Безопасность ЦОД-часть 1
Nov 11, 2014
Welcome message from author
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
Назим Латыпаев, [email protected]
Организационные вопросы
1. Нам очень важно Ваше мнение – заполняйте, пожалуйста,
предложенные анкеты, после каждой сессии!
2. Пожалуйста, помните, что в зале курить запрещено!
3. Пожалуйста, выключите ваши мобильные телефоны!
4. Пожалуйста, используйте мусорные ведра!
5. Пожалуйста, держите Ваш регистрационный пропуск при себе!
Основные вызовы безопасности в виртуальной
среды
Риски эксплуатации Изоляция и сегментация Server
Team Security
Team
Network
Team Физический сервер
Sensitive Non-Sensitive
Как внедрять политику?
Физический сервер
Отсутствие
видимости
Интернет
Партнеры
Сервисы VM Виртуальн.
доступ Доступ
Агрегация и сервисы
Ядро Граница IP-
магистраль SAN Вычисления
App
OS
App
OS
App
OS
App
OS
App
OS
App
OS
App
OS
App
OS
App
OS
App
OS
App
OS
App
OS
App
OS
App
OS
App
OS
App
OS
App
OS
App
OS
App
OS
App
OS
App
OS
App
OS
App
OS
App
OS
App
OS
App
OS
App
OS
App
OS
App
OS
App
OS
IP-NGN
Firewall Contexts
Virtual Device Contexts
Fabric Extension
Zones, vSANs
Port Profiles & VN-Link
Port Profiles & VN-Link
VRFs
Virtual Device Contexts
Service Profiles
Virtual Machine Optimization
Архитектура Cisco Data Center
Зоны виртуализации
Cisco ASA
5585-X
Cisco Catalyst® 6500
Series ASA Services
Module • Масштабируемая производительность
• Политики безопасности для Edge
• Гибкая модель развертывания
Физические устройства и модули Cisco Multi-Scale™ data center-class Cisco®
ASA devices
Cisco VSG Cisco ASA 1000V
Cloud Firewall
• Надежный фаервол для облака
• Специфические политики для
арендаторов и виртуальных машин
• Автоматизация и развертывание по
политике
Облачный фаервол
Продвинутая облачная безопасность
Физические Виртуальные и облачные
Физические устройства защиты
Физические устройства защиты
Сервисный Модуль ASA
Устройства ASA 5585 Hypervisor
Traditional Service Nodes
Virtual Contexts
VLANs
App Server
Database Server
Web Server
Устройства защиты от атак Cisco IPS
Межсетевые Экраны Cisco ASA 5585-X
ASA 5585-SSP10 ASA 5585-SSP20
ASA 5585-SSP40
ASA 5585-SSP60
4 Гбит/c — пропускная
способность
межсетевого экрана
2 Гбит/с — пропускная
способность системы
IPS
50 000 соединений в
секунду
10 Гбит/с —
пропускная
способность
межсетевого экрана
3 Гбит/с — пропускная
способность системы
IPS
125 000 соединений в
секунду
20 Гбит/с —
пропускная
способность
межсетевого экрана
5 Гбит/с — пропускная
способность системы
IPS
200 000 соединений в
секунду
40 Гбит/с —
пропускная
способность
межсетевого экрана
10 Гбит/c —
пропускная
способность системы
IPS
350 000 соединений в
секунду
Комплекс зданий Центр обработки данных
Новый модуль ASA для Catalyst 6500
Показатель Значение
Производительность шасси 64 Гбит/сек
Производительность модуля 16 Гбит/сек
Одновременных сессий 10M
Новых соединений в секунду 350K
Контекстов безопасности 250
VLANs 1K
Высокий уровень масштабируемости • Выход за рамки традиционных
решений
• Наращивание мощностей в
соответствии с ведущими
отраслевыми системными
возможностями
– 64 Гбит/с
– 1,2 млн. соединений в секунду
– 1 000 виртуальных контекстов
– 4 000 сетей VLAN
• Поддержка решений для ЦОД,
например развертываний
частных облачных
инфраструктур
Устройства Cisco IPS серии 4500
• Специализированные высокоскоростные устройства IPS с учетом контекста
• Обработка с аппаратным ускорением Regex
• Развертывания на уровне ядра ЦОД или предприятия
• Один интерфейс Gigabit Ethernet, один интерфейс 10 Gigabit Ethernet и слот SFP
• Масштабируемость: доступен слот для будущего наращивания мощностей
Cisco IPS 4510
Производительность • Реальный средний показатель: 3 Гбит/с • Реальный диапазон показателей: 1.2-5 Гбит/с • Транзакционная передача по HTTP: 5 Гбит/с
Характеристики платформы: • 2 RU (шасси) • Многоядерный ЦП корпоративного класса (8
ядер, 16 потоков) • 24 ГБ ОЗУ • Резервный источник питания • Аппаратное ускорение Regex • Открытый слот (в верхней части) для
использования в будущем
Места развертывания • Средние и крупные предприятия • ЦОД кампуса • Требуется 3 Гбит/с реальной пропускной
способности IPS • Требуется резервный источник питания • Требуется специализированная система IPS
Порт AUX и
консоль
Интегрированный
ввод-вывод 6 GE Cu
Индикаторы
состояния
Порты
управления
Отсеки для
жесткого диска
(пустые)
Интегрированный
ввод-вывод 4 слота 10 GE
SFP
2 порта
USB
Cisco IPS 4520
Производительность • Реальный средний показатель: 5 Гбит/с • Реальный диапазон показателей: 2.5-7.7 Гбит/с • Транзакционная передача по HTTP: 7,6 Гбит/с
Характеристики платформы: • 2 RU (шасси) • Многоядерный ЦП корпоративного класса (12
ядер, 24 потоков) • 48 ГБ ОЗУ • Резервный источник питания • Аппаратное ускорение Regex (x2) • Открытый слот (в верхней части) для
использования в будущем
Места развертывания • Средние и крупные предприятия • Центр обработки данных • Требуется 5 Гбит/с реальной пропускной
способности IPS • Требуется резервный источник питания • Требуется специализированная система IPS
Порт AUX и
консоль
Интегрированный
ввод-вывод 6 GE Cu
Индикаторы
состояния
Порты
управления Отсеки для
жесткого
диска (пустые)
Интегрированный
ввод-вывод 4 слота 10 GE
SFP
2 порта
USB
CSR 1000V – Cloud Services Router
13
Server
Hypervisor
Virtual Switch
VPC/ vDC
OS
App
OS
App
CSR 1000V
Основан на IOS-XE
Избранный функционал IOS-XE для Облачных архитектур
Инфраструктурно независимый
Сервер, Коммутатор и Мульти-Гипервизор
Cisco UCS – Intel Nehalem и выше
Работает на N1KV,vSwitch,dVS.
Поддерживается VMware ESXi 5.0. Xen и Red Hat KVM
Поддержка Amazon AMI в будущем
Шлюз для Single Tenant WAN
4 vCPU (2 ядра *2 = 4 vCPU с поддержкой Hyper Threading)
APIs для Облачной Автоматизации
Поддерживаемый функционал – IOS / Виртуализация IOS-XE Поддерживаемые функции
Маршрутизация BGP, EIGRP, OSPFv3, RIPv2, ISIS, MPLS, LISP
Безопасность Zone Based Firewall, Site-to-Site VPN, EZVPN, DMVPN, FLEX VPN
L2 OTV, VPLS, L2TPv3, EVC
Отказоустойчивость HSRP, VRRP
Оптимизация WAN WCCPv2, AppNav
Управление Flexible NetFlow , EEM, IP SLA
Инфраструктура NAT, ACL, QoS, GRE, Multicast, NBAR2 / AVC
Поддерживаемый функционал VMWare ESXi
Поддерживаемый Cloning, Templates, vMotion, NIC Teaming, High Availability, DRS, Fault
Tolerance (FT) Не
Поддерживаемый Snapshots
VSG
Public
Zone
Protected
Zone Zone
1
Zone
2
Zone
3
Sub
-
Zon
e
W
Sub
-
Zon
e X
Sub
-
Zon
e Y
Sub
-
Zon
e Z
FE Zones
Простая Виртуальная Топология в Приватном
и/или Публичном Облаке ПО
• Пример дизайна виртуальных сервисов
• Виртуальный сервер – с единой точка контроля для арендатора (tenant)
• Выделенная зона VSG для распределения рабочей нагрузки
• Виртуальный маршрутизатор для арендатора
• Миграция рабочей нагрузки Публичное облако ПО
L3 VPN
Internet
Back-end Zones
ASA1000v CSR1000v
Nexus 1kv + VPATH
Load balancers vNAM vWaaS
15
Citrix NetScaler 1000V в Портфолио Облачных
Сервисов
VSM = Virtual Supervisor Module
DCNM = Data Center Mgt. Center
Nexus 1000V
vPath
Any Hypervisor
VM VM VM
• Citrix лучший в своем классе Контроллер
предоставления виртуальных приложений
(virtual application delivery controller - vADC)
• Продается и поддерживается Cisco
• Интеграция с Nexus 1110/1010, vPath
Cisco Cloud Network Services (CNS) Citrix
NetScaler
1000V
Prime virtual
NAM
Imperva
SecureSphere
WAF
Virtual
Security
Gateway
Nexus 1110 Платформа Облачных Сервисов
VSM VSM DCNM*
Citrix
NetScaler
1000V
NetScaler 1000V – Поддерживаемый функционал
Безопасность приложений Platinum
Edition
Enterprise
Edition
Standard
Edition
Защита от L4 DoS X X X
L7 фильтрация контента и перезапись
HTTP/URL
X X X
Коннектор XenMobile NetScaler X X X
Поддержка SAML2 X X X
Защита от L7 DoS X X
AAA для Управления Трафиком X X
МСЭ приложений Citrix с поддержкой XML X
• VSG это прозрачный фаервол • Используется внутри арендатора
(трафик восток-запад) • Независит от топологии и VLAN • Может фильтровать между
виртуальными машинами в одной подсети и VLAN
• ASA 1000V маршрутизирующий МСЭ • Используется на границе арендатора
(трафик север-юг) • Разрешает только трафик к/от VM с
inside интерфейса (нет физических серверов в Inside)
• Служит default gateway для VMs с inside стороны
• Все IP с inside интерфейса должны быть в одной подсети с inside интерфейсом
ASA/VSG Развертывание и дизайн размещения
ASA 1000V
Virtual Security
Gateway
(VSG)
• Взаимодополняющая модель безопасности
Cisco Virtual Secure Gateway (VSG) для внутренней безопасности зоны арендатора
Cisco ASA 1000V для безопасности границы арендатора
• Прозрачная интеграция
С помощью Cisco Nexus® 1000V коммутатора и Cisco vPath
• Расширяем гибкость решения для решения потребностей облака
Много-экземплярное развертывание для масштабирования в ЦОД
Арендатор B Арендатор A VDC
vApp
vApp
Hypervisor Cisco Nexus® 1000V
Cisco vPath
VDC
Cisco® Virtual Network Management Center (VNMC)
VMware vCenter
Cisco
VSG Cisco
VSG
Cisco
VSG
Cisco ASA
1000V
Cisco ASA
1000V
Cisco
VSG
• Один арендатор может иметь до трех уровней вложенности
• Каждый подуровень может иметь множественные организации
• Поддерживаются пересекающиеся адресные планы арендаторов
Root Арендатор A
Арендатор B DC 3
DC 2
DC 1 App 1
App 2
Tier 2
Tier 3
Tier 1
Уровень
Арендатора vDC
Уровень
vApp
Уровень Уровень
узла
Уровень доступа арендатора
VMware
vCenter
Cisco®
VNMC
Cisco
Nexus®
1000V
Отдел серверной
поддержки
Управление
сетью
Атрибуты VM
Профили
портов
Профили
безопасности
Сторонние
утилиты
управления
и
оркестрации XML API
Мультиарендаторный менеджер
Динамическое управление по
политикам
Гибкость по средствам XML API
Отдел
безопасности
ASA Inside
и Outside
Профили безопасности и профили устройств
VM атрибуты
Взаимодействие портовых профилей
VM атрибуты
VSG Путь данных
VM-to-IP Binding
Пакеты
ESX Servers
Nexus 1000V vPath
VMWare
vCenter
VSM VSM (Nexus) VSN
VSG
Пакеты
VSN
Virtual Network Management
Center (VNMC)
ASA
Профили безопасности профили устройств
Nexus VSM
VNMC
ASA 1000V
VSG
Nexus 1000V
Distributed Virtual Switch
VM VM 1 VM
VM VM
VM
VM VM VM
VM
VM
VM VM
VM VM 2 VM
VM
vPath
ASA не участвует в
пути связи между VM
одной подсети
1
Inside
2
vPath Encap links
ASA
VSG
Traffic Path
Outside
Nexus 1000V
Distributed Virtual Switch
VM VM 1 VM
VM VM
VM
VM VM VM
VM
VM
VM VM
VM VM 2 VM
VM
vPath Inside
3
vPath Encap links
4
ASA
VSG
Traffic Path
Outside
Пример внедрения
Nexus 1000V
Distributed Virtual Switch
VM VM 1 VM
VM VM
VM
VM VM VM
VM
VM
VM VM
VM VM 2 VM
VM
vPath Inside
vPath Encap links
vPath применяет политику
на VEM уровне и
политика сгружается от
VSG к VEM
ASA
VSG
Traffic Path
Outside
Пример внедрения
Nexus 1000V
Distributed Virtual Switch
VM VM VM
VM VM
VM
VM VM VM
VM
VM
VM VM
VM VM VM
VM
vPath Inside
2
1
vPath Encap links
ASA
VSG
Traffic Path
Outside
VSG решение
загружается на VEM
Очередность сервисов
Nexus 1000V
Distributed Virtual Switch
VM VM VM
VM VM
VM
VM VM VM
VM
VM
VM VM
VM VM VM
VM
vPath
Пакет выходит из
виртуализированной
инфраструктуры
5
ASA Outside
Inside
ASA Inline
Enforcement
4
3
vPath Encap links
Traffic Path
VSG
Очередность сервисов
VMWare vSphere 4.0+ и Virtual Center
Nexus 1000V Series коммутатор ( v1.4 и более)
Один и более Активных VSGs на арендатора
Virtual Network Management Center (VNMC)
VSG Требования к развертыванию
vSphere
Заметка: Лицензирование основано на количестве
защищаемых CPU сокетов (как и Nexus 1000V)
VSG может защищать часть Nexus 1000V-
лицензированных CPUs.
vPath
VMWare vSphere 4.1+ и Virtual Center
Nexus 1000V Series коммутатор (4.2(1)SV1(5.2) и более)
Один и более Активных ASA на арендатора
Virtual Network Management Center (VNMC)
ASA1000V Требования к развертыванию
vSphere
Заметка: Лицензирование основано на количестве
защищаемых CPU сокетов (как и Nexus 1000V)
ASA может защищать часть Nexus 1000V-
лицензированных CPUs.
vPath
Безопасность виртуализации вычислений
(серверная виртуализация)
Внедрение политик информационной безопасности
Проблемы переноса политики с физических серверов на
виртуальные
vMotion и аналоги могут нарушать политику Сегментация и изоляция
Потеря изоляции VM из-за ошибок конфигурации или атак Уязвимости гипервизора и систем управления
Отсутствие наблюдаемости Отсутствие контроля над трафиком между VMs
Риски эксплуатации
Разделение полномочий админов серверов, сети и безоп.
Часто администраторы имеют завышенные полномочия
Несвоевременная установка обновления на VMs и гипервизор
“Забытые” виртуальные машины
С чем сталкиваются заказчики ?
Hypervisor
Virtual Contexts
VLANs
App Server
DB Server
Web Server
Безопасность гипервизора - ключ к безопасности
среды виртуализации
Експлойт Blue Pill разработанный
Йоанной Рутковской для
процессоров AMD переносил
хостовую ОС в виртуальную
среду (2006)
VMSA-2009-0006
Уязвимость в ESX 3.5, Workstation, etc.
Исполнение кода из VM Guest на хосте
Переполнение буфера в графическом
драйвере
Классические уязвимости среды виртуализации
Время не стоит на месте
Уязвимость в реализации инструкции SYSRET
всех выпущенных x86-64 процессоров Intel
позволяет выходить за пределы виртуальной
машины - http://www.xakep.ru/post/58862/
19.06.2012 http://www.xakep.ru/post/58862/
Как взломать Vmware vCenter за 60 секунда
http://2012.confidence.org.pl/materials - Май 2012
VASTO (Virtualization ASsessment Toolkit) –
Первый модуль поиска уязвимостей
виртуализации для Metasploit доступен для
широкой публики http://vasto.nibblesec.org/
Внедрение политик и сегментация для
виртуальных машин
Сегментация и изоляция VM
1. Сегментация на уровне
фабрики UCS Fabric Interconnect
2. Сетевая сегментация
на коммутаторе Nexus 1000V или физический
коммутатор ЦОД
3. Сегментация на
физических устройствах
безопасности ASA 5585-X, IPS
4. Сегментация на
виртуальных
устройствах безопасности Cisco Virtual Security Gateway,
Cisco ASA 1000V
Обеспечение согласованной политики в пределах физических и виртуальных границ сети
Сегментация на Унифицированной фабрики Cisco UCS VIC (Virtual Interface Card) поддерживает VM-FEX (VN-Link)
С VM-FEX, каждой виртуальной машине (VM) предоставляется выделенный порт коммутатора доступа в ЦОД (Nexus 5500 или Fabric Interconnect)
Весь трафик VM отсылается
непосредственно на порт коммутатора
Physical Network
Hyp
erv
is
or
Hyp
erv
is
or
VM VM VM VM VM VM VM VM
vEth
vNIC
Port Profiles
Definition WEB Apps
HR
DB
Compliance VLAN Web
VLAN HR
VLAN DB
VLAN Comp
Cisco® UCS с сетевой картой VIC унифицирует виртуальные и физические сети
1
Сегментация на виртуальном коммутаторе
Cisco Nexus 1000V
Поддержка гипервизоров : vSphere ; анонс для Win8/Hyper-V/KVM/Xen
Nexus 1000V
• До 64 виртуальных карты Virtual
Ethernet Module (VEM)
• 2 виртуальных супервизора
Virtual Supervisor Module (VSM)
• Политики безопасности
• Технология vPath для
подключения виртуальных
межсетевых экранов
Virtual Center
VMW ESX
Server 1
VMware vSwitch VMW ESX
Server 2
VMware vSwitch VMW ESX
Server 3
VMware vSwitch
VM
#1
VM
#4
VM
#3
VM
#2
VM
#5
VM
#8
VM
#7
VM
#6
VM
#9
VM
#12
VM
#11
VM
#10
VEM VEM VEM Nexus 1000V
Nexus 1000V
VSM
2
Возможности Nexus 1000V
Коммутация L2 Switching, 802.1Q Tagging, VLAN Segmentation, Rate Limiting (TX)
IGMP Snooping, QoS Marking (COS & DSCP)
Безопасность Policy Mobility, Private VLANs w/ local PVLAN Enforcement
Access Control Lists (L2–4 w/ Redirect), Port Security
Dynamic ARP inspection, IP Source Guard, DHCP Snooping
Внедрение Automated vSwitch Config, Port Profiles, Virtual Center Integration
Optimized NIC Teaming with Virtual Port Channel – Host Mode
Наблюдаемость VMotion Tracking, ERSPAN, NetFlow v.9 w/ NDE, CDP v.2
VM-Level Interface Statistics
Управление Virtual Center VM Provisioning, Cisco Network Provisioning, CiscoWorks
Cisco CLI, Radius, TACACs, Syslog, SNMP (v.1, 2, 3)
Community
VLAN
Isolated VLAN
Promiscuous Port
Изоляция VM: Cisco Private VLAN
• Private VLAN изоляция
хостов из одной подсети
на L2
• Поддержка традиционных
Cisco PVLAN: порты
Isolated и Community
• Физическая
инфраструктура
понимает PVLAN
Promiscuous Port
10.10.10.10
10.10.10.1
10.10.20.20
10.10.20.20
dcvsm(config)# ip access-list
deny-vm-to-vm-traffic
dcvsm(config-acl)# deny ip host
10.10.10.10 host 10.10.20.20
dcvsm(config-acl)# permit ip any
any
Изоляция VM и контроль трафика
• ACL на портах
• Ограничение трафика между VM
• Настройки как между физическими серверами
• Использовать вместе с VLANs, PVLAN
VDC
vApp
vApp
VDC
Nexus 1000V vPath
vSphere
Наблюдаемость: мониторим трафик между VMs
с помощью физических IDS и анализатора
NetFlow Analyzer
ERSPAN DST
ID:1
ID:2
Aggregation
Zone B Zone C
Intrusion Detection
NetFlow
SPAN
Для снятия трафика используем коммутатор Nexus 1000V с поддержкой • NetFlow v9 • ERSPAN/SPAN Используем для детектирования • атак между серверами • нецелевого использования ресурсов • нарушения политики безопасности Нужно быть готовым к большому объему трафика
VMWare
vCenter
VSM
Virtual Network
Management Center
(VNMC)
VSG
VSG/VNMC Шаги развертывания
1) Установка VNMC
2) Регистрация VNMC в vCenter
3) Регистрация VSM в VNMC
4) Развертывание VSG
5) Регистрация VSG в VNMC
6) Развертывание ASA
7) Регистрация ASA to VNMC
1
2
3
4
5
Заметка: vCenter, vSphere and Nexus 1000V (VSM & VEMs) предполагается что уже установлены;
VSM может быть VM или Nexus 1110
ASA
6 7
• Compute Firewall Представление VSG
виртуальной машины в VNMC.
Используется для ассоциации
конфигурации с VSG
• Edge Firewall Представление ASA 1000V
виртуальной машины в VNMC.
Используется для ассоциации
конфигурации с ASA 1000V
Определения
• Edge Device Profile Содержит сервисные политики, включая: routing, DHCP, и global VPN конфигурацию.
Используется для применения конфигураций для конкретных ASA
• Edge Security Profile Содержит политики безопасности: ACL, NAT, Protocol Inspections, VPN, и TCP Intercept
Применяется используя vservice команду на Nexus 1000V
Используется для применения конфигурации к конкретной ASA или группе VM
Определения
• Device Profile Содержит политику устройства,
включая AAA, syslog, и SNMP
колитики.
Используется для применения
политик к устройствам разных
типов.
Определения
• Policy Set Содержит одну или более
политик
Назначаются профилю
• Policy Содержит конкретные
правила, такие как ACL
записи, NAT настройки,
инспекции протоколов и т.д.
Определения
1 Zones
2 Policies
3 Rules
4 Conditions
5 Policy Set
6 Security-
Profile
7 Assign VSG
8 Profile-
Binding
Policy Management > Firewall Policy > Tenant > Zones
Формирование политики безопасности
Policy Management > Service Policies > Tenant > Policy helpers > Zones
1 Zones
2 Policies
3 Rules
4 Conditions
5 Policy Set
6 Security-
Profile
7 Assign VSG
8 Profile-
Binding
Формирование политики безопасности
Policy Management > Service Profiles > Tenant > Security Profile > Policy Set
1 Zones
2 Policies
3 Rules
4 Conditions
5 Policy Set
6 Security-
Profile
7 Assign VSG
8 Profile-
Binding
Формирование политики безопасности
Отредактируйте политику, чтобы создать правила, где Source и Destination основываются на атрибутах
1 Zones
2 Policies
3 Rules
4 Conditions
5 Policy Set
6 Security-
Profile
7 Assign VSG
8 Profile-
Binding
Формирование политики безопасности
Ru
le
Source
Condition
Destination
Condition Action
Attribute Type
Network
VM
Custom
VM Attributes
Instance Name
Guest OS full name
Zone Name
Parent App Name
VM Attributes
Port Profile Name
Cluster Name
Hypervisor Name
Network Attributes
IP Address
Network Port
Operator
eq
neq
gt
lt
range
Operator
Not-in-range
Prefix
member
Not-member
Contains
Conditio
n
Политики
57
vservice node ASA1 type asa — ip address 172.18.25.110
— adjacency l2 vlan 3770
vservice node VSG1 type vsg — ip address 192.168.1.97
— adjacency l3
vservice path chain-TenantA — node VSG1 profile sp-web order 10
— node ASA1 profile sp-edge order 20
port-profile type vethernet Tenant-A —org root/Tenant-A
—vservice path chain-TenantA
Свяжем VSG и ASA 1000V для арендатора в цепочку
Обозначим
сервисные ноды на
Nexus 1000V
Выставим цепочку и
сервисных нод –
очередь изнутри
наружу
Включим сервисную
цепочку в портовом
профиле
Пример очередности сервисов
ASA: Разрешает только порт 80(HTTP) к Веб-Серверам
VSG: Разрешает доступ к ДБ серверам только от WEB-серверов
Арендатор-A
Web-Zone Database-Zone
VSG: Разрешает клиентам соединяться только к WEB-серверам, запрещает
доступ к ДБ серверам
ASA: Блокирует все внешние запросы к ДБ серверам
Web Server
DB Server
App-Zone
Client
IP – 192.168.1.1 IP – 192.168.1.2 IP – 192.168.1.203
ASA
VSG
ASA: NAT External IP 10.10.25.100
Web Server
ASA 1000V - Edge Security Profile
VSG - Compute Security Profile
Web Client
Пример внедрения 3-х узловая серверная зона
Поддержка виртуализации в ASA
Виртуальные контексты на семействе ASA
до 256 виртуальных контекстов на ASA 5585 и ASA SM (до 1000 контекстов на кластер с ASA 9.0)
до 1024 VLAN, которые могут разделяться между контекстами (до 4000 VLAN на кластер с ASA 9.0)
контексты в режиме L2 или L3
контекст – это полнофункциональный файервол
контроль ресурсов для контекстов (MAC-адреса, соединения, инспекции, трансляции…)
До 32 интерфейсов в L2-контекстах
4 интерфейса в бридж-группе. 8 бридж-групп на виртуальный контекст
FW_1 FW_2 FW_3
L2 L3 L2
Цепочка сервисов безопасности в технологии
vPath
Cisco Nexus® 1000V
Distributed Virtual Switch
VM VM VM
VM VM
VM
VM VM VM
VM
VM
VM VM VM
VM VM VM VM
vPath
VSG
Cisco® ASA
1000V
1 2
3
4 5
Интеллектуальный отвод трафика с vPath
Разделение обязанностей
VM атрибуты
XML API vCenter VNMC
Cisco
Nexus®
1000V
Manager /
Orchestrator
Tools
Серверная команда
Команда по ИБ
Сетевая команда
• Управление многопользовательскими ЦОД (multitenant)
• Динамическое управление на основе политик
• Гибкость с помощью внешнего XML API
Server
Admin
vCenter
Network
Admin
Nexus 1 KV
Security
Admin
VNMC
Безопасность облачных сервисов
• Одно приложение на
сервере
• Ручная конфигурация
политик
• Множество приложений
на сервере
• Динамич. конфигурация
• Множество пользователей
на сервере
• “Чужая” инфраструктура
Гипервизор VDC-1 VDC-2
Согласованные : Политики, Функции безопасности, Управление
Физический
ЦОД
Виртуальный
ЦОД
Облачный
ЦОД
Nexus 1000V, VM-FEX
VSG*, ASA 1000V**
UCS for Virtualized Workloads
Nexus 7K/5K/3K/2K
ASA 5585, ASA SM
UCS for Bare Metal
* Virtual only, ** Announced
Коммутация
Безопасность
Вычисления
Эволюция безопасности в IT
Cloud Security Alliance (CSA)
“Security Guidance for Critical Areas of Focus in Cloud Computing” Whitepaper: комплексное руководство, которое говорит как защищать облачные архитектуры, как управлять Облаками и как безопасно использовать облачные среды: http://www.cloudsecurityalliance.org/csaguide.pdf
Также разработан модель угроз для облачных сред “Top threats to Cloud Computing” : http://www.cloudsecurityalliance.org/topthreats/csathreats.v1.0.pdf
В состав корпоративных членов CSA входят:
Управление облаком
Governance & Enterprise Risk Management
Legal & eDiscovery
Compliance and Audit
Data Life Cycle Management
Portability & Interoperability
Эксплуатация облачных сервисов
Traditional Security
Data Center Operations
Incident Response
Virtualization
Identity & Access Management
Application Security
Encryption & Key Management
Cloud Security Alliance: Руководство по
безопасности облачных вычислений Архитектура облачных вычислений
Использование облаков требуют доверия!
Полезные ресурсы по теме
Cisco Virtualization Security
http://www.cisco.com/en/US/netsol/ns1095/index.html
Design Guide: Security and Virtualization in the Data Center
http://www.cisco.com/en/US/partner/docs/solutions/Enterprise/Data_Center/DC_3_0/dc_sec_design.html
Cisco VMDC Unified Data Center for cloud or traditional environments.
http://www.cisco.com/go/vmdc
Vmware
Vmware Security Hardening Guide http://www.vmware.com/resources/techresources/10198
Microsoft
Hyper-V Security Guide technet.microsoft.com/en-us/library/dd569113.aspx
PCI DSS https://www.pcisecuritystandards.org/documents/Virtualization_InfoSupp_v2.pdf
NIST - Guide to Security for Full Virtualization Technologies http://csrc.nist.gov/publications/nistpubs/800-125/SP800-125-final.pdf
Cloud Security Alliance https://cloudsecurityalliance.org/
13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved.
Пожалуйста, заполните анкеты.
Ваше мнение очень важно для нас.
Спасибо
Related Documents
