Интеграция решений Radware в Cisco ACI, Cisco UCS, SDN

Regional Team Director [email protected]

Интеграция решений Radware в

Cisco ACI, Cisco UCS, SDN

Michael Soukonnik

June 2015

Два слова о Radware Текущая ситуация Технология отражения атак, внедряемая в Cisco Совместные решения Radware/Cisco Summary

Немного статистики

Global Technology Partners

Более10,000 клиентов

3

43.7 54.8

68.4 77.6 81.4 88.6 94.6

108.9

144.1

167.0

189.2 193.0

221.9

1% 25%

25% 13% 5%

9% 7%

15%

32%

16%

13% 2%

15%

50.00

100.00

150.00

200.00

2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012 2013 2014

USD Millions

Рост продаж

Radware предлагает решение, обеспечивающее производительность в соответствие с SLA даже во

время атаки Контроллеры доставки приложений(ADC) Система отражения атак (AMS)

•  Серверная балансировка нагрузки (соответствие SLA для всех пользователей)

•  Повышение производительности приложений (removing SSL, cashing, TCP, compression, etc)

•  vADC – полная изоляция приложений

•  Производительность работы пользователей (SLA), мониторинг в реальном времени

•  Ускорение загрузки WEB страниц

•  Обеспечение работы легитимных пользователей в соответствие с SLA даже во время атаки

•  Защита от DoS/DDoS атак в автоматическом режиме

•  IPS •  Поведенческий анализ •  Cloud&Hybrid •  Автоматическая защита против атак

на уязвимости OWASP-‐10 (WAF)

Лидер в системах отражения атак

7 из 14 Мировых Фондовых Бирж

12 из 22 Крупнейших Банков

6 из 20 Крупнейших ретейлеров

NBA, NHL, MLB & Nascar

6 из 10 Мировых Телеком Компаний

2 из 5 Ведущих Облачных Провайдеров

5

Текущая ситуация

Посмотрим вместе:

1.  WW3 map (one of) – Карта боевых действий 2.  Easy and cheap (to start) – Просто и дешево 3. Hard to mizgate – Сложно противостоять

Легко заказать

Мотивация атакующих

10

Source: Hackmageddon.com

Преступники

• Деньги • И снова деньги

Хактивизм

• Протест • Месть

Шпионаж

• Хищение секретов • Национальная безопасность

• Экономика Война

• Задачи: уничтожить, замедлить, заблокировать

• Политика

10

Злоумышленник маскируется

Slide 11

•  Маскировка –  Использование динамических IP адресов –  Несколько атакующих, использующих один IP адрес

•  Типовой инструментарий –  Content Delivery Network (CDN) –  Proxy servers –  Proxy botnets –  NAT devices –  Anonymizers –  Encrypted communicazon

•  Результат: Атаку сложней идентифицировать и отразить.

11

Несколько векторов атаки одновременно Volumetric network flood a�acks

SSL based a�acks

SYN flood attack

Applicazon Flood a�acks

Web a�acks: XSS, Brute force

Port scan

“Low & Slow” a�acks

Network scan

Intrusion

Applicazon vulnerability, malware

Web a�acks: SQL Injeczon

12

Достаточно одного успешного вектора атаки для остановки бизнеса!

Как противостоять

13

Cloud

Internet of Things

Perimeter Breakdown

Policy Enforcement

Weakness

Slow Incident

Response

Limited Security Testing

Endpoint Security Chaos

Network Virtualization

Тенденции ИТ Управление безопасностью

13

Принципы атаки и противодействия

Никто не в безопасности Ресурсы – основная цель

Скорость определит победителя

Никто не будет в безопасности – Неожиданные цели

Цели в новых секторах экономики, и организациях

Здравоохранение и образование – новые цели злоумышленников

Онлайн игры, хостинг и ISP – высокая вероятность атак

Финансовый сектор – некоторое снижение рисков

2014 Изменения с 2013

16

Интернет канал – в основном большие пакеты – размеры канала

Брандмауэр и другие аналитические устройства (stateful devices) – производительность, количество пакетов

Серверы – ограничения производительности, очереди на обслуживание, количество запросов, открытые сессии, SSL

Приложения – использование уязвимостей и ограничений

Основные цели - рессурсы

Мультивекторная атака

IPS/IDS

“Low & Slow” DoS a�acks (e.g.Sockstress)

Large volume network flood a�acks

Syn Floods

Network Scan

HTTP Floods

SSL Floods App Misuse

Brute Force

Облачная DDoS защита DDoS защита Поведенческий анализ

IPS WAF Защита от атак под SSL

Интернет канал Брандмауэр Балансировщики Атакуемые серверы SQL серверы

18

Добавление новых ресурсов обходится дороже, чем совершенствование атаки Тратить деньги или отразить атаку?

Ресурсы во время атаки

Принципы противостояния: •  Боремся за доступность ресурсов для легитимных пользователей и

исполнение их SLA •  Технологии ограничения пропускной способности (rate limit) –

атомная бомба, убивающая всех. •  Мы должны отличать легитимного пользователя от

злоумышленника. •  Наконец, должны быть отброшены только атакующие пакеты,

запрос, сессии.

Время – Продолжительность атак растет

Атаки стали сложные и продолжительные

В предыдущие годы продолжительные атаки редко превышали 6% от общего количества

В 2014 -‐ 19% были продолжительными/постоянными

52% респондентов могут бороться только против однодневных атак или даже менее продолжительных атак %

5%

10%

15%

20%

25%

30%

35%

40%

Less than a day 1 hour-‐1 day 1 day-‐1 week over a week Constantly

2011 2012 2013 2014

В 2014, 19% of атак были постоянными

20

Проблема не только в продолжительности атаки. Современные атаки могут менять вектора раз в 3-‐7 минут! Устаревшие методы – анализ и отражение «вручную» недостаточно производительны и не обеспечивают эффективности.

Время

Принципы противостояния: •  Время реакции – секунды! •  Постоянное противостояние злоумышленнику •  Работа в автоматическом режиме

Система Отражения Атак Radware

Attack Mitigation System (AMS)

DefensePro – уровни защиты

Slide 23

Поведенческая защиты

DME DDoS Mitigation Engine

(200M PPS)

L7 Regex Acceleration ASIC

Multi Purpose Multi Cores CPU’s (Up to 300 Gbps)

& Reputaxon Engine

Hardware Architecture – Tailored for A�ack Mizgazon

Attack Degree = 10 (Attack)

Abnormal rate of packets,…

A�ack Case

Rate-based anomaly axis

Y-axis X-axis

Z-axis

Atta

ck D

egre

e ax

is

Attack area

Suspicious area

Normal adapted area

Принятие решения -‐ Атака

Slide 24

Abnormal protocol distribution [%]

Slide 24

Принятие решения – рост легитимного траффика

Rate parameter input Rate-‐invariant input parameter

Degree of AEack (DoA) AEack area

Suspicious area

Normal adapted area

Low DoA

Flash crowd scenario

Slide 25

Доступные сервисы

Behavioral DoS

Real Time Signature

Network Challenge Response

Behavioral Anti-Scan

SSL Session and Network Protection

Behavioral DNS Protection

DNS Challenge Response

Behavioral HTTP Flood Protection

Behavioral Server Cracking

HTTP Polymorphic Challenge Response

Приложения

Серверы

Сеть

Уникальные технологии Radware

Web

Advanced Fingerprinting

Signaling

Encrypted Challenge Response

Attack Mitigation System

Ключевые «моменты»: •  Защита всех ресурсов •  Базируется на информации с 3-‐го по 7-‐й уровень OSI для

определения поведения легитимных клиентов. Дает возможность работы под атакой. Лицензируется по легитимному трафику.

•  Построение динамической сигнатуры против атаки за 18 секунд! •  Не требует участия администратора ИБ •  Включает как собственное оборудование, так и облачный сервис •  Защищает от всех атак OWASP-‐10 •  Все изменения в WEB – автоматически определяются, уязвимости

блокируются


Traditional Data Center

Network Layer

Business Applicazons

29

Service Layer

Command & Control

Command & Control

Command & Control

Data Center Transformation – Software Defined …

30

Automazon Orchestrazon

Stacks

IT/DevOps

Network Layer


Service Layer Command & Control

Command & Control SDN Controller

Data Center Transformation – Software Defined …


Stacks

IT/DevOps

31

Security

Apps Delivery

Network Layer


Command & Control

SDN Controller

Data Center Transformation – Software Defined Services



Stacks

IT/DevOps

32

Radware is the only vendor that provides A}ack Mixgaxon Soluxons!

Security

Apps Delivery

Security

Network Layer

Data Center Transformation – Software Defined Services

Network Layer


33

Radware’s synergexc approach guarantees the highest service-‐level

Security

Apps Delivery Normal

Operaxon Performance Degradaxon Outage

Introducing Radware Radware/Cisco Solution Mapping Solutions Overview & Differentiators Summary

Radware/Cisco Joint Solutions Mapping

OpenDaylight SDN UCS Nexus 9000 ACI

35

Cisco ACI - Alteon Integration

DDoS ADC

  ACI in the data center is a holiszc architecture with centralized automazon and policy-‐driven applicazon profiles.

  ACI delivers so�ware flexibility with the scalability of hardware performance.

36

Typical Applicaxons:

www

Cisco ACI-Alteon Integration

DDoS ADC

37


www

Radware Service Engines Available as:

ADC Hypervisor

Cisco ACI-DefensePro Integration

DoS/DDoS Protecxon

ADC

Typical Applicaxons:   Per-‐tenant a�ack proteczon   Infrastructure proteczon   Value-‐add security services

Radware A�ack Mizgazon Pla�orms Available as:

DDoS Protecxon Appliance

Protecxon Policy per

Applicaxon

38


www

Cisco UCS: About

  Cisco Unified Compuzng System (UCS) is a next-‐generazon data center pla�orm that: -  Unites compute, network, storage access, and

virtualizazon into a cohesive system -  Enterprise-‐class, x86-‐architecture servers -  Designed to reduce TCO and increase business agility

39


www

Cisco UCS: Building Blocks

www. ADC

ADC DNS

40

Cisco UCS: Alteon NFV Integration

www.

DNS

Typical Applicaxons: •  Carrier core network applicazons •  Online giant web applicazons

41

Cisco UCS: Alteon VA Integration

www.

Alteon VA: Load Balancing, WAF, Defense Messaging

42

Cisco UCS: DefensePro Integration

www.

Typical Applicaxons: •  Per-‐applicazon a�ack monitoring •  Per-‐applicazon a�ack mizgazon •  Infrastructure proteczon •  Value-‐add security services

43

Cisco SDN Solutions

44

SDN Control Layer

Northbound API

OpenFlow API

SDN Applicazons

SDN Data Plane

  The Cisco Open SDN Controller is a commercial distribuzon of OpenDaylight   Delivers business agility through automazon of standard-‐based network infrastructure

  Cisco supports SDN through a range of Cisco switches and routers

Cisco SDN – Radware DDoS Protection

SDN Data Plane

45

SDN Control Layer

SDN Applicazons

DefensePro

Northbound API

OpenFlow API

  Radware DefenseFlow: SDN Applicazon that programs networks for a�ack proteczon   Radware DefensePro:

-  Best DDoS proteczon and a�ack mizgazon soluzon in the industry -  Connect anywhere in the network -  Virtualize security services per protected object

Cisco SDN – Radware DDoS Protection

Perimeter LAN

DefensePro

Traffic Monitoring

Clean traffic forwarded to desznazon

Diverted suspicious

traffic

Internet Cisco Switch

Traffic Monitoring

Typical Applicaxons:   Per network tenant a�ack proteczon   Infrastructure proteczon   Value-‐add security services

A}ack Detected: Suspicious traffic diverted Clean traffic forwarded to desznazon

46


Итоги   Самое быстрое и точное решение для борьбы с DDoS атаками на всех уровнях   Единственное интегрированное решение, позволяющее обеспечить SLA   Первая система контроля доставки приложений для NFV   Повышение гибкости ЦОД и услуг   Интеграция во все новые решения Cisco для ЦОД и сетей операторов

48

www.radware.com.ru