Руслан Иванов

Системный инженер-консультант

Июнь 21, 2016

Варианты дизайна и лучшие практики создания безопасного ЦОД

Cisco Support Community

Expert Series Webcast

Вебинар на русском языке

Июль 26, 2016

Эта презентация предназначена для всех кто работает с сетевым оборудованием Cisco и хочет углубить свои знания и способности по его администрированию. Во время презентации будут рассмотрены детали архитектуры EEM и подробности работы c этим функционалом. Будут приведены способы написания EEM Апплетов, TCL и IOS shell скриптов. В конце презентации по итогам голосования участников сессии будет рассмотрен пример EEM скрипта в лаборатории.

Автоматизация задач с помощью EEM

https://supportforums.cisco.com/ru/event/13050111

Сергей Никитин

Как стать активным участником? Легко!

• Создавайте документы, пишите блоги, загружайте

видео, отвечайте на вопросы пользователей.

• Вклад оценивается на основе таблицы лидеров

• Также оценивается количество документов, блогов и

видео, созданных пользователем.

• Вклад оценивается только по русскоязычному

сообществу, не включая рейтинг, набранный в

глобальном Cisco Support Community.

Премия "Самый активный участник Сообщества Поддержки Cisco"

Оцени контент

Ваши оценки контента дают возможность атворам получать баллы.

Хотите чтобы поиск был удобным и простым? Помогите нам распознать качественный контент в Сообществе. Оценивайте документы, видео и блоги.

Пожалуйста, не забывайте оценивать ответы пользователей, которые щедро делятся своим временем и опытом

https://supportforums.cisco.com/ru/community/4926/pomoshch-help

21 июня 2016 – 01 июля 2016

Сессия «Спросить Эксперта» с Русланом Ивановым и Назимом Латыпаевым

Получить дополнительную информацию, а также задать вопросы эксперту в рамках данной темы Вы можете на странице, доступной по ссылке: https://supportforums.cisco.com/community/russian/expert-corner Вы можете получить видеозапись данного семинара и текст сессии Q&A в течении ближайших 5 дней по следующей ссылке https://supportforums.cisco.com/community/russian/expert-corner/webcast

Конкурс “Варианты дизайна и лучшие практики создания безопасного ЦОД”

21 июня в 14:00 мск

Мы предлагаем Вам принять участие в конкурсе после проведения вебкаста, который так и будет называться «Варианты дизайна и лучшие практики создания безопасного ЦОД»

• Первые три победителя получат фирменную флеш-карту Cisco

Support Community

• Ответы присылайте на csc-russian@external.cisco.com

• Задание конкурса будет размещено сегодня после проведения

вебкаста

Скачать презентацию Вы можете по ссылке:

https://supportforums.cisco.com/ru/document/13034816

Спасибо, что присоединились к нам сегодня!

Присылайте Ваши вопросы! Используйте панель Q&A, чтобы задать вопрос.

Наш эксперт Назим ответит на них.

Сегодняшняя

презентация включает

опросы аудитории

Пожалуйста, примите

участие в опросах!

Руслан Иванов

Старший консультант по информационной безопасности

Июнь 21, 2016

Cisco Support Community Expert Series Webcast

Варианты дизайна и лучшие практики создания безопасного ЦОД

Защита центров обработки данных. Механизмы безопасности для классической фабрики и фабрики ориентированной на приложения ACI – До, Во Время и После

Безопасность и виртуализация в ЦОД

Безопасность ЦОД: приоритеты, проблемы

Встроенные механизмы защиты

Устройства безопасности в ЦОД

Мониторинг и реагирование

Application Centric Infrastructure Security

Заключение

11

Архитектурные вызовы в современном ЦОД

Развивающиеся

угрозы

Новые

приложения (Физические,

виртуализированные

и облачные)

Новые тренды

распределения

трафика в сети

ЦОД

Source: Cisco Global Cloud Index, 2012

Просто, Эффективно и Доступно

Сегментация • Определение границ: сеть, вычислительный ресурс, вируальная сеть

• Применение политик по функциям - устройство, организация, соответствие

• Контроль и предотвращение НСД к сети, ресурсам, приложениям

Защита от угроз

• Блокирование внешних и внутренних атак и остановки сервисов

• Патрулирование границ зон безопасности

• Контроль доступа и использования информации для предотвращения ее потери

Видимость

• Обеспечение прозрачности использования

• Применение бизнес-контекста к сетевой активности

• Упрощение операций и отчетности

Север-Юг

Восток-Запад

Защита, Обнаружение, Контроль

Какая архитектура для обеспечения безопасности ЦОД является правильной?

Ориентация на

виртуализацию

Отсутствие

поддержки

физических

сред

Ограниченная

видимость

Сложность

управления (2 сети

вместо одной!)

Ориентация на

приложения

Любая нагрузка

в любом месте

Полная

видимость Автоматизация

Ориентация на

периметр

Сложно и

много

ручных

процессов

Ошибки

конфигурации

Статическая

топология

Ограничения

применения

Модель безопасности ЦОД ориентированная на угрозы

Л а н д ш а ф т у г р о з

DURING Detect Block

Defend

AFTER Scope

Contain Remediate

ДО Контроль

Применение

Усиление

ПОСЛЕ Видимость

Сдерживание

Устранение

Обнаружение

Блокировка

Защита

ВО ВРЕМЯ

Сеть Облако Мобильные

устройства

Виртуальные

машины

Оконечные

устройства

Вопрос 1

Какая архитектура обеспечения безопасности ЦОД является наиболее продвинутой?

1. Ориентированная на приложения

2. Ориентированная на периметр ЦОД

3. Ориентированная на виртуализацию

Сегментация средствами сети ЦОД

Контроль

Применение

Усиление

ДО

Классическая фабрика

Hypervisor Hypervisor Hypervisor Hypervisor

VRF Blue VRF Purple

Firewall Firewall Nexus 7000

Nexus 5500

Nexus 1000V Nexus 1000V

• Традиционные механизмы для

• изоляции и сегментации на

физических коммутаторах и

виртуальных

• Зонирование для применения

политик

• Разделение физической

инфраструктуры на зоны

Разделение L2/L3 путей при помощи VDC/VLAN/…

VRF – разделение таблиц маршрутизации

Фильтрация север-юг, запада –восток МСЭ или списками доступа

18

Управление политиками в виртуальной сети

Nexus 1000V Операционная модель на базе

портовых профилей Port Profiles

Поддержка политик безопасности с изоляцией и сегментацией при помощи VLAN, Private VLAN, Port-based Access Lists, Cisco Integrated Security функций

Обеспечение прозрачности потоков от виртуальных машин функциями ERSPAN и NetFlow

Виртуальный коммутатор: Nexus 1000V

Network

Team

Server

Team

Управление и

мониторинг Роли и

ответственность

Изоляция и

сегментация

Security

Team

Nexus

1000V

19

Профиль порта

Nexus 1000V поддерживает:

ACLs

Quality of Service (QoS)

PVLANs

Port channels

SPAN ports

port-profile vm180

vmware port-group pg180

switchport mode access

switchport access vlan 180

ip flow monitor ESE-flow input

ip flow monitor ESE-flow output

no shutdown

state enabled

interface Vethernet9

inherit port-profile vm180

interface Vethernet10

inherit port-profile vm180

Port Profile –> Port Group vCenter API

vMotion

Policy Stickiness

Network

Security

Server

20

Сервисные цепочки при помощи vPath

vPath это компонент шины данных Nexus 1000V:

• Модель вставки сервиса без привязки к топологии

• Сервисные цепочки для нескольких виртуальных сервисов

• Повышение производительности с vPath например VSG flow offload

• Эффективная и масштабируемая архитектура

• Сохранение существующей модели операций

• Мобильность политик

Cloud Network Services (CNS)

Hypervisor

Nexus 1000V vPath

21

Архитектура TrustSec

• Классификация систем/пользователей на базе контекста (роль, устройство, место, способ подключения)

• Контекст (роль) транслируется в метку Security Group Tag (SGT)

• МСЭ, маршрутизаторы и коммутаторы используют метку SGT для принятия решения о фильтрации

• Классифицируем один раз – используем результат несколько раз

Users, Devices

Switch Router DC FW DC Switch

HR Servers

Enforcement

SGT Propagation

Fin Servers SGT = 4

SGT = 10

ISE Directory Classification

SGT:5

Способы назначения меток SGT

Динамическая классификация Статическая классификация

• IP Address

• VLANs

• Subnets

• L2 Interface

• L3 Interface

• Virtual Port Profile

• Layer 2 Port Lookup

Классификация для

мобильных устройств

Классификация для серверов

и на базе топологии

802.1X Authentication

MAC Auth Bypass

Web

Authentication

SGT

23

Динамическое назначение SGT в правилах авторизации

• Policy > Authorization >

Permissions > Security Groups

• Requires basic authorization profile

(Access Accept, Access Reject)

Nexus 1000V: Назначение SGT через Port Profile • Port Profile

– Контейнер сетевых настроек

– Применяется к разным интерфейсам

• Серверный администратор

назначает Port Profile каждой VM

• VM наследует настройки port-profile, включая SGT

• SGT следует за VM, даже если она переместилась

Статичное назначение SGT

IP to SGT mapping

cts role-based sgt-map A.B.C.D sgt SGT_Value

VLAN to SGT mapping* cts role-based sgt-map vlan-list VLAN sgt SGT_Value

Subnet to SGT mapping cts role-based sgt-map A.B.C.D/nn sgt SGT_Value

L3 ID to Port Mapping** (config-if-cts-manual)#policy dynamic identity name

L3IF to SGT mapping** cts role-based sgt-map interface name sgt SGT_Value

L2IF to SGT mapping*

(config-if-cts-manual)#policy static sgt SGT_Value

Пример для IOS CLI

* relies on IP Device Tracking

** relies on route prefix snooping

Механизмы распространения меток SGT

Wired

Access

Wireless

Access

DC Firewall

Enterprise

Backbone

DC

Virtual

Access Campus Core DC Core

DC

Distribution

Physical

Server

Physical

Server

VM

Server

PCI VM

Server

DC

Physical

Access

SGT 20

SGT 30

IP Address SGT SRC

10.1.100.98 50 Local

SXP IP-SGT Binding Table

SXP

SGT = 50

ASIC ASIC

Optionally Encrypted

Inline SGT Tagging

SGT=50

ASIC

L2 Ethernet Frame

SRC: 10.1.100.98

IP Address SGT

10.1.100.98 50 SXP

Non-SGT

capable

Inline Tagging (data plane):

Поддержка SGT в ASIC

SXP (control plane):

Распространение между

устройствами без поддержки SGT в

ASIC

Tag When you can!

SXP when you have

to!

Примение политик SGACL (матрица доступа)

permit tcp dst eq 443 permit tcp dst eq 80 permit tcp dst eq 22 permit tcp dst eq 3389 permit tcp dst eq 135 permit tcp dst eq 136 permit tcp dst eq 137 permit tcp dst eq 138 permit tcp des eq 139 deny ip

Portal_ACL

28

Каким образом TrustSec упрощает сегментирование сетей?

Access Layer

Enterprise

Backbone

Voice

VLAN

Voice

Data

VLAN

Employee

Aggregation Layer

Supplier

Guest

VLAN

BYOD

BYOD

VLAN

Non-Compliant

Quarantine

VLAN

VLAN

Address

DHCP Scope

Redundancy

Routing

Static ACL

VACL

Политика безопасности зависит от топологии

Высокая стоимость и сложность подержки

Voice

VLAN

Voice

Data

VLAN

Employee Supplier BYOD Non-Compliant

Использование существующей топологии и

автоматизация применения политик ИБ ->

снижение OpEx

ISE

No VLAN Change

No Topology Change

Central Policy Provisioning

Micro/Macro Segmentation

Employee Tag

Supplier Tag

Non-Compliant Tag

Access Layer

Enterprise

Backbone

DC Firewall / Switch

DC Servers

Policy

TrustSec Традиционные способы сегментации

Контроль доступа Пользователь <> ЦОД

VLAN: Data-1 VLAN: Data-2

Коммутатор

ЦОД

Коммутатор ЦОД

Application

Servers

ISE

КСПД

Remediation

Коммутатор

Voice Employee Supplier Non-Compliant Voice Employee Non-Compliant

Shared

Services

Employee Tag

Supplier Tag

Non-Compliant Tag

Коммутатор ЦОД

получает только политики

для конкретных серверов

Независимо от топологии

или местоположения,

политика (Security Group

Tag) следует за

пользователем,

устройством и сервером

TrustSec значительно

упрощает управление

ACL для intra/inter-VLAN

трафика

Сегментация внутри ЦОД с помощью TrustSec

Web

Servers

Database

Servers

Middleware

Servers Storage

POS

Пример выполнения требований по сегментации для соответствия PCI DSS

Store ABC

Backbone

Floor 1 SW

Floor 2 SW

Data Center

DC FW

POS

PCI DB

ISE

Common

Servers

Employee

Workstation

OS Type: Windows 8

User: John

AD Group: Floor Staff

Device Group: Nurse Workstation

Security Group = Employee

OS Type: Windows 7 Embedded

User: George

AD Group: Point-of-Sales Admin

Device Group: POS

Security Group = PCI Device Access Privilege

Authorization with

Security Group

ASA Firewall Policy

PCI Scope

TrustSec for PCI Compliance

PCI Audit Partner

http://www.cisco.com/c/dam/en/us/solutions/collateral/borderles

s-networks/trustsec/trustsec_pci_validation.pdf

Платформы поддерживающие TrustSec

WAN (GETVPN

DMVPN

IPSEC) Switch Router Router Firewall DC Switch vSwitch Server User

Propagation Enforcement Classification

Catalyst 2960-S/-C/-Plus/-X/-XR

Catalyst 3560-E/-C/-X/-CX

Catalyst 3750-E/-X

Catalyst 3850/3650

Catalyst 4500E (Sup6E/7E)

Catalyst 4500E (Sup8)

Catalyst 6500E (Sup720/2T)

Catalyst 6800

WLC 2500/5500/5400/WiSM2/8510/8540

WLC 5760

Nexus 7000

Nexus 6000

Nexus 5500/2200

Nexus 1000v

ISRG2, CGR2000, ISR4000

IE2000/3000/CGR2000

ASA5500 (RAS VPN)

Catalyst 2960-S/-C/-Plus/-X/-XR

Catalyst 3560-E/-C/, 3750-E

Catalyst 3560-X/3750-X

Catalyst 3850/3650

Catalyst 4500E (Sup6E)

Catalyst 4500E (Sup, 7E, 7LE, 8E)

Catalyst 4500X

Catalyst 6500E (Sup720)

Catalyst 6500/Sup2T, 6800

WLC 2500/5500/5400/WiSM2/8510/8540

WLC 5760

Nexus 7000

Nexus 6000

Nexus 5500/2200

Nexus 1000v

ISRG2,ISR4000

IE2000/3000/CGR2000

ASR1000

ASA5500

Catalyst 3560-X

Catalyst 3750-X

Catalyst 3850/3650

WLC 5760

Catalyst 4500E (7E)

Catalyst 4500E (8E)

Catalyst 6500E (2T)

Catalyst 6800

Nexus 7000

Nexus 6000

Nexus 5500/5600

Nexus 1000v

ISR G2, ISR4000, CGR2000

ASR 1000 Router

CSR-1000v Router

ASA 5500 Firewall

ASAv Firewall

Web Security Appliance

SGT

Propagation Propagation Classification Enforcement

ISE

Что представляет собой ACI?

ACI фабрика

Неблокируемая фабрика на базе оверлеев

App DB Web

Внешняя сеть

передачи

данных

(Tenant VRF)

QoS

Filter

QoS

Service

QoS

Filter

Application Policy

Infrastructure

Controller

APIC

1. Профиль

приложения

2. Кластер

контроллеров

3. Cеть на базе

Nexus 9000

“EPG Web” “EPG DB”

EP EP

EP

EP

EP

“EPG App”

EP EP

EP EP

EP

EP EP

End Point Group (EPG).

End Point Group (EPG) - основной строительный блок в политиках ACI

Классификация Endpoint Groups

Ресурсы идентифицируются по их домену подключения (virtual/physical/outside) и методу подключения:

• Virtual machine portgroups (VLAN, VxLAN)

• Physical interfaces / VLANs inc (v)port channels

• External VLAN

• External subnet

Также можно использовать IP-адреса и VM-аттрибуты для некоторых окружений (например Vmware с AVS).

Интеграция гипервизоров и ACI EPG классификация при помощи атрибутов VM

• End Point Group (EPG) могут использовать

несколько методов для классификации

• VM Port Group – это самый простой

механизм классификации ВМ

• Атрибуты ВМ так же могут использоваться

для классификации EPG

• Используется ACI релиз 11.1 с AVS

(первоначальная доступность)

• Поддержка коммутаторов в

гипервизорах VMware vDS, Microsoft

vSwitch, OVS (планируется)

Атрибуты ВМ

Guest OS

VM Name

VM (id)

VNIC (id)

Hypervisor

DVS port-group

DVS

Datacenter

Custom Attribute

MAC Address

IP Address

vC

en

ter V

M A

ttribu

tes

V

M T

raffic

Attrib

ute

s

Взаимодействие Endpoint Groups

Устройства внутри Endpoint group могут общаться, если имеют IP-связность (основанную на Bridge Domain/VRF).

Общение между Endpoint group, по умолчанию, запрещено.

“EPG Web”

EP

EP

EP

EP

“EPG App”

EP EP

EP EP

“EPG DB”

EP EP

EP EP

“EPG Web”

EP

EP

EP

EP

“EPG App”

EP EP

EP EP

“EPG DB”

EP EP

EP EP

Контракты

Как только мы определили EPG, нам необходимо создать политики

(контракты), которые позволят им общаться.

“EPG Web”

EP

EP

EP

EP

“EPG App”

EP EP

EP EP

“EPG DB”

EP EP

EP EP

Контракт : разновидность reflexive “Stateless” ACL

Фильтры TCP: 80

TCP: 443

Контракт обычно ссылается на один

и более ‘фильтров’ чтобы явно

указать разрешённые порты и

протоколы между EPG.

Контракты (ACL) Consumer is Outside and Provider is Inside

When this option is enabled, any traffic coming from

the provider back to the consumer will always have

to have the ACK bit set in the packet or else the

packets will be dropped.

“EPG Web”

EP

EP

EP

EP

“EPG App”

EP EP

EP EP

“EPG DB”

EP EP

EP EP

Сервисный граф

Contract Contract

При необходимости добавления L4-7 сервисов (например

безопасности), можно добавить сервисный граф к

контракту, который перенаправит трафик на обработчик

сервиса, например ASA или Firepower NGIPS

Добавление сервисного графа к контракту

“EPG Web”

EP

EP

EP

EP

“EPG App”

EP EP

EP EP

“EPG DB”

EP EP

EP EP

Профиль приложения

Contract Contract

Набор EPG и ассоциированных контрактов, определяющий их

взаимодействие называется профиль приложения.

Application Profile “My Expenses”

Интеграция политик TrustSec и ACI

Web App DB

ACI Fabric TrustSec domain

Voice Employee Supplier BYOD

Data Center

APIC Policy Domain APIC

Campus / Branch / Non ACI DC

TrustSec Policy Domain

Voice

VLAN

Data

VLAN

Shared Policy Groups

DB DB

SG-ACL SG-FW

Contract

ISE Retrieves: EPG Name: PCI EPG EPG Binding = 10.1.100.52

Использование TrustSec SGT в политиках ACI

Enterprise

Backbone

ACI Policy Domain

ACI Border

Leaf (N9K)

ACI Spine (N9K)

Netw

ork

La

ye

r C

on

trolle

r La

ye

r

Plain

Ethernet

(no CMD)

TrustSec Policy Domain

Ne

two

rk L

aye

r C

on

tro

lle

r L

aye

r

ISE

ACI Border

Leaf (N9K)

SGT not propagated in data plane

Auditor

10.1.10.220

TrustSec Groups available in ACI Policies

PCI 10.1.100.52

ISE Exchanges: SGT Name: Auditor SGT Binding = 10.1.10.220

PCI EPG 10.1.100.52

EPG Name = Auditor Groups= 10.1.10.220

Plain

Ethernet

(no CMD)

5 SRC:10.1.10.220

DST: 10.1.100.52

SGT: 5

x

SRC:10.1.10.220

DST: 10.1.100.52

EPG

SRC:10.1.10.220

DST: 10.1.100.52

Использование ACI EPG в политиках TrustSec ACI Policy Domain

ACI Border

Leaf (N9K)

ACI Spine (N9K)

Netw

ork

La

ye

r C

on

trolle

r La

ye

r

Plain

Ethernet

(no CMD)

TrustSec Policy Domain

Ne

two

rk L

aye

r C

on

tro

lle

r L

aye

r

ISE

ISE Retrieves: EPG Name: PCI EPG Endpoint= 10.1.100.52

PCI 10.1.100.52

ACI Border

Leaf (N9K)

SGT not propagated in data plane

PCI EPG Endpoint = 10.1.100.52

Auditor

10.1.10.220

Enterprise

Backbone

Endpoint Groups available in TrustSec Policies

Propagated with SXP: Auditor = 10.1.10.220 PCI EPG = 10.1.100.52 Retrieved Groups: Auditor, PCI EPG

SRC:10.1.10.220

DST: 10.1.100.52

SGT (Optional)

Настройки ACI в ISE

ACI Settings: • Controller

• Credentials

• Tenant name defined in ACI

• L3 Routed Network defined

in ACI

Группы TrustSec в интерфейсе контроллера

SGTs appear as

External EPGs

Group

Members

Вопрос 2

Какие методы назначения меток могут применятся в TrustSec?

1. Статические

2. Динамические

3. Статические и динамические

4. Полученные из APIC-контроллера привязки меток к EPG

5. Все из указанных выше

Сегментация, обнаружение и защита средствами безопасности

Контроль

Применение

Усиление

ДО

Обнаружение

Блокировка

Защита

ВО ВРЕМЯ

МСЭ ASA и фабрика ЦОД

• ASA и Nexus Virtual Port Channel

• vPC обеспечивает распределение нагрузки по соединениям (отсутствие заблокированных STP соед.)

• ASA использует технологии отказоустойчивости ЦОД

• Уникальная интеграция ASA и Nexus (LACP)

• IPS модуль полагается на связность от ASA – обеспечивает DPI

• Проверенный дизайн для сегментации, защиты от угроз и прозрачности операций (visibility)

• Transparent (рекомендован) и routed режимы

• Работает в режимах A/S и A/A failover

Уровень агрегации ЦОД

Active vPC Peer-link

vPC vPC

Core

IP1

Core

IP2

Active or

Standby

N7K VPC 41 N7K VPC 40

Nexus 1000V vPath

Hypervisor

Nexus 1000V vPath

Hypervisor

Core Layer

Aggregatio

n Layer

Access Layers

55

Aggregation Layer

L2

L3

FW HA

VPC VPC

VPC

DC Core /

EDGE

VPC VPC

FHRP FHRP

SVI VLAN200 SVI VLAN200

North Zone

VLAN 200

South Zone

VLAN 201

Trunks

VLAN 200

Outside

VLAN 201

Inside

N7K VPC

40 N7K VPC

41

ASA channel

32

VPC PEER LINK

VPC PEER LINK

Access Layer

Подключение ASA к Nexus с vPC

• ASA подключается к Nexus несколькими интерфейсами с использованием vPC

• ASA может быть настроена на переход на резервную коробку в случае потери нескольких соединений (при использовании HA)

• Идентификаторы vPC разные для каждого МСЭ ASA на коммутаторе Nexus (это меняется для кластера ASA и cLACP [далее…])

Лучшие практики

56

Физический сервис для виртуального

Hypervisor Hypervisor Hypervisor Hypervisor

VRF Blue VRF Purple

Firewall Firewall Nexus 7000

Nexus 5500

Nexus 1000V Nexus 1000V

Aggregation

Core

Physical

Layout

• Применяем физические устр-ва для изоляции и сегментации виртуальных машин

• Используем зоны для применения политик

• Физическая инфраструктура привязывается к зоне

Разделяем таблицы маршрутизации по зонам через VRF

Политики МСЭ на зоны привязаны к потокам север-юг, восток-запад

Проводим L2 и L3 пути через физические сервисы

58

МСЭ & виртуальная среда Виртуальные контексты ASA для фильтрации потоков между зонами

Firewall Virtual

Context provides

inter-zone East-West

security

Aggregation

Core

Hypervisor Hypervisor

Database

ASA Context 2

Transparent Mode ASA Context 1

Transparent Mode

ASA 5585 ASA 5585

Aggregation

Core

Physical

Layout

East-West Zone

filtering

VLAN

21

VLAN

20

VLAN

100

VLAN

101

Context1 Context2

Front-End Apps

59

Обзор кластера ASA • Кластеризация поддерживается на 5580, 5585 и

5500-X (5500-X кластер из 2-х устройств)

• CCL – критическое место кластера, без него кластер не работает

• Среди членов кластера выбирается Master для синхронизации настроек— не влияет на путь пакета

• Новый термин “spanned port-channel” т.е. Распределенные/общие настройки порта среди членов кластера ASA

• Кластер может ре-балансировать потоки

• У каждого потока есть Owner и Director и возможно Forwarder

• Шина данных кластера ДОЛЖНАиспользовать cLACP (Spanned Port-Channel)

Cluster Control Link

vPC

Data Plane

Aggregation

Core

ASA Cluster

vPC 40

61

Внедрение ASAv : Облачный МСЭ+VPN

• Сегодня для фильтрации между зонами и тенантами применяется ASA в режиме мульти-контекст

• Для передачи трафика используются транки

• Проблема – масштабирование фильтрации Запад-Восток требует ресурсов МСЭ и масштабируемого транспортного решения

Zone 1 Zone 2 Zone 3

VM 1

VM 2

VM 3

VM 4

VFW 1

VM 5

VM 6

VM 7

VM 8

VFW 2 VFW 3

ASAv – может быть пограничным МСЭ и может обеспечивать фильтрацию Восток-Запад

На каждого тенанта или зону можно развернуть одну или несколько ASAv для FW + VPN

Масштабируемая терминация VPN S2S и RA

Vzone 1 Vzone 2

Multi Context Mode ASA

ASAv • 3 режима примения политик

Routed Firewall

• Маршрутизация трафика между vNIC

• Поддержка таблиц ARP и маршрутов

• МСЭ на границе тенанта

Transparent Firewall

• VLAN или VxLAN Bridging / Stitching

• Поддержка таблицы MAC

• Бесшовная интеграция в L3 дизайн

Service Tag Switching

• Инспектирование между service tags

• Нет взаимодействия с сетью

• Режим интеграции с фабрикой

64

Web-zone Fileserver-zone

Hypervisor

Nexus 7000

Nexus 5500

Nexus

1000V

VRF

VLAN 50

UCS

VLAN 200

VLAN 300

Защита приложений и видимость

• Инспекция трафика север-юг и восток-запад с ASA

• Transparent или routed режимы

• Эластичность сервиса

ASAv

.1Q Trunk

VLAN 50

67

Web-zone Fileserver-zone

Hypervisor

Nexus 7000

Nexus 5500

Nexus

1000V

VRF

VLAN 50

UCS

Защита приложений и видимость

• Инспекция трафика север-юг и восток-запад с ASA

• Глубокая инспекция с virtual IPS – в режиме inline (коммутация между VLAN) или promiscuous port на vswitch

Сервисная цепочка – ASAv и vIPS

.1Q Trunk

External VLAN 50

Firesight для анализа данных

68

Inline Set

Inline Set Internal

External Internal

VLAN 200

Виртуальный IPS

vIPS • Варианты включения в разрыв или пассивный

Web-zone

VLAN 200

Promiscuous

Port

vSwitch

Web-zone

VLAN 200

External

vSwitch vSwitch

70

Internal

ASA и FirePOWER в архитектуре ACI

ASA5585

Divert to SFR NGIPSv FirePOWER ASAv30

ASAv10

FireSIGHT

Основной принцип ACI - логическая конфигурация сети, не привязанная оборудованию

ACI фабрика

Неблокируемая фабрика на базе оверлеев

App DB Web

Внешняя сеть

передачи

данных

(Tenant VRF)

QoS

Filter

QoS

Service

QoS

Filter

Application Policy

Infrastructure

Controller

APIC

Вставка сервисной цепочки

Автоматизация вставки сервиса при помощи механизма «device package»

Open Device

Package

Policy

Engine APIC реализует расширяемую модель политик

при помощи Device Package

Configuration

Model

Device Interface: REST/CLI

APIC Script Interface

Call Back Scripts

Event Engine

APIC– Policy Manager

Configuration

Model (XML File)

Call Back Script

Администратор загружает файл, содержащий

Device Package в APIC

Device Package содержит XML модель устройства,

которое находится под управлением

Device scripts транслирует вызовы APIC API

в специфичные для устройства CLI команды или API вызовы

APIC

• Режим одного и нескольких контекстов поддерживается для релиза драйвера DP 1.2

• Оба режима используют возможность создания VLAN подинтерфейсов

• Transparent (bump in the wire) режим для вставки “Go-Through”

• Передача пакетов построена на базе MAC адресов. Таблица маршрутизации влияет на NAT и инспекцию приложений

• Режим Flooding должен быть включен для ACI Bridge Domains

• Routed (Layer 3 hop) режим для вставки “Go-To”

• Общая таблица маршрутизации на контекст требует наличия статических маршрутов или динамической маршрутизации (DP 1.2) для подключения к EPG.

• Возможность создания нескольких сервисных графов на один контекст

• Для работы требуется уникальность наименования интерфейсов и списков доступа

Модели интеграция ASA в фабрику ACI

• Failover защита от выхода из строя устройства

• Failover соединения имеют один общий активный IP/MAC

• Пара Active/Standby настраивается и управляется APIC’ом. Оба устройства ASA должны быть зарегистрированы на APIC.

• Режим Active/Active failover не поддерживается

• Кластер обеспечивает высокий уровень производительности в ACI

• До 16 устройств ASA5585-X может быть объединено в один логический МСЭ

• Режим интерфейса Spanned Etherchannel обеспечивает общий IP и MAC адрес

• Настройка кластера производится в режиме out of band, но APIC может управлять им после настройки.

ASA доступность и масштабируемость

• Routed Mode (Go-To) Tenant

• Transparent Mode (Go-Through) Tenant

BD2 BD1

Интеграция ASA в фабрику ACI

EPG A EPG B FW

Graph B 10.0.0.0/24

External Internal

External EPG A1 EPG B

Graph A 10.0.0.0/24 10.0.0.1 20.0.0.1 20.0.0.0/24

External Internal

BD2 BD1

FW

Device Package 1.0 или 1.1

BD1 BD2

Routed Mode

BD2 BD1

Интеграция ASA в фабрику

EPG A EPG B FW Graph B

10.0.0.0/24

Tenant B

External Internal

EPG A EPG A FW Graph A

10.0.0.1 20.0.0.1

Tenant A

External Internal

VRF1 VRF2

OSPF/BGP

OSPF/BGP OSPF/BGP

VRF1 VRF2

10.0.0.2 20.0.0.2

10.0.0.10 10.0.0.11 100.0.0.0/24 200.0.0.0/24

201.0.0.0/24

202.0.0.0/24

203.0.0.0/24

101.0.0.0/24

102.0.0.0/24

103.0.0.0/24

200.0.0.0/24

201.0.0.0/24

202.0.0.0/24

203.0.0.0/24

100.0.0.0/24

101.0.0.0/24

102.0.0.0/24

103.0.0.0/24

ASA 1.2 Device Package

Transparent Mode

Интеграция с ACI устройств безопасности Cisco

Подключение к фабрике

ACI Подключение к фабрике

ACI

Настройка политик

Мониторинг и уведомления в

реальном времени

Настройка политик

События и syslog CSM

ASA Device Package

FirePOWER Device Package

Интеграция ASA Интеграция FirePOWER

Рендеринг сервисного графа

Для каждой функции в графе:

1. APIC выбирает логическое устройство из ранее определенных

2. APIC разрешает параметры конфигурации и готовит конфигурационный словарь

3. APIC выделяет VLAN для каждого соединения, ассоциированного с функцией

4. APIC настраивает сеть - VLAN, EPG и соответствующие фильтры

5. APIC запускает скрипт и настраивает сервисное устройство

Function Firewall

Function SSL offload

Function Load Balancer

Сервисный граф: “web-application”

Firewall Function SSL offload

Function Load Balancer

Выделение VLAN

1

2

3

Настройка VLAN 4

5

EPG

Web EPG

App

ASA5585 c SFR в сервисном графе – Etherchannel

Po1.300 Po1.301

Vlan 100 Vlan 200

vPC4

VLAN 300

vPC4

Vlan 301

App1 DB

provider consumer

class firepower_class_map

sfr fail-close

SFR NGIPS policy

ASA

Когда сервисный граф с сервисным устройством ASA активируется в

определенном контракте (начинается рендеринг), APIC автоматически

настроивает ASA интерфейсы и политики, включая redirection на модуль

FirePOWER. Поддерживаются L3 (GoTo) и L2 (GoThrough) режимы.

FireSIGHT независимо управляет политиками FirePOWER.

ASA 1.2 Device Package

ASA5585+SFR

APIC

Vlan 100

App2 VM

Cервисный граф для FirePOWER - LAG

s1p1.300 s1p2.301

Vlan 100 Vlan 200

vPC4

Vlan 300 vPC4

Vlan 301

Идентификаторы VLAN ID назначаются автоматически

из пула и для EPG и для портов сервисных устройств.

Настройка всех портов согласно логике (L2,L3)

производится автоматически.

App DB

consumer provider

FirePOWER использует

LAG (port-channel) для

подключения к фабрике

для обеспечения

отказоустойчивости к

одному коммутатору или

паре коммутаторов с

функцией vPC. Physical

APIC использует FirePOWER

Device package для

взаимодействия с FireSIGHT

Management Center который

управляет NGIPS

APIC

ASAv и FirePOWERv в сервисном графе

vNIC2 vNIC3

Vlan 100 Vlan 200

App DB

provider consumer Устройства ASAv и

NGIPSv разворачиваются

вручную или при помощи

оркестратора. vNIC

интерфейсы, помеченные

как consumer и provider

задействуются при

активации (рендеринге)

сервисного графа.

vNIC2 vNIC3

provider consumer

Vlan 302 Vlan 303 Vlan 300 Vlan 301

APIC полностью управляет

конфигурацией ASAv, при этом настройка

виртуального FirePOWER устройства

выполняется при помощи FireSIGHT.

APIC

Сервисная цепочка из двух устройств

“Подключаем”

устройства

Сервисная цепочка из двух устройств

Создаем шаблоны

настроек для ASA

Сервисная цепочка из двух устройств

Создаем шаблоны

настроек для IPS

Сервисная цепочка из двух устройств

Создаем

шаблон

сервисной

цепочки

Сервисная цепочка из двух устройств

Привязываем

сервисную

цепочку к

контракту

между EPG

Сервисная цепочка из двух устройств

“Привязываем”

интерфейсы

устройств

Сервисная цепочка из двух устройств

Работающая

сервисная цепочка

Сервисная цепочка из двух устройств

firewall transparent

hostname pierre

interface Management0/0

management-only

nameif mgt

security-level 100

ip address 172.26.42.12 255.255.255.192

route mgt 0.0.0.0 0.0.0.0 172.26.42.1 1

http server enable

http 0.0.0.0 0.0.0.0 mgt

user-identity default-domain LOCAL

aaa authentication telnet console LOCAL

aaa authentication http console LOCAL

username admin password e1z89R3cZe9Kt6Ib

encrypted privilege 15

interface Port-channel1

lacp max-bundle 8

no nameif

no security-level

!

interface TenGigabitEthernet0/6

channel-group 1 mode active

no nameif

no security-level

!

interface TenGigabitEthernet0/7

channel-group 1 mode active

no nameif

no security-level

same-security-traffic permit inter-interface

interface BVI1

ip address 77.10.10.254 255.255.255.0

!

interface Port-channel1.3135

vlan 3135

nameif externalIf

bridge-group 1

security-level 100

!

interface Port-channel1.3174

vlan 3174

nameif internalIf

bridge-group 1

security-level 100

access-list access-list-inbound extended permit ip any any

access-list access-list-inbound extended permit tcp any any eq www

access-list access-list-inbound extended permit tcp any any eq https

access-group access-list-inbound in interface externalIf

Начальная настройка Подключение к APIC Часть сервисной цепочки

ASA5585

Вопрос 3

Что необходимо и достаточно использовать для подключения к фабрике и управления двумя устройствами ASA и Firepower?

1. Достаточно Device Package для ASA и FP, а также FireSight и CSM

2. Достаточно Device Package для ASA, а также FireSight и CSM

3. Достаточно Device Package для ASA и FP, а также FireSight

4. Достаточно Device Package для ASA и FP

Мониторинг и реагирование

21.

06.

201

6

© 2014 Cisco

and/or its affiliates.

All rights reserved.

92

Контроль

Применение

Усиление

ДО

Обнаружение

Блокировка

Защита

ВО ВРЕМЯ

Видимость

Сдерживание

Устранение

ПОСЛЕ

Применение NetFlow для безопасности

Обнаружение сложных и стойких угроз. Выявление вредоносного ПО внутри защищенного периметра. Выявление угроз нулевого дня.

Выявление активности каналов управления и контроля BotNet. Вредоносное ПО с внешними центрами управления может использоваться для рассылки SPAM, организации DoS атак и другой вредоносной активности.

Обнаружение сетевого взлома. Некоторые типы атак используют различные приемы сетевого сканирования для выбора вектора атаки, что может быть использовано для выявления угроз.

Обнаружение внутреннего распространения вредоносного ПО. Распространение вредоносного ПО по сети может приводить к потери конфиденциальных и защищенных данных.

Выявление утечки данных. Вредоносное ПО может содержать код для организации передачи данных в сторону атакующего. Такие утечки могут происходить периодически в течении небольших промежутков времени.

93

NetFlow в двух словах

Internal

Network

NetFlow Data

NetFlow Collector

Компоненты решения Cyber Threat Defense

Cisco Network

StealthWatch FlowCollector

StealthWatch Management

Console

NetFlow

Users/Devices

Cisco ISE

NetFlow

StealthWatch FlowReplicator

Other tools/collectors

https

https

NBAR NSEL

NGA NetFlow Generating Appliance

Решение Cyber Threat Defense

Data Center

Прозрачность, Контекст и Контроль

Использование NetFlow до

уровня доступа

Унификация инструментов для

обнаружения, расследования и

отчетности

Наполнение данных

информацией идентификации,

событиями, контекстом

Кто

Что Где

Когда

Как

Cisco ISE

Cisco ISR G2 + NBAR

Cisco ASA + NSEL

Context

Решение Cisco Обнаружение атак без сигнатур

Высокий Concern Index показывает

существенное количество подозрительных

событий, что является отклонением от

установленной нормы

Host Groups Host CI CI% Alarms Alerts

Desktops 10.10.101.118 338,137,280 112,712% High Concern index Ping, Ping_Scan, TCP_Scan

Мониторинг и нормирование активности для хоста внутри группы

97

Идентификация угроз и назначение атрибутов Интеграция Cisco ISE и Lancope StealthWatch

Policy Start Active

Time

Alarm Source Source

Host

Group

Source User

Name

Target

Inside Hosts 8-Feb-2012 Suspect Data Loss 10.34.74.123 Wired

Data

Bob Multiple Hosts

98

Обнаружение распространения malware

NetFlow Capable

Devices

Management

StealthWatch FlowCollector

StealthWatch Management

Console 3. Сбор и анализ данных NetFlow 4. Добавление контекстной

информации к данным NetFlow анализа

5. Повышение Concern index и генерация события Worm propagation

Cisco ISE

Initial Infection

Secondary Infection

1Заражение происходит по внутренней сети в соответствии с планом атакующего

2. Инфраструктура создает записи активности с использованием NetFlow

Data Center

99

Обнаружение распространения malware

Devices

Management

StealthWatch FlowCollector

StealthWatch Management

Console 3. Сбор и анализ данных NetFlow 4. Добавление контекстной

информации к данным NetFlow анализа

5. Повышение Concern index и генерация события Worm propagation

Cisco ISE

Tertiary Infection

Initial Infection

Secondary Infection

2. Инфраструктура создает записи активности с использованием NetFlow

NetFlow Capable

1. Заражение происходит по внутренней сети в соответствии с планом атакующего

Data Center

100

Примечание про StealthWatch и NSEL

• Поле Flow Action добавляет дополнительный контекст

• Данные о состоянии NSEL используются при поведенческом анализе в StealthWatch (concern Index points суммируются для событий Flow Denied)

• NAT stitching убирает избыточные записи потоков от ASA и ASR1000

• Отсутствие данных о TCP флагах и счетчиков переданных и принятых байт снижает эффективность NSEL и позволяет использовать только для обнаружения ряда угроз (ex. SYN Flood); предлагается использовать в комбинации с дополнительными источниками NetFlow

NetFlow Secure Event Logging

103

Visibility в ACI

• Механизм Atomic Counters

• SPAN

Ускорение отражения угроз при помощи интеграции между ACI и FirePOWER NGIPS

Host 3

Приложение 1

(Physical)

Host 1 Host 2

Приложение 2

(Physical) V

M

V

M

V

M

1. FirePOWER IPS использует возможности ACI

фабрики по мониторингу для обнаружения

атаки на ее самой ранней фазе

Proactive Detection Mitigation Incident Response and Mission Assurance

Жизненный цикл атаки

Weaponize Execute

Deliver Control Maintain

Exploit

Recon

APIC FireSIGHT

2. Механизм «continuous analytics»

компоненты FireSIGHT Manager

обеспечивает обнаружение атаки

3. FireSIGHT использует APIC API для

программирования политики с целью

блокировки атаки (FireSIGHT System

Remediation API), а так же задействует

механизм карантина для нежелательного

трафика

4. FirePOWER IPS непрерывно собирает

информацию о событиях с ACI Фабрики, чтобы

обнаружить новые угрозы

UNT PUBLIC

Trusted – No Graph CORP

APIC 172.28.199.30

Move IP to Quarantine

FireSight 10.0.0.244

FW NGIPS

10.1.0.234

Relaxed

REST calls to

APIC NB API

ACI Fabric

N9K Leaf Switch

FirePOWER Appliance 10.0.1.30

SPAN Traffic

Attack ESXi – 10.1.0.44

1.1.1.6 1.1.1.7

FW QUA

Strict

REM

1.1.1.3

Security Feedback Loop

Алгоритм интеграции ACI и SF

Заключение

21.06.2016 © 2015 Cisco and/or its affiliates. All rights reserved. 107

Отправьте свой вопрос сейчас! Используйте панель Q&A, чтобы задать вопрос.

Эксперты ответят на Ваши вопросы.

Приглашаем Вас активно участвовать в Сообществе и социальных сетях

Vkontakte http://vk.com/cisco

Facebook http://www.facebook.com/CiscoSupportCommunity

Twitter https://twitter.com/CiscoRussia

You Tube http://www.youtube.com/user/CiscoRussiaMedia

Google+ https://plus.google.com/106603907471961036146

LinkedIn http://www.linkedin.com/groups/Cisco-Russia-CIS-3798428

Instgram https://instagram.com/ciscoru

Подписаться на рассылку csc-russian@external.cisco.com

Мы также предоставляем Вашему вниманию Сообщества на других языках!

Если Вы говорите на Испанском, Португальском или Японском, мы приглашаем Вас принять участие в Сообществах:

Русское http://russiansupportforum.cisco.com

Испанское https://supportforums.cisco.com/community/spanish

Португальское https://supportforums.cisco.com/community/portuguese

Японское https://supportforums.cisco.com/community/csc-japan

Китайское http://www.csc-china.com.cn

Если Вы говорите на Испанском,

Португальском или Японском, мы

приглашаем Вас принять участие и вести

общение на Вашем родном языке

Технические семинары в клубе Cisco Expo Learning Club

http://ciscoclub.ru/events

Пожалуйста, участвуйте в опросе

Спасибо за Ваше внимание!