Защита центров обработки данных. Механизмы безопасности для классической фабрики и фабрики ориентированной

Защита центров обработки данных. Механизмы безопасности для классической фабрики и фабрики ориентированной на приложения ACI – До, Во Время и После

Руслан Иванов [email protected] Станислав Рыпалов [email protected]

23.11.15 © 2015 Cisco and/or its affiliates. All rights reserved.

Защита центров обработки данных. Механизмы безопасности для классической фабрики и фабрики ориентированной на приложения ACI – До, Во Время и После

23.11.15 © 2015 Cisco and/or its affiliates. All rights reserved. 2

Безопасность и виртуализация в ЦОД Безопасность ЦОД приоритеты, проблемы

Встроенные механизмы защиты

Устройства безопасности в ЦОД

Мониторинг и реагирование

Заключение

3

Архитектурные вызовы в современном ЦОД

Развивающиеся угрозы

Новые приложения (Физические,

виртуализированные и облачные)

Новые тренды распределения

трафика в сети ЦОД

Source: Cisco Global Cloud Index, 2012

Просто, Эффективно и Доступно

Сегментация •  Определение границ: сеть, вычислительный ресурс, вируальная сеть •  Применение политик по функциям - устройство, организация, соответствие •  Контроль и предотвращение НСД к сети, ресурсам, приложениям

Защита от

угроз

•  Блокирование внешних и внутренних атак и остановки сервисов •  Патрулирование границ зон безопасности •  Контроль доступа и использования информации для предотвращения ее потери

Видимость •  Обеспечение прозрачности использования •  Применение бизнес-контекста к сетевой активности •  Упрощение операций и отчетности

Север-Юг

Восток-Запад

Защита, Обнаружение, Контроль

5

Какая архитектура для обеспечения безопасности ЦОД является правильной?

Ориентация на виртуализацию

Отсутствие поддержки физических

сред

Ограниченная видимость

Сложность управления (2 сети вместо одной!)

Ориентация на приложения

Любая нагрузка в любом месте

Полная видимость Автоматизация

Ориентация на периметр

Сложно и много ручных

процессов

Ошибки конфигурации

Статическая топология

Ограничения применения

Модель безопасности ЦОД ориентированная на угрозы

Л а н д ш а ф т у г р о з

DURING Detect Block

Defend

AFTER Scope

Contain Remediate

ДО Контроль

Применение Усиление

ПОСЛЕ Видимость Сдерживание Устранение

Обнаружение Блокировка Защита

ВО ВРЕМЯ

Сеть Облако Мобильные устройства

Виртуальные машины

Оконечные устройства

Сегментация средствами сети ЦОД


Контроль Применение Усиление

ДО

Классическая фабрика

Hypervisor Hypervisor Hypervisor Hypervisor

VRF Blue VRF Purple

Firewall Firewall Nexus 7000

Nexus 5500

Nexus 1000V Nexus 1000V

Традиционные механизмы для изоляции и сегментации на физических коммутаторах и виртуальных Зонирование для применения политик Разделение физической инфраструктуры на зоны

§  Разделение L2/L3 путей при помощи VDC/VLAN/…

§  VRF – разделение таблиц маршрутизации

§  Фильтрация север-юг, запада –восток МСЭ или списками доступа

9

Управление политиками в виртуальной сети

Nexus 1000V § Операционная модель на базе портовых профилей Port Profiles § Поддержка политик безопасности с изоляцией и сегментацией при помощи VLAN, Private VLAN, Port-based Access Lists, TrustSec и Cisco Integrated Security функций § Обеспечение прозрачности потоков от виртуальных машин функциями ERSPAN и NetFlow

Виртуальный коммутатор: Nexus 1000V

Network Team

Server Team

Управление и мониторинг

Роли и ответственность

Изоляция и сегментация

Security Team

Nexus 1000V

10

Профиль порта

Nexus 1000V поддерживает: ü  ACLs ü  Quality of Service (QoS) ü  PVLANs ü  Port channels ü  SPAN ports

port-profile vm180 vmware port-group pg180 switchport mode access switchport access vlan 180 ip flow monitor ESE-flow input ip flow monitor ESE-flow output no shutdown state enabled interface Vethernet9 inherit port-profile vm180 interface Vethernet10 inherit port-profile vm180

Port Profile –> Port Group vCenter API

vMotion Policy Stickiness

Network

Security

Server

11

Сервисные цепочки при помощи vPath

vPath это компонент шины данных Nexus 1000V: •  Модель вставки сервиса без привязки к топологии

•  Сервисные цепочки для нескольких виртуальных сервисов

•  Повышение производительности с vPath например VSG flow offload

•  Эффективная и масштабируемая архитектура

•  Сохранение существующей модели операций

•  Мобильность политик

Cloud Network Services (CNS)

Hypervisor

Nexus 1000V vPath

12

Архитектура TrustSec

•  Классификация систем/пользователей на базе контекста (роль, устройство, место, способ подключения)

•  Контекст (роль) транслируется в метку Security Group Tag (SGT) •  МСЭ, маршрутизаторы и коммутаторы используют метку SGT для принятия решения о фильтрации

•  Классифицируем один раз – используем результат несколько раз 13

Users, Devices

Switch Router DC FW DC Switch

HR Servers

Enforcement

SGT Propagation

Fin Servers SGT = 4

SGT = 10

ISE Directory Classification

SGT:5

Назначение группы

14

Динамическая классификация Статическая классификация •  IP Address

•  VLANs

•  Subnets

•  L2 Interface

•  L3 Interface

•  Virtual Port Profile

•  Layer 2 Port Lookup

Классификация для мобильных устройств

Классификация для серверов и на базе топологии

802.1X Authentication

MAC Auth Bypass

Web Authentication SGT

14

Механизмы распространения меток SGT

15

Wired Access

Wireless Access

DC Firewall

Enterprise Backbone

DC

Virtual Access Campus Core DC Core

DC Distribution

Physical Server

Physical Server

VM Server

PCI VM Server

DC Physical Access

SGT 20

SGT 30

IP Address SGT SRC

10.1.100.98 50 Local

SXP IP-SGT Binding Table

SXP

SGT = 50

ASIC ASIC

Optionally Encrypted

Inline SGT Tagging

SGT=50

ASIC

L2 Ethernet Frame SRC: 10.1.100.98

IP Address SGT

10.1.100.98 50 SXP

Non-SGT capable

Inline Tagging (data plane): Поддержка SGT в ASIC

SXP (control plane): Распространение между устройствами без поддержки SGT в ASIC

Tag When you can! SXP when you have

to!

Применение политик SGACL (матрица доступа)

16

permit tcp dst eq 443 permit tcp dst eq 80 permit tcp dst eq 22 permit tcp dst eq 3389 permit tcp dst eq 135 permit tcp dst eq 136 permit tcp dst eq 137 permit tcp dst eq 138 permit tcp des eq 139 deny ip

Portal_ACL

16

Сегментация средствами ACI



ДО

Что представляет собой ACI?

ACI фабрика

Неблокируемая фабрика на базе оверлеев

App DB Web

Внешняя сеть передачи данных

(Tenant VRF)

QoS

Filter

QoS

Service

QoS

Filter

Application Policy Infrastructure

Controller

APIC

1. Профиль приложения

2. Кластер контроллеров

3. Cеть на базе Nexus 9000

Tenant: Логический контейнер для размещения политик приложений.Этот контейнер может быть выделен отдельному арендатору, организации или приложению.

Application Profile: профиль приложения моделирует требования приложения к сети и включает в себя необходимое количество EPG.

Bridge Domain: Логическая конструкция представляющая L2-сегмент передачи данных внутри фабрики. Один или несколько EPG могут быть ассоциированы с одним BD.

Объектная модель используемая в ACI Tenant A

ANP 3-tier App ANP Storage

Bridge D

omain B

D_1

Bridge D

omain B

D_2

Контракт

Контракт

Контракт

EPG NetApp_LIF

EPG VM-NIC

EPG База данных

EPG Сервер приложений

EPG Web-сервер

End Point Group (EPG): EPG это набор физических или виртуальных объектов, для которых должны быть обеспечены одинаковые политики и сервисы при подключении к сети. Например набор виртуальных машин или интерфейсов СХД.

Контракты: регламентирует правила передачи данных между EPG при помощи механизмов фильтрации, обеспечения качества обслуживания и перенаправления трафика на внешние сервисные устройства, такие как МСЭ и т.д.

Объектная модель используемая в ACI Tenant A

ANP 3-tier App ANP Storage

Bridge D

omain B

D_1

Bridge D

omain B

D_2

Контракт

Контракт

Контракт

EPG NetApp_LIF

EPG VM-NIC

EPG База данных

EPG Сервер приложений

EPG Web-сервер

Взаимодействие внутри ACI

“Users” “Files”

ACI Fabric

Определение Endpoint Groups

Любой хост внутри в любом месте фабрики виртуальный

или физический

Применение входящих политик

Применение политик на всех портах:

security in depth, embedded QoS

Точка оркестрации

Разделение административных ролей с использованием общего интерфейса и объектов

Application Policy Infrastructure Controller

(APIC) Создание контракта между Endpoint Groups

Правила: drop, prioritize, push to service chain; reusable templates

Service Graph

Сервисное устройство Администратор безопасности определяет шаблоны политик, которые далее используются при создании контракта

All TCP/UDP: Accept, Redirect UDP/16384-32767: Prioritize

All Other: Drop

Policy Contract “Users → Files”

21

Интеграция гипервизоров и ACI EPG классификация при помощи атрибутов VM

•  End Point Group (EPG) могут использовать несколько методов для классификации

•  VM Port Group – это самый простой механизм классификации ВМ

•  Атрибуты ВМ так же могут использоваться для классификации EPG

•  Используется ACI релиз 11.1 с AVS (первоначальная доступность)

•  Поддержка коммутаторов в гипервизорах VMware vDS, Microsoft vSwitch, OVS (планируется)

Атрибуты ВМ Guest OS

VM Name

VM (id)

VNIC (id)

Hypervisor

DVS port-group

DVS

Datacenter

Custom Attribute

MAC Address

IP Address

vCenter VM

Attributes

VM Traffic

Attributes

Интеграция ACI и TrustSec

SGT ß EPG

ACI-Enabled DC SGTàEPG TrustSec-Enabled

Network

Consistent Policy

•  Cisco планирует интегрировать TrustSec и ACI дав возможность заказчикам создать интегрированную систему безопасности, которая предоставляет возможность воспользоваться контекстом TrustSec, сформулированном в территориально распределенной сети, при определении сетевой политики приложения, размещаемого в фабрике ACI ЦОД

•  Возможность создать связанную политику безопасности на предприятии с одновременным использованием роли пользователя и контекста приложения

•  Подход на основе групповых политик упростит дизайн, операции по поддержке и комплекс организационных мероприятий по соответствию нормативным требованиям

Сегментация, обнаружение и защита средствами безопасности



ДО Обнаружение Блокировка Защита

ВО ВРЕМЯ

МСЭ ASA и фабрика ЦОД

§  ASA и Nexus Virtual Port Channel §  vPC обеспечивает распределение нагрузки по

соединениям (отсутствие заблокированных STP соед.)

§  ASA использует технологии отказоустойчивости ЦОД

§  Уникальная интеграция ASA и Nexus (LACP) §  IPS модуль полагается на связность от ASA –

обеспечивает DPI §  Проверенный дизайн для сегментации, защиты от

угроз и прозрачности операций (visibility) §  Transparent (рекомендован) и routed режимы §  Работает в режимах A/S и A/A failover

Уровень агрегации ЦОД

Active vPC Peer-link

vPC vPC

Core IP1

Core IP2

Active or Standby

N7K VPC 41 N7K VPC 40

Nexus 1000V vPath

Hypervisor Nexus 1000V

vPath

Hypervisor

Core Layer

Aggregation Layer

Access Layers

25

Aggregation Layer

L2

L3

FW HA

VPC VPC

VPC

DC Core / EDGE

VPC VPC

FHRP FHRP

SVI VLAN200 SVI VLAN200

North Zone VLAN 200

South Zone VLAN 201

Trunks

VLAN 200 Outside

VLAN 201 Inside

N7K VPC 40

N7K VPC 41

ASA channel 32

VPC PEER LINK

VPC PEER LINK

Access Layer

Подключение ASA к Nexus с vPC

§  ASA подключается к Nexus несколькими интерфейсами с использованием vPC •  ASA может быть настроена на переход на резервную коробку в случае потери нескольких соединений (при использовании HA)

§  Идентификаторы vPC разные для каждого МСЭ ASA на коммутаторе Nexus (это меняется для кластера ASA и cLACP [далее…])

26

Физический сервис для виртуального

Hypervisor Hypervisor Hypervisor Hypervisor

VRF Blue VRF Purple

Firewall Firewall Nexus 7000

Nexus 5500

Nexus 1000V Nexus 1000V

§  Применяем физические устройства для изоляции и сегментации виртуальных машин

§  Используем зоны для применения политик

§  Физическая инфраструктура привязывается к зоне

§  Разделяем таблицы маршрутизации по зонам через VRF

§  Политики МСЭ на зоны привязаны к потокам север-юг, восток-запад

§  Проводим L2 и L3 пути через физические сервисы

27

МСЭ & виртуальная среда Виртуальные контексты ASA для фильтрации потоков между зонами

Firewall Virtual Context provides

inter-zone East-West security

Aggregation

Core

Hypervisor Hypervisor

Database

ASA Context 2 Transparent Mode

ASA Context 1 Transparent Mode

ASA 5585 ASA 5585

Aggregation

Core

Physical Layout

East-West Zone filtering

VLAN 21

VLAN 20

VLAN 100

VLAN 101

Context1 Context2

Front-End Apps

28

Hypervisor

Инспекция трафика между VLAN для VM ASA с Bridge Group внутри контекста

Layer 2 AdjacentSwitched Locally

Direct Communication

ASA 5585 Transparent Mode

Aggregation

Core

Layer 3 GatewayVRF or SVI

Aggregation

Core

Physical Layout

East-West VLAN filtering

VLAN 20

VLAN 100

interface vlan 21 10.10.20.1/24 interface vlan 101 10.10.101.1/24

interface TenGigabitEthernet0/6 channel-group 32 mode active vss-id 1 no nameif no security-level ! interface TenGigabitEthernet0/7 channel-group 32 mode active vss-id 2 no nameif no security-level ! interface BVI1 ip address 10.10.20.254 255.255.255.0 ! interface Port-channel32 no nameif no security-level ! interface Port-channel32.20 mac-address 3232.1111.3232 vlan 20 nameif inside bridge-group 1 security-level 100 ! interface Port-channel32.21 mac-address 3232.1a1a.3232 vlan 21 nameif outside bridge-group 1 security-level 0 …

29

VLAN 21

VLAN 101

Обзор кластера ASA §  Кластеризация поддерживается на 5580, 5585 и

5500-X (5500-X кластер из 2-х устройств) §  CCL – критическое место кластера, без него

кластер не работает §  Среди членов кластера выбирается Master для

синхронизации настроек— не влияет на путь пакета

§  Новый термин “spanned port-channel” т.е. Распределенные/общие настройки порта среди членов кластера ASA

§  Кластер может ре-балансировать потоки §  У каждого потока есть Owner и Director и

возможно Forwarder §  Шина данных кластера ДОЛЖНА использовать

cLACP (Spanned Port-Channel)

Cluster Control Link

vPC

Data Plane

Aggregation

Core

ASA Cluster

vPC 40

30

Кластер МСЭ ASA Кластеризация ASA для требований ЦОД

Cluster Control link shares state and

connection information among cluster members

Aggregation

Core

Hypervisor Hypervisor

Database

ASA Cluster includes Context 1 & 2

Transparent Mode

ASA 5585 ASA 5585 ASA 5585 ASA 5585

Aggregation

Core

Physical Layout

Cluster Control Link

Cluster functionally the same in either

transparent or routed mode

Cluster members used for North-South, East-West inspection and

filtering

Context1 Context2

Owner Director

IPS relies on ASA Clustering

31

Web Apps

Внедрение ASAv : виртуальный МСЭ+VPN

32

§  Сегодня для фильтрации между зонами и тенантами применяется ASA в режиме мульти-контекст

§  Для передачи трафика используются транки §  Проблема – масштабирование фильтрации Запад-Восток требует ресурсов МСЭ и масштабируемого транспортного решения Zone 1 Zone 2 Zone 3

VM 1

VM 2

VM 3

VM 4

VFW 1

VM 5

VM 6

VM 7

VM 8

VFW 2 VFW 3

§  ASAv – может быть пограничным МСЭ и может обеспечивать фильтрацию Восток-Запад

§  На каждого тенанта или зону можно развернуть одну или несколько ASAv для FW + VPN

§  Масштабируемая терминация VPN S2S и RA Vzone 1 Vzone 2

Multi Context Mode ASA

Внедрение ASAv : виртуальный МСЭ+VPN 3 режима примения политик

Routed Firewall •  Маршрутизация трафика между vNIC •  Поддержка таблиц ARP и маршрутов •  МСЭ на границе тенанта

Transparent Firewall

•  VLAN или VxLAN Bridging / Stitching •  Поддержка таблицы MAC •  Бесшовная интеграция в L3 дизайн

Service Tag Switching

•  Инспектирование между service tags •  Нет взаимодействия с сетью •  Режим интеграции с фабрикой

33

Routed Firewall

§  Routed – граница сети контейнера/тенанта

§  Шлюз по умолчанию для хостов §  Маршрутизация между несколькими подсетями

§  Традиционная L3 граница сети §  Подключение виртуальных машин и физических

§  Сегментация с использованием интерфейсов

ASAv Routed

client

Gateway

Outside

Inside

host1

host2

Shared

DMZ

34

Transparent Firewall

•  Коммутация между 4 (под-) интерфейсами

•  8 BVI на ASAv •  NAT и ACL •  Бесшовная интеграция для соотв. PCI

•  Традиционная граница L2 между хостами

•  Все сегменты в одном широковещательном домене

ASAv Transp

Gateway

client

Segment-1

Segment-3

host1

host2

Segment-2

Segment-4

35

Web-zone Fileserver-zone

Hypervisor

Nexus 7000

Nexus 5500

Nexus 1000V

VRF VLAN 50

UCS

VLAN 200 VLAN 300

Защита приложений и видимость

§  Инспекция трафика север-юг и восток-запад с ASA §  Transparent или routed режимы §  Эластичность сервиса

.1Q Trunk

VLAN 50

36

Web-zone Fileserver-zone

Hypervisor

Nexus 7000

Nexus 5500

Nexus 1000V

VRF VLAN 50

UCS

Защита приложений и видимость

Инспекция трафика север-юг и восток-запад с ASA Глубокая инспекция с virtual IPS – в режиме inline (коммутация между VLAN) или promiscuous port на vswitch

Сервисная цепочка – ASAv и vIPS

.1Q Trunk

External VLAN 50

Defense Center с Firesight для анализа данных

37

Inline Set

Inline Set Internal

External Internal

VLAN 200

vIPS Варианты включения: в «разрыв» или «пассивный»

Web-zone

VLAN 200

Promiscuous Port

vSwitch

Web-zone

VLAN 200

External

vSwitch vSwitch

38

Internal

Сегментация, обнаружение и защита средствами безопасности в ACI




ВО ВРЕМЯ

ASA и FirePOWER в архитектуре ACI

ASA5585 Divert to SFR NGIPSv FirePOWER ASAv30

ASAv10

FireSIGHT

Основной принцип ACI - логическая конфигурация сети, не привязанная оборудованию

ACI фабрика

Неблокируемая фабрика на базе оверлеев

App DB Web

Внешняя сеть передачи данных

(Tenant VRF) QoS

Filter

QoS

Service

QoS

Filter

Application Policy Infrastructure

Controller

APIC

Вставка сервисной цепочки

Автоматизация вставки сервисного устройства при помощи механизма «device package»

Open Device Package

Policy Engine

APIC реализует расширяемую модель политик при помощи Device Package

Configuration Model

Device Interface: REST/CLI

APIC Script Interface

Call Back Scripts

Event Engine

APIC– Policy Manager

Configuration Model (XML File)

Call Back Script

Администратор загружает файл, содержащий Device Package в APIC

Device Package содержит XML модель устройства, которое находится под управлением

Device scripts транслирует вызовы APIC API в специфичные для устройства CLI команды или API вызовы

APIC

§  Режим одного и нескольких контекстов поддерживается для релиза драйвера DP 1.2 §  Оба режима используют возможность создания VLAN подинтерфейсов

§  Transparent (bump in the wire) режим для вставки “Go-Through” §  Передача пакетов построена на базе MAC адресов. Таблица маршрутизации влияет на NAT и инспекцию приложений

§  Режим Flooding должен быть включен для ACI Bridge Domains

§  Routed (Layer 3 hop) режим для вставки “Go-To” §  Общая таблица маршрутизации на контекст требует наличия статических маршрутов или динамической маршрутизации (DP 1.2) для подключения к EPG.

Модели интеграция ASA в фабрику ACI

§  Failover защита от выхода из строя устройства §  Failover соединения имеют один общий активный IP/MAC §  Пара Active/Standby настраивается и управляется APIC’ом. Оба устройства

ASA должны быть зарегистрированы на APIC. §  Режим Active/Active failover не поддерживается

§  Кластер обеспечивает высокий уровень производительности в ACI §  До 16 устройств ASA5585-X может быть объединено в один логический МСЭ

§  Режим интерфейса Spanned Etherchannel обеспечивает общий IP и MAC адрес

§  Настройка кластера производится в режиме out of band, но APIC может управлять им после настройки.

ASA доступность и масштабируемость

§  Routed Mode (Go-To) Tenant

§  Transparent Mode (Go-Through) Tenant

BD2 BD1

Интеграция ASA в фабрику ACI

EPGA EPGBFW

GraphB 10.0.0.0/24

External Internal

ExternalEPGA1 EPGB

GraphA10.0.0.0/24 10.0.0.1 20.0.0.1 20.0.0.0/24

External Internal

BD2 BD1

FW

Device Package 1.0 или 1.1

BD1

BD2

§  Routed Mode

§  Transparent Mode BD2 BD

1

Интеграция ASA в фабрику ACI

EPGA EPGBFWGraphB

10.0.0.0/24

TenantB

External Internal

EPGA EPGAFWGraphA

10.0.0.1 20.0.0.1

TenantA

External Internal

VRF1 VRF2

OSPF/BGP

OSPF/BGP OSPF/BGP

VRF1 VRF2

10.0.0.2 20.0.0.2

10.0.0.10 10.0.0.11100.0.0.0/24 200.0.0.0/24

201.0.0.0/24

202.0.0.0/24

203.0.0.0/24

101.0.0.0/24

102.0.0.0/24

103.0.0.0/24

200.0.0.0/24

201.0.0.0/24

202.0.0.0/24

203.0.0.0/24

100.0.0.0/24

101.0.0.0/24

102.0.0.0/24

103.0.0.0/24

ASA 1.2 Device Package

BD2 BD1

Transparent Mode Вставка FirePOWER в фабрику ACI

EPGA EPGBNGIPS

GraphA

10.0.0.0/24

TenantA

External Internal

BD1

BD2

EPGA EPGBNGIPS

GraphB

10.0.0.0/24

TenantB

External InternalVRFs VRFs

OSPF/BGP

10.0.0.10 10.0.0.11100.0.0.0/24 200.0.0.0/24

201.0.0.0/24

202.0.0.0/24

203.0.0.0/24

101.0.0.0/24

102.0.0.0/24

103.0.0.0/24

Интеграция с ACI устройств безопасности Cisco

Подключение к фабрике ACI

Подключение к фабрике ACI

Настройка политик

Мониторинг и уведомления в реальном времени

Настройка политик

Managing Service Producer Security Configurations and Visibility

События и syslog CSM

ASA Device Package

FirePOWER Device Package

Интеграция ASA Интеграция FirePOWER

Обработка сервисного графа

Для каждой функции в графе: 1.  APIC выбирает логическое устройство из ранее определенных 2.  APIC разрешает параметры конфигурации и готовит конфигурационный словарь 3.  APIC выделяет VLAN для каждого соединения, ассоциированного с функцией 4.  APIC настраивает сеть - VLAN, EPG и соответствующие фильтры 5.  APIC запускает скрипт и настраивает сервисное устройство

FuncAonFirewall

FuncAonSSLoffload

FuncAonLoadBalancer

Сервисныйграф:“web-applica=on”

Firewall FuncAonSSLoffload

FuncAonLoadBalancer

ВыделениеVLAN

1 2

3

НастройкаVLAN 4

5

EPG Web EPG

App

ASA5585 c SFR в сервисном графе – Etherchannel

Po1.300 Po1.301

Vlan 100 Vlan 200

vPC4 VLAN 300 vPC4

Vlan 301

App1 DB

provider consumer class firepower_class_map sfr fail-close

SFR NGIPS policy ASA

Когда сервисный граф с сервисным устройством ASA активируется в определенном контракте (начинается рендеринг), APIC автоматически настроивает ASA интерфейсы и политики, включая redirection на модуль

FirePOWER. Поддерживаются L3 (GoTo) и L2 (GoThrough) режимы. FireSIGHT независимо управляет политиками FirePOWER.

ASA 1.2 Device Package

ASA5585+SFR

APIC

Vlan 100 App2 VM

Cервисный граф для FirePOWER - LAG

s1p1.300 s1p2.301

Vlan 100 Vlan 200

vPC4 Vlan 300 vPC4

Vlan 301

Идентификаторы VLAN ID назначаются автоматически из пула и для EPG и для портов сервисных устройств.

Настройка всех портов согласно логике (L2,L3) производится автоматически.

App DB

consumer provider

FirePOWER использует LAG (port-channel) для подключения к фабрике

для обеспечения отказоустойчивости к

одному коммутатору или паре коммутаторов с функцией vPC.

Physical

APIC использует FirePOWER Device package для

взаимодействия с FireSIGHT Management Center который

управляет NGIPS

APIC

ASAv и FirePOWERv в сервисном графе

vNIC2 vNIC3

Vlan 100 Vlan 200 App DB

provider consumer Устройства ASAv и NGIPSv разворачиваются вручную или при помощи оркестратора. vNIC

интерфейсы, помеченные как consumer и provider задействуются при

активации (рендеринге) сервисного графа.

vNIC2 vNIC3 provider consumer

Vlan 302 Vlan 303 Vlan 300 Vlan 301

APIC полностью управляет конфигурацией ASAv, при этом настройка виртуального FirePOWER устройства выполняется при помощи FireSIGHT.

APIC

Сервисная цепочка из двух устройств (пример)

“Подключаем” устройства


Создаем шаблоны настроек для ASA


Создаем шаблоны настроек для IPS


Создаем шаблон сервисной цепочки


Привязываем сервисную цепочку к контракту между EPG


“Привязываем” интерфейсы устройств


Работающая сервисная цепочка


firewall transparent hostname pierre interface Management0/0 management-only nameif mgt security-level 100 ip address 172.26.42.12 255.255.255.192 route mgt 0.0.0.0 0.0.0.0 172.26.42.1 1 http server enable http 0.0.0.0 0.0.0.0 mgt user-identity default-domain LOCAL aaa authentication telnet console LOCAL aaa authentication http console LOCAL username admin password e1z89R3cZe9Kt6Ib encrypted privilege 15

interface Port-channel1 lacp max-bundle 8 no nameif no security-level! interface TenGigabitEthernet0/6 channel-group 1 mode active no nameif no security-level!interface TenGigabitEthernet0/7 channel-group 1 mode active no nameif no security-level same-security-traffic permit inter-interface

interface BVI1 ip address 77.10.10.254 255.255.255.0!interface Port-channel1.3135 vlan 3135 nameif externalIf bridge-group 1 security-level 100!interface Port-channel1.3174 vlan 3174 nameif internalIf bridge-group 1 security-level 100 access-list access-list-inbound extended permit ip any anyaccess-list access-list-inbound extended permit tcp any any eq wwwaccess-list access-list-inbound extended permit tcp any any eq https access-group access-list-inbound in interface externalIf

Начальная настройка Подключена к APIC Часть сервисной цепочки ASA5585

Мониторинг и реагирование




ВО ВРЕМЯ Видимость Сдерживание Устранение

ПОСЛЕ

Применение NetFlow для безопасности

§  Обнаружение сложных и стойких угроз. Выявление вредоносного ПО внутри защищенного периметра. Выявление угроз нулевого дня.

§  Выявление активности каналов управления и контроля BotNet. Вредоносное ПО с внешними центрами управления может использоваться для рассылки SPAM, организации DoS атак и другой вредоносной активности.

§  Обнаружение сетевого взлома. Некоторые типы атак используют различные приемы сетевого сканирования для выбора вектора атаки, что может быть использовано для выявления угроз.

§  Обнаружение внутреннего распространения вредоносного ПО. Распространение вредоносного ПО по сети может приводить к потери конфиденциальных и защищенных данных.

§  Выявление утечки данных. Вредоносное ПО может содержать код для организации передачи данных в сторону атакующего. Такие утечки могут происходить периодически в течении небольших промежутков времени.

62

NetFlow в двух словах

Internal Network

NetFlow Data

NetFlow Collector

63

Решение Cyber Threat Defense

Data Center

Прозрачность, Контекст и Контроль

Использование NetFlow до уровня доступа

Унификация инструментов для обнаружения, расследования и

отчетности

Наполнение данных информацией идентификации,

событиями, контекстом

Кто

Что Где

Когда

Как

Cisco ISE

Cisco ISR G2 + NBAR

Cisco ASA + NSEL

Context

64

Компоненты решения Cyber Threat Defense

Cisco Network

StealthWatch FlowCollector

StealthWatch Management

Console

NetFlow

Users/Devices

Cisco ISE

NetFlow

StealthWatch FlowReplicator

Other tools/collectors

https

https

NBAR NSEL NGA

NetFlow Generating Appliance

65

Решение Cisco Обнаружение атак без сигнатур

Высокий Concern Index показывает существенное количество подозрительных событий, что является отклонением от

установленной нормы

Host Groups Host CI CI% Alarms Alerts

Desktops 10.10.101.118 338,137,280 112,712% High Concern index Ping, Ping_Scan, TCP_Scan

Мониторинг и нормирование активности для хоста внутри группы

66

Идентификация угроз и назначение атрибутов Интеграция Cisco ISE и Lancope StealthWatch

Policy Start Active Time

Alarm Source Source Host

Group

Source User Name

Target

Inside Hosts 8-Feb-2012 Suspect Data Loss 10.34.74.123 Wired Data

Bob Multiple Hosts

67

Обнаружение распространения вредоносного ПО

NetFlow Capable

Devices

Management StealthWatch FlowCollector


Console 3. Сбор и анализ данных NetFlow 4. Добавление контекстной

информации к данным NetFlow анализа

5. Повышение Concern index и генерация события Worm propagation

Cisco ISE

Initial Infection

Secondary Infection

1Заражение происходит по внутренней сети в соответствии с планом атакующего

2. Инфраструктура создает записи активности с использованием NetFlow

Data Center

68

Обнаружение распространения вредоносного ПО

Devices

Management StealthWatch FlowCollector


Console 3. Сбор и анализ данных NetFlow 4. Добавление контекстной

информации к данным NetFlow анализа

5. Повышение Concern index и генерация события Worm propagation

Cisco ISE

Tertiary Infection

Initial Infection

Secondary Infection

2. Инфраструктура создает записи активности с использованием NetFlow

NetFlow Capable 1. Заражение происходит по внутренней сети в соответствии с планом атакующего

Data Center

69

Отслеживание распространения заражения

Последующие заражения

Вторичное заражение

Начальное заражение

70

Примечание про StealthWatch и NSEL

§  Поле Flow Action добавляет дополнительный контекст §  Данные о состоянии NSEL используются при поведенческом анализе в StealthWatch

(concern Index points суммируются для событий Flow Denied) §  NAT stitching убирает избыточные записи потоков от ASA и ASR1000 §  Отсутствие данных о TCP флагах и счетчиков переданных и принятых байт снижает эффективность NSEL и позволяет использовать только для обнаружения ряда угроз (ex. SYN Flood); предлагается использовать в комбинации с дополнительными источниками NetFlow

NetFlow Secure Event Logging

71

Мониторинг и реагирование в ACI




ВО ВРЕМЯ Видимость Сдерживание Устранение

ПОСЛЕ

Visibility в ACI Механизм Atomic Counters


Visibility в ACI Механизм SPAN


Ускорение отражения угроз при помощи интеграции между ACI и FirePOWER NGIPS

Host 3

Приложение 1 (Physical)

Host 1 Host 2

Приложение 2 (Physical)

VM

VM

VM

1. FirePOWER IPS использует возможности ACI фабрики по мониторингу для обнаружения атаки на ее самой ранней фазе

Proactive Detection Mitigation Incident Response and Mission Assurance

Жизненный цикл атаки

Weaponize Execute

Deliver Control Maintain

Exploit

Recon

APIC FireSIGHT

2. Механизм «continuous analytics» компоненты FireSIGHT Manager обеспечивает обнаружение атаки

3. FireSIGHT использует APIC API для программирования политики с целью блокировки атаки (FireSIGHT System Remediation API), а так же задействует механизм карантина для нежелательного трафика

4. FirePOWER IPS непрерывно собирает информацию о событиях с ACI Фабрики, чтобы обнаружить новые угрозы

Заключение


С чего начать? Cisco SAFE!

Сеть L2/L3

Управление доступом + TrustSec

к комплексу зданий

Зона общих сервисов

Система предотвра-щения вторжений нового поколения

Зона сервера приложений

Зона соответствия

стандартам PCI

Зона базы данных

Анализ потока

Безопасность хоста

Баланси-ровщик нагрузки

Анализ потока

МСЭ

Антивре-доносное ПО

Анали-тика угроз

Управление доступом + TrustSec

Система предотвра-щения вторжений нового поколения

Межсетевой экран нового поколения Маршрутизатор

Сеть L2/L3 МСЭ VPN

Коммута-тор

МСЭ веб-приложений

Централизованное управление

Политики/ Конфигурация

Мониторинг/ контекст

Анализ/ корреляция

Аналитика

Регистрация в журнале/ отчетность

Аналитика угроз

Управление уязвимостями

Мониторинг

к периметру

Виртуализированные функции

WAN

Как внедрить?


Возможности создания общей картины

Руководство по архитектуре

Дизайны CVD

Руководство «Обзор Safe»

Руководство по архитектуре для защищенного ЦОД

Как развертывать кластер ASA

Краткое руководство по созданию защищенного ЦОД

Создание кластера ASA с сервисами FirePOWER УТВЕРЖДЕНО

CiscoRu Cisco CiscoRussia

Ждем ваших сообщений с хештегом #CiscoConnectRu

CiscoRu © 2015 Cisco and/or its affiliates. All rights reserved.

Technology

Защита центров обработки данных. Механизмы безопасности для классической фабрики и фабрики ориентированной