Безопасность ЦОД-часть 2
-
Upload
cisco-russia -
Category
Technology
-
view
685 -
download
3
description
Transcript of Безопасность ЦОД-часть 2
![Page 1: Безопасность ЦОД-часть 2](https://reader034.fdocuments.in/reader034/viewer/2022042521/54621c34af79597f198b6c4d/html5/thumbnails/1.jpg)
Назим Латыпаев, [email protected]
![Page 2: Безопасность ЦОД-часть 2](https://reader034.fdocuments.in/reader034/viewer/2022042521/54621c34af79597f198b6c4d/html5/thumbnails/2.jpg)
Организационные вопросы
1. Нам очень важно Ваше мнение – заполняйте, пожалуйста,
предложенные анкеты, после каждой сессии!
2. Пожалуйста, помните, что в зале курить запрещено!
3. Пожалуйста, выключите ваши мобильные телефоны!
4. Пожалуйста, используйте мусорные ведра!
5. Пожалуйста, держите Ваш регистрационный пропуск при себе!
![Page 3: Безопасность ЦОД-часть 2](https://reader034.fdocuments.in/reader034/viewer/2022042521/54621c34af79597f198b6c4d/html5/thumbnails/3.jpg)
Современный центр обработки данных
ПРОБЛЕМЫ, СТОЯЩИЕ ПЕРЕД БИЗНЕСОМ Динамичность
бизнеса
Непрерывность
бизнеса
Безопасность и
соответствие
нормативным
требованиям
Ограничения
бюджета
Тенденции бизнеса и технологий,
оказывающие влияние на функционирование
ЦОД
Облако Интенсивный рост
количества данных
Быстрое увеличение
количества
устройств Энергосбережение
ТЕНДЕНЦИИ ТЕХНОЛОГИИ
![Page 4: Безопасность ЦОД-часть 2](https://reader034.fdocuments.in/reader034/viewer/2022042521/54621c34af79597f198b6c4d/html5/thumbnails/4.jpg)
Обработка больших объемов рабочих нагрузок Ежедневное увеличение плотности виртуализации
Высокая масштабируемость
Динамические
рабочие нагрузки
Предоставление сервисов по запросу Безотлагательная необходимость выделения и координации новых сервисов и приложений
Надежная поддержка неограниченного количества приложений и типов данных Возможности вычислений и хранения данных, соответствующие нормативным требованиям Структурированная сеть и мониторинг соблюдения норм
Соответствие нормативным
требованиям и управляемость
Виртуализация настольных систем
Гипервизор
ОС настольных систем
Прило-жение
Прило-жение
Данные
Хранилище
Унифицированные
сетевые сервисы
Унифицированные вычисления
Унифицированная коммутационная
структура
Элементы партнерских решений
Платформа Cisco Data Center Business Advantage
Посредник VDI
Основные характеристики и показатели современного ЦОД
Такая же необходимость обеспечения
безопасности
Доступность свыше 99,999(9) и гарантированное предоставление сервисов Отсутствие простоев — отсутствие потери пакетов
Высокая доступность
![Page 5: Безопасность ЦОД-часть 2](https://reader034.fdocuments.in/reader034/viewer/2022042521/54621c34af79597f198b6c4d/html5/thumbnails/5.jpg)
Основные приоритеты обеспечения безопасности ЦОД
5
Сегментация
• Установление границ: сеть, вычисления, виртуальные ресурсы
• Реализация политики по функциям, устройствам,
организациям
• Контроль доступа к сетям, ресурсам, приложениям
Защита от угроз
• Блокировка внутренних и внешних атак
• Контроль границ зоны и периметра
• Контроль доступа к информации, ее использования и утечки
Мониторинг
• Обеспечение прозрачности использования
• Применение бизнес-контекста к работе сети
• Упрощение отчетности по операциям и соответствию нормативным требованиям
![Page 6: Безопасность ЦОД-часть 2](https://reader034.fdocuments.in/reader034/viewer/2022042521/54621c34af79597f198b6c4d/html5/thumbnails/6.jpg)
Основные приоритеты обеспечения безопасности ЦОД
6
Сегментация
• Установление границ: сеть, вычисления, виртуальные ресурсы
• Реализация политики по функциям, устройствам, организациям
• Контроль доступа к сетям, ресурсам, приложениям
Защита от угроз
• Блокировка внутренних и внешних атак
• Контроль границ зоны и периметра
• Контроль доступа к информации, ее использования и утечки
Мониторинг
• Обеспечение прозрачности использования
• Применение бизнес-контекста к работе сети
• Упрощение отчетности по операциям и соответствию нормативным требованиям
![Page 7: Безопасность ЦОД-часть 2](https://reader034.fdocuments.in/reader034/viewer/2022042521/54621c34af79597f198b6c4d/html5/thumbnails/7.jpg)
«59% организаций не хватает лабораторных ресурсов или сред тестирования для подтверждения спецификаций поставщиков».
— Институт SANS
«В организациях явно недостаточно четко определенных стандартов, процедур и ресурсов для определения отказоустойчивости критически
важных сетевых устройств и систем.... Необходима методичная проверка отказоустойчивости с использованием комбинации реального трафика,
высокой нагрузки и атак, угрожающих безопасности сети». —SANS и TOGAG
Апробированные проекты Cisco дают результаты
ЦОД / Апробированные проекты защищенного ЦОД Cisco — www.cisco.com/go/vmdc
![Page 8: Безопасность ЦОД-часть 2](https://reader034.fdocuments.in/reader034/viewer/2022042521/54621c34af79597f198b6c4d/html5/thumbnails/8.jpg)
8
Архитектура
Формирование основы для защищенных
проектов
![Page 9: Безопасность ЦОД-часть 2](https://reader034.fdocuments.in/reader034/viewer/2022042521/54621c34af79597f198b6c4d/html5/thumbnails/9.jpg)
Архитектура традиционного ЦОД
9
- Представлены компоненты как физической
сетевой коммутационной структуры, так и
виртуализации.
- Четко определенный периметр сети ЦОД
(уровень 3) обеспечивает возможности
подключения к (из) ЦОД и Интернету и
внешней сети и предоставляет сервисы
безопасности.
- Маршрутизация в ядре ЦОД (OSPF, BGP,
EIGRP) выполняется с помощью ECMP.
- На уровне агрегации ЦОД находятся сервисы
обеспечения физической безопасности,
контролирующие потоки данных как без
пересечения уровня ядра (восток-запад), так
и с пересечением уровня ядра (север-юг).
- На уровнях агрегации, вычислений и доступа
представлены различные варианты
развертываний как в конце ряда стоек (EoR),
так и в верхней части стойки (ToR).
- Виртуальные сервисы безопасности
используют виртуальные коммутаторы Nexus
1000v.
Архитектура
![Page 10: Безопасность ЦОД-часть 2](https://reader034.fdocuments.in/reader034/viewer/2022042521/54621c34af79597f198b6c4d/html5/thumbnails/10.jpg)
Проект традиционного защищенного ЦОД — базовый и упрощенный
Физическая сетевая коммутационная
структура
Внешний периметр сети ЦОД
Внутреннее зонирование
ЦОД
Виртуальная коммутационная
структура и вычислительная среда
Виртуальные рабочие нагрузки
Виртуальные сервисы
Центр обработки данных
1 2
A A
B B
1. Физическая сетевая коммутационная структура
— формирует общую физическую инфраструктуру для перемещения пакетов в
рамках ЦОД (направления — север, юг, восток, запад)
— использует технологии коммутации Cisco Nexus уровня ЦОД
Внешний периметр сети ЦОД — (внешнее зонирование)
— граница между ЦОД и остальной корпоративной сетью (или Интернетом) (север-юг)
Внутренние зоны ЦОД — внутреннее разделение с учетом состояния
— предоставляют возможность формирования защищенных зон или надежных
анклавов в рамках сетевой коммутационной структуры ЦОД с безопасным
разделением с помощью внешних зон ЦОД или других внутренних зон ЦОД
(сервер-юг)
— должны изначально использовать преимущества оптимизированной сетевой
инфраструктуры без нарушения правильно определенных целей проектирования
ЦОД
Высокая доступность / Отсутствие простоев
Масштабируемость / Обработка больших объемов рабочих нагрузок
Отказоустойчивость / Избыточность
Малая задержка / Отсутствие потери пакетов
Потоки асимметричного трафика
1
A
B
1 2 1
![Page 11: Безопасность ЦОД-часть 2](https://reader034.fdocuments.in/reader034/viewer/2022042521/54621c34af79597f198b6c4d/html5/thumbnails/11.jpg)
Проект традиционного защищенного ЦОД — базовый и упрощенный
Физическая сетевая коммутационная
структура
Внешний периметр сети
ЦОД
Внутреннее зонирование
ЦОД
Виртуальная коммутационная
структура и вычислительная среда
Защищенные виртуальные
рабочие нагрузки
Виртуальные сервисы
обеспечения безопасности
Центр обработки данных
1 2
A A
B B
1. Виртуальная коммутационная структура и вычислительная среда
— формирует общую виртуальную инфраструктуру для перемещения пакетов в
рамках виртуализованного ЦОД
— использует технологии виртуализации и вычислений Cisco Nexus, системы
унифицированных вычислений (UCS) и ПО для виртуализации, например
VMWare, Citrix и т. д.
Защищенные виртуальные рабочие нагрузки
— защита всех запросов пользователей и приложений виртуальной системы
— обычно определяются как независимые единицы: интегрированный стек,
состоящий из приложения, связующего ПО, базы данных и операционной
системы, который предназначен для выполнения конкретной вычислительной
задачи
Виртуальные сервисы обеспечения безопасности
— виртуальные сервисы, определенные для успешной защиты и оптимизации
виртуальной рабочей нагрузки — виртуальные МСЭ, виртуальная
маршрутизация, управление сетями, виртуальные системы распределения
нагрузки, Cloud Interconnect, сети VPN и т. д.
2
A
B
1 2 2
![Page 12: Безопасность ЦОД-часть 2](https://reader034.fdocuments.in/reader034/viewer/2022042521/54621c34af79597f198b6c4d/html5/thumbnails/12.jpg)
Защищенный ЦОД: стандартные сценарии использования
Cisco VXI
Защита внутренней зоны от внешней зоны Защита данных в сценарии обеспечения соответствия требованиям [PCI, FISMA, HIPAA и т. д.]
Защита уровней приложений Защищенная многопользовательская среда
VDC1
VDC2
vPC vPC
CTX1
CTX2
Интернет
Комплекс зданий / ЦОД
CTX2
CTX1 Поставщик
Партнер
vPC
CTX1
CTX2
Внешняя сеть
Веб-уровень (бизнес-логика)
Уровень баз данных (доступ к данным)
Внешний интерфейс (Представление)
ДМЗ
1 2
3 4
Архитектура
![Page 13: Безопасность ЦОД-часть 2](https://reader034.fdocuments.in/reader034/viewer/2022042521/54621c34af79597f198b6c4d/html5/thumbnails/13.jpg)
Защищенный ЦОД: сценарии расширенного развертывания
Физическая среда Общедоступное облако
Виртуальная среда Частное облако
1 Традиционный (физический) ЦОД
2 Виртуальный ЦОД
3 Виртуальный рабочий стол
Cisco VXI
4
Внутреннее частное облако
Интернет
VDC1
VDC2
vPC
IPSEC/SSL
VMDC
Настраиваемый ЦОД
5 Виртуальное частное облако
ПО как услуга (SaaS)
Платформа как услуга (PaaS) 6 Общедоступное
облако
Архитектура
![Page 14: Безопасность ЦОД-часть 2](https://reader034.fdocuments.in/reader034/viewer/2022042521/54621c34af79597f198b6c4d/html5/thumbnails/14.jpg)
Развивающаяся архитектура ЦОД Цель 1. Понять текущий подход (Разделение элементов проекта)
Цель 2. Понять имеющиеся варианты создания более эффективной архитектуры (Повторная сборка элементов в более гибкий проект)
14
Уровень агрегации • Рабочая нагрузка локализована в блоке агрегации
• Централизованное место для входящих и исходящих
потоков данных ЦОД
• Может быть пограничной точкой для уровней 2 и 3
• Возможность масштабирования сервисов по мере
расширения ЦОД
Уровень сервисов (дополнительно) • Дополнительное расположение сервисов для конкретной
защиты и оптимизации фермы серверов
• Сервисы, локализованные в приложениях, запущенных на
серверах, которые подключены к физическому оборудованию
— системам SLB, мониторам и т. д.
• Разгрузка использования портов с уровня агрегации
Виртуальная сеть и доступ • Физические и виртуальные форм-факторы для подключений
серверов
• Расположение в верхней части стойки обеспечивает достаточную
плотность портов для подключений серверов
• Точка объединения физических и виртуальных сетей
UCS
Виртуальный
доступ
Хранилище
Уровень ядра ЦОД
Уровень доступа ЦОД
Аутентификация
безопасности данных и
контроль доступа
Аутентификация
безопасности портов,
функции QoS
Виртуальный межсетевой
экран
Мониторинг в режиме
реального времени
Правила межсетевого экрана
Уровень агрегации ЦОД
Уровень сервисов ЦОД
Уровень 3
Уровень 2
Архитектура
![Page 15: Безопасность ЦОД-часть 2](https://reader034.fdocuments.in/reader034/viewer/2022042521/54621c34af79597f198b6c4d/html5/thumbnails/15.jpg)
Развивающаяся архитектура ЦОД
15
Добавление сервисов многоуровневой защиты
Уровень агрегации
Уровень сервисов (дополнительно)
Виртуальная сеть и доступ UCS Виртуальный
доступ Хранилище
Аутентификация
безопасности данных и
контроль доступа
Аутентификация
безопасности портов,
функции QoS
Виртуальный межсетевой
экран
Мониторинг в режиме
реального времени
Правила межсетевого экрана
• Начальный фильтр для всего входящего и исходящего трафика для сервисов и
вычислительной среды ЦОД — защита в направлении север-юг • Фильтрация и ведение журнала с учетом состояния для всех потоков входящего и
исходящего трафика • Физические устройств могут быть виртуализованы и применены к группам серверов
• Виртуальный МСЭ, фильтрация на основе зон или анклавов
• Списки управления доступом на основе IP • Политики ВМ на основе атрибутов — необходимость следования ВМ
• Защита в направлении восток-запад
Периметр ЦОД • Физическое определение всего входящего и исходящего трафика для
ЯДРА ЦОД — традиционные модели безопасности применяются к
защите в направлении север-юг
• Дополнительное расположение сервисов для конкретной
защиты и фермы серверов и других зон
Архитектура
![Page 16: Безопасность ЦОД-часть 2](https://reader034.fdocuments.in/reader034/viewer/2022042521/54621c34af79597f198b6c4d/html5/thumbnails/16.jpg)
Соединения Проекты VDC и VPC
![Page 17: Безопасность ЦОД-часть 2](https://reader034.fdocuments.in/reader034/viewer/2022042521/54621c34af79597f198b6c4d/html5/thumbnails/17.jpg)
Проект традиционного защищенного ЦОД — лучшие практики
формирования сетевой коммутационной структуры
Физическая сетевая коммутационная
структура
Внешний периметр сети ЦОД
Внутреннее зонирование
ЦОД
Виртуальная коммутационная структура
и вычислительная среда
Виртуальные рабочие нагрузки
Виртуальные сервисы
ЦОД
1 2
A A
B B
1. Физическая сетевая коммутационная структура
— использование всех возможностей коммутационной инфраструктуры Cisco Nexus
— безопасность является всесторонней несмотря на то, что она иногда снижает уровень
удобства; сокращение необходимой функциональности сети недопустимо.
Внешний периметр сети ЦОД — (внешнее зонирование)
— использование подключений периметра (маршрутизация)
— обеспечение безопасности на уровне периметра (как минимум, использованием МСЭ)
— возможность успешного применения функций межсетевой защиты уровня 3 (с NAT или
без NAT)
— обеспечение дополнительного мониторинга и защиты с помощью систем IPS и систем
нового поколения
— если в периметре ЦОД требуются функции объединения, высокоскоростного МСЭ,
ASR1000 предоставляет возможности МСЭ с производительностью до 100 Гбит/c с
высокой доступностью с учетом состояния
— разнесение путей в ЦОД (если это возможно). Без учета состояния с федерацией для
аутентификации в приложении, учет состояния с федерацией для соответствия
нормативным требованиям
Внутренние зоны ЦОД — внутреннее разделение с учетом состояния
— поддержка маршрутизации (прозрачный режим развертывания МСЭ)
— использование vPC/vPC+ и (или) технологии FabricPath для повышения эффективности
потока трафика ЦОД
— ожидается, что все потоки будут асимметричными, поэтому они должны
поддерживаться проектом зоны
— дополнительная потеря пакетов не предусматривается
— должны поддерживаться обновления МСЭ с нулевым временем задержек
— важное значение имеет отказоустойчивость и высокая доступность в МСЭ и устройствах
IPS
1
A
B
1
1
![Page 18: Безопасность ЦОД-часть 2](https://reader034.fdocuments.in/reader034/viewer/2022042521/54621c34af79597f198b6c4d/html5/thumbnails/18.jpg)
Создание эффективной коммутационной структуры ЦОД с
возможностью масштабирования
18
Масштабирование сетевой коммутационной структуры — виртуальный контекст (Virtual Device Context,
VDC)
Nexus 7000 VDC — виртуальный контекст (до 8 VDC плюс 1 контекст VDC управления — SUP2E с NXOS 6.04/6.1)
Гибкое разделение и распределение аппаратных ресурсов и программных компонентов
Полное разделение уровня данных и уровня управления
Полная локализация программных сбоев
Безопасно определенные административные контексты
Каждый физический интерфейс может быть активен только в одном виртуальном контексте (VDC)
Протоколы 2-го уровня Протоколы 3-го уровня
VLAN PVLAN
OSPF BGP
EIGRP
GLBP HSRP IGMP
UDLD CDP
802.1X STP LACP PIM CTS SNMP
… …
VDC 1
Протоколы 3-го уровня
OSPF BGP
EIGRP
GLBP HSRP IGMP
PIM SNMP
…
VDC 2
Протоколы 2-го уровня
VLAN PVLAN
UDLD CDP
802.1X STP LACP CTS
…
Виртуальные контексты (VDC)
Соединения
![Page 19: Безопасность ЦОД-часть 2](https://reader034.fdocuments.in/reader034/viewer/2022042521/54621c34af79597f198b6c4d/html5/thumbnails/19.jpg)
Доступ
Ядро Ядро
Агрегаци
я
Агрегаци
я
Ядро
Агрегаци
я
Использование VDC для вертикальной консолидации
• Возможность консолидации уровней ядра и агрегации при одновременном сохранении
иерархии сети
• Без сокращения количества портов или каналов, но с уменьшением числа физических
коммутаторов
‒ Медные кабели Twinax (CX-1) являются недорогим вариантом осуществления межсоединений 10G
Один из самых распространенных способов использования VDC
Соединения
![Page 20: Безопасность ЦОД-часть 2](https://reader034.fdocuments.in/reader034/viewer/2022042521/54621c34af79597f198b6c4d/html5/thumbnails/20.jpg)
Использование VDC для интернет-периметра, ДМЗ, ядра сети
Возможность удовлетворения нескольких потребностей — VDC интернет-
периметра (XL), ДМЗ и ядра сети
Поддержка модели обеспечения безопасности с логическим разделением
Межсетевые экраны
для потоков трафика
между контекстов
VDC и внутри них
Интернет-
периметр (XL)
ДМЗ
Ядро
Интернет-
периметр (XL)
ДМЗ
Ядро
Интернет-
периметр (XL)
ДМЗ
Ядро
Интернет
Соединения
![Page 21: Безопасность ЦОД-часть 2](https://reader034.fdocuments.in/reader034/viewer/2022042521/54621c34af79597f198b6c4d/html5/thumbnails/21.jpg)
Сертификация безопасности VDC
21
Разделение контекстов VDC является сертифицированным отраслевым механизмом защиты от утечки информации
Лаборатории NSS для сред, соответствующих стандартам PCI — http://www.nsslabs.com
FIPS 140-2 http://csrc.nist.gov/groups/STM/cmvp/documents/140-1/140InProcess.pdf
Стандарт Common Criteria Evaluation and Validation Scheme — сертификат №10349 http://www.niap-ccevs.org/st/vid10349/
Соединения
![Page 22: Безопасность ЦОД-часть 2](https://reader034.fdocuments.in/reader034/viewer/2022042521/54621c34af79597f198b6c4d/html5/thumbnails/22.jpg)
Использование контекстов VDC для сегментации в соответствии с
требованиями PCI
• Поддержка соответствующей требованиям модели безопасности с
физическим разделением
‒ Расположение МСЭ и системы IPS на границе зоны CDE в соответствии со
стандартом PCI-DSS 2.0
Интернет-
периметр (XL)
PCI
Ядро
Интернет-
периметр (XL)
PCI
Ядро
Интернет
Интернет-
периметр (XL)
PCI
Ядро
Соединения
![Page 23: Безопасность ЦОД-часть 2](https://reader034.fdocuments.in/reader034/viewer/2022042521/54621c34af79597f198b6c4d/html5/thumbnails/23.jpg)
Одноранговые
каналы vPC
Одноранговые
каналы vPC
MCEC
Создание эффективной коммутационной структуры
ЦОД с возможностью масштабирования
• Предоставление одному устройству возможности использования порта-
канала между двумя коммутаторами восходящей связи (MCEC)
• Исключение портов, заблокированных протоколом STP
• Упрощение путей уровня 2 за счет поддержки неблокирующих параллельных путей уровня 2 без циклов
• Работа двудомного сервера в режиме «активный-активный»
• Обеспечение быстрой конвергенции после отказа канала или сбоя устройства
23
Масштабирование сетевой коммутационной структуры — Virtual Port Channel (vPC)
Логическая топология без vPC
Логическая топология с vPC
Агрегация
Доступ
Агрегация
Доступ
MCEC
! Enable vpc on the switch
dc11-5020-1(config)# feature vpc
! Check the feature status
dc11-5020-1(config)# show feature | include vpc
vpc 1 enabled
Соединения
![Page 24: Безопасность ЦОД-часть 2](https://reader034.fdocuments.in/reader034/viewer/2022042521/54621c34af79597f198b6c4d/html5/thumbnails/24.jpg)
Что такое Virtual Port Channel (vPC)? • vPC — это принцип расширения агрегации канала до двух отдельных физических
коммутаторов.
• vPC позволяет одному устройству использовать порт-канал
между двумя соседними коммутаторами (одноранговые каналы vPC).
• Одноранговый канал vPC применяется для синхронизации состояния между
одноранговыми устройствами vPC. Он должен поддерживать 10GE.
• Исключает порты, заблокированные протоколом STP, задержки и вычисления STP и
использует доступную полосу пропускания канала восходящей связи («активный-
активный»).
‒ Не отключает STP — это делает FabricPath.
• Поддерживается только в коммутаторах NX-OS.
• Рекомендуется для постоянного использования LACP для динамических групп
объединения каналов.
• Руководство по проектированию vPC и лучшие практики:
http://www.cisco.com/en/US/prod/collateral/switches/ps9441/ps9670/C07-572830-
00_Agg_Dsgn_Config_DG.pdf
ОДНОРАНГОВЫЙ КАНАЛ VPC
Соединения
![Page 25: Безопасность ЦОД-часть 2](https://reader034.fdocuments.in/reader034/viewer/2022042521/54621c34af79597f198b6c4d/html5/thumbnails/25.jpg)
25 © Компания Cisco и (или) ее дочерние компании, 2013 г. Все права защищены. Открытый документ Cisco
Причины использования vPC — Multi-Chassis Etherchannel (MEC)
ОДНОРАНГОВЫЙ КАНАЛ VPC
Без порт-канала: STP допускает использование только одного активного канала Неоптимальное использование потоков и ресурсов
Порт-канал LACP с одним шасси: Оба канала активны, но избыточность устройств отсутствует (один коммутатор)
vPC порт-канал LACP с несколькими шасси: Оба канала активны, оптимальная избыточность, все каналы активны
Распределение нагрузки LACP ист-
назнач-IP (хэш)
Распределение нагрузки LACP ист-
назнач-IP (хэш)
Соединения
![Page 26: Безопасность ЦОД-часть 2](https://reader034.fdocuments.in/reader034/viewer/2022042521/54621c34af79597f198b6c4d/html5/thumbnails/26.jpg)
26 © Компания Cisco и (или) ее дочерние компании, 2013 г. Все права защищены. Открытый документ Cisco
VPC с несколькими устройствами ASA — аварийное
переключение «активный-резервный» или «активный-активный»
• Часть архитектуры CVD с июля 2011 г.
• vPC предотвращает потерю пакетов в случае сбоя канала, отказа коммутатора,
сброса VDC или потери однорангового канала vPC.
‒ Работает при аварийном переключении «активный-резервный» или «активный-активный» (и при
кластеризации ASA 9x).
• Позволяет ASA поддерживать необходимые технологии избыточности для ЦОД с
ожидаемой асимметричностью потоков.
• ASA является единственным МСЭ для ЦОД на рынке, которое одновременно
выполняет следующие действия:
1. Выполнение стандартизованного LACP протокола для динамической группы агрегирования
каналов в системе виртуальных коммутаторов (VSS)Nexus vPC/vPC+ или Cat6000 с
соответствующими семантиками объединения.
отсутствие «черных дыр» в трафике или потери состояния из-за ожидаемой асимметрии потоков или
беспорядочных пакетов
2. Поддержка всех тех же самых значений хэша распределения нагрузки, что и в коммутационной
структуре [def. = src-dst IP].
3. Поддержка динамической группы агрегирования каналов (протокола LACP) во всех режимах:
маршрутизируемом, прозрачном, мультиконтекстном, со смешанными контекстами,
кластеризованном.
4. Успешная обработка ожидаемой асимметрии потоков и беспорядочных пакетов, поступающих с
нескольких шасси одновременно.
ОДНОРАНГОВЫЙ КАНАЛ VPC
N7000 VPC 41
N7000 VPC 40
Каналы состояния и аварийного переключения
Канал ASA 32
Соединения
![Page 27: Безопасность ЦОД-часть 2](https://reader034.fdocuments.in/reader034/viewer/2022042521/54621c34af79597f198b6c4d/html5/thumbnails/27.jpg)
Сеть VLAN 200
северной зоны
Сеть VLAN 201
южной зоны
Транки
VPC
VLAN 200
снаружи
VLAN 201
внутри
interface TenGigabitEthernet0/6
channel-group 32 mode active vss-id 1
no nameif
no security-level
!
interface TenGigabitEthernet0/7
channel-group 32 mode active vss-id 2
no nameif
no security-level
!
interface BVI1
ip address 172.16.25.86 255.255.255.0
!
interface Port-channel32
no nameif
no security-level
!
interface Port-channel32.201
mac-address 3232.1111.3232
vlan 201
nameif inside
bridge-group 1
security-level 100
!
interface Port-channel32.200
mac-address 3232.1a1a.3232
vlan 200
nameif outside
bridge-group 1
security-level 0
Подключение ASA к Nexus с помощью vPC (базовое)
Соединения
ОДНОРАНГОВЫЙ КАНАЛ VPC
interface Ethernet4/1
switchport mode trunk
channel-group 40 mode active
no shutdown
!
interface Ethernet4/2
switchport mode trunk
channel-group 40 mode active
no shutdown
!
interface port-channel4 0
switchport
switchport mode trunk
switchport trunk allowed vlan 1,200,201 vpc 40
!
vpc domain 10
role priority 50
peer-keepalive dest 10.1.1.2 source 10.1.1.1 vrf
vpc-mgmt
peer-gateway
N7000 VPC 40
Примечание.
В примере приведена только одна часть конфигурации:
N7K1 и ASA1. Полная конфигурация предполагается.
ASA подключается к Nexus с помощью vPC и
формирует пару внешней зоны ЦОД между VL200
(сервер) и VL201(юг). В этом примере ASA
развертывается в прозрачном режиме (уровень 2) с
целью сокращения числа изменений сетевой
коммутационной структуры (более подробное
обсуждение см. позднее).
Канал ASA 32
![Page 28: Безопасность ЦОД-часть 2](https://reader034.fdocuments.in/reader034/viewer/2022042521/54621c34af79597f198b6c4d/html5/thumbnails/28.jpg)
Подключение ASA к Nexus с помощью vPC (лучшие практики)
Соединения
Уровень агрегации
Уровень 2
Уровень 3
Высокая доступность
МСЭ VPC VPC
VPC
Ядро ЦОД / ПЕРИМЕТР
VPC VPC
FHRP FHRP
SVI VLAN200 SVI VLAN200
Сеть VLAN 200
северной зоны
Сеть VLAN 201
южной зоны
Транки
VLAN 200
снаружи
VLAN 201
внутри
• ASA подключается к Nexus с
помощью нескольких физических
интерфейсов в vPC.
‒ ASA можно настроить для
аварийного переключения после
потери определенного количества
каналов (при использовании высокой
доступности).
• Следует учесть, что для каждого
ASA в коммутаторе Nexus
используются разные
идентификаторы vPC (это отличие
от функции кластеризации ASA и
cLACP [не показано])
N7000 VPC 40
N7000 VPC 41
Канал ASA 32
ОДНОРАНГОВЫЙ КАНАЛ VPC
ОДНОРАНГОВЫЙ КАНАЛ VPC
Уровень доступа
![Page 29: Безопасность ЦОД-часть 2](https://reader034.fdocuments.in/reader034/viewer/2022042521/54621c34af79597f198b6c4d/html5/thumbnails/29.jpg)
Сегментация Основные элементы защищенного
проекта
![Page 30: Безопасность ЦОД-часть 2](https://reader034.fdocuments.in/reader034/viewer/2022042521/54621c34af79597f198b6c4d/html5/thumbnails/30.jpg)
Основной элемент безопасности: сегментация
• Не являясь технологией обеспечения безопасности, сегментация долгое время использовалась в
качестве средства группировки схожих ресурсов с целью применения конкретной конфигурации или
политики.
• Иногда сегментация предоставляет технические преимущества.
• Примером служит использование сетей VLAN для сокращения объема трафика широковещательного
домена уровня 2 и повышения производительности сети.
• Как правило, VRF (виртуальная маршрутизация и пересылка) используется для виртуализации
сервисов уровня 3.
• VDC (виртуальные контексты) на платформах Nexus позволяют развертывать несколько независимых
виртуализованных коммутаторов в одном физическом коммутаторе.
• Зоны — это общий термин, относящийся к единицам в ЦОД, которые имеют аналогичные особенности
и могут упростить сложность эксплуатации с помощью физических и виртуализованных узлов и
сервисов.
30
Сегментация
![Page 31: Безопасность ЦОД-часть 2](https://reader034.fdocuments.in/reader034/viewer/2022042521/54621c34af79597f198b6c4d/html5/thumbnails/31.jpg)
Основной элемент безопасности: сегментация
Nexus 7000
1. Виртуальный контекст
2. Виртуальная маршрутизация и пересылка (VRF)
Можно без труда использовать функцию VRF-Lite,
поскольку для нее не требуется MPLS
3. Сети VLAN
4. Метки для групп безопасности (SGT в пакете)
5. Шифрование 802.1AE MACSEC
ASA
6. Виртуальный контекст МСЭ (виртуализованный
МСЭ)
6 уровней разделения
VDC1
Вирт. МСЭ
VRF1 VRF2 VRF3
Nexus 7000
ASA
CTX1 CTX2 CTX3
VLANx1
VLANx2
VLANy1
VLANy2
VLANz1
VLANz2
SGT
802.1AE (шифрование)
SGT SGT SGT SGT SGT
Основные элементы сегментации
Сегментация
![Page 32: Безопасность ЦОД-часть 2](https://reader034.fdocuments.in/reader034/viewer/2022042521/54621c34af79597f198b6c4d/html5/thumbnails/32.jpg)
Режимы развертывания
межсетевого экрана
![Page 33: Безопасность ЦОД-часть 2](https://reader034.fdocuments.in/reader034/viewer/2022042521/54621c34af79597f198b6c4d/html5/thumbnails/33.jpg)
Проект межсетевого экрана: режимы работы
• Маршрутизируемый режим является традиционным режимом работы МСЭ. Два или более интерфейсов, которые разделяют домены уровня 3.
• В прозрачном режиме МСЭ выступает в роли моста, работая, главным образом, на уровне 2.
• Мультиконтекстный режим предполагает использование виртуальных МСЭ, которые могут работать либо в маршрутизируемом, либо в прозрачном режиме.
• Смешанный режим представляет собой принцип использования виртуализации для сочетания виртуальных МСЭ в маршрутизируемом и прозрачном режиме.
• МСЭ, функционирующие в ЦОД в прозрачном режиме, предоставляют ряд уникальных преимуществ.
33
Сегментация
![Page 34: Безопасность ЦОД-часть 2](https://reader034.fdocuments.in/reader034/viewer/2022042521/54621c34af79597f198b6c4d/html5/thumbnails/34.jpg)
Режимы развертывания
межсетевого экрана
![Page 35: Безопасность ЦОД-часть 2](https://reader034.fdocuments.in/reader034/viewer/2022042521/54621c34af79597f198b6c4d/html5/thumbnails/35.jpg)
Проект межсетевого экрана: режимы работы
• Маршрутизируемый режим является традиционным режимом работы МСЭ. Два или более интерфейсов, которые разделяют домены уровня 3.
• В прозрачном режиме МСЭ выступает в роли моста, работая, главным образом, на уровне 2.
• Мультиконтекстный режим предполагает использование виртуальных МСЭ, которые могут работать либо в маршрутизируемом, либо в прозрачном режиме.
• Смешанный режим представляет собой принцип использования виртуализации для сочетания виртуальных МСЭ в маршрутизируемом и прозрачном режиме.
• МСЭ, функционирующие в ЦОД в прозрачном режиме, предоставляют ряд уникальных преимуществ.
35
Сегментация
![Page 36: Безопасность ЦОД-часть 2](https://reader034.fdocuments.in/reader034/viewer/2022042521/54621c34af79597f198b6c4d/html5/thumbnails/36.jpg)
Причины развертывания прозрачного режима
• Для использования межсетевого экрана уровня 2 не требуется вносить изменения в существующую сетевую коммуникационную структуру Nexus.
• Процесс развертывания так же прост, как изменение ИД VLAN узла.
• На МСЭ не нужно выполнять протоколы маршрутизации и он не должен быть шлюзом сегмента.
• МСЭ больше подходят для анализа на основе потоков (а не для пересылки пакетов, как маршрутизатор).
• Протоколы маршрутизации могут устанавливать связи в рамках МСЭ.
• Пересекать МСЭ могут такие протоколы, как HSRP, VRRP, GLBP.
• Через МСЭ могут проходить потоки многоадресной рассылки.
• Разрешается трафик, отличный от IP (IPX, MPLS, BPDU).
• (CVD) В 9 из 10 сценариев внутреннего зонирования вместо маршрутизируемого МСЭ (уровня 3) рекомендуется развернуть прозрачный МСЭ (уровня L2).
36
Сегментация
![Page 37: Безопасность ЦОД-часть 2](https://reader034.fdocuments.in/reader034/viewer/2022042521/54621c34af79597f198b6c4d/html5/thumbnails/37.jpg)
Межсетевой экран — прозрачный режим
• МСЭ функционирует в качестве моста (встроенного в канал) на уровне 2. Без явного списка ACL передаются только пакеты ARP.
• Использует стандартные списки ACL.
• Не пересылает протокол Cisco Discovery Protocol (CDP).
• Та же самая подсеть существует во всех интерфейсах в группе моста.
• Разные сети VLAN во внутренних и внешних интерфейсах.
• Наряду с расширенными списками ACL для ограничения или разрешения использования протоколов уровня 2 можно применять EtherType ACL.
37
Межсетевой экран уровня 2
Сегментация
![Page 38: Безопасность ЦОД-часть 2](https://reader034.fdocuments.in/reader034/viewer/2022042521/54621c34af79597f198b6c4d/html5/thumbnails/38.jpg)
Требования к прозрачному режиму
• Для управления и передачи трафика через прозрачный МСЭ требуется BVI-адрес.
• Шлюзы уровня 3 по умолчанию для узлов задаются на обратной стороне МСЭ, НЕ в IP-адресе управления МСЭ.
• Для группы мостов допускается использование не более 4 интерфейсов.
• До 8 групп мостов для каждого виртуального контекста.
• Всего 32 интерфейса для каждого контекста вирт. МСЭ.
• Всего 1000 сетей VLAN.
• В мультиконтекстном режиме интерфейс не может быть общим для всех контекстов (вирт. МСЭ).
38
Сегментация
![Page 39: Безопасность ЦОД-часть 2](https://reader034.fdocuments.in/reader034/viewer/2022042521/54621c34af79597f198b6c4d/html5/thumbnails/39.jpg)
Сеть VLAN 200
северной зоны
Сеть VLAN 201
южной зоны
VPC
VLAN 200
снаружи
VLAN 201
внутри
interface TenGigabitEthernet0/6
channel-group 32 mode active vss-id 1
no nameif
no security-level
!
interface TenGigabitEthernet0/7
channel-group 32 mode active vss-id 2
no nameif
no security-level
!
interface BVI1
ip address 172.16.25.86 255.255.255.0
!
interface Port-channel32
no nameif
no security-level
!
interface Port-channel32.201
mac-address 3232.1111.3232
vlan 201
nameif inside
bridge-group 1
security-level 100
!
interface Port-channel32.200
mac-address 3232.1a1a.3232
vlan 200
nameif outside
bridge-group 1
security-level 0 Сервер в сети
VLAN 201
VPC
Разрешенный транк 1,201
Конфигурация прозрачного режима в ЦОД (2 интерфейса)
SVI VLAN200 172.16.25.253 FHRP – 172.16.25.1
SVI VLAN200 172.16.25.254 FHRP – 172.16.25.1
172.16.25.86/24
![Page 40: Безопасность ЦОД-часть 2](https://reader034.fdocuments.in/reader034/viewer/2022042521/54621c34af79597f198b6c4d/html5/thumbnails/40.jpg)
Сеть VLAN 200 северной зоны
Сеть VLAN 201 южной зоны
Запрос ARP (или поиск) 172.16.25.200 в VLAN 200 — отклик ARP с ASA с локальным MAC-адресом (снаружи) в маркере VLAN 200. Пакет запроса ARP фактически проходит через ASA и во время возврата к N7000 ASA обновляет таблицу MAC-адресов MAC-адресом сервера с VLAN 201 (внутри). Он пересылает запрос на Nexus 7000 с внешним MAC-адресом интерфейса и маркером VLAN 200 (перезаписанным). Теперь Nexus может направлять трафик через ASA на сервер. VPC
VLAN 200 снаружи
VLAN 201 внутри
Сервер в сети VLAN 201 172.16.25.200
SVI VLAN200 172.16.25.253 FHRP – 172.16.25.1
VPC
Разрешенный транк 1, 201
SVI VLAN200 172.16.25.254 FHRP – 172.16.25.1
Запрос сеанса к серверу 172.16.25.200 из источника 10.10.44.100
1
2
3 ASA получает пакет с адресом назначения сервера 172.16.25.200 и обрабатывает политику безопасности. Если разрешено, устройство пересылает пакет обратно на Nexus 7000 с маркером VLAN 201.
2
3
Поскольку у Nexus 7000 отсутствует SVI для VLAN 201, он пересылает пакеты по своему локальному транку, допускающему использование маркера VLAN 201, — с южной привязкой к 5000. Исходным MAC-адресом является адрес ASA.
4
4
5
Запрос доставляется на сервер 172.16.25.200 в сети VLAN 201.
5
1
10.10.44.100
Прозрачный режим ASA:
локальное место назначения 1
2
3
4
5
1
2
3
4
5
![Page 41: Безопасность ЦОД-часть 2](https://reader034.fdocuments.in/reader034/viewer/2022042521/54621c34af79597f198b6c4d/html5/thumbnails/41.jpg)
Сеть VLAN 200 северной зоны
Сеть VLAN 201 южной зоны
Пакет, полученный в Nexus 7000 с сервера в сети VLAN 201. MAC-адрес в таблице, обрабатывающей эти пакеты, является внутренним интерфейсом ASA (из примера с южной привязкой). Трафик перенаправляется к маркеру VLAN 201 ASA (внутри).
VPC
VLAN 200 снаружи
VLAN 201 внутри
Сервер в сети VLAN 201 172.16.25.200
SVI VLAN200 172.16.25.253 FHRP – 172.16.25.1
VPC
Разрешенный транк 1, 201
SVI VLAN200 172.16.25.254 FHRP – 172.16.25.1
Возврат пути с сервера 172.16.25.200 в сети VLAN 201 по адресу удаленного назначения 10.10.44.100
1
2
3 ASA получает пакет с адресом назначения 10.10.44.100 и обрабатывает исходящую политику безопасности (если таковая имеется). Поскольку в качестве значения интерфейса по умолчанию используется интерфейс с низким уровнем доверия, передача трафика должна быть разрешена. Если MAC-адрес ASA отсутствует в таблице, устройство отправляет пакет ICMP-Echo по адресу 10.10.44.100 (источник из IP-адреса BVI) с TTL=1. FHRP в Nexus 7000 сообщит об истечении времени, MAC-адрес = FHRP MAC VLAN 200 (снаружи) обновит таблицу MAC-адресов ASA с помощью сопоставления MAC- и IP-адресов Nexus 7000 в сети VLAN 200 (снаружи).
4
3
ASA перенаправляет пакет по адресу Nexus 7000 SVI (FHRP) 172.16.25.1 в сети VLAN 200 для доставки по адресу назначения 10.10.44.100.
4
2
1
Nexus выполняет запрос ARP (если необходимо) для стандартной функции маршрутизации. Запрос пересылается по адресу назначения 10.10.44.100.
5
5
10.10.44.100
Прозрачный режим ASA:
удаленное место назначения 1
2
3
4
5
1
2
3
4
5
![Page 42: Безопасность ЦОД-часть 2](https://reader034.fdocuments.in/reader034/viewer/2022042521/54621c34af79597f198b6c4d/html5/thumbnails/42.jpg)
Межсетевой экран — контексты виртуального МСЭ смешанного
режима
• Смешанный режим — это концепция использования виртуальных МСЭ, часть из которых запущена в
режиме маршрутизации, а часть — в прозрачном (уровень 2) режиме.
• Он поддерживается только в ASA под управлением как минимум версии 9.0 или любой версии ASA-SM.
• Для каждого контекста поддерживается до 8 пар физических интерфейсов.
• Возможно, в этом случае МСЭ периметра (уровень 3) и внутренний МСЭ (уровень 2) смогут находиться
в одном наборе физических устройств
mode multiple
context context1
firewall transparent
allocate-interface vlan99 outside
allocate-interface vlan100 inside
config-url disk0:/ctx1.cfg
member gold
context context2
allocate-interface vlan200 outside
allocate-interface vlan210 inside
config-url disk0:/ctx2.cfg
Сегментация
![Page 43: Безопасность ЦОД-часть 2](https://reader034.fdocuments.in/reader034/viewer/2022042521/54621c34af79597f198b6c4d/html5/thumbnails/43.jpg)
Внешнее зонирование Пример виртуализованной ДМЗ
![Page 44: Безопасность ЦОД-часть 2](https://reader034.fdocuments.in/reader034/viewer/2022042521/54621c34af79597f198b6c4d/html5/thumbnails/44.jpg)
Стандартные практики внешнего зонирования
• Необходимо следовать стандартным практикам обеспечения безопасности периметра.
‒ В частности, если периметр является общим с Интернетом.
‒ МСЭ с учетом состояния + защита от угроз (IPS, веб-безопасность, антишпионские программы и т. д.).
• Не следует перегружать каналы входа в ЦОД и выхода из него.
‒ Масштабирование необходимо выполнять должным образом, например ASR1000 поддерживает функции межсетевой защиты (с федерацией) на скорости 100 Гбит/с, а также терминирование DMVPN через MPLS.
‒ Рекомендуется обратить внимание на видеосервисы, многоадресную рассылку и сервисы, чувствительные к потере данных.
• Следование принципу построения схемы «Плавательные дорожки» для виртуальных вычислительных сервисов для внешнего обмена данными с соблюдением соответствия требованиям.
(Список не является полным)
Внешнее зонирование
![Page 45: Безопасность ЦОД-часть 2](https://reader034.fdocuments.in/reader034/viewer/2022042521/54621c34af79597f198b6c4d/html5/thumbnails/45.jpg)
Физические или виртуальные серверы ДМЗ периметра
Периметр ЦОД
Интернет / внешняя сеть
Ядро ЦОД (маршрутизация)
Уровень агрегации ЦОД Уровень 2
Уровень 3
КЛАСТЕР МСЭ
Вычислительная зона ДМЗ
Пункт доставки
Виртуальные серверы ДМЗ
Ядро BGP/OSPF
ASA A/S HA
Уровень виртуального доступа
VRF – DMZExt
VRF- DMZExt
VRF – DMZExt
VRF – DMZExt
CTX1 CTX1
VL900
Выделенные блейд-серверы
CTX CTX
VL900
ДМЗ VLAN90 172.16.90.0/24
vDMZ 172.16.90.0/24
VL900
VL999 VL999
VL999 VL999
VL90 VL999
Устройства ASA периметра, работающие под управлением стандартного A/S HA, —отказоустойчивые ASA периметра — наряду с vPC могут использовать избыточный интерфейс, чтобы сократить вероятность аварийного переключения при высокой доступности. ASA периметра реализуют прозрачный контекст вирт. МСЭ сети VLN для ДМЗ, соединяя VL90 (ДМЗ) с VL999 (N7000 vRF).
Некоторые серверы ДМЗ могут физически находиться в коммутаторе ДМЗ, тогда как другие серверы будут предоставляться с уровня виртуального доступа.
Nexus 7000 передает трафик с VL999 через vRF – DMZExt, перемещает пакеты через маршрутизируемый уровень ядра на уровень распределения.
Запрос или отклик ARP из VLAN 90 передается по каналам на уровень виртуального доступа. Кластеризованные ASA на уровне распределения связывают VL999 (DMZExt vRF) с VL900, местом, где существуют виртуальные серверы ДМЗ. Здесь будет реализована политика безопасности, ограничивающая доступ только к подсетям ДМЗ по сети, сервису или приложению.
Для обеспечения безопасности (соответствия требованиям) на уровне виртуального доступа рекомендуется использовать выделенное серверное оборудование. Можно создать дополнительные профили портов и использовать шлюз Virtual Security Gateway (VSG) для зонирования «восток-запад» между ВМ в ДМЗ. Для дальнейшего разделения на уровне пакетов можно использовать метки групп безопасности.
Пример схемы «Плавательная дорожка» для
виртуальной ДМЗ
DMZ Subnet(172.16.90.0/24)VLAN90 <-> vFW(BVI) <->VLAN999<->vRF DMZExt <-> VLAN999 <-> vFW(BVI)<->VLAN900/ DMZ Subnet(172.16.90.0/24)
Внешнее зонирование Внешнее зонирование
![Page 46: Безопасность ЦОД-часть 2](https://reader034.fdocuments.in/reader034/viewer/2022042521/54621c34af79597f198b6c4d/html5/thumbnails/46.jpg)
Примеры внутреннего
зонирования
Физическое и виртуальное внутреннее
зонирование
![Page 47: Безопасность ЦОД-часть 2](https://reader034.fdocuments.in/reader034/viewer/2022042521/54621c34af79597f198b6c4d/html5/thumbnails/47.jpg)
Пример внутреннего зонирования для
разработки — вариант 1
Физическое разделение
Модель может использоваться для
тестирования нагрузки на приложение.
Если требуется выделенный путь через
уровень ядра, рекомендуется использовать
DEV vRF.
Если требуется выделенный периметр,
рекомендуется использовать контексты
вирт. МСЭ на устройствах ASA периметра
или отдельную (низкого уровня) пару ASA.
DEV VDC, созданный в Nexus 7000,
присоединенный к CORE VDC и
поддерживающий собственную дочку
доставки.
ASA на уровне агрегации могут быть
настроены несколькими способами.
1. Один кластер ASA с отдельными
контекстами вирт. МСЭ для зон DEV —
порты на ASA должны быть физически
подключены к каждому VDC.
2. Отдельные кластеры ASA с контекстами
вирт. МСЭ или без них.
В вычислительной структуре создается
зеркальная серверная среда для
функционирования DEV в собственной
точке доставки.
Периметр ЦОД
Интернет /
внешняя сеть
VDC ядра ЦОД
(маршрутизация)
VDC уровня агрегации
производства
Уровень 2
Уровень 3
КЛАСТЕР МСЭ
Пункт доставки
Ядро
BGP/OSPF
ASA A/S HA
Уровень
виртуального
доступа
Виртуальный
коммутатор
Гипервизор
VDC уровня агрегации
разработки
Пункт доставки
CTX CTX
Виртуальный
коммутатор
Гипервизор
DEV VRF
DEV VRF
DEV VRF
Вычислительная зона
разработки Вычислительная зона
производства
CTX
Внутреннее зонирование
![Page 48: Безопасность ЦОД-часть 2](https://reader034.fdocuments.in/reader034/viewer/2022042521/54621c34af79597f198b6c4d/html5/thumbnails/48.jpg)
Периметр ЦОД
Интернет / внешняя сеть
VDC ядра ЦОД (маршрутизация)
VDC уровня агрегации Уровень 2
Уровень 3
КЛАСТЕР МСЭ
Ядро BGP/OSPF
ASA A/S HA
Уровень виртуального доступа
Пример внутреннего зонирования для
разработки — вариант 2
Виртуальное разделение
В модели виртуального разделения
используется общая физическая
инфраструктура (Nexus) для маршрутизации и
транспорта данных.
ASA используются для разделения трафика
разработки и производства.
Виртуальные ресурсы могут использовать
общее физическое серверное оборудование и
точку доступа. Обеспечение безопасность
осуществляется аналогично действиям в
защищенной многопользовательской среде.
Внутреннее зонирование
![Page 49: Безопасность ЦОД-часть 2](https://reader034.fdocuments.in/reader034/viewer/2022042521/54621c34af79597f198b6c4d/html5/thumbnails/49.jpg)
Проблемы безопасности при виртуализации Реализация политик
Применяются к физическому серверу, а не к отдельным ВМ Реализуются только для ВМ, функционирование которых приостановлено
Операции и управление
Недостаток мониторинга, учета и согласованности ВМ
Сложная модель управления и отсутствие возможности эффективного устранения неполадок
Роли и обязанности Непонятные принципы владения, поскольку администраторам серверов приходится настраивать
виртуальные сети Организационная избыточность приводит к возникновению проблем, связанных с обеспечением соответствия
требованиям
Сегментация компьютеров Изоляция серверов и приложений на одном и том же физическом сервере Отсутствие разделения между совместимыми и несовместимыми системами…
Внутреннее зонирование
![Page 50: Безопасность ЦОД-часть 2](https://reader034.fdocuments.in/reader034/viewer/2022042521/54621c34af79597f198b6c4d/html5/thumbnails/50.jpg)
Внутреннее зонирование Виртуальные сети Cisco и облачные сетевые сервисы
Маршрутизатор WAN
Серверы
Пользователь А Облачный МСЭ
ASA 1000V Cloud
Firewall
Nexus 1000V Физическая инфраструктура
Виртуализованный / облачный ЦОД
vWAAS
Виртуальный шлюз
безопасности Cisco VCG
Коммутаторы
Облачные сетевые сервисы
Citrix NetScaler
VPX
Imperva SecureSphere
WAF Виртуальный
маршрутизатор Cloud Services Router 1000V
Зона A
Зона B
vPath VXLAN
Поддержка нескольких гипервизоров (VMware, Microsoft*, RedHat*, Citrix*)
Nexus 1000V (Рспр. виртуальный коммутатор)
• Распределенный коммутатор
• Согласованность NX-OS
VSG (МСЭ на основе зон)
• Управление уровня ВМ
• МСЭ на основе зон
ASA 1000V (Облачный МСЭ)
• МСЭ периметра, VPN
• Анализ протоколов
vWAAS (Оптимизация глобальных
беспроводных сетей)
• Оптимизация WAN
• Трафик приложений
Более 7000 клиентов Доступен сейчас Доступен сейчас Доступен сейчас
CSR 1000V (маршрутизатор Cloud
Router)
• Шлюз WAN уровня 3
• Маршрутизация и VPN
1 полугодие 2013 года
Сервисы экосистемы
• Виртуальный экземпляр ADC Citrix NetScaler VPX
• Веб-приложение МСЭ Imperva
N1110: 1 полугодие 2013 календарного года
vPath: 2 полугодие 2013 календарного года
Модуль vNAM (аналитика сети)
• Мониторинг приложений (уровень 2–7)
• Оверлейная аналитика (OTV, VXLAN, FP**) Пилотный проект: 1
полугодие 2013 года
**FP: FabricPath **Майкрософт: 2 кв. 2013 г.; открытый исх. код: в пилотном проекте
Модуль
анализа
сети
(vNAM)
![Page 51: Безопасность ЦОД-часть 2](https://reader034.fdocuments.in/reader034/viewer/2022042521/54621c34af79597f198b6c4d/html5/thumbnails/51.jpg)
Управление политикой виртуальных сетей
Группа
обслуживания
сетей
Группа
обслуживания
серверов
Управление и
мониторинг Роли и обязанности
Изоляция и
сегментация
Группа
обеспечения
безопасности
Nexus 1000V (1110/1010)
Модель бесперебойной эксплуатации
для обслуживания текущих рабочих
процессов с помощью профилей
портов
Поддержка политик безопасности сети
с изоляцией и сегментацией с
помощью сетей VLAN, частных сетей
VLAN, списков доступа на основе
портов, интегрированных функций
безопасности Cisco
Обеспечение мониторинга
(самоанализа ВМ) потоков трафика
виртуальных машин с помощью
стандартных сетевых функций, таких
как ERSPAN и NetFlow
Nexus 1000V
Внутреннее зонирование
![Page 52: Безопасность ЦОД-часть 2](https://reader034.fdocuments.in/reader034/viewer/2022042521/54621c34af79597f198b6c4d/html5/thumbnails/52.jpg)
Набор решений Cisco для обеспечения безопасности виртуальных
сред
• Защита передачи трафика между
виртуальными машинами в рамках
многопользовательской среды
• МСЭ уровня 2 и 3 для защиты
трафика «восток–запад»
• Списки ACL с атрибутами сети и
виртуальных машин
• Ускорение поиска первого пакета и
производительности с помощью vPath
• Защита периметра
многопользовательской среды
• Шлюз по умолчанию; МСЭ уровня 3 для
защиты трафика «сервер–юг»
• Возможности МСЭ периметра, включая
списки ACL на основе атрибутов сети,
сеть VPN между площадками, NAT,
DHCP, анализ и IP-аудит
• Все пакеты проходят через Cisco ASA
1000V
Cisco® VSG Cisco ASA 1000V
Безопасность
внутри
многопользовательской среды
Безопасность периметра
многопользовательской
среды
Внутреннее зонирование
![Page 53: Безопасность ЦОД-часть 2](https://reader034.fdocuments.in/reader034/viewer/2022042521/54621c34af79597f198b6c4d/html5/thumbnails/53.jpg)
Виртуальный шлюз безопасности
ASA 1000V
Nexus 1000V
Развертывание входного и выходного
периметра пользовательской сети
Зоновая межпользовательская
сегментация виртуальных машин
Nexus 1000V
Виртуальные сервисные узлы
Гипервизор
vPATH
Администратор сети
Администратор
безопасности
Администратор сервера
vCenter Nexus 1KV VNMC
Безопасность виртуализации Внутреннее зонирование
![Page 54: Безопасность ЦОД-часть 2](https://reader034.fdocuments.in/reader034/viewer/2022042521/54621c34af79597f198b6c4d/html5/thumbnails/54.jpg)
Микросегментация
Политика для каждой зоны, виртуальной машины, карты vNIC
Зона A
вирт.
приложение
вирт.
приложени
е
Nexus 1000V
vPath
VSG VSG
VSG
Виртуальное
устройство ASA
Виртуальное
устройство ASA
vSphere Nexus 1000V
vPath
vSphere
Зона B Зона C
Контроль входящего, исходящего трафика
и трафика, передаваемого между
виртуальными машинами Атрибуты МСЭ, списков ACL, виртуальных
машин
Обеспечение динамического выделения
ресурсов
Прозрачная реализация мобильности
Административное разделение
Сервер • Сеть • Безопасность
Внутреннее зонирование
![Page 55: Безопасность ЦОД-часть 2](https://reader034.fdocuments.in/reader034/viewer/2022042521/54621c34af79597f198b6c4d/html5/thumbnails/55.jpg)
Преобразование физической среды в виртуальную
• Зоны, используемые для
определения реализации политики
• Уникальные решения для политик и
трафика, примененные к каждой
зоне
• Физическая инфраструктура,
сопоставленная с каждой зоной
‒ VRF, виртуальный контекст
• Объединение физической и
виртуальной инфраструктур
55
Виртуальный коммутатор
Гипервизор
Виртуальный коммутатор
Гипервизор
Передача трафика
виртуальных машин в контекст
МСЭ
Сегментация пулов
ресурсов блейд-
серверов для каждой
зоны
Внутреннее зонирование
![Page 56: Безопасность ЦОД-часть 2](https://reader034.fdocuments.in/reader034/viewer/2022042521/54621c34af79597f198b6c4d/html5/thumbnails/56.jpg)
Интеллектуальная технология vPath:
формирование цепочки сервисов
• vservice node ASA1 type asa
ip address 172.31.2.11
adjacency l2 vlan 3770
• vservice node VSG1 type vsg
ip address 10.10.11.202
adjacency l3
• vservice path chain-VSG-ASA
node VSG1 profile sp-web order 10
node ASA1 profile sp-edge order 20
• port-profile type vethernet Tenant-1
org root/Tenant-1
vservice path chain-VSG-ASA 56
ASA 1000V и VSG
Определение узла сервиса в Nexus 1000V
Последовательность формирование цепочки узлов сервисов — изнутри наружу Предоставление цепочки сервисов для каждого профиля порта
Внутреннее зонирование
![Page 57: Безопасность ЦОД-часть 2](https://reader034.fdocuments.in/reader034/viewer/2022042521/54621c34af79597f198b6c4d/html5/thumbnails/57.jpg)
Виртуальный МСЭ и физическая сеть
57
Развертывание ASA 1000V
Гипервизор Nexus 1000V
vPath
Гипервизор
Nexus 1000V vPath
Гипервизор
Защищенная пересылка
по виртуальным
маршрутам (VRF)
Подзоны
10.1.1.252 10.1.1.253
10.1.2.254
Nexus 1000V vPath
ASA 1000V
ASA 5585 Уровень 3
10.1.1.254 Уровень 3
10.1.3.254
Уровень 3
10.1.2.254
Уровень 2
Ядро
Агрегация
ASA 5585
Внутреннее зонирование
![Page 58: Безопасность ЦОД-часть 2](https://reader034.fdocuments.in/reader034/viewer/2022042521/54621c34af79597f198b6c4d/html5/thumbnails/58.jpg)
Архитектура многоуровневого приложения
• Развертывание уровня
• Архитектуры многоуровневых приложений
• Часто поставщик приложений предлагает конкретные
рекомендации по развертыванию приложения.
• Может состоять из
• веб-уровня (уровня представления)
• уровня приложений
• уровня баз данных
• Веб-сервисы и сервисы приложений могут находиться на
физически разделенных серверах или в некоторых случаях
объединяться на одном сервере.
• Как правило, обычный поток осуществляется по следующей
схеме: клиент->веб->приложение->база данных.
• Клиент не связывается с базой данных напрямую.
• Для обеспечения высокой доступности серверы могут быть
объединены в кластер. Для обмена состояниями часто
используется протокол многоадресной рассылки 2-го уровня.
58
МСЭ периметра
Веб-
сервер Веб-
сервер
Разрешен только порт
80(HTTP) веб-серверов
Разрешен только
порт 22 (SSH) к
серверам
приложений
К серверам приложений разрешен
доступ только веб-серверов
Веб-
клиент
Веб-зона
Сервер
БД Сервер
БД
Зона базы
данных
Сервер
приложений Сервер
приложений
Зона
приложени
я К серверам баз данных разрешен
доступ только серверов
приложений
Блокировка всего
внешнего доступа к
серверам баз
данных
ASA 1000V
Внутреннее зонирование
![Page 59: Безопасность ЦОД-часть 2](https://reader034.fdocuments.in/reader034/viewer/2022042521/54621c34af79597f198b6c4d/html5/thumbnails/59.jpg)
Зонирование для обеспечения
соответствия требований
стандартов
![Page 60: Безопасность ЦОД-часть 2](https://reader034.fdocuments.in/reader034/viewer/2022042521/54621c34af79597f198b6c4d/html5/thumbnails/60.jpg)
Устройства ASA периметра могут реализовывать
конкретный контекст для соответствия нормативным
требованиям или же можно использовать другую
пару ASA.
Nexus 7000 передает трафик из контекста ASA через
vRF – PCI VRF — перемещает пакеты через
маршрутизируемый уровень ядра в контекст VDC
распределения PCI.
Для обеспечения поэтапного шифрования в Nexus
7000 можно использовать доступ для групп
безопасности с MACSEC.
Выделенные устройства ASA (или контексты вирт.
МСЭ) в VDC уровня распределения вызывают
политику безопасности «сервер-юг», возможно даже
при ее реализации с помощью меток SGT (с помощью
SXP), ограничивая отвечающий требованиям доступ
только для серверов зоны PCI по сети, сервису или
приложению.
Для обеспечения безопасности (соответствия
требованиям) на уровне виртуального доступа
рекомендуется использовать выделенное серверное
оборудование.
Можно создать дополнительные профили портов и
использовать шлюз Virtual Security Gateway (VSG)
для зонирования «восток-запад» между ВМ в ДМЗ.
ASA1000v также можно использовать для
развертывания Secure IPSec VPN в другом
защищенном месте назначения.
Периметр ЦОД
Интернет /
внешняя сеть
VDC ядра ЦОД
(маршрутизация)
VDC уровня агрегации
производства
Уровень 2
Уровень 3
КЛАСТЕР МСЭ
Пункт доставки
Производственные
серверы
Ядро
BGP/OSPF
ASA A/S HA
Уровень
виртуального
доступа
Виртуальный
коммутатор
Гипервизор
VDC уровня агрегации
PCI
Пункт доставки
CTX CTX
Виртуальный
коммутатор
Гипервизор
PCI VRF
PCI VRF
PCI VRF
Серверы зоны соответствия
требованиям
PCI VRF
CTX CTX
SGT
802.1AE
(шифрование) SGT SGT
SGT
IPSec
Вариант проекта, соответствующий требованиям
стандарта PCI — физическое разделение с VDC Соответствие
требованиям
![Page 61: Безопасность ЦОД-часть 2](https://reader034.fdocuments.in/reader034/viewer/2022042521/54621c34af79597f198b6c4d/html5/thumbnails/61.jpg)
13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved.
Пожалуйста, заполните анкеты.
Ваше мнение очень важно для нас.
Спасибо