Download - Безопасность ЦОД-часть 1
![Page 1: Безопасность ЦОД-часть 1](https://reader033.vdocument.in/reader033/viewer/2022042606/54621c31af79597b0b8b6e5c/html5/thumbnails/1.jpg)
Назим Латыпаев, [email protected]
![Page 2: Безопасность ЦОД-часть 1](https://reader033.vdocument.in/reader033/viewer/2022042606/54621c31af79597b0b8b6e5c/html5/thumbnails/2.jpg)
Организационные вопросы
1. Нам очень важно Ваше мнение – заполняйте, пожалуйста,
предложенные анкеты, после каждой сессии!
2. Пожалуйста, помните, что в зале курить запрещено!
3. Пожалуйста, выключите ваши мобильные телефоны!
4. Пожалуйста, используйте мусорные ведра!
5. Пожалуйста, держите Ваш регистрационный пропуск при себе!
![Page 3: Безопасность ЦОД-часть 1](https://reader033.vdocument.in/reader033/viewer/2022042606/54621c31af79597b0b8b6e5c/html5/thumbnails/3.jpg)
Основные вызовы безопасности в виртуальной
среды
Риски эксплуатации Изоляция и сегментация Server
Team Security
Team
Network
Team Физический сервер
Sensitive Non-Sensitive
Как внедрять политику?
Физический сервер
Отсутствие
видимости
![Page 4: Безопасность ЦОД-часть 1](https://reader033.vdocument.in/reader033/viewer/2022042606/54621c31af79597b0b8b6e5c/html5/thumbnails/4.jpg)
Интернет
Партнеры
Сервисы VM Виртуальн.
доступ Доступ
Агрегация и сервисы
Ядро Граница IP-
магистраль SAN Вычисления
App
OS
App
OS
App
OS
App
OS
App
OS
App
OS
App
OS
App
OS
App
OS
App
OS
App
OS
App
OS
App
OS
App
OS
App
OS
App
OS
App
OS
App
OS
App
OS
App
OS
App
OS
App
OS
App
OS
App
OS
App
OS
App
OS
App
OS
App
OS
App
OS
App
OS
IP-NGN
Firewall Contexts
Virtual Device Contexts
Fabric Extension
Zones, vSANs
Port Profiles & VN-Link
Port Profiles & VN-Link
VRFs
Virtual Device Contexts
Service Profiles
Virtual Machine Optimization
Архитектура Cisco Data Center
Зоны виртуализации
![Page 5: Безопасность ЦОД-часть 1](https://reader033.vdocument.in/reader033/viewer/2022042606/54621c31af79597b0b8b6e5c/html5/thumbnails/5.jpg)
Cisco ASA
5585-X
Cisco Catalyst® 6500
Series ASA Services
Module • Масштабируемая производительность
• Политики безопасности для Edge
• Гибкая модель развертывания
Физические устройства и модули Cisco Multi-Scale™ data center-class Cisco®
ASA devices
Cisco VSG Cisco ASA 1000V
Cloud Firewall
• Надежный фаервол для облака
• Специфические политики для
арендаторов и виртуальных машин
• Автоматизация и развертывание по
политике
Облачный фаервол
Продвинутая облачная безопасность
Физические Виртуальные и облачные
Физические устройства защиты
![Page 6: Безопасность ЦОД-часть 1](https://reader033.vdocument.in/reader033/viewer/2022042606/54621c31af79597b0b8b6e5c/html5/thumbnails/6.jpg)
Физические устройства защиты
Сервисный Модуль ASA
Устройства ASA 5585 Hypervisor
Traditional Service Nodes
Virtual Contexts
VLANs
App Server
Database Server
Web Server
Устройства защиты от атак Cisco IPS
![Page 7: Безопасность ЦОД-часть 1](https://reader033.vdocument.in/reader033/viewer/2022042606/54621c31af79597b0b8b6e5c/html5/thumbnails/7.jpg)
Межсетевые Экраны Cisco ASA 5585-X
ASA 5585-SSP10 ASA 5585-SSP20
ASA 5585-SSP40
ASA 5585-SSP60
4 Гбит/c — пропускная
способность
межсетевого экрана
2 Гбит/с — пропускная
способность системы
IPS
50 000 соединений в
секунду
10 Гбит/с —
пропускная
способность
межсетевого экрана
3 Гбит/с — пропускная
способность системы
IPS
125 000 соединений в
секунду
20 Гбит/с —
пропускная
способность
межсетевого экрана
5 Гбит/с — пропускная
способность системы
IPS
200 000 соединений в
секунду
40 Гбит/с —
пропускная
способность
межсетевого экрана
10 Гбит/c —
пропускная
способность системы
IPS
350 000 соединений в
секунду
Комплекс зданий Центр обработки данных
![Page 8: Безопасность ЦОД-часть 1](https://reader033.vdocument.in/reader033/viewer/2022042606/54621c31af79597b0b8b6e5c/html5/thumbnails/8.jpg)
Новый модуль ASA для Catalyst 6500
Показатель Значение
Производительность шасси 64 Гбит/сек
Производительность модуля 16 Гбит/сек
Одновременных сессий 10M
Новых соединений в секунду 350K
Контекстов безопасности 250
VLANs 1K
![Page 9: Безопасность ЦОД-часть 1](https://reader033.vdocument.in/reader033/viewer/2022042606/54621c31af79597b0b8b6e5c/html5/thumbnails/9.jpg)
Высокий уровень масштабируемости • Выход за рамки традиционных
решений
• Наращивание мощностей в
соответствии с ведущими
отраслевыми системными
возможностями
– 64 Гбит/с
– 1,2 млн. соединений в секунду
– 1 000 виртуальных контекстов
– 4 000 сетей VLAN
• Поддержка решений для ЦОД,
например развертываний
частных облачных
инфраструктур
![Page 10: Безопасность ЦОД-часть 1](https://reader033.vdocument.in/reader033/viewer/2022042606/54621c31af79597b0b8b6e5c/html5/thumbnails/10.jpg)
Устройства Cisco IPS серии 4500
• Специализированные высокоскоростные устройства IPS с учетом контекста
• Обработка с аппаратным ускорением Regex
• Развертывания на уровне ядра ЦОД или предприятия
• Один интерфейс Gigabit Ethernet, один интерфейс 10 Gigabit Ethernet и слот SFP
• Масштабируемость: доступен слот для будущего наращивания мощностей
![Page 11: Безопасность ЦОД-часть 1](https://reader033.vdocument.in/reader033/viewer/2022042606/54621c31af79597b0b8b6e5c/html5/thumbnails/11.jpg)
Cisco IPS 4510
Производительность • Реальный средний показатель: 3 Гбит/с • Реальный диапазон показателей: 1.2-5 Гбит/с • Транзакционная передача по HTTP: 5 Гбит/с
Характеристики платформы: • 2 RU (шасси) • Многоядерный ЦП корпоративного класса (8
ядер, 16 потоков) • 24 ГБ ОЗУ • Резервный источник питания • Аппаратное ускорение Regex • Открытый слот (в верхней части) для
использования в будущем
Места развертывания • Средние и крупные предприятия • ЦОД кампуса • Требуется 3 Гбит/с реальной пропускной
способности IPS • Требуется резервный источник питания • Требуется специализированная система IPS
Порт AUX и
консоль
Интегрированный
ввод-вывод 6 GE Cu
Индикаторы
состояния
Порты
управления
Отсеки для
жесткого диска
(пустые)
Интегрированный
ввод-вывод 4 слота 10 GE
SFP
2 порта
USB
![Page 12: Безопасность ЦОД-часть 1](https://reader033.vdocument.in/reader033/viewer/2022042606/54621c31af79597b0b8b6e5c/html5/thumbnails/12.jpg)
Cisco IPS 4520
Производительность • Реальный средний показатель: 5 Гбит/с • Реальный диапазон показателей: 2.5-7.7 Гбит/с • Транзакционная передача по HTTP: 7,6 Гбит/с
Характеристики платформы: • 2 RU (шасси) • Многоядерный ЦП корпоративного класса (12
ядер, 24 потоков) • 48 ГБ ОЗУ • Резервный источник питания • Аппаратное ускорение Regex (x2) • Открытый слот (в верхней части) для
использования в будущем
Места развертывания • Средние и крупные предприятия • Центр обработки данных • Требуется 5 Гбит/с реальной пропускной
способности IPS • Требуется резервный источник питания • Требуется специализированная система IPS
Порт AUX и
консоль
Интегрированный
ввод-вывод 6 GE Cu
Индикаторы
состояния
Порты
управления Отсеки для
жесткого
диска (пустые)
Интегрированный
ввод-вывод 4 слота 10 GE
SFP
2 порта
USB
![Page 13: Безопасность ЦОД-часть 1](https://reader033.vdocument.in/reader033/viewer/2022042606/54621c31af79597b0b8b6e5c/html5/thumbnails/13.jpg)
CSR 1000V – Cloud Services Router
13
Server
Hypervisor
Virtual Switch
VPC/ vDC
OS
App
OS
App
CSR 1000V
Основан на IOS-XE
Избранный функционал IOS-XE для Облачных архитектур
Инфраструктурно независимый
Сервер, Коммутатор и Мульти-Гипервизор
Cisco UCS – Intel Nehalem и выше
Работает на N1KV,vSwitch,dVS.
Поддерживается VMware ESXi 5.0. Xen и Red Hat KVM
Поддержка Amazon AMI в будущем
Шлюз для Single Tenant WAN
4 vCPU (2 ядра *2 = 4 vCPU с поддержкой Hyper Threading)
APIs для Облачной Автоматизации
![Page 14: Безопасность ЦОД-часть 1](https://reader033.vdocument.in/reader033/viewer/2022042606/54621c31af79597b0b8b6e5c/html5/thumbnails/14.jpg)
Поддерживаемый функционал – IOS / Виртуализация IOS-XE Поддерживаемые функции
Маршрутизация BGP, EIGRP, OSPFv3, RIPv2, ISIS, MPLS, LISP
Безопасность Zone Based Firewall, Site-to-Site VPN, EZVPN, DMVPN, FLEX VPN
L2 OTV, VPLS, L2TPv3, EVC
Отказоустойчивость HSRP, VRRP
Оптимизация WAN WCCPv2, AppNav
Управление Flexible NetFlow , EEM, IP SLA
Инфраструктура NAT, ACL, QoS, GRE, Multicast, NBAR2 / AVC
Поддерживаемый функционал VMWare ESXi
Поддерживаемый Cloning, Templates, vMotion, NIC Teaming, High Availability, DRS, Fault
Tolerance (FT) Не
Поддерживаемый Snapshots
![Page 15: Безопасность ЦОД-часть 1](https://reader033.vdocument.in/reader033/viewer/2022042606/54621c31af79597b0b8b6e5c/html5/thumbnails/15.jpg)
VSG
Public
Zone
Protected
Zone Zone
1
Zone
2
Zone
3
Sub
-
Zon
e
W
Sub
-
Zon
e X
Sub
-
Zon
e Y
Sub
-
Zon
e Z
FE Zones
Простая Виртуальная Топология в Приватном
и/или Публичном Облаке ПО
• Пример дизайна виртуальных сервисов
• Виртуальный сервер – с единой точка контроля для арендатора (tenant)
• Выделенная зона VSG для распределения рабочей нагрузки
• Виртуальный маршрутизатор для арендатора
• Миграция рабочей нагрузки Публичное облако ПО
L3 VPN
Internet
Back-end Zones
ASA1000v CSR1000v
Nexus 1kv + VPATH
Load balancers vNAM vWaaS
15
![Page 16: Безопасность ЦОД-часть 1](https://reader033.vdocument.in/reader033/viewer/2022042606/54621c31af79597b0b8b6e5c/html5/thumbnails/16.jpg)
Citrix NetScaler 1000V в Портфолио Облачных
Сервисов
VSM = Virtual Supervisor Module
DCNM = Data Center Mgt. Center
Nexus 1000V
vPath
Any Hypervisor
VM VM VM
• Citrix лучший в своем классе Контроллер
предоставления виртуальных приложений
(virtual application delivery controller - vADC)
• Продается и поддерживается Cisco
• Интеграция с Nexus 1110/1010, vPath
Cisco Cloud Network Services (CNS) Citrix
NetScaler
1000V
Prime virtual
NAM
Imperva
SecureSphere
WAF
Virtual
Security
Gateway
Nexus 1110 Платформа Облачных Сервисов
VSM VSM DCNM*
Citrix
NetScaler
1000V
![Page 17: Безопасность ЦОД-часть 1](https://reader033.vdocument.in/reader033/viewer/2022042606/54621c31af79597b0b8b6e5c/html5/thumbnails/17.jpg)
NetScaler 1000V – Поддерживаемый функционал
Безопасность приложений Platinum
Edition
Enterprise
Edition
Standard
Edition
Защита от L4 DoS X X X
L7 фильтрация контента и перезапись
HTTP/URL
X X X
Коннектор XenMobile NetScaler X X X
Поддержка SAML2 X X X
Защита от L7 DoS X X
AAA для Управления Трафиком X X
МСЭ приложений Citrix с поддержкой XML X
![Page 18: Безопасность ЦОД-часть 1](https://reader033.vdocument.in/reader033/viewer/2022042606/54621c31af79597b0b8b6e5c/html5/thumbnails/18.jpg)
• VSG это прозрачный фаервол • Используется внутри арендатора
(трафик восток-запад) • Независит от топологии и VLAN • Может фильтровать между
виртуальными машинами в одной подсети и VLAN
• ASA 1000V маршрутизирующий МСЭ • Используется на границе арендатора
(трафик север-юг) • Разрешает только трафик к/от VM с
inside интерфейса (нет физических серверов в Inside)
• Служит default gateway для VMs с inside стороны
• Все IP с inside интерфейса должны быть в одной подсети с inside интерфейсом
ASA/VSG Развертывание и дизайн размещения
ASA 1000V
Virtual Security
Gateway
(VSG)
![Page 19: Безопасность ЦОД-часть 1](https://reader033.vdocument.in/reader033/viewer/2022042606/54621c31af79597b0b8b6e5c/html5/thumbnails/19.jpg)
• Взаимодополняющая модель безопасности
Cisco Virtual Secure Gateway (VSG) для внутренней безопасности зоны арендатора
Cisco ASA 1000V для безопасности границы арендатора
• Прозрачная интеграция
С помощью Cisco Nexus® 1000V коммутатора и Cisco vPath
• Расширяем гибкость решения для решения потребностей облака
Много-экземплярное развертывание для масштабирования в ЦОД
Арендатор B Арендатор A VDC
vApp
vApp
Hypervisor Cisco Nexus® 1000V
Cisco vPath
VDC
Cisco® Virtual Network Management Center (VNMC)
VMware vCenter
Cisco
VSG Cisco
VSG
Cisco
VSG
Cisco ASA
1000V
Cisco ASA
1000V
Cisco
VSG
![Page 20: Безопасность ЦОД-часть 1](https://reader033.vdocument.in/reader033/viewer/2022042606/54621c31af79597b0b8b6e5c/html5/thumbnails/20.jpg)
![Page 21: Безопасность ЦОД-часть 1](https://reader033.vdocument.in/reader033/viewer/2022042606/54621c31af79597b0b8b6e5c/html5/thumbnails/21.jpg)
• Один арендатор может иметь до трех уровней вложенности
• Каждый подуровень может иметь множественные организации
• Поддерживаются пересекающиеся адресные планы арендаторов
Root Арендатор A
Арендатор B DC 3
DC 2
DC 1 App 1
App 2
Tier 2
Tier 3
Tier 1
Уровень
Арендатора vDC
Уровень
vApp
Уровень Уровень
узла
![Page 22: Безопасность ЦОД-часть 1](https://reader033.vdocument.in/reader033/viewer/2022042606/54621c31af79597b0b8b6e5c/html5/thumbnails/22.jpg)
Уровень доступа арендатора
![Page 23: Безопасность ЦОД-часть 1](https://reader033.vdocument.in/reader033/viewer/2022042606/54621c31af79597b0b8b6e5c/html5/thumbnails/23.jpg)
VMware
vCenter
Cisco®
VNMC
Cisco
Nexus®
1000V
Отдел серверной
поддержки
Управление
сетью
Атрибуты VM
Профили
портов
Профили
безопасности
Сторонние
утилиты
управления
и
оркестрации XML API
Мультиарендаторный менеджер
Динамическое управление по
политикам
Гибкость по средствам XML API
Отдел
безопасности
![Page 24: Безопасность ЦОД-часть 1](https://reader033.vdocument.in/reader033/viewer/2022042606/54621c31af79597b0b8b6e5c/html5/thumbnails/24.jpg)
ASA Inside
и Outside
Профили безопасности и профили устройств
VM атрибуты
Взаимодействие портовых профилей
VM атрибуты
VSG Путь данных
VM-to-IP Binding
Пакеты
ESX Servers
Nexus 1000V vPath
VMWare
vCenter
VSM VSM (Nexus) VSN
VSG
Пакеты
VSN
Virtual Network Management
Center (VNMC)
ASA
Профили безопасности профили устройств
![Page 25: Безопасность ЦОД-часть 1](https://reader033.vdocument.in/reader033/viewer/2022042606/54621c31af79597b0b8b6e5c/html5/thumbnails/25.jpg)
Nexus VSM
VNMC
ASA 1000V
VSG
![Page 26: Безопасность ЦОД-часть 1](https://reader033.vdocument.in/reader033/viewer/2022042606/54621c31af79597b0b8b6e5c/html5/thumbnails/26.jpg)
Nexus 1000V
Distributed Virtual Switch
VM VM 1 VM
VM VM
VM
VM VM VM
VM
VM
VM VM
VM VM 2 VM
VM
vPath
ASA не участвует в
пути связи между VM
одной подсети
1
Inside
2
vPath Encap links
ASA
VSG
Traffic Path
Outside
![Page 27: Безопасность ЦОД-часть 1](https://reader033.vdocument.in/reader033/viewer/2022042606/54621c31af79597b0b8b6e5c/html5/thumbnails/27.jpg)
Nexus 1000V
Distributed Virtual Switch
VM VM 1 VM
VM VM
VM
VM VM VM
VM
VM
VM VM
VM VM 2 VM
VM
vPath Inside
3
vPath Encap links
4
ASA
VSG
Traffic Path
Outside
Пример внедрения
![Page 28: Безопасность ЦОД-часть 1](https://reader033.vdocument.in/reader033/viewer/2022042606/54621c31af79597b0b8b6e5c/html5/thumbnails/28.jpg)
Nexus 1000V
Distributed Virtual Switch
VM VM 1 VM
VM VM
VM
VM VM VM
VM
VM
VM VM
VM VM 2 VM
VM
vPath Inside
vPath Encap links
vPath применяет политику
на VEM уровне и
политика сгружается от
VSG к VEM
ASA
VSG
Traffic Path
Outside
Пример внедрения
![Page 29: Безопасность ЦОД-часть 1](https://reader033.vdocument.in/reader033/viewer/2022042606/54621c31af79597b0b8b6e5c/html5/thumbnails/29.jpg)
Nexus 1000V
Distributed Virtual Switch
VM VM VM
VM VM
VM
VM VM VM
VM
VM
VM VM
VM VM VM
VM
vPath Inside
2
1
vPath Encap links
ASA
VSG
Traffic Path
Outside
VSG решение
загружается на VEM
Очередность сервисов
![Page 30: Безопасность ЦОД-часть 1](https://reader033.vdocument.in/reader033/viewer/2022042606/54621c31af79597b0b8b6e5c/html5/thumbnails/30.jpg)
Nexus 1000V
Distributed Virtual Switch
VM VM VM
VM VM
VM
VM VM VM
VM
VM
VM VM
VM VM VM
VM
vPath
Пакет выходит из
виртуализированной
инфраструктуры
5
ASA Outside
Inside
ASA Inline
Enforcement
4
3
vPath Encap links
Traffic Path
VSG
Очередность сервисов
![Page 31: Безопасность ЦОД-часть 1](https://reader033.vdocument.in/reader033/viewer/2022042606/54621c31af79597b0b8b6e5c/html5/thumbnails/31.jpg)
VMWare vSphere 4.0+ и Virtual Center
Nexus 1000V Series коммутатор ( v1.4 и более)
Один и более Активных VSGs на арендатора
Virtual Network Management Center (VNMC)
VSG Требования к развертыванию
vSphere
Заметка: Лицензирование основано на количестве
защищаемых CPU сокетов (как и Nexus 1000V)
VSG может защищать часть Nexus 1000V-
лицензированных CPUs.
vPath
![Page 32: Безопасность ЦОД-часть 1](https://reader033.vdocument.in/reader033/viewer/2022042606/54621c31af79597b0b8b6e5c/html5/thumbnails/32.jpg)
VMWare vSphere 4.1+ и Virtual Center
Nexus 1000V Series коммутатор (4.2(1)SV1(5.2) и более)
Один и более Активных ASA на арендатора
Virtual Network Management Center (VNMC)
ASA1000V Требования к развертыванию
vSphere
Заметка: Лицензирование основано на количестве
защищаемых CPU сокетов (как и Nexus 1000V)
ASA может защищать часть Nexus 1000V-
лицензированных CPUs.
vPath
![Page 33: Безопасность ЦОД-часть 1](https://reader033.vdocument.in/reader033/viewer/2022042606/54621c31af79597b0b8b6e5c/html5/thumbnails/33.jpg)
Безопасность виртуализации вычислений
(серверная виртуализация)
![Page 34: Безопасность ЦОД-часть 1](https://reader033.vdocument.in/reader033/viewer/2022042606/54621c31af79597b0b8b6e5c/html5/thumbnails/34.jpg)
Внедрение политик информационной безопасности
Проблемы переноса политики с физических серверов на
виртуальные
vMotion и аналоги могут нарушать политику Сегментация и изоляция
Потеря изоляции VM из-за ошибок конфигурации или атак Уязвимости гипервизора и систем управления
Отсутствие наблюдаемости Отсутствие контроля над трафиком между VMs
Риски эксплуатации
Разделение полномочий админов серверов, сети и безоп.
Часто администраторы имеют завышенные полномочия
Несвоевременная установка обновления на VMs и гипервизор
“Забытые” виртуальные машины
С чем сталкиваются заказчики ?
Hypervisor
Virtual Contexts
VLANs
App Server
DB Server
Web Server
![Page 35: Безопасность ЦОД-часть 1](https://reader033.vdocument.in/reader033/viewer/2022042606/54621c31af79597b0b8b6e5c/html5/thumbnails/35.jpg)
Безопасность гипервизора - ключ к безопасности
среды виртуализации
Експлойт Blue Pill разработанный
Йоанной Рутковской для
процессоров AMD переносил
хостовую ОС в виртуальную
среду (2006)
VMSA-2009-0006
Уязвимость в ESX 3.5, Workstation, etc.
Исполнение кода из VM Guest на хосте
Переполнение буфера в графическом
драйвере
Классические уязвимости среды виртуализации
![Page 36: Безопасность ЦОД-часть 1](https://reader033.vdocument.in/reader033/viewer/2022042606/54621c31af79597b0b8b6e5c/html5/thumbnails/36.jpg)
Время не стоит на месте
Уязвимость в реализации инструкции SYSRET
всех выпущенных x86-64 процессоров Intel
позволяет выходить за пределы виртуальной
машины - http://www.xakep.ru/post/58862/
19.06.2012 http://www.xakep.ru/post/58862/
Как взломать Vmware vCenter за 60 секунда
http://2012.confidence.org.pl/materials - Май 2012
VASTO (Virtualization ASsessment Toolkit) –
Первый модуль поиска уязвимостей
виртуализации для Metasploit доступен для
широкой публики http://vasto.nibblesec.org/
![Page 37: Безопасность ЦОД-часть 1](https://reader033.vdocument.in/reader033/viewer/2022042606/54621c31af79597b0b8b6e5c/html5/thumbnails/37.jpg)
Внедрение политик и сегментация для
виртуальных машин
![Page 38: Безопасность ЦОД-часть 1](https://reader033.vdocument.in/reader033/viewer/2022042606/54621c31af79597b0b8b6e5c/html5/thumbnails/38.jpg)
Сегментация и изоляция VM
1. Сегментация на уровне
фабрики UCS Fabric Interconnect
2. Сетевая сегментация
на коммутаторе Nexus 1000V или физический
коммутатор ЦОД
3. Сегментация на
физических устройствах
безопасности ASA 5585-X, IPS
4. Сегментация на
виртуальных
устройствах безопасности Cisco Virtual Security Gateway,
Cisco ASA 1000V
Обеспечение согласованной политики в пределах физических и виртуальных границ сети
![Page 39: Безопасность ЦОД-часть 1](https://reader033.vdocument.in/reader033/viewer/2022042606/54621c31af79597b0b8b6e5c/html5/thumbnails/39.jpg)
Сегментация на Унифицированной фабрики Cisco UCS VIC (Virtual Interface Card) поддерживает VM-FEX (VN-Link)
С VM-FEX, каждой виртуальной машине (VM) предоставляется выделенный порт коммутатора доступа в ЦОД (Nexus 5500 или Fabric Interconnect)
Весь трафик VM отсылается
непосредственно на порт коммутатора
Physical Network
Hyp
erv
is
or
Hyp
erv
is
or
VM VM VM VM VM VM VM VM
vEth
vNIC
Port Profiles
Definition WEB Apps
HR
DB
Compliance VLAN Web
VLAN HR
VLAN DB
VLAN Comp
Cisco® UCS с сетевой картой VIC унифицирует виртуальные и физические сети
1
![Page 40: Безопасность ЦОД-часть 1](https://reader033.vdocument.in/reader033/viewer/2022042606/54621c31af79597b0b8b6e5c/html5/thumbnails/40.jpg)
Сегментация на виртуальном коммутаторе
Cisco Nexus 1000V
Поддержка гипервизоров : vSphere ; анонс для Win8/Hyper-V/KVM/Xen
Nexus 1000V
• До 64 виртуальных карты Virtual
Ethernet Module (VEM)
• 2 виртуальных супервизора
Virtual Supervisor Module (VSM)
• Политики безопасности
• Технология vPath для
подключения виртуальных
межсетевых экранов
Virtual Center
VMW ESX
Server 1
VMware vSwitch VMW ESX
Server 2
VMware vSwitch VMW ESX
Server 3
VMware vSwitch
VM
#1
VM
#4
VM
#3
VM
#2
VM
#5
VM
#8
VM
#7
VM
#6
VM
#9
VM
#12
VM
#11
VM
#10
VEM VEM VEM Nexus 1000V
Nexus 1000V
VSM
2
![Page 41: Безопасность ЦОД-часть 1](https://reader033.vdocument.in/reader033/viewer/2022042606/54621c31af79597b0b8b6e5c/html5/thumbnails/41.jpg)
Возможности Nexus 1000V
Коммутация L2 Switching, 802.1Q Tagging, VLAN Segmentation, Rate Limiting (TX)
IGMP Snooping, QoS Marking (COS & DSCP)
Безопасность Policy Mobility, Private VLANs w/ local PVLAN Enforcement
Access Control Lists (L2–4 w/ Redirect), Port Security
Dynamic ARP inspection, IP Source Guard, DHCP Snooping
Внедрение Automated vSwitch Config, Port Profiles, Virtual Center Integration
Optimized NIC Teaming with Virtual Port Channel – Host Mode
Наблюдаемость VMotion Tracking, ERSPAN, NetFlow v.9 w/ NDE, CDP v.2
VM-Level Interface Statistics
Управление Virtual Center VM Provisioning, Cisco Network Provisioning, CiscoWorks
Cisco CLI, Radius, TACACs, Syslog, SNMP (v.1, 2, 3)
![Page 42: Безопасность ЦОД-часть 1](https://reader033.vdocument.in/reader033/viewer/2022042606/54621c31af79597b0b8b6e5c/html5/thumbnails/42.jpg)
Community
VLAN
Isolated VLAN
Promiscuous Port
Изоляция VM: Cisco Private VLAN
• Private VLAN изоляция
хостов из одной подсети
на L2
• Поддержка традиционных
Cisco PVLAN: порты
Isolated и Community
• Физическая
инфраструктура
понимает PVLAN
![Page 43: Безопасность ЦОД-часть 1](https://reader033.vdocument.in/reader033/viewer/2022042606/54621c31af79597b0b8b6e5c/html5/thumbnails/43.jpg)
Promiscuous Port
10.10.10.10
10.10.10.1
10.10.20.20
10.10.20.20
dcvsm(config)# ip access-list
deny-vm-to-vm-traffic
dcvsm(config-acl)# deny ip host
10.10.10.10 host 10.10.20.20
dcvsm(config-acl)# permit ip any
any
Изоляция VM и контроль трафика
• ACL на портах
• Ограничение трафика между VM
• Настройки как между физическими серверами
• Использовать вместе с VLANs, PVLAN
![Page 44: Безопасность ЦОД-часть 1](https://reader033.vdocument.in/reader033/viewer/2022042606/54621c31af79597b0b8b6e5c/html5/thumbnails/44.jpg)
VDC
vApp
vApp
VDC
Nexus 1000V vPath
vSphere
Наблюдаемость: мониторим трафик между VMs
с помощью физических IDS и анализатора
NetFlow Analyzer
ERSPAN DST
ID:1
ID:2
Aggregation
Zone B Zone C
Intrusion Detection
NetFlow
SPAN
Для снятия трафика используем коммутатор Nexus 1000V с поддержкой • NetFlow v9 • ERSPAN/SPAN Используем для детектирования • атак между серверами • нецелевого использования ресурсов • нарушения политики безопасности Нужно быть готовым к большому объему трафика
![Page 45: Безопасность ЦОД-часть 1](https://reader033.vdocument.in/reader033/viewer/2022042606/54621c31af79597b0b8b6e5c/html5/thumbnails/45.jpg)
VMWare
vCenter
VSM
Virtual Network
Management Center
(VNMC)
VSG
VSG/VNMC Шаги развертывания
1) Установка VNMC
2) Регистрация VNMC в vCenter
3) Регистрация VSM в VNMC
4) Развертывание VSG
5) Регистрация VSG в VNMC
6) Развертывание ASA
7) Регистрация ASA to VNMC
1
2
3
4
5
Заметка: vCenter, vSphere and Nexus 1000V (VSM & VEMs) предполагается что уже установлены;
VSM может быть VM или Nexus 1110
ASA
6 7
![Page 46: Безопасность ЦОД-часть 1](https://reader033.vdocument.in/reader033/viewer/2022042606/54621c31af79597b0b8b6e5c/html5/thumbnails/46.jpg)
• Compute Firewall Представление VSG
виртуальной машины в VNMC.
Используется для ассоциации
конфигурации с VSG
• Edge Firewall Представление ASA 1000V
виртуальной машины в VNMC.
Используется для ассоциации
конфигурации с ASA 1000V
Определения
![Page 47: Безопасность ЦОД-часть 1](https://reader033.vdocument.in/reader033/viewer/2022042606/54621c31af79597b0b8b6e5c/html5/thumbnails/47.jpg)
• Edge Device Profile Содержит сервисные политики, включая: routing, DHCP, и global VPN конфигурацию.
Используется для применения конфигураций для конкретных ASA
• Edge Security Profile Содержит политики безопасности: ACL, NAT, Protocol Inspections, VPN, и TCP Intercept
Применяется используя vservice команду на Nexus 1000V
Используется для применения конфигурации к конкретной ASA или группе VM
Определения
![Page 48: Безопасность ЦОД-часть 1](https://reader033.vdocument.in/reader033/viewer/2022042606/54621c31af79597b0b8b6e5c/html5/thumbnails/48.jpg)
• Device Profile Содержит политику устройства,
включая AAA, syslog, и SNMP
колитики.
Используется для применения
политик к устройствам разных
типов.
Определения
![Page 49: Безопасность ЦОД-часть 1](https://reader033.vdocument.in/reader033/viewer/2022042606/54621c31af79597b0b8b6e5c/html5/thumbnails/49.jpg)
• Policy Set Содержит одну или более
политик
Назначаются профилю
• Policy Содержит конкретные
правила, такие как ACL
записи, NAT настройки,
инспекции протоколов и т.д.
Определения
![Page 50: Безопасность ЦОД-часть 1](https://reader033.vdocument.in/reader033/viewer/2022042606/54621c31af79597b0b8b6e5c/html5/thumbnails/50.jpg)
1 Zones
2 Policies
3 Rules
4 Conditions
5 Policy Set
6 Security-
Profile
7 Assign VSG
8 Profile-
Binding
Policy Management > Firewall Policy > Tenant > Zones
Формирование политики безопасности
![Page 51: Безопасность ЦОД-часть 1](https://reader033.vdocument.in/reader033/viewer/2022042606/54621c31af79597b0b8b6e5c/html5/thumbnails/51.jpg)
Policy Management > Service Policies > Tenant > Policy helpers > Zones
1 Zones
2 Policies
3 Rules
4 Conditions
5 Policy Set
6 Security-
Profile
7 Assign VSG
8 Profile-
Binding
Формирование политики безопасности
![Page 52: Безопасность ЦОД-часть 1](https://reader033.vdocument.in/reader033/viewer/2022042606/54621c31af79597b0b8b6e5c/html5/thumbnails/52.jpg)
Policy Management > Service Profiles > Tenant > Security Profile > Policy Set
1 Zones
2 Policies
3 Rules
4 Conditions
5 Policy Set
6 Security-
Profile
7 Assign VSG
8 Profile-
Binding
Формирование политики безопасности
![Page 53: Безопасность ЦОД-часть 1](https://reader033.vdocument.in/reader033/viewer/2022042606/54621c31af79597b0b8b6e5c/html5/thumbnails/53.jpg)
Отредактируйте политику, чтобы создать правила, где Source и Destination основываются на атрибутах
1 Zones
2 Policies
3 Rules
4 Conditions
5 Policy Set
6 Security-
Profile
7 Assign VSG
8 Profile-
Binding
Формирование политики безопасности
![Page 54: Безопасность ЦОД-часть 1](https://reader033.vdocument.in/reader033/viewer/2022042606/54621c31af79597b0b8b6e5c/html5/thumbnails/54.jpg)
Ru
le
Source
Condition
Destination
Condition Action
Attribute Type
Network
VM
Custom
VM Attributes
Instance Name
Guest OS full name
Zone Name
Parent App Name
VM Attributes
Port Profile Name
Cluster Name
Hypervisor Name
Network Attributes
IP Address
Network Port
Operator
eq
neq
gt
lt
range
Operator
Not-in-range
Prefix
member
Not-member
Contains
Conditio
n
Политики
![Page 55: Безопасность ЦОД-часть 1](https://reader033.vdocument.in/reader033/viewer/2022042606/54621c31af79597b0b8b6e5c/html5/thumbnails/55.jpg)
57
vservice node ASA1 type asa — ip address 172.18.25.110
— adjacency l2 vlan 3770
vservice node VSG1 type vsg — ip address 192.168.1.97
— adjacency l3
vservice path chain-TenantA — node VSG1 profile sp-web order 10
— node ASA1 profile sp-edge order 20
port-profile type vethernet Tenant-A —org root/Tenant-A
—vservice path chain-TenantA
Свяжем VSG и ASA 1000V для арендатора в цепочку
Обозначим
сервисные ноды на
Nexus 1000V
Выставим цепочку и
сервисных нод –
очередь изнутри
наружу
Включим сервисную
цепочку в портовом
профиле
Пример очередности сервисов
![Page 56: Безопасность ЦОД-часть 1](https://reader033.vdocument.in/reader033/viewer/2022042606/54621c31af79597b0b8b6e5c/html5/thumbnails/56.jpg)
ASA: Разрешает только порт 80(HTTP) к Веб-Серверам
VSG: Разрешает доступ к ДБ серверам только от WEB-серверов
Арендатор-A
Web-Zone Database-Zone
VSG: Разрешает клиентам соединяться только к WEB-серверам, запрещает
доступ к ДБ серверам
ASA: Блокирует все внешние запросы к ДБ серверам
Web Server
DB Server
App-Zone
Client
IP – 192.168.1.1 IP – 192.168.1.2 IP – 192.168.1.203
ASA
VSG
ASA: NAT External IP 10.10.25.100
Web Server
ASA 1000V - Edge Security Profile
VSG - Compute Security Profile
Web Client
Пример внедрения 3-х узловая серверная зона
![Page 57: Безопасность ЦОД-часть 1](https://reader033.vdocument.in/reader033/viewer/2022042606/54621c31af79597b0b8b6e5c/html5/thumbnails/57.jpg)
Поддержка виртуализации в ASA
Виртуальные контексты на семействе ASA
до 256 виртуальных контекстов на ASA 5585 и ASA SM (до 1000 контекстов на кластер с ASA 9.0)
до 1024 VLAN, которые могут разделяться между контекстами (до 4000 VLAN на кластер с ASA 9.0)
контексты в режиме L2 или L3
контекст – это полнофункциональный файервол
контроль ресурсов для контекстов (MAC-адреса, соединения, инспекции, трансляции…)
До 32 интерфейсов в L2-контекстах
4 интерфейса в бридж-группе. 8 бридж-групп на виртуальный контекст
FW_1 FW_2 FW_3
L2 L3 L2
![Page 58: Безопасность ЦОД-часть 1](https://reader033.vdocument.in/reader033/viewer/2022042606/54621c31af79597b0b8b6e5c/html5/thumbnails/58.jpg)
Цепочка сервисов безопасности в технологии
vPath
Cisco Nexus® 1000V
Distributed Virtual Switch
VM VM VM
VM VM
VM
VM VM VM
VM
VM
VM VM VM
VM VM VM VM
vPath
VSG
Cisco® ASA
1000V
1 2
3
4 5
Интеллектуальный отвод трафика с vPath
![Page 59: Безопасность ЦОД-часть 1](https://reader033.vdocument.in/reader033/viewer/2022042606/54621c31af79597b0b8b6e5c/html5/thumbnails/59.jpg)
Разделение обязанностей
VM атрибуты
XML API vCenter VNMC
Cisco
Nexus®
1000V
Manager /
Orchestrator
Tools
Серверная команда
Команда по ИБ
Сетевая команда
• Управление многопользовательскими ЦОД (multitenant)
• Динамическое управление на основе политик
• Гибкость с помощью внешнего XML API
Server
Admin
vCenter
Network
Admin
Nexus 1 KV
Security
Admin
VNMC
![Page 60: Безопасность ЦОД-часть 1](https://reader033.vdocument.in/reader033/viewer/2022042606/54621c31af79597b0b8b6e5c/html5/thumbnails/60.jpg)
Безопасность облачных сервисов
![Page 61: Безопасность ЦОД-часть 1](https://reader033.vdocument.in/reader033/viewer/2022042606/54621c31af79597b0b8b6e5c/html5/thumbnails/61.jpg)
• Одно приложение на
сервере
• Ручная конфигурация
политик
• Множество приложений
на сервере
• Динамич. конфигурация
• Множество пользователей
на сервере
• “Чужая” инфраструктура
Гипервизор VDC-1 VDC-2
Согласованные : Политики, Функции безопасности, Управление
Физический
ЦОД
Виртуальный
ЦОД
Облачный
ЦОД
Nexus 1000V, VM-FEX
VSG*, ASA 1000V**
UCS for Virtualized Workloads
Nexus 7K/5K/3K/2K
ASA 5585, ASA SM
UCS for Bare Metal
* Virtual only, ** Announced
Коммутация
Безопасность
Вычисления
Эволюция безопасности в IT
![Page 62: Безопасность ЦОД-часть 1](https://reader033.vdocument.in/reader033/viewer/2022042606/54621c31af79597b0b8b6e5c/html5/thumbnails/62.jpg)
Cloud Security Alliance (CSA)
“Security Guidance for Critical Areas of Focus in Cloud Computing” Whitepaper: комплексное руководство, которое говорит как защищать облачные архитектуры, как управлять Облаками и как безопасно использовать облачные среды: http://www.cloudsecurityalliance.org/csaguide.pdf
Также разработан модель угроз для облачных сред “Top threats to Cloud Computing” : http://www.cloudsecurityalliance.org/topthreats/csathreats.v1.0.pdf
В состав корпоративных членов CSA входят:
![Page 63: Безопасность ЦОД-часть 1](https://reader033.vdocument.in/reader033/viewer/2022042606/54621c31af79597b0b8b6e5c/html5/thumbnails/63.jpg)
Управление облаком
Governance & Enterprise Risk Management
Legal & eDiscovery
Compliance and Audit
Data Life Cycle Management
Portability & Interoperability
Эксплуатация облачных сервисов
Traditional Security
Data Center Operations
Incident Response
Virtualization
Identity & Access Management
Application Security
Encryption & Key Management
Cloud Security Alliance: Руководство по
безопасности облачных вычислений Архитектура облачных вычислений
![Page 64: Безопасность ЦОД-часть 1](https://reader033.vdocument.in/reader033/viewer/2022042606/54621c31af79597b0b8b6e5c/html5/thumbnails/64.jpg)
Использование облаков требуют доверия!
![Page 65: Безопасность ЦОД-часть 1](https://reader033.vdocument.in/reader033/viewer/2022042606/54621c31af79597b0b8b6e5c/html5/thumbnails/65.jpg)
Полезные ресурсы по теме
Cisco Virtualization Security
http://www.cisco.com/en/US/netsol/ns1095/index.html
Design Guide: Security and Virtualization in the Data Center
http://www.cisco.com/en/US/partner/docs/solutions/Enterprise/Data_Center/DC_3_0/dc_sec_design.html
Cisco VMDC Unified Data Center for cloud or traditional environments.
http://www.cisco.com/go/vmdc
Vmware
Vmware Security Hardening Guide http://www.vmware.com/resources/techresources/10198
Microsoft
Hyper-V Security Guide technet.microsoft.com/en-us/library/dd569113.aspx
PCI DSS https://www.pcisecuritystandards.org/documents/Virtualization_InfoSupp_v2.pdf
NIST - Guide to Security for Full Virtualization Technologies http://csrc.nist.gov/publications/nistpubs/800-125/SP800-125-final.pdf
Cloud Security Alliance https://cloudsecurityalliance.org/
![Page 66: Безопасность ЦОД-часть 1](https://reader033.vdocument.in/reader033/viewer/2022042606/54621c31af79597b0b8b6e5c/html5/thumbnails/66.jpg)
13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved.
Пожалуйста, заполните анкеты.
Ваше мнение очень важно для нас.
Спасибо