plnog 13: gaweł mikołajczyk: data center security in 2014
DESCRIPTION
Gaweł Mikołajczyk graduated from Warsaw University of Technology. He is the Security Systems Consultant in EMEA Core Borderless Networks Team at Cisco. He holds numerous industry certificates, including CCIE #24987, CISSP-ISSAP, CISA, C|EH. Gaweł is s frequent speaker at ICT Conferences, such as Cisco Live! Europe, PLNOG, EuroNOG, CONFidence, Cisco Cisco Expo and Cisco Forum. Topics of his presentations are related to network security. His main interests include integrated security, identity and related issues. Before Gaweł has joined Cisco, he was the UNIX System Administrator and System Engineer at one of the leading system integrators in Poland. He is also a Cisco Networking Academy Instructor. Topic of Presentation: Data Center Security in 2014 Language: Polish Abstract: Data Centres today are facing a massive transformation, from autonomous and disparate sets of network entities to SDN-controlled infrastructural complex. New brave ideas are being developed, with security implications, leading the Networking Industry towards a complete orchestration of highly scalable environments. One example of such approach is ACI – Application-Centric Infrastructure. This session will propose a holistic approach towards threat management for Data Center-hosted critical applications. The mechanisms and technologies for threat protection will be presented, following the threat continuum model – for before, during and after the attack. During the talk, will give a glimpse of an end-to-end Cisco-validated solution for the Secure Data Center Threat Management, which includes technologies and ideas originally developed by Sourcefire, creators of SNORT, now part of Cisco.TRANSCRIPT
Bezpieczeństwo Data Center
Gaweł Mikołajczyk [email protected] Security Technical Solutions Architect CCIE #24987, CISSP-ISSAP, CISA, C|EH
PLNOG13, September 30, 2014, Kraków, Poland
Anno Domini 2014
© 2014 Cisco Public 2
© 2014 Cisco Public 3
http://plnog.pl/spotkanie-8-marzec/materialyhttp://www.youtube.com/watch?v=KocInCI4au0
• Bezpieczeństwo L2
• Segmentacja N-S
• Segmentacja E-W
• RBAC
• Service Sandwich
• FW | LB | IPS | NAM
• Multitenant VMDC
• TrustSec intro
• Widoczność per VM
Marzec 2012
© 2014 Cisco Public 4
http://plnog.pl/spotkanie-9-pazdziernik/materialy-2013-krakowhttp://www.youtube.com/watch?v=Wq_Da2buTTw
• Firewall Clustering
• Virtual Tenant Edge Firewall
• Cloud Services Routing intro
• Segmentacja overlay z
TrustSec
• ASA1000V
• VSG
• Nexus1000V
• vPath
Październik 2012
© 2014 Cisco Public 5
http://plnog.pl/spotkanie-10-luty/materialyhttp://www.youtube.com/watch?v=4StQjVaDwVQ
• SDNizing the DC
• Virtual DC Security
• VXLAN
• vPath
• Service Chaining
• N1kV dla Hyper-V
• N1kV dla KVM (ß)
• N1kV InterCloud
• CSR1000V – Cloud
Services Router –
- IOS-XE architecture
- MPLS use case
- FlexVPN use case
Luty 2013
© 2014 Cisco Public 6
http://plnog.pl/spotkanie-11-wrzesien/materialyhttps://www.youtube.com/watch?v=G69J9AtV6GY
• TrustSec solution
• Classification
• Propagation
• Enforcement
• Policy Building Blocks
• Centralization with ISE
• Overlay SXP Transport
• Inline SGT Transport
• SGT in L2 Networks
• SGT for IPSec:
• DMVPN
• GETVPN
• 802.1AE Encryption
• SGACL | SGFW
Wrzesień 2013
© 2014 Cisco Public 7
Co zrobiłbyś inaczej, gdybyś wiedział że Twoje DC zostanie skompromitowane?
© 2014 Cisco Public 8
Delta czasowa Włamanie/Wykrycie nie poprawia się
Source: Verizon 2014 Data Breach Investigations Report
© 2014 Cisco Public 9
Widoczność i kontekst
Firewall
NGFW
NAC + usługi Identity
VPN
UTM
NGIPS
Web Security
Email Security
Advanced Malware Protection
Behawioralna analiza sieciowa
Continuum ochrony zasobów krytycznych w DC
BEFOREKontrola
WymuszenieWzmocnienie
AFTEROkreślenie
zakresu Remediacja
Cykl ataku/obrony
WykrycieBlokowanie
Obrona
DURING
Incident Response
© 2014 Cisco Public 10
BEFORE | DURING | AFTER
© 2014 Cisco Public 11
Klastrowanie firewalli
Do 320/640Gbps rzeczywistej/ maksymalnej przepustowości,
96M conns
2.8M CPS
32 aktywnych portów w Spanned Etherchannel z Nexus vPC
16 aktywnych portów StandaloneEtherchannel
BEFORE: Segmentacja i filtrowanie
© 2014 Cisco Public 12
Cluster Control Link (CCL)
Sesja TCP: Ruch symetryczny
Director
Owner
Klient Serwer
SYNSYN
1) State Update
• Replikacja stanu z Ownera do Directora służy również jako wiadomość failover• Director jest wybierany per połączenie z użyciem spójnego mechanizmu hashowania
SYN/ACK
SYN/ACK
Mordor Sieć DC
© 2014 Cisco Public 13
Cluster Control Link (CCL)
Sesja TCP: Ruch AsymetrycznyTCP SYN cookies z asymetrycznym rozkładem ruchu
Director
Owner
Klient Serwer
SYNSYN
1) Encodes the owner information into SYN cookies
2) forwards SYN packet encoded with the cookie
toward the server
SYN/ACK
SYN/ACK
Mordor Sieć DC
3) SYN/ACK arrives at non-owner unit
4) decodes the owner information from the SYN cookie
5) forward packet to the owner unit over CCL
SYN/ACK
1) State Update
© 2014 Cisco Public 14
Cluster Control Link (CCL)
Sesja UDP: Ruch Asymetryczny
Director
Owner
Klient Serwer
1) Owner Query
• Urządzenie odpytuje directora o flow UDP którego nie jest Ownerem• Krótkie flowy (DNS, ICMP) nie mają forwardera
Mordor Sieć DC
4)
Ow
ner
Qu
ery
?
5)
Here
is t
he
Ow
ne
r ID
2) Not Found
3) State Update
© 2014 Cisco Public 15
Cluster Control Link (CCL)
Sesja TCP: Scenariusz awariiASA Failover Recovery Sesji
Owner
Klient Serwer
• Director urzymuje backup stub flow• Przekierowuje urządzenia do Ownera• Jeżeli Owner ulega awarii, Director wymiera nowego Ownera
Mordor Sieć DC
ASA X
ASA Y
1)
Ow
ner
Qu
ery
?
1)
Ow
ner
Qu
ery
? 3) Y
ou
are
on
wer
4) T
he O
wn
er is
AS
A X
Director
© 2014 Cisco Public 16
Cluster Control Link (CCL)
Sesja TCP: Scenariusz awariiASA Failover Recovery Sesji
Owner
Client Server
Mordor Sieć DCASA YP
acket M
+1
Packet M
Director
• Director urzymuje backup stub flow• Przekierowuje urządzenia do Ownera• Jeżeli Owner ulega awarii, Director wymiera nowego Ownera
© 2014 Cisco Public 17
W Krainie Wysokich Elfów: Geo-Clustering
slot 1slot 2slot 3slot 4slot 5slot 6slot 7slot 8
blade1
blade2blade3
blade4blade5
blade6blade7
blade8
slot 1slot 2slot 3slot 4slot 5slot 6slot 7slot 8
blade1
blade2blade3
blade4blade5
blade6blade7
blade8
slot 1slot 2slot 3slot 4slot 5slot 6slot 7slot 8
blade1
blade2blade3
blade4blade5
blade6blade7
blade8
slot 1slot 2slot 3slot 4slot 5slot 6slot 7slot 8
blade1
blade2blade3
blade4blade5
blade6blade7
blade8
slot 1slot 2slot 3slot 4slot 5slot 6slot 7slot 8
blade1
blade2blade3
blade4blade5
blade6blade7
blade8
slot 1slot 2slot 3slot 4slot 5slot 6slot 7slot 8
blade1
blade2blade3
blade4blade5
blade6blade7
blade8
Data Center 1
Data Center 2
Tworzenie Klastra ASA Multi-Site
Wbudowane mechanizmy obsługi ruchu
asymetrycznego. Ta sama podsieć skonfigurowana po
we wszystkich DC, ale zlokalizowana.
GW
Migracja workloadów
…aktywne połączenia są utrzymywane
przez klaster
Urządzenia ASA w każdym DC…jako część infrastruktury bezpieczeństwa, zunifikowana konfiguracja i polityki, CCL przeniesiony przez DCI
Klaster ASA
…formuje się z urządzeń we wszystkich DC, loadbalancingbezstanowy bazujący na mechanizmach routing lub switching
DCI
GW
© 2014 Cisco Public 18
IP 1.1.1.1
IP 1.1.1.2
IP 1.1.1.3
IP 1.1.1.4
Outside Inside
IP 1.1.2.1
IP 1.1.2.2
IP 1.1.2.3
IP 1.1.2.4
Tryb Indywidualnych Interfejsów
DCIPublic
CCL
OSPF peers1.1.4.x
OSPF peers1.1.3.x
slot 1slot 2slot 3slot 4slot 5slot 6slot 7slot 8
blade1
blade2blade3
blade4blade5
blade6blade7
blade8
slot 1slot 2slot 3slot 4slot 5slot 6slot 7slot 8
blade1
blade2blade3
blade4blade5
blade6blade7
blade8
slot 1slot 2slot 3slot 4slot 5slot 6slot 7slot 8
blade1
blade2blade3
blade4blade5
blade6blade7
blade8
slot 1slot 2slot 3slot 4slot 5slot 6slot 7slot 8
blade1
blade2blade3
blade4blade5
blade6blade7
blade8
slot 1slot 2slot 3slot 4slot 5slot 6slot 7slot 8
blade1
blade2blade3
blade4blade5
blade6blade7
blade8
slot 1slot 2slot 3slot 4slot 5slot 6slot 7slot 8
blade1
blade2blade3
blade4blade5
blade6blade7
blade8
ASA tworzą indywidualne Relacje OSPFData Center 1
Data Center 2
Zlokalizowany First-Hop HSRPRouter jest pierwszym
przekokiem dla środowiska DC, emuluje te same
IP/MAC w DC Active/Active
Cluster Control Link
ASA utrzymują stan i forwardują ruch do
właściciela w przypadku asymetrii / migracji
workloadów
Routing dynamicznyRozrzucanie ruchu przez ECMP
Routery sąsiadują przez DCI
Trasa o wyższym koszcie do drugiego DC wspiera scenariusze awarii w obrębie jednego DC
GW
GW
9.1.4
Migracja workloadów
…aktywne połączenia są utrzymywane
przez klaster
© 2014 Cisco Public 19
Wymagania na transport CCL (Cluster Control Link)
Dark Media = Każde medium które transportuje ruch unicast/broadcast traffic pomiędzy urządzeniami ASA w tym samym klastrze
DCI over dark media może być L2 extension, OTV lub Fabric Path
Dark Media DCI musi spełniać wymagania: Mniej niż 20msec RTT pomiędzy Data Centers
Bez utraty pakietów na łączu ASA Control Plane (CCL)
Bez Re-Orderingu Pakietów
ASA Cluster Control Link (CCL VLAN) jest rozciągnięty przez DCI
ASA Data Link VLANs NIE są rozciągnięte przez DCI
© 2014 Cisco Public 20
Outside Inside
Geoclustering w trybie Individual Mode (1/6)
DCIPublic
CCL
OSPF peers OSPF peers
slot 1slot 2slot 3slot 4slot 5slot 6slot 7slot 8
blade1
blade2blade3
blade4blade5
blade6blade7
blade8
slot 1slot 2slot 3slot 4slot 5slot 6slot 7slot 8
blade1
blade2blade3
blade4blade5
blade6blade7
blade8
slot 1slot 2slot 3slot 4slot 5slot 6slot 7slot 8
blade1
blade2blade3
blade4blade5
blade6blade7
blade8
slot 1slot 2slot 3slot 4slot 5slot 6slot 7slot 8
blade1
blade2blade3
blade4blade5
blade6blade7
blade8
slot 1slot 2slot 3slot 4slot 5slot 6slot 7slot 8
blade1
blade2blade3
blade4blade5
blade6blade7
blade8
slot 1slot 2slot 3slot 4slot 5slot 6slot 7slot 8
blade1
blade2blade3
blade4blade5
blade6blade7
blade8
Data Center 1
Data Center 2
GW
GW
ASA Owner
Urządzenie które pierwsze otrzyma ruch,
staje się właścicielem flow (Owner)
© 2014 Cisco Public 21
Outside Inside
Geoclustering w trybie Individual Mode (2/6)
DCIPublic
CCL
OSPF peers OSPF peers
slot 1slot 2slot 3slot 4slot 5slot 6slot 7slot 8
blade1
blade2blade3
blade4blade5
blade6blade7
blade8
slot 1slot 2slot 3slot 4slot 5slot 6slot 7slot 8
blade1
blade2blade3
blade4blade5
blade6blade7
blade8
slot 1slot 2slot 3slot 4slot 5slot 6slot 7slot 8
blade1
blade2blade3
blade4blade5
blade6blade7
blade8
slot 1slot 2slot 3slot 4slot 5slot 6slot 7slot 8
blade1
blade2blade3
blade4blade5
blade6blade7
blade8
slot 1slot 2slot 3slot 4slot 5slot 6slot 7slot 8
blade1
blade2blade3
blade4blade5
blade6blade7
blade8
slot 1slot 2slot 3slot 4slot 5slot 6slot 7slot 8
blade1
blade2blade3
blade4blade5
blade6blade7
blade8
OSPF Peers
Data Center 1
Data Center 2
GW
GW
OSPF Peers
© 2014 Cisco Public 22
Outside Inside
Geoclustering w trybie Individual Mode (3/6)
DCIPublic
CCL
OSPF peers OSPF peers
slot 1slot 2slot 3slot 4slot 5slot 6slot 7slot 8
blade1
blade2blade3
blade4blade5
blade6blade7
blade8
slot 1slot 2slot 3slot 4slot 5slot 6slot 7slot 8
blade1
blade2blade3
blade4blade5
blade6blade7
blade8
slot 1slot 2slot 3slot 4slot 5slot 6slot 7slot 8
blade1
blade2blade3
blade4blade5
blade6blade7
blade8
slot 1slot 2slot 3slot 4slot 5slot 6slot 7slot 8
blade1
blade2blade3
blade4blade5
blade6blade7
blade8
slot 1slot 2slot 3slot 4slot 5slot 6slot 7slot 8
blade1
blade2blade3
blade4blade5
blade6blade7
blade8
slot 1slot 2slot 3slot 4slot 5slot 6slot 7slot 8
blade1
blade2blade3
blade4blade5
blade6blade7
blade8
OSPF Peers
Data Center 1
Data Center 2
GW
GW
OSPF Peers
Nowy właściciel
Urządzenie które pierwsze otrzyma ruch z
istniejącego flow, odpytuje Directora i staje się Ownerem.
© 2014 Cisco Public 23
Outside Inside
Geoclustering w trybie Individual Mode (4/6)
DCIPublic
CCL
OSPF peers OSPF peers
slot 1slot 2slot 3slot 4slot 5slot 6slot 7slot 8
blade1
blade2blade3
blade4blade5
blade6blade7
blade8
slot 1slot 2slot 3slot 4slot 5slot 6slot 7slot 8
blade1
blade2blade3
blade4blade5
blade6blade7
blade8
slot 1slot 2slot 3slot 4slot 5slot 6slot 7slot 8
blade1
blade2blade3
blade4blade5
blade6blade7
blade8
slot 1slot 2slot 3slot 4slot 5slot 6slot 7slot 8
blade1
blade2blade3
blade4blade5
blade6blade7
blade8
slot 1slot 2slot 3slot 4slot 5slot 6slot 7slot 8
blade1
blade2blade3
blade4blade5
blade6blade7
blade8
slot 1slot 2slot 3slot 4slot 5slot 6slot 7slot 8
blade1
blade2blade3
blade4blade5
blade6blade7
blade8
OSPF Peers
Data Center 1
Data Center 2
GW
GW
OSPF Peers
Rerouting do DC-2Zewnętrzne protokoły routingu mogą unikać DC-1
Najnowszy FlowOwner
Urządzenie w DC-2 odpytuje Directora i staje się Ownerem
istniejącego flow
© 2014 Cisco Public 24
Outside Inside
Geoclustering w trybie Individual Mode (5/6)
DCIPublic
CCL
OSPF peers OSPF peers
slot 1slot 2slot 3slot 4slot 5slot 6slot 7slot 8
blade1
blade2blade3
blade4blade5
blade6blade7
blade8
slot 1slot 2slot 3slot 4slot 5slot 6slot 7slot 8
blade1
blade2blade3
blade4blade5
blade6blade7
blade8
slot 1slot 2slot 3slot 4slot 5slot 6slot 7slot 8
blade1
blade2blade3
blade4blade5
blade6blade7
blade8
slot 1slot 2slot 3slot 4slot 5slot 6slot 7slot 8
blade1
blade2blade3
blade4blade5
blade6blade7
blade8
slot 1slot 2slot 3slot 4slot 5slot 6slot 7slot 8
blade1
blade2blade3
blade4blade5
blade6blade7
blade8
slot 1slot 2slot 3slot 4slot 5slot 6slot 7slot 8
blade1
blade2blade3
blade4blade5
blade6blade7
blade8
OSPF Peers
Data Center 1
Data Center 2
GW
GW
OSPF Peers
© 2014 Cisco Public 25
Outside Inside
Geoclustering w trybie Individual Mode (6/6)
DCIPublic
CCL
OSPF peers OSPF peers
slot 1slot 2slot 3slot 4slot 5slot 6slot 7slot 8
blade1
blade2blade3
blade4blade5
blade6blade7
blade8
slot 1slot 2slot 3slot 4slot 5slot 6slot 7slot 8
blade1
blade2blade3
blade4blade5
blade6blade7
blade8
slot 1slot 2slot 3slot 4slot 5slot 6slot 7slot 8
blade1
blade2blade3
blade4blade5
blade6blade7
blade8
slot 1slot 2slot 3slot 4slot 5slot 6slot 7slot 8
blade1
blade2blade3
blade4blade5
blade6blade7
blade8
slot 1slot 2slot 3slot 4slot 5slot 6slot 7slot 8
blade1
blade2blade3
blade4blade5
blade6blade7
blade8
slot 1slot 2slot 3slot 4slot 5slot 6slot 7slot 8
blade1
blade2blade3
blade4blade5
blade6blade7
blade8
OSPF Peers
Data Center 1
Data Center 2
GW
GW
OSPF Peers
OTV
…Router użyje OTV by przekierować przychodzący z
zewnątrz flow do VM w DC-1
Przekierowanie do OwneraZnane połączenia są przekierowane do Ownera danego flow
First Hop w obrębie DC
…na wyjściu z VM przełączniki przekażą
ruch do lokalnego GW w DC-1
© 2014 Cisco Public 26
AN
IMAT
ED
SLID
E
Outside Inside
Tryb Spanned – Firewall Transparentny
DCIPublic
CCL
OSPF peers1.1.3.x/24
OSPF peers1.1.4.x/24
slot 1slot 2slot 3slot 4slot 5slot 6slot 7slot 8
blade1
blade2blade3
blade4blade5
blade6blade7
blade8
slot 1slot 2slot 3slot 4slot 5slot 6slot 7slot 8
blade1
blade2blade3
blade4blade5
blade6blade7
blade8
slot 1slot 2slot 3slot 4slot 5slot 6slot 7slot 8
blade1
blade2blade3
blade4blade5
blade6blade7
blade8
slot 1slot 2slot 3slot 4slot 5slot 6slot 7slot 8
blade1
blade2blade3
blade4blade5
blade6blade7
blade8
slot 1slot 2slot 3slot 4slot 5slot 6slot 7slot 8
blade1
blade2blade3
blade4blade5
blade6blade7
blade8
slot 1slot 2slot 3slot 4slot 5slot 6slot 7slot 8
blade1
blade2blade3
blade4blade5
blade6blade7
blade8
Data Center 1
Data Center 2
GW
GW
OSPF Peers1.1.2.x/24
OSPF peers1.1.1.x/24
Routery peerująEIGRP/OSPF…bezpośrednio między sobą, transparentnie przez klaster ASA, który nie bierze udziału w relacjach routingu
ASA Bridge-Group
…wspiera 4 interfejsy / VLAN per domenę
rozgłoszeniową. Jedno BVI per dzierżawca.
Wirtualny kontekst kliencki
…ta sama bridge-groupwidzi ruch kliencki we
wszystkich DC, VLANyzostają lokalne per site.
Emulacja tych samych MAC-A
…na routerach, aby przedstawiać się klastrowi ASA jako ten sam next-hop externalrouter. To samo na wewnętrznych routerach MAC-B
MAC-B
MAC-B
MAC-A
MAC-A
9.2.1
© 2014 Cisco Public 27
Wyzwanie dla klastrowania: LACP umożliwia relację agregacji interfejsów między dwoma urządzeniami, zgodnie ze specyfikacją IEEE
Wymaganie: wsparcie dla LACP między wieloma (do 16) urządzeń ASA podłączonymi do jednego lub pary przełączników VPC/VSS
Rekonfiguracja wiązki Etherchannel i ochrona przed blackholingiem ruchu w przypadku awarii łącza lub urządzenia
cLACP wspiera notyfikację dla cluster Control-Plane o zmianie statusu łączy w wiązce Etherchannel i dostarcza monitorowania stanu zdrowia
cLACP recovery pomiędzy urządzeniami ASA w przypadku opuszczenia klastra przez ASA Cluster Master
cLACP jest adekwatny tylko dla trybu L2 pomiędzy klastrem ASA a switchem/switchami upstream (vPC or VSS)
Innowacja: clustered LACP (cLACP)
© 2014 Cisco Public 28
AN
IMAT
ED
SLID
E
Outside Inside
Geoclustering w Trybie Spanned – Transparentnym (1/5)
DCIPublic
CCL
OSPF peers OSPF peers
slot 1slot 2slot 3slot 4slot 5slot 6slot 7slot 8
blade1
blade2blade3
blade4blade5
blade6blade7
blade8
slot 1slot 2slot 3slot 4slot 5slot 6slot 7slot 8
blade1
blade2blade3
blade4blade5
blade6blade7
blade8
slot 1slot 2slot 3slot 4slot 5slot 6slot 7slot 8
blade1
blade2blade3
blade4blade5
blade6blade7
blade8
slot 1slot 2slot 3slot 4slot 5slot 6slot 7slot 8
blade1
blade2blade3
blade4blade5
blade6blade7
blade8
slot 1slot 2slot 3slot 4slot 5slot 6slot 7slot 8
blade1
blade2blade3
blade4blade5
blade6blade7
blade8
slot 1slot 2slot 3slot 4slot 5slot 6slot 7slot 8
blade1
blade2blade3
blade4blade5
blade6blade7
blade8
Data Center 1
Data Center 2
GW
GW
OSPF Peers
OSPF peersWłaściciel flow(Owner)…SYN ląduje na urządzeniu i staje się ono Ownerem Flow
MAC-B
MAC-B
MAC-A
MAC-A
© 2014 Cisco Public 29
AN
IMAT
ED
SLID
E
Outside Inside
Geoclustering w Trybie Spanned – Transparentnym (2/5)
DCIPublic
CCL
OSPF peers OSPF peers
slot 1slot 2slot 3slot 4slot 5slot 6slot 7slot 8
blade1
blade2blade3
blade4blade5
blade6blade7
blade8
slot 1slot 2slot 3slot 4slot 5slot 6slot 7slot 8
blade1
blade2blade3
blade4blade5
blade6blade7
blade8
slot 1slot 2slot 3slot 4slot 5slot 6slot 7slot 8
blade1
blade2blade3
blade4blade5
blade6blade7
blade8
slot 1slot 2slot 3slot 4slot 5slot 6slot 7slot 8
blade1
blade2blade3
blade4blade5
blade6blade7
blade8
slot 1slot 2slot 3slot 4slot 5slot 6slot 7slot 8
blade1
blade2blade3
blade4blade5
blade6blade7
blade8
slot 1slot 2slot 3slot 4slot 5slot 6slot 7slot 8
blade1
blade2blade3
blade4blade5
blade6blade7
blade8
Data Center 1
Data Center 2
GW
GW
OSPF Peers
OSPF peers
MAC-B
MAC-B
MAC-A
MAC-A
Nowy Owner
Urządzenie które pierwsze otrzyma ruch
odpytuje Directora i staje się Ownerem
© 2014 Cisco Public 30
AN
IMAT
ED
SLID
E
Outside Inside
Geoclustering w Trybie Spanned – Transparentnym (3/5)
DCIPublic
CCL
OSPF peers OSPF peers
slot 1slot 2slot 3slot 4slot 5slot 6slot 7slot 8
blade1
blade2blade3
blade4blade5
blade6blade7
blade8
slot 1slot 2slot 3slot 4slot 5slot 6slot 7slot 8
blade1
blade2blade3
blade4blade5
blade6blade7
blade8
slot 1slot 2slot 3slot 4slot 5slot 6slot 7slot 8
blade1
blade2blade3
blade4blade5
blade6blade7
blade8
slot 1slot 2slot 3slot 4slot 5slot 6slot 7slot 8
blade1
blade2blade3
blade4blade5
blade6blade7
blade8
slot 1slot 2slot 3slot 4slot 5slot 6slot 7slot 8
blade1
blade2blade3
blade4blade5
blade6blade7
blade8
slot 1slot 2slot 3slot 4slot 5slot 6slot 7slot 8
blade1
blade2blade3
blade4blade5
blade6blade7
blade8
Data Center 1
Data Center 2
GW
GW
OSPF Peers
OSPF peers
MAC-B
MAC-B
MAC-A
MAC-A
Najnowszy FlowOwner
Urządzenie w DC-2 odpytuje Directora i staje się Ownerem
istniejącego flow
© 2014 Cisco Public 31
AN
IMAT
ED
SLID
E
Outside Inside
Geoclustering w Trybie Spanned – Transparentnym (4/5)
DCIPublic
CCL
OSPF peers OSPF peers
slot 1slot 2slot 3slot 4slot 5slot 6slot 7slot 8
blade1
blade2blade3
blade4blade5
blade6blade7
blade8
slot 1slot 2slot 3slot 4slot 5slot 6slot 7slot 8
blade1
blade2blade3
blade4blade5
blade6blade7
blade8
slot 1slot 2slot 3slot 4slot 5slot 6slot 7slot 8
blade1
blade2blade3
blade4blade5
blade6blade7
blade8
slot 1slot 2slot 3slot 4slot 5slot 6slot 7slot 8
blade1
blade2blade3
blade4blade5
blade6blade7
blade8
slot 1slot 2slot 3slot 4slot 5slot 6slot 7slot 8
blade1
blade2blade3
blade4blade5
blade6blade7
blade8
slot 1slot 2slot 3slot 4slot 5slot 6slot 7slot 8
blade1
blade2blade3
blade4blade5
blade6blade7
blade8
Data Center 1
Data Center 2
GW
GW
OSPF Peers
OSPF peers
MAC-B
MAC-B
MAC-A
MAC-A
Najnowszy FlowOwner
Urządzenie w DC-2 odpytuje Directora i staje się Ownerem
istniejącego flow
© 2014 Cisco Public 32
AN
IMAT
ED
SLID
E
Outside Inside
Geoclustering w Trybie Spanned – Transparentnym (5/5)
DCIPublic
CCL
OSPF peers OSPF peers
slot 1slot 2slot 3slot 4slot 5slot 6slot 7slot 8
blade1
blade2blade3
blade4blade5
blade6blade7
blade8
slot 1slot 2slot 3slot 4slot 5slot 6slot 7slot 8
blade1
blade2blade3
blade4blade5
blade6blade7
blade8
slot 1slot 2slot 3slot 4slot 5slot 6slot 7slot 8
blade1
blade2blade3
blade4blade5
blade6blade7
blade8
slot 1slot 2slot 3slot 4slot 5slot 6slot 7slot 8
blade1
blade2blade3
blade4blade5
blade6blade7
blade8
slot 1slot 2slot 3slot 4slot 5slot 6slot 7slot 8
blade1
blade2blade3
blade4blade5
blade6blade7
blade8
slot 1slot 2slot 3slot 4slot 5slot 6slot 7slot 8
blade1
blade2blade3
blade4blade5
blade6blade7
blade8
Data Center 1
Data Center 2
GW
GW
OSPF Peers
OSPF peers
MAC-B
MAC-B
MAC-A
MAC-A
Pozostaje Ownerem
ASA cały czas działa i dokonuje stanowej inspekcji tego samego flow
OTV
…Router użyje OTV by przekierować
przychodzący z zewnątrz flow do VM w
DC-1
First Hop w obrębie DC
…na wyjściu z VM przełączniki przekażą
ruch do lokalnego GW w DC-1
Forward do Ownera
Przekazanie ruchu do Ownera przez CCL dla zachowania symetrii inspekcji
© 2014 Cisco Public 33
Klastrowanie ASA –
IXIA BreakingPoint Storm CTM 16-node Demohttps://www.youtube.com/watch?v=t1qyKnMGNkA
© 2014 Cisco Public 38
BEFORE | DURING | AFTER
© 2014 Cisco Public 39
Sourcefire FirePOWER na platformach ASA
Sourcefire na ASA5585-X (Hardware Blade)
Sourcefire na ASA 5500-X (Software)
© 2014 Cisco Public 40
2014 Secure Data Center Design Guides
http://www.cisco.com/c/en/us/solutions/enterprise/design-zone-secure-data-center-portfolio/index.html
© 2014 Cisco Public 41
© 2014 Cisco Public 42
BEFORE | DURING | AFTER
43
Spojrzenie wstecz…
44
…stare dobre czasy…
…to tylko dobre wspomnienia.
27,375,000 uaktualnień
wykrywających malware dla FireAMP w ciągu 2013
© 2014 Cisco Public 46
Malware Sandboxing - Poza Horyzontem Zdarzeń
Antivirus
Sandboxing
Początkowa dyspozycja = Clean
Detekcja = Punkt w Czasie
Początkowa dyspozycja= Clean
Cisco AMP
Skala kompromitacji nieznana
Finalna dyspozycja = Malware = Za późno!
Odwrócenie czasuWidocznośćKontrola
Not 100%Analiza zatrzymuje się
Techniki Sleep Nieznane ProtokołySzyfrowaniePolimorfizm
Finalna dyspozycja = Malware = Blokuj
Detekcja Retrospektywna, Analiza jest kontynuowana
© 2014 Cisco Public 47
FireSIGHT
ASA Cluster FirePOWER
Services
AMP dla Klastra ASA FirePOWER przed DC
Analiza pliku w chmurze
Lookup dyspozycji pliku(SHA256, Spero)
Trajektoria plikówAnaliza i korelacja
zdarzeń
Manualna analiza dynamiczna
Cisco Security Manager
Chmura Analizy Dynamicznej
VRT (sandbox)
Chmura AMP
Połączenie z Chmurą publiczną VRT
KomponentHost-based
© 2014 Cisco Public 48
Anonimizacja zapytań o reputację plików
Analiza Retrospektywna
Trajektoria Urządzenia
Trajektoria Pliku
Root Cause
Śledzenie i Outbreak Control
Prywatna Chmura AMP
© 2014 Cisco Public 49
AMP Trajektoria Pliku w Sieci I
Wprowadzenie malware
© 2014 Cisco Public 50
AMP Trajektoria Pliku w Sieci II
Wprowadzenie malware
Wysłany mail (Thunderbird)
© 2014 Cisco Public 51
AMP Trajektoria Pliku w Sieci III
Click!
Całościowa widoczność propagacji
zaawansowanego malware w środowisku
© 2014 Cisco Public 53
© 2014 Cisco Public 54
James HamiltonVice President and Distinguished Engineer Amazon Web Services
© 2014 Cisco Public 55
Producenci usług EPG “Users”EPG “Files”
Leaf Nodes„Liście”
Spine Nodes„Kręgosłup”
ACI Fabric
EPG “Internet”
Virtual Leaf
Konsumenci usług
ACI – Application-Centric Infrastructure
© 2014 Cisco Public 56
ACI Flow Abstraction
“Users”“Files”
Kontrakt“Users → Files”
Definicja EndpointGroups (EPG)
Wszystkie endpointy podłączone do fabryki, fizyczne i wirtualne
Programowalne Kontraktem Reguły Wejściowe
Reguły sprzętowe per port –bezpieczeństwo, QoS
Firewalling odwzorowujący politykę bezpieczeństwa
Administrator bezpieczeństwa tworzy generyczne wzorce w APIC, odwzorowujące kontrakt
Jeden punkt zarządzaniaRóżne grupy administracyjne, ponowne użycie i współdzielenie obiektów
Application Policy Infrastructure Controller (APIC) Definicja kontraktu między
Endpoint GroupsReguły na poziomie portów: odrzuć
ruch, priorytetyzuj, wyślij do łańcucha usługowego
ACI Fabric
© 2014 Cisco Public 57
Polityki ACI: Akcje
Sześć typów opcji polityk ACI
• Zezwól ruch
• Blokuj ruch
• Przekieruj ruch
• Loguj zdarzenie
• Kopiuj ruch
• Oznacz ruch (DSCP/CoS)
Permit
Deny
Redirect
Log ……
Copy Pakiet
Mark Pakiet DSCP
Polityka obejmuje obsługę ruchu, jakość
usług, bezpieczeństwo i logowanie.
57
© 2014 Cisco Public 58
EPG to Endpoint Group
Zautomatyzowane i skalowalne wprowadzanie usług L4-L7
Pakiety pasujące do reguły przekierowania wchodzą do Grafu Usługowego
Graf Usługowy może zawierać jedno lub więcej urządzeń usługowych w serii (łańcuchu)
Graf Usługowy upraszcza i skaluje wprowadzanie usług
Polityka przekierowania usług w ACI
© 2014 Cisco Public 59
Typowy Łańcuch Usługowy ACI
• Abstrakcja w obrębie łańcucha usługowego (service chain)
• Każde urządzenie zna tylko swoją funkcję i wymienia ruch z fabryką
• Możliwe różne ścieżki wynikowe
• Wysoki stopień modularności
• ACI utrzymuje symetrię ruchu przez tę samą instancję urządzenia
SSL Firewall
Reguły filtrowania, NAT, inspekcjiNGIPS
Analyzer
EPG“Users”
EPG“Web”
EPG“Files”
© 2014 Cisco Public 60
Nexus 7000
Przykład użycia ACI – Firewalling North-South
• Bezstanowe przekierowanie ruchu do klastra ASA
• Elastyczne horyzontalne skalowanie klastra do 16 urządzeń
• Wydajność na żądanie
• Fizyczne appliance – wysoka wydajność
• Fabryka programuje interfejsy, pary VLANów, i polityki dla ruchu inter-EPG
• Fabric kreuje wirtualne konteksty dla nowych dzierżawców
ACI Fabric
EPG Ext
Graf
EPG Ext
ACI
ASA
EPG Web
FizycznieLogicznie
EPG Web EPG DBASA
Cluster
© 2014 Cisco Public 61
Przykład użycia ACI – Firewalling East-West
• Wirtualna ASAv odpowiada funkcjonalnie fizycznym urządzeniom ASA:
• Podłączenie fizycznych lub wirtualnych (AVS) liści fabryki (N9k)
• Kolokacja z VM produkcyjnymi na tych samych hostach
• ASAv w parach wysokiej dostępności
• Fabryka programuje VLANy i pary znaczników VxLAN dla ruchu inter-EPG
• APIC wykorzystuje API do tworzenia dodatkowych instancji ASAv na podstawie stanu zdrowia i bieżącej nadsubskrypcji
ACI Fabric
Graf
Fizycznie
Logicznie
EPG Web ACI ASAv EPG DB
EPG WebASAv
standbyASAvactive EPG DB
© 2014 Cisco Public 62
© 2014 Cisco Public 63
63
Dziękuję[email protected]