareerCon] Wirtualizacja (PL)
[CareerCon] Wirtualizacja (PL)
Jaroslaw Sobel
Citrix provisioning services
Citrix provisioning services
Pawel Serwan
PLNOg16: SDN dla entuzjastów i sceptyków. Co zaskoczyło mnie w rozwiązaniu wi...
PLNOg16: SDN dla entuzjastów i sceptyków. Co zaskoczyło mnie w rozwiązaniu wi...
PROIDEA
Hyper converged - atlantis usx
Hyper converged - atlantis usx
Pawel Serwan
PLNOG 22 - Marcel Guzenda - Pierwsze w Polsce wdrożenie Cisco SDA u klienta z...
PLNOG 22 - Marcel Guzenda - Pierwsze w Polsce wdrożenie Cisco SDA u klienta z...
PROIDEA
PLNOG19 - Emil Gągała - Przewodnik nowoczesnego sieciowca po pasjonującym, No...
PLNOG19 - Emil Gągała - Przewodnik nowoczesnego sieciowca po pasjonującym, No...
PROIDEA
PLNOG 22 - Jakub Leszewski - Citrix SD-WAN - niezawodny, efektywny i bezpiecz...
PLNOG 22 - Jakub Leszewski - Citrix SD-WAN - niezawodny, efektywny i bezpiecz...
PROIDEA
PLNOG20 - Krzysztof Mazepa - Transformacja poprzez innowacje
PLNOG20 - Krzysztof Mazepa - Transformacja poprzez innowacje
PROIDEA
Wirtualizacji ciąg dalszy czyli po co karta v gpu w xenapp xendesktop
Wirtualizacji ciąg dalszy czyli po co karta v gpu w xenapp xendesktop
Pawel Serwan
Security B-Sides Warsaw 2014 - Network Security Treasures - Gawel Mikolajczyk
Security B-Sides Warsaw 2014 - Network Security Treasures - Gawel Mikolajczyk
Gawel Mikolajczyk
PLNOG15: End of theoretical talks on SDN! Time for real solutions - Cisco SP ...
PLNOG15: End of theoretical talks on SDN! Time for real solutions - Cisco SP ...
PROIDEA
Prezentacja witruallizacja dc 1.3
Prezentacja witruallizacja dc 1.3
Marta Pacyga
PLNOG15: Virtualization and automation of network and security services in Da...
PLNOG15: Virtualization and automation of network and security services in Da...
PROIDEA
PLNOG 7: Krzysztof Konkowski - QoS a sieci agregacyjne
PLNOG 7: Krzysztof Konkowski - QoS a sieci agregacyjne
PROIDEA
Budowanie sieci Grid
Budowanie sieci Grid
Alicja Sieminska
Security B-Sides Warsaw 2013 - Masywna Telemetria NetFlow jest Masywna - Gawe...
Security B-Sides Warsaw 2013 - Masywna Telemetria NetFlow jest Masywna - Gawe...
Gawel Mikolajczyk
Wdrozenie Chmury W Oparciu O VMware vCloud Suite W Polsce Nie Jest Trudne
Wdrozenie Chmury W Oparciu O VMware vCloud Suite W Polsce Nie Jest Trudne
flexray
PLNOG 9: Krzysztof Konkowski, Władysław Misztal - Skuteczne planowanie i czas...
PLNOG 9: Krzysztof Konkowski, Władysław Misztal - Skuteczne planowanie i czas...
PROIDEA
PLNOG16: Software Defined Networks w oparciu o rozwiązania VMware (Case study...
PLNOG16: Software Defined Networks w oparciu o rozwiązania VMware (Case study...
PROIDEA
PLNOG 7: Krzysztof Mazepa - Konfiguracja usług szerokopasmowych na urządzenia...
PLNOG 7: Krzysztof Mazepa - Konfiguracja usług szerokopasmowych na urządzenia...
PROIDEA
PLNOG 13: Artur Gmaj: Architecture of Modern Data Center
PLNOG 13: Artur Gmaj: Architecture of Modern Data Center
PROIDEA
PLNOG 8: Tomaz Kozar - UCaaS jako usługa z chmury
PLNOG 8: Tomaz Kozar - UCaaS jako usługa z chmury
PROIDEA
[PL] Chmura hybrydowa - w poszukiwaniu zewnętrznych zasobów IT
[PL] Chmura hybrydowa - w poszukiwaniu zewnętrznych zasobów IT
Piotr Pietrzak
Contenu connexe
Tendances
Citrix provisioning services
Citrix provisioning services
Pawel Serwan
PLNOg16: SDN dla entuzjastów i sceptyków. Co zaskoczyło mnie w rozwiązaniu wi...
PLNOg16: SDN dla entuzjastów i sceptyków. Co zaskoczyło mnie w rozwiązaniu wi...
PROIDEA
Hyper converged - atlantis usx
Hyper converged - atlantis usx
Pawel Serwan
PLNOG 22 - Marcel Guzenda - Pierwsze w Polsce wdrożenie Cisco SDA u klienta z...
PLNOG 22 - Marcel Guzenda - Pierwsze w Polsce wdrożenie Cisco SDA u klienta z...
PROIDEA
PLNOG19 - Emil Gągała - Przewodnik nowoczesnego sieciowca po pasjonującym, No...
PLNOG19 - Emil Gągała - Przewodnik nowoczesnego sieciowca po pasjonującym, No...
PROIDEA
PLNOG 22 - Jakub Leszewski - Citrix SD-WAN - niezawodny, efektywny i bezpiecz...
PLNOG 22 - Jakub Leszewski - Citrix SD-WAN - niezawodny, efektywny i bezpiecz...
PROIDEA
PLNOG20 - Krzysztof Mazepa - Transformacja poprzez innowacje
PLNOG20 - Krzysztof Mazepa - Transformacja poprzez innowacje
PROIDEA
Wirtualizacji ciąg dalszy czyli po co karta v gpu w xenapp xendesktop
Wirtualizacji ciąg dalszy czyli po co karta v gpu w xenapp xendesktop
Pawel Serwan
Tendances
(8)
Citrix provisioning services
Citrix provisioning services
PLNOg16: SDN dla entuzjastów i sceptyków. Co zaskoczyło mnie w rozwiązaniu wi...
PLNOg16: SDN dla entuzjastów i sceptyków. Co zaskoczyło mnie w rozwiązaniu wi...
Hyper converged - atlantis usx
Hyper converged - atlantis usx
PLNOG 22 - Marcel Guzenda - Pierwsze w Polsce wdrożenie Cisco SDA u klienta z...
PLNOG 22 - Marcel Guzenda - Pierwsze w Polsce wdrożenie Cisco SDA u klienta z...
PLNOG19 - Emil Gągała - Przewodnik nowoczesnego sieciowca po pasjonującym, No...
PLNOG19 - Emil Gągała - Przewodnik nowoczesnego sieciowca po pasjonującym, No...
PLNOG 22 - Jakub Leszewski - Citrix SD-WAN - niezawodny, efektywny i bezpiecz...
PLNOG 22 - Jakub Leszewski - Citrix SD-WAN - niezawodny, efektywny i bezpiecz...
PLNOG20 - Krzysztof Mazepa - Transformacja poprzez innowacje
PLNOG20 - Krzysztof Mazepa - Transformacja poprzez innowacje
Wirtualizacji ciąg dalszy czyli po co karta v gpu w xenapp xendesktop
Wirtualizacji ciąg dalszy czyli po co karta v gpu w xenapp xendesktop
Similaire à PLNOG 9: Gaweł Mikołajczyk - Bezpieczne Data Center i Bezpieczna Chmura
Security B-Sides Warsaw 2014 - Network Security Treasures - Gawel Mikolajczyk
Security B-Sides Warsaw 2014 - Network Security Treasures - Gawel Mikolajczyk
Gawel Mikolajczyk
PLNOG15: End of theoretical talks on SDN! Time for real solutions - Cisco SP ...
PLNOG15: End of theoretical talks on SDN! Time for real solutions - Cisco SP ...
PROIDEA
Prezentacja witruallizacja dc 1.3
Prezentacja witruallizacja dc 1.3
Marta Pacyga
PLNOG15: Virtualization and automation of network and security services in Da...
PLNOG15: Virtualization and automation of network and security services in Da...
PROIDEA
PLNOG 7: Krzysztof Konkowski - QoS a sieci agregacyjne
PLNOG 7: Krzysztof Konkowski - QoS a sieci agregacyjne
PROIDEA
Budowanie sieci Grid
Budowanie sieci Grid
Alicja Sieminska
Security B-Sides Warsaw 2013 - Masywna Telemetria NetFlow jest Masywna - Gawe...
Security B-Sides Warsaw 2013 - Masywna Telemetria NetFlow jest Masywna - Gawe...
Gawel Mikolajczyk
Wdrozenie Chmury W Oparciu O VMware vCloud Suite W Polsce Nie Jest Trudne
Wdrozenie Chmury W Oparciu O VMware vCloud Suite W Polsce Nie Jest Trudne
flexray
PLNOG 9: Krzysztof Konkowski, Władysław Misztal - Skuteczne planowanie i czas...
PLNOG 9: Krzysztof Konkowski, Władysław Misztal - Skuteczne planowanie i czas...
PROIDEA
PLNOG16: Software Defined Networks w oparciu o rozwiązania VMware (Case study...
PLNOG16: Software Defined Networks w oparciu o rozwiązania VMware (Case study...
PROIDEA
PLNOG 7: Krzysztof Mazepa - Konfiguracja usług szerokopasmowych na urządzenia...
PLNOG 7: Krzysztof Mazepa - Konfiguracja usług szerokopasmowych na urządzenia...
PROIDEA
PLNOG 13: Artur Gmaj: Architecture of Modern Data Center
PLNOG 13: Artur Gmaj: Architecture of Modern Data Center
PROIDEA
PLNOG 8: Tomaz Kozar - UCaaS jako usługa z chmury
PLNOG 8: Tomaz Kozar - UCaaS jako usługa z chmury
PROIDEA
[PL] Chmura hybrydowa - w poszukiwaniu zewnętrznych zasobów IT
[PL] Chmura hybrydowa - w poszukiwaniu zewnętrznych zasobów IT
Piotr Pietrzak
[PLCUG] Hyper converged - overview (PL)
[PLCUG] Hyper converged - overview (PL)
Jaroslaw Sobel
PLNOG15: Security and applications control in Next-Gen Data Center - Seweryn ...
PLNOG15: Security and applications control in Next-Gen Data Center - Seweryn ...
PROIDEA
PLNOG 8: Krzysztof Konkowski - GigabitEthernetem routera agregacyjnego do nie...
PLNOG 8: Krzysztof Konkowski - GigabitEthernetem routera agregacyjnego do nie...
PROIDEA
[CareerCon] as-a-Service czy Software Defined (PL)
[CareerCon] as-a-Service czy Software Defined (PL)
Jaroslaw Sobel
PLNOG15: MPLS and SDN in modern Data Center - Artur Gmaj
PLNOG15: MPLS and SDN in modern Data Center - Artur Gmaj
PROIDEA
PLNOG15 :Three faces of SDN - ACI vs NSX vs Nuage, Maciej Lelusz,Jarosław Zie...
PLNOG15 :Three faces of SDN - ACI vs NSX vs Nuage, Maciej Lelusz,Jarosław Zie...
PROIDEA
Similaire à PLNOG 9: Gaweł Mikołajczyk - Bezpieczne Data Center i Bezpieczna Chmura
(20)
Security B-Sides Warsaw 2014 - Network Security Treasures - Gawel Mikolajczyk
Security B-Sides Warsaw 2014 - Network Security Treasures - Gawel Mikolajczyk
PLNOG15: End of theoretical talks on SDN! Time for real solutions - Cisco SP ...
PLNOG15: End of theoretical talks on SDN! Time for real solutions - Cisco SP ...
Prezentacja witruallizacja dc 1.3
Prezentacja witruallizacja dc 1.3
PLNOG15: Virtualization and automation of network and security services in Da...
PLNOG15: Virtualization and automation of network and security services in Da...
PLNOG 7: Krzysztof Konkowski - QoS a sieci agregacyjne
PLNOG 7: Krzysztof Konkowski - QoS a sieci agregacyjne
Budowanie sieci Grid
Budowanie sieci Grid
Security B-Sides Warsaw 2013 - Masywna Telemetria NetFlow jest Masywna - Gawe...
Security B-Sides Warsaw 2013 - Masywna Telemetria NetFlow jest Masywna - Gawe...
Wdrozenie Chmury W Oparciu O VMware vCloud Suite W Polsce Nie Jest Trudne
Wdrozenie Chmury W Oparciu O VMware vCloud Suite W Polsce Nie Jest Trudne
PLNOG 9: Krzysztof Konkowski, Władysław Misztal - Skuteczne planowanie i czas...
PLNOG 9: Krzysztof Konkowski, Władysław Misztal - Skuteczne planowanie i czas...
PLNOG16: Software Defined Networks w oparciu o rozwiązania VMware (Case study...
PLNOG16: Software Defined Networks w oparciu o rozwiązania VMware (Case study...
PLNOG 7: Krzysztof Mazepa - Konfiguracja usług szerokopasmowych na urządzenia...
PLNOG 7: Krzysztof Mazepa - Konfiguracja usług szerokopasmowych na urządzenia...
PLNOG 13: Artur Gmaj: Architecture of Modern Data Center
PLNOG 13: Artur Gmaj: Architecture of Modern Data Center
PLNOG 8: Tomaz Kozar - UCaaS jako usługa z chmury
PLNOG 8: Tomaz Kozar - UCaaS jako usługa z chmury
[PL] Chmura hybrydowa - w poszukiwaniu zewnętrznych zasobów IT
[PL] Chmura hybrydowa - w poszukiwaniu zewnętrznych zasobów IT
[PLCUG] Hyper converged - overview (PL)
[PLCUG] Hyper converged - overview (PL)
PLNOG15: Security and applications control in Next-Gen Data Center - Seweryn ...
PLNOG15: Security and applications control in Next-Gen Data Center - Seweryn ...
PLNOG 8: Krzysztof Konkowski - GigabitEthernetem routera agregacyjnego do nie...
PLNOG 8: Krzysztof Konkowski - GigabitEthernetem routera agregacyjnego do nie...
[CareerCon] as-a-Service czy Software Defined (PL)
[CareerCon] as-a-Service czy Software Defined (PL)
PLNOG15: MPLS and SDN in modern Data Center - Artur Gmaj
PLNOG15: MPLS and SDN in modern Data Center - Artur Gmaj
PLNOG15 :Three faces of SDN - ACI vs NSX vs Nuage, Maciej Lelusz,Jarosław Zie...
PLNOG15 :Three faces of SDN - ACI vs NSX vs Nuage, Maciej Lelusz,Jarosław Zie...
PLNOG 9: Gaweł Mikołajczyk - Bezpieczne Data Center i Bezpieczna Chmura
1.
Cisco Confidential 1C97-714039-00
© 2012 Cisco and/or its affiliates. All rights reserved. Gaweł Mikołajczyk gmikolaj@cisco.com Security Consulting Systems Engineer EMEA Central Core Team CCIE #24987, CISSP-ISSAP, CISA, C|EH PLNOG9, October 23, 2012, Cracow, Poland
2.
© 2012 Cisco
and/or its affiliates. All rights reserved. Cisco Public 2
3.
© 2012 Cisco
and/or its affiliates. All rights reserved. Cisco Public 3 http://plnog.pl/spotkanie-8-marzec/materialy
4.
© 2012 Cisco
and/or its affiliates. All rights reserved. Cisco Public 4
5.
50% 55% 58% 59% 62% 65% 66% 66% 68% 69% 70% 76% 0% 10% 20%
30% 40% 50% 60% 70% 80% Higher Energy Efficiency/Green Initiatives Enable a New Application Centralize IT Services Consolidate Equipment Iimprove Scalability Consolidate Data Centers Improve Management Capability Virtualization Decrease Operating Costs Data Storage/Backup Decrease Downtime Incease Security Powody inwestycji w Data Center Powodyinwestycji Źródło: Data Center Deployment Strategies: North American Enterprise Survey, Infonetics, Luty 2012. Zwiększenie bezpieczeństwa
6.
© 2012 Cisco
and/or its affiliates. All rights reserved. Cisco Public 6 Segmentacja • Określenie styków: sieciowy, wirtualny, obliczeniowy • Wymuszenie polityk dla funkcji, urządzeń, organizacji • Kontrola dostępu do sieci, zasobów, aplikacji Ochrona przed zagrożeniami • Powstrzymanie ataków wewnętrznych i zewnętrznych • Spradzenie na poziomie zone brzegu/styku • Kontrola dostępu i wykorzystania informacji Widoczność • Transparencja w użytkowaniu • Przypisania kontekstu biznesowa do profilu w sieci • Uproszczenie działań i raportów zgodności
7.
© 2012 Cisco
and/or its affiliates. All rights reserved. Cisco Public 7
8.
© 2012 Cisco
and/or its affiliates. All rights reserved. Cisco Public 8 Styk z internetem Dystrybucja SAN ASA 5585-X ASA 5585-X VDC Nexus 7018 Nexus 7018 Rdzeń = Moc Obliczeniowa = Sieć = Bezpieczeństwo Nexus 7000 Series Nexus 5000 Series Nexus 2100 Series Zone Unified Computing System Nexus 1000V VSG Multizone Catalyst 6500 SERVICES VSS Firewall ACE NAM IPS VSSVPCVPCVPCVPCVPCVPCVPCVPC 10G Server Rack 10 G Server Rack Unified Compute Unified Services
9.
© 2012 Cisco
and/or its affiliates. All rights reserved. Cisco Public 9
10.
© 2012 Cisco
and/or its affiliates. All rights reserved. Cisco Public 10 Segmentacja Fabric UCS Fabric Interconnect Segmentacja sieciowa Fizyczna Wirtualna (VLAN, VRF) Zwirtualizowana (Zones) Segmentacja z firewallem Stateful/reflective ACL Multi-context VPN Segmentacja Kontekstowa Security Group Tags (SGT) Security Exchange Protocol (SXP) Security Group ACL TrustSec Zapewnienie spójnych polityk dla styków fizycznych i wirtualnych dla ochrony danych statycznych i „in motion”. Segmentacja
11.
© 2012 Cisco
and/or its affiliates. All rights reserved. Cisco Public 11 ASAClustering-ControlPlane • Dwa do ośmiu urządzeń ASA per klaster (jednakowe modele i DRAM) • Wspierane oba tryby pracy routed (L3) i transparent (L2) • Jeden master sychronizuje konfiguracje dla urządzeń w klastrze • Minimum jeden interfejs cluster control dla control plane w klastrze • Innowacja w agregacji łączy - cLACP Cisco® ASA 5585-X v9.0 – klastrowanie ASA Clustering - Data Plane Segmentacja z firewallem
12.
© 2012 Cisco
and/or its affiliates. All rights reserved. Cisco Public 12 WydajnośćMultiScale™ 40G 20G 80G 32G 160G 64G 320G 112G Segmentacja z firewallem
13.
Wirtualny Appliance Nexus
1010 (HW Appliance) vWAAS VSG VSM NAM NAM VSG VSG Primary Secondary VSM VSM L2/L3Connectivity VEM-1 vPath VEM-2 vPath Hypervisor Hypervisor VSM: Virtual Supervisor Module VEM: Virtual Ethernet Module vPath: Virtual Service Data-path VXLAN: Skalowalna segmentacja VSN: Virtual Service Node • VSG: Virtual Security Gateway • vWAAS: Virtual WAAS • ASA 1000V: Firewall na brzegu VM Hostowanie dodatkowych usług Wdrożenie i zarządzanie jak przełącznikiem z NX-OS Bez konieczności dostępu do vCenter Wirtualne appliance usługowe Virtual Supervisor Module (VSM) Network Analysis Module (NAM) Virtual Security Gateway (VSG) Inne… VXLANVXLAN Virtual ASA vPath • Sterowanie ruchem • Fast-Path Offload • Wsparcie dla VXLAN Segmentacja wirtualna
14.
© 2012 Cisco
and/or its affiliates. All rights reserved. Cisco Public 14 Cisco® ASA 1000V Cloud Firewall Ochrona maszyn w środowisku multitenant. Zabezpieczenie brzegu w środowiskach zwirtualizowanych prywatnej i publicznej „chmury” Segmentacja wirtualna z firewallem
15.
© 2012 Cisco
and/or its affiliates. All rights reserved. Cisco Public 15 • Sprawdzone technologi bezpieczeństwa Cisco® : spójne polityki • Model uzupełnienia rozwiązań bezpieczeństwa ̶ Cisco Virtual Secure Gateway (VSG) dla intra-tenant zones ̶ Cisco ASA 1000V dla kontroli brzegu klienckiego • Transparentna integracja ̶ Z Cisco Nexus® 1000V i Cisco vPath • Elastyczność skalowania by sprostać wymogom chmury ̶ Wdrożenie Multi-instance i możliwość skalowania w DC Tenant BTenant A VDC vApp vApp Hypervisor Cisco Nexus® 1000V Cisco vPath VDC Cisco® Virtual Network Management Center (VNMC) VMware vCenter Cisco VSG Cisco VSG Cisco VSG Cisco ASA 1000V Cisco ASA 1000V Cisco VSG Segmentacja wirtualna z firewallem
16.
© 2012 Cisco
and/or its affiliates. All rights reserved. Cisco Public 16 vSphere Cisco Nexus 1000V VEM vSphere vSphere Cisco Nexus 1000V VEM Cisco Nexus 1000V VEM VM VM VM VM VM VM VM VM Active ASA 1000V (Tenant B) Active ASA 1000V (Tenant A) Tenant A Tenant B VMWare vCenter Server Sieć Data Center vPath vPath 1000V VSM Standby ASA 1000V Standby ASA 1000V vPath Cisco Virtual Network Management Center Server Segmentacja wirtualna z firewallem
17.
© 2012 Cisco
and/or its affiliates. All rights reserved. Cisco Public 17 Identyfikacja Klasyfikacja Przypisanie Propagacja ID: Użytkownik, urządzenie Rola: HR, . Tag: SGT 5 Urządzenia sieciowe Aplikacje, dane, usługi • Polityka która oddziela definicje od narzędzi wymuszenia • Klasyfikacja podmiotów: systemy i użytkownicy • Kontekst: system-role lub user-role, urządzenie, lokalizacja i sposób dostępu • Klasyfikacja kontekstowa jest propagowana z wykorzystaniem security group tags • Group tags są używane przez firewalle, routery i przełączniki w smart policy Switch Router DC FW DC Switch Serwery Segmentacja kontekstowa
18.
© 2012 Cisco
and/or its affiliates. All rights reserved. Cisco Public 18
19.
© 2012 Cisco
and/or its affiliates. All rights reserved. Cisco Public 19 BEZPIE- CZEŃSTWO SIEĆ MOC OBLICZE- NIOWA VM Attributes Security Profiles Port Profiles vCenter Server Admin N1KV Network Admin CSM Security Admin VNMC Security Admin Fizyczne Wirtualne NetFlow Network Admin Cisco® NetFlow Widoczność Wirtualne Wirtualne
20.
© 2012 Cisco
and/or its affiliates. All rights reserved. Cisco Public 20 10.20.20.50 10.20.30.10110.20.20.51 vPC Peer-link VSL vPC Service VLANs Nexus 1000V and VSG Nexus 7000 Nexus 5000 ESX Server ASA 5585 Cat 6500 monitor session 2 type erspan- source description N1k ERSPAN –session 2 monitor session 4 type erspan- destination description N1k ERSPAN to IDS1 monitor session 1 type erspan- source description N1k ERSPAN – session 1 monitor session 3 type erspan- destination description N1k ERSPAN to NAM NAM Widoczność
21.
© 2012 Cisco
and/or its affiliates. All rights reserved. Cisco Public 21
22.
© 2012 Cisco
and/or its affiliates. All rights reserved. Cisco Public 22 Warunek źródłowy Warunek docelowy Akcja Reguła Network Attributes IP Address Network Port Operator eq neq gt lt range Not-in-range Prefix Operator member Not-member Contains Warunek VM Attributes VM Name Guest OS full name Resource Pool Parent App Name Port Profile Name Cluster Name VM DNS Name Hypervisor Name Attribute Type Network VM User Defined vZone VSGNexus 1000V
23.
© 2012 Cisco
and/or its affiliates. All rights reserved. Cisco Public 23 Web ServerWeb Server Dopuść tylko Port 80 (HTTP) na serwerach web Dopuść tylko Port 22 (SSH) do serwerów aplikacyjnych Pozwól tylko serwerom web na dostęp do serwerów aplikacji Klient Web Web Zone DB serverDB server Database Zone App ServerApp Server Application Zone Pozwól tylko serwerom aplikacji na dostęp do serwerów DB Zablokuj jakikolwiek dostęp z zewnątrz do serwerów DB VSGNexus 1000V
24.
© 2012 Cisco
and/or its affiliates. All rights reserved. Cisco Public 24 • Tenant cloning z uwzględnieniem zone oraz nakładającej się adresacji IP (overlapping) • Izolowanie nakładających się IP poprzez translację adresó (NAP/PAT) przy połączeniu do sieci zewnętrznych ASA 1000VNexus 1000V Tenant A Tenant A’ (clone) Virtualized Servers VM 1 VM 2 VM 1 VM 3 VM 1 ASA 1000V Sieć zewnętrzna VM 1 VM 2 VM 1 VM 3 VM 1 ASA 1000V
25.
© 2012 Cisco
and/or its affiliates. All rights reserved. Cisco Public 25 • Maszyny wirtualne często i szybko są „podnoszone/tworzone” w środowiskach wirtualnych • ASA 1000V DHCP może być użyte do dynamicznego przypisania adresu IP do nowej maszyny wirtualnej Tenant A Tenant B Serwery zwirtualizowane VM 1 VM 2 VM 1 VM 3 VM 1 ASA 1000V VM 1 VM 2 VM 1 VM 3 VM 1 ASA 1000V ASA 1000VNexus 1000V
26.
© 2012 Cisco
and/or its affiliates. All rights reserved. Cisco Public 26 • Unikalne rozwiązanie systemowe Cisco TrustSec w zwalidowanej architekturze Data Center • Bezpieczeństwo oparte o kontekst w działaniu • Segmentacja oparta o grupy SGT (Security Group Tags) • Mechamizm niezależny od transportu i topologii sieciowej • Przykłady zastosowania: Dostęp do usługi VDI w DC Dostęp do zasobów chmury prywatnej ASA 5585-X ISENexus 7000 Nexus 1000V
27.
© 2012 Cisco
and/or its affiliates. All rights reserved. Cisco Public 27 Egress SGT=100 Jestem pracownikiem W grupie HR HR SGT = 100 • TrustSec Security Group Firewalling: Rozszerza koncepcję zastosowania ASA 9.0 Użycie Security-Group Tag (SGT) w politykach Firewalla Ingress HR (SGT=100) Finanse (SGT=4) 802.1X/MAB/Web Auth S-IP User S-SGT D-IP D-SGT DENY ASA 5585-X ISE
28.
© 2012 Cisco
and/or its affiliates. All rights reserved. Cisco Public 28 Źródłowy SGT Docelowy SGT Faza I: Context Agent – Identity Firewall w ASA 8.4(2) Faza II: wsparcie dla TrustSec SXP w ASA 9.0 ASA 5585-X ISE
29.
© 2012 Cisco
and/or its affiliates. All rights reserved. Cisco Public 29
30.
© 2012 Cisco
and/or its affiliates. All rights reserved. Cisco Public 30 • DMVPN • Easy VPN • FlexVPN • BGP • OSPF • EIGRP • Firewall • ACL • AAA • NAT • DHCP • HSRP • AppNav/WCCP • LISP
31.
© 2012 Cisco
and/or its affiliates. All rights reserved. Cisco Public 31
32.
© 2012 Cisco
and/or its affiliates. All rights reserved. Cisco Public 32
33.
© 2012 Cisco
and/or its affiliates. All rights reserved. Cisco Public 33
Télécharger maintenant