Embed Size (px)
Citation preview
Михаил Кадер, инженер
Решения компании Cisco для обеспечения безопасности сетей операторов связи и услуг
О чем будем говорить
• Архитектура платформ безопасности нового поколения
• Платформа Cisco Firepower 9300
• Новые функции программного обеспечения Cisco ASA для операторов связи
• Решения компании Cisco для защиты от DDoS
• Совместное решение с компанией Arbor
• Совместное решение с компанией Radware
• Дополнительная информация
Архитектура платформ безопасности нового поколения
Платформы нового поколения
Модульные вычисления
Архитектурное масштабирование
Отсутствие единой точки
отказа
Независимость от вариантов внедрения
Аппаратные компоненты системы могут легко модернизироваться
Базируется на множестве передовых технологий (x86 и ARM, шифрование и сетевые процессоры, спец. микросхемы, кластеризация) Специальное программное и аппаратное обеспечение. Сервисы работают в независимых контейнерах, и не затрагивают другие сервисы
Одинаковый набор возможностей как в физической, так и в виртуальной среде, включая поддержка SDN.
Динамическое предоставление
сервисов
Управление сервисами «на
лету»
Интеграция решений 3-их компаний
Унифицирован- ное управление политиками и лицензиями
Динамическое управление цепочкой сервисов и добавление новых по мере необходимости
Сервисы могут быть добавлены, удалены, или изменены без нарушения обслуживания существующих потоков данных
Архитектура позволяет быстро добавлять новые сервисы, необходимые заказчикам
Использует унифицированные прикладные интерфейсы и интерфейсы управления для всех сервисов, включая политики и лицензирование
Cisco Firepower 9300
Основные преимущества платформы
Модульная платформа операторского класса с интерфейсами 10, 40, и 100 Гбпс.
Объединение сервисов безопасности компании Cisco и других компаний
Эластичная масштабируемость за счет кластеризации
Ускоренная обработка для доверенных приложений
Функции ПО Cisco ASA для операторов связи § Эффективная защита на сетевом и транспортном уровне § Трансляция адресов операторского класса (Carrier-grade NAT) § Анализ протоколов GTPv1 и GTPv2 начиная с ASA 9.5(1) § Анализ SCTP и Diameter в планах
Обзор платформы Cisco Firepower 9300
Модуль управления
§ Внедрение и управление приложениями § Сетевые интерфейсы и распределение трафика § Кластеризация для сервисов Cisco® ASA и прочих
1
3
2
Модули безопасности
§ Встроенный классификатор пакетов и потоков, а также ускоритель шифрования § Приложения компании Cisco (МСЭ, СОВ, и т.п.) и 3-их компаний (защита от DDoS, балансировка) § Работает отдельно или в кластере (до 240 Гбпс на шасси и более 1 Тбпс на кластер)
Шасси Cisco Firepower 9300
§ 3-х юнитовое устройство для монтажа в стойку 19 дюймов.
§ 4-ре модуля вентиляторов с возможностью «горячей» замены § Отказоустойчивость N+1
§ Обдув от передней панели к задней
§ Двойной блок питания с балансировкой нагрузки и возможностью горячей замены модуля § 2500 and 1300W AC сейчас; 2500W DC в будущем
§ Внутренняя шина поддерживает до 200 Гбпс на каждый модуль безопасности
Модуль управления
Общее управление устройством и сетевое подключение § Выделение сетевых интерфейсов и подключение сервисных модулей (внутренняя матрица коммутации 960 Гбпс.)
§ Хранение модулей программного обеспечения, их внедрение, и управление сервисами § Инфраструктура кластеризации § Управление лицензиями и сетевым временем для всего устройства
RJ-45 Консоль
Интерфейс 1 Гбпс для управления (SFP)
Встроенные интерфейсы 10 Гбпс (SFP+) Дополнительные сетевые модули
1 2
Упрощенная аппаратная схема
Внутренняя фабрика коммутации(до 24x40GE)
Модуль безопасности 1
Модуль безопасности 2
Модуль безопасности 3
Встроенные интерфейсы 8 x 10 Гбпс Сетевой модуль 1 Сетевой модуль 2
2 x 40 Gbps 2 x 40 Gbps 2 x 40 Gbps
2 x 40 Gbps 5 x 40 Gbps 5 x 40 Gbps
x86 CPU
RAM
Системная шина Ethernet
Сетевые модули
§ Модуль управления обслуживает сетевые интерфейсы и направляет трафик на модули безопасности § Все интерфейсы носят название “Ethernet” и начинаются с
1 (Ethernet1/1, например)
§ Аппаратная поддержка «горячей» замены, программная поддержка в будущем
§ Возможность использования разных комбинаций двух сетевых модулей 10 и 40 Гбпс. половинной ширины § 8 x 10 Гбпс. SFP или SFP+ на один модуль
§ 4 x 40 Гбпс. QSFP на модуль; каждый порт может быть поделен на 4 порта по 10 Гбпс.
§ Модули 100 Гбпс. в будущем
Все сетевые модули требуют установки волоконно-оптических или медных интерфейсных трансиверов
Сетевые модули, продолжение …
8x10GE 4x40GE 2x100GE FXOS 1.1.1 FXOS 1.1.1 FXOS 1.1.3
• Разделение каждого порта на 4x10 Гбпс.
• Аппаратный обход
• Двойная ширина • Коннектор QSFP28 • Без возможности разделения • Аппаратный обход • Модуль одинарной ширины потребует замену модуля управления
• Оптические трансиверы 10 Гбпс
• Медные трансиверв 10 Гбпс.
• Аппаратный обход FXOS 1.1.3
Future Future
Future
Future
Модули безопасности
§ Три варианта
§ SM36: 72 x86 CPU ядер для производительности МСЭ до 80 Гбпс.
§ SM24: 48 x86 CPU дер для производительности МСЭ до 60 Гбпс.
§ В будущем – сертификация NEBS для SM24
§ Два диска SSD емкостью 800ГБ собранные м RAID1 по умолчанию
§ Встроенный классификатор пакетов и потоков, а также ускоритель шифрования
§ Поддержка аппаратного ускорения шифрования в будущем
Упрощенная схема модуля безопасности
System Bus
x86 CPU 1 24 или 36 ядер
Встроенный Классификатор пакетов и потоков, а также ускоритель шифрования
Подключение к модулю управления
x86 CPU 2 24 или 36 ядер
2 x 100 Gbps
2 x 100 Gbps
RAM
Ethernet
Модуль управления и модули безопасности используют независимые образы программного обеспечения
Все образы имеют цифровую подпись и контролируются Secure Boot
Образы представлены в специальном формате Cisco Secure Package (CSP)
Структура программного обеспечения
Модуль 1
Firepower Extensible Operating System (FXOS)
FXOS
Модуль 2
FXOS
Модуль 3
FXOS
Модуль управления
ASA ASA ASA DDoS
Модуль управления хранит образы приложений в формате Cisco Secure
Package (CSP)
Обновления операционной системы FXOS применяются к модулю управления и его
агентам на модулях безопасности
Приложения Cisco (Native)
Дополнительные приложения 3-их фирм (KVM)
FXOS 1.1.1
Обзор приложений безопасности
§ Приложения – это сервисы безопасности, работающие на модулях безопасности Firepower™ 9300
§ Основное приложения изначально забирает все ресурсы модуля § Сейчас это Cisco® ASA
§ Изначально на всех модулях безопасности работает одно и тоже приложение
§ Дополнительное приложение разделяет ресурсы модуля с основным § Трафик идет от сетевых интерфейсов через
дополнительное приложение к основному
§ Первым дополнительным приложением будет защита от DDoS
Архитектура сервисов безопасности на Firepower 9300
Cisco® ASA Cluster
Security Module 1 Security Module 2 Security Module 3
Управление
On-Board 8 x 10 GE Interfaces
8 x 10 GE NM Slot 1
Application Image Storage
4 x 40 GE NM Slot 2
Ethernet 1/7 (Management)
Ethernet 1/1-8 Ethernet 2/1-8 Ethernet 3/1-4
Логическое устройство
Элемент логического устройства Контроль соединения
Соединение
Внешние подключения
Поток данных
Основное приложение
Дополнительное приложение
PortChannel1 Data
DDoS DDoS DDoS
ASA ASA ASA
Планы развития
• Шасси • Сетевые модули 10GE/40GE • Кластеризация внутри шасси • Резервирование • Лицензирование
FXOS 1.1.1
July 2015 December 2015
ASA 9.4(1.200) ASA 9.5(2)
• Сетевой модуль 100GE • Аппаратная поддержка шифрования • Ускоренная обработка потоков • Кластеризация между устройствами • Захват пакетов на модуле управления • Управление трафиком на внутренней шине
Radware vDP
FXOS 1.1.3
Внимание на целенаправленные атаки
§ До10 Гбпс. на модуль при выделени 6 ядер x86 § Внутренняя кластеризация обеспечивает до 30 Гбпс с 3-мя модулями § Пока нет поддержки внешней кластеризации § Деградация производительности основного приложения ASA примерно 10-15%
Несколько слов о Radware vDefensePro
Доступныесервисы
СетьСерверыПриложенияBehavioralHTTPFloodProtecDon
ServerCracking
SignatureProtecDon ConnecDonPPSLimit
AnD-Scan
ConnecDonLimit
DNSProtecDon BehavioralDoS
SYNProtecDon
BL/WL
Out-Of-State
SYNProtecDon
ConnecDonPPSLimit
ConnecDonLimit
BL/WL
Out-Of-State
SignatureProtecDon
ServerCrackingAnD-Scan
BehavioralDoSDNSProtecDonBehavioralHTTPFloodProtecDon
FXOS 1.1.3
Возможности по отказоустойчивости и масштабированию
§ Отказоустойчивость на уровне модулей для Cisco® ASA
§ Основное-резервный, основной-основной
§ Масштабирование за счет внутренней кластеризации для ASA
§ Производительность до 240 Гбпс. для одного устройства
§ В будущем – масштабирование за счет кластеризации модулей в разных устройствах
§ До 1.2 Тбпс. при 5-ти устройствах
Ускоренная обработка потоков
§ Обработка доверенных соединий с очень высокой скоростью и ограниченным контролем § Высокая произаодительность и низкая задержка на поток
§ Использование выделенных ядер x86 § Цель - 40 Гбпс. на один поток TCP/UDP и 20 микросекунд задержки § Первоначально – статическая настройка, используя MPF на ASA
§ В дальнейшем – обработка в зависимости от условий и возможность выборочного анализа
§ Использование сетевых процессоров на модулях в дальнейшем, для независимости от ядер x86
policy-map OFFLOAD_POLICY class TRUSTED_FLOWS set connection advanced-options flow-offload
Работа ускоренной обработки потоков (в будущем)
Приложение
Сетевой процессор
Cisco® ASA
Ускоренный путь обработки
Информация о потоках
Новые и требующие полного анализа
Команда на ускорение обработки
Доверенные соединения и большие пакеты
Входящий трафик
Полный анализ § Динамически программирует процесс ускорения соединений после их установления § Периодически «забирает» соединения для полного анализа
Ускоренная обработка
§ Контроль состояния соединения на x86 или сетевом процессоре § Учет переданных байтов и контроль состояния соединений TCP § 40 Гбпс. на один поток TCP, задержка от 2 до 20 микросекунд, более 80 миллионов соединений
Обзор управления
§ Управление устройством не зависит от приложений § Встроенная система управления – графический интерфейс и командная строка
§ Cisco® ASDM для управления Cisco ASA § В будущем – система управления Cisco
FireSIGHT® для устройства и приложений § SNMP и syslog поддерживаются на модуле управления
§ Поддержка REST API на модуле управления § Поддержка SDN для управления предоставлением сервисов
Новые функции ПО Cisco ASA для операторов связи
Carrier Grade NAT: Динамическое выделение блоков портов
§ Порты выделяются блоками заданного размера
§ Выделение портов идет из диапазона от1024 до 65535
§ При первом запросы не выделение порта, выделяется блок и он используется для всех дополнительных соединений от данного источника
§ Выделение блоков портов и портов внутри блока идет случайным образом
§ Сообщение в журнал syslog отправляется при выделении или освобождении блока
Массовое выделение портов
§ Задача – уменьшить количество учетных сообщений
§ Принцип работы массового выделения портов
§ Подписчик создает первое соединение
§ Выделяется блок из N последовательных портов (например, 2064 - 2080 если N = 16)
§ Генерируется сообщение (syslog или NSEL) о выделении этого блока
§ Дополнительные соединения (до количества N) будут использовать порты из этого блока
§ Новый блок будет выделен, если подписчику будет надо больше чем N одновременных соединений
§ Когда подписчик освободит все порты из блока – будет сгенерировано соответствующее сообщение syslog или NSEL
Outside IP1
NAT
Syslog NetFlow
Collector
Logging Record
Поддержка протоколов GTPv1 и GTPv2
§ Cisco® ASA поддерживает анализ трафика в мобильных сетях 3G протоколов GPRS Tunneling Protocol (GTP) Version 0 и 1, начная со спецификации 3GPP TS 29.060 Release 6
§ В ПО ASA версии 9.5.1, добавлена поддержка LTE, и, соответственно GTPv2, спецификации 3GPP TS 29.274 Release 8; ASA также будет поддерживать Release 10, Version 13
§ Так же, в рамках этой поддержки, добавлены новый функции по масштабированию анализа GTP:
§ Поддержка множества ядер в одном устройстве
§ Распределенный режим обработки в кластере
§ Поддержка протоколов IPv4 и IPv6 для анализа GTP
GTP в пакетном ядре
§ В версии 1, взаимодействие по протоколу GTP идет между SGSN и GGSN
§ В версии 3, сетевая архитектура (Evolved Packet Core – EPC) поддерживает больше узлов и типов интерфейсов
§ Cisco® ASA работает на интерфейсах S5 и S8 контролируя соединения между PGW и SGW
UE E-UTRAN S1u
SWG PWG SGi
Operator’s IP Services (e.g. IMS, PSS etc.)
S8
MME PCRF
vPLMN hPLMN
S1-MME Gn
Gn/Gp SGSN
HSS
S10 S11 Gp
S6a
Gr
Gx Rx
GERAN
UTRAN
Маршрутизация на основе политик
Поддержка протоколов IPv4 and IPv6
Поддержка Security group tag (SGT)
Поддержка аутентификации пользователей (IDFW)
Настройка на физических и логических интерфейсах
Фильтрация маршрутной информации
Поддержка протокола BGPv4 и v6
§ IPv4 and v6 address families
§ Single mode and multi-context
§ Failover and clustering
§ Standard communities
§ All path attributes
§ Clustering support
§ High-availability support
§ Null0 and RTBH support
§ Recursive route lookup
§ Redistribution with other protocols: connected, static, OSPFv2 and v3
§ IPv6 prefix list
§ Nonstop forwarding and graceful restart
Решения компании Cisco по защите от DDoS
Ланшафт угроз
В прошлом, непрерывные атаки не превышали 6% от общего числа В 2014 году - 19% атак были признаны непрерывными 52% процента опрошенных заказчиков считают, что они могут устоять под атакой один день и меньше
Продолжительные, большие и сложные атаки требуют непрерывной защиты
% 5%
10% 15% 20% 25% 30% 35% 40%
2011 2012 2013 2014
32
Атаки направлены и на сети и на приложения
Многие атаки захватывают и сетевой и прикладной уровни
Атаки на WEB-ресурсы продолжают оставаться наиболее массовыми – Каждая четвертая атака
Более активное использование атак, построенных на эффекте «отражения» (reflective), привело к росту использования UDP – С 7% в 2013 до 16% в 2014
10%
16%
6%
18%
Сети 51%
TCP- Other UDP
IPv6 1% TCP-SYN Flood
ICMP
9%
23%
16%
Приложения 49%
VoIP 1% Web (HTTP/HTTPS)
SMTP DNS Многовекторные атаки требуют аккуратности и точности в их отражении для сохранения нормальной работы
легитимных пользователей
Атаки крушат все уровни в ЦоД-ах
IPS/IDS Internet Pipe Firewall Load Balancer/ADC Server Under Attack SQL Server
34
Защита от атак DDoS на МСЭ защищает от 64% этих атак, но не спасает от
переполнения канала
SP
Решения компании Cisco и партнеров по защите от DDoS
SP
Radware Defense Pro
Threat Defense
Firepower 9300
Radware Vision
SP Scrubbing Center Various 3rd Party Options for Hosted : Arbor Cloud, Radware Cloud, Prolexic /Akamai
Radware Defense Pipe
• Complete Enterprise DDoS system can be complemented w/Cisco Lancope Threat Defense
SP Edge Router Based DDoS with ASR – • (Volumetric) on ASR 9K + VSM+ Arbor TMS Peak
Flow . SP Backbone detection and mitigation
SP ASR PE w/PeakFlow
MSSP Services • Various 3rd Party Options for Hosted Services
Firepower 9300
Mobile users
SP Mobility Edge w/FP 9300 and Radware DDoS Applications,
Services & Databases
Enterprise DC
Enterprise Data Center FW Based DDoS with Firepower 9300 • Firepower 9300 + SM running Radware Defense Pro • Application Attack detection and mitigation
Совместное решение с компанией Arbor Networks
Cisco и Arbor объединили усилия, чтобы создать лучшее в своем классе решение для защиты от DDoS-атак Arbor SP TMS на лидирующей платформе Cisco ASR 9000
Cisco и производитель оборудования Arbor создали стало решение для защиты от DDoS-атак Arbor SP TMS на базе ASR 9000 Клиенты заинтересованы в распределенном решении на периметре сети, текущее же решение действует в ее ядре Распределенная архитектура пресекает атаки прямо в точке входа — пропускная способность сети не растрачивается впустую Решение предназначено для операторов связи и корпоративных клиентов Лучшее масштабирование (40 Гбит/с на VSM), многоуровневое лицензирование Преимущества решения — архитектурный подход, простота и унифицированное управление
Cisco и Arbor Networks: совместное решение
ПолныймониторингсетиМониторингтрафикавовсейсети:•Магистраль•Периметрпиринга/передачи•Облако/ЦОД•Мобильнаясеть•Заказчик
ЗащитаотугрозВыявляйтеипредотвращайтеDDoS-атакиикиберугрозыдотого,какониокажутвоздействиенасервисы.
ПредоставлениеуслугМонетизируйтесетевуюинфраструктуруитехнологиидляобеспеченияприносящихприбыльуслугиповышенияконкурентоспособности.
Peakflow SP/TMS
Компоненты решения
Платформа сбора информации (CP) Arbor Peakflow SP
Компоненты Cisco VSM на ASR 9000 DDoS-лицензия для Arbor TMS на VSM
Компоненты Arbor Платформа сбора информации (СР) Arbor Peakflow SP Система управления угрозами (TMS) Arbor Peakflow
ASR 9000
VSM, на котором запускается Arbor SP TMS
ASR 9000
ASR 9000
Обзор ASR 9000 VSM
ASR9000VSM• ВычислительнаямощностьЦОД:
• 410-ядерныхЦПIntelx86• 2сетевыхпроцессораTyphoonдляаппаратной
сетевойобработки• Пропускнаяспособностьобработки
исходныхданных120Гбит/с• Аппаратноеускорение
• Пропускнаяспособностьаппаратногошифрования40Гбит/с
• Аппаратнаяподдержкадлясопоставлениярегулярныхвыражений
• Гипервизорвиртуализации(KVM)• Управлениежизненнымцикломвиртуальноймашины
сервиса,интегрированноевIOS-XR• Цепочкасервисов• КомплектразработкиSDNдлясторонних
приложений(OnePK)
ОС/гипервизор
Диспетчервиртуальноймашины
Виртуальнаямашина-4
Сервис-3
Виртуальнаямашин-1
Сервис-1
Виртуальнаямашина-3
Сервис-4
Виртуальнаямашина-2
Сервис-2
Оптимизированное подавление DDoS-атак
Центр очистки
Заказчик
Централизованная современная архитектура
Распределенное решение на основе ASR 9000
§ Элементы: § Arbor PeakFlow SP – управление и сбор информации
§ Arbor Peakflow vTMS на ASR 9K VSM – очистка и подавление
§ Преимущества: § Распределенная архитектура пресекает атаки прямо в точке входа — пропускная способность сети не растрачивается впустую
§ Лучшее масштабирование (40 Гбит/с на VSM) § Интегрированное решение экономит место в стойке и потребность в кабелях
§ Защита инвестиций — использование VSM для нескольких приложений
§ Унифицированное управление § Многоуровневое лицензирование
Позиционирование
1. ASR 9000 как пиринг-маршрутизатор • Очищение трафика, поступающего интернет-провайдеру через одноранговое соединение
2. ASR 9000 как маршрутизатор для взаимодействия с ЦОД
• Очищение трафика, направляемого в ЦОД 3. ASR 9000 на стороне провайдера 3-го
уровня • Анти-DDoS как сервис — очищение трафика, направляемого корпоративному клиенту
4. ASR 9000 как граничный маршрутизатор глобальной сети
• Очищение трафика, поступающего корпоративному клиенту ASR9K +
VSM/TMS Peakflow SP Netflow +
SP/TMS
1
2 3
4
Обнаружение и подавление Вариант 1: Локальное перенаправление
SP производит обнаружение на основе Netflow Конфигурирует VSM/TMS через ASR так, как необходимо
Трафик перенаправляется в TMS TMS получает трафик по протоколу BGP по магистрали Многопротокольная коммутация на основе меток (MPLS) конфигурируется через интернет-провайдера
Хороший трафик снова идет обратно Обратная отправка идет через ASR
Проблемный трафик TMS является стандартным IP-адресом источника, отправляющий трафик по магистрали
VSM/TMS может работать с одним или несколькими заказчиками
ASR9K + VSM/TMS
Peakflow SP Netflow + SP/TMS
Обнаружение и подавление Вариант 2: Удаленное перенаправление
SP производит обнаружение на основе Netflow Конфигурирует VSM/TMS через ASR так, как необходимо
Трафик перенаправляется в TMS TMS получает трафик по протоколу BGP по магистрали Многопротокольная коммутация на основе меток (MPLS) конфигурируется через интернет-провайдера
Хороший трафик снова идет обратно GRE-туннель по магистрали MPLS
Проблемный трафик TMS является стандартным IP-адресом источника, отправляющий трафик по магистрали
VSM/TMS может работать с одним или несколькими заказчиками
ASR9K + VSM/TMS
Peakflow SP Netflow + SP/TMS
коммуникации
Обнаружение и подавление Вариант 3: Постоянно
ASR9K + VSM/TMS
Peakflow SP Netflow + SP/TMS
Достигается за счет постоянных перенаправлений
Работает аналогично локальному и дальнему перенаправлению
Может сочетаться со стандартным (временным) off-ramp
Для одного и того же и (или) нескольких заказчиков
Преимущества для заказчиков
• Использование вложений в Cisco ASR 9000 и VSM для виртуализированной защиты от DDoS-атак.
• Распространение защиты от DDoS-атак вплоть до периметра сети, чтобы избежать обратного транзита в региональные центры очистки.
• Выявление и блокирование DDoS-атак для обеспечения доступности и производительности инфраструктуры и услуг.
• Быстро вывод на рынок новых сервисов для виртуализированной защиты от DDoS-атак.
Виртуализированная, интегрированная в сеть защита от DDoS-атак
Совместное решение с компанией Radware
• Устройство Cisco Firepower 9300 • DDoS License Virtual Defense Pro (vDP) V 1.01 • ПО управления Radware Vision • Выпуск Dec/Jan w/9.5(2) ASA and FXO 1.1.3
Компонтенты совместного решения
Модули безопасности
и vDP DDoS
Приложения, сервисы, СУБД
Radware Vision Manager
Firewall Threat
Defense
Firepower 9300
DDOS
Radware v/DefensePro DDoS
Cisco ASDM Manager
• Поддержка модулей SM-24 и SM-36 • 10 Гбпс. DDoS на модуль, 30 Гбпс. на шасси с тремя модулями,10% потери производительности • Кластеризация между устройствами будет позже
Firepower 9300 изменяет модель интеграции сервисов
Унифицированная платформа сервисов безопасности
Данные 1001
00010111100010
1110 SSL FW WAF NGIPS DDoS AMP
Максимальная защита Высокая эффективность Масштабируемость Гибкость
Обозначения:
Сервисы Cisco
Сервисы партнеров
• Radware vDP – первое из приложений 3-х компаний, ставшее элементом новый архитектры • Защита от DDoS работает на входных интерфейсах Firepower 9300
Защита от атак в реальном времени используя DefensePro
Virtual DefensePro – это работающее в режиме реального времени устройство предотвращения атак, защищающее инфраструктуру от сетевых и прикладных сбоев, взломов и сетевых аномалий, вызванных атаками DDoS
50
Virtual DefensePro +
Защита от «затопления» канала § TCP and SYN floods § UDP floods § Other network floods
Защита от «затопления» приложений § HTTP floods § DNS floods § SSL connection floods
Защита от известных средств проведения атак
Возможности Defense Pro
10%
16%
6%
18%
Сети51%
TCP-Other UDP
IPv61% TCP-SYNFlood
ICMP
9%
23%
16%
Приложения49%
VoIP1% Web(HTTP/HTTPS)
SMTP DNS
Базирующееся на поведении обнаружение и отражение атак
Обнаружение атаки
52
Отражение атаки
• Отклонение в поведении • Идентификаторы атак L4-L7 в реальном времени
Аккуратное обнаружение = мало ошибок
Много ошибок
Обнаружение по количественному изменению
Объемная атака «забила» канал Интернет
Атака обнаружена и заблокирована на периметре Информация об атаке поступает в облачные сервис очистки Radware
Сообщение
Трафик перенаправлен на очиску в облачный сервис и канал Интернет свободен
Radware Облачная очистка
53
Firepower 9300
Интернет Граница ЦОД
Взаимодействие системы DefensePipe
Дополнительный сервис Radware
Radware Vision: Система мониторинга и управления событиями информационной безопасности
Мониторинг реального времени Исторические отчеты Настраиваемые панели мониторинга Корреляция событий Расширенные аналитические отчеты Отчеты о соответствии нормативным требованиям Управление запросами Передача информации о событиях на другие системы мониторинга и управления Ролевой доступ
54
Vision: Портал для заказчиков
Свой профиль защиты для каждого заказчика
Ролевой контроль доступа
Каждый заказчик видит только те защищаемые ресурсы, которые имеют к нему отношение
Все отчеты, панели мониторинга и управления, информация о событиях, могут быть персонализированы для конкретного заказчика
55
Позиционирование Firepower 9300 и Radware
1. Firepower 9300 в ЦОД • Очистка трафика на границе
2. Firepower 9300 как МСЭ для управляемых сервисов безопасности
• Основной сервис – МСЭ, DDoS как дополнение
3. Firepower 9300 на границе сети мобильного оператора
Другие возможные сценарии
• Операторы 2-го, 3-го уровня нуждаются в защите от DDoS
• Защита собственного ЦОД-а оператора
SP
MSSP Hosted
SP Mobility Edge
Enterprise DC Tier 2 SP
Gi/Sgi /.. mobile subscribers
1
2
3
57
Интернет Периметр
Firepower 9300
Решение: • Оперативная и точная защита сети и приложений от DDoS
Web Почта Портал
Прило- жения, СУБД
Унифи-цирован-ные
коммуни-кации
ЦОД
Применение Firepower 9300: • Многосервисная платформа безопасности
• Высокая производительность и масштабируемость
Защита ЦОД-а и периметра 1
58
Интернет Периметр
Firepower 9300
ЦОД
Сообщение
• Защита от объемных атак в облаке
Защита ЦОД с использованием облачного сервиса
Defense Pipe – дополнительный сервис
1
Web Почта Портал
Прило- жения, СУБД
Унифи-цирован-ные
коммуни-кации
59
Операторы верхнего уровня
Сеть оператора Заказчики
Firepower 9300 Заказчик A
Заказчик C
Заказчик B
Управляемый сервис для заказчиков
Firepower 9300
Firepower 9300 • Отражение атак в облаке
Управляемые сервисы безопасности
Управляемый сервис на границе сети оператора
Firepower 9300
Defense Pipe -дополнительный сервис
2
60
Интернет Граница
Firepower 9300
Решение: • Оперативная и точная защита сети и приложений от DDoS
Сеть
Решение Firepower 9300: • Многосервисная платформа безопасности • Защита от атак из Интернет • Защита от атак от скомпрометированных мобильных пользователей
• Высокая производительность и масштабируемость
Граница сети мобильного оператора 3
Заключение
Итак
• Платформа Cisco Firepower 9300 – основа для гибкого внедрения сервисов безопасности в сетях операторов связи и услуг, а также крупных корпоративных сетей и ЦОД-ов
• Архитектура обеспечивает легкую интеграцию как сервисов безопасности компании Cisco, так и сторонних компаний
• Совместное решение компаний Cisco и Arbor по защите от DDoS на базе модуля VSM для маршрутизаторов ASR 9000 уже доступно
• Интеграция решения по защите от DDoS компании Radware на платформе Firepower 9300 будет доступно к концу года
Дополнительная информация
Где вы можете узнать больше?
http://www.facebook.com/CiscoRu http://twitter.com/CiscoRussia http://www.youtube.com/CiscoRussiaMedia http://www.flickr.com/photos/CiscoRussia http://vkontakte.ru/Cisco http://blog.cisco.ru/
CiscoRu Cisco CiscoRussia
Ждем ваших сообщений с хештегом #CiscoConnectRu
CiscoRu
Михаил Кадер, [email protected] [email protected]
© 2015 Cisco and/or its affiliates. All rights reserved.
