gaweł mikołajczyk gmikolaj@cisco · [email protected] security consulting systems engineer emea...

Gaweł Mikołajczyk [email protected] Security Consulting Systems Engineer EMEA Central Core Team CCIE #24987, CISSP-ISSAP, CISA, C|EH

PLNOG10, February 28, 2013, Warsaw, Poland


http://plnog.pl/spotkanie-8-marzec/materialy

• Bezpieczeństwo L2

• Segmentacja N-S

• Segmentacja E-W

• RBAC

• Service Sandwich

• FW | LB | IPS | NAM

• Multitenant VMDC

• TrustSec intro

• Widoczność per VM








http://plnog.pl/spotkanie-9-pazdziernik/materialy-2013-krakow

• Firewall Clustering

• Virtual Tenant Edge

Firewall

• Cloud Services

Routing intro

• Segmentacja overlay

z TrustSec

• ASA1000V

• VSG

• Nexus1000V

• vPath











Tenant 2

Segment 3

Segment 2

Segment 1

vPath

Chroniony VRF (control point)

Nexus

1000v

Współdzielony

Segment

VSG

Protected

Zone

ASA Context

Tenant 1

Segment 3

Segment 2

Segment 1

vPath

Chroniony VRF (control point)

Nexus

1000v

Współdzielony

Segment

VSG

Protected

Zone

ASA Context

Globalne/

Współdzielone

Segmenty

Globalny

VRF

Klient do Serwera

Tenant do Współdzielonego Segmentu

Inter-Tenant

Intra-Tenant (ten sam segment)

Intra-Tenant Segment-to-Segment


Dualne podejście

Przekierowanie ruchu z

maszyny wirtualnej w VLAN do

appliance fizycznego

Usługi bezpieczeństwa oparte

hypervisora o appliance wirtualne 1 2

Web Server

Application Server

Database Server

Web Server

Application Server

Database Server

Hypervisor Hypervisor

VLANs

Tradycyjne Appliance i Moduły Wirtualne moduły serwisowe

Wirtualne Kontesty

VSN

VSN


• Ochrona Hypervisora

• Bezpieczny dostęp zarządzania do Hypervisora

• Ochrona przed wyczerpaniem zasobów

• Kontrola nad ruchem sieciowym

• Separacja ruchu Inter-VM

• Umiejscowienie urządzeń/VM bezpieczeństwa?

• Multi-tenancy

• Uwierzytelnienie, Ochrona zasobów, Separacja zasobów

• Kto i za co jest odpowiedzialny?

• Audytowanie/Monitorowanie/Raportowanie

• Zgodność i Standardy

Wirtualna sieć dostępowa


• Domeny L2 w dużej skali:

Dzięsiątki tysięcy portów wirtualnych

Setki serwerów

• Wspólne APIs

OpenStack Quantum API dla automatyzacji / orchestracji

• Skalowalna segmentacja i adresacja DC Scalable DC: VXLAN

• Wirtualne appliance z service chaining / sterowaniem ruchu

VSG (segmentacja E-W),

ASA1000V (segmentacja N-S)

vWAAS (akceleracja ruchu)

vPATH

• Konieczne wsparcie wielu hypervisorów: ESX, Hyper-V, OpenSource

• Transport: VXLAN do VLAN GW

Nexus 1000V

OpenStack Quantum API

REST API

Hypervisor

Tenant 1

Wirtualne

Usługi

vWAAS

VSG ASA 1KV

Tenant 3

ASA

5585-X

Serwery

Fizyczne

Sieć

fizyczna

(VLAN) VXLAN Gateway

Serwery

Wirtualne

Tenant 2

Tenant 1: wirtualne zasoby chronione przez wirtualny firewall

Tenant 2: wirtualne zasoby chronione przez fizyczny firewall (via VXLAN GW)

Tenant 3: wirtualne i fizyczne zasoby w jednej domenie L2 (via VXLAN GW)


• Ethernet w sieci IP overlay

– Ramka L2 frame enkapsulowana w UDP

DST/8472

– 50 Bajtów overhead

– Wspólny format Cisco, VMware, Red hat,

Citrix

• Zawiera 24-bitowy segment ID

– Reprezentuje VXLAN ID

– 16 M segmentów sieci

– Przekracza limit 4096 VLAN

• Tunel pomiędzy VEMs

– VM podłączone do portów

dostępowych

– VM NIE widzą segment ID

• IP multicast użyty dla L2

broadcast/multicast lub nieznanych

adresów unicast

• Hosty ESXi hosts moga rezydować

w różnych sieciach L3

VEM

MAC

Dest

VEM

MAC

Src

Transport

VLAN

802.1Q

VEM IP

Dest

VEM IP

Src UDP

VM MAC

Dest CRC

VXLAN

ID

VM MAC

Src L3

Oryginalna ramka Enkapsulacja VXLAN

http://tools.ietf.org/html/draft-mahalingam-dutt-dcops-vxlan-03.html














CSR 1000V

• Brama WAN

• Routing i VPN

vWAAS

• Optymizacja WAN

• Kontrola aplikacji

ASA 1000V

• Brzegowy firewall

• Ruch WAN-LAN

VSG

• Ruch pomiędzy VM

Nexus 1000V

• Rozproszony przełącznik

• NetFlow, TrustSec

• Nexus 1000V, CSR 1000V, ASA 1000V, VSG oraz vWAAS

Hypervisor

Router

WAN Przełączniki

Serwery

Dzierżawca A

ASA

1000V CSR

1000V

Dział B Dział A

Nexus 1000V

vPath

Infrastruktura fizyczna Infrastruktura wirtualna

DC dostawcy chmury

vWAAS

AppNav

VSG VSG


vPath

VM VM

ASA 1000V ASA 1000V

VM VM

Nexus 1000V

SDN-enabled security services

Pakiet dociera do vPath i jest przekazywany

do pierwszego VSN zgodnie ze zdefiniowaną

polityką.

VSN może przekazać pakiet z powrotem do

vPath lub przekierować go do innego VSN.

vPath oferuje mechanizmy:

• FastPath

• Service Chaining

• Ścieżkę powrotną z zachowaniem

stanu

• Clustering dla skali w środowisku

wirtualnym


Nexus 1000V

Distributed Virtual Switch

VM VM VM

VM VM

VM

VM VM VM

VM

VM

VM VM VM

VM VM VM VM

vPath

VSG

ASA 1000V 1

2

3

4 5

Segmentacja wirtualnego brzegu


1

7

vservice node ASA1 type asa ip address 172.31.2.11

adjacency l2 vlan 3770

vservice node VSG1 type vsg

ip address 10.10.11.202

adjacency l3

vservice path chain-VSG-ASA

node VSG1 profile sp-web order 10

node ASA1 profile sp-edge order 20

port-profile type vethernet Tenant-1 org root/Tenant-1

vservice path chain-VSG-ASA

Definicja Service

Node w Nexus 1000V

Chaining w kolejności

od inside do outside.

Enable the Service

Chain Per Port-Profile

Virtual Tenant Edge Security


VM VM VM VM

Nexus

1000V

VEM

VM VM VM VM

Nexus

1000V

VEM

Nexus 1000V

VSM

Windows 8 Hyper-V Nexus 1000V

VSM

VMware vSphere

VMware vCenter SCVMM

Spójna architektura, funkcjonalności i usługi sieciowe w heterogenicznych środowiskach z wieloma hypervisorami w środowisku wirtualnym.


KVM Hypervisor

Cisco Nexus 1000V

Adapter Server

Beta ruszyła.

Automatyzacja Openstack.

VXLAN i VXLAN Gateway

Zainteresowanie Cloud SP


Enterprise Data Center

Chmura Prywatna Wirtualna

Chmura

Prywatna L2

Cloud

Provider

Chmura Publiczna (każdy hypervisor)

Bezpieczna Chmura Hybrydowa

Bezpieczny Interconnect L2.

Transport do chmury dostawcy w locie.

Hypervisor-agnostic.

Integracja zwirtualizowanych usług bezpieczeństwa z vPath.

Hybrid Cloud connectivity

Cisco Nexus 1000V InterCloud: http://www.youtube.com/watch?v=KT8XHNX1NSg

http://www.youtube.com/watch?v=KT8XHNX1NSg



© 2011 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 23

PODEJŚCIE

TRADYCYJNE 1 2 3 4 5 6 7 8 9 10

Kreacja template z obrazu VM

Kreacja instancji

VM z template

Zapisaniepolityki sieci, L4-L7

Shutdown aplikacji

Eksport VM

Konwersja VM do

formatu dostawcy

Start VM w

chmurze

Kreacja tunelu site-

to-site

Wybierz VM do

migracji

Wybierz VM do

migracji

Zmigruj VM

Wybierz chmurę

docelową

2 1

R Zmiana polityk

sieciowych

PODEJŚCIE

INTERCLOUD

• Simplified Operations

• Rapid Provisioning

• Accelerated Time-to-Market

Route Processor (active)

Interconn.

RP

Embedded Services Processor (active)

FECP

Interconn

QFP subsystem

Crypto assist

SPA SPA

IOCP SPA

Agg.

…

Interconn

vNIC vCPU vMemory vDisk

Route Processor (active)

Interconn.

RP

Embedded Services Processor (active)

FECP

Interconn

QFP subsystem

Crypto assist

vNIC vCPU vMemory vDisk

Hardware

CPU Memory Disk NIC

Hypervisor (VMware / Citrix)

• Wybrane funkcje Cisco IOS XE

• Virtual Route Processor (RP)

• Virtual Forwarding Processor (FP)

• Zoptymalizowana do pojedynczych „nabywców” w DC

• Hypervisor

• Wirtualny przełącznik

• Serwer


• Cisco IOS-XE w postaci paczki oprogramowania

• Wybrane funkcje Cisco IOS XE

• Virtual Route Processor (RP)

• Virtual Forwarding Processor (FP)

• Zoptymalizowana do pojedynczych „nabywców” w DC

• Hypervisor

• Wirtualny przełącznik

• Serwer

Serwer

Hypervisor

Wirtualny przełącznik

VPC/vDC

OS

App

OS

App

CSR

1000V


• Max vNICs per Hypervisor

• E1000, VMXNET2, VMXNET3

• Subinterfejsy

Serwer

Hypervisor


CSR

1000

V

Router

WAN

Przełączniki

Serwery CSR

1000

V

VPC/vDC

VPC/vDC

CPD dostawcy chmury

Korzyści

• JEDNA polityka bezpieczeństwa

• JEDNA konfiguracja

Zalety

• Prosty, replikowalny model wdrożeniowy

• Skalowalny VPN

VPN i routing

• IPSec VPN, DMVPN, EZVPN, FlexVPN

• Firewall, ACL, AAA

ISR

ISR

ASR

DC

Oddział

Oddział

CSR1000V @CiscoLive! London: http://www.youtube.com/watch?v=t6Wm5pnPVp4

http://www.youtube.com/watch?v=t6Wm5pnPVp4




CSR

1000V Router

WAN

Przełączniki

Serwery

VPC/vDC

VPC/vDC

CPD dostawcy chmury

Wyzwanie

• Mapowanie ruchu Tenant VLAN do VRF

• Limit skalowalności 4K VLAN

• Ekspansja MPLS głębiej do chmury

Zalety

• Większa gęstość środowiska MultiTenant

Rozwiązanie

• Terminacja MPLS głębiej w chmurze

• L3 Connectivity i routing do VPC/vDC

MPLS

EBGP


vCenter

vSwitch

ESX Host

VM VM

Nexus1KV

InterCloud InterCloud

Node InterCloud Switch

cVM cVM cVM

VNMC

InterCloud

CPD dostawcy chmury Centrala firmy

ISR

Oddział

ASR1K/ASR9K

• Rozszerzenie prywatnej chmury przez L2 Interconnect

• Koegzystencja z FlexVPN overlay WAN

CSR1000V

http://blogs.cisco.com/datacenter/nexus-1000v-intercloud-and-now-heres-the-demo/


















64B 76B 128B 256B IMIX 512B 1024B 1518B

67 86 155

338

438

658

1173

885

Pakiety 64B do 1518B

438 Mbps @ IMIX

Maksymalnie 1.173 Gbps

Mbps


64BIMIX

1418B

24

178

457

21 53 68

AES

Pakiety 64B do 1518B

178 Mbps @ IMIX (AES)

53 Mbps @ IMIX (3DES)

Maksymalnie 457 Mbps @ 1418 bytes


Możliwości

Wirtualizacja

Management

API

Wydajność

Licencje

Listopad 2012

(IOS-XE 3.8)

Marzec 2013

(IOS-XE 3.9) July 2013

(IOS-XE 3.10)

Listopad 2013

(IOS-XE 3.11)

IOS XE

Routing, NAT, DHCP,

IPSec, DMVPN, FlexVPN,

HSRP, AppNav, FW,

MPLS, LISP

VMware vSphere Std.

(Cloning, ..)

Cisco Prime NCS

VMware vCenter

4-vCPU /4-GB

50 Mbps

Czasowe (1, 3, 5 yr)

Multicast, L2TP,

QoS, NetFlow,

AVC, Full IPv6

VMware vSphere

Ent. (vMotion,

DRS, ..)

VMware vCloud

Director

4-vCPU/ 4-GB

10/ 25/ 50 Mbps

OTV, VXLAN

Citrix Xen, Red

Hat KVM

Citrix XenCenter

License, Interface,

IPSec, Routing,

FW, NAT, DHCP

2-vCPU/ 2-GB

10/25/50 Mbps, 2

to 8-GB

Bulk

GETVPN, SSLVPN,

FIPS, Suite-B

Amazon (AMI)

Cisco VNMC

DMVPN, FlexVPN,

QoS, HSRP, OTV,

MPLS, ..

1-vCPU/ 2-GB

10 Mbps to 1 Gbps, 2

to 8-GB

Usage, Perpetual

Ogólna dostępność Kontrolowana dostępność

Dostępny I-post FCS Review FCS


Funkcjonalności 10 Mbps 25 Mbps 50 Mbps 100 Mbps 250 Mbps 500 Mbps 1 Gbps

IP Base $250 $500 $1,000 $2,500 $3,500 $5,000 $10,000

SEC (zawiera IPBase) $1,000 $1,500 $3,000 $10,000 $22,500 $28,500 $33,000

HSEC (zawiera SEC) N/A N/A N/A $11,500 $24,000 $31,500 $36,000

AX (zawiera IP Base) N/A N/A $2,000 $3,500 $4,500 $6,500 $12,500

Propozycja: Licencja 5-letnia RTU ze wsparciem SASU.

gaweł mikołajczyk gmikolaj@cisco · [email protected] security consulting systems engineer emea...

Documents