Архитектура защищенного ЦОД

Архитектура защищенного ЦОД

Назим Латыпаев Системный инженер [email protected]

01.10.15 © 2015 Cisco and/or its affiliates. All rights reserved.

Организационныe моменты

1.  Пожалуйста, переведите Ваш смартфон в «тихий режим»

2.  Распивать спиртные напитки на презентации и курить кальян запрещено

3.  На забывайте свои вещи на презентации

4.  Пожалуйста, заполните анкеты

5.  Пожалуйста, апплодируйте презентующим, им это нравится :)


© 2015 Cisco and/or its affiliates. All rights reserved. Cisco Public BRKSEC-1205

Source: IDC, Nov 2010

Переломный момент

Традиционные Виртуализированные

c

App OS

App OS

App OS

App OS

App OS

App OS

App OS

App OS

App OS

...1 сервер или “Host”

Множество приложений, или “VMs”… Hypervisor

App OS

App OS

App OS 1 приложение…

...1 сервер

App OS

App OS

App OS Переход

Архитектура ЦОД уже изменилась Виртуализация используется повсеместно

8

Какие проблемы характерны при построении защищённого ЦОД?


Уменьшение сложности и фрагментированности

решений

Maintain Security and Compliance while the data

center evolves

Борьба с реальными угрозами

95% инцидентов, связанных с обходом МСЭ связаны с ошибками конфигурирования*

Прогнозируется увеличение количества соединений в секунду, обрабатываемых в ЦОД, на 3000% в 2015 году

Больше ста тысяч новых угроз каждый день

* Greg Young, Gartner Inc

Управление, внедрение и сопровождение Масштабируемость

Обнаружение, защита и противодействие

современным угрозам

7%

17%

76%

Inter DC Трафик (DCI)

Восток – Запад Север – Ю

г

ГЛОБАЛЬНЫЙ ТРАФИК В ЦОД

Что вызывает вопросы при использовании виртуализации?

Унифицированные политики безопасности: §  Часто применяются к физическому серверу, а не к VM §  Как быть с мигрирующими VM? Процессы и управление: §  Кто, где, что и как? Как ответить на эти вопросы для VM? §  Неудобное управление и сложности с поиском неисправностей. Роли и распределение ответственности: §  Кто должен настраивать сеть для виртуальных машин? §  Как отвечать требованиям регуляторов и стандартов? Сегментация серверов и приложений на них: §  Сегментация самого сервера и VM; §  Разделение между доверенными и недоверенными системами.

Политики, Процессы, Операционное управление:

Roles and Responsibilities

Isolation and Segmentation

Management and Monitoring

Hypervisor

Initial Infection

Secondary Infection

11

Просто, Эффективно, Достижимо

Сегментирование •  Создание зон: сеть, вычисления, виртуализация •  Применение унифицированных политик •  Защита от несанкционированного доступа

Противодейстиве

угрозам

•  Остановить внешние и внутренние атаки без прерывания сервиса •  Патрулирование внутри зоны и на её границах •  Контроль доступа и использования информации, предотвращение потерь и утечек данных

Прозрачность

происходящего

•  Обеспечение прозрачности происходящих процессов •  Соотношение сетевого контекста и бизнес-параметров •  Снижение сложности операционного управления и соответствие требованиям регуляторов

Север

Юг

Защита, Обнаружение, Контроль

12

Восток Запад

Режимы работы МСЭ

Routed Mode традиционный режим. Два или больше интерфейсов разделяющих L3 домены Transparent Mode работает как бридж на уровне L2 Multi-context виртуальные МСЭ внутри физического устройства. Mixed mode комбинирование Routed и Transparent контекстов (ASA 9.0+)

13

Рекомендации для режима Transparent

Используются бридж-группы для сегментации трафика, каждая группа имеет 1 BVI BVI (Bridged Virtual Interface) адрес обязателен для управления и для прохождения трафика через МСЭ До 4 интерфейсов можно поместить в бридж-группу (inside, outside, DMZ1, DMZ2) До 250 бридж-групп (9.3) на ASA, раньше ограничение было 8 бридж-групп

14

Что такое направление трафика Север-Юг и Восток-Запад? Поток Север – Юг идут от уровня Доступа в сторону уровня Агрегации и Ядра Поток Восток – Запад остается в виртуальой зоне или перемещаются между зонами, обычно это трафик от сервера к серверу

Web App

Доступ

Агрегации

Ядро

Database

Восток - Запад

Север

- Юг

Virtual Hosts

Virtual Hosts

Virtual Hosts

15

Port Channel

•  Лучшие практики: использование Link Aggregation Control Protocol (LACP) где возможно

•  LACP позволяет динамически добавлять или убирать (если необходимо) линки в сторону port channel

•  До 8 активных линков в ASA 8.4+ и 16 активных линков 9.2(1)+

•  Лучшие практики: использование в Nexus DC технологии Virtual Port Channels (vPC)

interface TenGigabitEthernet0/8 ! channel-group 40 mode active! no nameif no security-level !! interface TenGigabitEthernet0/9 ! channel-group 40 mode active ! no nameif no security-level!!!interface Port-channel40 ! nameif inside! ip add 10.1.1.2 255.255.255.0!

LACP между коммутаторами

16

Virtual Port Channel (vPC) и ASA

•  Virtual Port Channels (vPC) это port channel где оба линка отправляют пакеты одновременно

•  Нет необходимости что-то дополнительно настраивать на ASA

•  Работает только с коммутаторами Nexus •  VPC Design Guide:

http://www.cisco.com/en/US/prod/collateral/switches/ps9441/ps9670/C07-572830-00_Agg_Dsgn_Config_DG.pdf

Nexus 5K/7Ks

ASA

17

Где располагать МСЭ?

Централизованность это классика МСЭ в ядре, уровне распределения или на периметре Большой вопрос это масштабируемость Ограничивающий фактор количество соединений и производительность Микросегментация? Виртуальная мобильность хостов?

Hosts Hosts Hosts

18

Сеть виртуализации и сервисы безопасности

Управление виртуальными сетевыми политиками

§ Использование профилей портов позволяет сохранить текущие процессы и сделать процесс незаметным; § Создание политик по изоляции и сегментации с помощью VLAN, Private VLAN, Port-based Access Lists, встроенных функций обеспечения безопасности § Прозрачность трафика между виртуальными машинами благодаря поддержке ERSPAN and NetFlow

Виртуальные коммутаторы: Nexus 1000V

Сетевики

Серверная команда

Управление и мониторинг

Роли и зоны ответственности

Изоляция и сегментация

Безопасники

Nexus 1000V

20

Что такое Virtual Security Gateway? VSG – это межсетевой экран второго уровня, в виде виртуальной машины, работающей в «разрыв» между защищаемыми сегментами; Похоже на L2 режим ASA; Инспектирует трафик* между хостами в одном и том же VLAN или подсети; Может использовать атрибуты среды виртуализации Vmware в политиках; Базовое разделение потоков трафика Запад-Восток; Можно использовать множество экземпляров VSG

21

Virtual Hosts

Virtual Hosts

Virtual Hosts

*Требует Nexus 1000V для работы

Cisco® ASAv

Проверенное аппаратное решение безопасности от Cisco теперь в виртуализированной среде

Открытая архитектура Multi-hypervisor

Multi-vswitch

Открытые API

Гибкая модель лицензирования

Cisco ASAv

Функционал ASA

ASAv

Нет кластеризации и мультиконтекстности

•  Соответствие функционала физической ASA •  Масштабирование через виртуализацию •  До 1316 vNIC интерфейсов •  Поддержка VXLAN •  Программная криптография

•  SDN и традиционные методы управления •  Масштабируется до 4 vCPUs и 8 GB памяти •  Возможность поддерживать 1 политику на физических и виртуальных ASA

Сравнение функционала с обычной ASA

100 Mbps

1 Gbps

2 Gbps

Cisco®

ASAv5

Cisco®

ASAv10

Cisco®

ASAv30

Платформы ASAv

Сравнение виртуальных МСЭ Cisco

ASAv Virtual Security Gateway

Режимы L2 и L3 Режим L2 (прозрачный)

Динамическая и статическая маршрутизация Нет маршрутизации

Поддержка DHCP server и client Нет поддержки DHCP

Поддержка S2S и RA VPN Нет поддержки IPSEC

Управляется CLI, ASDM, CSM, APIC Управляется только PNSC

Полный код ASA, CLI, SSH, REST API*

Минимальная настройка через CLI, SSH

25

Внедрение ASAv : Облачный МСЭ+VPN

26

Сегодня для фильтрации между зонами и тенантами применяется ASA в режиме мульти-контекст Для передачи трафика используются транки Проблема – масштабирование фильтрации Запад-Восток требует ресурсов МСЭ и масштабируемого транспортного решения

Zone 1 Zone 2 Zone 3

VM 1

VM 2

VM 3

VM 4

VFW 1

VM 5

VM 6

VM 7

VM 8

VFW 2 VFW 3

§  ASAv – может быть пограничным МСЭ и может обеспечивать фильтрацию Восток-Запад

§ На каждого тенанта или зону можно развернуть одну или несколько ASAv для FW + VPN

§ Масштабируемая терминация VPN S2S и RA

Vzone 1 Vzone 2

Multi Context Mode ASA

Physical to Virtual Сегментация VRF-VLAN-Virtual

ASAv/VSG

vIPS

ASAv Zone B Zone C

Nexus 7K

ASA

CTX1 CTX2 CTX3

VLANx1 VLANx2

VLANy1 VLANy2

VLANz1 VLANz2

SGT SGT SGT SGT SGT SGT

Segmentation Building Blocks Соединяем физическую и виртуальную инфраструктуры Зоны используются для определения и применения политик Уникальные политики применяются для каждой зоны Физическая инфраструктура привязывается к зоне

§  VRF, Nexus Virtual Device Context, VLAN, SGT

27

МСЭ ASA и фабрика ЦОД

ASA и Nexus Virtual Port Channel §  vPC обеспечивает распределение нагрузки по

соединениям (отсутствие заблокированных STP соед.) §  ASA использует технологии отказоустойчивости ЦОД §  Уникальная интеграция ASA и Nexus (LACP)

IPS модуль полагается на связность от ASA – обеспечивает DPI Проверенный дизайн для сегментации, защиты от угроз и прозрачности операций (visibility) Transparent (рекомендован) и routed режимы Работает в режимах A/S и A/A failover

Уровень агрегации ЦОД

Active vPC Peer-link

vPC vPC

Core IP1

Core IP2

Active or Standby

N7K VPC 41 N7K VPC 40

Nexus 1000V vPath

Hypervisor Nexus 1000V

vPath

Hypervisor

Core Layer

Aggregation Layer

Access Layers

28

Физический сервис для виртуального

Hypervisor Hypervisor Hypervisor Hypervisor

VRF Blue VRF Purple

Firewall Firewall Nexus 7000

Nexus 5500

Nexus 1000V Nexus 1000V

Aggregation

Core

Physical Layout!

Применяем физические устр-ва для изоляции и сегментации виртуальных машин Используем зоны для применения политик Физическая инфраструктура привязывается к зоне

§  Разделяем таблицы маршрутизации по зонам через VRF

§  Политики МСЭ на зоны привязаны к потокам север-юг, восток-запад

§  Проводим L2 и L3 пути через физические сервисы

29

Обзор кластера ASA Кластеризация поддерживается на 5580, 5585 и 5500-X (5500-X кластер из 2-х устройств) CCL – критическое место кластера, без него кластер не работает Среди членов кластера выбирается Master для синхронизации настроек— не влияет на путь пакета Новый термин “spanned port-channel” т.е. Распределенные/общие настройки порта среди членов кластера ASA Кластер может ре-балансировать потоки У каждого потока есть Owner и Director и возможно Forwarder Шина данных кластера ДОЛЖНА использовать cLACP (Spanned Port-Channel)

Cluster Control Link

vPC

Data Plane

Aggregation

Core

ASA Cluster

vPC 40

30

Используем лучшее из доступного…

Physical Hosts

NGIPS

ASA FW

Clustering •  Контроль трафика по направлению Север/Юг с помощью ASA 5585

•  Масштабируемость и отказоустойчивость с помощью кластеризации

•  Инспектирование трафика Север/Юг с помощью NGIPS

•  Сегментация и защита виртуальной среды с помощью ASAv и vNGIPS

…с помощью лучшей архитектуры …

32

Virtual Hosts

B

Physical Hosts

NGIPS

SGT

SGT SGT

SGT SGT

SGT SGT

SGT

SGT

SGT

Virtual Hosts

B

Physical Hosts

NGIPS

SGT

SGT SGT

SGT SGT

SGT SGT

SGT

SGT

Кластеризация между двумя активными ЦОД

OTV

… и мы готовы к ЦОД следующего поколения.

33 33

Physical Hosts

NGIPS

ASA FW

Clustering

VIRTUAL ENDPOINT

ACI Fabric

PHYSICAL ENDPOINT

SERVICE NODES

SECURITY NODES

Application Centric Infrastructure -  Масштабируемая -  Простая -  Гибкая -  Надёжная -  Автоматизированная -  Надёжная

Cisco Confidential 34 © 2013-2014 Cisco and/or its affiliates. All rights reserved.

Модель политик безопасности в ACI Application Centric

КОМПОНЕНТЫ ПРИКЛАДНОЙ

ПОЛИТИКИ

Endpoint Group: Набор хостов (VM/серверы) с одинаковой политикой

Contracts: Набор правил, определяющих взаимодействие между группами хостов

Service Chain: Набор сетевых сервисов между группами хостов

OUTSIDE

WEB APP DB CRM APP

ADC F/W ADC

Contract Contract


ACI + ASA: Хорошая масштабируемость, производительность и прозрачность процессов

Firewall Cluster

APIC

Централизованные политики безопасности и сетевых настроек на контроллере APIC: –  Политики ИБ не зависят от инфраструктуры –  Предсказуемая загрузка с контролем

имеющихся ресурсов «Безопасность по требованию»: –  Автоматическое создание политик

безопасности для приложений на основе доступности МСЭ и наличия свободных ресурсов

–  Location independent stitching for Security Policy Enforcement

Распределённые сервисы безопасности с контролем состояния сессий: –  Уникальная особенность кластеризации

Cisco ASA


ACI + ASA: Хорошая масштабируемость, производительность и прозрачность процессов

Firewall Cluster

APIC Прозрачность происходящих в фабрике процессов: –  Благодаря поддержке Netflow/NSEL, ASA

великолепно интегрируется с Lancope и похожими решениями

Общая операционная модель с широким использованием API: –  Поддержка ASA 5585, ASAv и Firepower 9300

Типовая сервисная цепочка Полная абстракция внутри сервисной цепочки

§  Каждое устройство выполняет только собственные функции и обменивается пакетами с фабрикой в соответствии с инструкциями

§  Различные пути возможны на основании решения (например в зависимости от решения политики МСЭ) или пункта назначения

§  Высокая степень модульности с слабой зависимостью, заменимость устройств ACI обеспечивает симметричность потоков через устройства в сервисной цепочке

SSL Firewall

Policy rules, NAT, Inspection IPS

Analyzer

EPG “Users”

EPG “Web”

EPG “DB”

37

Cisco TrustSec

Сегментация в ЦОД с TrustSec

39

Voice PCI Non-PCI

PCI Tag

NonPCI Tag

LOB1 Tag

LOB2 Tag Data Center Firewall

Enterprise Core

Data Center

Enterprise Campus/Branch

•  Существующий дизайн налагает требования к топологии

Access Layer

SGT Обзор

SGT/DGT*

PCI NonPCI

LOB1 LOB2

PCI Permit DENY Permit DENY

NonPCI DENY Permit DENY Permit

LOB1 Permit DENY Permit DENY

LOB2 DENY Permit DENY Permit

LOB1 LOB2 PCI

•  Независимо от топологии или места политики (SGT) «остаются» вместе с пользователями, устройствами и серверами

•  TrustSec упрощает управление политиками для intra/inter-VLAN трафика

•  * SGT sometimes is referred to as “Source Group Tag” as well •  * DGT stands for “Destination Group Tag”

Компоненты архитектуры SGT

40

Identity Services Engine

Управление политиками

WLAN LAN Remote Access

(roadmap)

Классификация

Catalyst 3K Catalyst 4K Catalyst 6K

Nexus 7000 Nexus 6000 Nexus 5500

WLC (7.4) 5760

Nexus 1000v Catalyst 2K

Распространение N7K (SXP/Inline) N6K (SXP Speaker/Inline) N5K (SXP Speaker/Inline) N1Kv (SXP Speaker/Inline(beta))

ASR1K (SXP/Inline) ISR G2 (SXP/Inline) ASA (SXP/Inline(beta))

Cat 2K-S (SXP) Cat 3K (SXP) Cat 3K-X (SXP/Inline) Cat 4K Sup7 (SXP/Inline) Cat 6K Sup720 (SXP) Cat 6K Sup2T (SXP/Inline)

Применение

N7K / N6K/N5K/N1KV (SGACL)

Cat6K/4K (SGACL)

Cat3K-X/3850 (SGACL)

ASA (SGFW) ASR1K/ISRG2 (SGFW)

SGT Review

ASR1K/ISRG2 (SGFW)

ASA (SGFW)

Security Group Firewall (SGFW) – ASA в ЦОД

41

Примеры

Campus /Branch Network

Data Center

SXP IP Address SGT

10.1.10.1 Marketing (10)

SGFW

SGACL

•  Соображения для дизайна •  Целостность классификации/применения между FW и коммутаторами. •  Синхронизация имен SGT между ISE и CSM/ASDM •  Дополнительные требования к логированию можно перенести на SGFW – URL

logging, etc. •  Снижение OpEx – автоматизация правил МСЭ для пользователей и серверов

Enforcement on a firewall

Enforcement on a switch

Security group tags assigned based on attributes (user, location, posture,

access type, device type)

ISE for SGACL Policies

ASDM/CSM Policies

SGT Name Download

SGT 10 = PCI_User SGT 100 = PCI_Svr

SXP

SGT PCI_Svr

•  Сегментация серверов в зоны; •  Ролевая модель доступа; •  Применение политик и для виртуальных, и для физических серверов.

42

Сегментация в ЦОД

Web Servers Middleware Servers

Database Servers Storage

Web Servers R R Q Q Middleware Servers R R R R Database Servers Q R R R Storage Q R R R

Switch

Определим политику:

Web Servers

Middleware Servers

Database Servers

Storage

Blocked

Использование SGACL и SG-FW функционала совместно

43

Risk Level 1

ISE

Risk Level 2

PCI_Web PCI_App PCI_DB

SXP SXP

LOB2_DB

PCI_Users

•  SGACL на коммутаторах для применения политики для каждого Risk Level;

•  ASA применяет политику доступа между разными Risk Levels (привязки IP/SGT мы получаем от коммутаторов).

Поддержка на платформах

44

Use Cases

Классификация Распространение Применение Catalyst 2960-S/-C/-Plus/-X/-XR Catalyst 3560-E/-C/-X Catalyst 3750-E/-X

Catalyst 4500E (Sup6E/7L-E) Catalyst 4500E (Sup8E) Catalyst 6500E (Sup720/2T), 6880X

Catalyst 3850, 3650 WLC 5760

Wireless LAN Controller 2500/5500/WiSM2

Nexus 7000

Nexus 5500

Nexus 1000v (Port Profile)

ISR G2 Router, CGR2000

Catalyst 2960-S/-C/-Plus/-X/-XR Catalyst 3560-E/-C/, 3750-E Catalyst 3560-X, 3750-X Catalyst 3650, 3850 Catalyst 4500E (Sup6E) Catalyst 4500E (Sup 7E)***, 4500X Catalyst 4500 (Sup8E)*** Catalyst 6500E (Sup720) Catalyst 6500E (Sup 2T)**** / 6880X WLC 2500, 5500, WiSM2** WLC 5760 Nexus 1000v Nexus 5500/22xx FEX** Nexus 7000/22xx FEX ISRG2, CGR2000 ASR1000 ASA5500(X) Firewall, ASASM

SXP

SXP

IE2000/3000, CGS2000

ASA5500X, ASAv (VPN RAS)

SXP SGT

SXP

SXP SGT

SXP

SXP SGT

SXP

SGT

SXP

SXP SGT

SXP SGT

SXP SGT

SXP SGT

SGT Beta

SGT Beta

GETVPN

GETVPN

•  All ISRG2 Inline SGT (except C800): Today •  ISRG2/ASR1K: DMVPN, FlexVPN: Q3CY14

Catalyst 3560-X Catalyst 3750-X

Catalyst 4500E (Sup7E) Catalyst 4500E (Sup8E) Catalyst 6500E (Sup2T) / 6880X

Catalyst 3850, 3650 WLC 5760

Nexus 7000

Nexus 5500/5600

Nexus 1000v

ISR G2 Router, CGR2000

ASA 5500/5500X Firewal ASAvl

Beta

SGFW

SGFW

SGFW ASR 1000 Router

SXP

SGT

SGACL

SGACL

SGACL

SGACL

SGACL

SGACL

Nexus 6000

Q3CY14

** WLC 2500, 5500, WiSM2, Nexus 5K only supports SXP Speaker role *** 4500E (Sup7E/8E) requires 47XX Line cards for Inline SGT **** 6500 (Sup2T) requires 69xx Line cards for Inline SGT

SGT

Q3CY14

SXP SGT

SXP SGT

SXP Q3CY14

IPSec

IPSec

Advanced сценарии

Inter Data Center (DC) Clustering

Clustering assumes rather than requires data interface adjacency at Layer 2 Geographically separated clusters supported in ASA 9.1(4)+

§  “Dark Media” CCL with up to 10ms of one-way latency §  No tolerance for packet re-ordering or loss §  Routed firewall in Individual interface mode only

ASA 9.2(1) extends inter-DC clustering support to Spanned Etherchannel mode §  Transparent firewall only §  Routed firewall support presents design challenges

46

Split or Single Individual Mode Cluster in Inter DC

Site B Site A

Data

CCL

CCL is fully extended between DCs at L2 with <10ms of latency

ASA Cluster

CCL

Data

CCL CCL

Transit connections are not contained to local site when

extending data VLANs vPC 1 vPC 2

ASA 9.1(4)

Local vPC/VSS pairs at each site


Data interfaces connect to local switch pair only

Data VLANs should not extend with a split cluster to

localize traffic to site

47

Extended Spanned Etherchannel Cluster in Inter DC

Site B Site A

Data CCL Data CCL

vPC Peer Link

vPC logical switch pair is stretched across sites


ASA Cluster

All data interfaces bundle into a single Spanned Etherchannel

Each cluster member can single- or dual-connect to the VSS/vPC pair for CCL

and Data

Transit connections are not contained to the local site

ASA 9.2(1)

48

Split Spanned Etherchannel Cluster in Inter DC

Site B Site A

Data CCL


ASA Cluster

CCL Data CCL CCL

Data VLANs are typically not extended; filters on inter-site connection are needed to prevent loops

and address conflicts

vPC 1 vPC 2



Single Spanned Etherchannel for Data

on cluster side

ASA 9.2(1)

Local Data Etherchannels on each VPC/VSS

switch pair

Local Data Etherchannels on

each vPC/VSS switch pair

49

East-West Inter DC Clustering

ASA 9.3(2) Site A Site B

1. CCL is fully extended between DCs at Layer 2 with <10ms of latency

OTV

OTV DB

App

FHRP FHRP 3. Each segment uses a local first-hop router with same virtual MAC and IP

addresses across all sites

2. Protected data VLANs are fully extended at Layer 2

between sites

4. OTV prevents overlapping virtual IP and MAC addresses of the first-hop routers from

leaking between sites

5. ASA cluster in transparent mode inserts between the

endpoints and first-hop router on each segment

6. If all local cluster members or first-hop routers fail at a

given site, OTV filter must be removed manually to fail over

to another site

50

Future East-West Inter DC Scenario

ASA 9.5(1) Site A Site B

OTV

OTV DB

App

1. ASA cluster in routed mode inserts as first hop router between all internal

segments and external links

2. Each segment uses cluster virtual MAC and IP addresses across all sites; OTV/VACL perform filtering

MAC A MAC A

outside outside

3. Connections establish locally at each site

4. VM live-migrates to a different site

5. New connections establish locally through new site

6. Traffic for existing connections traverses the original owner and

uses extended data subnet

7. PROBLEM: Access switch at new site sees MAC A flapping between local and OTV ports

SOLUTION: Per-site MAC addresses in ASA 9.5(1)

51

Per-Site MAC Addresses

Routed Spanned Etherchannel cluster uses different MAC addresses in 9.5(1) §  Global interface MAC address is used to receive and source frames by default §  Per-site MAC addresses are optionally used to source frames on extended segments

Dynamic routing is centralized, so it does not work with split outside networks Global MAC address localization is required through OTV or similar mechanism

asa(config)# cluster group DC-ASA asa(cfg-cluster)# site-id 2 asa(cfg-cluster)# interface Port-Channel1.1000 asa(config-if)# mac-address 0001.aaaa.0001 site-id 1 asa(config-if)# mac-address 0001.aaaa.0002 site-id 2 asa(config-if)# mac-address 0001.aaaa.aaaa

Site-specific MAC address is used to forward data frames and source ARP

Global MAC address is used across all sites to receive traffic as default gateway

52

Заключение

Архитектура Cisco SAFE для ЦОД



Комплексная защита от угроз для всего жизненного цикла атаки

Защита в момент времени Непрерывная защита

Сеть Терминал Мобильное устройство Виртуальная машина Облако

Исследование Внедрение политик

Укрепление

Обнаружение Блокирование

Защита

Локализация Изолирование Восстановление

Жизненный цикл атаки

ДО АТАКИ ВО ВРЕМЯ АТАКИ

ПОСЛЕ АТАКИ

Изоляция систем через микросегментацию Политики для каждого приложения, каждой VM, каждого vNIC

Tenant B VSD

Web App

Web DB

Nexus 1000V

VSD

ASAv and vIPS

Nexus 1000V

Web Tier App Tier Контроль входящего/исходящего &

меж-VM трафика vFirewall, ACL, PVLAN

Обнаружение угроз и анализ трафика

vIPS, Netflow, SPAN/ERSPAN

Прозрачное применение политик Port Profiles

Распределение зон ответственности

Server • Network • Security

Tenant A

ASAv and vIPS

58

VSG

Заключение

Виртуализированные сетевые сервисы: §  Контроль исполнения политик; §  Прозрачность происходящих процессов; §  Упрощение взаимодействия разных департаментов.

Унифицированная политика безопасности; Противодействие как внешним, так и внутренним угрозам; ACI

§  Автоматическое подключение сервисов безопасности когда это требуется.

Защита, Обнаружение, Контроль

59

Ждем ваших сообщений с хештегом #CiscoConnectKZ

© 2015 Cisco and/or its affiliates. All rights reserved.

Спасибо Пожалуйста, заполните анкеты. Ваше мнение очень важно для нас. Контакты: Назим Латыпаев +7-727-2442120 [email protected]

Дополнительные слайды

Non-Stop Forwarding (NSF) aka Graceful Restart

Traditionally when a network device restarts, all routing peers associated with that device will remove the routes from that peer and update their routing table At scale this could create an unstable routing environment across multiple routing domains which is detrimental to overall network performance Modern dual processor systems solve this problem by restarting the control plane on one processor while continuing to forward traffic on the other For devices that support NSF, route removal and insertion caused by restarts is no longer necessary thus adding network stability Uses protcol extensions to allow network device a grace period in which traffic will continue to be forwarded via existing routes

62

Non-Stop Forwarding (NSF) on ASA (9.3)+

Pre 9.3: Routing Information Base is replicated in A/S failover and Spanned Etherchannel clustering

§  Active unit or master establish dynamic routing adjacencies and keep standby and slaves up-to-date

§  When the active unit or master fails, the failover pair or cluster continue traffic forwarding based on RIB

§  New active unit or master re-establish the dynamic routing adjacencies and update the RIB §  Adjacent routers flush routes upon adjacency re-establishment and cause momentary traffic

black holing 9.3 and after: Non Stop Forwarding (NSF) / Graceful Restart (GR)

§  Cisco or IETF compatible for OSPFv2, OSPF3; RFC 4724 for BGPv4 §  ASA notifies compatible peer routers after a switchover in failover or Spanned Etherchannel

clustering §  ASA acts as a helper to support a graceful or unexpected restart of a peer router in all

modes

63

N7k1-‐VDC-‐2 Aggrega0on

vrf1 vrf2

L2 FW: Inter VDC Insertion Transparent (L2) firewall services are “sandwiched” between Nexus Virtual Device Contexts (VDC) Allows for other services (IPS, LB, etc) to be layered in as needed ASAs can be virtualized to for 1x1 mapping to VRFs Useful for topologies that require a FW between aggregation and core Firewalls could be L2 or L3

N7k1-‐VDC-‐1 Core

vrf1 vrf2

64

Атрибуты среды виртуализации, используемые VSG

Название Значение Источник

vm.name Имя VM vCenter

vm.host-name Имя данного ESX-host vCenter

vm.os-fullname Название гостевой OS vCenter

vm.vapp-name Название ассоциированного vApp vCenter

vm.cluster-name Имя кластера vCenter

vm.portprofile-name Используемый port-profile Port-profile

Атрибуты собираются автоматически, для последующего использования в политиках

Security Policy Profile §  Задаётся/управляется в VNMC / Prime Network Services Controller NSC §  Привязаны к Cisco Nexus 1000V VSM port-profile

vCenter VM Attributes

65

Network Admin Security Admin

Процесс применения политик

Избегаем операционных ошибок на границах зон ответственности; Безопасники создают политики безопасности; Сетевики привязывают профиль порта к сервисному профилю VSG; Серверная команда назначает профиль порта виртуальной машине.

Сервер, Сеть, Безопасность

Server Admin

vCenter Nexus 1KV Prime NSC

Port Group Port Profile Security Profile

66

Физическое устройство

Виртуальное устройство

Nexus® 1000V Third-Party Switch vSwitch

VMware

Полный набор возможностей ASA

Унифицированное гибкое лицензирование

API BASED

APIC

KVM Hyper-V Xen

Third-Party CMP CSM PNSC ASDM CLI

Единая платформа – разные формы

Постоянный контракт

Service Provider

Pay Per Use (кол-во часов х кол-во ядер)

Постоплата

1 Year

Enterprise

Обычный платёж

Предоплата

3 Year 5 Year

ASAv Три модели применения политик

Маршрутизируемый •  Маршрутизирует трафик между vNIC •  Имеет таблицы ARP и маршрутов •  МСЭ границы зоны

Прозрачный •  VLAN или VxLAN Bridging / Stitching •  Имеет таблицу MAC-адресов •  Не влияет на сетевую топологию

Коммутация сервисных меток EPG

•  Инспектирование между EPG •  Незаметна для сети •  Режим интеграции в сетевую фабрику

69

Маршрутизирующий МСЭ

Сценарий границы зоны виртуализации; First-hop gateway для виртуальных машин; Хорошо масштабируется; Маршрутизация между множеством подсетей; Традиционная схема сегментации во многих сетях;

ASAv

Routed

client

Gateway

Outside

Inside

host1

host2

Shared

DMZ

70

Прозрачный МСЭ

•  Коммутация до 4 (суб)интерфейсов; •  До 8 BVI на экземпляр ASAv; •  Доступны NAT и ACL; •  Внедрение PCI compliance без прерывания сервиса;

•  Традиционная схема сегментации во многих ЦОД;

•  Все сегменты в одном broadcast-домене.

ASAv Transp

Gateway

client

Segment-1

Segment-3

host1

host2

Segment-2

Segment-4

71

New TCP Connection

ASA Cluster inside outside

Flow Owner

Flow Forwarder

Flow Director Client Server

5. Deliver TCP SYN ACK to Client

1. Attempt new connection with

TCP SYN

6. Update Director

2. Become Owner, add TCP SYN Cookie and deliver to Server

3. Respond with TCP SYN ACK through another unit

4. Redirect to Owner based on

TCP SYN Cookie, become Forwarder

72

New UDP-Like Connection

ASA Cluster inside outside Flow Owner

Flow Forwarder


10. Deliver response to Client

1. Attempt new UDP or another pseudo-stateful connection

2. Query Director

4. Become Owner, deliver to Server

6. Respond through another unit

9. Redirect to Owner, become

Forwarder 7. Query Director

3. Not found

8. Return Owner

5. Update Director

73

Owner Failure

ASA Cluster inside outside Flow Owner

Flow Owner


1. Connection is established through the cluster

3. Next packet load-balanced to another member

4. Query Director

6. Become Owner, deliver to Server

2. Owner fails

5. Assign Owner

7. Update Director

74

North-South Inter DC Clustering

Inside A Inside B

Site A Site B

1. CCL is fully extended between DCs at Layer 2 with

<10ms of latency

2. EIGRP/OSPF peering through local

cluster members

3. EIGRP/OSPF peering

3. EIGRP/OSPF peering

4. Default route advertised inbound

through local members

5. Inside routes advertised outbound

through local members

6. Default routes from opposite sites exchanged (higher metric)

7. Inside routes from opposite sites exchanged (higher metric)

8. Connections normally pass through local cluster members

(lower metric)

9. On local cluster failure, connections traverse remote site

ASA 9.1(4)

75

Example: N-S Split Individual Mode Cluster

A pair of standalone (non-vPC) Nexus switches at each site §  One Individual mode cluster unit per switch, single attached §  Routed firewall-on-a-stick VRF sandwich with OSPF

Inside VLAN is fully extended between sites with OTV §  Each pair of switches uses localized GLBP as first hop router §  GLBP traffic is blocked between sites §  OSPF allows re-routing in case of local cluster unit failure

Traffic symmetry is achievable without NAT §  Outbound connections use the directly attached cluster member §  Inbound traffic requires LISP to eliminate tromboning due to ECMP

Site B Site A

CCL

Outside

GLBP GLBP OTV

Inside

OSPF

OSPF

76

.5 .4

N-S Split Individual Cluster Sample Configuration

.13 .12 .11

.2

.10

Site B Site A

CCL 10.0.0.0/24

Outside

VLAN 100 172.16.1.0/24

VLAN 10 192.168.1.0/24

.1 .3 .4 .5

.1 .2 .3

.11 .12 .13

.10 VLAN 20

192.168.2.0/24

interface Ethernet3/1 channel-group 1 mode active interface Ethernet3/2 channel-group 1 mode active interface Port-Channel1 switchport trunk allowed vlans 10,20

ip local pool OUTSIDE 192.168.2.2- 192.168.2.17 interface Port-Channel10.20 vlan 20 nameif FW-outside ip address 192.168.2.1 255.255.255.0 cluster-pool OUTSIDE

ip local pool OUTSIDE 192.168.1.2- 192.168.1.17 interface Port-Channel10.10 vlan 10 nameif FW-inside ip address 192.168.1.1 255.255.255.0 cluster-pool INSIDE interface Vlan10

vrf member INSIDE ip address 192.168.1.13/24 ip router ospf 2 area 0.0.0.0 interface Vlan100 vrf member INSIDE ip router ospf 2 area 0.0.0.0

interface Vlan20 vrf member OUTSIDE ip address 192.168.2.13/24 ip router ospf 1 area 0.0.0.0

router ospf 1 network 0.0.0.0 0.0.0.0 area 0.0.0.0

.1 .1

mac-list GLBP_FILTER seq 10 deny 0007.b400.0000 ffff.ffff.0000 mac-list GLBP_FILTER seq 20 permit 0000.0000.0000 0000.0000.0000 otv-isis default vpn Overlay1 redistribute filter route-map GLBP_FILTER

ip access-list NON_GLBP 10 deny udp any 224.0.0.102/32 eq 3222 20 permit ip any any vlan access-map FILTER 10 match ip address NON_GLBP action forward vlan filter FILTER vlan-list 100

GLBP .1 .1 GLBP

OTV .10 .11 .12 .13

OTV MAC Filter for GLBP

GLBP VLAN Filter

77

A vPC pair of Nexus switches at each site §  Split Spanned Etherchannel cluster in transparent mode to separate internal segments §  Separate Etherchannel to local cluster members per vPC pair §  Acceptable impact from passing ASA twice between segments

Internal VLANs are fully extended between sites with OTV §  Each site uses localized HSRP as first hop router §  HSRP traffic is blocked between sites §  Full Layer 2 reachability from each router to remote site §  OTV filters must be manually removed on full upstream path failure

Must implement LISP to avoid excessive flow redirection

Example: E-W Split Spanned Etherchannel Cluster

Site B Site A

CCL

vPC vPC

vPC vPC

Application OTV

Database

HSRP HSRP

78

E-W Split Spanned Cluster Sample Configuration Site B Site A

CCL 10.0.0.0/24

interface Port-Channel10 port-channel span-cluster interface Port-Channel10.100 vlan 100 nameif DB-inside bridge-group 1 interface Port-Channel10.101 vlan 101 nameif DB-outside bridge-group 1 interface Port-Channel10.200 vlan 200 nameif App-inside bridge-group 2 interface Port-Channel10.201 vlan 201 nameif App-outside bridge-group 2 interface BVI1 ip address 192.168.1.4 255.255.255.0 interface BVI2 ip address 192.168.2.4 255.255.255.0

vPC vPC

vPC vPC

VLAN 200 192.168.2.0/24

mac-list HSRP_FILTER seq 10 deny 0000.0c07.ac00 ffff.ffff.ff00 mac-list HSRP_FILTER seq 20 deny 0000.0c9f.f000 ffff.ffff.ff00 mac-list HSRP_FILTER seq 30 permit 0000.0000.0000 0000.0000.0000 otv-isis default vpn Overlay1 redistribute filter route-map HSRP_FILTER ! ip access-list HSRP_TRAFFIC 10 permit udp any 224.0.0.2/32 eq 1985 20 permit udp any 224.0.0.102/32 eq 1985 ip access-list ALL 10 permit ip any any vlan access-map HSRP_FILTER 10 match ip address HSRP_TRAFFIC action drop vlan access-map HSRP_FILTER 20 match ip address ALL action forward vlan filter FILTER vlan-list 100, 200

interface Vlan101 ip address 192.168.1.2/24 hsrp 10 preempt ip 192.168.1.1 interface Vlan201 ip address 192.168.2.2/24 hsrp 20 preempt ip 192.168.2.1

OTV VLAN 100 192.168.1.0/24

HSRP.1 HSRP.1

VLAN 100↔101 VLAN 200↔201

interface Vlan101 ip address 192.168.1.3/24 hsrp 10 ip 192.168.1.1 interface Vlan201 ip address 192.168.2.3/24 hsrp 20 ip 192.168.2.1

79

79

Technology

Архитектура защищенного ЦОД