cisco connect · ngfw защищает периметр С/Ю фабрики aci и в...
TRANSCRIPT
Cisco Connect Москва, 2017
Цифровизация: здесь и сейчас
Архитектура безопасности современных центров обработки данных
Станислав Рыпалов
Системный инженер
CCIE R&S/Security #12561
© 2017 Cisco and/or its affiliates. All rights reserved.
Проблемы безопасности в ЦОД
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 3
Изменяющиеся требования
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 4
Больше данных
Быстрая разработка приложений
Больше хостов
Распределённые сети
Большее поле для атаки
Целенаправленные, медленные, скрытые угрозы Развивающийся ландшафт угроз
Приложения это главное Несколько сетевых уровней
Злонамеренные или скомпрометированные инсайдеры
Изменение требований к инфраструктуре
Рост сетевого трафика Рост числа атак
Традиционный дизайн – защитите периметр, дорого и неэффективно
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 5
1001 0001011110001011
10
1001 0001011110001011
10
1001 0001011110001011
10
1001 0001011110001011
10
1001 0001011110001011
10
Data Packet
1001 0001011110001011
10
/
1001 0001011110001011
10
FW Platform
DDOS Platform SSL Platform
ADC Platform
WAF Platform
IPS Platform
SSL DDoS WAF
FW IPS ADC
Низкая эффективность Увеличение задержек Снижение скорости
сети Статичность & ручное
управление
1001 0001011110001011
10
Trusted Core
Путь трафика – что видите вы?
Source: Cisco Global Cloud Index, 2012-16
76% 17% 7%
Восток/Запад
Между серверами в ЦОД
Север/Юг
В/Из ЦОД
В облачный
или резервный
ЦОД
Сегментация в ЦОД нового поколения
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 7
Сегментация
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 8
1. Whitelist
2. Patch Apps
3. Patch OS
4. Restrict Admin Priv
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 9
Application Centric Infrastructure
“DB” “App”
Централизованное управление
Фабрика ЦОД с централизованным управлением
Логические Endpoint Groups на базе ролей
Гибкая вставка сервиса
Терминология в ACI
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 10
• Tenant - может использоваться для описания заказчика, бизнес-единицы или группы в зависимости от требований
• Context - Tenant может быть поделен на контексты, имеющие прямое отношение к Virtual Routing and Forwarding (VRF) или раздельным IP пространствам
EPG – может описывать группу хостов с одинаковыми правами доступа. Также для описания могут использоваться сетевые карты(NIC), virtual NIC (vNIC), IP адреса или атрибуты VM для микросегментации
Application A EPG EPG EPG
Application B EPG EPG EPG
Context ( VRF )
Application A EPG EPG EPG
Application B EPG EPG EPG
Context
Tenant
Application A Detail
EPG EPG EPG
Policy Policy
Терминология профиля приложения
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 11
Application Network Profile
EPG “App” EPG “DB”
EP1
EP2
EP1 EP1
EP2
Application Network Profile - набор
портовых групп EPG, соединений между
ними и политик для этих соединений.
Базовые шаги для создания Application
Network Profile: создать EPG , создать
политики связности с правилами: PERMIT,
DENY, LOG, MARK , REDIRECT или COPY
и в финале создать соединения между
EPG с использованием политик -контрактов
Contract – определяет политики и правила
разрешающие, запрещающие входящий и
исходящий трафик, правила QoS и
перенаправления. Контракты описывают
путь взаимодействия между EPG, в
зависимости от требований и условий.
Contract Contract
EPG “Web”
Назначение EPG
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 12
Назначение EPG
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 13
Tenant
EPG
ANP
Контракты
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 14
Contract -> Subject -> Filters
Определяют взаимодействие между различными сервисами
Client EPG взаимодействует с Web EPG
Web EPG с APP EPG
APP EPG с DB EPG
Все группы взаимодействуют с SharedServices
Микросегментация
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 15
VM Attributes
EPG – Server
vCenter
Base EPG
Coke1 (x.x.x.21)
vSwitch + Opflex
Windows Server
EPG – Server
Base EPG
EPG – Server
Base EPG
AVS with Opflex
Windows Server VMware ESX server
vSwitch + Opflex
Pepsi1 (x.x.x.11)
Coke2 (x.x.x.22)
Pepsi2 (x.x.x.12)
Coke3 (x.x.x.23)
Pepsi3 (x.x.x.13)
VM Attributes
CokeEPG = VM_name(Coke*)
Coke1 (x.x.x.21)
Coke2 (x.x.x.22)
Coke3 (x.x.x.23)
CokeEPG CokeEPG CokeEPG
1. Все VM могут общаться в своей базовой EPG
2. Администратор создает CokeEPG policy для микросегментации
3. CokeEPG политика распространяется через Opflex на HyperV/ESX
4. VM VLAN изменяется на новый CokeEPG VLAN
HV1 HV2
FS
5. VM в CokeEPG больше не могут общаться с VM в Base EPG
APIC
Атрибуты для микросегментации
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 16
Attributes supported for DVS Useg
Custom Attributes
Guest OS
VM Name
VM (id)
VNIC (id)
DVS
DVS Port-group
Datacenter
MAC
IP Address Prefix
Custom Attributes Use: vSphere Web Client Plugin 6.0
Микросегментация. Контракт и сервисный граф
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 17
Application with EPG, Contract and Service Graphs
uSeg-video-client
Video-Streaming
uSeg EPGs with Contract
uSeg EPGs with Service Graphs
Типовая сервисная цепочка
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 18
Полная абстракция внутри сервисной цепочки
Каждое устройство выполняет свою функцию и обменивается пакетами с фабрикой в соответствии с настройками
Модульная конструкция, устройства взаимозаменяемы
Фабрика ACI обеспечивает симметричность потоков через сервисное устройство
Policy rules, NAT, Inspection
Варианты включения устройств
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 19
ACI L2 Fabric
• APIC определяет Tenant’ов
• EPG это VLAN/Subnet
• Нет Device Package
• Фабрика GW/Routing
• Нет Device Package
• ‘Счастливый’ SecOps
• Полная оркестрация!
• Vendor Device Package
APIC in Control
ACI No Package ACI By Design
EPG1
EPG2
EPG3
EPG1
EPG2
EPG3
EPG1
EPG2
EPG3
Managed Service Graph Unmanaged Service Graph
Варианты вставки (пример) – FTD cluster
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 20
Unmanaged
NGFW защищает периметр С/Ю фабрики ACI и в добавок В/З
Po1.404 Po1.405
Vlan 200
Campus Network
Web
provider consumer
Firepower 4100/9300 Clustering Firepower Threat Defense
(FTD) Image
APIC
vPC4
Contract out-to-web service-graph FTD1
Vlan 404 Vlan 405
FMC
Vlan 100
APIC Go-To Unmanaged Service Graph: где FTD включен в Routed FW Mode (С/Ю).
Добавление Go-Through Transparent FW BVI интерфейсов и inline NGIPS-портов
для защиты В/З внутри фабрики.
Master Slave
FMC управляет FTD кластером и настройками.
Масштабируемость и отказоустойчивость: Резервные соединения (до 16) и
устройства ( 6 в FTD кластере) BGP или OSPF на ACI L3outs
Варианты вставки (пример) - PBR
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 21
APIC 2.0
Unmanaged
Protected Servers
EPG APP
N9k SVIs BD_pbr 10.3.0.2
DHCP: 10.1.0.100 – 10.1.0.140
FTD App 10.3.0.1
Default or Static Route to SVI Custom MAC 0f2d.4100.9300
BD1
EPG DB
Фабрика перенаправляет трафик на один интерфейс, используя
unmanaged FTD app. Используется одна зона безопасности для
определения политик безопасности. Схема работает и
для виртуальных устройств.
PBR Service Graph пересылает трафик между двумя EPG в
одном Bridge Domain (subnet). Есть возможность селективного
редиректа ( например только определенные протоколы).
http
ssh (file copy)
One-arm Graph
Rock Star
FTD + ACI – решение для VDI
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 22
Кампусная сеть
provider consumer
Firepower 4100 / 9300 FTD Image
vPC4
Contract campus-to-vdi
service-graph to FTD
FMC Active Directory
в Server EPG
SF User Agent
VDI EPG
OSPF
OSPF к
L3out
FTD это VDI GW и анонсирование подсети в OSPF
Red и Blue badge пользователи
открывают VDI сессии
VDI Farm – одна большая подсеть с изоляцией
VM, блокировка распространения
Ключевые моменты:
Настройка фабрики ACI для изоляции Intra-EPG Настройка FTD User-identity Based policy
FW/AVC/NGIPS/AMP с HA Кластер FP4100/FP9300 для
производительности ( версия 6.2)
Unmanaged Service Graph + L3out OSPF от FTD к ACI Fabric Масштабируется до 50k+ пользователей AD
Варианты вставки (пример) - FTD
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 23
Managed
NGFW В/З защита в фабрике ACI
Eth1/1.404 Eth1/2.405
Vlan 200
DB
provider consumer
Firepower 4100 / 9300 Firepower Threat Defense Image
Contract app-to-db service-graph FTD1
Vlan 404 Vlan 405
Vlan 100
APIC использует FTD Device Package для оркестрации Go-To/Go-Through Service
Graph совместно с FMC (Service Manager Mode)
FTD поддерживает Routed FW, Transparent FW BVI и выделенные IPS порты.
App
FMC APIC
DP 1.0 Beta
Возможности управляемой вставки
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 24
P2-ASA5525-1/pod37# show object-group
object-group network __$EPG$_pod37-wan-out-out-l3out3
network-object 10.70.0.0 255.255.255.0
object-group network __$EPG$_pod37-aprof-app
network-object host 10.1.37.102
object-group network __$EPG$_pod37-aprof-web
network-object host 10.1.0.101
Outside Network App EPG Web EPG
Web host Outside host
IP 10.1.0.101/16
out-to-web contract Source: 10.70.0.101 Destination: 10.1.0.101 10.70.0.101
10.70.0.1
App host
IP 10.1.37.102/16
BD1 (web)
SVI/Subnet 10.1.0.2/24
Динамическое обновление EPG на FTD
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 25
FMC + APIC быстрое блокирование угроз
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 26
DB EPG
ACI Fabric
App EPG
Infected App1
Шаг 1: Зараженный хост запускает атаку, которую блокирует устройство NGFW(v),
FirePOWER Services для ASA или FirePOWER(v)
Шаг2: Устройство генерирует событие и отправляет на FMC с информацией о зараженном хосте.
Шаг 3: Событие атаки включает настроенный модуль remediation module для APIC который
использует NB API для изоляции хоста в фабрике ACI
1
FMC
App2
2
3 4
Шаг 4: APIC помещает в карантин зараженный хост используя микросегментацию
uSeg EPG
Политики Trustsec в ЦОД
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 27
TrustSec domain
Voice Employee Supplier BYOD
Campus / Branch / Non-Fabric
TrustSec Policy Domain
Voic
e
VLA
N
Data
VLAN
Web App DB ACI Fabric
Data Centre
APIC Policy Domain APIC
WAN
Раздельные домены политик и идентичности
TrustSec Policy Domain APIC Policy Domain
• Два раздельных домена политик – кампус и ЦОД:
• TrustSec User Identity, SGT и SGACL в кампусе
• APIC App Endpoint Identity, EPG и Contract в ЦОД
• Требования заказчика:
• Требуются общие “Identity,” Tagging и “Security Policy” между доменами TrustSec и ACI
Динамические политики Trustsec для ASA в ACI
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 28
App EPG
ISE
ACI Fabric
Corp EPG
Marketing
Engineering
Corp →App: Allow, Redirect to ASA All Other : Drop
Policy Contract
Source Destination Action
Engineering Any Allow
Any Any Deny
[SGT 333]
SXP
Кампусные пользователи в Corp EPG получают метку с ISE
Грубый фильтр: контракт в политики ACI перенаправляет весь трафик из
кампуса в DC на ASA
ASA получает таблицу через SXP Тонкая фильтрация: ASA
разрешает доступ к приложению только для группы Engineering
3
1
2 4
Динамические политики ASA для кампуса и NGDC
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 29
Engr App EPG
ISE
ACI Fabric Data Center
Campus
Marketing
Engineering
Source Destination Action
Engineering object-group EPG_Engr
Allow
Marketing
object-group EPG_Mktg
Allow
Any Any Deny
[SGT 333]
SXP
ASA изучает DC EPG группы и IP адреса серверов в группах через Service Graph Attachment Notification. Object-groups
используются в политиках ASA.
ASA изучает SGT метки кампуса через SXP protocol. SGT
используются в политиках ASA
Mktg App EPG [SGT 555]
Rock Star
Trustsec в ACI
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 30
TrustSec Policy Domain APIC Policy Domain
ACI
Multi-Pod
Services Leaf
(N9K)
ACI
Spine (N9K)
SXP
iVxLAN
SGACL
Enterprise Core/WAN
EPG-ACL
CMD/SGT
Ne
two
rk L
aye
r C
on
tro
lle
r L
aye
r
Plain Ethernet (no CMD)
IP->ClassId, VNI Bindings
Netw
ork
La
ye
r C
on
trolle
r La
ye
r
IP->Security Group
Bindings Exchanged with
Network
SGT over IPsec/DMVPN/GET-VPN/OTP
(Northbound API)
ISE создает пару Security Group
& Endpoint Group 1
ISE распространяет информацию
IP->SG/EPG Member Bindings
2
Аппаратные и виртуальные платформы безопасности для ЦОД нового поколения
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 31
© 2017 Cisco and/or its affiliates. All rights reserved. 32
SOHO/Teleworker Branch Office Internet Edge Campus Data Center
Virtualization
Платформы Cisco Advanced Security
ASA SM (Cat6500)**
ASA 5545-X
ASA 5585-X SSP20
ASA 5585-X SSP10
ASA 5585-X SSP40
ASA 5585-X SSP60
ASA 5555-X
ASA 5525-X ASA 5512/15-X
FPR9300 (FTD app cluster up to 6x SMs)
ASA 5516-X
ASA 5508-X
NGIPSv
FPR4100 (FTD app cluster up to 6x)
FirePOWER 7000/8000
FTDv
ASA Cluster up to 16
ASAv**
FPR2100
ASA 5505**
ASA 5506(W/H)
** Platform runs only ASA code, no FirePOWER features
Эволюция Firepower NGFW
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 33
ASA + FirePOWER (SFR)
ASA FW Code
FirePOWER NGIPS Service SFR Code
Одна коробка – два ПО
Firepower Threat Defense (FTD)
Firepower NGFW
Одна коробка – Одно ПО
Firewall URL Visibility Threats
ASA FW
FirePOWER NGIPS
Network Stitching or ACI Service Graph Chain
Независимые коробки
Две консоли управления
1
2
2
1 3
Две консоли управления Одна консоль управления
Лето 2013 Cisco приобрела Sourcefire
Зима 2015 выход Firepower Services
весна 2016 выход Firepower NGFW(FTD)
1 2 3 + ≅
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 34
Firewall App (ASA)
ASA FTD App Firewall Modes
ASAv
NGIPSv
Решения для ЦОД
NGIPS App (Sourcefire)
NGFW (FTD) App (ASA+SourceFire)
ASA + FirePOWER services
FirePOWER
FTD App IPS-only Ports
NGFWv
ASA 5506(W/H) ASA 5508/16-X
ASA 5500-X
ASA 5505 ASASM
ASA 5585-X
FPR4100
FPR9300
FP7000/8000
ASA 5500-X
ASA 5506(W/H) ASA 5508/16-X
FPR4100
FPR9300
FPR9300
FPR4100
ASA 5500-X
ASA 5506(W/H) ASA 5508/16-X
ASA 5585-X, top blade is FirePOWER
NGFWv
FPR2100
FPR2100
FXOS на Firepower 4100 и 9300
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 35
Firepower eXtensible Operating System – это встроенное ПО в шасси Firepower 4100 и 9300. Есть CLI, REST-API и GUI.
Обеспечивает управление ПО
Загрузка ПО для приложений безопасности (ASA/FTD/vDP)
Развертывание приложений безопасности
Всё ПО имеет цифровые подписи и проверяется через Secure Boot
Обеспечивает инфраструктуру для кластеризации
Обеспечивает управление трафиком
Выделение интерфейсов (data/management/cluster)
Виртуализация подключений для приложений
Создание port-channel
FXOS GUI - ASA
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 36
Развертывание
приложения ASA/FTDи
подключение Data и Cluster
интерфейсов.
Обязательный шаг
настройки для платформ FPR 4100 и 9300
FXOS GUI - интерфейсы
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 37
Назначение портов и
распределение по
портовым группам port-channel.
FXOS GUI - кластер
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 38
Базовая настройка
кластера – синхронизация
и установление ролей в кластере.
Функции управления и МСЭ на Cisco ASA
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 39
Cisco ASA полный набор функций – МСЭ и VPN концентратора
Cisco ASA 9.7
1G/10G/40G/100G ports, max 1024 VLAN tagged sub-interfaces
Failover active/standby and Clustering active/active high-availability models
ASA-X Embedded FirePOWER Services (AVC, NGIPS, URL-filtering, AMP)
SDN (Cisco APIC) and traditional (Cisco ASDM and CSM) management tools
Supports OSPF, EIGRP, BGP, ISIS, PBR, and Multicast Routing (PIM, IGMP)
Flow or Connection based inspections, IPv6 inspection support, High Speed NAT 66, 46, and 64, and LISP control connection inspection
REST API for programmed configuration and monitoring
Mobile networks inspections (Diameter, SCTP, GTPv2, SS7)
AAA features with Local, Radius, TACACS+, and LDAP support
DHCP and DDNS support (added DHCPv6-Prefix Delegation)
Cisco TrustSec® Policy Enforcement Point (PEP) with SGT-based access control lists (ACLs), inline-tagging capable device, and SXP v3 support
Zone-based firewalling, Equal-Cost Multipath, VxLAN support (VTEP)
LAN-to-LAN, RAVPN (AnyConnect and Native RAVPN clients), Clientless VPN
Multiple Context for customer segmentation (max 250 contexts)
IRB, VM attribute-based policy, Cluster director localization, BFD in HA, VTI, SAML 2.0
Функции Firepower Threat Defense
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 40
Cisco Firepower Threat Defense полный набор функций - NGFW
Cisco Firepower Threat Defense
6.2
L2-L7 Firewall with L3 (Routed), L2 (Transparent IRB or Inline-NGIPS) Modes
Scalable CGNAT, ACL, Dynamic Routing, Fail-to-Wire I/O modules
Application Inspection, PKI for Site-to-Site VPN, Onbox Manager
Inter-chassis cluster, FlexConfig, REST-APIs, Packet Tracer/Capture
NSS Leading Next-Gen IPS - SourceFIRE
Comprehensive Threat Prevention, L7 Application Visibility and Control
Security Intelligence (C&C, Botnets, IP, DNS, etc.), Threat / Risk Reports
Blocking of Files by Type, Protocol, and Direction, Protocol Rate Limiting
Access Control: Enforcement by Application and User AD integration
Switch, Routing, NAT Options, and ISE PxGRID integration
URL Filtering, Malware Blocking, Continuous File Analysis
Malware Network Trajectory, User-based IOCs, URL lookup
AMP public & private cloud with ThreatGrid, FMC-ThreatGrid APIs
Firepower Management Center (fka. FireSIGHT or Defense Center)
Cisco ASAv
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 41
Cisco Virtual Firewall ASAv – поддержка нескольких гипервизоров и взаимодействие с сетью.
Rest-API, Day 0, Any vSwitch
vSwitch or dvSwitch Cisco® AVS
Cisco Nexus® 1000V (no vPath), Open vSwitch Cisco® ACI Integration
KVM
Cisco ASAv qcow2 image KVM 1.0 Virtio driver
KVM
VMware
vSphere client, ovftool, and vCenter OVF Config Dialog
VMware ESXi 5.x, 6.x, Fusion E1000
Hyper-V
Hyper-V Manager and PowerShell deployments
Generation 1 guests Microsoft
Windows
Vmware
Public Cloud
AWS marketplace c3.large, c3.xlarge
Amazon Web Services
Azure Marketplace Standard D3.v2
Microsoft Azure
Cisco Firepower NGFWv и FMCv
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 42
Cisco Virtual Firepower NGFW (FTD) и Multi-device Firepower Management Console
VMware
vSphere client, ovftool, and vCenter OVF Config Dialog
VMware ESXi 5.1, 5.5, Fusion No VMware tools yet on FTDv
E1000, VMXnet3
FMCv
AWS
c3.xlarge, BYOL FMCv & NGFWv
NGFWv
Azure
c3.xlarge, BYOL NGFWv only
KVM
Cisco NGFWv qcow2 image day0, config drive support
Openstack, virt-manager/install virtio
Масштабирование - кластер ASA/FTD
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 43
CL MASTER CL SLAVE CL SLAVE CL SLAVE ASA x Node Cluster
ASA Port-Channel 32
ASA Port-Channel 80
CL MASTER CL SLAVE CL SLAVE CL SLAVE ASA x Node Cluster
VPC PEER LINK
Nexus 9000 VPC 32 Cluster Data Plane
Cluster Control Plane LACP – Local Port Channels
1 2 3 4
cLACP – Spanned Port Channel
N9K VPC 41 N9K VPC 40 N9K VPC 43
N9K VPC 42
1 2 3 4
Для CCL создается EPG со Static Paths
и Untagged VLAN
APIC
ASA spanned VPC добавляется как L4-
L7 logical device
Одинаковые 4 устройства в
кластере, разделение
подключений на data и
control plane
Кластер и Multi-POD ACI
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 44
Традиционный дизайн кластера ASA inter-DC с OTV использовал фильтрацию MAC
Все члены кластера (Spanned Cluster) ASA используют одинаковый MAC во всех DCs
ACI Multi-Pod не имеет механизма фильтрации MAC, поэтому необходима поддержка данного механизма для работы кластера ASA/FTD между сайтами.
IPN
Active Active
Конфигурация кластера для ASA
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 45
Site 2 Site 1
CCL 10.0.0.0/24
cluster-group DC-ASA
site-id 1
interface Port-Channel10
port-channel span-cluster
mac-address 0001.aaaa.aaaa
interface Port-Channel10.100
vlan 100
nameif DB
ip address 192.168.1.1 255.255.255.0
mac-address 0001.aa01.0001 site-id 1
mac-address 0001.aa01.0002 site-id 2
interface Port-Channel10.200
vlan 200
nameif App
ip address 192.168.2.1 255.255.255.0
mac-address 0001.aa02.0001 site-id 1
mac-address 0001.aa02.0002 site-id 2
interface Port-Channel10.300
vlan 300
nameif outside
ip address 192.168.3.5 255.255.255.0
route outside 0.0.0.0 0.0.0.0
192.168.3.1
vPC vPC
vPC vPC
VLAN 200 192.168.2.0/24
mac-list GMAC_FILTER seq 10 deny
0001.aaaa.aaaa ffff.ffff.ffff
mac-list GMAC_FILTER seq 20 permit
0000.0000.0000 0000.0000.0000
otv-isis default
vpn Overlay1
redistribute filter route-map HSRP_FILTER
!
mac access-list GMAC_TRAFFIC
10 permit 0001.aaaa.aaaa 0000.0000.0000 any
20 permit any 0001.aaaa.aaaa 0000.0000.0000
mac access-list ALL
10 permit any any
vlan access-map FILTER 10
match mac address GMAC_TRAFFIC
action drop
vlan access-map FILTER 20
match mac address ALL
action forward
vlan filter FILTER vlan-list 100, 200
!
otv flood mac 0001.bbbb.bbbb vlan 100
interface Vlan300
ip address 192.168.3.2/24
hsrp 10
preempt
ip 192.168.3.1
ip route 192.168.1.0/24 192.168.3.5
ip route 192.168.2.0/24 192.168.3.5
OTV VLAN 100 192.168.1.0/24
interface Vlan300
ip address 192.168.3.3/24
hsrp 10
ip 192.168.3.1
ip route 192.168.1.0/24 192.168.3.5
ip route 192.168.2.0/24 192.168.3.5
.1 .1 .1 .1
VLAN 300 192.168.3.0/24
.5 .5
0001.BBBB.BBBB
.1 .1
Особенности реализации кластера
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 46
Кластер требует связности интерфейсов на Уровне 2
Географически распределённый кластер поддержка с ASA 9.1(4)+
“Темная оптика” для CCL с задержкой до 10ms в одну сторону
Нет толерантности к задержкам/потерям пакетов и re-ordering
Routed firewall только в режиме Individual interface
ASA 9.2(1) расширение поддержки inter-DC clustering - режим Spanned Etherchannel
Transparent firewall только
Ограниченная поддержка режима Routed firewall
ASA 9.5(1) поддержка inter-site Spanned Etherchannel в routed режиме
FTD 6.2 поддержка inter-site clustering через настройки FlexConfig
FlexConfig для Spanned Port Channel в FTD
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 47
Аналитика в ЦОД для безопасности
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 48
Как построить политику микро сегментации? Применение политик это хорошо, но кто поможет в определении политик
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 49
• Что такое политика?
• Кто понимает политику?
• Кто определяет политику?
• Какие средства можно использовать для создания?
• Как определить приложение не по подсети?
• Насколько реальны данные и как долго?
Инструменты мониторинга
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 50
Статистика Потоки
Пример
SNMP
Преимущества
Распространённый
Подходит для мониторинга
состояния устройства
Недостатки
Нет деталей о трафике
Низкая гранулярность
Нагрузка на CPU
Смена ifIndex при перезагрузке
Примеры
Netflow, sFlow, IPFIX,
IPTables
Преимущества
Детальность
Доступность
Недостатки
Близки к реальному
времени
Объем данных
Sampled данные в ЦОД
Пример
Зеркалирование
Преимущества
Полные данные
Независимость от
вендора
Недостатки
Цена
Объем данных
Ограничения Network Taps
и SPAN на устройствах
Инспекция пакетов
For Your Reference
Аналитика Cisco Tetration
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 51
Карта взаимодействия
приложений
Policy Simulation and
Impact Assessment
Автоматическая генерация
политик Whitelist
Расследование: Каждый пакет, поток, любая
скорость
Соответствие политикам и
аудит
Моделирование политик и
применение
Cisco Tetration – обзор архитектуры
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 52
Host Sensors
Сбор данных
Web GUI
Визуализация и отчетность
Network Sensors
3rd Party Metadata Sources
REST API
Push Events
Tetration телеметрия
Данные конфигурации
VM
92XXXCY-X
93XXXYC-EX Cisco Tetration Analytics Platform
Точки сбора информации
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 53
Application
Transport
Network
Data Link
Physical
Sockets
Process Process
Application
Transport
Network
Data Link
Physical
Sockets
Process Process
Network
Data Link
Physical
Network
Data Link
Physical
Информация процесса:
Какой процесс, кто запустил и
т.д.
Информация устройства:
Buffer/ACL Drops и т.д.
Анализируемое приложение
Потоки к другим приложениям (в ЦОД)
Потоки внутри сети Cisco
Потоки из/в Internet
Визуализация потоков (Cisco IT)
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 54
Экспорт политик
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 55
{ "ps_representation": "/usr/sbin/apache2", "user_id": "root", "command_string": "/usr/sbin/apache2 -k start", "protocol": 6, "port_range": [ { "start_port": 8888, "end_port": 8888 } ] },
"policies": [ { "src_name": "mos-fuel-master", "dst_name": "mos-fuel-slaves", "whitelist": [ { "port": [ 8888, 8888 ], "proto": 6, "action": "ALLOW" }, ] },
Соответствие и аудит политик
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 56
Все потоки отслеживаются по 4 статусам • Permitted – двунаправленные
потоки, соотв. политике • Misdropped – разрешенный
трафик, но есть отброшенные пакеты
• Escaped – двунаправленные потоки, не соответствующие политике
• Rejected – однонаправленные потоки несоответствующие политике
Поиск потока
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 57
Применение политик Tetration Tetration автоматически конвертирует ваши намерения в списки правил
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 58
Intent Rules
ALLOW SOURCE 128.0.10.0/16 DEST 128.0.11.0/16
DENY SOURCE 10.0.0.0/8 DEST 128.0.0.0/8 Заблокировать доступ приложениям из зоны
non-production в зону production
Разрешить приложению HR доступ к базе
данных сотрудников
Запретить все HTTP соединения, которые не
идут к серверам web
ALLOW SOURCE * DEST 128.0.100.0/16 PORT = 80
DENY SOURCE * DEST * PORT = 80
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 59
Практическое применение
Прозрачность операций Миграция в ЦОД
Переход на облачные сервисы
Слияния и поглощения
Безопасность Микросегментация и применение политик
Проверка соответствия
Изоляция Legacy приложений
Поиск Поиск потока
Карта взаимодействия приложений Автоматическая генерация политик Whitelist
Соответствие политикам и моделирование
Расследования (пример: поиск потока и аномалии потока)
Определение политик и применение
ИТОГО
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 60
Итого
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 61
• Решения безопасности Cisco вместе с фабрикой ACI – это зрелое программируемое
решение для ЦОД нового поколения с поддержкой нескольких организаций,
микросегментации и полного набора механизмов для защиты.
• Решение масштабируется и обладает всеми функциями для обеспечения
отказоустойчивости.
• Функции аналитики обеспечивают полную прозрачность операций и возможности по
автоматическому созданию необходимых политик безопасности и сегментации.
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 62
Свяжитесь с нами
Тестируйте
Составьте план внедрения
Напишите нам на [email protected]
или своему менеджеру Cisco для организации
встречи для более глубокого обсуждения
ваших потребностей и того, как мы можем их
удовлетворить
Воспользуйтесь широким спектром
возможностей по тестированию: • dCloud
• Виртуальные версии всего ПО
• Демо-оборудование
• И не забудьте про Threat Awareness Service
Мы поможем вам составить поэтапный план
внедрения решений по кибербезопасности
под ваши задачи
Что сделать после семинара?
Вопросы?
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 63
#CiscoConnectRu #CiscoConnectRu
Спасибо за внимание! Оцените данную сессию в мобильном приложении конференции
© 2017 Cisco and/or its affiliates. All rights reserved.
Контакты:
Тел.: +7 495 9611410 www.cisco.com
www.facebook.com/CiscoRu
www.vk.com/cisco
www.instagram.com/ciscoru
www.youtube.com/user/CiscoRussiaMedia