cisco connect · ngfw защищает периметр С/Ю фабрики aci и в...

Cisco Connect Москва, 2017

Цифровизация: здесь и сейчас

Архитектура безопасности современных центров обработки данных

Станислав Рыпалов

Системный инженер

CCIE R&S/Security #12561

© 2017 Cisco and/or its affiliates. All rights reserved.

Проблемы безопасности в ЦОД

Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 3

Изменяющиеся требования


Больше данных

Быстрая разработка приложений

Больше хостов

Распределённые сети

Большее поле для атаки

Целенаправленные, медленные, скрытые угрозы Развивающийся ландшафт угроз

Приложения это главное Несколько сетевых уровней

Злонамеренные или скомпрометированные инсайдеры

Изменение требований к инфраструктуре

Рост сетевого трафика Рост числа атак

Традиционный дизайн – защитите периметр, дорого и неэффективно


1001 0001011110001011

10

1001 0001011110001011

10

1001 0001011110001011

10

1001 0001011110001011

10

1001 0001011110001011

10

Data Packet

1001 0001011110001011

10

/

1001 0001011110001011

10

FW Platform

DDOS Platform SSL Platform

ADC Platform

WAF Platform

IPS Platform

SSL DDoS WAF

FW IPS ADC

Низкая эффективность Увеличение задержек Снижение скорости

сети Статичность & ручное

управление

1001 0001011110001011

10

Trusted Core

Путь трафика – что видите вы?

Source: Cisco Global Cloud Index, 2012-16

76% 17% 7%

Восток/Запад

Между серверами в ЦОД

Север/Юг

В/Из ЦОД

В облачный

или резервный

ЦОД

Сегментация в ЦОД нового поколения


Сегментация


1. Whitelist

2. Patch Apps

3. Patch OS

4. Restrict Admin Priv


Application Centric Infrastructure

“DB” “App”

Централизованное управление

Фабрика ЦОД с централизованным управлением

Логические Endpoint Groups на базе ролей

Гибкая вставка сервиса

Терминология в ACI


• Tenant - может использоваться для описания заказчика, бизнес-единицы или группы в зависимости от требований

• Context - Tenant может быть поделен на контексты, имеющие прямое отношение к Virtual Routing and Forwarding (VRF) или раздельным IP пространствам

EPG – может описывать группу хостов с одинаковыми правами доступа. Также для описания могут использоваться сетевые карты(NIC), virtual NIC (vNIC), IP адреса или атрибуты VM для микросегментации

Application A EPG EPG EPG

Application B EPG EPG EPG

Context ( VRF )

Application A EPG EPG EPG

Application B EPG EPG EPG

Context

Tenant

Application A Detail

EPG EPG EPG

Policy Policy

Терминология профиля приложения


Application Network Profile

EPG “App” EPG “DB”

EP1

EP2

EP1 EP1

EP2

Application Network Profile - набор

портовых групп EPG, соединений между

ними и политик для этих соединений.

Базовые шаги для создания Application

Network Profile: создать EPG , создать

политики связности с правилами: PERMIT,

DENY, LOG, MARK , REDIRECT или COPY

и в финале создать соединения между

EPG с использованием политик -контрактов

Contract – определяет политики и правила

разрешающие, запрещающие входящий и

исходящий трафик, правила QoS и

перенаправления. Контракты описывают

путь взаимодействия между EPG, в

зависимости от требований и условий.

Contract Contract

EPG “Web”

Назначение EPG


Назначение EPG


Tenant

EPG

ANP

Контракты


Contract -> Subject -> Filters

Определяют взаимодействие между различными сервисами

Client EPG взаимодействует с Web EPG

Web EPG с APP EPG

APP EPG с DB EPG

Все группы взаимодействуют с SharedServices

Микросегментация


VM Attributes

EPG – Server

vCenter

Base EPG

Coke1 (x.x.x.21)

vSwitch + Opflex

Windows Server

EPG – Server

Base EPG

EPG – Server

Base EPG

AVS with Opflex

Windows Server VMware ESX server

vSwitch + Opflex

Pepsi1 (x.x.x.11)

Coke2 (x.x.x.22)

Pepsi2 (x.x.x.12)

Coke3 (x.x.x.23)

Pepsi3 (x.x.x.13)

VM Attributes

CokeEPG = VM_name(Coke*)

Coke1 (x.x.x.21)

Coke2 (x.x.x.22)

Coke3 (x.x.x.23)

CokeEPG CokeEPG CokeEPG

1. Все VM могут общаться в своей базовой EPG

2. Администратор создает CokeEPG policy для микросегментации

3. CokeEPG политика распространяется через Opflex на HyperV/ESX

4. VM VLAN изменяется на новый CokeEPG VLAN

HV1 HV2

FS

5. VM в CokeEPG больше не могут общаться с VM в Base EPG

APIC

Атрибуты для микросегментации


Attributes supported for DVS Useg

Custom Attributes

Guest OS

VM Name

VM (id)

VNIC (id)

DVS

DVS Port-group

Datacenter

MAC

IP Address Prefix

Custom Attributes Use: vSphere Web Client Plugin 6.0

Микросегментация. Контракт и сервисный граф


Application with EPG, Contract and Service Graphs

uSeg-video-client

Video-Streaming

uSeg EPGs with Contract

uSeg EPGs with Service Graphs

Типовая сервисная цепочка


Полная абстракция внутри сервисной цепочки

Каждое устройство выполняет свою функцию и обменивается пакетами с фабрикой в соответствии с настройками

Модульная конструкция, устройства взаимозаменяемы

Фабрика ACI обеспечивает симметричность потоков через сервисное устройство

Policy rules, NAT, Inspection

Варианты включения устройств


ACI L2 Fabric

• APIC определяет Tenant’ов

• EPG это VLAN/Subnet

• Нет Device Package

• Фабрика GW/Routing

• Нет Device Package

• ‘Счастливый’ SecOps

• Полная оркестрация!

• Vendor Device Package

APIC in Control

ACI No Package ACI By Design

EPG1

EPG2

EPG3

EPG1

EPG2

EPG3

EPG1

EPG2

EPG3

Managed Service Graph Unmanaged Service Graph

Варианты вставки (пример) – FTD cluster


Unmanaged

NGFW защищает периметр С/Ю фабрики ACI и в добавок В/З

Po1.404 Po1.405

Vlan 200

Campus Network

Web

provider consumer

Firepower 4100/9300 Clustering Firepower Threat Defense

(FTD) Image

APIC

vPC4

Contract out-to-web service-graph FTD1

Vlan 404 Vlan 405

FMC

Vlan 100

APIC Go-To Unmanaged Service Graph: где FTD включен в Routed FW Mode (С/Ю).

Добавление Go-Through Transparent FW BVI интерфейсов и inline NGIPS-портов

для защиты В/З внутри фабрики.

Master Slave

FMC управляет FTD кластером и настройками.

Масштабируемость и отказоустойчивость: Резервные соединения (до 16) и

устройства ( 6 в FTD кластере) BGP или OSPF на ACI L3outs

Варианты вставки (пример) - PBR


APIC 2.0

Unmanaged

Protected Servers

EPG APP

N9k SVIs BD_pbr 10.3.0.2

DHCP: 10.1.0.100 – 10.1.0.140

FTD App 10.3.0.1

Default or Static Route to SVI Custom MAC 0f2d.4100.9300

BD1

EPG DB

Фабрика перенаправляет трафик на один интерфейс, используя

unmanaged FTD app. Используется одна зона безопасности для

определения политик безопасности. Схема работает и

для виртуальных устройств.

PBR Service Graph пересылает трафик между двумя EPG в

одном Bridge Domain (subnet). Есть возможность селективного

редиректа ( например только определенные протоколы).

http

ssh (file copy)

One-arm Graph

Rock Star

FTD + ACI – решение для VDI


Кампусная сеть

provider consumer

Firepower 4100 / 9300 FTD Image

vPC4

Contract campus-to-vdi

service-graph to FTD

FMC Active Directory

в Server EPG

SF User Agent

VDI EPG

OSPF

OSPF к

L3out

FTD это VDI GW и анонсирование подсети в OSPF

Red и Blue badge пользователи

открывают VDI сессии

VDI Farm – одна большая подсеть с изоляцией

VM, блокировка распространения

Ключевые моменты:

Настройка фабрики ACI для изоляции Intra-EPG Настройка FTD User-identity Based policy

FW/AVC/NGIPS/AMP с HA Кластер FP4100/FP9300 для

производительности ( версия 6.2)

Unmanaged Service Graph + L3out OSPF от FTD к ACI Fabric Масштабируется до 50k+ пользователей AD

Варианты вставки (пример) - FTD


Managed

NGFW В/З защита в фабрике ACI

Eth1/1.404 Eth1/2.405

Vlan 200

DB

provider consumer

Firepower 4100 / 9300 Firepower Threat Defense Image

Contract app-to-db service-graph FTD1

Vlan 404 Vlan 405

Vlan 100

APIC использует FTD Device Package для оркестрации Go-To/Go-Through Service

Graph совместно с FMC (Service Manager Mode)

FTD поддерживает Routed FW, Transparent FW BVI и выделенные IPS порты.

App

FMC APIC

DP 1.0 Beta

Возможности управляемой вставки


P2-ASA5525-1/pod37# show object-group

object-group network __$EPG$_pod37-wan-out-out-l3out3

network-object 10.70.0.0 255.255.255.0

object-group network __$EPG$_pod37-aprof-app

network-object host 10.1.37.102

object-group network __$EPG$_pod37-aprof-web

network-object host 10.1.0.101

Outside Network App EPG Web EPG

Web host Outside host

IP 10.1.0.101/16

out-to-web contract Source: 10.70.0.101 Destination: 10.1.0.101 10.70.0.101

10.70.0.1

App host

IP 10.1.37.102/16

BD1 (web)

SVI/Subnet 10.1.0.2/24

Динамическое обновление EPG на FTD


FMC + APIC быстрое блокирование угроз


DB EPG

ACI Fabric

App EPG

Infected App1

Шаг 1: Зараженный хост запускает атаку, которую блокирует устройство NGFW(v),

FirePOWER Services для ASA или FirePOWER(v)

Шаг2: Устройство генерирует событие и отправляет на FMC с информацией о зараженном хосте.

Шаг 3: Событие атаки включает настроенный модуль remediation module для APIC который

использует NB API для изоляции хоста в фабрике ACI

1

FMC

App2

2

3 4

Шаг 4: APIC помещает в карантин зараженный хост используя микросегментацию

uSeg EPG

Политики Trustsec в ЦОД


TrustSec domain

Voice Employee Supplier BYOD

Campus / Branch / Non-Fabric

TrustSec Policy Domain

Voic

e

VLA

N

Data

VLAN

Web App DB ACI Fabric

Data Centre

APIC Policy Domain APIC

WAN

Раздельные домены политик и идентичности

TrustSec Policy Domain APIC Policy Domain

• Два раздельных домена политик – кампус и ЦОД:

• TrustSec User Identity, SGT и SGACL в кампусе

• APIC App Endpoint Identity, EPG и Contract в ЦОД

• Требования заказчика:

• Требуются общие “Identity,” Tagging и “Security Policy” между доменами TrustSec и ACI

Динамические политики Trustsec для ASA в ACI


App EPG

ISE

ACI Fabric

Corp EPG

Marketing

Engineering

Corp →App: Allow, Redirect to ASA All Other : Drop

Policy Contract

Source Destination Action

Engineering Any Allow

Any Any Deny

[SGT 333]

SXP

Кампусные пользователи в Corp EPG получают метку с ISE

Грубый фильтр: контракт в политики ACI перенаправляет весь трафик из

кампуса в DC на ASA

ASA получает таблицу через SXP Тонкая фильтрация: ASA

разрешает доступ к приложению только для группы Engineering

3

1

2 4

Динамические политики ASA для кампуса и NGDC


Engr App EPG

ISE

ACI Fabric Data Center

Campus

Marketing

Engineering

Source Destination Action

Engineering object-group EPG_Engr

Allow

Marketing

object-group EPG_Mktg

Allow

Any Any Deny

[SGT 333]

SXP

ASA изучает DC EPG группы и IP адреса серверов в группах через Service Graph Attachment Notification. Object-groups

используются в политиках ASA.

ASA изучает SGT метки кампуса через SXP protocol. SGT

используются в политиках ASA

Mktg App EPG [SGT 555]

Rock Star

Trustsec в ACI


TrustSec Policy Domain APIC Policy Domain

ACI

Multi-Pod

Services Leaf

(N9K)

ACI

Spine (N9K)

SXP

iVxLAN

SGACL

Enterprise Core/WAN

EPG-ACL

CMD/SGT

Ne

two

rk L

aye

r C

on

tro

lle

r L

aye

r

Plain Ethernet (no CMD)

IP->ClassId, VNI Bindings

Netw

ork

La

ye

r C

on

trolle

r La

ye

r

IP->Security Group

Bindings Exchanged with

Network

SGT over IPsec/DMVPN/GET-VPN/OTP

(Northbound API)

ISE создает пару Security Group

& Endpoint Group 1

ISE распространяет информацию

IP->SG/EPG Member Bindings

2

Аппаратные и виртуальные платформы безопасности для ЦОД нового поколения


© 2017 Cisco and/or its affiliates. All rights reserved. 32

SOHO/Teleworker Branch Office Internet Edge Campus Data Center

Virtualization

Платформы Cisco Advanced Security

ASA SM (Cat6500)**

ASA 5545-X

ASA 5585-X SSP20

ASA 5585-X SSP10

ASA 5585-X SSP40

ASA 5585-X SSP60

ASA 5555-X

ASA 5525-X ASA 5512/15-X

FPR9300 (FTD app cluster up to 6x SMs)

ASA 5516-X

ASA 5508-X

NGIPSv

FPR4100 (FTD app cluster up to 6x)

FirePOWER 7000/8000

FTDv

ASA Cluster up to 16

ASAv**

FPR2100

ASA 5505**

ASA 5506(W/H)

** Platform runs only ASA code, no FirePOWER features

Эволюция Firepower NGFW


ASA + FirePOWER (SFR)

ASA FW Code

FirePOWER NGIPS Service SFR Code

Одна коробка – два ПО

Firepower Threat Defense (FTD)

Firepower NGFW

Одна коробка – Одно ПО

Firewall URL Visibility Threats

ASA FW

FirePOWER NGIPS

Network Stitching or ACI Service Graph Chain

Независимые коробки

Две консоли управления

1

2

2

1 3

Две консоли управления Одна консоль управления

Лето 2013 Cisco приобрела Sourcefire

Зима 2015 выход Firepower Services

весна 2016 выход Firepower NGFW(FTD)

1 2 3 + ≅


Firewall App (ASA)

ASA FTD App Firewall Modes

ASAv

NGIPSv

Решения для ЦОД

NGIPS App (Sourcefire)

NGFW (FTD) App (ASA+SourceFire)

ASA + FirePOWER services

FirePOWER

FTD App IPS-only Ports

NGFWv

ASA 5506(W/H) ASA 5508/16-X

ASA 5500-X

ASA 5505 ASASM

ASA 5585-X

FPR4100

FPR9300

FP7000/8000

ASA 5500-X

ASA 5506(W/H) ASA 5508/16-X

FPR4100

FPR9300

FPR9300

FPR4100

ASA 5500-X

ASA 5506(W/H) ASA 5508/16-X

ASA 5585-X, top blade is FirePOWER

NGFWv

FPR2100

FPR2100

FXOS на Firepower 4100 и 9300


Firepower eXtensible Operating System – это встроенное ПО в шасси Firepower 4100 и 9300. Есть CLI, REST-API и GUI.

Обеспечивает управление ПО

Загрузка ПО для приложений безопасности (ASA/FTD/vDP)

Развертывание приложений безопасности

Всё ПО имеет цифровые подписи и проверяется через Secure Boot

Обеспечивает инфраструктуру для кластеризации

Обеспечивает управление трафиком

Выделение интерфейсов (data/management/cluster)

Виртуализация подключений для приложений

Создание port-channel

FXOS GUI - ASA


Развертывание

приложения ASA/FTDи

подключение Data и Cluster

интерфейсов.

Обязательный шаг

настройки для платформ FPR 4100 и 9300

FXOS GUI - интерфейсы


Назначение портов и

распределение по

портовым группам port-channel.

FXOS GUI - кластер


Базовая настройка

кластера – синхронизация

и установление ролей в кластере.

Функции управления и МСЭ на Cisco ASA


Cisco ASA полный набор функций – МСЭ и VPN концентратора

Cisco ASA 9.7

1G/10G/40G/100G ports, max 1024 VLAN tagged sub-interfaces

Failover active/standby and Clustering active/active high-availability models

ASA-X Embedded FirePOWER Services (AVC, NGIPS, URL-filtering, AMP)

SDN (Cisco APIC) and traditional (Cisco ASDM and CSM) management tools

Supports OSPF, EIGRP, BGP, ISIS, PBR, and Multicast Routing (PIM, IGMP)

Flow or Connection based inspections, IPv6 inspection support, High Speed NAT 66, 46, and 64, and LISP control connection inspection

REST API for programmed configuration and monitoring

Mobile networks inspections (Diameter, SCTP, GTPv2, SS7)

AAA features with Local, Radius, TACACS+, and LDAP support

DHCP and DDNS support (added DHCPv6-Prefix Delegation)

Cisco TrustSec® Policy Enforcement Point (PEP) with SGT-based access control lists (ACLs), inline-tagging capable device, and SXP v3 support

Zone-based firewalling, Equal-Cost Multipath, VxLAN support (VTEP)

LAN-to-LAN, RAVPN (AnyConnect and Native RAVPN clients), Clientless VPN

Multiple Context for customer segmentation (max 250 contexts)

IRB, VM attribute-based policy, Cluster director localization, BFD in HA, VTI, SAML 2.0

Функции Firepower Threat Defense


Cisco Firepower Threat Defense полный набор функций - NGFW

Cisco Firepower Threat Defense

6.2

L2-L7 Firewall with L3 (Routed), L2 (Transparent IRB or Inline-NGIPS) Modes

Scalable CGNAT, ACL, Dynamic Routing, Fail-to-Wire I/O modules

Application Inspection, PKI for Site-to-Site VPN, Onbox Manager

Inter-chassis cluster, FlexConfig, REST-APIs, Packet Tracer/Capture

NSS Leading Next-Gen IPS - SourceFIRE

Comprehensive Threat Prevention, L7 Application Visibility and Control

Security Intelligence (C&C, Botnets, IP, DNS, etc.), Threat / Risk Reports

Blocking of Files by Type, Protocol, and Direction, Protocol Rate Limiting

Access Control: Enforcement by Application and User AD integration

Switch, Routing, NAT Options, and ISE PxGRID integration

URL Filtering, Malware Blocking, Continuous File Analysis

Malware Network Trajectory, User-based IOCs, URL lookup

AMP public & private cloud with ThreatGrid, FMC-ThreatGrid APIs

Firepower Management Center (fka. FireSIGHT or Defense Center)

Cisco ASAv


Cisco Virtual Firewall ASAv – поддержка нескольких гипервизоров и взаимодействие с сетью.

Rest-API, Day 0, Any vSwitch

vSwitch or dvSwitch Cisco® AVS

Cisco Nexus® 1000V (no vPath), Open vSwitch Cisco® ACI Integration

KVM

Cisco ASAv qcow2 image KVM 1.0 Virtio driver

KVM

VMware

vSphere client, ovftool, and vCenter OVF Config Dialog

VMware ESXi 5.x, 6.x, Fusion E1000

Hyper-V

Hyper-V Manager and PowerShell deployments

Generation 1 guests Microsoft

Windows

Vmware

Public Cloud

AWS marketplace c3.large, c3.xlarge

Amazon Web Services

Azure Marketplace Standard D3.v2

Microsoft Azure

Cisco Firepower NGFWv и FMCv


Cisco Virtual Firepower NGFW (FTD) и Multi-device Firepower Management Console

VMware

vSphere client, ovftool, and vCenter OVF Config Dialog

VMware ESXi 5.1, 5.5, Fusion No VMware tools yet on FTDv

E1000, VMXnet3

FMCv

AWS

c3.xlarge, BYOL FMCv & NGFWv

NGFWv

Azure

c3.xlarge, BYOL NGFWv only

KVM

Cisco NGFWv qcow2 image day0, config drive support

Openstack, virt-manager/install virtio

Масштабирование - кластер ASA/FTD


CL MASTER CL SLAVE CL SLAVE CL SLAVE ASA x Node Cluster

ASA Port-Channel 32

ASA Port-Channel 80

CL MASTER CL SLAVE CL SLAVE CL SLAVE ASA x Node Cluster

VPC PEER LINK

Nexus 9000 VPC 32 Cluster Data Plane

Cluster Control Plane LACP – Local Port Channels

1 2 3 4

cLACP – Spanned Port Channel

N9K VPC 41 N9K VPC 40 N9K VPC 43

N9K VPC 42

1 2 3 4

Для CCL создается EPG со Static Paths

и Untagged VLAN

APIC

ASA spanned VPC добавляется как L4-

L7 logical device

Одинаковые 4 устройства в

кластере, разделение

подключений на data и

control plane

Кластер и Multi-POD ACI


Традиционный дизайн кластера ASA inter-DC с OTV использовал фильтрацию MAC

Все члены кластера (Spanned Cluster) ASA используют одинаковый MAC во всех DCs

ACI Multi-Pod не имеет механизма фильтрации MAC, поэтому необходима поддержка данного механизма для работы кластера ASA/FTD между сайтами.

IPN

Active Active

Конфигурация кластера для ASA


Site 2 Site 1

CCL 10.0.0.0/24

cluster-group DC-ASA

site-id 1

interface Port-Channel10

port-channel span-cluster

mac-address 0001.aaaa.aaaa

interface Port-Channel10.100

vlan 100

nameif DB

ip address 192.168.1.1 255.255.255.0

mac-address 0001.aa01.0001 site-id 1



vlan 200

nameif App

ip address 192.168.2.1 255.255.255.0




vlan 300

nameif outside

ip address 192.168.3.5 255.255.255.0

route outside 0.0.0.0 0.0.0.0

192.168.3.1

vPC vPC

vPC vPC

VLAN 200 192.168.2.0/24

mac-list GMAC_FILTER seq 10 deny

0001.aaaa.aaaa ffff.ffff.ffff

mac-list GMAC_FILTER seq 20 permit

0000.0000.0000 0000.0000.0000

otv-isis default

vpn Overlay1

redistribute filter route-map HSRP_FILTER

!

mac access-list GMAC_TRAFFIC

10 permit 0001.aaaa.aaaa 0000.0000.0000 any

20 permit any 0001.aaaa.aaaa 0000.0000.0000

mac access-list ALL

10 permit any any

vlan access-map FILTER 10

match mac address GMAC_TRAFFIC

action drop

vlan access-map FILTER 20

match mac address ALL

action forward

vlan filter FILTER vlan-list 100, 200

!

otv flood mac 0001.bbbb.bbbb vlan 100

interface Vlan300

ip address 192.168.3.2/24

hsrp 10

preempt

ip 192.168.3.1

ip route 192.168.1.0/24 192.168.3.5

ip route 192.168.2.0/24 192.168.3.5

OTV VLAN 100 192.168.1.0/24

interface Vlan300

ip address 192.168.3.3/24

hsrp 10

ip 192.168.3.1

ip route 192.168.1.0/24 192.168.3.5

ip route 192.168.2.0/24 192.168.3.5

.1 .1 .1 .1

VLAN 300 192.168.3.0/24

.5 .5

0001.BBBB.BBBB

.1 .1

Особенности реализации кластера


Кластер требует связности интерфейсов на Уровне 2

Географически распределённый кластер поддержка с ASA 9.1(4)+

“Темная оптика” для CCL с задержкой до 10ms в одну сторону

Нет толерантности к задержкам/потерям пакетов и re-ordering

Routed firewall только в режиме Individual interface

ASA 9.2(1) расширение поддержки inter-DC clustering - режим Spanned Etherchannel

Transparent firewall только

Ограниченная поддержка режима Routed firewall

ASA 9.5(1) поддержка inter-site Spanned Etherchannel в routed режиме

FTD 6.2 поддержка inter-site clustering через настройки FlexConfig

FlexConfig для Spanned Port Channel в FTD


Аналитика в ЦОД для безопасности


Как построить политику микро сегментации? Применение политик это хорошо, но кто поможет в определении политик


• Что такое политика?

• Кто понимает политику?

• Кто определяет политику?

• Какие средства можно использовать для создания?

• Как определить приложение не по подсети?

• Насколько реальны данные и как долго?

Инструменты мониторинга


Статистика Потоки

Пример

SNMP

Преимущества

Распространённый

Подходит для мониторинга

состояния устройства

Недостатки

Нет деталей о трафике

Низкая гранулярность

Нагрузка на CPU

Смена ifIndex при перезагрузке

Примеры

Netflow, sFlow, IPFIX,

IPTables


Детальность

Доступность


Близки к реальному

времени

Объем данных

Sampled данные в ЦОД

Пример

Зеркалирование


Полные данные

Независимость от

вендора


Цена

Объем данных

Ограничения Network Taps

и SPAN на устройствах

Инспекция пакетов

For Your Reference

Аналитика Cisco Tetration


Карта взаимодействия

приложений

Policy Simulation and

Impact Assessment

Автоматическая генерация

политик Whitelist

Расследование: Каждый пакет, поток, любая

скорость

Соответствие политикам и

аудит

Моделирование политик и

применение

Cisco Tetration – обзор архитектуры


Host Sensors

Сбор данных

Web GUI

Визуализация и отчетность

Network Sensors

3rd Party Metadata Sources

REST API

Push Events

Tetration телеметрия

Данные конфигурации

VM

92XXXCY-X

93XXXYC-EX Cisco Tetration Analytics Platform

Точки сбора информации


Application

Transport

Network

Data Link

Physical

Sockets

Process Process

Application

Transport

Network

Data Link

Physical

Sockets

Process Process

Network

Data Link

Physical

Network

Data Link

Physical

Информация процесса:

Какой процесс, кто запустил и

т.д.

Информация устройства:

Buffer/ACL Drops и т.д.

Анализируемое приложение

Потоки к другим приложениям (в ЦОД)

Потоки внутри сети Cisco

Потоки из/в Internet

Визуализация потоков (Cisco IT)


Экспорт политик


{ "ps_representation": "/usr/sbin/apache2", "user_id": "root", "command_string": "/usr/sbin/apache2 -k start", "protocol": 6, "port_range": [ { "start_port": 8888, "end_port": 8888 } ] },

"policies": [ { "src_name": "mos-fuel-master", "dst_name": "mos-fuel-slaves", "whitelist": [ { "port": [ 8888, 8888 ], "proto": 6, "action": "ALLOW" }, ] },

Соответствие и аудит политик


Все потоки отслеживаются по 4 статусам • Permitted – двунаправленные

потоки, соотв. политике • Misdropped – разрешенный

трафик, но есть отброшенные пакеты

• Escaped – двунаправленные потоки, не соответствующие политике

• Rejected – однонаправленные потоки несоответствующие политике

Поиск потока


Применение политик Tetration Tetration автоматически конвертирует ваши намерения в списки правил


Intent Rules

ALLOW SOURCE 128.0.10.0/16 DEST 128.0.11.0/16

DENY SOURCE 10.0.0.0/8 DEST 128.0.0.0/8 Заблокировать доступ приложениям из зоны

non-production в зону production

Разрешить приложению HR доступ к базе

данных сотрудников

Запретить все HTTP соединения, которые не

идут к серверам web

ALLOW SOURCE * DEST 128.0.100.0/16 PORT = 80

DENY SOURCE * DEST * PORT = 80


Практическое применение

Прозрачность операций Миграция в ЦОД

Переход на облачные сервисы

Слияния и поглощения

Безопасность Микросегментация и применение политик

Проверка соответствия

Изоляция Legacy приложений

Поиск Поиск потока

Карта взаимодействия приложений Автоматическая генерация политик Whitelist

Соответствие политикам и моделирование

Расследования (пример: поиск потока и аномалии потока)

Определение политик и применение

ИТОГО


Итого


• Решения безопасности Cisco вместе с фабрикой ACI – это зрелое программируемое

решение для ЦОД нового поколения с поддержкой нескольких организаций,

микросегментации и полного набора механизмов для защиты.

• Решение масштабируется и обладает всеми функциями для обеспечения

отказоустойчивости.

• Функции аналитики обеспечивают полную прозрачность операций и возможности по

автоматическому созданию необходимых политик безопасности и сегментации.


Свяжитесь с нами

Тестируйте

Составьте план внедрения

Напишите нам на [email protected]

или своему менеджеру Cisco для организации

встречи для более глубокого обсуждения

ваших потребностей и того, как мы можем их

удовлетворить

Воспользуйтесь широким спектром

возможностей по тестированию: • dCloud

• Виртуальные версии всего ПО

• Демо-оборудование

• И не забудьте про Threat Awareness Service

Мы поможем вам составить поэтапный план

внедрения решений по кибербезопасности

под ваши задачи

Что сделать после семинара?

mailto:[email protected]



Вопросы?


#CiscoConnectRu #CiscoConnectRu

Спасибо за внимание! Оцените данную сессию в мобильном приложении конференции

© 2017 Cisco and/or its affiliates. All rights reserved.

Контакты:

Тел.: +7 495 9611410 www.cisco.com

www.facebook.com/CiscoRu

www.vk.com/cisco

www.instagram.com/ciscoru

www.youtube.com/user/CiscoRussiaMedia

cisco connect · ngfw защищает периметр С/Ю фабрики aci и в...

Documents