Upload
cisco-russia
View
565
Download
2
Embed Size (px)
Citation preview
Архитектура защищенного ЦОД
Назим Латыпаев Системный инженер [email protected]
01.10.15 © 2015 Cisco and/or its affiliates. All rights reserved.
Организационныe моменты
1. Пожалуйста, переведите Ваш смартфон в «тихий режим»
2. Распивать спиртные напитки на презентации и курить кальян запрещено
3. На забывайте свои вещи на презентации
4. Пожалуйста, заполните анкеты
5. Пожалуйста, апплодируйте презентующим, им это нравится :)
01.10.15 © 2015 Cisco and/or its affiliates. All rights reserved.
© 2015 Cisco and/or its affiliates. All rights reserved. Cisco Public BRKSEC-1205
Source: IDC, Nov 2010
Переломный момент
Традиционные Виртуализированные
c
App OS
App OS
App OS
App OS
App OS
App OS
App OS
App OS
App OS
...1 сервер или “Host”
Множество приложений, или “VMs”… Hypervisor
App OS
App OS
App OS 1 приложение…
...1 сервер
App OS
App OS
App OS Переход
Архитектура ЦОД уже изменилась Виртуализация используется повсеместно
8
Какие проблемы характерны при построении защищённого ЦОД?
01.10.15 © 2015 Cisco and/or its affiliates. All rights reserved.
Уменьшение сложности и фрагментированности
решений
Maintain Security and Compliance while the data
center evolves
Борьба с реальными угрозами
95% инцидентов, связанных с обходом МСЭ связаны с ошибками конфигурирования*
Прогнозируется увеличение количества соединений в секунду, обрабатываемых в ЦОД, на 3000% в 2015 году
Больше ста тысяч новых угроз каждый день
* Greg Young, Gartner Inc
Управление, внедрение и сопровождение Масштабируемость
Обнаружение, защита и противодействие
современным угрозам
7%
17%
76%
Inter DC Трафик (DCI)
Восток – Запад Север – Ю
г
ГЛОБАЛЬНЫЙ ТРАФИК В ЦОД
Что вызывает вопросы при использовании виртуализации?
Унифицированные политики безопасности: § Часто применяются к физическому серверу, а не к VM § Как быть с мигрирующими VM? Процессы и управление: § Кто, где, что и как? Как ответить на эти вопросы для VM? § Неудобное управление и сложности с поиском неисправностей. Роли и распределение ответственности: § Кто должен настраивать сеть для виртуальных машин? § Как отвечать требованиям регуляторов и стандартов? Сегментация серверов и приложений на них: § Сегментация самого сервера и VM; § Разделение между доверенными и недоверенными системами.
Политики, Процессы, Операционное управление:
Roles and Responsibilities
Isolation and Segmentation
Management and Monitoring
Hypervisor
Initial Infection
Secondary Infection
11
Просто, Эффективно, Достижимо
Сегментирование • Создание зон: сеть, вычисления, виртуализация • Применение унифицированных политик • Защита от несанкционированного доступа
Противодейстиве
угрозам
• Остановить внешние и внутренние атаки без прерывания сервиса • Патрулирование внутри зоны и на её границах • Контроль доступа и использования информации, предотвращение потерь и утечек данных
Прозрачность
происходящего
• Обеспечение прозрачности происходящих процессов • Соотношение сетевого контекста и бизнес-параметров • Снижение сложности операционного управления и соответствие требованиям регуляторов
Север
Юг
Защита, Обнаружение, Контроль
12
Восток Запад
Режимы работы МСЭ
Routed Mode традиционный режим. Два или больше интерфейсов разделяющих L3 домены Transparent Mode работает как бридж на уровне L2 Multi-context виртуальные МСЭ внутри физического устройства. Mixed mode комбинирование Routed и Transparent контекстов (ASA 9.0+)
13
Рекомендации для режима Transparent
Используются бридж-группы для сегментации трафика, каждая группа имеет 1 BVI BVI (Bridged Virtual Interface) адрес обязателен для управления и для прохождения трафика через МСЭ До 4 интерфейсов можно поместить в бридж-группу (inside, outside, DMZ1, DMZ2) До 250 бридж-групп (9.3) на ASA, раньше ограничение было 8 бридж-групп
14
Что такое направление трафика Север-Юг и Восток-Запад? Поток Север – Юг идут от уровня Доступа в сторону уровня Агрегации и Ядра Поток Восток – Запад остается в виртуальой зоне или перемещаются между зонами, обычно это трафик от сервера к серверу
Web App
Доступ
Агрегации
Ядро
Database
Восток - Запад
Север
- Юг
Virtual Hosts
Virtual Hosts
Virtual Hosts
15
Port Channel
• Лучшие практики: использование Link Aggregation Control Protocol (LACP) где возможно
• LACP позволяет динамически добавлять или убирать (если необходимо) линки в сторону port channel
• До 8 активных линков в ASA 8.4+ и 16 активных линков 9.2(1)+
• Лучшие практики: использование в Nexus DC технологии Virtual Port Channels (vPC)
interface TenGigabitEthernet0/8 ! channel-group 40 mode active! no nameif no security-level !! interface TenGigabitEthernet0/9 ! channel-group 40 mode active ! no nameif no security-level!!!interface Port-channel40 ! nameif inside! ip add 10.1.1.2 255.255.255.0!
LACP между коммутаторами
16
Virtual Port Channel (vPC) и ASA
• Virtual Port Channels (vPC) это port channel где оба линка отправляют пакеты одновременно
• Нет необходимости что-то дополнительно настраивать на ASA
• Работает только с коммутаторами Nexus • VPC Design Guide:
http://www.cisco.com/en/US/prod/collateral/switches/ps9441/ps9670/C07-572830-00_Agg_Dsgn_Config_DG.pdf
Nexus 5K/7Ks
ASA
17
Где располагать МСЭ?
Централизованность это классика МСЭ в ядре, уровне распределения или на периметре Большой вопрос это масштабируемость Ограничивающий фактор количество соединений и производительность Микросегментация? Виртуальная мобильность хостов?
Hosts Hosts Hosts
18
Сеть виртуализации и сервисы безопасности
Управление виртуальными сетевыми политиками
§ Использование профилей портов позволяет сохранить текущие процессы и сделать процесс незаметным; § Создание политик по изоляции и сегментации с помощью VLAN, Private VLAN, Port-based Access Lists, встроенных функций обеспечения безопасности § Прозрачность трафика между виртуальными машинами благодаря поддержке ERSPAN and NetFlow
Виртуальные коммутаторы: Nexus 1000V
Сетевики
Серверная команда
Управление и мониторинг
Роли и зоны ответственности
Изоляция и сегментация
Безопасники
Nexus 1000V
20
Что такое Virtual Security Gateway? VSG – это межсетевой экран второго уровня, в виде виртуальной машины, работающей в «разрыв» между защищаемыми сегментами; Похоже на L2 режим ASA; Инспектирует трафик* между хостами в одном и том же VLAN или подсети; Может использовать атрибуты среды виртуализации Vmware в политиках; Базовое разделение потоков трафика Запад-Восток; Можно использовать множество экземпляров VSG
21
Virtual Hosts
Virtual Hosts
Virtual Hosts
*Требует Nexus 1000V для работы
Cisco® ASAv
Проверенное аппаратное решение безопасности от Cisco теперь в виртуализированной среде
Открытая архитектура Multi-hypervisor
Multi-vswitch
Открытые API
Гибкая модель лицензирования
Cisco ASAv
Функционал ASA
ASAv
Нет кластеризации и мультиконтекстности
• Соответствие функционала физической ASA • Масштабирование через виртуализацию • До 1316 vNIC интерфейсов • Поддержка VXLAN • Программная криптография
• SDN и традиционные методы управления • Масштабируется до 4 vCPUs и 8 GB памяти • Возможность поддерживать 1 политику на физических и виртуальных ASA
Сравнение функционала с обычной ASA
100 Mbps
1 Gbps
2 Gbps
Cisco®
ASAv5
Cisco®
ASAv10
Cisco®
ASAv30
Платформы ASAv
Сравнение виртуальных МСЭ Cisco
ASAv Virtual Security Gateway
Режимы L2 и L3 Режим L2 (прозрачный)
Динамическая и статическая маршрутизация Нет маршрутизации
Поддержка DHCP server и client Нет поддержки DHCP
Поддержка S2S и RA VPN Нет поддержки IPSEC
Управляется CLI, ASDM, CSM, APIC Управляется только PNSC
Полный код ASA, CLI, SSH, REST API*
Минимальная настройка через CLI, SSH
25
Внедрение ASAv : Облачный МСЭ+VPN
26
Сегодня для фильтрации между зонами и тенантами применяется ASA в режиме мульти-контекст Для передачи трафика используются транки Проблема – масштабирование фильтрации Запад-Восток требует ресурсов МСЭ и масштабируемого транспортного решения
Zone 1 Zone 2 Zone 3
VM 1
VM 2
VM 3
VM 4
VFW 1
VM 5
VM 6
VM 7
VM 8
VFW 2 VFW 3
§ ASAv – может быть пограничным МСЭ и может обеспечивать фильтрацию Восток-Запад
§ На каждого тенанта или зону можно развернуть одну или несколько ASAv для FW + VPN
§ Масштабируемая терминация VPN S2S и RA
Vzone 1 Vzone 2
Multi Context Mode ASA
Physical to Virtual Сегментация VRF-VLAN-Virtual
ASAv/VSG
vIPS
ASAv Zone B Zone C
Nexus 7K
ASA
CTX1 CTX2 CTX3
VLANx1 VLANx2
VLANy1 VLANy2
VLANz1 VLANz2
SGT SGT SGT SGT SGT SGT
Segmentation Building Blocks Соединяем физическую и виртуальную инфраструктуры Зоны используются для определения и применения политик Уникальные политики применяются для каждой зоны Физическая инфраструктура привязывается к зоне
§ VRF, Nexus Virtual Device Context, VLAN, SGT
27
МСЭ ASA и фабрика ЦОД
ASA и Nexus Virtual Port Channel § vPC обеспечивает распределение нагрузки по
соединениям (отсутствие заблокированных STP соед.) § ASA использует технологии отказоустойчивости ЦОД § Уникальная интеграция ASA и Nexus (LACP)
IPS модуль полагается на связность от ASA – обеспечивает DPI Проверенный дизайн для сегментации, защиты от угроз и прозрачности операций (visibility) Transparent (рекомендован) и routed режимы Работает в режимах A/S и A/A failover
Уровень агрегации ЦОД
Active vPC Peer-link
vPC vPC
Core IP1
Core IP2
Active or Standby
N7K VPC 41 N7K VPC 40
Nexus 1000V vPath
Hypervisor Nexus 1000V
vPath
Hypervisor
Core Layer
Aggregation Layer
Access Layers
28
Физический сервис для виртуального
Hypervisor Hypervisor Hypervisor Hypervisor
VRF Blue VRF Purple
Firewall Firewall Nexus 7000
Nexus 5500
Nexus 1000V Nexus 1000V
Aggregation
Core
Physical Layout!
Применяем физические устр-ва для изоляции и сегментации виртуальных машин Используем зоны для применения политик Физическая инфраструктура привязывается к зоне
§ Разделяем таблицы маршрутизации по зонам через VRF
§ Политики МСЭ на зоны привязаны к потокам север-юг, восток-запад
§ Проводим L2 и L3 пути через физические сервисы
29
Обзор кластера ASA Кластеризация поддерживается на 5580, 5585 и 5500-X (5500-X кластер из 2-х устройств) CCL – критическое место кластера, без него кластер не работает Среди членов кластера выбирается Master для синхронизации настроек— не влияет на путь пакета Новый термин “spanned port-channel” т.е. Распределенные/общие настройки порта среди членов кластера ASA Кластер может ре-балансировать потоки У каждого потока есть Owner и Director и возможно Forwarder Шина данных кластера ДОЛЖНА использовать cLACP (Spanned Port-Channel)
Cluster Control Link
vPC
Data Plane
Aggregation
Core
ASA Cluster
vPC 40
30
Используем лучшее из доступного…
Physical Hosts
NGIPS
ASA FW
Clustering • Контроль трафика по направлению Север/Юг с помощью ASA 5585
• Масштабируемость и отказоустойчивость с помощью кластеризации
• Инспектирование трафика Север/Юг с помощью NGIPS
• Сегментация и защита виртуальной среды с помощью ASAv и vNGIPS
…с помощью лучшей архитектуры …
32
Virtual Hosts
B
Physical Hosts
NGIPS
SGT
SGT SGT
SGT SGT
SGT SGT
SGT
SGT
SGT
Virtual Hosts
B
Physical Hosts
NGIPS
SGT
SGT SGT
SGT SGT
SGT SGT
SGT
SGT
Кластеризация между двумя активными ЦОД
OTV
… и мы готовы к ЦОД следующего поколения.
33 33
Physical Hosts
NGIPS
ASA FW
Clustering
VIRTUAL ENDPOINT
ACI Fabric
PHYSICAL ENDPOINT
SERVICE NODES
SECURITY NODES
Application Centric Infrastructure - Масштабируемая - Простая - Гибкая - Надёжная - Автоматизированная - Надёжная
Cisco Confidential 34 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
Модель политик безопасности в ACI Application Centric
КОМПОНЕНТЫ ПРИКЛАДНОЙ
ПОЛИТИКИ
Endpoint Group: Набор хостов (VM/серверы) с одинаковой политикой
Contracts: Набор правил, определяющих взаимодействие между группами хостов
Service Chain: Набор сетевых сервисов между группами хостов
OUTSIDE
WEB APP DB CRM APP
ADC F/W ADC
Contract Contract
Cisco Confidential 35 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
ACI + ASA: Хорошая масштабируемость, производительность и прозрачность процессов
Firewall Cluster
APIC
Централизованные политики безопасности и сетевых настроек на контроллере APIC: – Политики ИБ не зависят от инфраструктуры – Предсказуемая загрузка с контролем
имеющихся ресурсов «Безопасность по требованию»: – Автоматическое создание политик
безопасности для приложений на основе доступности МСЭ и наличия свободных ресурсов
– Location independent stitching for Security Policy Enforcement
Распределённые сервисы безопасности с контролем состояния сессий: – Уникальная особенность кластеризации
Cisco ASA
Cisco Confidential 36 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
ACI + ASA: Хорошая масштабируемость, производительность и прозрачность процессов
Firewall Cluster
APIC Прозрачность происходящих в фабрике процессов: – Благодаря поддержке Netflow/NSEL, ASA
великолепно интегрируется с Lancope и похожими решениями
Общая операционная модель с широким использованием API: – Поддержка ASA 5585, ASAv и Firepower 9300
Типовая сервисная цепочка Полная абстракция внутри сервисной цепочки
§ Каждое устройство выполняет только собственные функции и обменивается пакетами с фабрикой в соответствии с инструкциями
§ Различные пути возможны на основании решения (например в зависимости от решения политики МСЭ) или пункта назначения
§ Высокая степень модульности с слабой зависимостью, заменимость устройств ACI обеспечивает симметричность потоков через устройства в сервисной цепочке
SSL Firewall
Policy rules, NAT, Inspection IPS
Analyzer
EPG “Users”
EPG “Web”
EPG “DB”
37
Cisco TrustSec
Сегментация в ЦОД с TrustSec
39
Voice PCI Non-PCI
PCI Tag
NonPCI Tag
LOB1 Tag
LOB2 Tag Data Center Firewall
Enterprise Core
Data Center
Enterprise Campus/Branch
• Существующий дизайн налагает требования к топологии
Access Layer
SGT Обзор
SGT/DGT*
PCI NonPCI
LOB1 LOB2
PCI Permit DENY Permit DENY
NonPCI DENY Permit DENY Permit
LOB1 Permit DENY Permit DENY
LOB2 DENY Permit DENY Permit
LOB1 LOB2 PCI
• Независимо от топологии или места политики (SGT) «остаются» вместе с пользователями, устройствами и серверами
• TrustSec упрощает управление политиками для intra/inter-VLAN трафика
• * SGT sometimes is referred to as “Source Group Tag” as well • * DGT stands for “Destination Group Tag”
Компоненты архитектуры SGT
40
Identity Services Engine
Управление политиками
WLAN LAN Remote Access
(roadmap)
Классификация
Catalyst 3K Catalyst 4K Catalyst 6K
Nexus 7000 Nexus 6000 Nexus 5500
WLC (7.4) 5760
Nexus 1000v Catalyst 2K
Распространение N7K (SXP/Inline) N6K (SXP Speaker/Inline) N5K (SXP Speaker/Inline) N1Kv (SXP Speaker/Inline(beta))
ASR1K (SXP/Inline) ISR G2 (SXP/Inline) ASA (SXP/Inline(beta))
Cat 2K-S (SXP) Cat 3K (SXP) Cat 3K-X (SXP/Inline) Cat 4K Sup7 (SXP/Inline) Cat 6K Sup720 (SXP) Cat 6K Sup2T (SXP/Inline)
Применение
N7K / N6K/N5K/N1KV (SGACL)
Cat6K/4K (SGACL)
Cat3K-X/3850 (SGACL)
ASA (SGFW) ASR1K/ISRG2 (SGFW)
SGT Review
ASR1K/ISRG2 (SGFW)
ASA (SGFW)
Security Group Firewall (SGFW) – ASA в ЦОД
41
Примеры
Campus /Branch Network
Data Center
SXP IP Address SGT
10.1.10.1 Marketing (10)
SGFW
SGACL
• Соображения для дизайна • Целостность классификации/применения между FW и коммутаторами. • Синхронизация имен SGT между ISE и CSM/ASDM • Дополнительные требования к логированию можно перенести на SGFW – URL
logging, etc. • Снижение OpEx – автоматизация правил МСЭ для пользователей и серверов
Enforcement on a firewall
Enforcement on a switch
Security group tags assigned based on attributes (user, location, posture,
access type, device type)
ISE for SGACL Policies
ASDM/CSM Policies
SGT Name Download
SGT 10 = PCI_User SGT 100 = PCI_Svr
SXP
SGT PCI_Svr
• Сегментация серверов в зоны; • Ролевая модель доступа; • Применение политик и для виртуальных, и для физических серверов.
42
Сегментация в ЦОД
Web Servers Middleware Servers
Database Servers Storage
Web Servers R R Q Q Middleware Servers R R R R Database Servers Q R R R Storage Q R R R
Switch
Определим политику:
Web Servers
Middleware Servers
Database Servers
Storage
Blocked
Использование SGACL и SG-FW функционала совместно
43
Risk Level 1
ISE
Risk Level 2
PCI_Web PCI_App PCI_DB
SXP SXP
LOB2_DB
PCI_Users
• SGACL на коммутаторах для применения политики для каждого Risk Level;
• ASA применяет политику доступа между разными Risk Levels (привязки IP/SGT мы получаем от коммутаторов).
Поддержка на платформах
44
Use Cases
Классификация Распространение Применение Catalyst 2960-S/-C/-Plus/-X/-XR Catalyst 3560-E/-C/-X Catalyst 3750-E/-X
Catalyst 4500E (Sup6E/7L-E) Catalyst 4500E (Sup8E) Catalyst 6500E (Sup720/2T), 6880X
Catalyst 3850, 3650 WLC 5760
Wireless LAN Controller 2500/5500/WiSM2
Nexus 7000
Nexus 5500
Nexus 1000v (Port Profile)
ISR G2 Router, CGR2000
Catalyst 2960-S/-C/-Plus/-X/-XR Catalyst 3560-E/-C/, 3750-E Catalyst 3560-X, 3750-X Catalyst 3650, 3850 Catalyst 4500E (Sup6E) Catalyst 4500E (Sup 7E)***, 4500X Catalyst 4500 (Sup8E)*** Catalyst 6500E (Sup720) Catalyst 6500E (Sup 2T)**** / 6880X WLC 2500, 5500, WiSM2** WLC 5760 Nexus 1000v Nexus 5500/22xx FEX** Nexus 7000/22xx FEX ISRG2, CGR2000 ASR1000 ASA5500(X) Firewall, ASASM
SXP
SXP
IE2000/3000, CGS2000
ASA5500X, ASAv (VPN RAS)
SXP SGT
SXP
SXP SGT
SXP
SXP SGT
SXP
SGT
SXP
SXP SGT
SXP SGT
SXP SGT
SXP SGT
SGT Beta
SGT Beta
GETVPN
GETVPN
• All ISRG2 Inline SGT (except C800): Today • ISRG2/ASR1K: DMVPN, FlexVPN: Q3CY14
Catalyst 3560-X Catalyst 3750-X
Catalyst 4500E (Sup7E) Catalyst 4500E (Sup8E) Catalyst 6500E (Sup2T) / 6880X
Catalyst 3850, 3650 WLC 5760
Nexus 7000
Nexus 5500/5600
Nexus 1000v
ISR G2 Router, CGR2000
ASA 5500/5500X Firewal ASAvl
Beta
SGFW
SGFW
SGFW ASR 1000 Router
SXP
SGT
SGACL
SGACL
SGACL
SGACL
SGACL
SGACL
Nexus 6000
Q3CY14
** WLC 2500, 5500, WiSM2, Nexus 5K only supports SXP Speaker role *** 4500E (Sup7E/8E) requires 47XX Line cards for Inline SGT **** 6500 (Sup2T) requires 69xx Line cards for Inline SGT
SGT
Q3CY14
SXP SGT
SXP SGT
SXP Q3CY14
IPSec
IPSec
Advanced сценарии
Inter Data Center (DC) Clustering
Clustering assumes rather than requires data interface adjacency at Layer 2 Geographically separated clusters supported in ASA 9.1(4)+
§ “Dark Media” CCL with up to 10ms of one-way latency § No tolerance for packet re-ordering or loss § Routed firewall in Individual interface mode only
ASA 9.2(1) extends inter-DC clustering support to Spanned Etherchannel mode § Transparent firewall only § Routed firewall support presents design challenges
46
Split or Single Individual Mode Cluster in Inter DC
Site B Site A
Data
CCL
CCL is fully extended between DCs at L2 with <10ms of latency
ASA Cluster
CCL
Data
CCL CCL
Transit connections are not contained to local site when
extending data VLANs vPC 1 vPC 2
ASA 9.1(4)
Local vPC/VSS pairs at each site
Local vPC/VSS pairs at each site
Data interfaces connect to local switch pair only
Data VLANs should not extend with a split cluster to
localize traffic to site
47
Extended Spanned Etherchannel Cluster in Inter DC
Site B Site A
Data CCL Data CCL
vPC Peer Link
vPC logical switch pair is stretched across sites
CCL is fully extended between DCs at L2 with <10ms of latency
ASA Cluster
All data interfaces bundle into a single Spanned Etherchannel
Each cluster member can single- or dual-connect to the VSS/vPC pair for CCL
and Data
Transit connections are not contained to the local site
ASA 9.2(1)
48
Split Spanned Etherchannel Cluster in Inter DC
Site B Site A
Data CCL
CCL is fully extended between DCs at L2 with <10ms of latency
ASA Cluster
CCL Data CCL CCL
Data VLANs are typically not extended; filters on inter-site connection are needed to prevent loops
and address conflicts
vPC 1 vPC 2
Local vPC/VSS pairs at each site
Local vPC/VSS pairs at each site
Single Spanned Etherchannel for Data
on cluster side
ASA 9.2(1)
Local Data Etherchannels on each VPC/VSS
switch pair
Local Data Etherchannels on
each vPC/VSS switch pair
49
East-West Inter DC Clustering
ASA 9.3(2) Site A Site B
1. CCL is fully extended between DCs at Layer 2 with <10ms of latency
OTV
OTV DB
App
FHRP FHRP 3. Each segment uses a local first-hop router with same virtual MAC and IP
addresses across all sites
2. Protected data VLANs are fully extended at Layer 2
between sites
4. OTV prevents overlapping virtual IP and MAC addresses of the first-hop routers from
leaking between sites
5. ASA cluster in transparent mode inserts between the
endpoints and first-hop router on each segment
6. If all local cluster members or first-hop routers fail at a
given site, OTV filter must be removed manually to fail over
to another site
50
Future East-West Inter DC Scenario
ASA 9.5(1) Site A Site B
OTV
OTV DB
App
1. ASA cluster in routed mode inserts as first hop router between all internal
segments and external links
2. Each segment uses cluster virtual MAC and IP addresses across all sites; OTV/VACL perform filtering
MAC A MAC A
outside outside
3. Connections establish locally at each site
4. VM live-migrates to a different site
5. New connections establish locally through new site
6. Traffic for existing connections traverses the original owner and
uses extended data subnet
7. PROBLEM: Access switch at new site sees MAC A flapping between local and OTV ports
SOLUTION: Per-site MAC addresses in ASA 9.5(1)
51
Per-Site MAC Addresses
Routed Spanned Etherchannel cluster uses different MAC addresses in 9.5(1) § Global interface MAC address is used to receive and source frames by default § Per-site MAC addresses are optionally used to source frames on extended segments
Dynamic routing is centralized, so it does not work with split outside networks Global MAC address localization is required through OTV or similar mechanism
asa(config)# cluster group DC-ASA asa(cfg-cluster)# site-id 2 asa(cfg-cluster)# interface Port-Channel1.1000 asa(config-if)# mac-address 0001.aaaa.0001 site-id 1 asa(config-if)# mac-address 0001.aaaa.0002 site-id 2 asa(config-if)# mac-address 0001.aaaa.aaaa
Site-specific MAC address is used to forward data frames and source ARP
Global MAC address is used across all sites to receive traffic as default gateway
52
Заключение
Архитектура Cisco SAFE для ЦОД
© 2015 Cisco and/or its affiliates. All rights reserved. Cisco Public BRKSEC-1205
© 2015 Cisco and/or its affiliates. All rights reserved. Cisco Public BRKSEC-1205
Комплексная защита от угроз для всего жизненного цикла атаки
Защита в момент времени Непрерывная защита
Сеть Терминал Мобильное устройство Виртуальная машина Облако
Исследование Внедрение политик
Укрепление
Обнаружение Блокирование
Защита
Локализация Изолирование Восстановление
Жизненный цикл атаки
ДО АТАКИ ВО ВРЕМЯ АТАКИ
ПОСЛЕ АТАКИ
Изоляция систем через микросегментацию Политики для каждого приложения, каждой VM, каждого vNIC
Tenant B VSD
Web App
Web DB
Nexus 1000V
VSD
ASAv and vIPS
Nexus 1000V
Web Tier App Tier Контроль входящего/исходящего &
меж-VM трафика vFirewall, ACL, PVLAN
Обнаружение угроз и анализ трафика
vIPS, Netflow, SPAN/ERSPAN
Прозрачное применение политик Port Profiles
Распределение зон ответственности
Server • Network • Security
Tenant A
ASAv and vIPS
58
VSG
Заключение
Виртуализированные сетевые сервисы: § Контроль исполнения политик; § Прозрачность происходящих процессов; § Упрощение взаимодействия разных департаментов.
Унифицированная политика безопасности; Противодействие как внешним, так и внутренним угрозам; ACI
§ Автоматическое подключение сервисов безопасности когда это требуется.
Защита, Обнаружение, Контроль
59
Ждем ваших сообщений с хештегом #CiscoConnectKZ
© 2015 Cisco and/or its affiliates. All rights reserved.
Спасибо Пожалуйста, заполните анкеты. Ваше мнение очень важно для нас. Контакты: Назим Латыпаев +7-727-2442120 [email protected]
Дополнительные слайды
Non-Stop Forwarding (NSF) aka Graceful Restart
Traditionally when a network device restarts, all routing peers associated with that device will remove the routes from that peer and update their routing table At scale this could create an unstable routing environment across multiple routing domains which is detrimental to overall network performance Modern dual processor systems solve this problem by restarting the control plane on one processor while continuing to forward traffic on the other For devices that support NSF, route removal and insertion caused by restarts is no longer necessary thus adding network stability Uses protcol extensions to allow network device a grace period in which traffic will continue to be forwarded via existing routes
62
Non-Stop Forwarding (NSF) on ASA (9.3)+
Pre 9.3: Routing Information Base is replicated in A/S failover and Spanned Etherchannel clustering
§ Active unit or master establish dynamic routing adjacencies and keep standby and slaves up-to-date
§ When the active unit or master fails, the failover pair or cluster continue traffic forwarding based on RIB
§ New active unit or master re-establish the dynamic routing adjacencies and update the RIB § Adjacent routers flush routes upon adjacency re-establishment and cause momentary traffic
black holing 9.3 and after: Non Stop Forwarding (NSF) / Graceful Restart (GR)
§ Cisco or IETF compatible for OSPFv2, OSPF3; RFC 4724 for BGPv4 § ASA notifies compatible peer routers after a switchover in failover or Spanned Etherchannel
clustering § ASA acts as a helper to support a graceful or unexpected restart of a peer router in all
modes
63
N7k1-‐VDC-‐2 Aggrega0on
vrf1 vrf2
L2 FW: Inter VDC Insertion Transparent (L2) firewall services are “sandwiched” between Nexus Virtual Device Contexts (VDC) Allows for other services (IPS, LB, etc) to be layered in as needed ASAs can be virtualized to for 1x1 mapping to VRFs Useful for topologies that require a FW between aggregation and core Firewalls could be L2 or L3
N7k1-‐VDC-‐1 Core
vrf1 vrf2
64
Атрибуты среды виртуализации, используемые VSG
Название Значение Источник
vm.name Имя VM vCenter
vm.host-name Имя данного ESX-host vCenter
vm.os-fullname Название гостевой OS vCenter
vm.vapp-name Название ассоциированного vApp vCenter
vm.cluster-name Имя кластера vCenter
vm.portprofile-name Используемый port-profile Port-profile
Атрибуты собираются автоматически, для последующего использования в политиках
Security Policy Profile § Задаётся/управляется в VNMC / Prime Network Services Controller NSC § Привязаны к Cisco Nexus 1000V VSM port-profile
vCenter VM Attributes
65
Network Admin Security Admin
Процесс применения политик
Избегаем операционных ошибок на границах зон ответственности; Безопасники создают политики безопасности; Сетевики привязывают профиль порта к сервисному профилю VSG; Серверная команда назначает профиль порта виртуальной машине.
Сервер, Сеть, Безопасность
Server Admin
vCenter Nexus 1KV Prime NSC
Port Group Port Profile Security Profile
66
Физическое устройство
Виртуальное устройство
Nexus® 1000V Third-Party Switch vSwitch
VMware
Полный набор возможностей ASA
Унифицированное гибкое лицензирование
API BASED
APIC
KVM Hyper-V Xen
Third-Party CMP CSM PNSC ASDM CLI
Единая платформа – разные формы
Постоянный контракт
Service Provider
Pay Per Use (кол-во часов х кол-во ядер)
Постоплата
1 Year
Enterprise
Обычный платёж
Предоплата
3 Year 5 Year
ASAv Три модели применения политик
Маршрутизируемый • Маршрутизирует трафик между vNIC • Имеет таблицы ARP и маршрутов • МСЭ границы зоны
Прозрачный • VLAN или VxLAN Bridging / Stitching • Имеет таблицу MAC-адресов • Не влияет на сетевую топологию
Коммутация сервисных меток EPG
• Инспектирование между EPG • Незаметна для сети • Режим интеграции в сетевую фабрику
69
Маршрутизирующий МСЭ
Сценарий границы зоны виртуализации; First-hop gateway для виртуальных машин; Хорошо масштабируется; Маршрутизация между множеством подсетей; Традиционная схема сегментации во многих сетях;
ASAv
Routed
client
Gateway
Outside
Inside
host1
host2
Shared
DMZ
70
Прозрачный МСЭ
• Коммутация до 4 (суб)интерфейсов; • До 8 BVI на экземпляр ASAv; • Доступны NAT и ACL; • Внедрение PCI compliance без прерывания сервиса;
• Традиционная схема сегментации во многих ЦОД;
• Все сегменты в одном broadcast-домене.
ASAv Transp
Gateway
client
Segment-1
Segment-3
host1
host2
Segment-2
Segment-4
71
New TCP Connection
ASA Cluster inside outside
Flow Owner
Flow Forwarder
Flow Director Client Server
5. Deliver TCP SYN ACK to Client
1. Attempt new connection with
TCP SYN
6. Update Director
2. Become Owner, add TCP SYN Cookie and deliver to Server
3. Respond with TCP SYN ACK through another unit
4. Redirect to Owner based on
TCP SYN Cookie, become Forwarder
72
New UDP-Like Connection
ASA Cluster inside outside Flow Owner
Flow Forwarder
Flow Director Client Server
10. Deliver response to Client
1. Attempt new UDP or another pseudo-stateful connection
2. Query Director
4. Become Owner, deliver to Server
6. Respond through another unit
9. Redirect to Owner, become
Forwarder 7. Query Director
3. Not found
8. Return Owner
5. Update Director
73
Owner Failure
ASA Cluster inside outside Flow Owner
Flow Owner
Flow Director Client Server
1. Connection is established through the cluster
3. Next packet load-balanced to another member
4. Query Director
6. Become Owner, deliver to Server
2. Owner fails
5. Assign Owner
7. Update Director
74
North-South Inter DC Clustering
Inside A Inside B
Site A Site B
1. CCL is fully extended between DCs at Layer 2 with
<10ms of latency
2. EIGRP/OSPF peering through local
cluster members
3. EIGRP/OSPF peering
3. EIGRP/OSPF peering
4. Default route advertised inbound
through local members
5. Inside routes advertised outbound
through local members
6. Default routes from opposite sites exchanged (higher metric)
7. Inside routes from opposite sites exchanged (higher metric)
8. Connections normally pass through local cluster members
(lower metric)
9. On local cluster failure, connections traverse remote site
ASA 9.1(4)
75
Example: N-S Split Individual Mode Cluster
A pair of standalone (non-vPC) Nexus switches at each site § One Individual mode cluster unit per switch, single attached § Routed firewall-on-a-stick VRF sandwich with OSPF
Inside VLAN is fully extended between sites with OTV § Each pair of switches uses localized GLBP as first hop router § GLBP traffic is blocked between sites § OSPF allows re-routing in case of local cluster unit failure
Traffic symmetry is achievable without NAT § Outbound connections use the directly attached cluster member § Inbound traffic requires LISP to eliminate tromboning due to ECMP
Site B Site A
CCL
Outside
GLBP GLBP OTV
Inside
OSPF
OSPF
76
.5 .4
N-S Split Individual Cluster Sample Configuration
.13 .12 .11
.2
.10
Site B Site A
CCL 10.0.0.0/24
Outside
VLAN 100 172.16.1.0/24
VLAN 10 192.168.1.0/24
.1 .3 .4 .5
.1 .2 .3
.11 .12 .13
.10 VLAN 20
192.168.2.0/24
interface Ethernet3/1 channel-group 1 mode active interface Ethernet3/2 channel-group 1 mode active interface Port-Channel1 switchport trunk allowed vlans 10,20
ip local pool OUTSIDE 192.168.2.2- 192.168.2.17 interface Port-Channel10.20 vlan 20 nameif FW-outside ip address 192.168.2.1 255.255.255.0 cluster-pool OUTSIDE
ip local pool OUTSIDE 192.168.1.2- 192.168.1.17 interface Port-Channel10.10 vlan 10 nameif FW-inside ip address 192.168.1.1 255.255.255.0 cluster-pool INSIDE interface Vlan10
vrf member INSIDE ip address 192.168.1.13/24 ip router ospf 2 area 0.0.0.0 interface Vlan100 vrf member INSIDE ip router ospf 2 area 0.0.0.0
interface Vlan20 vrf member OUTSIDE ip address 192.168.2.13/24 ip router ospf 1 area 0.0.0.0
router ospf 1 network 0.0.0.0 0.0.0.0 area 0.0.0.0
.1 .1
mac-list GLBP_FILTER seq 10 deny 0007.b400.0000 ffff.ffff.0000 mac-list GLBP_FILTER seq 20 permit 0000.0000.0000 0000.0000.0000 otv-isis default vpn Overlay1 redistribute filter route-map GLBP_FILTER
ip access-list NON_GLBP 10 deny udp any 224.0.0.102/32 eq 3222 20 permit ip any any vlan access-map FILTER 10 match ip address NON_GLBP action forward vlan filter FILTER vlan-list 100
GLBP .1 .1 GLBP
OTV .10 .11 .12 .13
OTV MAC Filter for GLBP
GLBP VLAN Filter
77
A vPC pair of Nexus switches at each site § Split Spanned Etherchannel cluster in transparent mode to separate internal segments § Separate Etherchannel to local cluster members per vPC pair § Acceptable impact from passing ASA twice between segments
Internal VLANs are fully extended between sites with OTV § Each site uses localized HSRP as first hop router § HSRP traffic is blocked between sites § Full Layer 2 reachability from each router to remote site § OTV filters must be manually removed on full upstream path failure
Must implement LISP to avoid excessive flow redirection
Example: E-W Split Spanned Etherchannel Cluster
Site B Site A
CCL
vPC vPC
vPC vPC
Application OTV
Database
HSRP HSRP
78
E-W Split Spanned Cluster Sample Configuration Site B Site A
CCL 10.0.0.0/24
interface Port-Channel10 port-channel span-cluster interface Port-Channel10.100 vlan 100 nameif DB-inside bridge-group 1 interface Port-Channel10.101 vlan 101 nameif DB-outside bridge-group 1 interface Port-Channel10.200 vlan 200 nameif App-inside bridge-group 2 interface Port-Channel10.201 vlan 201 nameif App-outside bridge-group 2 interface BVI1 ip address 192.168.1.4 255.255.255.0 interface BVI2 ip address 192.168.2.4 255.255.255.0
vPC vPC
vPC vPC
VLAN 200 192.168.2.0/24
mac-list HSRP_FILTER seq 10 deny 0000.0c07.ac00 ffff.ffff.ff00 mac-list HSRP_FILTER seq 20 deny 0000.0c9f.f000 ffff.ffff.ff00 mac-list HSRP_FILTER seq 30 permit 0000.0000.0000 0000.0000.0000 otv-isis default vpn Overlay1 redistribute filter route-map HSRP_FILTER ! ip access-list HSRP_TRAFFIC 10 permit udp any 224.0.0.2/32 eq 1985 20 permit udp any 224.0.0.102/32 eq 1985 ip access-list ALL 10 permit ip any any vlan access-map HSRP_FILTER 10 match ip address HSRP_TRAFFIC action drop vlan access-map HSRP_FILTER 20 match ip address ALL action forward vlan filter FILTER vlan-list 100, 200
interface Vlan101 ip address 192.168.1.2/24 hsrp 10 preempt ip 192.168.1.1 interface Vlan201 ip address 192.168.2.2/24 hsrp 20 preempt ip 192.168.2.1
OTV VLAN 100 192.168.1.0/24
HSRP.1 HSRP.1
VLAN 100↔101 VLAN 200↔201
interface Vlan101 ip address 192.168.1.3/24 hsrp 10 ip 192.168.1.1 interface Vlan201 ip address 192.168.2.3/24 hsrp 20 ip 192.168.2.1
79
79