Data center seguro
-
Upload
cisco-do-brasil -
Category
Technology
-
view
402 -
download
0
Transcript of Data center seguro
Cisco Confidential 1 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
Data Center Seguro
Gustavo Santana CCIEx3# 8806 (DC, SAN, R&Sw) Technical Solutions Architect
Fernando Zamai Consulting Systems Engineer
Cisco Confidential 2 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
Arquitetura do Data Center
Físico Virtual Industrial
Cisco Confidential 3 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
Data Center Físico (Antes de 2006)
Cisco Confidential 4 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
Data Center Físico: Ataques Mais Comuns
Viruses 1990–2000
Worms 2000–2005
• Phishing
• Baixa sofisticação
• Fama
• Destrutivos
• Impacto na Rede
• Ex: CodeRed
Cisco Confidential 5 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
IDS
DC Físico: Rede com Topo-de-Rack Internet/WAN
Conexão L3 Conexão L2
Nor
te-s
ul
Leste-oeste
ACLs
Firewall Contexts
Cisco Confidential 6 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
DC Físico: VLANs São Seguras?
DMZ
Produção
DMZ
Produção
OU
Ferramentas que ajudaram: VRFs, CoPP, RBAC, Storm Control
Cisco Confidential 7 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
DC Físico: Contextos
VLAN1 VLAN2
VLAN3 Aplicação 3
Aplicação 2
Aplicação 1
Server Load Balancer Firewall
Cisco Confidential 8 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
Data Center Virtual (2007-2012)
Cisco Confidential 9 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
Limitação de PODs ou Racks
DC
POD POD
DC
POD POD
Data Center Virtualizado
DC Virtual: Mobilidade de VMs
Cisco Confidential 10 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
DC Virtual: Tipos de Ataques
Spyware and Rootkits 2005–2013
• Nascimento da industria Hacking
• Tecnicas de obfuscação
Cisco Confidential 11 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
Host 1
Host 3
Host 2
Hos
t 4
Hos
t 5
Hos
t 7
Hos
t 6
Fabric = Grande Switch Non-Blocking
Host 1
Host 3
Host 4
Host 5
Host 7
Host 2
Host 6
Cisco Confidential 12 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
Host 1
Host 3
Host 2
Hos
t 4
Hos
t 5
Hos
t 7
Hos
t 6
LC
LC
LC
LC
LC
LC
LC
LC
LC
LC
FM
FM
FM
Fabric ≅ Grande Switch Non-Blocking
Cisco Confidential 13 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
DC Virtual: FabricPath
Internet/WAN
Edge
Border Leaves
Rack Blade Server UCS
Spines
Conexão L3 Conexão L2 Fabric Path
Leaves
Cisco Confidential 14 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
Desafios de Redes Virtuais
NIC
Host
App OS
VM App OS
VM vSwitch
NIC
Perímetro de Rede
VMs em VLANs erradas
Sem Visibilidade
Comunicação ilícita entre VMs
Políticas diferentes
DMZ Virtual?
STP para HA???
Cisco Confidential 15 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
Virtual Ethernet Module
vPath
WS2012 Hyper-V VXLAN
Virtual Ethernet Module
vPath
KVM/OpenStack VXLAN
Virtual Ethernet Module
vPath
ESX VXLAN
Cisco Nexus 1000V para Ambientes Multi-Hypervisor
Appliances Virtuais Virtual
Supervisor Modules vWAAS VSG ASAv NS1000V
Appliance Físico: Cloud Service Platform
vNAM VSG
Primary VSM NS1000V
vNAM VSG
Secondary VSM NS1000V
Rede DC
Cisco Confidential 16 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
Data Center Industrial (Depois de 2013)
Cisco Confidential 18 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
Tipos de Ataques
APTs Cyberware 2013-Hoje
• Códigos sofisticados
• Evasão de Defesas
• Multiplas técnicas
• Espalhamento Horizontal
Cisco Confidential 19 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
Perguntas Válidas dos Clientes
Como ter a mesma política de segurança para máquinas físicas e virtuais?
Como provisionar redes de forma automática com segurança?
Como ter visibilidade sobre o tráfego de aplicações?
Cisco Confidential 20 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
Componentes do ACI
APPLICATION CENTRIC INFRASTRUCTURE
APPLICATION POLICY INFRASTRUCTURE
CONTROLLER
APIC
s SWITCHES NEXUS
9000 ECOSSISTEMA
Cisco Confidential 21 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
P P P
App DB Web
Clientes Externos
QoS
Filtro
QoS
Serviço
QoS
Filtro
Podem ser várias VMs
Misto de máquinas físicas e virtuais
Maioria recursos físicos
App Network Profile
P = Política de Conectividade
“A Aplicação”
ACI e Aplicações de 3 Camadas
21
Cisco Confidential 22 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
Web Server
EPG A
Web Server
Web Server
EPG B
App Server
“Cadeia 5”
Redirecionamento
Admin Aplicações
Admin Serviços
Ser
vice
G
raph
Início Fim Passo 1 …..
Passo N
Pro
vide
rs inst
inst
…
Firewall
inst
inst
…
Load Balancer
……..
Ser
vice
Pro
file
Virtuais e Físicos
Cisco Confidential 23 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
DB Tier
Storage Storage
Cliente
Web Tier App Tier
Modelagem da Política
Instanciação da Política
VM VM VM
10.2.4.7
VM
10.9.3.37
VM
10.32.3.7
VM VM
APIC
Cisco Confidential 24 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
Admin de Rede
Admin de Virtualização
SERVIDOR FÍSICO
VLAN VXLAN
VLAN NVGRE
VLAN VXLAN
VLAN
ESXi Hyper-V KVM
Gerenciamento de Hypervisor
ACI Fabric APIC
VMware Microsoft
Red Hat XenServer
VMware Microsoft Red Hat
Cisco Confidential 25 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
Application Virtual Switch (AVS)
AVS AVS
Fabric ACI Estendido
AVS DVS
Gerenciado via APIC
Encapsulamentos: VLAN, VXLAN
Microsegmentação: Port
Group, MAC, IP, Guest OS, nome da VM, hypervisor, …
Cisco Confidential 26 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
FirePOWER + ACI
ANTES Descubra Proteja
DEPOIS Registre
Contenha Remedie
Detete Bloqueie Defenda
DURANTE
Segmentação e isolamento via EPGs
Visibilidade e controle granular de aplicação
Inserção automática de segurança (NGIPS, NGFW)
Visibilidade & Deteção
Micro-segmentação para quarentena (AVS)
Proteção avançada de Malware
Servidor Máquina Virtual
Containers
Cisco Confidential 28 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
Capítulo 1: Definição de virtualização e conceitos de Data Center Capítulo 2: Evolução do Ethernet, topologias comuns de rede e norma ANSI/TIA-942 Capítulo 3: VLANs e VRFs Capítulo 4: Balanceamento de servidores e contextos virtuais Capítulo 5: VDCs Capítulo 6: vPC e FabricPath Capítulo 7: FEX Capítulo 8: EoMPLS, VPLS e OTV Capítulo 9: Conceitos de armazenamento, SCSI e virtualização Capítulo 10: Conceitos de Fibre Channel e VSANs Capítulo 11: FCIP, IVR e NPV Capítulo 12: DCB e FCoE Capítulo 13: Evolução de servidores (x86, virtualização e UCS) Capítulo 14: Service Profiles do UCS Capítulo 15: Nexus 1000V, VXLAN e VM-FEX Capítulo 16: vPath, VSG, ASA 1000V, vWAAS e CSR 1000V Capítulo 17: Conceitos de Cloud computing, automação, SDN
Referência