Embed Size (px)
Citation preview
Станислав Рыпалов
системный инженер
CCIE R&S, Security, CISSP
Безопасность и виртуализация в центрах
обработки данных (часть 1)
26.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved.
Безопасность и виртуализация в
центрах обработки данных (часть 1)
КОД ПРЕЗЕНТАЦИИ: 1435
Станислав Рыпалов
системный инженер
CCIE R&S, Security, CISSP
26.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved. 2
Задачи
Обсудим общие проблемы безопасности для виртуализации
Поймем как применять виртуализованные и физические устройства
безопасности для защиты ресурсов
Сфокусируемся на инструментах унификации политик и их применения для
виртуальных сред
Опишем методы повышения прозрачности операций и контроля трафика в
виртуальных средах
Рассмотрим архитектуру ACI (application centric infrastructure) и интеграцию
сервисов безопасности
3
Безопасность и виртуализация в ЦОД
Тренды виртуализации, приоритеты, проблемы
Сервисы безопасности для виртуальных сетей
Физические сервисы защиты для виртуализации
Обнаружение угроз и корреляция
Application Centric Infrastructure Security
Заключение
4
Source: IDC, Nov 2010
Точка перехода
Традиционный Виртуализованный
c
App OS
App OS
App OS
App OS
App OS
App OS
App OS
App OS
App OS
...1 сервер,
или “хост”
Много прил.,
или “VM”… Hypervisor
App OS
App OS
App OS 1 Приложение…
...1 Сервер
App OS
App OS
App OS
Переход
Развитие архитектуры ЦОД Виртуализация на обычных платформах
5
Наращивание емкости для
нагрузки (кол-во серверов и VM)
Масштабирование и распределение нагрузки (разнесение серверов и VM по стойкам, рядам, между рядами, … )
Эффективная фабрика для ЦОД
Цель архитектуры – баланс между возможностью расширения и обеспечением доступности и
управляемости сетевой фабрики
Повышение эффективности ЦОД требует более наращиваемого и гибкого дизайна сетевой фабрики
Точка старта– Вычислительный Домен
6
Виртуализация сервера
На одном физическом сервере работают
несколько независимых гостевых ОС и
приложений
Гипервизор обеспечивает абстракцию
аппаратного обеспечения от гостевых ОС
и приложений
Разделение системных ресурсов: CPU,
память, диск, сеть
Приложения & ОС инкапсулированы как
виртальные машины
7
Общие проблемы виртуализации
Общее применение политик Применяются к хосту—не к индивидуальной VM Невозможность применения политик к VM при миграции
Управления и операционная деятельность
Отсутствие видимости VM, учета и согласованности
Сложная модель управления и отстутствие эффективных механизмов
обнаружения неисправностей Роли и ответственность
Ответственный за виртальную сеть - серверный администратор Организационная двойственность –> проблемы соответсвия
Сегментация машин и приложений Изоляция серверов и приложений на одном хосте Нет разделения между compliant и non-compliant системами…
Политики, процессы, управление
Roles and
Responsibilities
Isolation and
Segmentation
Management
and Monitoring
Hypervisor
Initial Infection
Secondary Infection
8
Безопасность виртуализации
Collateral hacking?
Сегментация?
Атаки Side channel?
Видимость?
Идентификация угроз и защита?
Как насчет взлома гипервизора?
VM Escape?
Что еще?
Синдром дефицита внимания
Virtualization
Security
V-Motion (Memory)
V-Storage (VMDK)
VM Segmentation
Hypervisor Security
Role Based Access
Physical Security
VM OS Hardening
Patch Management
VM Sprawl
9
Просто, Эффективно и Доступно
Сегментация • Определение границ: сеть, вычислительный ресурс, вируальная сеть
• Применение политик по функциям - устройство, организация, соответствие
• Контроль и предотвращение НСД к сети, ресурсам, приложениям
Защита от угроз
• Блокирование внешних и внутренних атак и остановки сервисов
• Патрулирование границ зон безопасности
• Контроль доступа и использования информации для предотвращения ее потери
Видимость
• Обеспечение прозрачности использования
• Применение бизнес-контекста к сетевой активности
• Упрощение операций и отчетности
Север-Юг
Восток-Запад
Защита, Обнаружение, Контроль
10
Виртуальная сеть и сервисы безопасности
26.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved. 11
Управление политиками в виртуальной сети
Nexus 1000V Операционная модель на базе
портовых профилей Port Profiles
Поддержка политик безопасности с
изоляцией и сегментацией при
помощи VLAN, Private VLAN, Port-
based Access Lists, Cisco Integrated
Security функций
Обеспечение прозрачности потоков
от виртуальных машин функциями
ERSPAN и NetFlow
Виртуальный коммутатор: Nexus 1000V
Network
Team
Server
Team
Управление и
мониторинг Роли и
ответственность
Изоляция и
сегментация
Security
Team
Nexus 1000V
12
Что такое портовый профиль (Port-Profile) Nexus?
Профиль порта – контейнер для определения общего набора
настроек/команд, которые используются на нескольких интерфейсах
Определяется один раз, применяется многократно
Упрощение управления через сохранение конфигурации интерфейса
Ключевой компонент для совместного управления сетевыми ресурсами
виртуальной сети
Почему это не как шаблон или макрос «SmartPort»?
Портовые профили это «живые» политики
Изменение включенного профиля влечет изменение настроек на всех
подключенных интерфейсах, которые используют данный профиль
* Более подробно на потоке ЦОД
13
Профиль порта
Nexus 1000V поддерживает:
ACLs
Quality of Service (QoS)
PVLANs
Port channels
SPAN ports
port-profile vm180
vmware port-group pg180
switchport mode access
switchport access vlan 180
ip flow monitor ESE-flow input
ip flow monitor ESE-flow output
no shutdown
state enabled
interface Vethernet9
inherit port-profile vm180
interface Vethernet10
inherit port-profile vm180
Port Profile –> Port Group vCenter API
vMotion
Policy Stickiness
Network
Security
Server
14
Функции безопасности Nexus 1000V Закладывая основу
Switching L2 Switching, 802.1Q Tagging, VLAN Segmentation, Rate Limiting (TX)
IGMP Snooping, QoS Marking (COS & DSCP)
Security Virtual Service Domain, Private VLANs w/ local PVLAN Enforcement
Access Control Lists (L2–4 w/ Redirect), Port Security, vPATH/VSG
Dynamic ARP inspection, IP Source Guard, DHCP Snooping
Provisioning Automated vSwitch Config, Port Profiles, Virtual Center Integration
Optimized NIC Teaming with Virtual Port Channel – Host Mode
Visibility VMotion Tracking, ERSPAN, NetFlow v9, CDP v2
VM-Level Interface Statistics
Management Virtual Center VM Provisioning, Cisco Network Provisioning, CiscoWorks
Cisco CLI, Radius, TACACs, Syslog, SNMP (v.1, 2, 3)
15
Сервисные цепочки при помощи vPath vPath это компонент шины данных Nexus 1000V:
Модель вставки сервиса без привязки к топологии
Сервисные цепочки для нескольких виртуальных сервисов
Повышение производительности с vPath например VSG flow offload
Эффективная и масштабируемая архитектура
Сохранение существующей модели операций
Мобильность политик
Cloud Network Services (CNS)
Hypervisor
Nexus 1000V vPath
16
Что такое Virtual Security Gateway?
VSG это L2 МСЭ, который работает как
фильтр между виртуальными машинами
Похоже на режим transparent для ASA
Обеспечивает инспекцию/фильтрацию между
виртуальными машинами в одной L2 сети
(одна подсеть или VLAN)
Для описания политик может использовать
атрибуты VMware
Разделение потоков трафика Восток-Запад
Один или более VSG на тенанта
Требует Nexus 1000V Virtual Distributed Switch
и использует vPath для коммутации
17
Virtual Hosts
Virtual Hosts
Virtual Hosts
Атрибуты VSG
Название Значение Источник
vm.name имя VM vCenter
vm.host-name имя ESX-хоста vCenter
vm.os-fullname имя гостевой OS vCenter
vm.vapp-name имя ассоциированного vApp vCenter
vm.cluster-name имя кластера vCenter
vm.portprofile-name имя профиля порта Port-profile
атрибуты VM attribute используются при создании политики
безопасности
Профиль Security Policy Profile
Определяется/управляется через VNMC / PNSC
Привязка политики через профиль порта Cisco Nexus 1000V VSM
Атрибуты vCenter VM
18
Network Admin Security Admin
Процесс определения политики
Устранение операционных ошибок между командами
Команда безопасности определяет политики безопасности
Команда сетевых администраторов включает политику в профили портов
Серверная команда назначает профили портов к VM
Сервер, Сеть, Безопасность
Server Admin
vCenter Nexus 1KV Prime NSC
Port Group Port Profile Security Profile
19
Представляем виртуальный МСЭ ASA (ASAv)
Полноценный МСЭ ASA работающий как виртуальная машина
Nexus1000V не требуется
Поддерживает VMWare и другие гипервизоры
Паритет функциональности с ASA (с исключениями)
Нет поддержки:
1. кластеризации ASA
2. режима нескольких контекстов
3. интерфейсов Etherchannel
4. Режима Active/Active Failover (требует режима multi context)
20
ASAv Firewall
(Virtualized ASA)
Внедрение ASAv : Облачный МСЭ+VPN
21
Сегодня для фильтрации между зонами и тенантами применяется ASA в режиме мульти-контекст
Для передачи трафика используются транки
Проблема – масштабирование фильтрации Запад-Восток требует ресурсов МСЭ и масштабируемого транспортного решения
Zone 1 Zone 2 Zone 3
VM 1
VM 2
VM 3
VM 4
VFW 1
VM 5
VM 6
VM 7
VM 8
VFW 2 VFW 3
ASAv – может быть пограничным МСЭ и может обеспечивать фильтрацию Восток-Запад
На каждого тенанта или зону можно развернуть одну или несколько ASAv для FW + VPN
Масштабируемая терминация VPN S2S и RA
Vzone 1 Vzone 2
Multi Context Mode ASA
ASAv 3 режима примения политик
Routed Firewall
• Маршрутизация трафика между vNIC
• Поддержка таблиц ARP и маршрутов
• МСЭ на границе тенанта
Transparent Firewall
• VLAN или VxLAN Bridging / Stitching
• Поддержка таблицы MAC
• Бесшовная интеграция в L3 дизайн
Service Tag Switching
• Инспектирование между service tags
• Нет взаимодействия с сетью
• Режим интеграции с фабрикой
22
Routed Firewall
Routed – граница сети контейнера/тенанта
Шлюз по умолчанию для хостов
Маршрутизация между несколькими подсетями
Традиционная L3 граница сети
Подключение виртуальных машин и физических
Сегментация с использованием интерфейсов ASAv Routed
client
Gateway
Outside
Inside
host1
host2
Shared
DMZ
23
Transparent Firewall
• Коммутация между 4 (под-) интерфейсами
• 8 BVIs на ASAv
• NAT и ACL
• Бесшовная интеграция для соотв. PCI
• Традиционная граница L2 между хостами
• Все сегменты в одном широковещательном домене ASAv
Transp
Gateway
client
Segment-1
Segment-3
host1
host2
Segment-2
Segment-4
24
Web-zone Fileserver-zone
Hypervisor
Nexus 7000
Nexus 5500
Nexus
1000V
VRF
VLAN 50
UCS
VLAN 200
VLAN 300
Защита приложений и видимость
Инспекция трафика север-юг и восток-запад с ASA
Transparent или routed режимы
Эластичность сервиса
ASAv
.1Q Trunk
VLAN 50
25
Web-zone Fileserver-zone
Hypervisor
Nexus 7000
Nexus 5500
Nexus
1000V
VRF
VLAN 50
UCS
Защита приложений и видимость
Инспекция трафика север-юг и восток-запад с ASA
Глубокая инспекция с virtual IPS – в режиме inline (коммутация между VLAN) или promiscuous port на vswitch
Сервисная цепочка – ASAv и vIPS
.1Q Trunk
External VLAN 50
Defense Center с Firesight для анализа данных
26
Inline Set
Inline Set Internal
External Internal
VLAN 200
Виртуальный IPS
26.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved. 27
vIPS Варианты включения в разрыв или пассивный
Web-zone
VLAN 200
Promiscuous
Port
vSwitch
Web-zone
VLAN 200
External
vSwitch vSwitch
28
Internal
Контекстная информация FireSIGHT Защита приложений и контроль
Трафик приложений… Приложения и риск… Кто их использует?
Какие операционные системы? Что еще происходило
с пользователями?
What does their traffic look
like over time?
Защита приложений и видимость Defense Center c FireSight
30
Защита приложений и видимость Информация геолокации
31
Защита приложений и видимость Defense Center с FireSight
32
Примеры внедрения
26.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved. 33
Web-zone Fileserver-zone Application-zone
Hypervisor
Nexus 7000
Nexus
1000V Primary VLAN 20
VRF
VLAN 20
UCS
VLAN 100 Isolated
VLAN 200
Isolated VLAN 300
Community
Сегментация L2
VM в одной подсети могут быть
изолированы
Взаимодействие только со шлюзом L3
Используем ACL на шлюзе для
фильтрации по IP из PVLAN
PVLAN для изоляции VM
*PVLANs также поддерживаются на VMware vswitch
.1Q Trunk
34
Web-zone Fileserver-zone Application-zone
Hypervisor
Nexus
1000V
UCS
VLAN 100 Isolated
VLAN 200
Isolated VLAN 300
Community
VM обеспечение прозрачности операций
Потоки от VM могут быть отзеркалированы
через span-порт на виртуальном коммутаторе.
Можно также применить ERSPAN для отправки
через L3 (например на 6500 NAM модуль).
Анализ потоков VM через NetFlow для контроля
производительности и безопасности
NetFlow для анализа поведения VM
NetFlow/ERSPAN/SPAN
NetFlow Data Collector
6500 w/
NAM Layer 3
Layer 2
35
Изоляция систем через микросегментацию
Политики на приложение, VM, vNIC
Tenant B VSD
Web App
Web DB
Nexus 1000V
VSD
ASAv и vIPS
Nexus 1000V
Web Tier App Tier
Контроль ingress/egress & трафик
между VM vFirewall, ACL, PVLAN
Видимость трафика и угроз vIPS, Netflow, SPAN/ERSPAN
Применение политик прозрачно для
мобильности Port Profiles
Разделение ролей
Сервер • Сеть • Безопасность
Tenant A
ASAv и vIPS
36
VSG
SVM
Оркестрация виртуальной безопасности
Автоматизация внедрения
сервисов безопасности
SDN
ACI
Рассмотрим ACI как пример:
Web
Server
End Point
Group A
App
Server
End Point
Group B
Ap
plica
tio
n
Con
str
uct
Se
rvic
es inst
inst
…
Firewall/IPS
inst
inst
…
load balancer
gra
ph
….
start end 1 …..
N
contract rule: redirect
Продукты
оркестрации:
Embrane
37
Физические сервисы безопасности для
виртуализации
26.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved. 38
Physical to Virtual Сегментация VRF-VLAN-Virtual
ASAv/
VSG vIPS
ASAv Zone B Zone C
Nexus 7K
ASA
CTX1 CTX2 CTX3
VLANx1
VLANx2
VLANy1
VLANy2
VLANz1
VLANz2
SGT SGT SGT SGT SGT SGT
Segmentation Building Blocks
Соединяем физическую и виртуальную
инфраструктуры
Зоны используются для определения и
применения политик
Уникальные политики применяются
для каждой зоны
Физическая инфраструктура
привязывается к зоне
VRF, Nexus Virtual Device
Context, VLAN, SGT
39
МСЭ ASA и фабрика ЦОД
ASA и Nexus Virtual Port Channel
vPC обеспечивает распределение нагрузки по
соединениям (отсутствие заблокированных STP соед.)
ASA использует технологии отказоустойчивости ЦОД
Уникальная интеграция ASA и Nexus (LACP)
IPS модуль полагается на связность от ASA – обеспечивает
DPI
Проверенный дизайн для сегментации, защиты от угроз и
прозрачности операций (visibility)
Transparent (рекомендован) и routed режимы
Работает в режимах A/S и A/A failover
Уровень агрегации ЦОД
Active vPC Peer-link
vPC vPC
Core
IP1
Core
IP2
Active or
Standby
N7K VPC 41 N7K VPC 40
Nexus 1000V vPath
Hypervisor
Nexus 1000V vPath
Hypervisor
Core Layer
Aggregatio
n Layer
Access Layers
40
Aggregation Layer
L2
L3
FW HA
VPC VPC
VPC
DC Core /
EDGE
VPC VPC
FHRP FHRP
SVI VLAN200 SVI VLAN200
North Zone
VLAN 200
South Zone
VLAN 201
Trunks
VLAN 200
Outside
VLAN 201
Inside
N7K VPC
40 N7K VPC
41
ASA channel
32
VPC PEER LINK
VPC PEER LINK
Access Layer
Подключение ASA к Nexus с vPC
ASA подключается к Nexus
несколькими интерфейсами с
использованием vPC
ASA может быть настроена на
переход на резервную коробку
в случае потери нескольких
соединений (при
использовании HA)
Идентификаторы vPC разные для
каждого МСЭ ASA на
коммутаторе Nexus (это меняется
для кластера ASA и cLACP
[далее…])
Лучшие практики
41
North Zone
VLAN 200
South Zone
VLAN 201
VPC
VLAN 200
Outside
VLAN 201
Inside
interface
TenGigabitEthernet0/6
channel-group 32 mode
active
no nameif
no security-level
!
interface
TenGigabitEthernet0/7
channel-group 32 mode
active
no nameif
no security-level
!
Server in
VLAN 201
VPC
Trunk Allowed 1,201
SVI VLAN200 172.16.25.253
FHRP – 172.16.25.1 SVI VLAN200 172.16.25.254
FHRP – 172.16.25.1
172.16.25.86/24
Режим Transparent в ЦОД 2 интерфейса
interface BVI1
ip address 172.16.25.86
255.255.255.0
!
interface Port-channel32
no nameif
no security-level
!
interface Port-channel32.201
mac-address 3232.1111.3232
vlan 201
nameif inside
bridge-group 1
security-level 100
!
interface Port-channel32.200
mac-address 3232.1a1a.3232
vlan 200
nameif outside
bridge-group 1
security-level 0 42
Физический сервис для виртуального
Hypervisor Hypervisor Hypervisor Hypervisor
VRF Blue VRF Purple
Firewall Firewall Nexus 7000
Nexus 5500
Nexus 1000V Nexus 1000V
Aggregation
Core
Physical
Layout
Применяем физические устр-ва для
изоляции и сегментации виртуальных
машин
Используем зоны для применения
политик
Физическая инфраструктура
привязывается к зоне
Разделяем таблицы маршрутизации по зонам через VRF
Политики МСЭ на зоны привязаны к потокам север-юг, восток-запад
Проводим L2 и L3 пути через физические сервисы
43
МСЭ & виртуальная среда Виртуальные контексты ASA для фильтрации потоков между зонами
Firewall Virtual Context
provides inter-zone East-
West security
Aggregation
Core
Hypervisor Hypervisor
Database
ASA Context 2
Transparent Mode ASA Context 1
Transparent Mode
ASA 5585 ASA 5585
Aggregation
Core
Physical
Layout
East-West Zone
filtering
VLAN
21
VLAN
20
VLAN
100
VLAN
101
Context1 Context2
Front-End Apps
44
Hypervisor
Инспекция трафика между VLAN для VM ASA с Bridge Group внутри контекста
Layer 2 Adjacent
Switched Locally
Direct Communication
ASA 5585
Transparent Mode
Aggregation
Core
Layer 3 Gateway
VRF or SVI
Aggregation
Core
Physical
Layout
East-West VLAN
filtering
VLAN
20
VLAN
100
interface vlan 21
10.10.20.1/24
interface vlan 101
10.10.101.1/24
interface TenGigabitEthernet0/6
channel-group 32 mode active vss-id 1
no nameif
no security-level
!
interface TenGigabitEthernet0/7
channel-group 32 mode active vss-id 2
no nameif
no security-level
!
interface BVI1
ip address 10.10.20.254 255.255.255.0
!
interface Port-channel32
no nameif
no security-level
!
interface Port-channel32.20
mac-address 3232.1111.3232
vlan 20
nameif inside
bridge-group 1
security-level 100
!
interface Port-channel32.21
mac-address 3232.1a1a.3232
vlan 21
nameif outside
bridge-group 1
security-level 0
… 45
VLAN
21
VLAN
101
Обзор кластера ASA Кластеризация поддерживается на 5580, 5585 и
5500-X (5500-X кластер из 2-х устройств)
CCL – критическое место кластера, без него кластер
не работает
Среди членов кластера выбирается Master для
синхронизации настроек— не влияет на путь пакета
Новый термин “spanned port-channel” т.е.
Распределенные/общие настройки порта среди
членов кластера ASA
Кластер может ре-балансировать потоки
У каждого потока есть Owner и Director и возможно
Forwarder
Шина данных кластера ДОЛЖНАиспользовать
cLACP (Spanned Port-Channel)
Cluster Control Link
vPC
Data Plane
Aggregation
Core
ASA Cluster
vPC 40
46
Кластер МСЭ ASA Кластеризация ASA для требований ЦОД
Cluster Control link shares
state and connection
information among cluster
members
Aggregation
Core
Hypervisor Hypervisor
Database
ASA Cluster includes
Context 1 & 2 Transparent
Mode
ASA 5585 ASA 5585 ASA 5585 ASA 5585
Aggregation
Core
Physical
Layout
Cluster Control Link
Cluster functionally the same
in either transparent or routed
mode
Cluster members used for
North-South, East-West
inspection and filtering
Context1 Context2
Owner Director
IPS relies on ASA Clustering
47
Web
Apps
Итого по МСЭ в ЦОД
Физические и виртуальные устройства безопасности предлагают различные варианты для обеспечения контроля в ЦОД
Виртуальные МСЭ в различных режимах обеспечивают контроль между VRF и Nexus VDC
Transparent (L2) режим дает набор преимуществ по сравнению с routed режимом
Нет помех для прохождения протоколов маршрутизации, multicast, IPSEC и пр.
Используйте LACP для агрегации соединений в ЦОД
Кластеризация МСЭ обеспечивает высокий уровень производительности и возможность плавного ее наращивания.
Интеграция с новыми технологиями - ACI
48
ВОПРОСЫ ?
26.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved. 49
CiscoRu Cisco CiscoRussia
#CiscoConnectRu
Пожалуйста, используйте код для
оценки доклада
1435
Ваше мнение очень важно для нас
Спасибо за внимание!
26.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved.
