Проблема защиты информации в современном ЦОДе и способы ее решения

1 C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены.

ТЕНДЕНЦИИ ЦОД

ОБЛАЧНЫЕ

СРЕДЫ ВИРТУАЛИЗАЦИЯ

СООТВЕТСТВИЕ

ТРЕБОВАНИЯМ

ПРИОРИТЕТЫ

50%

55%

58%

59%

62%

65%

66%

66%

68%

69%

70%

76%

0% 10% 20% 30% 40% 50% 60% 70% 80%

Инициативы повышения энергоэффективности/экологичности

Возможность использования новых приложений

Централизация ИТ-сервисов

Консолидация оборудования

Повышение масштабируемости

Консолидация ЦОД

Расширение возможностей управления

Виртуализация

Снижение эксплуатационных затрат

Хранение данных/резервное копирование

Сокращение простоев

Повышение уровня безопасности

Основные причины инвестиций в технологии центров обработки данных

Процент респондентов, выставивших балл 6 или 7

Сти

мул

ы

Источник: Стратегии развертывания центров обработки данных:

Исследование североамериканских компаний, Infonetics, февраль 2011 г.

Повышение уровня безопасности

АДЕКВАТНОСТЬ

МОЖЕТ решить проблемы виртуализации и перехода на облачные среды

МОЖЕТ сократить циклы обновления центров обработки данных

МОЖЕТ решить проблемы соответствия нормативным требованиям

МОЖЕТ обеспечить отличие вашего подхода от предложений конкурентов

МОЖЕТ увеличить объем сделок

МОЖЕТ повысить ваш статус доверенного советника

БЕЗОПАСНОСТЬ

Превращение ВОЗМОЖНОСТИ в РЕАЛЬНОСТЬ

C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 5

• Сегментация физических и виртуальных ресурсов

• Виртуализация и различные гипервизоры

• Защита в сетях хранения данных

• Контроль приложений

• Утечки данных

• Соответствие требованиям

• Доступность и обеспечение бесперебойного функционирования

• Переход к облачным вычислениям


• Множество продуктов, политик, неуправляемых и чужих устройств, а также доступ в облака

Бизнес-контекст

УП

РА

ВЛ

ЕН

ИЕ

Вычисления В

ы

ч

и

с

л

е

н

и

я С

е

т

ь

Х

р

а

н

е

н

и

е

Сеть Хранение Управление УНИФИЦИРОВАННЫЙ

ЦЕНТР ОБРАБОТКИ

ДАННЫХ

БЕЗОПАСНОСТЬ Сегментация Защита от угроз Прозрачность

АПРОБИРОВАННАЯ

АРХИТЕКТУРА

Data Center Security CVD

Виртуальный мультисервисный центр обработки данных

Физическая | Виртуальная | Облачная среда


Сегментация

• Установление границ: сеть, вычисления, виртуальные ресурсы

• Реализация политики по функциям, устройствам, организациям

• Контроль доступа к сетям, ресурсам. приложениям

Защита от угроз

• Блокирование внутренних и внешних атак

• Контроль границ зоны и периметра

• Доступ к управляющей информации и ее

использование

Прозрачность

• Обеспечение прозрачности использования

• Применение бизнес-контекста к работе сети

• Упрощение отчетности по операциям и соответствию

нормативным требованиям


• Одно приложение на сервер

• Статическая

• Выделение ресурсов вручную

• Множество приложений на сервер

• Мобильная

• Динамическое выделение

ресурсов

• Множество пользователей на

сервер

• Адаптивная

• Автоматическое масштабирование

ГИПЕРВИЗОР VDC-1 VDC-2

НАГРУЗКА В

ФИЗИЧЕСКОЙ

СРЕДЕ

НАГРУЗКА В

ВИРТУАЛЬНОЙ

СРЕДЕ

НАГРУЗКА

В ОБЛАЧНОЙ

СРЕДЕ

Cisco Nexus® 1000V, Nexus 1010, VM-FEX

UCS для виртуализованных сред

NetApp, EMC

Сеть

Вычисления

Хранение

Cisco Nexus 7K/6K/5K/4K/3K/2K

Cisco UCS для оборудования без

установленного ПО

EMC, NetApp

Мультиконтекстное устройство ASA, ASA 1000V,

виртуальное устройство WSA/ESA

VSG

Периметр

Зона

Cisco ASA5585, ASA-SM, IPS4500,

WSA

---

Проекты Data Center Security CVD Виртуальный мультисервисный центр

обработки данных (VMDC)


ТРАДИЦИОННАЯ СЕТЕВАЯ МОДЕЛЬ

ТЕКУЩАЯ МОДЕЛЬ SDN В ЦОДАХ

БУДУЩАЯ ОТКРЫТАЯ

МОДЕЛЬ

Сеть узлов Виртуализация

SDN

Application Centric

Infrastructure

Виртуализированные МСЭ Cisco ASA 1000V / VSG

Cisco ONE / eXtensible Network Controller

Cisco vESA / vWSA

Imperva WAF / Citrix NetScaler

Традиционные решения по защите

ЦОД

Межсетевой экран «север-юг»

Предотвращение вторжений

Cisco ACI

Cisco Application Programmable Interface

Controller (APIC)

Cisco ASAv


Сегментация с помощью

матрицы коммутации

UCS Fabric Interconnect

Сегментация сети Физическая среда

Виртуальная среда (VLAN, VRF)

Виртуализованная среда (зоны)

Сегментация с помощью

межсетевого экрана Динамический

аварийный/рефлективный список ACL

Мультиконтекстная

сеть VPN

Сегментация с учетом

контекста Метки для групп безопасности (SGT)

Протокол безопасной передачи (SXP)

ACL-списки для групп безопасности

TrustSec

Реализация согласованных политик независимо от физических и виртуальных границ для защиты данных стационарных и мобильных систем.

7%

17%

76%

Трафик между ЦОДами

Восток – Запад

Север –

Юг

ТЕНДЕНЦИИ ТРАФИКА ЦЕНТРОВ ОБРАБОТКИ ДАННЫХ


Фи

зи

чес

ка

я с

ре

да

Cisco® ASA 5585-X

Модуль ASA SM для

Cisco Catalyst 6500

• Проверка всего трафика центра обработки данных в

устройстве обеспечения безопасности периметра сети

• Высокая скорость для всех сервисов, включая всю систему

предотвращения вторжений (IPS), благодаря единой среде

передачи данных между зонами доверия

• Разделение внешних и внутренних объектов сети (трафик

«север-юг»)

Трафик «север - юг». Проверка всего входящего и

исходящего трафика центра обработки данных

Ви

ртуа

ль

на

я /

мн

ого

по

ль

зов

ате

ль

ска

я

ср

ед

а Виртуальный межсетевой экран ASA 1000V контролирует

границы сети

Виртуальный шлюз безопасности (VSG) контролирует зоны Виртуальный шлюз

безопасности Cisco

(VSG)

Cisco ASA 1000V Виртуальный

межсетевой экран

Трафик «восток-запад». Создание безопасных зон доверия

между приложениями и пользователями в центре обработки

данных

• Разделение пользователей в многопользовательских средах

• Разделяет приложения или виртуальные машины у одного

пользователя



Область применения

Performance Max Firewall

Max IPS

Max IPSec VPN

Max IPSec/SSL VPN Peers

Platform Capabilities Max Firewall Conns

Max Conns/Second

Packets/Second (64 byte)

Base I/O

Max I/O

VLANs Supported

HA Supported

Internet Edge/

Campus

ASA 5585 SSP-20

10 Gbps

3 Gbps

2 Gbps

10,000

1,000,000

125,000

3,000,000

8 GE + 2 10 GE

16 GE + 4 10 GE

250

A/A and A/S

Campus/

Data Center

ASA 5585 SSP-40

20 Gbps

5 Gbps

3 Gbps

10,000

2,000,000

200,000

5,000,000

6 GE + 4 10GE

12 GE + 8 10GE

250

A/A and A/S

Data Center

ASA 5585 SSP-60

35 Gbps

10 Gbps

5 Gbps

10,000

2,000,000

350,000

9,000,000

6 GE + 4 10GE

12 GE + 8 10GE

250

A/A and A/S

Internet Edge/

Campus

ASA 5585 SSP-10

4 Gbps

2 Gbps

1 Gbps

5000

750,000

50,000

1,500,000

8 GE + 2 10 GE

16 GE + 4 10 GE

250

A/A and A/S

Конфиденциальная информация Cisco C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 15

Сервисный модуль ASA Устройство ASA 5585

Обеспечивает плотность в 8 раз выше, чем продукты конкурирующих производителей

В 4 раза большее количество сеансов

В 2 раза большее количество соединений в секунду

В 2 раза более высокая эффективность защиты

В 6 раз ниже потребление электроэнергии

Выход за рамки традиционных решений благодаря лидирующим в отрасли системным возможностям

64 Гбит/с

1,2 млн соединений в секунду

1000 виртуальных контекстов

4000 сетей VLAN

Cisco® ASA 5585-X v9.0 с функцией кластеризации

Сегментация с использованием

межсетевого экрана


Возможность ASASM FWSM

Списки ACL реальных IP-адресов/ Да Нет

Глобальные списки ACL

IPv6 по технологии Fast-Path Да (16 Гбит/с) Нет (80 Мбит/c)

Максимальная пропускная способность

объединительной панели 10 Гбит/с 1 Гбит/с

Кол-во записей управления доступом 2 миллиона 80 тысяч

Записи

Инъекция очищенного трафика на маршруте Нет Да

Сеть VPN Полная поддержка Только управление

после FCS


Сервисы МСЭ, IPS и VPN для ЦОДПроизводительность

• 35 Gbps производительности МСЭ

• Производительность МСЭ и IPS 10 Gbps

• Мастабируется до 10,000 VPN-пользователей

Защита инвестиций

• Масштабируемая аппаратная платформа

Мультисервисная безопасность от лидера

• Защита от современных угроз с Botnet Traffic Filtering и

аппаратно-ускоренной IPS

с сервисом глобальной корреляции

• Безопасный доступ с Cisco AnyConnect™

Высокопроизводительная и масштабируемая

аппаратная платформа


• CTX

ASA Context Mode

• vPC

Virtual PortChannel

• VDCs

Nexus 7000 Series Virtual Device Contexts

• VSS

Cisco Catalyst 6500 Series Virtual Switching System

• VXI

Cisco Virtualization Experience Infrastructure

Высокопроизводительные Firewall, VPN и IPS для

ЦОД

Поддержка и интеграция


• Разделение контекстов VDC является сертифицированным отраслевым механизмом защиты от утечки информации

Лаборатории NSS для сред, соответствующих стандартам PCI

FIPS 140-2

Стандарт Common Criteria Evaluation and Validation Scheme — сертификат №10349


ASA 5585-S10P10

ASA 5585-S20P20

ASA 5585-S40P40

ASA 5585-S60P60

Пр

оизв

од

ите

льно

сть

и м

асш

таб

ируе

мо

сть

ЦОД Локальная сеть Филиал

Удовлетворение требований клиентов

FWSM ASASM


• С версии ASA 9.0:

• До 8 ASA в кластере

• обновление ПО без остановки сервиса

• Управление потоками трафика для обеспечения инспекции

• Отсутствие единой точки отказа

• Синхронизация состояний внутри кластера для аутентификации и высокой доступности

• Централизованное управление и мониторинг

• Можно начинать с двух МСЭ

• Inter DC Clustering (с ASA 9.1.4)

2 x

10G

bE

Data

Tra

ffic

Port

Channel

Clu

ste

r Contro

l Lin

k


Security Admin

Port Group

Service Admin

Virtual Network Management Center • Консоль управления VSG

• Запуск на одной из VMs

Virtual Security Gateway • Программный МСЭ

• Запускается на одной из VMs

• Сегментация и политики для всех VMs

Nexus 1000V with vPath • Распределенный virtual

switch

• Запускается как часть гипервизора

Физический сервер • UCS или

• Другой x86 server


• Проверенная безопасность,

обеспечиваемая Cisco®: согласованность

физической и виртуальной безопасности

• Модель объединенной безопасности

Виртуальный шлюз безопасности Cisco

Virtual Secure Gateway (VSG) для

пользовательских защищенных зон

Cisco ASA 1000V для управления

периметром пользовательской сети

• Прозрачная интеграция

С помощью коммутатора Cisco Nexus®

1000V и Cisco vPath

• Гибкость масштабирования для

удовлетворения потребностей в облачных

средах

Внедрение нескольких экземпляров для

развертывания в масштабе ЦОД

Пользователь Б Пользователь А

VDC Виртуальное

приложение vApp

Виртуальное

приложение vApp

Гипервизор

Cisco Nexus® 1000V

Cisco vPath

VDC

Центр управления виртуальными сетями Cisco®

(VNMC)

VMware vCenter

Cisco

VSG Cisco

VSG

Cisco

VSG

Cisco ASA

1000V

Cisco ASA

1000V

Cisco

VSG

• Защищает трафик между

виртуальными машинами одного

заказчика

• Layer 2 МСЭ для защиты трафика

«восток-запад»

• Списки доступа с сетевыми

атрибутами и атрибутами

виртуальной машины

• Фильтрация на базе первого пакета

с ускорением через vPath

• Защита границы сети заказчика

• Шлюз по умолчанию и Layer 3 МСЭ

для защиты трафика «север-юг»

• МСЭ функционал включает списки

доступа, site-to-site VPN, NAT, DHCP,

инспекцию, IP audit, VXLAN шлюз.

• Все пакеты проходят через Cisco

ASA 1000V

Cisco® VSG Cisco ASA 1000V

Безопасность

Intra-Tenant


на границе

Nexus 1000V

vPath

Hypervisor


Компания X Компания Y

Виртуальная

машина 1


машина 2


машина 3

Cisco VSG

Cisco® ASA 1000V Cisco ASA 1000V Виртуализованные web-серверы

физическая среда компании X

Физический

сервер 1

Физический

сервер 1


машина 4


машина 5

Физическое

устройство

Cisco ASA Сеть IPsec VPN для связи между объектами

• Компания X намерена развернуть свои web-серверы в облаке,

• Компания X также располагает локально размещенными физическими

серверами

• Разработчикам компании X необходим доступ к web-серверам в

виртуализованной среде.

• В процессе настройки устанавливается VPN-туннель между объектами.

Пример использования:


Компания X Компания X’ (клон)


машина 1


машина 2


машина 3

Cisco VSG

Cisco® ASA 1000V Виртуализованные web-серверы


машина 1


машина 1

• Компания X клонирует своего пользователя, в результате чего IP-адреса двух

пользователей перекрываются.

• ASA 1000V позволяет клиентам изолировать сети с перекрывающимися адресами,

используя динамическое преобразование сетевых адресов (NAT) при

сохраняющемся обмене данными с внешней сетью.


Внешняя сеть


Компания X


машина 1


машина 2


машина 3 Cisco

VSG

Cisco® ASA 1000V Виртуализованные web-серверы


машина 1


машина 1

Виртуальные машины быстро запускаются и останавливаются в виртуальных средах.

Для этих виртуальных машин необходимо динамическое назначение IP-адресов.

Ducati выполняет функцию DHCP-сервера и выделяет IP-адреса при получении

запроса от любой виртуальной машины у пользователя.


Компания Y


Cisco® ASAv

Проверенное аппаратное решение безопасности от Cisco

теперь в виртуализированной среде

Открытая архитектура

Multi-hypervisor

Multi-vswitch

Открытые API

Гибкая модель лицензирования


Кластеризация и

мультиконтекст

ASAv Аппаратная

ASA

Transparent

Не-vPATH

Кластеризация

Мультиконтекст

ASA1000V


Функционал ASA

ASAv

Нет кластеризации и

мультиконтестности

• Соответствие функционала физической ASA

• Масштабирование через виртуализацию

• До 10 vNIC интерфейсов

• Программная криптография

• SDN и традиционные методы управления

• Масштабируется до 4 vCPUs и 8 GB памяти

• Возможность поддерживать 1 политику на

физических и виртуальных ASA


Динамический контент

Пользователи и

устройства

Ресурсы и запросы

Маркировка трафика данными о контексте в рамках единой политики (устройство, группа, роль), невосприимчивая к изменениям сети

Несвязанная политика

Бизнес-политика

X

Распределенная

реализация

Метка групп безопасности МЕТКА



Идентификация Классификация Назначение Распространение

Идентификатор:

Пользователь, устройство

Роль: Кадровая служба

компании

Метка: SGT 5 Совместное использование:

сетевые переходы

Приложения, данные и

сервисы

Отсутствие привязки политики, в результате чего определение отделяется от реализации

Классификация объектов: системы и пользователи

Контекст: роль системы или роль пользователя, устройство, местоположение и метод доступа

Распространение классификации на основе контекста с использованием меток групп безопасности

Межсетевые экраны, маршрутизаторы и коммутаторы используют метки групп в интеллектуальной политике

Коммутатор Маршрутизатор Межсетевой

экран ЦОД Коммутатор ЦОД Серверы



• Контроль доступа основанный на Группах Безопасности позволяет:

Сохранять существующий логический дизайн на уровне доступа

Изменять / применять политику для соответствия текущим бизнес-требованиями

Распределять политику с центрального сервера управления

SGACL

802.1X/MAB/Web Auth.

Финансы(SGT=10)

Кадры(SGT=11)

Я контрактор

Моя группа ИТ

Контрактор

& ИТ

SGT = 5

SGT = 100



Защита

Недовольные сотрудники

- Устройство обеспечения безопасности IPS 4500

- Контроль приложений Cisco® ASA CX

Хакеры

Киберпреступники

Организованная преступность

Защита компаний от внешних и внутренних угроз


Cisco IPS 4500 /

Sourcefire NGIPS

Защита для критически важных центров

обработки данных • Обеспечивает аппаратное ускорение проверки,

производительность, соответствующую реальным условиям

эксплуатации, высокую плотность портов и энергоэффективность в

расширяемом шасси

• Обеспечивает защиту от внешних и внутренних атак

Cisco ASA NGFW

Sourcefire NGFW Межсетевой экран с учетом приложений и

контекста • Обеспечивает проверку с аппаратным ускорением,

производительность, соответствующую реальным условиям

эксплуатации, высокую плотность портов и энергоэффективность в

расширяемом шасси

• Обеспечивает защиту от внешних и внутренних атак



Модель Средняя производительность Список

IPS-4510-K9 3 Гбит/с $79,995

IPS-4520-K9 5 Гбит/с $135,995

10 Гбит/c для будущих разработок

Конкурентоспособное решение с оптимальным соотношением

«цена/качество» для центра обработки данных


Показатель Значение Cisco® IPS

4510

Cisco IPS

4520

Средняя

производительность

проверки

Реальный трафик

Cisco использует пять сторонних

тестов, которые показывают состав

смешанного трафика

развертываний.

3 Гбит/с 5 Гбит/с

Максимальная

производительность

проверки

Реальный трафик

Cisco использует пять сторонних

тестов, которые показывают состав

смешанного трафика

развертываний.

5 Гбит/с

10 Гбит/с

Максимальное

количество

подключений

Динамично функционирующим

центрам обработки данных

требуется большое количество

подключений.

3,800,000 8,400,000

Кол-во подключений

в секунду

Беспроблемная обработка

всплесков

подключений.

72,000 100,000

Среднее время

задержки

Большинство сбоев транзакций

происходит из-за проблем с TTL. <150 микросекунд <150 микросекунд


Эффективны решения,

ориентированные

на устранение уязвимостей.

Более 25 000 угроз Более 25 000 угроз

• Гибкая интеграция в программное обеспечение

NGIPS,NGFW, AMP

• Гибкая интеграция в аппаратное обеспечение

Масштабируемость: 50 Мбит/с -> 60 Гбит/с

Стекирование для масштабирования, кластеризация для отказоустойчивости

• Экономичность

Лучшие в своем классе для систем предотвращения вторжения, межсетевых экранов нового поколения от NSS Labs

До 320 ядер RISC


Зоны высокого

риска

Низкое


развертываний

0

10

20

30

40

50

60

70

80

90

Behind VPNConcentrator

In front ofPublic Facing

WebApplication

In front ofprimary Data

Center

In NetworkCore

Perimeterbehind FW

Perimeter infront of FW

Betweendifferent

business units

BetweenCorporateCampuses

Betweendifferentbusinessfunctions

За VPN-

концентратором Перед

общедоступным

web-

приложением

Перед

основным

ЦОД

В ядре сети Периметр

перед

межсетевым

экраном

Между

различными

подразделе-

ниями

Большинство

клиентов

выполняют

развертывания только

по периметру

Зоны высокого

риска

Низкое


развертываний

Низкое количество

развертываний в

зонах высокого риска =

большие возможности

Периметр за

межсетевым

экраном

Между

комплексами

зданий

предприятия

Между

различными

отделами


Cisco ASA FWNG

Оборудование Интеграция Программное обеспечение

Несколько форм-факторов

Учет контекста

• Наиболее полный контроль: приложения,

пользователи и устройства

• Наиболее широко развернутый удаленный

доступ

• Веб-безопасность бизнес-класса

Учет угроз

• Защита от совершенно новых угроз

• Анализ глобальных данных из нескольких

источников угроз

• Анализ репутации с помощью

человеческого и компьютерного

интеллекта

Надежный анализ с учетом состояния и широчайший набор элементов управления с

учетом контекста


Высокоскоростная проверка контента

123.45.67.89

Johnson-PC

Операционная система: Windows 7

имя хоста: laptop1

Пользователь: jsmith

IP 12.134.56.78

12.122.13.62

SQL

Реальность: сегодня основой безопасности

является предотвращение угроз

Реальность сегодня:

612 нарушений безопасности в 2012 г.

• 92% происходит от внешний агентов

• 52% используют какую-либо из форм хакерства

• 40% приходится на долю вредоносных программ

• 78% атак не отличаются высокой сложностью

Утечка данных Verizon в 2013 г. Отчет о расследовании

КАТЕГОРИИ

ПРИМЕРЫ

SOURCEFIRE

СИСТЕМЫ

ПРЕДОТВРАЩЕНИЯ

ВТОРЖЕНИЙ И

МЕЖСЕТВЫЕ ЭКРАНЫ

НОВОГО ПОКОЛЕНИЯ

СТАНДАРТНАЯ

СИСТЕМА

ПРЕДОТВРАЩЕН

ИЯ ВТОРЖЕНИЙ

СТАНДАРТНЫЙ

МЕЖСЕТЕВОЙ

ЭКРАН НОВОГО

ПОКОЛЕНИЯ

Угрозы Атаки, аномалии ✔ ✔ ✔

Пользователи AD, LDAP, POP3 ✔ ✗ ✔

Веб-приложения Facebook Chat, Ebay ✔ ✗ ✔

Протоколы приложений HTTP, SMTP, SSH ✔ ✗ ✔

Передача файлов PDF, Office, EXE, JAR ✔ ✗ ✔

Вредоносное ПО Conficker, Flame ✔ ✗ ✗

Серверы C&C Интеллектуальная система безопасности C&C ✔ ✗ ✗

Клиентские приложения Firefox, IE6, BitTorrent ✔ ✗ ✗

Сетевые серверы Apache 2.3.1, IIS4 ✔ ✗ ✗

Операционные системы Windows, Linux ✔ ✗ ✗

Маршрутизаторы и коммутаторы Cisco, Nortel, Wireless ✔ ✗ ✗

Мобильные устройства iPhone, Android, Jail ✔ ✗ ✗

Принтеры HP, Xerox, Canon ✔ ✗ ✗

VoIP-телефоны Avaya, Polycom ✔ ✗ ✗

Виртуальные машины VMware, Xen, RHEV ✔ ✗ ✗


Dynamic Profiling

Сигнатуры атак

HTTP Protocol Validation

Защита Cookie

Web Fraud Detection

Предотвращение

мошенничества

Защита от

технических

атак

Защита от атак на

бизнес-логику Ко

рр

ел

яц

ия

атак

Геолокация IP

Репутация IP

Anti-Scraping Policies

Bot Mitigation Policies


Web Application

Firewall

Сервер управления (MX)

Пользователи

Web

сервера

Web

сервера

Web Application

Firewall

Web

сервера

Web Application

Firewall


WAN маршрутизатор

Tenant A

Физическая

инфраструктура

Виртуализованный

/облачный

ЦОД

Коммутатор

Виртуализированные

сетевые сервисы

Cisco Nexus

1000V vPath VXLAN

Multi-Hypervisor (VMware, Microsoft, RedHat*, Citrix*)

ASA 1000V Cloud

Firewall

Cisco Virtual

Security Gateway Citrix

NetScaler

VPX

Imperva SecureSpher

e WAF

Cloud Services Router 1000V

Network Analysis Module (vNAM)

vWAAS

Cisco Nexus

1000V

• Распределенный коммутатор

• Согласованность с NX-OS

VSG

• Контроль на уровне VM

• Zone-based FW

ASA 1000V

• МСЭ периметра, VPN

• Инспекция протоколов

vWAAS

• WAN оптимизация

• Трафик приложений

CSR 1000V (Cloud Router)

• WAN L3 шлюз

• Маршрутизация и VPN

• Citrix NetScaler VPX virtual ADC

• Imperva Web App Firewall

Ecosystem Services

Zone

A

Zone

B

Сервера

Email / Web

Security (vESA

/vWSA)


Управление и

отчетность • Cisco® Security Manager (SM)

• Центр управления виртуальными

сетями Cisco (VNMC)

Сбор информации • Cisco NetFlow

Координация политик • Cisco Identity Services Engine (ISE)

• Маркировка для групп безопасности Cisco TrustSec (SGT)

Поддержание соответствия нормативным требованиям и получение информации об операциях центра обработки данных


БEЗОПАСНОСТЬ

СЕТЬ ВЫЧИСЛЕНИЯ

Атрибуты виртуальной машины Профили

безопасности

Профили портов

vCenter Администратор

сервера

N1KV Администратор

сети

CSM Администратор


VNMC Администратор


Физическая среда Виртуальная среда

NetFlow Администратор

сети

Cisco® NetFlow



• Позволяет выполнять логическую сегментацию виртуальных машин

и применять политики к этим логическим кластерам виртуальных

машин снижение сложности реализации политик

Корень

Пользователь

А

Пользователь

Б ЦОД 3

ЦОД 2

ЦОД 1

Приложение

1

Приложение

2

Категория 2



Уровень

пользователя Уровень

vDC

Уровень

виртуального

приложения

vApp

Уровень

категории


• Cisco® ASA 1000V поддерживает политики, основанные на атрибутах сети

• Cisco VSG поддерживает политики, основанные на атрибутах сети и атрибутах виртуальной

машины (VM)

Правил

о

Условие для

источника

Условие для

точки назначения Действие

Тип атрибута

Сеть


машина

Специальный

Атрибуты виртуальной машины

Имя экземпляра

Полное имя ОС гостя

Имя зоны

Имя родительского приложения

Атрибуты виртуальной

машины

Имя профиля порта

Имя кластера

Имя гипервизора

Атрибуты сети

IP-адрес

Сетевой порт

Оператор

eq

neq

gt

lt

range

Оператор

Not-in-range

Prefix

member

Not-member

Contains

Усл

овие


• Гибкая модель безопасность

Cisco Virtual Secure Gateway (VSG) для внутризоновой защиты

Cisco ASA 1000V для контроля между зонами

• Прозрачная интеграция

С Cisco Nexus 1000V и Cisco vPath

• Единый контроль доступа с помощью Cisco ISE

• Контроль аномалий в сети с помощью Sourcefire Virtual Appliance и Cisco CTD

• Расширение защитных функций

Cisco vESA/vWSA, Imperva WAF

Tenant

A

vAp

p

Гипервизор

Cisco Nexus 1000V

Cisco vPath

VDC

Cisco Virtual Network Management Center

(VNMC)

VMware vCenter

Cisco VSG

Cisco

VSG

Cisco ASA

1000V

Cisco ASA

1000V

Cisco

VSG

Cisco

VSG

vAp

p

Tenant

B VDC


LAN Switch (vSwitch)

Security Gateway

(VSG)

Identity Services (vISE)

Adaptive Security (vASA)

WAN Acceleration

(vWAAS)

Mobility Services (vMSE)

Wireless LAN Control (vWLC)

Cloud Services Router (vCE)

Network Analysis (vNAM)

Video Cache

Network Management (PRIME NCS)

Network Analytics (vDNA)

.. Многие известные сетевые сервисы уже оптимизированы или разработаны заново для виртуальной реализации


Корпоративное облако

Private/Hosted/Managed

Cisco Nexus1000V

vSwitch

Облако провайдера Public/Utility/Community

N1KV InterCloud

Другие

потребите

ли

L2 Virtual Private

Cloud

Nexus 1000V InterCloud

Коммутация Nexus | Маршрутизация IOS | Сетевые сервисы

Интеграция VM Manager API интеграции с облаком ASP

VNMC InterCloud

Сценарии

• Всплески (события, сезонность, вывод на рынок…)

• Обновление/миграция

• Непрерывность/избежание катастроф

• Защита от «наездов»

Преимущества

• Согласованность сети/сервисов/политик

• Защита и шифрование

• Единая точка управления

• Выбор между провайдерами

Защищенное гибридное облако = Защищенное расширение частного облака в публичное


TrustSec

Enabled

Enterprise

Network Identity

Services Engine

NetFlow: Switches, Routers, и ASA 5500

Контекст: NBAR/AVC

Cisco Cyber Threat Detection - повышает эффективность и действенность анализа

и обеспечивает ключевое понимание внутренней активности в сети

Телеметрия NetFlow Cisco Switches, Routers и ASA 5500

Данные о контексте угрозы Cisco Identity, Device, Posture, Application

http://www.lancope.com/

ASA 5585

vPath

Hypervisor

Aggregation

Nexus 1000V Virtual Security

Gateway

Secure

Container

Virtual Flow

Sensor

Flow

Collector

StealthWatch

Management Console

Cisco NetFlow

1. Инфицированные хосты открывают соединения и экспортируют данные

2. Ифраструктура генерирует записи события используя Netflow

3. Сбор и анализ данных Netflow

4. Сигнал тревоги о возможной утечке данных

3. Сбор и анализ данных Netflow


Испытано в лаборатории и утверждено архитектором.

Интернет-

периметр

РАСПРЕДЕЛЕНИЕ Сеть

хранения ASA 5585-

X

ASA 5585-

X

VDC Nexus 7018 Nexus 7018

ЯДРО

Nexus

серии

7000

Nexus

серии

5000

Nexus

серии

2100

Зона

Унифицированная

вычислительная

система

Nexus

1000V VSG

Многозонная

структура

Catalyst

6500 СЕРВИСЫ

VS

S

Межсетевой

экран ACE

Модуль

анализа сети

(NAM)

Система

предотвращения

вторжений (IPS)

VS

S VPC VPC VPC VPC VPC VPC VPC VPC

Физический центр

обработки данных Безопасность,

апробированные

архитектуры Cisco (CVD)

Виртуальный центр

обработки данных Виртуализованный

мультисервисный центр

обработки данных (VMDC)

Проверено. Совместимость | Масштабируемость | Надежность

56 C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены.



CSM NetFlow VNMC ISE


ASA 5585-X ASA 1000V VSG Nexus 1000V TrustSec


IPS4500 ASA CX WSA

УНИФИЦИРОВАННЫЙ

ЦЕНТР ОБРАБОТКИ

ДАННЫХ

БЕЗОПАСНОСТЬ

АПРОБИРОВАННАЯ

АРХИТЕКТУРА

Средний

уровень Высокий

уровень

Низкий

уровень Текущие возможности


Интернет-

периметр

РАСПРЕДЕЛЕНИЕ

Сеть

хранения ASA 5585-X ASA 5585-X

VDC Nexus 7018 Nexus 7018

ЯДРО

= вычисления

= сеть

= безопасность

Nexus

серии

7000

Nexus

серии

5000

Nexus

серии

2100

Зона

Унифицированная

вычислительная

система

Nexus

1000V VSG

Многозонная

структура

Catalyst

6500 СЕРВИСЫ

VSS

Межсетевой

экран ACE

Модуль

анализа сети

(NAM)

Система

предотвращения

вторжений (IPS)

VSS VPC VPC VPC VPC VPC VPC VPC VPC

Серверная стойка 10G Серверная стойка 10 G Унифицированные

вычисления Унифицированный доступ

C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 61 * Продемонстрировано на VMworld 2011

* Продемонстрировано на VMworld 2011

Cisco®

VSG

Cisco ASA

1000V

• Защита виртуальной инфраструктуры на разных

уровнях (категория, виртуальное приложение,

виртуальный ЦОД и пользователь)

• Динамическое масштабирование в ходе

эксплуатации

• Поддержка мобильности виртуальной машины

• Предотвращение избыточного трафика в

физическую инфраструктуру; независимо от VLAN

• Управление виртуальной машиной на основе

контекста для Cisco VSG


виртуальных

сред

Cisco

ASA-SM

Cisco

ASA 5500-X

серии


внутренних

сегментов

сети

• Сегментированная внутренняя сеть

• Политика, применяемая к VLAN

• Использование виртуальных контекстов

Cisco

ASA 5500-X

серии

Интернет-

периметр

сети

• Фильтрация внешнего трафика

• Широкая поддержка протоколов приложений

• Защита доступа к VPN и нейтрализация угроз

Формирование доверительных отношений

Защищенная инфраструктура распределенных сетевых сервисов

Защищенные подключения и доступ

Защищенное увеличение емкости

Защищенный доступ для пользователей, работающих в офисе, и мобильных пользователей

Защищенные приложения на распределенной платформе


Подтверждение соответствия нормативным требованиям

Безопасное расширение в среды XaaS

SaaS

IaaS

PaaS

Защищенный

доступ

Филиал

Мобильные

пользователи

Внутренние

пользователи

Защищенное

подключение

62


Структура и технологии ЦОД меняются

Эти изменения сильно сказываются

на системе обеспечения безопасности

Cisco располагает долговременной стратегией

создания защищенных ЦОД без границ

Сосредоточьтесь на развитии своего бизнеса, а

Cisco поможет построить ЦОД, удовлетворяющий

потребностям вашей компании

1

2

3


http://www.facebook.com/CiscoRu

http://twitter.com/CiscoRussia

http://www.youtube.com/CiscoRussiaMedia

http://www.flickr.com/photos/CiscoRussia

http://vkontakte.ru/Cisco

http://blog.cisco.ru/

http://blogs.cisco.ru/

Благодарим за

внимание!

[email protected]

Technology

Проблема защиты информации в современном ЦОДе и способы ее решения