Upload
cisco-russia
View
121
Download
5
Embed Size (px)
Citation preview
Regional Team Director [email protected]
Интеграция решений Radware в
Cisco ACI, Cisco UCS, SDN
Michael Soukonnik
June 2015
Два слова о Radware Текущая ситуация Технология отражения атак, внедряемая в Cisco Совместные решения Radware/Cisco Summary
Немного статистики
Global Technology Partners
Более10,000 клиентов
3
43.7 54.8
68.4 77.6 81.4 88.6 94.6
108.9
144.1
167.0
189.2 193.0
221.9
1% 25%
25% 13% 5%
9% 7%
15%
32%
16%
13% 2%
15%
50.00
100.00
150.00
200.00
2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012 2013 2014
USD Millions
Рост продаж
Radware предлагает решение, обеспечивающее производительность в соответствие с SLA даже во
время атаки Контроллеры доставки приложений(ADC) Система отражения атак (AMS)
• Серверная балансировка нагрузки (соответствие SLA для всех пользователей)
• Повышение производительности приложений (removing SSL, cashing, TCP, compression, etc)
• vADC – полная изоляция приложений
• Производительность работы пользователей (SLA), мониторинг в реальном времени
• Ускорение загрузки WEB страниц
• Обеспечение работы легитимных пользователей в соответствие с SLA даже во время атаки
• Защита от DoS/DDoS атак в автоматическом режиме
• IPS • Поведенческий анализ • Cloud&Hybrid • Автоматическая защита против атак
на уязвимости OWASP-‐10 (WAF)
Лидер в системах отражения атак
7 из 14 Мировых Фондовых Бирж
12 из 22 Крупнейших Банков
6 из 20 Крупнейших ретейлеров
NBA, NHL, MLB & Nascar
6 из 10 Мировых Телеком Компаний
2 из 5 Ведущих Облачных Провайдеров
5
Текущая ситуация
Посмотрим вместе:
1. WW3 map (one of) – Карта боевых действий 2. Easy and cheap (to start) – Просто и дешево 3. Hard to mizgate – Сложно противостоять
Легко заказать
Мотивация атакующих
10
Source: Hackmageddon.com
Преступники
• Деньги • И снова деньги
Хактивизм
• Протест • Месть
Шпионаж
• Хищение секретов • Национальная безопасность
• Экономика Война
• Задачи: уничтожить, замедлить, заблокировать
• Политика
10
Злоумышленник маскируется
Slide 11
• Маскировка – Использование динамических IP адресов – Несколько атакующих, использующих один IP адрес
• Типовой инструментарий – Content Delivery Network (CDN) – Proxy servers – Proxy botnets – NAT devices – Anonymizers – Encrypted communicazon
• Результат: Атаку сложней идентифицировать и отразить.
11
Несколько векторов атаки одновременно Volumetric network flood a�acks
SSL based a�acks
SYN flood attack
Applicazon Flood a�acks
Web a�acks: XSS, Brute force
Port scan
“Low & Slow” a�acks
Network scan
Intrusion
Applicazon vulnerability, malware
Web a�acks: SQL Injeczon
12
Достаточно одного успешного вектора атаки для остановки бизнеса!
Как противостоять
13
Cloud
Internet of Things
Perimeter Breakdown
Policy Enforcement
Weakness
Slow Incident
Response
Limited Security Testing
Endpoint Security Chaos
Network Virtualization
Тенденции ИТ Управление безопасностью
13
Принципы атаки и противодействия
Никто не в безопасности Ресурсы – основная цель
Скорость определит победителя
Никто не будет в безопасности – Неожиданные цели
Цели в новых секторах экономики, и организациях
Здравоохранение и образование – новые цели злоумышленников
Онлайн игры, хостинг и ISP – высокая вероятность атак
Финансовый сектор – некоторое снижение рисков
2014 Изменения с 2013
16
Интернет канал – в основном большие пакеты – размеры канала
Брандмауэр и другие аналитические устройства (stateful devices) – производительность, количество пакетов
Серверы – ограничения производительности, очереди на обслуживание, количество запросов, открытые сессии, SSL
Приложения – использование уязвимостей и ограничений
Основные цели - рессурсы
Мультивекторная атака
IPS/IDS
“Low & Slow” DoS a�acks (e.g.Sockstress)
Large volume network flood a�acks
Syn Floods
Network Scan
HTTP Floods
SSL Floods App Misuse
Brute Force
Облачная DDoS защита DDoS защита Поведенческий анализ
IPS WAF Защита от атак под SSL
Интернет канал Брандмауэр Балансировщики Атакуемые серверы SQL серверы
18
Добавление новых ресурсов обходится дороже, чем совершенствование атаки Тратить деньги или отразить атаку?
Ресурсы во время атаки
Принципы противостояния: • Боремся за доступность ресурсов для легитимных пользователей и
исполнение их SLA • Технологии ограничения пропускной способности (rate limit) –
атомная бомба, убивающая всех. • Мы должны отличать легитимного пользователя от
злоумышленника. • Наконец, должны быть отброшены только атакующие пакеты,
запрос, сессии.
Время – Продолжительность атак растет
Атаки стали сложные и продолжительные
В предыдущие годы продолжительные атаки редко превышали 6% от общего количества
В 2014 -‐ 19% были продолжительными/постоянными
52% респондентов могут бороться только против однодневных атак или даже менее продолжительных атак %
5%
10%
15%
20%
25%
30%
35%
40%
Less than a day 1 hour-‐1 day 1 day-‐1 week over a week Constantly
2011 2012 2013 2014
В 2014, 19% of атак были постоянными
20
Проблема не только в продолжительности атаки. Современные атаки могут менять вектора раз в 3-‐7 минут! Устаревшие методы – анализ и отражение «вручную» недостаточно производительны и не обеспечивают эффективности.
Время
Принципы противостояния: • Время реакции – секунды! • Постоянное противостояние злоумышленнику • Работа в автоматическом режиме
Система Отражения Атак Radware
Attack Mitigation System (AMS)
DefensePro – уровни защиты
Slide 23
Поведенческая защиты
DME DDoS Mitigation Engine
(200M PPS)
L7 Regex Acceleration ASIC
Multi Purpose Multi Cores CPU’s (Up to 300 Gbps)
& Reputaxon Engine
Hardware Architecture – Tailored for A�ack Mizgazon
Attack Degree = 10 (Attack)
Abnormal rate of packets,…
A�ack Case
Rate-based anomaly axis
Y-axis X-axis
Z-axis
Atta
ck D
egre
e ax
is
Attack area
Suspicious area
Normal adapted area
Принятие решения -‐ Атака
Slide 24
Abnormal protocol distribution [%]
Slide 24
Принятие решения – рост легитимного траффика
Rate parameter input Rate-‐invariant input parameter
Degree of AEack (DoA) AEack area
Suspicious area
Normal adapted area
Low DoA
Flash crowd scenario
Slide 25
Доступные сервисы
Behavioral DoS
Real Time Signature
Network Challenge Response
Behavioral Anti-Scan
SSL Session and Network Protection
Behavioral DNS Protection
DNS Challenge Response
Behavioral HTTP Flood Protection
Behavioral Server Cracking
HTTP Polymorphic Challenge Response
Приложения
Серверы
Сеть
Уникальные технологии Radware
Web
Advanced Fingerprinting
Signaling
Encrypted Challenge Response
Attack Mitigation System
Ключевые «моменты»: • Защита всех ресурсов • Базируется на информации с 3-‐го по 7-‐й уровень OSI для
определения поведения легитимных клиентов. Дает возможность работы под атакой. Лицензируется по легитимному трафику.
• Построение динамической сигнатуры против атаки за 18 секунд! • Не требует участия администратора ИБ • Включает как собственное оборудование, так и облачный сервис • Защищает от всех атак OWASP-‐10 • Все изменения в WEB – автоматически определяются, уязвимости
блокируются
Два слова о Radware Текущая ситуация Технология отражения атак, внедряемая в Cisco Совместные решения Radware/Cisco Summary
Traditional Data Center
Network Layer
Business Applicazons
29
Service Layer
Command & Control
Command & Control
Command & Control
Data Center Transformation – Software Defined …
30
Automazon Orchestrazon
Stacks
IT/DevOps
Network Layer
Business Applicazons
Service Layer Command & Control
Command & Control SDN Controller
Data Center Transformation – Software Defined …
Automazon Orchestrazon
Stacks
IT/DevOps
31
Security
Apps Delivery
Network Layer
Business Applicazons
Command & Control
SDN Controller
Data Center Transformation – Software Defined Services
Business Applicazons
Automazon Orchestrazon
Stacks
IT/DevOps
32
Radware is the only vendor that provides A}ack Mixgaxon Soluxons!
Security
Apps Delivery
Security
Network Layer
Data Center Transformation – Software Defined Services
Network Layer
Business Applicazons
33
Radware’s synergexc approach guarantees the highest service-‐level
Security
Apps Delivery Normal
Operaxon Performance Degradaxon Outage
Introducing Radware Radware/Cisco Solution Mapping Solutions Overview & Differentiators Summary
Radware/Cisco Joint Solutions Mapping
OpenDaylight SDN UCS Nexus 9000 ACI
35
Cisco ACI - Alteon Integration
DDoS ADC
ACI in the data center is a holiszc architecture with centralized automazon and policy-‐driven applicazon profiles.
ACI delivers so�ware flexibility with the scalability of hardware performance.
36
Typical Applicaxons:
www
Cisco ACI-Alteon Integration
DDoS ADC
37
Typical Applicaxons:
www
Radware Service Engines Available as:
ADC Hypervisor
Cisco ACI-DefensePro Integration
DoS/DDoS Protecxon
ADC
Typical Applicaxons: Per-‐tenant a�ack proteczon Infrastructure proteczon Value-‐add security services
Radware A�ack Mizgazon Pla�orms Available as:
DDoS Protecxon Appliance
Protecxon Policy per
Applicaxon
38
Typical Applicaxons:
www
Cisco UCS: About
Cisco Unified Compuzng System (UCS) is a next-‐generazon data center pla�orm that: - Unites compute, network, storage access, and
virtualizazon into a cohesive system - Enterprise-‐class, x86-‐architecture servers - Designed to reduce TCO and increase business agility
39
Typical Applicaxons:
www
Cisco UCS: Building Blocks
www. ADC
ADC DNS
40
Cisco UCS: Alteon NFV Integration
www.
DNS
Typical Applicaxons: • Carrier core network applicazons • Online giant web applicazons
41
Cisco UCS: Alteon VA Integration
www.
Alteon VA: Load Balancing, WAF, Defense Messaging
42
Cisco UCS: DefensePro Integration
www.
Typical Applicaxons: • Per-‐applicazon a�ack monitoring • Per-‐applicazon a�ack mizgazon • Infrastructure proteczon • Value-‐add security services
43
Cisco SDN Solutions
44
SDN Control Layer
Northbound API
OpenFlow API
SDN Applicazons
SDN Data Plane
The Cisco Open SDN Controller is a commercial distribuzon of OpenDaylight Delivers business agility through automazon of standard-‐based network infrastructure
Cisco supports SDN through a range of Cisco switches and routers
Cisco SDN – Radware DDoS Protection
SDN Data Plane
45
SDN Control Layer
SDN Applicazons
DefensePro
Northbound API
OpenFlow API
Radware DefenseFlow: SDN Applicazon that programs networks for a�ack proteczon Radware DefensePro:
- Best DDoS proteczon and a�ack mizgazon soluzon in the industry - Connect anywhere in the network - Virtualize security services per protected object
Cisco SDN – Radware DDoS Protection
Perimeter LAN
DefensePro
Traffic Monitoring
Clean traffic forwarded to desznazon
Diverted suspicious
traffic
Internet Cisco Switch
Traffic Monitoring
Typical Applicaxons: Per network tenant a�ack proteczon Infrastructure proteczon Value-‐add security services
A}ack Detected: Suspicious traffic diverted Clean traffic forwarded to desznazon
46
Два слова о Radware Текущая ситуация Технология отражения атак, внедряемая в Cisco Совместные решения Radware/Cisco Summary
Итоги Самое быстрое и точное решение для борьбы с DDoS атаками на всех уровнях Единственное интегрированное решение, позволяющее обеспечить SLA Первая система контроля доставки приложений для NFV Повышение гибкости ЦОД и услуг Интеграция во все новые решения Cisco для ЦОД и сетей операторов
48
www.radware.com.ru