思科数据中心安全解决方案介绍 - cisco · david li 李勇卫思科资深安全顾问...

David Li 李勇卫思科资深安全顾问2018年6月

思科数据中心安全解决方案介绍

© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential

60days业界平均检测并隔离一个威胁时间

$3.8M平均每次数据渗透造成的损失

200days业界平均渗透检测时间

网络安全现状 -网络威胁越来越聪明

攻击者有动机和目标攻击接触面不断增加攻击复杂度不断增加

• 宣布负责• 金融/间谍动机

• 万亿美金网络犯罪市场

• BYOD 模糊了防御边界• 公有云服务• 企业IOT

• Advanced persistent threats• 加密的恶意软件

• Zero-day 攻击

太多的告警非常复杂

试图保护一切老练

跟上攻击者的脚步


思科数据中心解决方案 – 关注领域

• 了解安全保护主体

• 了解主体网络行为

• 了解应用

• 生成合规性报告

• 建立取证分析能力

可视化

• 阻止数据中心内部外部攻击，加固安全域和边界

• 应对各类主机应用漏洞带来的网络侵入

• 控制病毒及恶意软件的传播

威胁防御

• 建立边界—network, compute, virtual

• 设定策略-functions, devices, orgs

• 访问控制-networks, resources, apps

隔离

集成


数据中心安全隔离灵活选项

性能需求大: 硬件防火墙需求，通过虚墙进行资源复用，满足NAT、VPN、安全隔离、安全访问控制

性能需求小：软件云火墙，通过ASAv，满足NAT、VPN、安全访问控制

高级威胁防御，可视化要求高： FTDv满足高级安全防护的需求

业务区边界

多租户、业务环境

VFW FTDv ASAv VFW

业务1 业务2 业务3

路由透明透明

NAT VPN NAT VPN NAT VPN NAT VPN

DC

VLAN VxLAN

Zone1 Zone2

VLAN VLAN VLAN VxLAN

Zone1 Zone2 Zone1 Zone2

FTDv：下一代防火墙虚拟化版本路由

VFW：物理防火墙分配虚拟防火墙

ASAv：传统ASA防火墙虚拟化版本


透明防火墙-单Bridge-group的接口数增加至64个

Gateway

Cisco® ASAv Transp

Segment- 1

Segment- 4

VT

EP

VT

EP

host2

host3

Virtual Host Segment- 2

VxLAN 20001

Segment- 3

VxLAN 2000

host4

host5

Virtual Host

host6

host7

Virtual Host

V200

V100

单臂部署

二层域内多安全域灵活分割上下线灵活，拓扑弹性扩展

A CB


通过IRB进行数据中心隔离

BVI

接口1 接口1 接口1 接口1

L3

L2

VLAN Trunk/VxLANSwitch

BVI 1 BVI 2

FTD/ASAVLAN 11

Subnet A Subnet B

12 13 14 15 16 VLAN 21 22

不同安全域相同网段

在相同网段内通过 VLAN/VxLAN 分段(安全域) 隔离广播域，每个VLAN/VxLAN接不同业务服务器

不同的bridge groups (IP subnets) 在不同的ASA虚墙之间路由二层三层灵活隔离


数据中心虚拟服务插入技术- VxLAN帮助虚拟服务无缝接入

• Vxlan引导流量向至虚拟服务点

• 分布式服务插入架构，虚机策略能做到虚机漂移随行

• 服务插入模型与网络物理拓扑完全无关（无缝透明）

VxLAN

SEC Service

Any Hypervisor

VM VM VM

Cisco Cloud Network Services (CNS)

ASAv

安全服务池

VFW FTDv


微分段限制横向移动

Segment 1Segment 3

Se

gm

en

t 2

Se

gm

en

t 4

传统分段/Segmentation

✔

✖

分段= 广播域/ VLAN / Subnet

微分段/Micro Segmentation

Segment 1

Micro Segment 1 Micro Segment 3

✖

Micro Segment 2

✔ ✔

微分段 = Endpoint或Group of Endpoints

Micro Segment 4

✖

Se

gm

en

t 2

更多分段，更灵活分段，去分段IP耦合静态分段，访问关系维护困难


vDS Cisco AVS IP/MAC EPG Hyper-V vSwitch Open vSwitch Open vSwitch

VLAN VLAN VLAN or

VXLANVLANVLANVLAN

微分段在ACI数据中心

EPG-Web

微分段覆盖整个ACI网络

Attribute Type

MAC Address Filter Network

IP Address Filter Network

VNic Dn (vNIC domain name) VM

VM Identifier VM

VM Name VM

Hypervisor Identifier VM

VMM Domain VM

Data Centre VM

Custom Attribute(VMWare AVS/vDS only)

VM

Operating System VM

9

传统静态IP ACL

交换机无法负担大量的ACL

访问关系去IP化IP变化不影响策略

极大降低访问策略条目


ACI数据中心场景-通过Service Graph 与 Contract进行分割控制

EPGClient

EPGWeb

Contract合约

ProvideConsume

Service Graph

Internal EPG

Internal EPG

Internal Contracts Internal Contracts

用户定义contract

EPG-Web EPG-DB

Contract - MyContract

Subject

Filters

QoS

Service Graph

软件定义


ACI数据中心场景-防火墙策略进行EPG策略映射

P2-ASA5525-1/pod37# show object-group

object-group network __$EPG$_pod37-wan-out-out-l3out3

network-object 10.70.0.0 255.255.255.0

object-group network __$EPG$_pod37-aprof-app

network-object host 10.1.37.102

object-group network __$EPG$_pod37-aprof-web

network-object host 10.1.0.101

Outside Network App EPGWeb EPG

Web hostOutside host

IP 10.1.0.101/16

out-to-web contractSource: 10.70.0.101Destination: 10.1.0.10110.70.0.101

10.70.0.1

App host

IP 10.1.37.102/16

BD1 (web)

SVI/Subnet 10.1.0.2/24


ACI数据中心场景-通过策略重定向（Policy Based Redirect）引入安全控制

EPG-A EPG-B FW1 FW2

L3Out

EPG Client EPG WebIDS

EPG-A到L3Out的流量通过FW1控制EPG-B到L3Out的流量通过FW1控制 EPG客户端到EPG服务器端的流量拷贝至

IDS进行检查支持Intra-BD/Inter-BD/Intra-VRF/Inter-VRF


ACI数据中心场景-策略重定向（Policy Based Redirect）

IP: 192.168.1.1

MAC: SIP: 192.168.2.1

MAC: D

192.168.1.254

MAC: Leaf MAC

172.16.2.254

MAC: Leaf MAC

172.16.1.254

MAC: Leaf MAC

192.168.2.254

MAC: Leaf MAC

node1: 172.16.1.1

node2: 172.16.1.2

node3: 172.16.1.3

Service node Leaf

Leaf2Consumer Leaf

Leaf1

Provider Leaf

Leaf3

EPGClient

EPGWe

b

Client-BD Web-BD

node1: 172.16.2.1

node2: 172.16.2.2

node3: 172.16.2.3

Sysmetric PBR Scale-out service

192.168.1.254

MAC: Leaf MAC

External-node1: 172.16.1.1

Internal-node1: 172.16.2.1

Svc-BD1: 172.16.1.254

Svc-BD2: 172.16.2.254

Service BD leaf MAC

BD1

IP: 192.168.1.1

Default GW: 192.168.1.254

192.168.2.254

MAC: Leaf MAC

BD2

IP: 192.168.2.1

Default GW: 192.168.2.254

External-node2: 172.16.1.2

Internal-node2: 172.16.2.2

Svc-BD1 Svc-BD2 Svc-BD1 Svc-BD2

Leaf1 Leaf2 Leaf3 Leaf4

Health-group1 Health-group2

Health-Group/Tracking

性能扩展健康检查


Site B

Site A

CCL

Outside

Inside A

vPC vPC

vPC vPC

Inside BInside

CCL

Inside

vPC

vPC

Firepower防火墙集群冗余方式-新的冗余要求及弹性扩展需求

主备方式集群方式

Outside Outside

跨数据中心双活集群方式

单设备转发全链路转发弹性扩展

双数据中心策略统一管理


CCL

Inside

vPC

vPC

Outside

Hub - Spoke 多租户场景

数据中心边界场景-防火墙集群S2S VPN接入

多点冗余

性能扩展

租户隔离

Inside

Inside

Inside

Inside

Inside

Inside

Inside

Inside

虚墙

虚墙

虚墙

虚墙

防火墙

弹性扩展

租户

租户

租户

租户


数据中心边界场景-防火墙VPN集群远程接入 VPN接入

.1

.2

.3

.4

.31

.32

.33

.34

Cluster Master

10.10.1.X124.118.24.50

群集 IP 地址

客户端要求与 124.118.24.50 建立连接

虚拟群集以 124.118.24.33 响应

客户端与 124.118.24.33 建立IPsec/SSL VPN 连接

性能扩展，动态负载均衡

Vlan Mapping

租户A

租户B

租户C

Vlan-A

Vlan-B

Vlan-C

Outside IF

组A 组B 组C

Inside Vlan

VPN GatewayTunnel

A

Tunnel B

Tunnel C

VLAN映射租户或业务虚墙隔离租户弹性扩展

虚墙虚墙

虚墙

虚墙

虚墙

虚墙


Flow Offload流加速• 有线的状态检测, NAT/PAT, TCP随机序列号

流加速运行方式- 时延3.5us

新数据流或者需要完整4/7层检测的连接

已经建立的可信数据流

Security Module

接收数据流

完整4/7层检测• 可信流建立后，动态可控送入加速处理通路

加速指示

流分类器

x86 CPU Complex

连接状态更新

数据重写引擎

ASA或者FTD


思科数据中心解决方案 – 关注领域

• 了解安全保护主体

• 了解主体网络行为

• 了解应用

• 生成合规性报告

• 建立取证分析能力

可视化

• 阻止数据中心内部外部攻击，加固安全域和边界

• 应对各类主机应用漏洞带来的网络侵入

• 控制病毒及恶意软件的传播

威胁防御

• 建立边界—network, compute, virtual

• 设定策略-functions, devices, orgs

• 访问控制-networks, resources, apps

隔离

集成


威胁防御三大安全手段

行为检测威胁情报特征库检测


漏洞快速增加，导致防御困难

高危漏洞高危威胁分类

Flash Vulnerabilities Source: Qualys

80%的Flash漏洞需要多少天能够完成补丁

- 入侵检测仍为最有效的已知漏洞防御手段


Firepower下一代防火墙-五大智能自动化帮助实现自动化入侵防御

自动推荐策略

自动事件评级

自动信息收集

自动快速响应

自动定位隐患

主机肖像


数据是如何丢失的？- 从一个内部感染者进入数据中心

第一步 – 终端用户感染第二步 – 感染服务器

如果想做到威胁防御你需要具备更多的能力

第三步 – 安装与虚机相关的rootkit


Firepower四道屏障防御恶意软件

SHA数据库检查

• Clean

• Malware

• Unkown

ClamAV本地病毒库

• Malware

• Unkown

沙箱

Threat Score

• Very high

• High

• Low

Talos

• 文件轨迹回溯


Talos思科安全威胁数据中心-威胁情报

标识高级威胁获得威胁信息捕捉隐含威胁实时威胁更新防御

终端

设备

网络

入侵防御

WWW Web250+

研究员Jan

24 x 7 x 365 运行

安全覆盖面研究响应中心

1.5 million 每天恶意文件样本量

600 billion 每天邮件消息

16 billion 每天Web请求

威胁情报

100 billion 每天DNS 请求


拥有Talos的优势，发现的威胁和 TTD尽管威胁样本日益增加，但基于云的安全技术一直是帮助思科保持较低 TTD 中值的关键因素

思科年度 TTD 中值(小时)

37.1

14

4.6

2015 2016 2017

发现的威胁样本数

10x上升

2016 2017

收集分析流量

1 2

• # Concurrent flows• Packets per second• Bits per second• New flows created• Number of SYNs sent• Time of day

• Number of SYNs

received• Rate of connection resets

• Duration of the flow• Over 80+ other attributes

建立行为基线

行为异常及网络行为变化时告警

threshold

threshold

thresholdthreshold

Critical Servers

Exchange Server Web Servers Marketing

Anomaly detected in host behavior

3

思科Stealthwatch产品提供技网络流量异常行为检测

网络设备

NetFlow/IPFix/Sflow/Netstream/镜像


安全异常行为分析模型指标

高风险主机活动排名详细异常活动统计

通过行为分析技术捕捉内部数据窃取

• 试图未授权违规访问

• 内部扫描 – 试图探测可利用主机

• 数据囤积 – 通过网络传输大量数据

• 数据外泄 – 标识通过互联网边界的可疑传输


借助 StealthWatch 进行数据中心内重点业务监控分段

PCI 区域映射

定义区域之间的通信策略

监控违规情况区域流量统计


检测内部恶意软件传播感染轨迹

第三感染

第二个感染

初始感染

异常行为检测还能够帮我们什么？

基础网络

NetFlow

Hyper-V

VM VM VM VM

服务器区

网络边界• DDOS防御－是否有DDOS攻击流量• APT防御－是否有数据外泄行为• APT防御－是否有僵尸访问回传行为

• 行为审计－情景访问信息，2年的每笔数据流• 业务梳理－了解业务访问流量模型，辅助IT决策• APT防御－是否有数据囤积行为• 端点安全－是否有蠕虫传播行为• 异常流量－泛洪流量、扫描流量

• 行为审计－虚拟机之间访问流量信息• 端点安全－是否有异常流量突发• APT防御－是否有数据囤积行为• 越权访问－是否有服务器违约访问行为• 故障定位－提供取样分析数据、圈定故障范围• 快速定位－智能分析直接定位问题虚拟机


Tetration应用可视及策略自动学习并审计

自动发现应用关系图自动发现应用隔离策略


SYN 泛洪攻击

DDoS 攻击

非标准数据包攻击

泛洪流量

Radware DDoS vDP

Firepower防火墙加载DDOS服务-防止网络和应用中断

在检测到攻击之后的数秒内阻止攻击自动阻止或允许流量

为合法流量保持最高

30 Gbps 的吞吐量每秒处理140,000 个

连接

每秒阻止1,200,000 个

泛洪流量数据包

11010101010100010101101110101001001010101010100101010101110101

00101011010101010100010101101110101001001010101010100101010101

11010101001010100101010111010101010100010101101110101001001010

101

合法流量网络和应用

云清理


数据中心安全部署

Cisco Fabric

防火墙集群

安全控制池区域

云火墙

流量分析服务器Lancope StealWatch

Netflow

• 数据中心业务流量监控• 网络服务业务性能分析• 异常流量、数据窃取检测

• 业务隔离• 访问控制• 漏洞防御• 文件检测• APT防御

防火墙集群

DefensePro


隔离

访问控制

流量行为分析负载深度检查

可视

异常流量，蠕虫传播

数据窃取漏洞、攻击

工具文件

恶意程序

业务梳理健康监控威胁防御

带外网管区

Internet接入区

安全服务池区

数据中心互联区

公共服务区

业务区前置业务

区其他区

资源性能

访问

应用服务

流量

数据中心业务可视与威胁防御框架

FTD

FTD

访问分析

访问控制

Tetration

Stealthwatch

Stealthwatch


思科公有云安全防御

ASAv

Su

bn

et

1

Su

bn

et

2

Private

inside

outside

Public

NGFWv

Su

bn

et

1

Su

bn

et

2

Private

inside

outside

Public

Mgmt

FMCv

Private

Public

Stealthwatch

增强全网可视化

实时感知，快速检测威胁

网络行为异常检测与分析

合规遵循

Public cloud

Hybrid cloud

Private Cloud

Center

ASA传统防火墙云化

Firepower下一代防火墙云化

Stealthwatch公有云可视化

虚机隔离、远程VPN、园区与Cloud互联、多Cloud互联及同Cloud不同VPC互联

虚机隔离、远程VPN、园区与Cloud互联、多Cloud互联及同Cloud不同VPC互联威胁防御，威胁情报，恶意软件过滤

思科数据中心安全解决方案介绍 - cisco · david li 李勇卫 思科资深安全顾问...

Documents

思科数据中心安全解决方案介绍 - cisco · david li 李勇卫思科资深安全顾问...