Upload
cisco-russia
View
177
Download
27
Embed Size (px)
Citation preview
ПРИОРИТЕТЫ
50%
55%
58%
59%
62%
65%
66%
66%
68%
69%
70% 76%
0% 10% 20% 30% 40% 50% 60% 70% 80%
Инициативы повышения энергоэффективности/экологичности
Возможность использования новых приложений
Централизация ИТ-сервисов
Консолидация оборудования
Повышение масштабируемости
Консолидация ЦОД
Расширение возможностей управления
Виртуализация
Снижение эксплуатационных затрат
Хранение данных/резервное копирование
Сокращение простоев
Повышение уровня безопасности
Основные причины инвестиций в технологии центров обработки данных
Процент респондентов, выставивших балл 6 или 7
Стимулы
Источник: Стратегии развертывания центров обработки данных: Исследование североамериканских компаний, Infonetics, февраль 2011 г.
Повышение уровня безопасности
АДЕКВАТНОСТЬ
МОЖЕТ решить проблемы виртуализации и перехода на облачные среды
МОЖЕТ сократить циклы обновления центров обработки данных
МОЖЕТ решить проблемы соответствия нормативным требованиям
МОЖЕТ обеспечить отличие вашего подхода от предложений конкурентов
МОЖЕТ увеличить объем сделок
МОЖЕТ повысить ваш статус доверенного советника
БЕЗОПАСНОСТЬ
Превращение ВОЗМОЖНОСТИ в РЕАЛЬНОСТЬ
C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 5
• Сегментация физических и виртуальных ресурсов
• Виртуализация и различные гипервизоры
• Защита в сетях хранения данных
• Контроль приложений
• Утечки данных
• Соответствие требованиям
• Доступность и обеспечение бесперебойного функционирования
• Переход к облачным вычислениям
C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 6
• Множество продуктов, политик, неуправляемых и чужих устройств, а также доступ в облака
Бизнес-контекст
УПРАВЛЕНИЕ
Вычисления Вычисления
Сеть
Хранение
Сеть Хранение Управление УНИФИЦИРОВАННЫЙ ЦЕНТР ОБРАБОТКИ
ДАННЫХ
БЕЗОПАСНОСТЬ Сегментация Защита от угроз Прозрачность
АПРОБИРОВАННАЯ АРХИТЕКТУРА
Data Center Security CVD
Виртуальный мультисервисный центр обработки данных
Физическая | Виртуальная | Облачная среда
C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 8
Сегментация
• Установление границ: сеть, вычисления, виртуальные ресурсы • Реализация политики по функциям, устройствам, организациям • Контроль доступа к сетям, ресурсам. приложениям
Защита от угроз
• Блокирование внутренних и внешних атак • Контроль границ зоны и периметра • Доступ к управляющей информации и ее использование
Прозрачность
• Обеспечение прозрачности использования • Применение бизнес-контекста к работе сети • Упрощение отчетности по операциям и соответствию нормативным требованиям
C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 9
• Одно приложение на сервер • Статическая • Выделение ресурсов вручную
• Множество приложений на сервер • Мобильная • Динамическое выделение ресурсов
• Множество пользователей на сервер
• Адаптивная • Автоматическое масштабирование
ГИПЕРВИЗОР VDC-1 VDC-2
НАГРУЗКА В ФИЗИЧЕСКОЙ
СРЕДЕ
НАГРУЗКА В ВИРТУАЛЬНОЙ
СРЕДЕ
НАГРУЗКА В ОБЛАЧНОЙ
СРЕДЕ
Cisco Nexus® 1000V, Nexus 1010, VM-FEX UCS для виртуализованных сред
NetApp, EMC
Сеть Вычисления Хранение
Cisco Nexus 7K/6K/5K/4K/3K/2K Cisco UCS для оборудования без
установленного ПО EMC, NetApp
Мультиконтекстное устройство ASA, ASA 1000V, виртуальное устройство WSA/ESA
VSG
Периметр Зона
Cisco ASA5585, ASA-SM, IPS4500, WSA
---
Проекты Data Center Security CVD Виртуальный мультисервисный центр обработки данных (VMDC)
C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 10
ТРАДИЦИОННАЯ СЕТЕВАЯ МОДЕЛЬ
ТЕКУЩАЯ МОДЕЛЬ SDN В ЦОДАХ
БУДУЩАЯ ОТКРЫТАЯ
МОДЕЛЬ
Сеть узлов Виртуализация SDN
Application Centric Infrastructure
Виртуализированные МСЭ Cisco ASA 1000V / VSG Cisco ONE / eXtensible
Network Controller Cisco vESA / vWSA Imperva WAF / Citrix
NetScaler
Традиционные решения по защите
ЦОД Межсетевой экран
«север-юг» Предотвращение
вторжений
Cisco ACI Cisco Application
Programmable Interface Controller (APIC)
Cisco ASAv
C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 11
Сегментация с помощью матрицы коммутации
UCS Fabric Interconnect
Сегментация сети Физическая среда Виртуальная среда (VLAN, VRF) Виртуализованная среда (зоны)
Сегментация с помощью межсетевого экрана
Динамический аварийный/рефлективный список ACL
Мультиконтекстная сеть VPN
Сегментация с учетом контекста
Метки для групп безопасности (SGT) Протокол безопасной передачи (SXP)
ACL-списки для групп безопасности
TrustSec
Реализация согласованных политик независимо от физических и виртуальных границ для защиты данных стационарных и мобильных систем.
7%
17%
76%
Трафик между ЦОДами Восток – Запад
Север – Ю
г
ТЕНДЕНЦИИ ТРАФИКА ЦЕНТРОВ ОБРАБОТКИ ДАННЫХ
C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 13
Физическая среда
Cisco® ASA 5585-X
Модуль ASA SM для Cisco Catalyst 6500
• Проверка всего трафика центра обработки данных в устройстве обеспечения безопасности периметра сети
• Высокая скорость для всех сервисов, включая всю систему предотвращения вторжений (IPS), благодаря единой среде передачи данных между зонами доверия
• Разделение внешних и внутренних объектов сети (трафик «север-юг»)
Трафик «север - юг». Проверка всего входящего и исходящего трафика центра обработки данных
Виртуальная
/ многопользовательская
среда Виртуальный межсетевой экран ASAv контролирует границы
сети
Виртуальный шлюз безопасности (VSG) контролирует зоны Виртуальный шлюз безопасности Cisco
(VSG)
Cisco ASAv Виртуальный
межсетевой экран
Трафик «восток-запад». Создание безопасных зон доверия между приложениями и пользователями в центре обработки данных
• Разделение пользователей в многопользовательских средах
• Разделяет приложения или виртуальные машины у одного пользователя
Сегментация
C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 14
Сервисы МСЭ, IPS и VPN для ЦОДПроизводительность • 35 Gbps производительности МСЭ • Производительность МСЭ и IPS 10 Gbps • Мастабируется до 10,000 VPN-пользователей
Защита инвестиций • Масштабируемая аппаратная платформа
Мультисервисная безопасность от лидера • Защита от современных угроз с Botnet Traffic Filtering и аппаратно-ускоренной IPS с сервисом глобальной корреляции
• Безопасный доступ с Cisco AnyConnect™
Высокопроизводительная и масштабируемая аппаратная платформа
Конфиденциальная информация Cisco C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 15
Сервисный модуль ASA Устройство ASA 5585
Обеспечивает плотность в 8 раз выше, чем продукты конкурирующих производителей В 4 раза большее количество сеансов
В 2 раза большее количество соединений в секунду
В 2 раза более высокая эффективность защиты
В 6 раз ниже потребление электроэнергии
Выход за рамки традиционных решений благодаря лидирующим в отрасли системным возможностям
64 Гбит/с
1,2 млн соединений в секунду
1000 виртуальных контекстов
4000 сетей VLAN
Cisco® ASA 5585-X v9.0 с функцией кластеризации
Сегментация с использованием межсетевого экрана
C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 16
• CTX ASA Context Mode
• vPC Virtual PortChannel
• VDCs Nexus 7000 Series Virtual Device Contexts
• VSS Cisco Catalyst 6500 Series Virtual Switching System
• VXI Cisco Virtualization Experience Infrastructure
Высокопроизводительные Firewall, VPN и IPS для
ЦОД
Поддержка и интеграция
C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 17
• Разделение контекстов VDC является сертифицированным отраслевым механизмом защиты от утечки информации Лаборатории NSS для сред, соответствующих стандартам PCI FIPS 140-2 Стандарт Common Criteria Evaluation and Validation Scheme — сертификат №10349
C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 18
ASA 5585-S10P10
ASA 5585-S20P20
ASA 5585-S40P40
ASA 5585-S60P60
Производительность и масштабируемость
ЦОД Локальная сеть Филиал
Удовлетворение требований клиентов
FWSM ASASM
C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 19
• С версии ASA 9.0: • До 640 Гбит/сек в кластере • Обновление ПО без остановки сервиса
• Управление потоками трафика для обеспечения инспекции
• Отсутствие единой точки отказа • Синхронизация состояний внутри кластера для аутентификации и высокой доступности
• Централизованное управление и мониторинг
• Можно начинать с двух МСЭ • Inter DC Clustering (с ASA 9.1.4)
2 x
10G
bE D
ata
Traf
fic P
ort C
hann
el
Cluster C
ontrol Link
C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 20
Security Admin
Port Group
Service Admin
Virtual Network Management Center • Консоль управления VSG • Запуск на одной из VMs
Virtual Security Gateway • Программный МСЭ • Запускается на одной из VMs • Сегментация и политики для всех VMs
Nexus 1000V with vPath • Распределенный virtual
switch • Запускается как часть гипервизора
Физический сервер • UCS или • Другой x86
server
C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 21
Cisco® ASAv
Проверенное аппаратное решение безопасности от Cisco теперь в виртуализированной среде
Открытая архитектура Multi-hypervisor
Multi-vswitch
Открытые API
Гибкая модель лицензирования
C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 22
Функционал ASA
ASAv
Нет кластеризации и мультиконтестности
• Соответствие функционала физической ASA • Масштабирование через виртуализацию • До 10 vNIC интерфейсов • Программная криптография
• SDN и традиционные методы управления • Масштабируется до 4 vCPUs и 8 GB памяти • Возможность поддерживать 1 политику на физических и виртуальных ASA
C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 23
Физическое устройство
Виртуальное устройство
Nexus® 1000V Third-Party Switch vSwitch
VMware
Полный набор возможностей ASA
Унифицированное гибкое лицензирование
API BASED
APIC
KVM Hyper-V Xen
Third-Party CMP CSM PNSC ASDM CLI
C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 24
Data Sheet Metric ASAv10 ASAv30
Stateful Inspection Throughput (Maximum) 1 Gbps 2 Gbps
Stateful Inspection Throughput (Multi-Protocol) 500 Mbps 1 Gbps
Concurrent Sessions 100,000 500,000
Connections Per Second 20,000 60,000 VLANS 50 200 Cisco® Cloud Web Security Users 150 500
3DES / AES VPN Throughput 125 Mbps 300 Mbps
S2S IPSec IKEv1 Client VPN User Sessions 250 750
Cisco AnyConnect® or Clientless User Sessions 250 750
UC Phone Proxy 250 1000
C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 25
Perpetual contract until terminated
Service Provider
Pay Per Use (hours number of cores
used)
Post-Paid (monthly / quarterly billing
cycle)
Usage-Based Licensing
Term-Based Licensing
1 Year
Enterprise
Traditional Static Payment
Pre-Paid
3 Year 5 Year
ASAv ASA1000V (Edge) Virtual Security Gateway
Режимы L2 и L3 Только режим L3 routed Режим L2 (прозрачный)
Динамическая и статическая
маршрутизация
Только статические маршруты Нет маршрутизации
Поддержка DHCP server и client
Поддержка DHCP server и client Нет поддержки DHCP
Поддержка S2S и RA VPN
Поддержка site-to-site IPSEC Нет поддержки IPSEC
Управляется CLI, ASDM, CSM, APIC
Управляется ASDM и PNSC
Управляется только PNSC
Полный код ASA, CLI, SSH, REST API*
Использование кода ASA, CLI, SSH
Минимальная настройка через CLI,
SSH 26
C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 27
1. Запрос на доступ в сеть
2. Авторизация + атрибуты доступа (VLAN,
ACL, SGT, MacSec)
3. Трафик с метками SGT
4. МСЭ и коммутаторы фильтруют трафик по
меткам групп
0. Категорирование пользователей и ресурсов
Сервер Б Сервер A
Пользователь А Пользователь Б
App
ISE
Канальное шифрование
DB
Users A Users B
C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 28
permit tcp dst eq 443 permit tcp dst eq 80 permit tcp dst eq 22 permit tcp dst eq 3389 permit tcp dst eq 135 permit tcp dst eq 136 permit tcp dst eq 137 permit tcp dst eq 138 permit tcp des eq 139 deny ip
Portal_ACL
Portal_ACL
C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 30
Voice Employee Suppliers Guest Non-Compliant
Employee Tag
Supplier Tag
Guest Tag
Non-Compliant Tag
Data Center Firewall
Voice
Building 3 WLAN Data VLAN
Campus Core
Data Center
Main Building Data VLAN
Employee Non-Compliant
ü В независимости от топологии, местоположения, IP-адресов политика (Security Group Tag) остается с пользователями, устройствами и серверами
ü TrustSec значительно упрощает управление ACL
Access Layer
C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 31
Защита
Недовольные сотрудники
- Устройство обеспечения безопасности IPS 4500 - Контроль приложений Cisco® ASA CX
Хакеры
Киберпреступники
Организованная преступность
Защита компаний от внешних и внутренних угроз
C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 32
Sourcefire NGIPS Защита для критически важных центров обработки данных • Обеспечивает аппаратное ускорение проверки, производительность, соответствующую реальным условиям эксплуатации, высокую плотность портов и энергоэффективность в расширяемом шасси
• Обеспечивает защиту от внешних и внутренних атак
Sourcefire NGFW Межсетевой экран с учетом приложений и контекста • Обеспечивает проверку с аппаратным ускорением, производительность, соответствующую реальным условиям эксплуатации, высокую плотность портов и энергоэффективность в расширяемом шасси
• Обеспечивает защиту от внешних и внутренних атак
Защита от угроз
• Гибкая интеграция в программное обеспечение
NGIPS,NGFW, AMP
• Гибкая интеграция в аппаратное обеспечение Масштабируемость: 50 Мбит/с -> 60 Гбит/с Стекирование для масштабирования, кластеризация для отказоустойчивости
• Экономичность Лучшие в своем классе для систем предотвращения вторжения, межсетевых экранов нового поколения от NSS Labs
До 320 ядер RISC
C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 34
Высокоскоростная проверка контента
123.45.67.89
Johnson-PC
Операционная система: Windows 7 имя хоста: laptop1 Пользователь: jsmith IP 12.134.56.78
12.122.13.62
SQL
Реальность: сегодня основой безопасности является предотвращение угроз
Реальность сегодня: 612 нарушений безопасности в 2012 г.
• 92% происходит от внешний агентов
• 52% используют какую-либо из форм хакерства
• 40% приходится на долю вредоносных программ
• 78% атак не отличаются высокой сложностью
Утечка данных Verizon в 2013 г. Отчет о расследовании
КАТЕГОРИИ
ПРИМЕРЫ
SOURCEFIRE СИСТЕМЫ
ПРЕДОТВРАЩЕНИЯ ВТОРЖЕНИЙ И
МЕЖСЕТВЫЕ ЭКРАНЫ НОВОГО ПОКОЛЕНИЯ
СТАНДАРТНАЯ СИСТЕМА
ПРЕДОТВРАЩЕНИЯ ВТОРЖЕНИЙ
СТАНДАРТНЫЙ МЕЖСЕТЕВОЙ ЭКРАН НОВОГО ПОКОЛЕНИЯ
Угрозы Атаки, аномалии ✔ ✔ ✔
Пользователи AD, LDAP, POP3 ✔ ✗ ✔
Веб-приложения Facebook Chat, Ebay ✔ ✗ ✔
Протоколы приложений HTTP, SMTP, SSH ✔ ✗ ✔
Передача файлов PDF, Office, EXE, JAR ✔ ✗ ✔
Вредоносное ПО Conficker, Flame ✔ ✗ ✗
Серверы C&C Интеллектуальная система безопасности C&C ✔ ✗ ✗
Клиентские приложения Firefox, IE6, BitTorrent ✔ ✗ ✗
Сетевые серверы Apache 2.3.1, IIS4 ✔ ✗ ✗
Операционные системы Windows, Linux ✔ ✗ ✗
Маршрутизаторы и коммутаторы Cisco, Nortel, Wireless ✔ ✗ ✗
Мобильные устройства iPhone, Android, Jail ✔ ✗ ✗
Принтеры HP, Xerox, Canon ✔ ✗ ✗
VoIP-телефоны Avaya, Polycom ✔ ✗ ✗
Виртуальные машины VMware, Xen, RHEV ✔ ✗ ✗
C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 36
Dynamic Profiling
Сигнатуры атак
HTTP Protocol Validation
Защита Cookie
Web Fraud Detection Предотвращение мошенничества
Защита от технических
атак
Защита от атак на бизнес-логику Ко
рреляция
атак
Геолокация IP
Репутация IP
Anti-Scraping Policies
Bot Mitigation Policies
C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 37
Web Application
Firewall
Сервер управления (MX)
Пользователи
Web сервера
Web сервера
Web Application
Firewall
Web сервера
Web Application
Firewall
C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 38
WAN маршрутизатор
Tenant A
Физическая инфраструктура
Виртуализованный/облачный
ЦОД
Коммутатор
Виртуализированные сетевые сервисы
Cisco Nexus 1000V vPath VXLAN
Multi-Hypervisor (VMware, Microsoft, RedHat*, Citrix*)
ASA 1000V Cloud
Firewall
Cisco Virtual
Security Gateway Citrix
NetScaler VPX
Imperva SecureSpher
e WAF
Cloud Services Router 1000V
Network Analysis Module (vNAM)
vWAAS
Cisco Nexus 1000V
• Распределенный коммутатор
• Согласованность с NX-OS
VSG
• Контроль на уровне VM
• Zone-based FW
ASA 1000V
• МСЭ периметра, VPN
• Инспекция протоколов
vWAAS
• WAN оптимизация
• Трафик приложений
CSR 1000V (Cloud Router)
• WAN L3 шлюз • Маршрутизация и VPN
• Citrix NetScaler VPX virtual ADC
• Imperva Web App Firewall
Ecosystem Services
Zone A
Zone B
Сервера
Email / Web
Security (vESA /vWSA)
C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 39
Управление и отчетность • Cisco® Security Manager (SM) • Центр управления виртуальными сетями Cisco (VNMC)
Сбор информации • Cisco NetFlow
Координация политик • Cisco Identity Services Engine (ISE) • Маркировка для групп безопасности Cisco TrustSec (SGT)
Поддержание соответствия нормативным требованиям и получение информации об операциях центра обработки данных
C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 40
TrustSec Enabled
Enterprise Network
Identity Services Engine
NetFlow: Switches, Routers, и ASA 5500
Контекст: NBAR/AVC
Cisco Cyber Threat Detection - повышает эффективность и действенность анализа и обеспечивает ключевое понимание внутренней активности в сети
Flow
Телеметрия NetFlow Cisco Switches, Routers и ASA 5500
Данные о контексте угрозы Cisco Identity, Device, Posture, Application
ASA 5585!
vPath
Hypervisor
Aggregation!
Nexus 1000V!Virtual Security Gateway!
Secure Container!
Virtual Flow Sensor!
Flow Collector!
StealthWatch
Management Console
Cisco NetFlow
1. Инфицированные хосты открывают соединения и экспортируют данные
2. Ифраструктура генерирует записи события используя Netflow
3. Сбор и анализ данных Netflow
4. Сигнал тревоги о возможной утечке данных
3. Сбор и анализ данных Netflow
Сбор и корреляция NetFlow данных Обнаружение и идентификация аномальной активности
C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 42
• Гибкая модель безопасность Cisco Virtual Secure Gateway (VSG) для внутризоновой защиты Cisco ASA 1000V для контроля между зонами
• Прозрачная интеграция С Cisco Nexus 1000V и Cisco vPath
• Единый контроль доступа с помощью Cisco ISE
• Контроль аномалий в сети с помощью Sourcefire Virtual Appliance и Cisco CTD
• Расширение защитных функций Cisco vESA/vWSA, Imperva WAF
Tenant A
vApp
Гипервизор
Cisco Nexus 1000V
Cisco vPath
VDC
Cisco Virtual Network Management Center (VNMC)
VMware vCenter
Cisco VSG Cisc
o VSG
Cisco ASA 1000V
Cisco ASA 1000V
Cisco
VSG
Cisco
VSG
vApp
Tenant B VDC
C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 43
LAN Switch (vSwitch)
Security Gateway
(VSG)
Identity Services (vISE)
Adaptive Security (vASA)
WAN Acceleration
(vWAAS)
Mobility Services (vMSE)
Wireless LAN Control (vWLC)
Cloud Services Router (vCE)
Network Analysis (vNAM)
Video Cache
Network Management (PRIME NCS)
Network Analytics (vDNA)
.. Многие известные сетевые сервисы уже оптимизированы или разработаны заново для виртуальной реализации
C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 44
Корпоративное облако
Private/Hosted/Managed
Cisco Nexus1000V vSwitch
Облако провайдера Public/Utility/Community
N1KV InterCloud
Другие потребите
ли
L2 Virtual Private Cloud
Nexus 1000V InterCloud
Коммутация Nexus | Маршрутизация IOS | Сетевые сервисы
Интеграция VM Manager API интеграции с облаком ASP
VNMC InterCloud
Сценарии
• Всплески (события, сезонность, вывод на рынок…)
• Обновление/миграция
• Непрерывность/избежание катастроф
• Защита от «наездов»
Преимущества
• Согласованность сети/сервисов/политик
• Защита и шифрование
• Единая точка управления
• Выбор между провайдерами
Защищенное гибридное облако = Защищенное расширение частного облака в публичное
C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 45
Испытано в лаборатории и утверждено архитектором.
Интернет-периметр
РАСПРЕДЕЛЕНИЕ Сеть
хранения ASA 5585-X
ASA 5585-X
VDC Nexus 7018 Nexus 7018
ЯДРО
Nexus серии 7000
Nexus серии 5000
Nexus серии 2100
Зона
Унифицированная вычислительная
система
Nexus 1000V VSG
Многозонная структура
Catalyst 6500
СЕРВИСЫ
VSS
Межсетевой экран ACE
Модуль анализа сети
(NAM)
Система предотвращения вторжений (IPS)
VSS VPC VPC VPC VPC VPC VPC VPC VPC
Физический центр обработки данных
Безопасность, апробированные
архитектуры Cisco (CVD)
Виртуальный центр обработки данных Виртуализованный
мультисервисный центр обработки данных (VMDC)
Проверено. Совместимость | Масштабируемость | Надежность
C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 47
• Контролируем трафик Север/Юг с помощью ASA 5585
• Масштабирование и отказоустойчивость с помощью кластеризации
• Инспектируем трафик Север-Юг с помощью NGIPS
• Сегментируем и защищаем виртуальные ресурсы с помощью ASAv и vNGIPS
• Контроль на уровне приложений с помощью NGFW, NetScaler, Imperva
47
Physical Hosts
NGIPS
ASA FW
Clustering
C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 48
48
NGIPS
ASA FW
Clustering
NGA
Virtual FlowSensor
CTD : Cisco Cyber Thread Defense Используем возможности инфраструктуры Cisco чтобы защититься от направленных атак
TrustSec – управление доступом с Security Group Tagging
SGT
SGT SGT
SGT SGT
SGT
SGT
SGT
ISE
SGT
Упрощаем
Автоматизируем
Ускоряем
Стандартизируем
SGT
C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 49
49
Virtual Hosts
B
Physical Hosts
NGIPS
SGT
SGT SGT
SGT SGT
SGT SGT
SGT
SGT
SGT
Virtual Hosts
B
Physical Hosts
NGIPS
SGT
SGT SGT
SGT SGT
SGT SGT
SGT
SGT
INTER DC CLUSTERING
OTV
C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 51
http://www.facebook.com/CiscoRu http://twitter.com/CiscoRussia http://www.youtube.com/CiscoRussiaMedia http://www.flickr.com/photos/CiscoRussia http://vkontakte.ru/Cisco http://blog.cisco.ru/