Проблема защиты информации в современном ЦОДе и...
DESCRIPTION
TRANSCRIPT
ПРИОРИТЕТЫ
50%
55%
58%
59%
62%
65%
66%
66%
68%
69%
70%
76%
0% 10% 20% 30% 40% 50% 60% 70% 80%
Инициативы повышения энергоэффективности/экологичности
Возможность использования новых приложений
Централизация ИТ-сервисов
Консолидация оборудования
Повышение масштабируемости
Консолидация ЦОД
Расширение возможностей управления
Виртуализация
Снижение эксплуатационных затрат
Хранение данных/резервное копирование
Сокращение простоев
Повышение уровня безопасности
Основные причины инвестиций в технологии центров обработки данных
Процент респондентов, выставивших балл 6 или 7
Сти
мул
ы
Источник: Стратегии развертывания центров обработки данных:
Исследование североамериканских компаний, Infonetics, февраль 2011 г.
Повышение уровня безопасности
АДЕКВАТНОСТЬ
МОЖЕТ решить проблемы виртуализации и перехода на облачные среды
МОЖЕТ сократить циклы обновления центров обработки данных
МОЖЕТ решить проблемы соответствия нормативным требованиям
МОЖЕТ обеспечить отличие вашего подхода от предложений конкурентов
МОЖЕТ увеличить объем сделок
МОЖЕТ повысить ваш статус доверенного советника
БЕЗОПАСНОСТЬ
Превращение ВОЗМОЖНОСТИ в РЕАЛЬНОСТЬ
C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 5
• Сегментация физических и виртуальных ресурсов
• Виртуализация и различные гипервизоры
• Защита в сетях хранения данных
• Контроль приложений
• Утечки данных
• Соответствие требованиям
• Доступность и обеспечение бесперебойного функционирования
• Переход к облачным вычислениям
C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 6
• Множество продуктов, политик, неуправляемых и чужих устройств, а также доступ в облака
Бизнес-контекст
УП
РА
ВЛ
ЕН
ИЕ
Вычисления В
ы
ч
и
с
л
е
н
и
я С
е
т
ь
Х
р
а
н
е
н
и
е
Сеть Хранение Управление УНИФИЦИРОВАННЫЙ
ЦЕНТР ОБРАБОТКИ
ДАННЫХ
БЕЗОПАСНОСТЬ Сегментация Защита от угроз Прозрачность
АПРОБИРОВАННАЯ
АРХИТЕКТУРА
Data Center Security CVD
Виртуальный мультисервисный центр обработки данных
Физическая | Виртуальная | Облачная среда
C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 8
Сегментация
• Установление границ: сеть, вычисления, виртуальные ресурсы
• Реализация политики по функциям, устройствам, организациям
• Контроль доступа к сетям, ресурсам. приложениям
Защита от угроз
• Блокирование внутренних и внешних атак
• Контроль границ зоны и периметра
• Доступ к управляющей информации и ее
использование
Прозрачность
• Обеспечение прозрачности использования
• Применение бизнес-контекста к работе сети
• Упрощение отчетности по операциям и соответствию
нормативным требованиям
C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 9
• Одно приложение на сервер
• Статическая
• Выделение ресурсов вручную
• Множество приложений на сервер
• Мобильная
• Динамическое выделение
ресурсов
• Множество пользователей на
сервер
• Адаптивная
• Автоматическое масштабирование
ГИПЕРВИЗОР VDC-1 VDC-2
НАГРУЗКА В
ФИЗИЧЕСКОЙ
СРЕДЕ
НАГРУЗКА В
ВИРТУАЛЬНОЙ
СРЕДЕ
НАГРУЗКА
В ОБЛАЧНОЙ
СРЕДЕ
Cisco Nexus® 1000V, Nexus 1010, VM-FEX
UCS для виртуализованных сред
NetApp, EMC
Сеть
Вычисления
Хранение
Cisco Nexus 7K/6K/5K/4K/3K/2K
Cisco UCS для оборудования без
установленного ПО
EMC, NetApp
Мультиконтекстное устройство ASA, ASA 1000V,
виртуальное устройство WSA/ESA
VSG
Периметр
Зона
Cisco ASA5585, ASA-SM, IPS4500,
WSA
---
Проекты Data Center Security CVD Виртуальный мультисервисный центр
обработки данных (VMDC)
C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 10
ТРАДИЦИОННАЯ СЕТЕВАЯ МОДЕЛЬ
ТЕКУЩАЯ МОДЕЛЬ SDN В ЦОДАХ
БУДУЩАЯ ОТКРЫТАЯ
МОДЕЛЬ
Сеть узлов Виртуализация
SDN
Application Centric
Infrastructure
Виртуализированные МСЭ Cisco ASA 1000V / VSG
Cisco ONE / eXtensible Network Controller
Cisco vESA / vWSA
Imperva WAF / Citrix NetScaler
Традиционные решения по защите
ЦОД
Межсетевой экран «север-юг»
Предотвращение вторжений
Cisco ACI
Cisco Application Programmable Interface
Controller (APIC)
Cisco ASAv
C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 11
Сегментация с помощью
матрицы коммутации
UCS Fabric Interconnect
Сегментация сети Физическая среда
Виртуальная среда (VLAN, VRF)
Виртуализованная среда (зоны)
Сегментация с помощью
межсетевого экрана Динамический
аварийный/рефлективный список ACL
Мультиконтекстная
сеть VPN
Сегментация с учетом
контекста Метки для групп безопасности (SGT)
Протокол безопасной передачи (SXP)
ACL-списки для групп безопасности
TrustSec
Реализация согласованных политик независимо от физических и виртуальных границ для защиты данных стационарных и мобильных систем.
C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 13
Фи
зи
чес
ка
я с
ре
да
Cisco® ASA 5585-X
Модуль ASA SM для
Cisco Catalyst 6500
• Проверка всего трафика центра обработки данных в
устройстве обеспечения безопасности периметра сети
• Высокая скорость для всех сервисов, включая всю систему
предотвращения вторжений (IPS), благодаря единой среде
передачи данных между зонами доверия
• Разделение внешних и внутренних объектов сети (трафик
«север-юг»)
Трафик «север - юг». Проверка всего входящего и
исходящего трафика центра обработки данных
Ви
ртуа
ль
на
я /
мн
ого
по
ль
зов
ате
ль
ска
я
ср
ед
а Виртуальный межсетевой экран ASA 1000V контролирует
границы сети
Виртуальный шлюз безопасности (VSG) контролирует зоны Виртуальный шлюз
безопасности Cisco
(VSG)
Cisco ASA 1000V Виртуальный
межсетевой экран
Трафик «восток-запад». Создание безопасных зон доверия
между приложениями и пользователями в центре обработки
данных
• Разделение пользователей в многопользовательских средах
• Разделяет приложения или виртуальные машины у одного
пользователя
Сегментация
C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 14
Область применения
Performance Max Firewall
Max IPS
Max IPSec VPN
Max IPSec/SSL VPN Peers
Platform Capabilities Max Firewall Conns
Max Conns/Second
Packets/Second (64 byte)
Base I/O
Max I/O
VLANs Supported
HA Supported
Internet Edge/
Campus
ASA 5585 SSP-20
10 Gbps
3 Gbps
2 Gbps
10,000
1,000,000
125,000
3,000,000
8 GE + 2 10 GE
16 GE + 4 10 GE
250
A/A and A/S
Campus/
Data Center
ASA 5585 SSP-40
20 Gbps
5 Gbps
3 Gbps
10,000
2,000,000
200,000
5,000,000
6 GE + 4 10GE
12 GE + 8 10GE
250
A/A and A/S
Data Center
ASA 5585 SSP-60
35 Gbps
10 Gbps
5 Gbps
10,000
2,000,000
350,000
9,000,000
6 GE + 4 10GE
12 GE + 8 10GE
250
A/A and A/S
Internet Edge/
Campus
ASA 5585 SSP-10
4 Gbps
2 Gbps
1 Gbps
5000
750,000
50,000
1,500,000
8 GE + 2 10 GE
16 GE + 4 10 GE
250
A/A and A/S
Конфиденциальная информация Cisco C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 15
Сервисный модуль ASA Устройство ASA 5585
Обеспечивает плотность в 8 раз выше, чем продукты конкурирующих производителей
В 4 раза большее количество сеансов
В 2 раза большее количество соединений в секунду
В 2 раза более высокая эффективность защиты
В 6 раз ниже потребление электроэнергии
Выход за рамки традиционных решений благодаря лидирующим в отрасли системным возможностям
64 Гбит/с
1,2 млн соединений в секунду
1000 виртуальных контекстов
4000 сетей VLAN
Cisco® ASA 5585-X v9.0 с функцией кластеризации
Сегментация с использованием
межсетевого экрана
C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 16
Возможность ASASM FWSM
Списки ACL реальных IP-адресов/ Да Нет
Глобальные списки ACL
IPv6 по технологии Fast-Path Да (16 Гбит/с) Нет (80 Мбит/c)
Максимальная пропускная способность
объединительной панели 10 Гбит/с 1 Гбит/с
Кол-во записей управления доступом 2 миллиона 80 тысяч
Записи
Инъекция очищенного трафика на маршруте Нет Да
Сеть VPN Полная поддержка Только управление
после FCS
C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 17
Сервисы МСЭ, IPS и VPN для ЦОДПроизводительность
• 35 Gbps производительности МСЭ
• Производительность МСЭ и IPS 10 Gbps
• Мастабируется до 10,000 VPN-пользователей
Защита инвестиций
• Масштабируемая аппаратная платформа
Мультисервисная безопасность от лидера
• Защита от современных угроз с Botnet Traffic Filtering и
аппаратно-ускоренной IPS
с сервисом глобальной корреляции
• Безопасный доступ с Cisco AnyConnect™
Высокопроизводительная и масштабируемая
аппаратная платформа
C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 18
• CTX
ASA Context Mode
• vPC
Virtual PortChannel
• VDCs
Nexus 7000 Series Virtual Device Contexts
• VSS
Cisco Catalyst 6500 Series Virtual Switching System
• VXI
Cisco Virtualization Experience Infrastructure
Высокопроизводительные Firewall, VPN и IPS для
ЦОД
Поддержка и интеграция
C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 19
• Разделение контекстов VDC является сертифицированным отраслевым механизмом защиты от утечки информации
Лаборатории NSS для сред, соответствующих стандартам PCI
FIPS 140-2
Стандарт Common Criteria Evaluation and Validation Scheme — сертификат №10349
C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 20
ASA 5585-S10P10
ASA 5585-S20P20
ASA 5585-S40P40
ASA 5585-S60P60
Пр
оизв
од
ите
льно
сть
и м
асш
таб
ируе
мо
сть
ЦОД Локальная сеть Филиал
Удовлетворение требований клиентов
FWSM ASASM
C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 21
• С версии ASA 9.0:
• До 8 ASA в кластере
• обновление ПО без остановки сервиса
• Управление потоками трафика для обеспечения инспекции
• Отсутствие единой точки отказа
• Синхронизация состояний внутри кластера для аутентификации и высокой доступности
• Централизованное управление и мониторинг
• Можно начинать с двух МСЭ
• Inter DC Clustering (с ASA 9.1.4)
2 x
10G
bE
Data
Tra
ffic
Port
Channel
Clu
ste
r Contro
l Lin
k
C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 22
Security Admin
Port Group
Service Admin
Virtual Network Management Center • Консоль управления VSG
• Запуск на одной из VMs
Virtual Security Gateway • Программный МСЭ
• Запускается на одной из VMs
• Сегментация и политики для всех VMs
Nexus 1000V with vPath • Распределенный virtual
switch
• Запускается как часть гипервизора
Физический сервер • UCS или
• Другой x86 server
C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 23
• Проверенная безопасность,
обеспечиваемая Cisco®: согласованность
физической и виртуальной безопасности
• Модель объединенной безопасности
Виртуальный шлюз безопасности Cisco
Virtual Secure Gateway (VSG) для
пользовательских защищенных зон
Cisco ASA 1000V для управления
периметром пользовательской сети
• Прозрачная интеграция
С помощью коммутатора Cisco Nexus®
1000V и Cisco vPath
• Гибкость масштабирования для
удовлетворения потребностей в облачных
средах
Внедрение нескольких экземпляров для
развертывания в масштабе ЦОД
Пользователь Б Пользователь А
VDC Виртуальное
приложение vApp
Виртуальное
приложение vApp
Гипервизор
Cisco Nexus® 1000V
Cisco vPath
VDC
Центр управления виртуальными сетями Cisco®
(VNMC)
VMware vCenter
Cisco
VSG Cisco
VSG
Cisco
VSG
Cisco ASA
1000V
Cisco ASA
1000V
Cisco
VSG
• Защищает трафик между
виртуальными машинами одного
заказчика
• Layer 2 МСЭ для защиты трафика
«восток-запад»
• Списки доступа с сетевыми
атрибутами и атрибутами
виртуальной машины
• Фильтрация на базе первого пакета
с ускорением через vPath
• Защита границы сети заказчика
• Шлюз по умолчанию и Layer 3 МСЭ
для защиты трафика «север-юг»
• МСЭ функционал включает списки
доступа, site-to-site VPN, NAT, DHCP,
инспекцию, IP audit, VXLAN шлюз.
• Все пакеты проходят через Cisco
ASA 1000V
Cisco® VSG Cisco ASA 1000V
Безопасность
Intra-Tenant
Безопасность
на границе
Nexus 1000V
vPath
Hypervisor
C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 25
Компания X Компания Y
Виртуальная
машина 1
Виртуальная
машина 2
Виртуальная
машина 3
Cisco VSG
Cisco® ASA 1000V Cisco ASA 1000V Виртуализованные web-серверы
физическая среда компании X
Физический
сервер 1
Физический
сервер 1
Виртуальная
машина 4
Виртуальная
машина 5
Физическое
устройство
Cisco ASA Сеть IPsec VPN для связи между объектами
• Компания X намерена развернуть свои web-серверы в облаке,
• Компания X также располагает локально размещенными физическими
серверами
• Разработчикам компании X необходим доступ к web-серверам в
виртуализованной среде.
• В процессе настройки устанавливается VPN-туннель между объектами.
Пример использования:
C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 26
Компания X Компания X’ (клон)
Виртуальная
машина 1
Виртуальная
машина 2
Виртуальная
машина 3
Cisco VSG
Cisco® ASA 1000V Виртуализованные web-серверы
Виртуальная
машина 1
Виртуальная
машина 1
• Компания X клонирует своего пользователя, в результате чего IP-адреса двух
пользователей перекрываются.
• ASA 1000V позволяет клиентам изолировать сети с перекрывающимися адресами,
используя динамическое преобразование сетевых адресов (NAT) при
сохраняющемся обмене данными с внешней сетью.
Пример использования:
Внешняя сеть
C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 27
Компания X
Виртуальная
машина 1
Виртуальная
машина 2
Виртуальная
машина 3 Cisco
VSG
Cisco® ASA 1000V Виртуализованные web-серверы
Виртуальная
машина 1
Виртуальная
машина 1
Виртуальные машины быстро запускаются и останавливаются в виртуальных средах.
Для этих виртуальных машин необходимо динамическое назначение IP-адресов.
Ducati выполняет функцию DHCP-сервера и выделяет IP-адреса при получении
запроса от любой виртуальной машины у пользователя.
Пример использования:
Компания Y
C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 28
Cisco® ASAv
Проверенное аппаратное решение безопасности от Cisco
теперь в виртуализированной среде
Открытая архитектура
Multi-hypervisor
Multi-vswitch
Открытые API
Гибкая модель лицензирования
C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 29
Кластеризация и
мультиконтекст
ASAv Аппаратная
ASA
Transparent
Не-vPATH
Кластеризация
Мультиконтекст
ASA1000V
C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 30
Функционал ASA
ASAv
Нет кластеризации и
мультиконтестности
• Соответствие функционала физической ASA
• Масштабирование через виртуализацию
• До 10 vNIC интерфейсов
• Программная криптография
• SDN и традиционные методы управления
• Масштабируется до 4 vCPUs и 8 GB памяти
• Возможность поддерживать 1 политику на
физических и виртуальных ASA
C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 31
Динамический контент
Пользователи и
устройства
Ресурсы и запросы
Маркировка трафика данными о контексте в рамках единой политики (устройство, группа, роль), невосприимчивая к изменениям сети
Несвязанная политика
Бизнес-политика
X
Распределенная
реализация
Метка групп безопасности МЕТКА
Сегментация
C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 32
Идентификация Классификация Назначение Распространение
Идентификатор:
Пользователь, устройство
Роль: Кадровая служба
компании
Метка: SGT 5 Совместное использование:
сетевые переходы
Приложения, данные и
сервисы
Отсутствие привязки политики, в результате чего определение отделяется от реализации
Классификация объектов: системы и пользователи
Контекст: роль системы или роль пользователя, устройство, местоположение и метод доступа
Распространение классификации на основе контекста с использованием меток групп безопасности
Межсетевые экраны, маршрутизаторы и коммутаторы используют метки групп в интеллектуальной политике
Коммутатор Маршрутизатор Межсетевой
экран ЦОД Коммутатор ЦОД Серверы
Сегментация
C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 33
• Контроль доступа основанный на Группах Безопасности позволяет:
Сохранять существующий логический дизайн на уровне доступа
Изменять / применять политику для соответствия текущим бизнес-требованиями
Распределять политику с центрального сервера управления
SGACL
802.1X/MAB/Web Auth.
Финансы(SGT=10)
Кадры(SGT=11)
Я контрактор
Моя группа ИТ
Контрактор
& ИТ
SGT = 5
SGT = 100
Сегментация
C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 34
Защита
Недовольные сотрудники
- Устройство обеспечения безопасности IPS 4500
- Контроль приложений Cisco® ASA CX
Хакеры
Киберпреступники
Организованная преступность
Защита компаний от внешних и внутренних угроз
C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 35
Cisco IPS 4500 /
Sourcefire NGIPS
Защита для критически важных центров
обработки данных • Обеспечивает аппаратное ускорение проверки,
производительность, соответствующую реальным условиям
эксплуатации, высокую плотность портов и энергоэффективность в
расширяемом шасси
• Обеспечивает защиту от внешних и внутренних атак
Cisco ASA NGFW
Sourcefire NGFW Межсетевой экран с учетом приложений и
контекста • Обеспечивает проверку с аппаратным ускорением,
производительность, соответствующую реальным условиям
эксплуатации, высокую плотность портов и энергоэффективность в
расширяемом шасси
• Обеспечивает защиту от внешних и внутренних атак
Защита от угроз
C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 36
Модель Средняя производительность Список
IPS-4510-K9 3 Гбит/с $79,995
IPS-4520-K9 5 Гбит/с $135,995
10 Гбит/c для будущих разработок
Конкурентоспособное решение с оптимальным соотношением
«цена/качество» для центра обработки данных
C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 37
Показатель Значение Cisco® IPS
4510
Cisco IPS
4520
Средняя
производительность
проверки
Реальный трафик
Cisco использует пять сторонних
тестов, которые показывают состав
смешанного трафика
развертываний.
3 Гбит/с 5 Гбит/с
Максимальная
производительность
проверки
Реальный трафик
Cisco использует пять сторонних
тестов, которые показывают состав
смешанного трафика
развертываний.
5 Гбит/с
10 Гбит/с
Максимальное
количество
подключений
Динамично функционирующим
центрам обработки данных
требуется большое количество
подключений.
3,800,000 8,400,000
Кол-во подключений
в секунду
Беспроблемная обработка
всплесков
подключений.
72,000 100,000
Среднее время
задержки
Большинство сбоев транзакций
происходит из-за проблем с TTL. <150 микросекунд <150 микросекунд
Защита от угроз
Эффективны решения,
ориентированные
на устранение уязвимостей.
Более 25 000 угроз Более 25 000 угроз
• Гибкая интеграция в программное обеспечение
NGIPS,NGFW, AMP
• Гибкая интеграция в аппаратное обеспечение
Масштабируемость: 50 Мбит/с -> 60 Гбит/с
Стекирование для масштабирования, кластеризация для отказоустойчивости
• Экономичность
Лучшие в своем классе для систем предотвращения вторжения, межсетевых экранов нового поколения от NSS Labs
До 320 ядер RISC
C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 39
Зоны высокого
риска
Низкое
количество
развертываний
0
10
20
30
40
50
60
70
80
90
Behind VPNConcentrator
In front ofPublic Facing
WebApplication
In front ofprimary Data
Center
In NetworkCore
Perimeterbehind FW
Perimeter infront of FW
Betweendifferent
business units
BetweenCorporateCampuses
Betweendifferentbusinessfunctions
За VPN-
концентратором Перед
общедоступным
web-
приложением
Перед
основным
ЦОД
В ядре сети Периметр
перед
межсетевым
экраном
Между
различными
подразделе-
ниями
Большинство
клиентов
выполняют
развертывания только
по периметру
Зоны высокого
риска
Низкое
количество
развертываний
Низкое количество
развертываний в
зонах высокого риска =
большие возможности
Периметр за
межсетевым
экраном
Между
комплексами
зданий
предприятия
Между
различными
отделами
C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 40
Cisco ASA FWNG
Оборудование Интеграция Программное обеспечение
Несколько форм-факторов
Учет контекста
• Наиболее полный контроль: приложения,
пользователи и устройства
• Наиболее широко развернутый удаленный
доступ
• Веб-безопасность бизнес-класса
Учет угроз
• Защита от совершенно новых угроз
• Анализ глобальных данных из нескольких
источников угроз
• Анализ репутации с помощью
человеческого и компьютерного
интеллекта
Надежный анализ с учетом состояния и широчайший набор элементов управления с
учетом контекста
C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 41
Высокоскоростная проверка контента
123.45.67.89
Johnson-PC
Операционная система: Windows 7
имя хоста: laptop1
Пользователь: jsmith
IP 12.134.56.78
12.122.13.62
SQL
Реальность: сегодня основой безопасности
является предотвращение угроз
Реальность сегодня:
612 нарушений безопасности в 2012 г.
• 92% происходит от внешний агентов
• 52% используют какую-либо из форм хакерства
• 40% приходится на долю вредоносных программ
• 78% атак не отличаются высокой сложностью
Утечка данных Verizon в 2013 г. Отчет о расследовании
КАТЕГОРИИ
ПРИМЕРЫ
SOURCEFIRE
СИСТЕМЫ
ПРЕДОТВРАЩЕНИЯ
ВТОРЖЕНИЙ И
МЕЖСЕТВЫЕ ЭКРАНЫ
НОВОГО ПОКОЛЕНИЯ
СТАНДАРТНАЯ
СИСТЕМА
ПРЕДОТВРАЩЕН
ИЯ ВТОРЖЕНИЙ
СТАНДАРТНЫЙ
МЕЖСЕТЕВОЙ
ЭКРАН НОВОГО
ПОКОЛЕНИЯ
Угрозы Атаки, аномалии ✔ ✔ ✔
Пользователи AD, LDAP, POP3 ✔ ✗ ✔
Веб-приложения Facebook Chat, Ebay ✔ ✗ ✔
Протоколы приложений HTTP, SMTP, SSH ✔ ✗ ✔
Передача файлов PDF, Office, EXE, JAR ✔ ✗ ✔
Вредоносное ПО Conficker, Flame ✔ ✗ ✗
Серверы C&C Интеллектуальная система безопасности C&C ✔ ✗ ✗
Клиентские приложения Firefox, IE6, BitTorrent ✔ ✗ ✗
Сетевые серверы Apache 2.3.1, IIS4 ✔ ✗ ✗
Операционные системы Windows, Linux ✔ ✗ ✗
Маршрутизаторы и коммутаторы Cisco, Nortel, Wireless ✔ ✗ ✗
Мобильные устройства iPhone, Android, Jail ✔ ✗ ✗
Принтеры HP, Xerox, Canon ✔ ✗ ✗
VoIP-телефоны Avaya, Polycom ✔ ✗ ✗
Виртуальные машины VMware, Xen, RHEV ✔ ✗ ✗
C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 43
Dynamic Profiling
Сигнатуры атак
HTTP Protocol Validation
Защита Cookie
Web Fraud Detection
Предотвращение
мошенничества
Защита от
технических
атак
Защита от атак на
бизнес-логику Ко
рр
ел
яц
ия
атак
Геолокация IP
Репутация IP
Anti-Scraping Policies
Bot Mitigation Policies
C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 44
Web Application
Firewall
Сервер управления (MX)
Пользователи
Web
сервера
Web
сервера
Web Application
Firewall
Web
сервера
Web Application
Firewall
C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 45
WAN маршрутизатор
Tenant A
Физическая
инфраструктура
Виртуализованный
/облачный
ЦОД
Коммутатор
Виртуализированные
сетевые сервисы
Cisco Nexus
1000V vPath VXLAN
Multi-Hypervisor (VMware, Microsoft, RedHat*, Citrix*)
ASA 1000V Cloud
Firewall
Cisco Virtual
Security Gateway Citrix
NetScaler
VPX
Imperva SecureSpher
e WAF
Cloud Services Router 1000V
Network Analysis Module (vNAM)
vWAAS
Cisco Nexus
1000V
• Распределенный коммутатор
• Согласованность с NX-OS
VSG
• Контроль на уровне VM
• Zone-based FW
ASA 1000V
• МСЭ периметра, VPN
• Инспекция протоколов
vWAAS
• WAN оптимизация
• Трафик приложений
CSR 1000V (Cloud Router)
• WAN L3 шлюз
• Маршрутизация и VPN
• Citrix NetScaler VPX virtual ADC
• Imperva Web App Firewall
Ecosystem Services
Zone
A
Zone
B
Сервера
Email / Web
Security (vESA
/vWSA)
C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 46
Управление и
отчетность • Cisco® Security Manager (SM)
• Центр управления виртуальными
сетями Cisco (VNMC)
Сбор информации • Cisco NetFlow
Координация политик • Cisco Identity Services Engine (ISE)
• Маркировка для групп безопасности Cisco TrustSec (SGT)
Поддержание соответствия нормативным требованиям и получение информации об операциях центра обработки данных
C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 47
БEЗОПАСНОСТЬ
СЕТЬ ВЫЧИСЛЕНИЯ
Атрибуты виртуальной машины Профили
безопасности
Профили портов
vCenter Администратор
сервера
N1KV Администратор
сети
CSM Администратор
безопасности
VNMC Администратор
безопасности
Физическая среда Виртуальная среда
NetFlow Администратор
сети
Cisco® NetFlow
Прозрачность
C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 48
• Позволяет выполнять логическую сегментацию виртуальных машин
и применять политики к этим логическим кластерам виртуальных
машин снижение сложности реализации политик
Корень
Пользователь
А
Пользователь
Б ЦОД 3
ЦОД 2
ЦОД 1
Приложение
1
Приложение
2
Категория 2
Категория 3
Категория 1
Уровень
пользователя Уровень
vDC
Уровень
виртуального
приложения
vApp
Уровень
категории
C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 49
• Cisco® ASA 1000V поддерживает политики, основанные на атрибутах сети
• Cisco VSG поддерживает политики, основанные на атрибутах сети и атрибутах виртуальной
машины (VM)
Правил
о
Условие для
источника
Условие для
точки назначения Действие
Тип атрибута
Сеть
Виртуальная
машина
Специальный
Атрибуты виртуальной машины
Имя экземпляра
Полное имя ОС гостя
Имя зоны
Имя родительского приложения
Атрибуты виртуальной
машины
Имя профиля порта
Имя кластера
Имя гипервизора
Атрибуты сети
IP-адрес
Сетевой порт
Оператор
eq
neq
gt
lt
range
Оператор
Not-in-range
Prefix
member
Not-member
Contains
Усл
овие
C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 50
• Гибкая модель безопасность
Cisco Virtual Secure Gateway (VSG) для внутризоновой защиты
Cisco ASA 1000V для контроля между зонами
• Прозрачная интеграция
С Cisco Nexus 1000V и Cisco vPath
• Единый контроль доступа с помощью Cisco ISE
• Контроль аномалий в сети с помощью Sourcefire Virtual Appliance и Cisco CTD
• Расширение защитных функций
Cisco vESA/vWSA, Imperva WAF
Tenant
A
vAp
p
Гипервизор
Cisco Nexus 1000V
Cisco vPath
VDC
Cisco Virtual Network Management Center
(VNMC)
VMware vCenter
Cisco VSG
Cisco
VSG
Cisco ASA
1000V
Cisco ASA
1000V
Cisco
VSG
Cisco
VSG
vAp
p
Tenant
B VDC
C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 51
LAN Switch (vSwitch)
Security Gateway
(VSG)
Identity Services (vISE)
Adaptive Security (vASA)
WAN Acceleration
(vWAAS)
Mobility Services (vMSE)
Wireless LAN Control (vWLC)
Cloud Services Router (vCE)
Network Analysis (vNAM)
Video Cache
Network Management (PRIME NCS)
Network Analytics (vDNA)
.. Многие известные сетевые сервисы уже оптимизированы или разработаны заново для виртуальной реализации
C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 52
Корпоративное облако
Private/Hosted/Managed
Cisco Nexus1000V
vSwitch
Облако провайдера Public/Utility/Community
N1KV InterCloud
Другие
потребите
ли
L2 Virtual Private
Cloud
Nexus 1000V InterCloud
Коммутация Nexus | Маршрутизация IOS | Сетевые сервисы
Интеграция VM Manager API интеграции с облаком ASP
VNMC InterCloud
Сценарии
• Всплески (события, сезонность, вывод на рынок…)
• Обновление/миграция
• Непрерывность/избежание катастроф
• Защита от «наездов»
Преимущества
• Согласованность сети/сервисов/политик
• Защита и шифрование
• Единая точка управления
• Выбор между провайдерами
Защищенное гибридное облако = Защищенное расширение частного облака в публичное
C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 53
TrustSec
Enabled
Enterprise
Network Identity
Services Engine
NetFlow: Switches, Routers, и ASA 5500
Контекст: NBAR/AVC
Cisco Cyber Threat Detection - повышает эффективность и действенность анализа
и обеспечивает ключевое понимание внутренней активности в сети
Телеметрия NetFlow Cisco Switches, Routers и ASA 5500
Данные о контексте угрозы Cisco Identity, Device, Posture, Application
ASA 5585
vPath
Hypervisor
Aggregation
Nexus 1000V Virtual Security
Gateway
Secure
Container
Virtual Flow
Sensor
Flow
Collector
StealthWatch
Management Console
Cisco NetFlow
1. Инфицированные хосты открывают соединения и экспортируют данные
2. Ифраструктура генерирует записи события используя Netflow
3. Сбор и анализ данных Netflow
4. Сигнал тревоги о возможной утечке данных
3. Сбор и анализ данных Netflow
C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 55
Испытано в лаборатории и утверждено архитектором.
Интернет-
периметр
РАСПРЕДЕЛЕНИЕ Сеть
хранения ASA 5585-
X
ASA 5585-
X
VDC Nexus 7018 Nexus 7018
ЯДРО
Nexus
серии
7000
Nexus
серии
5000
Nexus
серии
2100
Зона
Унифицированная
вычислительная
система
Nexus
1000V VSG
Многозонная
структура
Catalyst
6500 СЕРВИСЫ
VS
S
Межсетевой
экран ACE
Модуль
анализа сети
(NAM)
Система
предотвращения
вторжений (IPS)
VS
S VPC VPC VPC VPC VPC VPC VPC VPC
Физический центр
обработки данных Безопасность,
апробированные
архитектуры Cisco (CVD)
Виртуальный центр
обработки данных Виртуализованный
мультисервисный центр
обработки данных (VMDC)
Проверено. Совместимость | Масштабируемость | Надежность
C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 57
Прозрачность
CSM NetFlow VNMC ISE
Сегментация
ASA 5585-X ASA 1000V VSG Nexus 1000V TrustSec
Защита от угроз
IPS4500 ASA CX WSA
УНИФИЦИРОВАННЫЙ
ЦЕНТР ОБРАБОТКИ
ДАННЫХ
БЕЗОПАСНОСТЬ
АПРОБИРОВАННАЯ
АРХИТЕКТУРА
Средний
уровень Высокий
уровень
Низкий
уровень Текущие возможности
C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 60
Интернет-
периметр
РАСПРЕДЕЛЕНИЕ
Сеть
хранения ASA 5585-X ASA 5585-X
VDC Nexus 7018 Nexus 7018
ЯДРО
= вычисления
= сеть
= безопасность
Nexus
серии
7000
Nexus
серии
5000
Nexus
серии
2100
Зона
Унифицированная
вычислительная
система
Nexus
1000V VSG
Многозонная
структура
Catalyst
6500 СЕРВИСЫ
VSS
Межсетевой
экран ACE
Модуль
анализа сети
(NAM)
Система
предотвращения
вторжений (IPS)
VSS VPC VPC VPC VPC VPC VPC VPC VPC
Серверная стойка 10G Серверная стойка 10 G Унифицированные
вычисления Унифицированный доступ
C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 61 * Продемонстрировано на VMworld 2011
* Продемонстрировано на VMworld 2011
Cisco®
VSG
Cisco ASA
1000V
• Защита виртуальной инфраструктуры на разных
уровнях (категория, виртуальное приложение,
виртуальный ЦОД и пользователь)
• Динамическое масштабирование в ходе
эксплуатации
• Поддержка мобильности виртуальной машины
• Предотвращение избыточного трафика в
физическую инфраструктуру; независимо от VLAN
• Управление виртуальной машиной на основе
контекста для Cisco VSG
Безопасность
виртуальных
сред
Cisco
ASA-SM
Cisco
ASA 5500-X
серии
Безопасность
внутренних
сегментов
сети
• Сегментированная внутренняя сеть
• Политика, применяемая к VLAN
• Использование виртуальных контекстов
Cisco
ASA 5500-X
серии
Интернет-
периметр
сети
• Фильтрация внешнего трафика
• Широкая поддержка протоколов приложений
• Защита доступа к VPN и нейтрализация угроз
Формирование доверительных отношений
Защищенная инфраструктура распределенных сетевых сервисов
Защищенные подключения и доступ
Защищенное увеличение емкости
Защищенный доступ для пользователей, работающих в офисе, и мобильных пользователей
Защищенные приложения на распределенной платформе
Защита от угроз
Подтверждение соответствия нормативным требованиям
Безопасное расширение в среды XaaS
SaaS
IaaS
PaaS
Защищенный
доступ
Филиал
Мобильные
пользователи
Внутренние
пользователи
Защищенное
подключение
62
C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 63
Структура и технологии ЦОД меняются
Эти изменения сильно сказываются
на системе обеспечения безопасности
Cisco располагает долговременной стратегией
создания защищенных ЦОД без границ
Сосредоточьтесь на развитии своего бизнеса, а
Cisco поможет построить ЦОД, удовлетворяющий
потребностям вашей компании
1
2
3
C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 64
http://www.facebook.com/CiscoRu
http://twitter.com/CiscoRussia
http://www.youtube.com/CiscoRussiaMedia
http://www.flickr.com/photos/CiscoRussia
http://vkontakte.ru/Cisco
http://blog.cisco.ru/